среда, 23 декабря 2015 г.

недоКиллер VS лучшие практики SANS

    Недавняя новость о новом продукте российского вендора, обещающего защиту от "всех целенаправленных атак" заставила задуматься - неужели панацея возможна, а придуманная ранее сообществом специалистов по ИБ США модель 20 критичных контролей избыточна.



    Ведь в нашем продукте (кодовое название недоКиллер) всего 4 меры защиты  - анализатор кода, WAF, Anti-DDoS и хостовой детектор APT. Т.е. вместо длиннющей программы проектов (и миллиона долларов) можно взять одну "пилюльку" и спать спокойно.
    Однако непонятно, неужели упомянутые меры защиты, ранее выпущенные на рынок другими вендорами настолько эффективны? Проверим, сделав формальный анализ соответствия наших мер защиты ТОП-9 уязвимостям, ранее идентифицированным SANS еще в далеком 2011 году (ссылка на переведенный Дмитрием Орловым постер). Для облегчения подсчета используем игровой формат, т.е. недоКиллер получает очко если недоКиллер хотя бы гипотетически способен остановить атаку (например, он словит 100% вредоносного кода, что само по себе фантастика):

  1. SEO для распространения вредоносного кода. С вредоносным кодом НедоКиллер борется, а значит НедоКиллер - SANS: 1 - 0.
  2. Эксплуатация уязвимостей в разработанном третьей стороной ПО. НедоКиллер не повлияет на стандартное ПО (Microsoft, Adobe etc),  но может проверить уязвимости разработанного "внутри" ПО, т.е. НедоКиллер - SANS: 1,5 - 1
  3. Целевой фишинг. С вредоносным кодом НедоКиллер борется, но не борется с фишинговыми страницами куда можно попросить пользователя ввести пароль, НедоКиллер - SANS: 2 - 1.
  4. Перехват браузера. Допустим НедоКиллер борется с вредоносными скриптами, НедоКиллер - SANS: 3 - 1 
  5. SQL injection. WAF добавляет еще очко, НедоКиллер - SANS: 4 - 1
  6. Атаки на административные интерфейсы. НедоКиллер не борется с брутфорсом, никак не помогает против 0day, да даже не находит сетевые службы, так что НедоКиллер - SANS: 4 - 2
  7. Использование соцсетей для кражи информации и распространения вредоносов. Тут просто, в пакете нет мониторинга соцсетей, но с вредоносами пакет борется, НедоКиллер - SANS: 4,5 - 2
  8. Атаки pass-the-hash. Аналогично 6. НедоКиллер - SANS: 4,5 - 3
  9. Взлом умных устройств (телефонов и пр.). НедоКиллер на них не рассчитан, т.е. НедоКиллер - SANS: 4,5 - 4
     Однако наше сравнение не совсем честно. SANS ориентировался на внешние атаки, а в рутинной жизни безопасника проблемой часто являются и внешние угрозы. Как минимум с целенаправленными утечками информации и саботажем администраторов недоКиллер никак не борется. Но даже если это не учитывать то по нашей простой, 15-и минутной оценке "всегда 100% эффективного" пакета можно сказать что он недокиллил на половину.
     Но настоящая опасность недоКиллера в его позиционировании как "решения для бизнеса" и мощи дочернего медиахолдинга вендора. Вполне реальна ситуация когда одурманенный вендором владелец бизнеса закупит недоКиллер, и прекратит финансировать критично необходимую реальную работу службы ИБ. Например, такую как:

  • Повышение осведомленности пользователей.
  • Управление инцидентами.
  • Управление доступом.
  • Управление непрерывностью бизнеса.

     P.S. Увы не понимает НедоКиллер, что рубит сук на котором сидит.

Комментариев нет:

Отправить комментарий