Gefährliche Sicherheit

Hallo liebe habrazhitel, ich habe kürzlich über die Anwendbarkeit verschiedener Dienste auf dem Gebiet der Informationssicherheit nachgedacht und genau das ist passiert.

Derzeit bieten viele Entwickler zentralisierte Lösungen an, um den Status der Informationssicherheit zu überwachen und böswillige Aktivitäten (Hacker) in den Informationssystemen von Unternehmen und Organisationen der folgenden Art zu erkennen:
  • Der Konsument des Dienstes installiert ein Gerät, das als Agent fungiert und Informationen zu allen Ereignissen im Informationssystem sammelt (ganz oder selektiv, abhängig von der Entscheidung). Falls erforderlich, können die Geräte durch Software-Agenten ergänzt werden, die direkt auf den Komponenten der IT-Infrastruktur installiert sind.
  • Die empfangenen Informationen werden an den Server des Unternehmens übertragen, das die Dienstleistung erbringt.
  • Auf den Servern des Unternehmens werden anhand der Wissensbasis des Unternehmens und der Erfahrung seiner Spezialisten böswillige Aktivitäten (Hacker) anhand der gesamten Informationsmenge sowie anhand von Ereignissen ermittelt, die negative Folgen für das Unternehmen des Servicekonsumenten haben können. Anschließend werden diese Vorfälle analysiert.
  • In Echtzeit werden dem Verbraucher Dienste zur Verfügung gestellt, um die Konsequenzen zu beseitigen oder erkannten Bedrohungen entgegenzuwirken.

Ähnliche Produkte sind von Cisco (Sourcefire) , Check Point, Palo Alto Networks und Symantec erhältlich .

Dieser Ansatz bietet natürlich erhebliche Vorteile:
  • Der Verbraucher des Dienstes muss nicht alle Nuancen des Problems der Gewährleistung der Informationssicherheit gründlich verstehen, erhält sofort eine vorgefertigte Lösung und gibt praktisch kein Geld für die Aufrechterhaltung seiner Leistung aus (deutlich niedrigere Wartungskosten für das IS-Personal; wenn er einmal bezahlt, erhält der Verbraucher einen vorgefertigten Satz von Werkzeugen und Technologien) Ich bin nicht gezwungen, ständig neue Elemente zu kaufen (nur die Kosten für die Aktualisierung der Lösung und den technischen Support).
  • Bequeme Erweiterung und Skalierung der Funktionalität eines solchen Dienstes. Je nach Bedarf kann der Kunde den Service zur Überwachung und Reaktion auf die erforderlichen Komponenten der IT-Infrastruktur erweitern. Es ist die Aufgabe des Kunden, "Ich will" zu sagen, und kompetente Unternehmen werden Optionen zur Lösung dieses Problems vorschlagen. In dieser Hinsicht spielt die immer engere Integration von Sicherheitstools und -systemen in die Hände des Dienstleisters und beschleunigt den Implementierungsprozess.
  • Ein Unternehmen, das einen solchen Service anbietet, sollte auf jeden Fall über eine umfassende Wissensbasis und Analyse von Vorfällen auf dem Gebiet der Informationssicherheit verfügen. Darüber hinaus gehören zu seinen Mitarbeitern Spezialisten, die aufgrund ihres Ausbildungsniveaus und ihrer praktischen Fähigkeiten kompetent auf verschiedene Verstöße gegen die Anforderungen der Informationssicherheit und auf das Verhalten von Hackern und Angreifern reagieren können Der Service-Konsument muss keine nennenswerte Anzahl von Mitarbeitern unterhalten, die Sicherheitsvorfälle untersuchen und Maßnahmen entwickeln die Aktionen der Verletzer entgegenzuwirken.

Die Implementierung dieses Ansatzes hat jedoch auch Nachteile. Nein, dies ist keine Schwäche der Technologie oder ihrer praktischen Umsetzung. Das Hauptminus ist die Abhängigkeit des Verbrauchers der Dienstleistung von der Entscheidung des Leistungserbringers, dieses oder jenes Ereignis als Ereignis oder als gewöhnliches Ereignis zu betrachten . Darüber hinaus kann der Lieferant daran interessiert sein, einzelne Vorfälle durch Vorsatz oder Zwang zu „unterdrücken“. Ich möchte darauf hinweisen, dass all diese Produkte hauptsächlich von ausländischen Anbietern angeboten werden. Angesichts der aktuellen außenpolitischen Lage und möglicher Sanktionen gegen unser Land bestehen erhebliche Risiken bei der Umsetzung dieser Entscheidungen.

Diese Risiken umfassen:
  • vorsätzliche "Unterdrückung" von vom Diensteanbieter festgestellten Sicherheitsvorfällen oder deren Fehlinterpretation;
  • Festlegen von Agenten zur Überwachung von Ereignissen, die keine ernsthafte Gefahr für die Geschäftsprozesse des Unternehmens darstellen, entweder aufgrund einer nachlässigen Arbeitseinstellung oder einer Zurückhaltung, sich eingehend mit der Organisation der Arbeit des Kunden zu befassen, und des Wunsches, schnell Vorlagenlösungen zu stempeln;
  • den Verbraucher des Dienstes über die Gefahr für seine Informationsressourcen während der Durchführung des einen oder anderen Vorfalls und / oder Ereignisses, das vom Agenten identifiziert wurde, irrezuführen;
  • Es geht um das Vertrauen in den Dienstleister. Diese Frage kann sowohl in der Gewährleistung der Vertraulichkeit als auch in der Gewährleistung der Verfügbarkeit von Diensten zum Ausdruck gebracht werden. Der Kunde muss sicher sein, dass Informationen über seine Vorfälle unter keinen Umständen an Dritte weitergegeben werden. Und oft haben Unternehmen nicht genug „Papier“, auf dem sich der Lieferant verpflichtet, die vollständige Integrität der Daten zu gewährleisten. Die jüngsten Ereignisse in der Welt, insbesondere die Sanktionen gegen Russland und die von E. Snowden veröffentlichten Informationen, lassen Sie über den Wert solcher „Papierstücke“ nachdenken. Der Kunde muss außerdem sicher sein, dass das Incident-Handling-System rund um die Uhr verfügbar und funktionsfähig ist. Die Tatsache, dass es nicht möglich ist, die Leistung zu kontrollieren, kann Unternehmen von solchen Diensten abbringen.
  • die böswilligen Auswirkungen auf das Informationssystem des Verbrauchers des Dienstes unter Verwendung der Funktionalität der eingeführten Agenten.


In Anbetracht des vorgestellten Materials lohnt es sich, auf das eindeutige Interesse einheimischer Anbieter an der Entwicklung solcher Lösungen zu achten. Einige Entscheidungen einheimischer Entwickler stützen sich jedoch leider auf Server und Entscheidungszentren, die sich „im Ausland “ befinden. Und dieser Ansatz beseitigt nicht die zuvor genannten Risiken. Von besonderem Interesse für Verbraucher dieser Art von Informationssicherheitsdiensten werden daher logischerweise inländische Anbieter sein, die ihre eigenen Ereignisverarbeitungs- und Analysezentren in der Russischen Föderation nutzen.

Abschließend möchte ich festhalten, dass diese Richtung bisher nicht von inländischen Unternehmen entwickelt wurde. Dafür gibt es Gründe :
  1. Die meisten im öffentlichen Sektor tätigen Unternehmen zeigen wenig Interesse an diesem Tätigkeitsbereich. Ihre Arbeit dreht sich um die Erfüllung der von den Regulierungsbehörden festgelegten Anforderungen an die Informationssicherheit. In den maßgeblichen Dokumenten wird ein solcher Ansatz zur Gewährleistung der Informationssicherheit praktisch nicht beschrieben, und es besteht keine Notwendigkeit, ein solches Interaktionssystem aufzubauen.
  2. Die meisten inländischen Lösungen, einschließlich zertifizierter Lösungen, sind so konzipiert, dass die Voraussetzungen für Vorfälle (verschiedene Arten von Schwachstellen) rechtzeitig ermittelt werden.
  3. Kleine und mittlere Unternehmen haben häufig kein Interesse an der Gewährleistung der Informationssicherheit, bis das Unternehmen aufgrund von Verstößen erhebliche finanzielle Verluste erleidet.
  4. Große Unternehmen, die an solchen Projekten interessiert sein könnten, sind oft " verlegen ", wenn sie ihre Vorfälle im Bereich der Informationssicherheit an Außenstehende weitergeben, oder, unter Berücksichtigung der Beteiligung ausländischer Informationszentren, haben sie es nicht eilig, solche Lösungen bereitzustellen.


Obwohl solche Entscheidungen im Wesentlichen für ein einzelnes Unternehmen eher „praktisch“ sind, um die meisten Bedrohungen für die Informationssicherheit seiner Ressourcen zu beseitigen, die keine erheblichen Kosten für das Unternehmen erfordern, um seine Informationsressourcen ständig in einem sicheren Zustand zu halten.

Jetzt auch beliebt: