Некоторые мысли о continuous vulnerability management

arkanoid — 29.04.2016 Как вы наверное знаете, я последнее время слегка упарываюсь по этой теме (больше в инфраструктурном аспекте, но и про безопасную разработку тоже интересуюсь)

Ситуация интересная: моновендорские решения говно. Полностью опенсорсные решения совсем говно. Но при желании и наличии некоторого количества ресурсов можно сколхозить некоторый кастомный вариант, который всех порвет. Ну и как водится, у меня есть своя idee fixe, как за малые деньги сделать то, что вендоры и интеграторы не дадут за большие в аспекте достоверности результатов, анализа рисков и превращения всего этого в actionable items.

Но я старый пионэр, много знаю. Поэтому не могу не вспомнить, что еще лет десять (скорее пятнадцать-двадцать, но десять все еще да) не менее неистово и не более продуктивно упарывался по теме фаерволов. И то же самое вроде было: моновендорские решения говно, позиционирование невнятное, хочешь хорошо -- собирай из зоопарка и костылей.

Что я упустил тогда в более крупной картинке? Коммодитизацию и место фаервола в общей картине безопасности сети. Да, я оказался прав в том смысле, что фаервол никуда не делся и все пророки его смерти несли какую-то лажу. Что я не понял -- это то, что коммодитизация привела к тому, что в общем случае тебе настолько не до того, какой у тебя фаервол, что забивать голову деталями технической реализации уже нет никакого смысла -- особенно, если ты за регулярно упоминаемой мной "чертой бедности" инфобеза, т.е. не в fortune 1000 и не в банкинге/финтеке/других отраслях с аномально высоким бюджетом на безопасность. У тебя есть слишком много другой головной боли. Бери с полки любой продукт, если там нет очевидных факапов (привет, Palo Alto) и он будет работать. Нужна дополнительная функциональность -- опять же, она есть у любого крупного вендора. Что твои админы знают, то и сгодится. А у кого внутри asic быстрее или стейт-машина корректнее -- да б-же упаси вникать в такую ерунду.

Я делал тогда много прогнозов, большая часть сбылась, некоторые нет. Например, я пророчил большое будущее XML-фаерволам, потому что считал, что это важно. Я до сих пор считаю, что это крутая недооцененная технология, но дорогая, заморочная, требующая иных подходов при проектировании и самое главное -- я не вижу в типовой организации "покупателя", готового драйвить ее внедрение. Просто разработать детальную модель рисков, которая оправдает ее применение уже для большинства слишком дорого. Помогла бы она предотвратить хоть один из громких инцидентов последних лет? Сомневаюсь. Ну и чорт тогда с ней. Может, военным пригодится. У них уже есть хорошее кладбище на заднем дворе, начиная с десктопов с мандатным контролем доступа.

Да, так вот, возвращаясь к continuous vulnerability management -- не ждет ли и тут нас коммодитизация? Нужно ли мне пилить очередной простиг-ди openfwtk (кто помнит), если в ближайшее время вендорские решения станут достаточно хороши, финансово доступны и значительно более функциональны, чем очередной конструктор от команды энтузиастов?

P.S. комментируйте лучше здесь, на комментарии в фейсбуке я отвечу не раньше, чем завтра.

Оставить комментарий

Популярные посты:

• Ранее
• Архив