Информационная безопасность в Интернете под угрозой / Новости / Информационное агентство Инфорос
Оцените статью
Информационная безопасность в Интернете под угрозой

виноваты корпорации

Индустрия информационной безопасности быстро развивается, и в ней участвуют серьезные игроки и большие деньги. Но еще быстрее растет количество уязвимостей и эксплойтов, некоторые из которых требуют огромных временных затрат для борьбы с ними. Намечаются ли положительные сдвиги в этой борьбе?

Деньги решают все

Многие из участников конференции Blackhat работают в небольших независимых компаниях, предоставляющих услуги в области обеспечения информационной безопасности. Чем больше денег вливается в индустрию безопасности, тем чаще небольшие компании поглощаются более крупными. В ходе такого поглощения/слияния некоторые талантливые люди оказываются на улице и продолжают самостоятельную деятельность.

По идее, информация об обнаруженных уязвимостях в каком-либо продукте должна быть встречена компанией-производителем вполне дружелюбно, поскольку в целом, устранение уязвимости повысит надежность продукта. Однако иногда серьезные исследования уязвимостей, представленные на Blackhat, вызывают прямо противоположный эффект. Например, Майкл Линн (Michael Lynn) и его знаменитая презентация, показывающая уязвимость в ПО Cisco IOS. Как лучше использовать результаты, представленные неким исследователем проблем информационной безопасности: пригрозить ему судебными тяжбами для того, чтобы он замолчал, или предложить ему работу и немалую сумму денег для того, чтобы он встал на вашу сторону и улучшил ваши дела в части повышения надежности вашего продукта?

Большие риски

Компании и правительства защищают свои внутренние сети, потому что там сосредоточены мощные финансовые ресурсы и интеллектуальная собственность, которые нужно защищать. Затраты на обеспечение безопасности резко возросли по сравнению с тем, что было пять лет назад, но они все еще значительно меньше, чем должны были бы быть. Почему? Потому что большинство средств идут не на те цели.

При таком количестве денег, которые сейчас крутятся в индустрии обеспечения безопасности, основным игрокам следует сосредоточиться на том, чтобы нанимать на работу мощных интеллектуалов и платить им немалые деньги для того, чтобы они придумывали новые способы проверки надежности продукта. Дело в том, что если безработный исследователь проблем безопасности уже имеет возможность проникнуть в какую-либо корпоративную сеть, используя известную ему уязвимость, то ничто, кроме морально-этических качеств, не может удержать его от незаконного вторжения.

Майкл Линн уволен с работы, и ему предъявлено два иска: один от его последнего работодателя, а другой от Cisco. Линн полагает, что открыл что-то действительно важное. Так оно и есть. То, что он обнаружил, должно было стать достоянием общественности. Каково же значение этого открытия для Cisco, уважаемой компании с большим количеством денег, практически монополизировавшей внутреннею инфраструктуру Интернета и имеющей активов на 125 миллиардов долларов?

Майкл Линн мог пойти по простому пути и промолчать, или даже использовать свое открытие для взятия под контроль основных маршрутизаторов крупнейших мировых компаний. Прекрасная возможность для последующего проникновения. Он утверждал, что дизассемблировал программное обеспечение CISCO по указанию ISS, своего последнего работодателя, что безусловно нарушало лицензионное соглашение.

Возможно, это неправильно. Но исходные коды Cisco уже дважды были украдены, и те, кто это сделали имеют серьезное преимущество. Это гораздо хуже. Линн поступил так, как должен был поступить серьезный исследователь со строгими моральными принципами: он опубликовал свои исследования и представил их на всеобщее обозрение.

Крупнейшим компьютерным компаниям вроде Cisco, Oracle, Google, Symantec и Microsoft следовало бы прилагать больше усилий для приема на работу умных, независимых исследователей проблем информационной безопасности, и использовать их интеллект для разработки продуктов и служб, которые бы принесли им огромные прибыли. Google и Microsoft уже это делают. Особенное внимание следует уделять тем людям, которые могут продемонстрировать высокие морально-этические качества.

Только представьте, что, например, маршрутизаторы Cisco, на которых держится инфраструктура вашей компании, уже могут находиться под чьим-то контролем. Очередной Rootkit для Windows может принести кому-то неплохую прибыль, при этом оставаясь незамеченным в течение нескольких лет. Кроме того, все неисправленные уязвимости Oracle могут предоставить для кого-то весьма ценную информацию из базы данных вашей компании. Поврежденный шлюз безопасности Symantec может мешать попыткам обнаружения вторжений и даст вам ложное чувство безопасности. В мире информационной безопасности не существует безопасного места, есть только надежда на лучшее.

Утечка мозгов

Как отмечает один из постоянных авторов www.securityfocus.org, есть люди, которые жалуются на утечку мозгов, как будто их специалисты работают из неких альтруистических соображений, далеких от какой-либо финансовой выгоды. Удвойте зарплату специалиста, предложите ему повышение, и он будет первым, кто останется. Это не утечка мозгов, это обычная практика.

Конечно, это все чересчур утрировано, и никто из индустрии обеспечения информационной безопасности не хочет фокусироваться на таких простых вещах. Но дело в том, что финансовые интересы растут по обе стороны баррикад, и ставки действительно высоки. Компаниям нужно тратить больше денег на обеспечение безопасности, защищая свои миллиарды, используя для этого лучшие ресурсы: понимающих людей. Без этих людей все средства для обеспечения информационной безопасности будут израсходованы впустую.
Оставить комментарий
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Еще по теме «Евроведение»:

10.07.2020
Китай введет контрсанкции против граждан и организаций США
10.07.2020
Трамп одобрил решение Канье Уэста баллотироваться в президенты США
10.07.2020
Эксперт о нарастании противоречий США и ЕС
10.07.2020
Эксперт: сокращение американской группировки в Южной Корее возможно
10.07.2020
Эксперт: американо-китайская конфронтация будет возрастать
09.07.2020
AP: власти США возобновляют смертные казни
09.07.2020
Кадыров обвинил иностранные спецслужбы в убийстве выходца из Чечни в Австрии
08.07.2020
Лавров: настрой Пентагона на сдерживание России и Китая вызывает сожаление
08.07.2020
Меркель призвала найти правильный ответ на спад экономики из-за пандемии
08.07.2020
Канье Уэст намерен идти на президентские выборы в США как независимый кандидат
08.07.2020
Китай будет отказывать в визе американцам за неподобающее поведение в отношении Тибета
08.07.2020
Трамп заявил, что не исключает новой встречи с Ким Чен Ыном
08.07.2020
Американский военачальник счел бездоказательными утверждения о сговоре России с талибами
07.07.2020
МИД РФ: Москва не будет уговаривать Вашингтон оставаться в Договоре по открытому небу
Загрузка...

Сообщите об орфографической ошибке

Сообщить
Выделенный текст слишком длинный.