Информационная безопасность в Интернете под угрозой / Новости / Информационное агентство Инфорос
Оцените статью
Информационная безопасность в Интернете под угрозой

виноваты корпорации

Индустрия информационной безопасности быстро развивается, и в ней участвуют серьезные игроки и большие деньги. Но еще быстрее растет количество уязвимостей и эксплойтов, некоторые из которых требуют огромных временных затрат для борьбы с ними. Намечаются ли положительные сдвиги в этой борьбе?

Деньги решают все

Многие из участников конференции Blackhat работают в небольших независимых компаниях, предоставляющих услуги в области обеспечения информационной безопасности. Чем больше денег вливается в индустрию безопасности, тем чаще небольшие компании поглощаются более крупными. В ходе такого поглощения/слияния некоторые талантливые люди оказываются на улице и продолжают самостоятельную деятельность.

По идее, информация об обнаруженных уязвимостях в каком-либо продукте должна быть встречена компанией-производителем вполне дружелюбно, поскольку в целом, устранение уязвимости повысит надежность продукта. Однако иногда серьезные исследования уязвимостей, представленные на Blackhat, вызывают прямо противоположный эффект. Например, Майкл Линн (Michael Lynn) и его знаменитая презентация, показывающая уязвимость в ПО Cisco IOS. Как лучше использовать результаты, представленные неким исследователем проблем информационной безопасности: пригрозить ему судебными тяжбами для того, чтобы он замолчал, или предложить ему работу и немалую сумму денег для того, чтобы он встал на вашу сторону и улучшил ваши дела в части повышения надежности вашего продукта?

Большие риски

Компании и правительства защищают свои внутренние сети, потому что там сосредоточены мощные финансовые ресурсы и интеллектуальная собственность, которые нужно защищать. Затраты на обеспечение безопасности резко возросли по сравнению с тем, что было пять лет назад, но они все еще значительно меньше, чем должны были бы быть. Почему? Потому что большинство средств идут не на те цели.

При таком количестве денег, которые сейчас крутятся в индустрии обеспечения безопасности, основным игрокам следует сосредоточиться на том, чтобы нанимать на работу мощных интеллектуалов и платить им немалые деньги для того, чтобы они придумывали новые способы проверки надежности продукта. Дело в том, что если безработный исследователь проблем безопасности уже имеет возможность проникнуть в какую-либо корпоративную сеть, используя известную ему уязвимость, то ничто, кроме морально-этических качеств, не может удержать его от незаконного вторжения.

Майкл Линн уволен с работы, и ему предъявлено два иска: один от его последнего работодателя, а другой от Cisco. Линн полагает, что открыл что-то действительно важное. Так оно и есть. То, что он обнаружил, должно было стать достоянием общественности. Каково же значение этого открытия для Cisco, уважаемой компании с большим количеством денег, практически монополизировавшей внутреннею инфраструктуру Интернета и имеющей активов на 125 миллиардов долларов?

Майкл Линн мог пойти по простому пути и промолчать, или даже использовать свое открытие для взятия под контроль основных маршрутизаторов крупнейших мировых компаний. Прекрасная возможность для последующего проникновения. Он утверждал, что дизассемблировал программное обеспечение CISCO по указанию ISS, своего последнего работодателя, что безусловно нарушало лицензионное соглашение.

Возможно, это неправильно. Но исходные коды Cisco уже дважды были украдены, и те, кто это сделали имеют серьезное преимущество. Это гораздо хуже. Линн поступил так, как должен был поступить серьезный исследователь со строгими моральными принципами: он опубликовал свои исследования и представил их на всеобщее обозрение.

Крупнейшим компьютерным компаниям вроде Cisco, Oracle, Google, Symantec и Microsoft следовало бы прилагать больше усилий для приема на работу умных, независимых исследователей проблем информационной безопасности, и использовать их интеллект для разработки продуктов и служб, которые бы принесли им огромные прибыли. Google и Microsoft уже это делают. Особенное внимание следует уделять тем людям, которые могут продемонстрировать высокие морально-этические качества.

Только представьте, что, например, маршрутизаторы Cisco, на которых держится инфраструктура вашей компании, уже могут находиться под чьим-то контролем. Очередной Rootkit для Windows может принести кому-то неплохую прибыль, при этом оставаясь незамеченным в течение нескольких лет. Кроме того, все неисправленные уязвимости Oracle могут предоставить для кого-то весьма ценную информацию из базы данных вашей компании. Поврежденный шлюз безопасности Symantec может мешать попыткам обнаружения вторжений и даст вам ложное чувство безопасности. В мире информационной безопасности не существует безопасного места, есть только надежда на лучшее.

Утечка мозгов

Как отмечает один из постоянных авторов www.securityfocus.org, есть люди, которые жалуются на утечку мозгов, как будто их специалисты работают из неких альтруистических соображений, далеких от какой-либо финансовой выгоды. Удвойте зарплату специалиста, предложите ему повышение, и он будет первым, кто останется. Это не утечка мозгов, это обычная практика.

Конечно, это все чересчур утрировано, и никто из индустрии обеспечения информационной безопасности не хочет фокусироваться на таких простых вещах. Но дело в том, что финансовые интересы растут по обе стороны баррикад, и ставки действительно высоки. Компаниям нужно тратить больше денег на обеспечение безопасности, защищая свои миллиарды, используя для этого лучшие ресурсы: понимающих людей. Без этих людей все средства для обеспечения информационной безопасности будут израсходованы впустую.
Оставить комментарий
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 
 

Еще по теме «Евроведение»:

24.06.2019
Трамп ввел санкции против руководителя Ирана аятоллы Али Хаменеи
24.06.2019
США продвигают келейные идеи по палестино-израильскому урегулированию
24.06.2019
Политолог: политические аспекты «сделки века» не устроят палестинцев
24.06.2019
ПАСЕ включила в сегодняшюю повестку доклад об изменении своего регламента
24.06.2019
Великобритания опасается, что военный конфликт между США и Ираном может начаться из-за случайности
24.06.2019
Лавров: Запад закрывает глаза на национализм и русофобию в Грузии
24.06.2019
Встреча в Иерусалиме или «мирный план» Нетаньяху
24.06.2019
Нидерландский фонд MH17 попросил не возвращать Россию в ПАСЕ
23.06.2019
Митинг с требованием отставки премьера Чехии собрал 250 тысяч человек
23.06.2019
Трамн 24 июня объявит новые санкции против Ирана за сбитый беспилотник
23.06.2019
Трамп отправил Ким Чен Ыну письмо
22.06.2019
Эксперт: вмешательство США в морские торговые коммуникации - серьезный вызов всему миру (ВИДЕО)
22.06.2019
Трамп заявил о нежелании развязывать войну с Ираном
22.06.2019
США и Иран обменялись угрозами
Загрузка...

Сообщите об орфографической ошибке

Сообщить
Выделенный текст слишком длинный.