Мой основной сайт ZLONOV.ru (RSS-лента) | Ссылка на Twitter: @zlonov | Telegram-канал: @zlonovru

30 июня 2009

Разрушители мифов. Миф №39.

Очередной спорный миф Алексея Лукацкого: Миф №39 "Спам легко обнаружить". Если коротко, то Алексей пишет, что по-настоящему эффективных решений для борьбы со спамом нет:
"пока приходится констатировать, что спамеры более изобретательны, чем их оппоненты, которые следуют за злоумышленниками, а не предвосхищают их действия. Спам исчез бы сам, если бы мы, рядовые пользователи, перестали бы покупать рекламируемые товары, а законодательная и судебная система поставила бы надежный заслон на пути спамеров. Но пока этого не происходит".

К сожалению, в статье детально рассматривается только одна технология борьбы со спамом - контентный анализ. Для материала датированого маем 2009 года это, пожалуй, не совсем правильно. Уже давно придуманы и эффективно работают репутационные антиспам фильтры.

В том же IronPort эта технология работает, причём очень эффективно:
"Cisco IronPort Reputation Filters provide an outer layer of defense using data from the Cisco SenderBase® Network to perform a real-time email traffic threat assessment and identify suspicious email senders".

Нашёл даже отзыв довольного пользователя: здесь
"Удалось ли уменьшить нагрузку на почтовую инфраструктуру благодаря использованию репутационных фильтров? На сколько?
Да, удалось и значительно, где-то на 80–90%. И это только при использовании технологии репутационных фильтров."

Суть метода проста как всё гениальное. Спам, как известно, характеризуется вспышками - т.е. кратковременными массовыми рассылками одинаковых писем. Специализированные датацентры, разбросанные по всему миру в узлах агрегирования почтового трафика, анализируют проходящие через них электронные письма и эффективно обнаруживают такие вспышки. Образцы обнаруженных спамовых писем помещаются в единую центральную базу.

При поступлении письма в организацию с него делается своеобразный "слепок" (хэш, если хотите) размером в несколько килобайт, который отсылается в ближайший датацентр для проверки. В ответ приходит ответ вида "спам/не спам", после чего оставшиеся письма можно проверить тем же контентным фильтром, причём качественно и основательно, т.к. большая часть спама уже отфильтрована и есть запас по времени на проверку остальной почты.

Вероятность ложного срабатывания при применении данной технологии практически равна нулю, т.к. в датацентрах регистрируются только массовые рассылки однотипных писем. Одно единственное уникальное письмо, которое Вам написал Ваш коллега перепутать со спам-рассылкой крайне сложно.

Другой известный продукт, в котором реализован такой функционал - eSafe. Имея опыт практической работы с этим решением могу сказать, что его эффективность даже выше заявленных 90%: через несколько месяцев реально забываешь как выглядит спам.

Оба упомянутых продукта, насколько мне известно, лицензируют данную технологию у компании Commtouch.

Разрушители мифов. Миф №46.

Давно присматриваюсь к мифам уважаемого Алексея Лукацкого, но всё никак не доходили руки прокомментировать, а прокомментировать есть что. Начнём, например, вот с этого:

Миф №46 "Снижение класса защиты ИСПДн приведет к снижению затрат на защиту персональных данных"

Для начала пробежимся по самым спорным моментам.

В итоге мы получаем парадоксальную ситуацию - социальная сеть, в которой сотни тысяч пользователей сами раскрывают свои персональные данные и не сильно заботятся об их защищенности, должна выполнять требования более жесткие, чем поликлиника, утечка ПДн пациентов из которой может привести к гораздо более серьезным последствиям.

Не совсем так. Если в информационной системе персональных данных (ИСПДн) содежится информация о здоровье, то её класс будет первым. Это прописано в Порядке проведения классификации информационных систем персональных данных, а первому классу самые высокие требования. Так что данные в поликлинике нужно защищать "по максимому".

Следующая цитата.

Возьмем другой тип защитных средств - системы защиты от несанкционированного доступа. К их числу можно отнести такие средства как Secret Net, Аккорд, Панцирь, Броня и т.п. Они тоже практически не дифференцируются в зависимости от класса ИСПДн. Если мы возьмем, например, Secret Net 5.0, то цена решения будет одной и той же и для ИСПДн 4-го класса и для ИСПДн 1-го класса.

Немного неполная информация. Для защиты ИСПДн третьего класса (K3) достаточно использовать Security Studio, который стоит дешевле, чем Secret Net.

Ну а теперь по сути вывода.

В итоге мы приходим к тому, что какой бы класс ИСПДн мы себе не выбрали, средства защиты для них будут одними и теми же, а значит уменьшить затраты мы не сможем.

На практике понижение класса позволяет серьёзно сэкономить как на стоимости продуктов, так и на стоимости аттестации ИСПДн. Для К3 в соответствии с требованиями даже аттестация ИСПДн не обязательна (хотя пока этому вопросу много разногласий). Единственное на чём не получится сэкономить - так это на консалтинге.

Любой специалист, выполнивший хотя бы несколько проектов по приведению информационных систем заказчика в соответствие ФЗ-152 прочитав этот миф, думаю, улыбнётся. Понижайте класс ИСПДн всеми способами, господа, и никого не слушайте =) И улыбайтесь!


29 июня 2009

Microsoft. Бесплатный антивирус.

Источники новости: 1, 2
Софтверный гигант объявил о запуске бета-тестирования Microsoft Security Essentials (MSE). По сути - это давно ожидавшийся персональный антивирус для некорпоративных пользователей. Особый интерес вызывает тот факт, что MSE предоставляется бесплатно.
Разработчики платных антивирусов практически в один голос уверяют, что бесплатные средства защиты нефункциональны, не обеспечивают должного уровня безопасности и т.п. Правы они или нет может показать только детальное тестирование и практический опыт использования. Пока же, на специально созданном сайте вывешено уведомление о том, что раздача бета-версии приостановлена.

Компания Microsoft не раз уже пугала рынок своими дествиями. Появление встроенного брэндмауэра расценивали как угрозу рынка персональных межсетевых экранов, BitLocker в своё время напугал немало продавцов средств шифрования жёстких дисков и т.д. Однако, как мы видим, выход компании Microsoft на новые рынки не всегда означает автоматический передел долей и изменение объёмов продаж.

Известна шутка, что если миллион обезьян посадить за пишущие машинки, то рано или поздно одна из них напечатает "Войну и мир". Разработки компания Microsoft порой кажутся попыткой попробовать себя во всём в надежде, что вдруг что-то получится и на этом можно будет заработать деньги.

Ожидать серьёзного оттока клиентов на мой взгляд не стоит, но количество защищённых компьютеров обязательно повысится, особенно если MSE будет включаться в состав ОС по умолчанию. Более защищённые компьютеры --> меньше вирусных эпидемий -> меньше ботнетов -> более дорогая разработка вирусов -> меньше рентабельность киберпреступного бизнеса -> меньше атак -> крепче сон специалистов по информационной безопасности. Спасибо компании Microsoft! =)
См. цикл статей по Безопасности Windows 7

P.S. Решения ИБ от Microsoft чаще не продаются не потому, что они плохие, а потому, что в них не верят. Логика проста и понятна: "Разве могут создатели столь незащищённой ОС разработать что-то действительно безопасное?"

Российские пароли. Всё так плохо?

Компания Positive Technologies опубликовала результаты своего иследования под названием "Анализ проблем парольной защиты в российских компаниях".

22 июня 2009

Сайты банков. Официальный список.

Тема фишинга сегодня настолько актуальна, что даже Банк России озаботился ей. Для противодействия возможному мошенничеству Банк России вывесил на своем сайте список реальных интернет-адресов российских кредитных учреждений.

152-ФЗ. Переноса сроков не будет.

Интернет уже облетела эта новость. Как известно, Ассоциация региональных банков России обратилась в Роскомнадзор с просьбой переноса срока проверки информационных систем персональных данных на соответствие федеральному закону 152-ФЗ.

19 июня 2009

Новое партнёрство на рынке ИБ.

Сегодня на CNews опубликовали новость про партнёрство Leta IT и НПП «Информационные технологии в бизнесе» (г. Санкт-Петербург).

16 июня 2009

Зачем создавать ещё один блог?

Хороший вопрос. Спасибо за вопрос.
Следующий вопрос, пожалуйста =)

На самом деле всё достаточно просто. Ещё весной был запущен сайт www.zlonov.ru для того, чтобы публиковать свои мысли, интересные новости и размещать материалы, имеющие отношение к теме информационной безопасности. Своеобразный он-лайн дневник, доступный другим. Формат сайта не предполагает принесение прибыли - это скорее хобби, а посему вкладываться в его продвижение не планировалось. Простая регистрация в поисковиках популярности сайту не добавила, а хотелось бы обсужать, делиться мнениями, опытом...

Есть надежда, что этот блог поможет исправить ситуацию. Пожуём - увидим (С) ...