среда, 20 августа 2008 г.

Defenth-in-depth или почему погиб Ахилл.

Еще одно размышление на тему безопасности. Возникла необходимость такое подумать, потому что достаточно часто вижу и слышу типа «а нафига мне антивирус на клиентских компьютерах, если у меня все сервера с антивирусным ПО?» или «у меня все безопасно – все каналы связи зашифрованы, поэтому к черту политики безопасности». Я думаю, что никому уже не надо объяснять, что я негативно отношусь к высказываниям такого рода. Объясню лишь, почему.

Дело не в том, что концепцию «Defence-In-Depth» придумали отнюдь не идиоты и потому ее хорошо бы придерживаться. Это не аргумент абсолютно, ясно даже и ежу. И не в том, что паранойя rules это хорошо. Дело в том, что многие меры безопасности (и деньги, потраченные на реализацию этих мер) могут оказаться совершенно бессмысленными… Нет, вру, они не бессмысленны. Почти любая защита лучше, чем ее отсутствие. Просто эти меры окажутся несоразмерно дорогими по отношению к уровню защиты, которую они обеспечивают. Мы можем обеспечить вязь между офисами компании через VPN, в надежде, что это даст нам защиту от прослушивания и, таким образом, от утечки информации. Однако если на компьютере конечного пользователя нет антивируса и есть Интернет, то на этом самом компьютере есть вирус, а скорее даже Троян. И не один. И совершенно не факт, что эти Трояны давным-давно не слили уже всю информацию конкурентам. «У нас антивирус на прокси-сервере, и поэтому вирусов у пользователя нет», возразите Вы мне? «А у пользователя есть флешка, на которой он таскает трояны всякую фигню из дома», отвечу я Вам. И у Вас нет даже политики, которая запретила бы ему это. Так что никому не нужен Ваш VPN, достаточно просто дать Троян пользователю и все будет, как хочется злоумышленнику. Потому давайте защищаться грамотно, чтоб не было мучительно больно за потраченные на защиту деньги, время и прочие ресурсы.

2 комментария:

Pavel Nagaev [MVP Exchange] комментирует...

Саша, это все ты сложно объясняешь.
Я тоже думал, что антивирус не нужен.
Он был не нужен, пока я плешь не подцепил. Теперь так не думаю.

Pavel Nagaev

http://www.exchangerus.ru

KomatoZo комментирует...

Дык... Я же не только про антивирус. Антивирус без политики его примнения не многого стоит. И не защитит от хищения или искажения данных в транзите.
Я об комплексности.
А вообще да, самые понятные грабли это те, на которые наступил сам. =)