Sunday, August 12, 2018

Инерция

Инерция – это физическое явление сохранения скорости тела постоянной, если на него не действуют другие тела или их действие скомпенсировано
(Из учебника Физики за 7 класс)

Уже писал о том, что требование использования различных СЗИ от ВПО в инфраструктуре не добаляет безопасности. Однако, это требование по-прежнему есть в СТО БР ИББС и 382-П, вот, например, цитата из последнего:
"2.7.3. Оператор по переводу денежных средств, банковский платежный агент (субагент), оператор услуг платежной инфраструктуры обеспечивают использование технических средств защиты информации от воздействия вредоносного кода различных производителей и их раздельную установку на персональных электронных вычислительных машинах и серверах, используемых для осуществления переводов денежных средств, а также на межсетевых экранах, задействованных в осуществлении переводов денежных средств, при наличии технической возможности."
Согласен, что Положение устаревшее, написано в 2012 году, но проблема в том, что и сейчас, на закате 2018, его по-прежнему пытаются исполнять, продолжая увеличивать энтропию там, где, напротив, требуется порядок.

Как использование двух паролей не считается двухфакторной аутентификацией, так и использование двух эквивалентных систем не является эшелонированной обороной, смысл имеет только полностью различные подходы - об этом писал и в 2013, и год назад, а также рассказывал намедни.

Боль в том, что уже понимая низкую эффективность автоматически привентивных средств защиты, мы на уровне регулятора продолжаем культивировать веру в них.

Но нет смысла писать про то же самое, если дело только создании неправильных стереорипов. Основная проблема в том, что требование использования гетерогенного покрытия инфраструктуры средствами защиты - снижает возможности по обнаружению сложных атак, проще говоря, - вредит безопасности. Логика эта на поверхности. Если говорить о целевых атаках, то они тщательно готовятся, безусловно, беря во внимание испльзуемые средства защиты, поэтому предотвратить такую атаку исключительно превентивными автоматами практически невозможно. В этих условиях мы вынуждены отступать, сдвигая приоритеты от предотвращения в сторону обнаружения, поиска и реагирования. Ключевым моментом для эффективного обнаружения является - visibility (попробую перевести это как "наглядность-обзорность") - надо в едином месте обозревать все данные со всей инфраструктуры. Если говорить о endpoint-е, то поставщиком таких данных является EPP-EDR. Все нормальные EPP-вендоры это уже давно поняли это и оснастили свои автоматические Anti-malware-движки агентами EDR и сервисным предложением над ними, потому что только такой полный стек обеспечивает более-менее высокую эффективность.
Требование наличия решений разных роизводителей на разных частях инфраструктуры (например, один вендор - на рабочих станциях, другой - на серверах) приводит к раздроблению наглядности-обзорности на части, что снижает возможности по обнаружению атаки после взлома. Ну, или, как минимум, значительно усложняет обнаружение и активный поиск угроз (Threat hunting).

Серьезные атаки можно адресовать только после взлома, но мы жертвуем нашей способностью по обнаружению постэксплуатации в пользу малоэффективного предотвращения, да возможностей по предотвращению это особо не добавляет.

К сожалению, снова складывается ситуация, когда требования регуляторов отстают от реальности и этим становятся, как минимум - бесполезными, а как максимум - мешающими. Что делать - понятно: активнее обновлять документы, чтобы они были актуальны современному ландшафту угроз. Эпоха веры в полностью автоматическое предотвращение всевозможных атак - давно ушла в прошлое, вместе с ней и вера в мультисканеры, - это должно привести к соответсвующим изменениям нормативных требований, инерции здесь не место.