Comments 9
А сам ваш продукт проходил тестирование безопасности - независимый аудит кода, сертификации какие-то? Как с принципами безопасной разработки?
Если это предложение, то да нам сейчас актуально — готовимся к сертификации ФСТЭК, а коммерческие конечно уже пройдены. Так что пишите в тг — рассмотрим!
К сожалению, предложить ничего не могу. Просто при выборе софта ИБ это первое на что надо смотреть, а у вас на сайте я увидел только информацию, что вы в реестре отечественного софта, и pdf (видимо, для того же реестра) где указано, что код хранится у вас в gitlab CE. Я не исследовал весь сайт, но больше ничего с ходу не нашел. И в сертификацию ФСТЭК я как-то не очень верю, мне кажется, что она "бумажно-бюрократическая", и мало что говорит о реальной защищенности сертифицируемого продукта. А хочется же верить в надежность ИБ-решения, и что твою инфраструктуру не захватят через него же.
Невозможно на 100% надеяться на чужие гарантии, аудиты, сертификаты и т.д.. Никакой независимый аудит не в состоянии обеспечить 100% защиту. Ни от багов, ни от бэкдоров.
Совершенно верно, а вот полное отсутствие любых независимых проверок говорит о том, что все это где-то там 100% есть, и тот кому надо, найдет и воспользуется.
И добровольные сертификации и прохождения аудита + прозрачность разработки в смысле безопасности очень многое говорит об отношении самого разработчика к своему продукту и клиенту, и о культуре компании.
Когда я выбирал решения для удаленного управления конечными ПК (на замену teamviewer), нашел компанию с таким продуктом, у которой прямо заявляется об ответственном отношениии ко всем этим вопросам, код выложен в open-source, результаты аудита кода выложены на сайте, баг-баунти есть и т. д. Очень позитивно такое воспринимается. Этот продукт и купили, и не пожалели.
давай разберем эту тему предметно, она популярна особенно у начинающих специалистов.
Общий вопрос такой: а насколько внедрение новой системы безопасно, а что если я от внедрения не только не выйграю, но и програю?
Есть 3 типа угроз:
Первый тип — это когда система торчит наружу и ее можно снаружи поломать. Этот тип угроз мы устраняем методологически: мы ставим наш ASoar исключительно в выделенную подсеть за файрволом, разрешаем только syslog на вход и управляет он малым и ограниченным количеством устройств прописанных в asset management. Получается, что на вход сигнал зарегулирован, источники провалидированы и на выход получатели ждут сигнал и есть его валидация как на уровне маршрутов на FW, так и на уровне api протоколов.
Второй тип угроз — это поднятие прав внутри системы. Мы тоже решаем это в первую очередь методологически. Т.к. таковая система управляет средствами безопасности, то и изначально доступ должен быть исключительно у администраторов высокого ранга. Мы рекомендуем давать доступ из ограниченной подсети VPN, вход в которую будет вторым фактором авторизации на самом файрволе.
Третий тип угроз — это закладки на незадокоментированное автономное поведение. Здесь мы, как и любой другой вендор отвечаем личной репутацией на рынке. Достаточно одного такого инцидента, чтобы весь бизнес вендора похоронить.
Я думаю, что я подробно описал, как используя правильную методологию, можно качественно снизить все группы рисков при работе с подобным софтом. Если остались вопросы, то я с радостью на них попробую ответить.
Справедливо, но... CrowdStrike и McAfee тоже отвечали своей репутацией вендора. Ivanti, Fortinet, Cisco, Microsoft (TMG) с RCE на все 10 баллов в решениях ИБ. И все же думали, ну уж у них-то тестирование точно налажено! Ну упали у них акции, ну кого-то там на совете директоров вздрючили. Конечному пользователю, у которого все лежало, это безразлично. У вашей системы степень воздействия в любом случае ниже и перечисленные вами меры действительно существенно снижают риски, но на мой взгляд, будь у вас все мной перечисленное (аудит кода, публикации о методах безопасной разработки и тестирования, bug bounty пусть и не с космическим вознаграждением) это сразу бы давало +10 к доверию.
Статья по изложению неплохая, по сути очень расплывчатая. Хотелось бы более детального описания системы с примерами инцидентов и т.п..
Круто, что после 2,5 лет активного импортозамещения наконец стали появляться продукты более сложного класса. А то раньше у нас по сути все, кроме антивируса, либо очень простым, либо очень недоделанным.
История создания ASoar: от идеи до реализации системы кибербезопасности