Приветствую, хабравчане!
Некоторое время назад столкнулся с необходимостью найти достойную систему обнаружения вторжений (intrusion detection system — IDS), далее по тексту будем использовать сокращение IDS. Необходимо было мониторить сервера, на которых хостятся приложения наших клиентов. И после длительных и утомительных поисков все найденные варианты можно было разделить на два лагеря:
1. Гики для гиков: сложные для управления и понимания open source решения, которые даже не имеют вменяемого интерфейса, работать в них можно только через консоль, и без солидного опыта и знаний в сфере кибер-безопасности с ними не разберешься. Да, мы для себя могли использовать такой вариант, но отдать это клиентам (которые, в свою очередь, далеко не технические люди) мы не могли.
2. Дорогие enterprise решения: рассчитаны на сложные и большие структуры, половина их функционала просто не нужна web-приложениям, а платить огромные суммы за установку и обслуживание системы, в которой будут использоваться пару функций, как-то очень не хочется.
Всё это натолкнуло нас на мысль написать свою IDS, покрывающую наши нужды: простую и удобную в управлении, имеющую понятный и привлекательный интерфейс систему. Нам было необходимо отслеживать доступы к серверу, проверять наличие сторонних соединений и подозрительной активности, получать оповещения о подозрительных событиях, создавать собственные правила (группы доверенных источников, IP-адресов), и всё это для интернет-серверов. Благо, большой опыт консультирования по вопросам безопасности и свой CISSP специалист в штате позволяли это сделать.
После создания, имплементирования и работы системы на наших проектах мы подумали, что, возможно, кто-то столкнулся с похожей проблемой и находится в поисках простой и эффективной IDS. Выдвинули гипотезу, что такая система будет интересна не техническим людям, имеющим малый/средний бизнес, построенный на работе их web-приложения. И, собственно, пошли в народ проверять нашу гипотезу.
Мы не ожидали очень высокого интереса к вопросам web-безопасности у данной аудитории, но, как оказалось, интерес к этой теме отсутствовал вовсе.
“Web-безопасность? Нет, не слышали” – так можно охарактеризовать их подход. Найденные и представленные им уязвимости их никак не мотивировали. То, что их приложения работают с персональными данными их клиентов и, как следствие, требуют особой защиты, тоже не стало мотиватором. Заинтересованными представителями данной аудитории были только те, кто сам приходил за помощью после реального взлома. «Это может коснуться всех, но не меня» — думают собственники и игнорируют меры по профилактике/предотвращению угроз.
Поразмыслив над всем этим, мы перешли к формированию другой гипотезы. Текущая гипотеза такова, что в использовании системы обнаружения вторжений могут быть заинтересованы техлиды, CTO (Chief Technology Officer) или CIO (Chief Information Officer) в средних и крупных IT-компаниях (стартапах или близких к IT: новостные порталы, туристические порталы, системы онлайн бронирования и др.)
Но перед этим хотелось бы вообще в принципе проверить уровень осознания у IT-сообщества того, что web-безопасность важна и необходима (так называемая security maturity). И просим неравнодушных хабровчан поучаствовать в исследовании ниже: «Web-безопасность. Кому это нужно?»
Спасибо за внимание!
Денис Колошко, CISSP
Некоторое время назад столкнулся с необходимостью найти достойную систему обнаружения вторжений (intrusion detection system — IDS), далее по тексту будем использовать сокращение IDS. Необходимо было мониторить сервера, на которых хостятся приложения наших клиентов. И после длительных и утомительных поисков все найденные варианты можно было разделить на два лагеря:
1. Гики для гиков: сложные для управления и понимания open source решения, которые даже не имеют вменяемого интерфейса, работать в них можно только через консоль, и без солидного опыта и знаний в сфере кибер-безопасности с ними не разберешься. Да, мы для себя могли использовать такой вариант, но отдать это клиентам (которые, в свою очередь, далеко не технические люди) мы не могли.
2. Дорогие enterprise решения: рассчитаны на сложные и большие структуры, половина их функционала просто не нужна web-приложениям, а платить огромные суммы за установку и обслуживание системы, в которой будут использоваться пару функций, как-то очень не хочется.
Всё это натолкнуло нас на мысль написать свою IDS, покрывающую наши нужды: простую и удобную в управлении, имеющую понятный и привлекательный интерфейс систему. Нам было необходимо отслеживать доступы к серверу, проверять наличие сторонних соединений и подозрительной активности, получать оповещения о подозрительных событиях, создавать собственные правила (группы доверенных источников, IP-адресов), и всё это для интернет-серверов. Благо, большой опыт консультирования по вопросам безопасности и свой CISSP специалист в штате позволяли это сделать.
После создания, имплементирования и работы системы на наших проектах мы подумали, что, возможно, кто-то столкнулся с похожей проблемой и находится в поисках простой и эффективной IDS. Выдвинули гипотезу, что такая система будет интересна не техническим людям, имеющим малый/средний бизнес, построенный на работе их web-приложения. И, собственно, пошли в народ проверять нашу гипотезу.
Мы не ожидали очень высокого интереса к вопросам web-безопасности у данной аудитории, но, как оказалось, интерес к этой теме отсутствовал вовсе.
“Web-безопасность? Нет, не слышали” – так можно охарактеризовать их подход. Найденные и представленные им уязвимости их никак не мотивировали. То, что их приложения работают с персональными данными их клиентов и, как следствие, требуют особой защиты, тоже не стало мотиватором. Заинтересованными представителями данной аудитории были только те, кто сам приходил за помощью после реального взлома. «Это может коснуться всех, но не меня» — думают собственники и игнорируют меры по профилактике/предотвращению угроз.
Поразмыслив над всем этим, мы перешли к формированию другой гипотезы. Текущая гипотеза такова, что в использовании системы обнаружения вторжений могут быть заинтересованы техлиды, CTO (Chief Technology Officer) или CIO (Chief Information Officer) в средних и крупных IT-компаниях (стартапах или близких к IT: новостные порталы, туристические порталы, системы онлайн бронирования и др.)
Но перед этим хотелось бы вообще в принципе проверить уровень осознания у IT-сообщества того, что web-безопасность важна и необходима (так называемая security maturity). И просим неравнодушных хабровчан поучаствовать в исследовании ниже: «Web-безопасность. Кому это нужно?»
Спасибо за внимание!
Денис Колошко, CISSP
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
1. Вы работаете в…?
9.62%Outsourcing IT-компании10
43.27%Продуктовой IT-компании45
9.62%Web студии (разработка сайтов)10
2.88%Digital маркетинг агентстве3
40.38%другое42
Проголосовали 104 пользователя. Воздержались 11 пользователей.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
2. Размер компании:
19.8%1-10 человек20
8.91%11-20 человек9
14.85%21-50 человек15
14.85%50-100 человек15
41.58%Свыше 100 человек42
Проголосовал 101 пользователь. Воздержались 10 пользователей.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
3. Ваша должность
3.13%CEO3
7.29%CTO7
2.08%CIO (chief information officer)2
36.46%Senior developer35
13.54%Junior developer13
7.29%QA7
0%BA0
1.04%PM1
5.21%Sales/business development manager5
32.29%другое31
Проголосовали 96 пользователей. Воздержались 9 пользователей.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
4. Вопросами web-безопасности в Вашей компании обычно занимается…
25.27%отдел/сотрудник, занимающийся только вопросами безопасности23
47.25%время от времени штатные разработчики43
3.3%отдаем вопросы безопасности на outsource3
24.18%да никто этим вообще не занимается22
Проголосовал 91 пользователь. Воздержались 13 пользователей.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
5. Какие security инструменты Вы используете и считаете обязательными для защиты серверов?
87.65%firewalls71
29.63%IDS24
20.99%IPS17
12.35%SIEM10
80.25%SSL65
60.49%VPN49
40.74%и другие33
4.94%никакие4
Проголосовал 81 пользователь. Воздержались 17 пользователей.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
6. С помощью какого инструмента Вы отслеживаете, не была ли взломана Ваша система?
14.29%IDS (Intrusion Detection System)11
1.3%IPS (Intrusion Prevention System)1
37.66%Ручной анализ логов29
44.16%Ничего не используем (а надо было бы)34
2.6%Нас это не волнует2
Проголосовали 77 пользователей. Воздержались 16 пользователей.
Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
7. Слышали ли Вы что-нибудь о GDPR?
4.88%Да, конечно, уже привели в соответствие с регламентом свои системы4
14.63%Да, будем стараться соответствовать12
24.39%Да, но нас это не касается (не работаем с клиентами из EU)20
17.07%Что-то слышали14
39.02%Нет, а что это?32
Проголосовали 82 пользователя. Воздержались 11 пользователей.