С ИБ всё пошло не так. Пороки кибербеза от избытка финансирования

[Zalechi]

Очень хорошо, что на Хабре за последние годы появляется много таких критических статей/мыслей.

По сабжу согласен может не на все 100%, но ну 95% — точно!

Строится внешний контур защиты , внутренний. Строится культурный код поведения сотрудников. В какой момент все это сломалось и на каком уровне — не знаю, уже давно не в теме.

[Grand_piano]

Эээххх, если бы всё было так просто. Всё сломалось в момент, когда бизнесу стало плевать на качество кода и начали гнать фичи. Когда протоколы совершенно не готовые к массовому применению развернули тотально, а потом начали приделывать к ним костыли, а не предложили в начале остановиться и хотя бы немного подумать о том - а как дальше.

[Zalechi]

💯

[AlexUl]

Три кита: технологии - люди - процессы. И не спорю что процессы не редко отстают, а технологии превалируют, но происходит это не от хорошей жизни.

На каждую "превентивную галочку" найдется бизнес-процесс который она сломает и бюджетодержатель встанет перед выбором: потратить ресурсы на то чтобы перестроить работающий процесс (а там может понадобится закупить новые системы, нанять аутсорс на доработку, переобучить сотрудников, изменить взаимодействие с контрагентами и т.д., и т.п.) который приносит компании деньги или принять риск обойтись мониторингом и реагированием.

Еще есть спорт между ИТ и ИБ, когда первые доминируют над вторыми и устанавливают правила игры по типу "делайте свое безопасно так чтобы нам ничего не надо было менять и не мешало".

Когда безопасность достигнет сопоставимой получению прибыли значимости для владельцев бизнеса, тогда мы сможем увидеть рост развития процессов и, в частности, харденинга как одного из основ.

[retab]

Наглядный пример эффекта Даннинга-Крюгера в действии.

ИБ не может быть бесплатной. Чем больше мы экономим на софте, тем больше нужно вкладывать в персонал, который работает с этим софтом. Его настройку. Поддержание работоспособности. А для этого нужны как соответствующие навыки, так и умения. Купить и настроить коммерческий продукт это одно. После его обслуживать сможет даже студент. Поставить что-то open-source с нуля, правильно его настроить, поддерживать в работоспособном состоянии, постоянно обновлять и исправлять баги - тут даже сисадмин с десятилетним опытом может не справится.

Утверждение, что "запрет на запуск посторонних программных файлов" решает все проблемы в корне неверно. А как же использование легитимных системных утилит таких как PowerShell, WMI, certutil и т.п.? А как же безфайловые вирусы? А как же уязвимости в разрешенных exe файлах? Тот же блокнот, калькулятор и word? А как же в целом компрометация легитимного софта? А как же атаки банальными макросами в тоже же word? "Запрет на запуск посторонних программных файлов" в корне рушит всю логику ведения бизнеса. ИБ существует для защиты бизнеса, а не для его удушения.

Также хочу заметить, что ни одна превентивная мера не даёт 100% защиты. Всегда нужен комплексный подход. Превентивные меры + Детектирование + Реагирование + Восстановление.

А теперь вспомним Аэрофлот. Зачастую их специализированное ПО даже под характеристику legacy не подходит. Скорее это что-то мумифицированное и плохо дышащее нечто. Но оно работает и аналог такому софту просто нет. И как вот такой софт "подружить" с современными механизмами харденинга?

И самое главное, что было упущено. Намеренно или нет я не знаю. Человеческий фактор вот главный источник всех инцидентов. Большая их часть связана с ошибками людей. Если человек слаб в ИБ, но в своей сфере он ценный кадр, то проблема ИБ это не его проблема. Это проблема безопасников. Если топ приносит милионную прибыль организации, но он не может запомнить, что нельзя запускать exe файлы из почты. То это не его проблемы, это проблемы безопасников. И руководитель будет именно на это давить.

В целом это статья несет больше вреда, чем пользы. Она дезинформирует о реальной стоимости ИБ. Она упрощает сложные проблемы до каких-то примитивных решений. Создаёт ложную уверенность в достаточности одного подхода, который с точки зрения автора является единственно правильным решением. Статья игнорирует регуляторные требования и реальные кейсы. И в целом она демонстрирует непонимание современного ландшафта угроз

[Zalechi]

Автор говорит, что малый и средний бизнес не тратит деньги даже на примитивную безопасность.

[AdrianoVisoccini]

согласен на 100%

У меня ещё в процессе прочтения возникла мысль, что никто из тех, кто пропагандирует как автор говорит "мониторинг и реагирование" при этом не говорит, что нужно исключить все остальное. Как будто, мониторинг и реагирование вступает в силу, когда все остальные, базовые вопросы уже закрыты

[noldo32]

Но про все остальные по факту даже не вспоминают. С кем ни говоришь на конференциях про блокировку запуска произвольных программ у клиентов, у себя - нет, не слышал. То есть базовые вопросы массово не закрыты, а в инфопространстве нет идеи их закрывать. Поэтому всякие клоуны из APT групп своими школоло поделиями делают победное шествие по вроде бы серьёзным компаниям. Позор!

[JCD3nt0n]

Та же упомянутая в статье Evo.industry 2025 указывает, что основная аудитория — это всевозможные директора, которые и сами не знают, как у них всё устроено. Крупные компании используют харденинг, но это не панацея, как уже отметили выше. Есть достаточное количество легитимных и идущих из коробки утилит, которые позволяют обойти ограничения того же SRP или noexec (в случае Linux) и закинуть нужный софт туда, откуда можно. Если уж вспоминать про атаки тех же ransomware-групп, то они первоочередной целью ставят получение доступа к контроллеру домена, а там уже с правами администратора домена их уже сложно будет остановить. Атак на протокол Kerberos в AD существует достаточно, и вот чтобы их вовремя ловить и нужен мониторинг, причём речь не только про сами логи, но и правила детекта этих атак. Но это такой взгляд со стороны линуксоида, которому коллеги-эксперты по Windows показывают атаки на неё. Впрочем, у нас в Linux хватает своих особенностей и векторов атак, что даже 100% исполнение того же CIS DIL ничего не даст — скорее всего, система уже будет ему соответствовать в большей степени уже из коробки, ибо в стандарте уж совсем дикие мисконфиги. И вот для детекта атак на Linux снова нужен мониторинг, и снова нужны правила и детекты, которые не всегда бесплатно лежат в паблике, а те что есть, скорее всего, будут фолзить, так как система даёт возможности решать задачу множеством разных способов.

[noldo32]

Запуск легитимных утилит, применяемых для обхода, нужно блокировать, а ещё можно фильтровать их аргументы, чем вендоры в упор не хотят заниматься.

[JCD3nt0n]

И как вы себе это представляете? Легитимные на то и легитимные, так как используются другим ПО для работы на конкретной системе. Мне легче рассуждать про тот же Linux, и там есть куча зависимостей, запуск того же bash и других командных интерпретаторов, python, возможно где-то даже perl остался. И вот теперь прикол — разрешая те же bash/python/perl вы по сути разрешаете запуск любого кода, так как не существует механизмов, позволяющих корректно это контролировать. Выстрелить себе в ногу тут очень просто. Фильтрация аргументов — это задача ещё сложнее, так как даже у разных версий одной софтины они могут быть разные, это дополнительно осложняется тем, что опции в аргументах могут идти в любом порядке, плюс могут агрегироваться, а также иметь краткую и полную форму. Тут выстрелить себе в ногу ещё проще, чем очень просто. И самое смешное, что это в итоге не поможет, так как существуют пути безфайлового запуска (то есть пути к исполняемому файлу нет, аргументов тоже) или ещё более продвинутые техники по инъекции кода в уже существующий процесс. В общем, вариантов достаточно и это не то чтобы какая-то недоступная массам технология — рабочих экземпляров достаточно лежит в паблике.

[Cas_on]

Запахло обидой ИТ на ИБ....

Почему-то часть системных администраторов считает, что для безопасности достаточно правил на МСЭ (а иногда и просто ACL на внешнем роутере) на внешнем периметре и антивируса (чаще касперского) на АРМах (и иногда на серверах). Ну и иногда ставить обновления (часто вообще не ставят - и гордяться тем, что сервера виртуализации работают годами без перезагрузки).

А потом удивляются, когда прилетает шифровальщик и деятельность предприятия встает колом.

Да, большую часть мероприятий ИБ можно и нужно делать бесплатно. Но ИБ это комплекс мероприятий, а не только закупка СИЕМ/СОК/ЕДР и прочих тех. средств.

[Bagatur]

Нет ничего дороже в ИБ, чем использование бесплатных решений. Потому что:

1. Поддержка упирается в квалификацию администратора этого решения. И если по коммерческим хоть как-то можно при наличии проблем клевать мозг вендора, то для опен-сорса, в лучшем случае - комьюнити. Где внятная поддержка = та ещё лотерея.

2. Бесплатное решение ограничено в функционале. Чаще всего. Потому что пишется подь чью-то конкретную хотелку, и далеко не факт, что эта хотелка учитывает все возможные риски, которые должны закрываться решением. А отсюда - неучтённые дыры в защите.

3. Квалифицированный специалист по работе с опен-сорсом стоит очень дорого. Потому что очень редок. Это не ткнуть сетап-далее-далее-готово. Это ещё и нередко бессонные ночи в поисках багов в самом решении, что дано не каждому. И да, этот специалист должен быть не просто квалифицирован, а широко квалифицирован. И как админ, и как сетевик, и даже как разраб.

Недавно вот обосновывали вопрос приобретения системы анализа конфигураций сетевого оборудования. Положено такое делать (обязательные требования "сверху"). Примерный объём - несколько сотен единиц сетевого оборудования. МСЭ, коммутаторы (которые в L3 умеют), маршрутизаторы... Разных брендов. Общее количество строк конфигов - десятки тысяч. Руководство предложило написать самостоятельно. Угу. Дали разрабам ТЗ... Они икнули и отказались. Потому что для написания такого разрабу надо быть весьма просвещённым не просто в сетевых технологиях, а ещё и в конкретных тонкостях конфигурации железа разных производителей, разных моделей, разного назначения. Да, грамотный сетевик за относительно короткое время способен переучиться, условно, с Cisco FirePower на Palo Alto, но не за время щелчка пальцами. и он не разраб. А разобрать тот хлам в конфигурации, который могла оставить толпа его предшественников - дело не одного дня, и часто даже не одной недели. А потом синхронизировать, условно, ACL на файрволле с ACL- ми на десятке L3 коммутаторов (а такое вот тоже обязательно, ибо даже внутренние сети не должны ходить друг другу "в гости" как попало), и чтобы это всё не создавало дыр и, наоборот, непредвиденных затыков...

И это только одна из множества задач в ИБ.

Люди, процессы, модель рисков, да, это правильно, это замечательно. Но когда в сети десятки серверов с необновляемыми операционками (потому что там крутится Очень Важный Софт, разраб которого уволился н-лет назад, а новые это переписать под новые ОС не находят времени) - тут приходится "нашлёпывать" к этим серверам кучу обвязок, хоть как-то прикрывающих их от "неприятностей". А то ещё и хвалёные разрабы, как дети в рот, тащат в свои разработки библиотеки с гитхаба, не проверяя. Да чихать эти "небожители" хотели на соблюдение процессов ИБ. У них скрам, кипиай, и бонусы. Остальное их не интересует.

[noldo32]

Встроенные средства защиты есть (те же ACL и политика SRP в AD) и они бесплатны. Сначала надо использовать их, а потом всё остальное, вот о чем речь. И прикрывать сервера надо независимо от того, обновлены там операционки или нет. Вот чем отличается мой подход с zero trust от критикуемого. Тогда роль обновленности снижается, а вследствие этого - исчезают траты на замену оборудования.

[Anywake]

Оно не бесплатно, OS Windows стоит много денег :)

[kira_clover]

А теперь попробуй:

1. Запретить всем всё что можно, чтоб тебя не выгнали с матами

2. Запретить всё системе (особенно rootу)

3. А потом оперативно администрировать эту инфраструктуру

[noldo32]

Пробовал 1 и 3 - вообще отлично, бизнес не замечает ограничений годами ) Администрирование усложняет только сегментирование сети, но про него даже "проплаченные" спецы ИБ говорят что оно надо )

[Anywake]

Маты то будут, но нужно разговаривать с руководcтвом на языке денег, это помогает. Там, простой стоит столько то тыщьььь деняк в день, а средство вообще бесплатно :)

Если оно, руководcтво, этого не понимает, проще, наверное, уволится чем потом крайним быть.

[noldo32]

А ещё та безопасность которые строят эти <матом> с CISO, SOK но без запрещающих настроек стоит столько-то лярдов и всё равно их шифруют. А тут бесплатно.

[chaynick]

Нет ничего проще чем трепать языком. Есть такая поговорка - любой человек может построить систему безопасности которую он сам не сможет преодолеть. Ключевое - он сам.

Покажите класс - выложите золотой образ пользовательской машины настроенной как вам угодно и которая будет способна выполнять базовые функции корпоративного ПК - печать и набор документов, веб-серфинг, корпоративные средства связи, работа с почтой, сетевая шара. Можно даже без роли администратора, который как бы должен быть, и выполнения задач ребят вроде разработки.

Ну а мы посмотрим по фактам что получилось.