LINUX.ORG.RU

Экономически оправданные способы обеспечения безопасности.

 , ,


0

3

Что дешевле: купить лицензию на хороший секюрный дистрибутив и к нему техническую поддержку или взять бесплатную версию дистрибутива без технической поддержки и купить программу, которая будет отлавливать попытки эксплуатации его уязвимостей?

Так же предполагается что уровень безопасности в обоих случаях будет одинаков и будет удовлетворять достаточно высоким требованиям.

Примером первого может служить RedHat продающая поддержку одноимённой операционной системы.
Примером второго может служить "Антивирус Касперского" для ОС Windows, которая хотя и платная, но индивидуальное администрирование компьютера, сети или домена компьютеров в пакет её услуг как я понимаю не входит.

Лично я думаю что первое дешевле, а второе при должном качестве будет эквивалентно первому, но по более высокой цене.

Тема сделана по следам вот этого моего поста и его упоминания fsb4000 в новости Kaspersky обнаружила версию вымогателя RansomEXX для Linux (комментарий)

Так же предлагаю вынести за скобки такие очевидные вещи как бекапы и страхование рисков, так как предполагается что есть реальные основания для создания дополнительных мер защиты.
Минимальный пример система контроля допуска по электронным пропускам, электронные биржи, сервера складского учёта.

★★★★★

Последнее исправление: torvn77 (всего исправлений: 5)

Чё? Ты можешь привести какой-то пример того, что ты безуспешно пытался спросить?

zabbal ★★★★★
()
Ответ на: комментарий от Minona

Ну положим страховщик требует принятия минимальных, но реальных мер безопасности.

Во вторых речь идёт о защите сервера с важными данными или простой которого по тем или иным причинам неприемлем даже если есть страховое покрытие рисков.

torvn77 ★★★★★
() автор топика

а) Если ты используешь пиратский маздай, то с т.з. безопасности ты делаешь что-то не так. Если маздай лицензионный, то у тебя будут обновления безопасности и поддержка.

б) Обеспечения безопасности от чего? Обеспечивают безопасность от спектра угроз которые надо для начала определить. В новости по ссылке речь про целевые атаки на крупные компании, от таких угроз будут защищать не дистрибутивы, а отделы ИБ.

pru-mike ★★
()
Ответ на: комментарий от pru-mike

Если маздай лицензионный, то у тебя будут обновления безопасности и поддержка.

Как я понимаю маздай не имеет поддержки "под ключь", во вторых части функционала в маздае как таковом может просто отсутствовать, например там нет предотвращения угроз на основе поведения программы, а если и есть то пользователь его настраивает сам(ну или нанимает админа)

И вот вопрос, что дешевле, купить админа или типовое средство автоматизации административных процессов(антивирус как его понимают виндузятники)?

torvn77 ★★★★★
() автор топика
Последнее исправление: torvn77 (всего исправлений: 2)
Ответ на: комментарий от pru-mike

Если ты используешь пиратский маздай, то с т.з. безопасности ты делаешь что-то не так.

Пиратские маздаи тоже могут обновляться, смотря что за вариант

Но есть юзкейс проблем безопасности в случае лицензионного мастдая и другого софта - риск деанонимизации созданных документов, если в них вставляется уникальный номер, так или иначе прчмо или косвенно связанный с лицензией

anonymous
()

безопасность это процесс. чем больше дохода связано с информационными технологиями тем больше надо вкладываться в информационную безопасность.

jura12
()
Ответ на: комментарий от jura12

Это понятно, вопрос про то, во что вкладываться: в изучившие различные механизмы Linux команду или в количество и уровень лицензий Касперыча?

torvn77 ★★★★★
() автор топика
Ответ на: комментарий от torvn77

в изучившие различные механизмы Linux команду

или в количество и уровень лицензий Касперыча?

Антивирусник это тупик в плане защиты системы. Для сканирования входящего трафика, флешки пользователя - антивирус необходим.

Бесплатный clamav с сторонними базами даст >80% (можешь у меня купить его настройку с сторонними базами и проксею)

Очень хорошие комерческие антивирусы дадут >90-95%

Саму систему антивирусное не защитит. Здесь надо смотреть в сторону LKSP, Grsecuriti, Integrity (Secure boot + IMA/EVM дадут 100% защиту системы), DAC, CAP, MAC…

Надо понять, что антивирусник и OS друг друга дополняют.

MAC, CAP - дорогие, остальное может потянуть нормальный админ.

В РФ запрещено разрабатывать безопасные OS, - на 5 лет могут посадить.

anonymous
()
Ответ на: комментарий от torvn77

Антивирусы проиграли 5 лет назад. Сейчас они добавляют лишь лишний attack surface.

хороший секюрный дистрибутив

Это не так работает. RHEL не даст большей безопасности чем centos. И в любом случае в масштабе компании тебе нужны будут люди, а не купленная поддержка. Если только ты не собираешься полностью зависеть от облака, тогда есть варианты.

x3al ★★★★★
()
Последнее исправление: x3al (всего исправлений: 1)
Ответ на: комментарий от torvn77

типовое средство автоматизации административных процессов(антивирус как его понимают виндузятники)?

А политики в том же Kaspersky будет настраивать пользователь? Не, ну если пользователь МОЖЕТ заменить администратора(и готов тратить на это время), то очевидно что он и есть админ и нанимать отдельного человека не надо.

Короче я так и не понял в чём твой вопрос, ибо ты сравниваешь теплое(поддержку дистрибутива) с мягким(дополнительное защитное ПО).

Меры, которые необходимо принимать для защиты информации зависят от конкретной модели угроз. Считать что-то сферическое в вакууме ни один безопасник не будет - это как админа попросить сделать идеальную сеть, не озвучив к ней никаких требований, кроме ее идеальности...

Pinkbyte ★★★★★
()
Ответ на: комментарий от Pinkbyte

Короче я так и не понял в чём твой вопрос

Вопрос о оом, какая экономическая схема победит:дистростроители с платным дистром с секюрными настройками по дефолту, которые будут ослабляться в нужных клиенту местах(во, к стати я годную модель монитизации придумал!) или модель гдевместо секюрных настроек в фоне будет болтаться программа следящая за другими программами и блокирующая или на оборот разрешающая ту или иную активность.

То есть, положим мне не надо чтобы из точки монтирования /example запускались какие либо программы, и вот два способа решения этой задачи:

  1. классическое линуксовое администрирование:
    смонтировать /example с опцией noexec.
  2. решение в стиле виндавозного антивируса:
    подменить в ядре вызов fork() или exec() или как там их правильно зовут и проверять патч вызывающего их бинарника и патч запускаемого бинарника и если начало пути к нему совпадает с /example то вместо форка или запуска процесса убивать все процессы запущенные с использованием вызвавшего эти функции бинарника.
    При этом пользователь сидит под рутом и никто не пытается поставить на /example опцию noexec.
    И да. пользователю выводится окошко с надписью мы предотвратили вторжение на компьютер из папки /example

И вот вопрос, какая из этих схем в итоге победит.
Ну и попутно с этим вопросом я пытаюсь объяснить ЛОРовцам разницу в том, как антивирус понимает пользователь линукса и как антивирус понимает пользователь винды.
Например гуй для настройки iptables c точки зрения вендоюзера вполне может быть частью антивирусного пакета.
Делаю же я это потому что из-за непонимания этой разницы ЛОРовцы неправильно отвечают на вопрос вендузятников о антивирусах под линукс, никого этот Clamave не интересует, им надо основы администрирования, AppArmore, iptables, квоты, настройки менеджера процессов и прочие подобные вещи для контроля за системой.

А Clamave с точки зрения вендоюзера это только первая, передовая линия антивирусной обороны компьютера на которой отлавливается только давно изученное старьё, настоящий антивирус по поведению процесса поймёт что он ищет или даже нашёл уязвимость нулевого дня и срочно убьёт процесс, и чтобы делать всё это накладывает на ядро всякие патчи.
Но и это только одна из функций антивируса с точки зрения виндузятника.

torvn77 ★★★★★
() автор топика
Последнее исправление: torvn77 (всего исправлений: 2)

Шапка и так бесплатная. Зачем за нее платить? Тем более, сомневаюсь, что кто-то осмелится пройти через твою цитадель до твоего ПК, чтобы проверить нарушение лицензии.

chenbr0
()

Экономически оправданные способы обеспечения безопасности

  • не пользоваться виндой и по возможности избегать всего, что с этим связано
  • избегать (минимизировать) использование закрытых решений (closed source)
  • по возможности использовать web-решения
  • не допускать SQL-инъекций
  • публичные репозитарии исходного кода, с живыми коммитами и хэшами
  • децентрализация и децентрализованная инфраструктура разработки
  • профессионализм
  • обучение
  • документация
  • постоянное тестирование, интеграция, бенчмарки, нагрузочные и стресс тесты
anonymous
()
Ответ на: комментарий от torvn77
  1. классическое линуксовое администрирование: смонтировать /example с опцией noexec.
  1. решение в стиле виндавозного антивируса:

И вот вопрос, какая из этих схем в итоге победит.

К 2 относится:

Trusted Path Execution (TPM)

Integrity (в /example не устанавливаем security.ima, а в политике требуем проверки всего перед исполнением)

DAC: chmod -R a-x,a+X /example (аккуратно!) и используем нормальные дистры, которые не дадут запустится при нормальных правах.

MAC: написать правила.

Все это не антивирус, а система. И необходим администратор для настройки системы. Это неизбежная необходимость. Она была есть и будет.

Антивирус это ПО которое по запросу или при доступе проверяет на наличие вирусов по антивирусной базе. Примеры антивирусников:

ClamAV

YARA

Snort

Suricata

Ко всем выше перечисленным антивирусам необходимо настроить обновление базы сигнатур вирусов. Базы сигнатур есть платные и бесплатные… Антивирусы блокируют доступ, некоторые лечат, при совпадении сигнатуры с их базы или сработает эвристики.

Применяются антивирусников не для системы (для системы есть Secure BOOT + Integrity IMA/EVM), а для флешек, входящего трафика, дисков смонтированных на запись: /home /tmp /vat/tmp …

anonymous
()
Ответ на: комментарий от chenbr0

страхование от киберрисков.

https://www.aig.ru/business/products/cyber-edge

Перерыв в производстве, повреждение имущества, ответственность товаропроизводителя и телесные повреждения

телесные повреждения

anonymous
()

Очевидное

Сумма состоит из минимум 3 частей, цены 2 из которых локалны, определяющи, но не упомянуты – человеков и факапов.

DonkeyHot ★★★★★
()
Ответ на: комментарий от torvn77

Дуралей, тебе пишут:

  1. Для кого защита?
  2. От кого защита? ….
anonymous
()
Ответ на: комментарий от vertexua

Не существует «уровня безопасности»

Если хочешь то можешь считать это речевым оборотом, пришедшим в русский из английского языка, который не имеет определения, но тем не менее передаёт какой-то понятный использущим его людям смысл.
Ну в общем по смыслу это ближе всего к id конкретного найденного кластера, который выделили при кластеризации данных.
(если не знаешь что такое кластерный анализ то посмотри в поисковике)

Так вот, был, а может и сейчас есть в drakconf’е мандривы выпадающий список, который предлагал поменять уровень безопасности системы, если хочешь то можешь поставить этот дистрибутив на флешку и посмотреть как то, что по твоему мнению не существует влияет на работу операционной системы.

torvn77 ★★★★★
() автор топика
Последнее исправление: torvn77 (всего исправлений: 3)
Ответ на: комментарий от Pinkbyte

Меры, которые необходимо принимать для защиты информации зависят от конкретной модели угроз.

Понятие «модель угроз» придумали маркетологи, чтобы впаривать лохам равно в обмотке «безопасности».

Многие OS, включая Винду, не смогли сертифицироватся на минимальный уровень безопасности C1 и их маркетологи рассказывают клиентам сказки о моделях угроз.

Есть только прейскурант цен на уровни безопасности.

anonymous
()
Ответ на: комментарий от vertexua

Ты не прав, именно уровни безопасности существуют, а модели угроз нет.

anonymous
()
Ответ на: комментарий от anonymous

Вы уже пятый ЛОРовец который вместо того, чтобы понять написанное, объясняет мне то, что с точки зрения линуксоида означает слово антивирус.

Какая разница что и как линуксоид считает правильным, если речь о человеке пришедшим из другой экосистемы с представлениями о мире этой другой экосистемы и о традициях написания софта сформировавшимся в этой совершенно другой экосистеме.

Ты можешь сколько угодно писать мне о правильном смысле слова антивирус, но когда виндузятник осваивая линукс будет спрашивать про антивирус то он будет иметь виду нечто совершенно другое, а не то, что правильным считаешь ты.

И пользователь пришедший с винды будет искать концептуально близкие ему продукты, а не то, что считаешь правильным ты.

И фирма по написанию софта пришедшая вслед за ними с винды в экосистему линукса будет писать софт не правильно, а в традициях сформировавшей её экосистемы.

И если ты будешь им говоритт что антивирус линуксу не нужен и не будешь им объяснять то, что то, что они в своей системе привыкли называть антивирусом на линуксе разделено на несколько независимых программ с совершенно не пересекающимися функциями и что ища или разрабатывая антивирус надо с ними работать то они просто будут делать именно то, к чему привыкли, превращая ОС в неподдерживаемый бардак, и ты будешь вынужден этот бардак принять, потому что у этих пришедших в линукс вендопользоватей просто больше денег и там где у линуксойдов один программист они просто наймут десять, а то и двадцать джунов, и произ водители железа будут ориентироваться именно на них, просто потому что они платят за услуги и продукцию больше, чем линуксойд.

И если ты не будешь им объяснять как правильно то они вполне спрсобны перестроить линукс на свой лад.

torvn77 ★★★★★
() автор топика
Ответ на: комментарий от torvn77

Есть именно уровни безопасности за которые ты платишь. Это прейскурант цен на безопасность. Формально описан DoD US в 1983 году:

Что должен знать специалист ИБ на старте (комментарий)

Что должен знать специалист ИБ на старте (комментарий)

Если товой каталог /example защищен:

C1: DAC + по запросу сканирование (IDE).

C2: C1 + аудит + …

B1: C2 + MAC + …

A1: B3 + Integrity при доступе + …

Каждая технология безопасности имеет свою цену, это и есть формальный прейскурант цен на безопасность.

MAC очень дорогой, математическая верификация кода и моделей - запредельно дороги, верификация железа и его производство дороги даже для РФ. На остальное сможешь деньги наскрести.

anonymous
()
Ответ на: комментарий от torvn77

И если ты не будешь им объяснять как правильно то они вполне спрсобны перестроить линукс на свой лад.

Я вообще никто.

В 1960-тых математики сели и придумали как все должно быть правельно (малтикс). В USA их поблагодарили но сказали что у человечества нет столько ресурсов, дешевле Луну освоить. В СССР их посадили в тюрьму, ибо управление должно быть в КПСС, а не в вашей непонятной машине с циферками и буковками!

Сильно кастрированный вариант малтикса в USA назвали (UNIX) и в 1970 наскребли деньги на портабельну реализацию. В 1983 в оранжевой книге ввели сертификацию OS чтобы было понятно всем за какую безопасность они портят деньги.

CC с понятиями типа «модель угорз» - от лукавого.

Сертификаты ФСБ, МО, ФСТЭК в теории должны отображать уровни безопасности, но они ее не поняли и по факту, вместо безопасности, отображают масштаб мозгоебства.

Сертификаты Китая и ЕС тоже далеко от реалий.

При покупке, за минимум я бы брал сертификат POSIX. Некоторые дистры Linux POSIX держат, но далеко не все.

произ водители железа будут ориентироваться именно на них,

Производители железа в общем пока помогают. Добавляют необходимые инструкции для безопасности, например NX.

Не в них проблема. Для нас в РФ проблема в экспортных ограничения в USA… Именно они влияют на безопасность нашего ИТ. И патриотизм здесь не поможет.

anonymous
()
Ответ на: комментарий от torvn77

На практике, по факту у тебя будет то что купишь: или Винду, или Unix, или впарят какую-то энтерпрайз хрень под твою «модель угорз».

anonymous
()
Ответ на: комментарий от anonymous

Не в них проблема. Для нас в РФ проблема в экспортных ограничения в USA… Именно они влияют на безопасность нашего ИТ. И патриотизм здесь не поможет.

Это решается очень просто: весь софт осуществляющий государственный документооборот и документооборот частных, но стратегически важных фирм и организаций должен быть таким, чтобы он мог работать на машинах собранных из чипов сделанных по имеющимся у нас техпроцессам.

То есть если уровень нашего IT это процессоры работающие на частоте 40 мегагерц то значит наш офисный редактор это mcdit и вся бухгалтерия должна писаться на tk/tcl/awk и это должен знать и уметь каждый работающий в муниципалитете дворник.

Ну и интернет, в частности gosuslugi.ru должны использовать только статичный html и обязательно полностью работать в браузере lynx.

Надо жить по средствам и всё.

torvn77 ★★★★★
() автор топика
Последнее исправление: torvn77 (всего исправлений: 4)
Ответ на: комментарий от anonymous

Производители железа в общем пока помогают. Добавляют необходимые инструкции для безопасности, например NX.

Это иилюзия, на практике План SiFive по компьютерам на базе Linux и RISC-V (комментарий)

Вон на 4-й малине пытаются поднять дискретку AMD/NV. Новое вообще без вариантов, оно гвоздями к x86 прибито. Со старым тоже есть проблемы (где драйверы полностью открыты) но хотя бы из-за исходников есть шанс решить - там драйверы тоже ожидают фич х86 платформы

Что есть следствие несовсем корректно написанного кода ломающего единство системы и если тут они эту систему не слишком ломают то только потому что они дорабатывают код, основы которого были заложены до них.

С антивирусами будет иначе, я не удивлюсь если виндузятники создадут антивирус устанавливаемый в пользовптельский хомяк и запускающий через sudo или su под рутом скрипты и бинарники из пользовательского хомяка.
Да может они и своё патченное ядро оттуда же грузить будут.

И вот всё это безобразие станет нормой. Вот в чём РЕАЛЬНАЯ проблема.

torvn77 ★★★★★
() автор топика
Последнее исправление: torvn77 (всего исправлений: 7)

Что первое, что второе это способ стричь капусту с лохов.

peregrine ★★★★★
()

и и купить программу,

чё за программу?

darkenshvein ★★★★★
()
Ответ на: комментарий от anonymous

Не бывает 100% безопасности, когда у тебя железо делали левые челики и ничего про него не рассказали.

peregrine ★★★★★
()
Ответ на: комментарий от anonymous

Годный анон, но если ты паранойишь, то уровень паранойи должен быть максимальный, иначе в ней нет смысла, как в чистом поле поставить ворота и обвешивать их разными крутыми замками, а про стены, открытое небо над головой и мягкую землю в которой можно подкоп сделать забыть и не замечать, говоря что вот замок крутой, а про подкопы кто вспомнит, это же ещё и копать надо.

peregrine ★★★★★
()

Защита, это исключение потенциальных угроз. Интернет, флешки, права доступа, корень каждый день из эталонного, хомяк локально. Что винда, что линукс.

anonymous
()
Ответ на: комментарий от torvn77

вообще без вариантов, оно гвоздями к x86 прибито.

Да, есть проблема с привязкой к всяким see, mmx, avx особо в видео кодеках. Код кривой, небезопасный и в нормальных ядрах OS даже не запускается. Приходится пересобирать без асемблерных вставок.

не удивлюсь если виндузятники создадут антивирус

Система образования решает эту проблему. Вот в USA Беркли дает нормальную систему образования и результат правильная OS: https://netbsd.org/about/

«Security and memory hardening features - including PaX MPROTECT (W^X) enforced globally by default with an option to exclude binaries, among others. File integrity protection is provided by veriexec, and the traditional BSD securelevels further restrict operations that can be performed by even the superuser. ... NetBSD's kernel and userspace have undergone extensive checks by code sanitizers and automated testing.»

А у нас предложилирешили не учить школьников и студентов английскому, чтобы те за границу не выезжали...

anonymous
()
Ответ на: комментарий от darkenshvein

Очень хорошие комерческие антивирусы дадут >90-95%

эт чо?

Проценты отлова вирусов антивирусником.

80% - четыре виря ловим, а каждый пятый пропускаем.

90% - девять верей ловим, а каждый десятый пропускаем.

95% - двадцать четыре вируса ловим, а каждый двадцать пятый пропускаем.

anonymous
()
Ответ на: комментарий от peregrine

уровень паранойи должен быть максимальный

Ладно, включу на максималку и пойду в гараж делать свой проц и матплату….

anonymous
()
Ответ на: комментарий от darkenshvein

Как бы ни был хорош антивирус, но всех вирусов в его БД не будет, и все хитрые планы его эвристика при анализе бинарников не разгадает, хотя да, продраться будет очень тяжело.

torvn77 ★★★★★
() автор топика
Ответ на: комментарий от anonymous

Система образования решает эту проблему. Вот в USA Беркли

Выпускники Беркли пишут Стим и драйвера для графики?
Или их пишут те, кто суёт в исходники "всякие see, mmx, avx"?
И ТС этой темы тоже в Беркли учится?
Почему я один хватаю его за руку и прежде чем он начнёт творить объясняю ему как в линуксе устроено то, что в его родной экосистеме винды принято называть антивирусом?

Или ты думаешь что если бы антивирус в винде сводился к обнаружению сигнатур в бинарниках то он стал бы спрашивать о антивирусах как о софте, сложном в своём написании и требующем глубочайших знаний?

Ты действительно думаешь что вопрос о связке dd, бинарного diff и постгресса привела бы к написанию именно такого ОП?

torvn77 ★★★★★
() автор топика
Последнее исправление: torvn77 (всего исправлений: 5)
Ответ на: комментарий от darkenshvein

ClamAV хороший сканер, Yara тоже не плох. Они потенциально могут дать более 90% отлова. Проблема в антивирусных базах к этим сканерам и нехватки оперативы на старых компах для загрузки всех сторонних баз.

Предлагал поддерживать сообща базку в формате yara, пока без откликов.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.