Использование услуг хакеров, соблюдающих этические нормы, - доводы за и против
Анонимный автор, который в настоящее время работает в некоей компании "белым хакером", считает себя специалистом, хорошо разбирающимся в вопросах обеспечения безопасности. Статья начинается со страшных проклятий в адрес крупных производителей ("денежных вампиров"), потерявших совесть и провоцирующих корпоративные информационные службы на покупку дорогостоящих средств распознавания вторжения извне, которые вовсе не являются предметом первой необходимости. Взамен этого предприятиям предлагается укрепить внутреннюю систему безопасности за счет приема на работу "немало повидавших на своем веку компьютерных хулиганов" и создания собственной хакерской службы. Если же нужного результата добиться не удастся, придется воспользоваться услугами специализированной фирмы ("попробуйте потанцевать с дьяволом"). В заключение автор дает несколько советов по оформлению контракта с цивилизованными хакерами.
Откровенно говоря, мы согласны примерно с 80% содержания статьи, которая может стать хорошим импульсом для обращения корпоративных пользователей к внешним организациям, специализирующимся на вопросах информационной безопасности. Однако нам кажется, что автор специально выбрал несколько стереотипных ситуаций, анализ которых ясно показывает его негативное отношение к крупным консалтинговым компаниям. Мы сами работаем в одной из таких организаций и знаем существо дела, но обещали не раскрывать подробностей. И все же хочется сказать несколько слов об обманчивости подобного восприятия.
В статье говорится о том, что консультанты по вопросам безопасности имеют дело с богатыми и имеющими весьма слабое представление о данной предметной области клиентами. Доверчивые пользователи, прочитав в новостях о взломе очередной компьютерной системы, начинают задумываться об уязвимости своей сети и срочно ищут деньги, понимая, что в их программном обеспечении слишком много дыр, а корпоративная политика безопасности фактически не определена. Масса времени тратится на разработку стратегии и создание необходимой инфраструктуры, после чего по прошествии определенного срока все в очередной раз повторяется в той же последовательности.
Поначалу автор пытается отрицать возможность получения еще кем-то хороших денег за реализацию подобного проекта (правда, затем речи об этом уже не идет). Но в любом случае заказчикам придется идти на определенные расходы. Утверждение о том, что консультанты не слишком заботятся об интересах своих клиентов, поскольку к ним в руки плывут огромные суммы, в большинстве случаев неверно. Делать большие деньги в окружении талантливых конкурентов, наводнивших рынок, совсем непросто. (С подборкой информации о ведущих компаниях и об их отношении к "этичным" хакерам, можно ознакомиться в Web по адресу http://www.infoworld.com/cgi-bin/displayTC.pl?/990208comp.htm.) Цены на конкретные услуги диктует рынок, а вовсе не неосведомленность клиентов и не воображаемый пистолет, приставленный к чьей-то голове.
Что касается реальных аргументов, они давно известны. Во сколько обойдется проведение экспертизы по безопасности и не лучше ли выполнить ее своими силами? Мы абсолютно согласны с автором в том, что внутренний анализ системы безопасности настоятельно необходим, но не считаем его панацеей от всех бед. Прежде всего хотелось бы отметить: те, кто считает, что "привлечение собственных талантов обойдется дешевле по сравнению с огромными расходами на оплату услуг внешних организаций", как правило, заблуждаются. Интересно, знают ли они, во сколько обойдется нанятый в штат компании хакер при современном уровне зарплат подобных специалистов? Во-вторых, даже если вам удастся заполучить талантливого взломщика на полный рабочий день, все равно по эффективности труда он никогда не сможет конкурировать с хорошей компанией. Непредвзятое отношение к третьим фирмам - один из основных принципов построения систем безопасности, известный еще со времен публикации работы Дэна Фармера, в которой впервые был обобщен накопленный "этичными" хакерами опыт. Полагаться только на собственные силы в данном случае равносильно самоубийству.
В рассматриваемой статье автор указывает, что главное преимущество обращения к "хакерам в белых шляпах" заключается в получении необходимых знаний сотрудниками компании-заказчика. На наш взгляд, подобный довод лишь повышает значимость консалтинговых фирм, занимающихся вопросами безопасности. А что по этому поводу думаете вы? Сообщите нам, пожалуйста, свое мнение по адресу security_watch@infoworld.com.
Стюарт Макклур - старший менеджер, а Джоэл Скамбрей - менеджер подразделения Information Security Services компании Ernst & Young. В течение последних девяти лет они изучали и проектировали системы безопасности в научных, коммерческих и правительственных организациях.