![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
arkenoiПрогулялся с ![[livejournal.com profile]](https://www.dreamwidth.org/img/external/lj-userinfo.gif)
codera по выставке "Infosecurity Moscow".
Ну, что в наше время можно сказать о любой выставке? Это -- повод пообщаться, а узнать там что-то новое в рамках программы было бы странно (при наличии интернета). То есть, конечно, можно и не ходить, но интереснее сходить, потому что где еще, порой, встретишь этих людей? А на железные коробочки -- что смотреть.. они все выглядят одинаково, а узнать об их содержимом что-то неочевидное за столь ограниченное время редко удается. Ну, поговорил с представителем фирмы Checkpoint, у которого единственный аргумент за их продукцию был - "клиенты довольны". Странный аргумент, когда речь идет о продуктах для обеспечения безопасности? Ну да пес с ними. Об этом тоже ниже. Расскажу о другом.
Зашли мы на стенд Digital Security. Здесь я впервые лично познакомился с директором компании Ильей Медведовским, ранее мы не встречались. Сначала - о хорошем: посмотрели на прототип нового продукта (который заменит "Кондор" и "Гриф") для анализа рисков, соответствия сертификационным требованиям по различным стандартам и т.д. - выглядит очень разумно, позволяя свести в наглядный интерфейс все имеющиеся ресурсы, продуктивно работать с чеклистами, вот к сожалению, на текущий момент было еще не готово самое интересное - моделирование информационных потоков, но общий вид системы (кстати, теперь это web-приложение) весьма хорош и вселяет некоторую веру в то, что полная версия будет вполне достойной (хотя цена даже персональной лицензии весьма кусается). Это вот была бочка меда. А теперь будет ложка дегтя.
Нас сcodera, конечно, интересовал вопрос об одном из основных сервисов комании - аудите безопасности. И мы, конечно, стали сразу, как подошли к стенду, стали приставать к одному из сотрудников по поводу методологии.
-- Ну, сначала наши специалисты делают тест на проникновение снаружи..
Гхм, сказали мы и переглянулись.
-- А потом?
-- А потом - подключаются к сети изнутри без каких-либо привилегий с ноутбука и..
-- И все?
-- Ну да..
-- А цена?
-- Небольшие контракты нас не очень интересуют, фактически интересно, начиная от $20,000, для крупных предприятий это будет очень дорого, значительно больше..
Тут мы переглянулись просто молча, потому что слов не уже было.
Понимаете, это очень больная тема. Самое неприятное (sic!) в данной ситуции это то, что в профессионализме Ильи я не сомневаюсь ни на минуту. То есть это человек, который отлично знает, как это делается - на самом деле. И что в безопасности, пожалуй, в большей мере, чем в других отраслях IT, стоит острейшая проблема - как объяснить клиенту, который думает, что знает, как решается его задача, что он на самом деле этого не знает? Что голливудские фильмы - не лучший метод получить представление о том, чем занимаются специалисты по безопасности? Что нормальный аудит безопасности не имеет практически ничего общего с тестами на проникновение? То есть вот именно так: ни-че-го. Что ценность полученной подобным способом информации практически нулевая. И что ведущие специалисты отрасли долбят этим фактом всем по мозгам не один десяток (sic!) лет. Но люди, принимающие решения, не читают специализированные статьи - они смотрят голливудские фильмы.
Здесь очень остро стоит проблема социальной ответственности. Можно сделать, как надо. А можно сделать, как хочет клиент. Вот второго я решительно не умею - я ставлю вопрос ребром: меня позвали делать эту работу потому, что я лучше ее делаю, чем тот, кто меня нанимает. А не потому, что ему некогда, а то бы он и сам разобрался. Поэтому ни-ко-гда! не надо пытаться навязать мне свое представление о том, как она делается. Если заказчик доверяет мне, как специалисту, он должен доверять до конца, если нет - не должен иметь со мной дело. Я бы просто себя не уважал, если бы поступал иначе.
Я вообще считаю золотым веком IT не нынешний "расцвет", а давно ушедшие времена, когда потребности заказчика определяли компетентные люди из IBM (ну или еще кого из тогдашних "монстров"), не сегодняшнее фрик-шоу, когда дурачат административное руководство, по нелепому организационному недомыслию принимающее волюнтаристские технические решения, с помощью глянцевых проспектов. При всей их жажде наживы интересы заказчика - настоящие интересы, а не "хотелки" - соблюдались лучше.
Еще на выставке видел русский перевод книги Митника "The Art of Intrusion" за 250р. Чак, я твою давно прочитал, хочу отдать! Книга хорошая - набор хакерских баек (с моралью и анализом для широкого круга читателей ;-). Не про самого Митника, а что ему присылали.
codera по выставке "Infosecurity Moscow". Ну, что в наше время можно сказать о любой выставке? Это -- повод пообщаться, а узнать там что-то новое в рамках программы было бы странно (при наличии интернета). То есть, конечно, можно и не ходить, но интереснее сходить, потому что где еще, порой, встретишь этих людей? А на железные коробочки -- что смотреть.. они все выглядят одинаково, а узнать об их содержимом что-то неочевидное за столь ограниченное время редко удается. Ну, поговорил с представителем фирмы Checkpoint, у которого единственный аргумент за их продукцию был - "клиенты довольны". Странный аргумент, когда речь идет о продуктах для обеспечения безопасности? Ну да пес с ними. Об этом тоже ниже. Расскажу о другом.
Зашли мы на стенд Digital Security. Здесь я впервые лично познакомился с директором компании Ильей Медведовским, ранее мы не встречались. Сначала - о хорошем: посмотрели на прототип нового продукта (который заменит "Кондор" и "Гриф") для анализа рисков, соответствия сертификационным требованиям по различным стандартам и т.д. - выглядит очень разумно, позволяя свести в наглядный интерфейс все имеющиеся ресурсы, продуктивно работать с чеклистами, вот к сожалению, на текущий момент было еще не готово самое интересное - моделирование информационных потоков, но общий вид системы (кстати, теперь это web-приложение) весьма хорош и вселяет некоторую веру в то, что полная версия будет вполне достойной (хотя цена даже персональной лицензии весьма кусается). Это вот была бочка меда. А теперь будет ложка дегтя.
Нас с
codera, конечно, интересовал вопрос об одном из основных сервисов комании - аудите безопасности. И мы, конечно, стали сразу, как подошли к стенду, стали приставать к одному из сотрудников по поводу методологии. -- Ну, сначала наши специалисты делают тест на проникновение снаружи..
Гхм, сказали мы и переглянулись.
-- А потом?
-- А потом - подключаются к сети изнутри без каких-либо привилегий с ноутбука и..
-- И все?
-- Ну да..
-- А цена?
-- Небольшие контракты нас не очень интересуют, фактически интересно, начиная от $20,000, для крупных предприятий это будет очень дорого, значительно больше..
Тут мы переглянулись просто молча, потому что слов не уже было.
Понимаете, это очень больная тема. Самое неприятное (sic!) в данной ситуции это то, что в профессионализме Ильи я не сомневаюсь ни на минуту. То есть это человек, который отлично знает, как это делается - на самом деле. И что в безопасности, пожалуй, в большей мере, чем в других отраслях IT, стоит острейшая проблема - как объяснить клиенту, который думает, что знает, как решается его задача, что он на самом деле этого не знает? Что голливудские фильмы - не лучший метод получить представление о том, чем занимаются специалисты по безопасности? Что нормальный аудит безопасности не имеет практически ничего общего с тестами на проникновение? То есть вот именно так: ни-че-го. Что ценность полученной подобным способом информации практически нулевая. И что ведущие специалисты отрасли долбят этим фактом всем по мозгам не один десяток (sic!) лет. Но люди, принимающие решения, не читают специализированные статьи - они смотрят голливудские фильмы.
Здесь очень остро стоит проблема социальной ответственности. Можно сделать, как надо. А можно сделать, как хочет клиент. Вот второго я решительно не умею - я ставлю вопрос ребром: меня позвали делать эту работу потому, что я лучше ее делаю, чем тот, кто меня нанимает. А не потому, что ему некогда, а то бы он и сам разобрался. Поэтому ни-ко-гда! не надо пытаться навязать мне свое представление о том, как она делается. Если заказчик доверяет мне, как специалисту, он должен доверять до конца, если нет - не должен иметь со мной дело. Я бы просто себя не уважал, если бы поступал иначе.
Я вообще считаю золотым веком IT не нынешний "расцвет", а давно ушедшие времена, когда потребности заказчика определяли компетентные люди из IBM (ну или еще кого из тогдашних "монстров"), не сегодняшнее фрик-шоу, когда дурачат административное руководство, по нелепому организационному недомыслию принимающее волюнтаристские технические решения, с помощью глянцевых проспектов. При всей их жажде наживы интересы заказчика - настоящие интересы, а не "хотелки" - соблюдались лучше.
Еще на выставке видел русский перевод книги Митника "The Art of Intrusion" за 250р. Чак, я твою давно прочитал, хочу отдать! Книга хорошая - набор хакерских баек (с моралью и анализом для широкого круга читателей ;-). Не про самого Митника, а что ему присылали.
