проверено. Архонт АНДРЕЙ КАРОЛИК Спецвыпуск: Хакер, номер #066, стр. 066-080-3 Андрей Михайловский: Для проверки безопасности не обязательно иметь большой коллектив работников: чем больше людей работают над проектом, тем тяжелее организовать и собрать нужную и детальную информацию, прийти к конкретному решению задачи. Оптимально — четыре-шесть человек в команде для получения результативного аудита большинства средних и крупных компаний. Работая с клиентами, мы всегда смотрим на безопасность с позиций потребителя, полностью учитываем структуру предприятия-клиента, сферу деятельности и его потребность в компьютерной безопасности. Мы никогда не навязываем какой-то одной компании сервис, решение или оборудование. Наоборот, предлагаем выбор и подробно оцениваем кандидатуры. Большинство наших конкурентов для аудита используют решение или программное обеспечение той или иной компании, тем самым ограничивая себя и предоставляемый сервис. Мы стараемся смотреть на безопасность со всех сторон, использовать как можно больше оборудования и утилит, при этом проверяем и анализируем каждый полученный результат. В этом одно из главных наших отличий от конкурентов, которые проводят автоматизацию необдуманно, прогоняют коммерческий сканер или программу, распечатывают отчет и считают, что аудит безопасности на этом закончен. Андрей Владимиров: Вспоминается старый анекдот о сравнении нашей и японской корпораций, он заканчивается на фразе «Вот никак не поймем, что же делает здесь 501-й сотрудник». Множество сотрудников в больших компаниях — балласт, особенно в консультационных компаниях. У нас балласта нет, и отбор людей весьма тщательный, он не зависит от личных симпатий и антипатий. На крайний случай под рукой есть проверенные специалисты для привлечения к выполнению отдельных заданий на контрактной основе. Кстати, сколько сотрудников было в Microsoft году так в 77-м? Мы можем многое. Практически любая операционка, любой уровень OSI и сетевой протокол, любая топология сети... Конкуренты же в этом плане часто отстают. К примеру, во многих фирмах методология проведения внутренних и внешних аудитов сетей ничем не отличаются друг от друга. Беспроводные сети нормально не покрыты. Не уделяется внимания протоколам на канальном уровне. Нет уровня экспертизы, позволяющего находить новые уязвимости, есть жесткая привязка к отдельным решениям специфических производителей. И так далее... СПЕЦ: Что наиболее актуально сегодня? Чем живут современные эксперты по безопасности? Константин Гавриленко: Мир инфосека слишком динамичен, чтобы какая-то определенная область оставалась актуальной долгое время. Наиболее уязвимы новые технологии, которые еще не проверены временем, или технологии, набирающие популярность. Последние пару лет все без исключения конторы по безопасности демонстрируют способы проникновения через уязвимости в web’е. Складывается такое впечатление, что кроме SQL-инъекции и седьмого уровня больше ничего не существует. К сожалению, это не так, и при оценке безопасности сетевой инфраструктуры многие вещи остаются незамеченными, что мы неоднократно замечали, проверяя работу других «экспертов». В плане security-оборудования, на мой взгляд, стоить обратить внимание на системы предотвращения вторжения (IPS), web-брандмауэры (Layer-7 firewall), SSL виртуальные частные сети (SSL VPN) и системы централизованного управления беспроводными сетями. |