infowatch (infowatch) wrote,
infowatch
infowatch

Category:

Слово и дело

Комментарии ко вчерашнему посту вызвали у вашего покорного слуги стремление продолжить тему. Почему политика безопасности порой прямо-таки препятствует выявлению и учёту уязвимостей? Как сделать, чтоб она способствовала?

Итак, моделируем ситуацию. Предположим, фрагмент оргструктуры предприятия ОАО "Большая Компания" таков:
 1.департамент разработки
      1.2.дирекция веб-продуктов
            1.2.3.отдел баз данных
 2.департамент эксплуатации
      2.3.дирекция мониторинга
            2.3.4.отдел электронной почты
Предположим далее, что сотрудник Абузяров из отдела 2.3.4 получает на адрес "abuse@bigcompany.tld" сообщение от этичного хакера Пенитестова с описанием уязвимости в их продукте. Он идёт прямо к ответственному за нужный участок – сотруднику отдела 1.2.3 Эскуэляну:
— Вот, у нас в продукте дырка, исправь пожалуйста.
— Никак не могу. Мне требуется приказ директора дирекции 1.2 товарища Вебова.
Абузяров идёт к Вебову:
— Вот, у нас в продукте дырка. Прикажите пожалуйста исправить.
— Не имею таких полномочий. План работы утверждён. Всё, что сверх плана, должен утверждать начальник 1-го департамента господин Девелопкин.
Абузяров идёт к Девелопкину:
— У нас в продукте дырка. Прикажите пожалуйста, чтоб включили в план.
— Я не могу принять заявку от вас. Она требует визы начальника вашего, 2-го департамента и согласования с замом гендиректора.
Абузяров идёт к начальнику своего департамента 2 господину Эксплоцнеру.
— У нас в продукте дырка. Завизируйте пожалуйста заявку и отправьте её на согласование.
— Я бы завизировал, но прежде требуется виза директора дирекции 2.3 мадам Мониторовой. Через её голову никак нельзя.
Абузяров не успевает дойти до г-жи Мониторовой, его перехватывает начальник его собственного отдела 2.3.4 Имайлов:
— Ты зачем к высокому начальству ходишь? Отставить! Рапорт требуется подавать по команде.
— Да у нас тут уязвимость...
— А тебе какое дело? Это забота департамента разработки. Зачем ты лезешь в чужие дела? Зачем воду мутишь? У тебя своей работы мало? Я тебе сейчас добавлю.
А тем временем хакер Пенитестов, отправивший информацию об уязвимости, мечтает, как его похвалят, премируют и пригласят на работу в Большую Компанию. Он ещё не знает, что начальник 3-го департамента генерал Гебухов только что получил информацию...

Так вот, если вы рассчитываете, что все сотрудники ОАО "БК" станут беспокоиться об интересах дела, то вы родились не на том глобусе. А разгадка одна: неверно выстроенные политики, процедуры и прочие корпоративные нормы. Составляя политику безопасности, думайте о людях плохо. И тогда они станут вести себя хорошо. Будете думать хорошо – результатом разочаруетесь.

Кстати, одним из элементов аудита ИБ может служить своеобразный тест на проникновение в бюрократическую систему. Аудитор отправляет "внешнее" сообщение об уязвимости, лучше по неофициальному каналу. И смотрит, как быстро оно проходит инстанции, как учитывается, где стопорится, насколько быстро проблема проверяется и исправляется. И исправляется ли вообще.

Tags: пентест, политика безопасности
Subscribe
  • Post a new comment

    Error

    default userpic

    Your IP address will be recorded 

    When you submit the form an invisible reCAPTCHA check will be performed.
    You must follow the Privacy Policy and Google Terms of use.
  • 18 comments