Система обнаружения вторжений, или почему о web-безопасности думают, когда уже поздно

8 мая 2018, 10:22

Приветствую читателей dev.by!

Некоторое время назад столкнулся с необходимостью найти достойную систему обнаружения вторжений (intrusion detection system - IDS), далее по тексту будем использовать сокращение IDS. Необходимо было мониторить сервера, на которых хостятся приложения наших клиентов. И после длительных и утомительных поисков все найденные варианты можно было разделить на два лагеря:

  1. Гики для гиков:  сложные для управления и понимания open source решения, которые даже не имеют вменяемого интерфейса, работать в них можно только через консоль, и без солидного опыта и знаний в сфере кибер-безопасности с ними не разберешься. Да, мы для себя могли использовать такой вариант, но отдать это клиентам (которые, в свою очередь, далеко не технические люди)  мы не могли.
  2. Дорогие enterprise решения: рассчитаны на сложные и большие структуры, половина их функционала просто не нужна web-приложениям, а платить огромные суммы за установку и обслуживание системы, в которой будут использоваться пару функций, как-то очень не хочется.

Всё это натолкнуло нас на мысль написать свою IDS, покрывающую наши нужды: простую и удобную в управлении, имеющую понятный и привлекательный интерфейс систему. Благо, большой опыт консультирования по вопросам безопасности и свой CISSP специалист в штате позволяли это сделать.

Так родилась наша IDS, ее основными функциями стало отслеживание доступов к серверу, проверка наличия сторонних соединений и подозрительной активности, оповещение об успешных подозрительных событиях, возможность создания собственных правил (групп доверенных источников, IP-адресов), и всё это для интернет-серверов.

После успешного имплементирования и работы системы на наших проектах мы подумали, что, возможно, кто-то столкнулся с похожей проблемой и находится в поисках простой и эффективной IDS. Выдвинули гипотезу, что такая система будет интересна не техническим людям, имеющим малый/средний бизнес, построенный на работе их web-приложения. И, собственно, пошли в народ проверять нашу гипотезу.

Мы не ожидали очень высокого интереса к вопросам web-безопасности у данной аудитории, но, как оказалось, интерес к этой теме отсутствовал вовсе.

Web-безопасность? Нет, не слышали” – так можно охарактеризовать их подход. Найденные и представленные им уязвимости их никак не мотивировали. То, что их приложения работают с персональными данными их клиентов и, как следствие, требуют особой защиты, тоже не стало мотиватором. Заинтересованными представителями данной аудитории были только те, кто сам приходил за помощью после реального взлома. Правильно, не привык наш бизнес работать на профилактику/предотвращение угроз – «это может коснуться всех, но не меня», думаем мы.

Поразмыслив над всем этим, мы перешли к формированию другой гипотезы. Текущая гипотеза такова, что в использовании системы обнаружения вторжений могут быть заинтересованы техлиды, CTO (Chief Technology Officer) или CIO (Chief Information Officer) в средних и крупных IT-компаниях (стартапах или близких к IT: новостные порталы, туристические порталы, системы онлайн бронирования и др.)  

Но перед этим хотелось бы вообще в принципе проверить уровень осознания у IT-сообщества того, что web-безопасность важна и необходима (так называемая security maturity). И просим неравнодушных читателей dev.by поучаствовать в исследовании.

Спасибо за внимание!

 Денис Колошко, CISSP

подписка на главные новости 
недели != спам
# ит-новости
# анонсы событий
# вакансии
Обсуждение