Comments 5
К любому сканеру нужны мозги. А у нас привыкли на мозгах экономить, а всякие сканеры закупать. И вот приходит такой, с позволения сказать, офицер безопасности и говорит: у тебя тут сканер обнаружил, я тебе отчет прислал. Открываю — там уязвимость ПХП на внутреннем сайте, причем такая, которую можно юзать только в полнолуние при наличии 100% экспы и 100% везения. Я в репы — нету патча, я на сайт ПХП там типа: мы знаем, но не критично, потом, может быть, устраним. А сканер (не буду называть какой, но одной известной антивирусной фирмы) выдает как критическую. Я к офицеру:
-Батюшка, помилуй, во-первых уязвимость закрыть нечем, во-вторых сайт-то внутренний, в эту сетку работники только доступ имеют. Некому эту уязвимость эксплуатировать.
-Ничего не знаю, — отвечает, — мне программу прислали сверху, сказали бдить и критических уязвимостей не допускать! И нигде не написано, что для внутреннего сайта какие-то другие требования чем к машине Васи Пупкина или внешнего сервера. У тебя N дней для устранения.
И все. Делай что хочешь.
Так, что сканер — это хорошо, но в руках таких вот «безопасников» — это, увы, зло…
-Батюшка, помилуй, во-первых уязвимость закрыть нечем, во-вторых сайт-то внутренний, в эту сетку работники только доступ имеют. Некому эту уязвимость эксплуатировать.
-Ничего не знаю, — отвечает, — мне программу прислали сверху, сказали бдить и критических уязвимостей не допускать! И нигде не написано, что для внутреннего сайта какие-то другие требования чем к машине Васи Пупкина или внешнего сервера. У тебя N дней для устранения.
И все. Делай что хочешь.
Так, что сканер — это хорошо, но в руках таких вот «безопасников» — это, увы, зло…
Абсолютно согласен, что мало иметь сканер.
Конечный пользователь должен быть достаточно компетентен для принятия самостоятельных решений.
Конечный пользователь должен быть достаточно компетентен для принятия самостоятельных решений.
Нормальная ситуация. Человек действует по инструкции. Мозги мозгами, но в суде мозги к делу не пришьешь. Все вариации, возможности и жизненные ситуации одной инструкцией не описать. И суду вообще дела нет, что кто-то к кому-то в положение вошел.
Бороться можно теми же средствами — писать бумаги и разводить бюрократию.
Не повезло с организацией, это не значит что безопасник без мозгов. Это значит что ему дешевле для себя копать от забора и до обеда, чем бодаться с системой и искать правду, которой нет.
С другой стороны, с чего вы решили, что обладаете достаточной компетенцией, чтобы ставить проверяющему диагнозы и решать опасна дырка или нет. Вы же по факту не обладаете всей информацией, которой обладает проверяющий? Так что зло не зло, а делать придется что говорят.
Бороться можно теми же средствами — писать бумаги и разводить бюрократию.
Не повезло с организацией, это не значит что безопасник без мозгов. Это значит что ему дешевле для себя копать от забора и до обеда, чем бодаться с системой и искать правду, которой нет.
С другой стороны, с чего вы решили, что обладаете достаточной компетенцией, чтобы ставить проверяющему диагнозы и решать опасна дырка или нет. Вы же по факту не обладаете всей информацией, которой обладает проверяющий? Так что зло не зло, а делать придется что говорят.
> С другой стороны, с чего вы решили, что обладаете достаточной компетенцией.
Потому, что я инженер с высшим образованием и 10-тилетним ИТ стажем. А он — бывший военный. И все его познания в ИТ сводятся к установить антивирус да в экселе и ворде работать.
>Бороться можно теми же средствами — писать бумаги и разводить бюрократию.
«Хороший совет». Это, может, и Ваш путь, но не мой. Поэтому в Г и живем, что
>ему дешевле для себя копать от забора и до обеда
Далее.
>Вы же по факту не обладаете всей информацией, которой обладает проверяющий?
Как раз я и обладаю, потому, как сервера — моя специализация, я не его. Его специализация «копать от забора и до обеда». Поэтому, повторюсь, так и живем: настраивают специалисты, а контролируют — те, кто в этом почти не разбирается, зато у него инструкция и «военный» склад ума.
>Так что зло не зло, а делать придется что говорят.
Интересно, как? Написать свой патч? Выключить сервер?
>Это значит что ему дешевле для себя копать
А, если, предположим, знает, что это невыполнимо в данный момент? Тогда, это, по крайней мере, некрасиво с его стороны: я руки умыл, а ты, как хочешь, так и выкручивайся. Завтра, в аналогичной ситуации я с ним поступлю также. Может, для кого-то такое положение вещей и нормально, но не для меняю.
Поэтому и свалил от туда.
Потому, что я инженер с высшим образованием и 10-тилетним ИТ стажем. А он — бывший военный. И все его познания в ИТ сводятся к установить антивирус да в экселе и ворде работать.
>Бороться можно теми же средствами — писать бумаги и разводить бюрократию.
«Хороший совет». Это, может, и Ваш путь, но не мой. Поэтому в Г и живем, что
>ему дешевле для себя копать от забора и до обеда
Далее.
>Вы же по факту не обладаете всей информацией, которой обладает проверяющий?
Как раз я и обладаю, потому, как сервера — моя специализация, я не его. Его специализация «копать от забора и до обеда». Поэтому, повторюсь, так и живем: настраивают специалисты, а контролируют — те, кто в этом почти не разбирается, зато у него инструкция и «военный» склад ума.
>Так что зло не зло, а делать придется что говорят.
Интересно, как? Написать свой патч? Выключить сервер?
>Это значит что ему дешевле для себя копать
А, если, предположим, знает, что это невыполнимо в данный момент? Тогда, это, по крайней мере, некрасиво с его стороны: я руки умыл, а ты, как хочешь, так и выкручивайся. Завтра, в аналогичной ситуации я с ним поступлю также. Может, для кого-то такое положение вещей и нормально, но не для меняю.
Поэтому и свалил от туда.
До тех пор, пока безопасники не смогут сформулировать конструктивное определение безопасности (а не отрицающее перечисление «не должно быть» или неконструктивный квантор «не должно быть никаких»), до этого момента говорить про абсолютные метрики смысла нет. Всё это ИМХОизм и потрясание экспертным заключением, невоспроизводимым и непроверяемым.
Sign up to leave a comment.
OVAL® или «миф об идеальном сканере»