Хорошая тактика для каждого безопасника

16 июль, 2013 - 10:38Алексей Дрозд

Чтение новостей о сильных мира сего в очередной раз натолкнуло на мысли о том, что нам всем тоже есть чему у них поучиться. На сей раз речь идет о выплатах наград за обнаружение уязвимостей в тех или иных популярных приложениях. «Ну а при чем тут мы?», спросите вы. На самом деле, на мой взгляд, подобная практика подходит не только крупным производителям разнообразного софта, но и любой компании, которая хочет усовершенствовать собственную систему обеспечения информационной безопасности.

Ведь как обычно бывает? Кто-то находит в корпоративной системе безопасности какое-то узкое место, служба безопасности, боясь получить за это по голове от руководства организации, всеми правдами и неправдами замалчивает информацию об этом, пытаясь нередко прямо-таки «утопить» того, кто «имел наглость» найти, так сказать, уязвимость. Ну а сама уязвимость что? Прекрасно себе живет и существует. Иногда, правда, бывает несколько по-другому. Кто-то, найдя уязвимость, скажем, в корпоративном сайте, оставляет ненавязчиво на нём свой «автограф», после чего и подрядчику, выполнявшему сайт, и, зачастую, службе ИБ становится очень даже не весело.

Так вот, правильная цель любой организации в подобных ситуациях — это избавляться от всех возможных уязвимостей. Поэтому нужно, во-первых, отказаться от «пропесочивания» службы ИБ при их обнаружении (речь вовсе не только об уязвимостях корпоративного сайта — имеется в виду уязвимость в самом широком смысле этого слова). А для того,чтобы заинтересовать тех, кто способен находить уязвимости, нужно объявить награду за их обнаружение. Не обязательно, конечно, такую баснословную, как Microsoft за уязвимости Internet Explorer, но и не совсем копеечную. Ну и, конечно, нужно позаботиться о том, чтобы информация об уязвимостях использовалась по назначению.

Хорошая тактика для каждого безопасника