Архив метки: Cisco

Cisco головного мозга

Здравствуйте, здравствуйте мои ненаглядные. Как же я по вам скучал. Скучал все 3000 километров по нашим бескрайним просторам. Но скучал я не один.

Разумеется, одним глазом наблюдал, что твориться в нашей поибэ, а твориться там форменная чертовщина. Какой-то месяц безудержного пиара.

В начале, Solar Security под заголовком «как правильно оформить внедрение системы для защиты от утечек» разослал всем статью о документах, при внедрении DLP. Но забыл упомянуть 137 и 138 статьи УК, под которой ходит каждый информационный безопасник. Сразу стало понятно, что статью писал теоретик.  И цель понятна. Цель статьи – «смотрите, с помощью нашей DLP вы всех посадите и получите много палок!!1111». Пока же, с такими статьями посадят самих пользователей DLP Solar Dozor.

И, конечно, интересно узнать в соответствии, с какими статьями ТК РФ необходимо внедрять именно DLP.

Потом бомбануло у Ильи Шабанова потому, что не все признают гениальность последнего отчета на его сайте о SIEM. Материал, такое ощущение, представляет собой компиляцию пресс-релизов компаний вендоров, приправленных  словами «SIEM – очень нужная вещь». Я понимаю, что каждый зарабатывает, как может. Сиди спокойно, ваяй тяп-ляпки, пили денюжку. Так ведь и доходы упадут. Кстати, что косяки на сайте поправили – молодцы, там еще столько же осталось.

Алексей ЛукацкийФинальным аккордом стал уход Алексея Лукацкого из темы защиты персональных данных. Вот, что он пишет:

Мало кто уже помнит (а некоторые и вовсе этого не застали), но тема персданных «взлетела» благодаря ФСТЭК России, которая в 2008-м году выпустила свои документы по защите персональных данных. Это было пресловутое «четверокнижие», которое стало драйвером рынка ИБ на тот момент.

Ну, никаким драйвером оно тогда не стало. И не было вплоть до 2011 года. Но разгон взяли.

Сам закон был принят двумя годами ранее, в 2006-м, но это событие прошло незамеченным для большинства специалистов по ИБ. По крайней мере лично я про этот закон особо ничего и не знал до того момента, пока ФСТЭК не выпустила свои одиозные требования. Именно тогда, 9 лет назад я погрузился в эту тему и она продолжает висеть веригами на мне.

Пафос, это хорошо.

Когда я только услышал про четверокнижие ФСТЭК я возрадовался, посчитав, что оно станет замечательным подспорьем в продаже решений Cisco по информационной безопасности.

Что лишний раз доказывает слова о том, что вся деятельность Алексея направлена на лоббирование интересов работодателя.

Но прочтя эти документы, мой оптимизм поугас. Я попробовал натянуть эти документы на нашу собственную информационную систему и понял, что это невозможно.

Очень странно. До 2014 года достаточно было оргмер. Вот, одна из первых статей Алексея о ЗПД. Как все хорошо на западе, как все плохо у нас. Но, например, в том же четверокнижии было и про шум, и стеганография. Я сам проходил проверку, применив стеганографию. Либо Алексей документы не читал, либо целенаправленно хаял.

Даже такая повернутая на compliance компания как наша, не смогла бы выполнить все эти безумные требования. Именно тогда я занялся тем, что стал разбираться в законодательстве, активно и публично его критикуя,

И продвигая удобные для себя положения. Хорошо, что не срослось.

предлагая различные обходные маневры для потребителей.

Тем самым подставляя их по полной. Ведь невозможно учесть потребности потребителя, когда речь идет о впаривании железок на миллионы долларов.

И именно эта тема увела этот блог в совершенно ином направлении. Ведь изначально я хотел писать в блоге про бизнес, метрики, измерения и т.п. темы.

Уж, лучше про законодательство. Про бизнес, на примере BYOD, было бы хуже.

Но увы… законодательство захватило пальму первенства и продолжает ее удерживать, приведя к тому, что за мной прочно укрепилась слава «бумажного безопасника» :-)

Звание теоретика (а не бумажного безопасника) за Алексеем закрепилось, когда он вместо безопасности занялся своим пиаром, продвигая свои фантазии, как истину в последней инстанции. И они постоянно не сходились по фактам. Например, Алексей в свое время любил кичиться тем, что начал заниматься безопасностью в 91 году. Хотя и он, и я, знаем, что сделать он в это время не мог. Но звучит-то красиво. Занимаюсь ИБ с развала – Союза! И не жалеет об этом.

http://www.pircenter.org/news/6697-alexey-lukatsky-for-open-collar-project

Миф – построенный на лжи.

 

Спустя год я был вовлечен в процесс изменения федерального закона «О персональных данных» и тогда я впервые столкнулся с Роскомнадзором, который тогда назывался Россвязьохранкультуры, а позже был переименован в Россвязькомнадзор.

Силком наверно затащили.

За эти 9 лет было сделано немало — участие в разработке поправок к ФЗ-152 и КоАП, участие в разработке различных приказов и разъяснений РКН, Постановлений Правительства, приказов ФСТЭК и ФСБ.

Участник рабочих групп, автор 300+ статей. Вот, в чем проблема всех подобных персонажей, мнимые достижения, выдаются за реальные. Ну, протер штаны на хороших стульях, а дальше что?

Что-то удавалось сделать, что-то нет. Но всегда я понимал логику регуляторов и мог как-то подстроиться под нее, предложив какие-то формулировки, которые устраивали бы большинство участников процесса. Но в 2014-м году все поменялось :-(

Судя, по обилию проблем в терминологии – не удалось сделать ничего.

Сначала из РКН в Россвязь ушел г-н Шередин. Он был не простым чиновником, но даже несмотря на это, нам удавалось найти точки соприкосновения и контакт с ним у меня был.

Ушел, друг, через которого можно было успешно лоббировать?

С уходом Шередина ситуация стала ухудшаться,

Чем-то это напоминает ситуацию с Эриком Давидычем, если вы понимаете, о чем я.

а действия регулятора перестали подчиняться логике и здравому смыслу. Последние 3 года стало только хуже.

В чем? Стали требовать сертифицировать Cisco? Так там и так дырка на дырке, как говорят.

Минкомсвязь (а именно они у нас определяют госполитику в области ПДн) самоустранилось от решения вопросов в данной сфере. РКН же окончательно превратился в карательный орган.

А каким должен быть регулятор? Пальчиком грозить? Так грозили уже, с 2008.

Чего только стоит исключение из названия своей основной функции — защиты прав субъектов ПДн, слов «прав субъектов». Обратите внимание, РКН во всех документах, выступлениях, отчетах, презентациях стал писать «защита ПДн», что лишний раз подтверждает простую мысль — на права субъектов регулятору давно наплевать.

Если Алексей так любит точность формулировок, то что же за 9 лет, не привел их в надлежащий вид, на многочисленных рабочих группах?

Закон о ПДн превратился в инструмент давления на российские и зарубежные компании.

На любимом Лукацким Западе, с законами все еще строже. И Cisco там так просто не отделалась бы не выполнив какой-нибудь закон, как у нас.

Донести до регулятора свою позицию невозможно.

Смотря, что за позиция.

Прислушиваться к экспертам регулятор не хочет.

Это к Алексею Лукацкому?

Мнение регулятора меняется постоянно и понять, на чем оно базируется и почему оно опять поменялось, стало невозможно.

Т.е. Алексей не успевает за веяниями времени? Уж более статичной нормативки, чем в ЗПД – не найдешь.

Эксперты, которые там раньше работали и с которыми у меня было неплохое рабочее взаимодействие, превратились в настоящих чиновников, преданно смотрящих в глаза начальству и игнорирующих простых смертных :-(

Друзей не осталось, план теперь не выполнить.

Последнее время я стал все меньше и меньше писать про персональные данные. Еще реже стал консультировать по этим вопросам

Что мне в экспертах всегда нравилось, так это желание консультировать, не неся за это ответственности. Помню, Алексей еще пиарил свою контору по продаже документов по ИБ.

(преклоняюсь перед Михаилом Юрьевичем, который ведет неравный бой с РКН). Но сегодня, в начало нового учебного года, я решил, что надо и вовсе закрывать для себя эту тему. Работа по ней стала абсолютно непредсказуемой и бессмысленной. Поэтому

Персональные данные, прощайте!

Здравствуй, КИИ!

 

Что ж, отдадим должное целой эпохе. Эпохе из 90-х, когда по старой привычке, западные друзья хотели нами всеми тут поруководить за наш счет.  Одним из проводников данных идей – был Алексей Лукацкий. Благодаря, стечению обстоятельств и определенному заказу Алексей получил определенную известность, и сразу стал выполнять заказ. Я просто не могу по другому объяснить все эти скандалы и упертость по отношению к Cisco с его стороны. А уж, как Алексей пропихнул через своих знакомых в самые крупные сети банкоматов цисковские устройства – история отдельная.

Но не фортануло. За исключение отдельных всплесков. Зато теперь можно перенести внимание на КИИ, да, рынок пожиже, зато методики отработаны.

Не чокаясь.

Всего вам доброго.

Еще не совсем Ж, но близко. PHD, CISO-форум и другие

Отгремели две шумные майские конференции – PHD и CISO-forum. На одной я был, на другой – почти. На одной все плохо, на другой хорошо.

Начнем с CISO –forum. Понятно, что бедному дегустатору ни за что не потянуть билет на такое VIP-мероприятие, как CISO. Меня да ж не взяли, как СМИ – ящик организаторов тупо не отвечает. Но, я заслал туда разведчика. Конечно, он нифига не платил – мы нашли лазейку, даже бейджик не брал. И…

Ничего за год не изменилось. Ровным счетом ничего (да ж еда осталась та же). Т.е. мероприятие создано тупо для обогащения организаторов. Спонсоры заплатили, участники заплатили (хотя бы 1/3, т.к. спонсоры нагнали туда своих клиентов) – снял зал за пакет генерального спонсора, … , PROFIT.

Доклады делятся на 3 типа:

  • От завсегдатаев (одна и та же балалайка под разными соусами);
  • Новичков (могут рассказать что-нибудь интересное, примерно, каждый десятый);
  • Вендоров (либо реклама, либо скрытая реклама).

Ходить на CISO, лучше 1 раз в три года. Если чаще, будете слушать на 2/3 пересказ прошлого года.

Переходим к PHD. Скажу честно, идти туда не хотел (см. про бедных дегустаторов). Но Позитивы взвалили на себя бремя поддержки пищевой безопасности, и разрешили немного поесть. А т.к. я человек совестливый, и халяву не люблю, решил отплатить. Кстати, за два дня, так и не удалось поесть, очень уж еда была запрятана, да и дела образовались.

Завтрак прессы

Не беря ZeroNights (нельзя сравнивать то, что не видел), на который я вряд ли когда-нибудь пойду, т.к. сплю в это время, PHD – лучшая конференция. Разумеется, в силу своей тупизны, мимо меня прошли все технические доклады. На какие-то я не успел, но засмотрел трансляции, а большинство были от меня крайне далеки.

Я разумеется, пошел на всякую говорильню. Помните, я после Инфосека писал про змей в банке? Ну, так многие уже об этом заговорили. Например, Рустэм провел мне ликбез о разнице между топ-безопасниками и «селебрити, завсегдатаи конференций». Спасибо, Рустэм. Остальное в фбешечке читайте.

Были там и мои старые знакомые из R-Vision. Парни двигаются в сторону молодежи и осваивают мемы (пока, баянистые): «что ты мне втираешь какую-то дичь?».

Встретился с инсайдерами, обменялись новостями. Ух. Узнал, кстати, за сколько продается R-Vision, не дотягивает часто и до 5 мегарублей. Печально.

Основная пленарка, прошла тезисно по плану статьи про Ж (ждите продолжения). Проблемы ИБ:

  • иб под прикладным по
  • безалаберность
  • отсутствие практической составляющей
  • тормознутость вендоров и безопасников, на уязвимости открытые вайтхат
  • отсутствие планов реагирования (Лебедь)
  • нет повальной идентификации в интернете (Калина)
  • нужно отгораживаться «метром воздуха» и строить закрытые контура (Калина)
  • отсутствие центров компетенций поибэ
  • сложно обосновать наличие безопасников (РТК)
  • технические средства не работают, только люди, которые и на опенсорсе все сделают (РТК)
  • не знаем свой внешний периметр (Симис)

 

В первый день еще успел побывать на выступлении Юлии Омельяненко из Acronis с докладом «Выдержит ли ваш бизнес натиск ransomware?» (кстати, что это такое – вроде и не сказали). В результате доклада, мы узнали, что Юля занимается темой «3 года, когда это не было еще мейнстримом» и послушали пересказ исошной методички про непрерывность бизнеса и экстренного восстановления. Ну, послушали и послушали.

После конференции меня атаковала Юля со своей подругой Моной Архиповой (Mona Sax), под соусом, что они такого не говорили, а  все неправильно услышал. В начале, я подумал, что Acronis просто решил зацепить ибешников по своей основной специализации (восстановление данных, все дела).

 

Тайминги с подтверждением:
  1. Про уникальный опыт в 3 года, когда еще это не было мейнстримом.

Тайминг с 1:09:06

Побочное замечание — 3 года назад (в 2014), GRC было еще ах каким мейнстримом. R-Vision не даст соврать.

  1. Про непрерывность с 1:15:13
  2. Про непрерывность бизнеса рискует от ИБ и бедствий с 1:16:05
  3. Считай стоимость восстановления с 1:18:10
  4. развито в банках 1:18:28
  5. Про старые методички с 1:11:00

Да же слова оттуда — «заручиться поддержкой топ-менеджеров», так в самом начале переводили исошные документы.

 

Но Рустэм открыл мне глаза:

Оказывается Acronis такими посылами, пытается влезть на рынок «лоу баджет секьюрити» (а при возможности наверно и хай баджет). Теперь понятна агрессия Юли с Моной, как же перед начальством отчитываться, когда такая лажа? Хамство не красит такую уважаемую компанию, как Acronis.

Кстати, о лаже (незаметно перетекаем во второй день). Заценил срывающее покровы выступление Алексея Лукацкого «Не бойтесь лажать, или Negative Security». Из которого мы узнали:

  • Пользователям Maс сложно пользоваться непонятными компьютерами;
  • Алексей совсем не бомбит, что его называют теоретиком. Он двигается в сторону практики, но ЗПД в Cisco не взлетело (или взлетело, но не так) (я-то грешным делом думал, что теория – это бумажки, а практика – ручками эксплоиты писать/патчи ставить);Алексей Лукацкий
  • Наше общество ориентировано на успех, и не говорит о своих ошибках (комментаторы сошлись во мнении, что под нашим обществом Алексей понимает – западное);
  • Мало примеров, когда люди и компании признают ошибки (видимо, Cisco не из их числа);
  • Схватил 1 троян за все время;
  • Алексей не хочет выглядеть неприятно (но ведь репутации в России нет!!!!11111);
  • Не открывает свой сайт, т.к. все равно взломают, а репутация пострадает.

А вообще, анти-пленарка очень понравилась. Особенно философские рассуждения Ивана Новикова (могу ошибиться), с двумя основными посылами:

  • Вся наша деятельность сейчас (в городах уж точно), что бы в нужном месте экрана были нужные пиксели (например, отражение счета в банке);
  • Компьютеры размножаются быстрее людей.

Так и кто на кого работает? :)

 

В заключение хочу сказать о благости посетившей меня. Я обрел нового кумира Алексея Качалина, т.к. ему не страшно рассказать, что у него на уме. Будьте, как Алексей. И ходите на PHD.

Пока.

Лебединая песня

Не прошло и полугода, а на дворе второй сезон «Кибербаталий». Разумеется, это мероприятие нельзя не пропустить, поэтому завтра обязательно уделите час своего времени.

А мы начинаем серию поддерживающих материалов, для этого сезона. И для затравочки, у нас будут биться Алексей Лукацкий с Рустэмом Хайретдиновым. Это будет показательная битва, т.к. оба участника обладают огромным гандикапом перед любым другим участником и соберут голоса, даже если будут петь песенку про маму (это, которая из к/ф «Кин-дза-дза!»).

В этот раз тема – Черные Лебеди в ИБ. Надо сказать, что выбор тем, самое слабое место всего проекта. Для битвы, нужна полярность мнений. А ее зачастую – нет. Например, в гипотетической теме – «Госрегулирование ИБ – благо или смерть?». Думаю, мало найдет вендоров или интеграторов, которые бы сказали что-нибудь плохое. Т.к. на том и стоят.

Когда я участвовал, мне приходилось иногда отстаивать не свою точку зрения, что бы получилось шоу. Думаю, никто бы не захотел, слушать – «я согласен», «аналогично». В общем, с темами бывают проблемы.

И тут значит, будут говорить про Черных Лебедей. И тут надо сказать, что тема крайне странная. По идее, ЧЛ должны рассматриваться в контексте работы безопасника, а не какие-нибудь абстрактные, например, СССР развалился. Хотя и к таким обычный безопасник должен быть готов. Если для безопасника является неожиданностью, что упадет метеорит (крайне маловероятное событие), то такой безопасник должен идти охранять проходную.

Все исходит из простого следствия Талеба – Черный Лебедь тогда проявляет сою лебяжью сущность, когда мы:

  • Не предполагаем его наличия;
  • Не готовы к последствиям.

Понятно, что у нас нет таких бюджетов, что бы быть готовыми ко всему. Но просчет различны сценариев, это плоть от плоти безопасности (да же бумажной). В мире много организаций имеющих планы на любой случай, и они, почти, не подвержены черным лебедям (или не так сильно, как неинформированные люди).

Например, вы используете оборудование западного вендора. Логично предположить, что в нем могут быть закладки. Это первая же мысль, которая посетит вас, как только вы поставите эту железку, на более-менее значимую задачу. И, когда все вскроется, вы не будете удивлены. А может быть, и какие корректирующие меры сделаете, кто знает?

Но перейдем к темам:

Вопросы:
— бесполезно прогнозировать что будет следующим событием, обладающим свойствами «Черного лебедя». Иначе оно растеряет свои свойства. Но как, с точки зрения ИБ, можно понять, что событие принимает масштаб «Черного лебедя»?

Вся наша поибэ, регулярно прогнозирует, что будет. «К вам придет проверка». «На вас наложат штраф».

— точно также, как и с прогнозами, бесполезно обновлять компетенции для противодействия событиям «Черного лебедя». Они всегда будут не актуальны. Но как можно обновлять компетенции с колес, чтобы практику противодействия масштабным потрясениям профессиональное сообщество могло вырабатывать в онлайн условиях? Что этому мешает?

Ну, обновление компетенций вещь такая. Сам Талеб, больше склонен рассматривать лебедей, как стечение известных факторов в неожиданном сочетании, чем рояль в кустах (ну, там инопланетяне прилетят). Вроде, для этого ненужна перестройка с колес. Вон, все заболели аджайлом и выздоровели, уже никто и не помнит.

Получается, в контексте ИБ – какие бы новые уязвимости не появлялись, все это в итоге сведется к КЦД. И, какая разница, почему вас затопило – потому что крыша прохудилась (среднестан) или что труба системы пожаротушения бракованная (крайнестан)?

— Талеб описывает несколько типов заблуждений, приводящих к излишней уверенности в собственной способности анализировать будущее:
1. Нарративные — склонность больше верить в эмоционально преподнесённые истории, чем в сухую статистику,
2. Игровые — применение теории игр к реальной жизни
3. Ретроспективные — вера в успешное предсказание будущих событий на основании анализа произошедших.
Как выглядит проявление перечисленных заблуждений в профессиональной ИБ-среде (на стоне регуляторов, клиентов, поставщиков ИБ-решений и пр) Как выглядят специфичные отраслевые заблуждения в профессиональном ИБ-сообществе, которых Талеб не упомянул?

Что можно верить экспертам.

— рынок ИБ в заметной степени мотивируют регуляторы. Вера в них чрезвычайно сильна в профессиональном сообществе. Как вы оцениваете способность регулятора оказать помощь профессиональному сообществу в случае наступления событий Черных лебедей? Как должна выглядеть роль регулятора? Как должны выглядеть, реальные, а не завышенные ожидания от инициатив регуляторов в кризисных условиях?

Помощь регулятора – 100%. Именно благодаря им, у нас и развилась информационная безопасность в текущем виде.

— как отреагирует средняя служба ИБ на подобные события в комфортных офисно-корпоративных условиях? И как вам хотелось бы, чтобы выглядели герои от ИБ, способные взять ситуацию под контроль и начать управлять новыми рисками? И что этому может помешать?

Новых рисков не появляется. Пока, живем в парадигме конфиденциальность-целостность-доступность.

 

Так, что будем посмотреть. Приходите все завтра.

Что в имени тебе моем?

Когда-то я был молодым. Хотя и сейчас не старый, но тогда был совсем молодым. В тот момент, все мои мысли занимала карьера, а главным ее мерилом воспринималась, занимая должность. Это сейчас понятно, что меряется все несколько иначе. Но тогда должность была на первом плане.

Рос я от специалиста до ведущего специалиста, и случилось мне возглавить отдел. У меня и подчиненные были – 4 студента. А, т.к. компания была маленькая, вписали мне в трудовую аж целого Начальника кордебалета отдела. Для публики меня называли Руководителем направления аудита. Ох. Я, кстати, никогда не понимал всех этих Руководителей направлений. Это навигатор что ли заменяешь? Через 3000 км поверните направо? Маразматичней этого я видел лишь заместителей директора по развитию. Вот, уж где мог скрываться кто угодно, под заместителя до подносчика кофе.

И значит пошел, я после такого офигенного карьерного поворота устраиваться в компанию АйТи. А там все начальники заняты, есть ведущие специалисты. Но я ж, блин, целый руководитель. Не, мне нельзя так просто в специалисты. Это сейчас я дегустатор, а тогда было принципиально важно, что бы в должности висело – руководитель. В общем вписали меня, как руководителя проектов. По сути, я этим самым и занимался, но потом должность сменили: Ведущий инженер поддержки продаж Отдела информационной безопасности Департамента инфраструктурных решений.

Это, кстати, две другие крайности. Первая, чем непонятней должность – тем больше вопросов. Я два раза попробовал объяснить, кто такой инженер поддержки продаж. После чего, 5 лет писал везде руководитель проектов и не выебывался. РП все понятен. Как и инженер, аналитик, начальник. Поддержка продаж – нет.

Вторая крайность, чем длиннее и/или мудренее название – тем, по факту, меньше человек решает. Вы видели, когда-нибудь младших партнеров, которые привозили заявки на конкурс? Я периодически видел.

Поэтому я всегда с почтение отношусь к таким же «рыбакам». Ну, молодец же человек – старается. Вы думаете, это удел лишь таких нищих духом и меркантильных людей, как я? Нет, это всеобщая блажь.

Давайте рассмотрим примеры. Я взял двух самых активных личностей на нашей поибэ в данный момент. Конечно, меня, как всегда, можно обвинить в том, что я кого-то там опускаю и пиарюсь за чужой счет. Но смотрите сами, это открытая информация, предоставленная самими участниками. И, думаю, я не первый кто задавался подобными вопросами.

Мерить будем корреляцию между участниками и мной, когда я мутил с должностями.

 

Алексей Лукацкий

Алексей ЛукацкийСам себя Алексей позиционирует, как бизнес-консультант по безопасности. Если посмотреть на сайте Cisco, то встречается еще Business Development. В общем, все очень запутанно. Разберемся с бизнес-консультантом. Что это такое? Кого консультирует Алексей?

Более-менее устоявшееся определение гласит:

Бизнес-консультант – это специалист, оказывающий консультационные услуги другим фирмам, предприятиям, организациям по широкому кругу вопросов. Может действовать как индивидуально, так и в штате специальных (консалтинговых) фирм.

Т.е. консультант – это сотрудник внешней фирмы, которого приглашают решить конкретную проблему. Или же Алексей дает советы Cisco? Как строить информационную безопасность? Крайне сомневаюсь. Вся деятельность Алексея лежит в чем угодно – лоббирование нужных законов, пиар, представительские функции – но, крайне маловероятно, что она заключается в развитии ИБ в Cisco.

Мб Алексей консультирует сторонние организации? Не высказывает отсебятину в кулуарах, а по взрослому – под договор и за деньги? Возможно. Огласке это не предают.

Business Development (ака развитие бизнеса) – примерно в ту же степь. Тут хотя бы, с натяжкой можно сказать, что Алексей защищает интересы работодателя от совсем уж драконовских мер. Хотя развитие бизнеса – это скорее захват рынков, создание новых продуктов или продажи.

Можно предположить, что должность Алексей писал себе сам. Бизнес-консультант звучит гордо, я бы тоже себе на визитку поставил, если бы поумней был.

Корреляция – 100%.

 

Андрей Прозоров

Андрей ПрозоровНа сайте Solar Security Андрей представлен, как Руководитель экспертного направления. Опять же, что такое руководитель направления? Я крайне несведущ в иерархии Солара, но даже мне понятно, что если есть Директор департамента JSOC и Руководитель направления JSOC, то один подчиненный другого. Крайне интересно узнать, зачем городить огород со всеми этими руководителями направлений? Но это дело десятое.

Департамента экспертного направления нет, следовательно, здесь Андрей самый главный. Но что такое экспертное направление? Или это по принципу: эксперт – человек не из нашего города? Зная опыт и заслуги Андрея, можно предположить, что он возглавляет экспертное направление по продвижению продукции Солар.

Насколько нам доносит компания Солар, подчиненных у Андрея нет. Следовательно, крайне вероятно, что это просто красивое название, при переходе из Infowatch. И денег немного плюс должность, я также делал.

Совпадение – 100%.

 

Как видно, умные люди, думаю одинаково.

Всего вам доброго.

Ответы на вопросы: работа, тренды ИБ, блог, Лукацкий

Наконец, я добрался до вопросов. Если честно, думал, будет гораздо хуже. В топе вопросов – работа и Лукацкий :) Поехали потихоньку.

Блогер Сергей:

В 2007 году ты писал для домохозяек? В ИБ столько не бывает ….

Резонный вопрос. Разумеется, я писал несколько для других аудиторий, они были более многочисленными и разнообразными. В 2007 писал в основном для националистов, коммунистов, сатанистов и прочей маргинальной публики. Так же у меня было несколько блогов и пара сайтов, так что спрашивали всякое.

 

Миша:

Где и кем сейчас работаешь?

Сейчас можно охарактеризовать род моей деятельности, как – предприниматель, блогер, консультант.

 

А.:

Почему ты все время засираешь Solar Security? Потому что они конкуренты Security Vision?

Хз, почему сложилось такое мнение, что я кого-то засираю? Тот же Солар – отличные ребята, да не без косяков, но у кого их нет? Я рассматриваю это, как бесплатную помощь. Если косяк имеет место быть, парни поправят. А если это пустая болтовня, отточат скилл отмазок.

Вот, из последнего. Андрей Прозоров заявил, что JSOC скоро будет в «магическом квадрате» Гартнера. Как вы понимаете, любой бы спросил – а зачем он там, если там уже есть HP ArcSight? Я просто был первым. Дальше, Андрей ушел от ответа, под предлогом, что я должен разбираться в их продуктах (это вендор говорит, ага), которые суть все равно работают на ArcSight. Глядишь, кому-то дали задание, что отвечать в таких случаях.

 

Роман:

Почему ушел из АйТи и чем сейчас занимаешься?

Ушел из АйТи, т.к. кадровая политика компании навязывала мне не совместимые с моими моральные нормы. Продавай говно, обманывай, будь верен компании, когда она тебя кидает и т.п. Плюс к этому, сам интегратор уже многие годы катится по наклонной, в чем явно прослеживается просчет акционеров.

Про занятия – см.выше.

 

Александр:

Привет. Очень нравиться твой блог. Всегда читаю, но, вот, выбор тем печалит. Очень мало про информационную безопасность. Как ты выбираешь темы?

Уже скоро год, как этот блог не про информационную безопасность. Сама по себе информационная безопасность тема довольно узкая, а внутреннее разделение на «бумажную» и «настоящую» — еще больше зауживает выбор. Здесь просто нет тем для периодического бумагомарания. Да, и отклик аудитории небольшой, посмотрите на Лукацкого.

Темы выбираю строго по-научному. Что вижу, о том пишу.

 

Аноним:

Чем обусловлен конфликт с Алексеем Лукацким? Чуть ли не в каждом посте, ты пытаешься его поддеть.

У меня никакого конфликта с Алексеем нет. Алексей, ввиду каких-то внешних причин, был в измененном состоянии сознания, и увидел в констатации факта – личный наезд. Уж, что это было – личная дружба с объектом факта, проблемы на работе или дома, мне не ведомо.

Если бы я хотел поддеть Алексея, я бы разбирал каждый его пост, указывая на все фактические ошибки и несуразицы, макал носом в непоследовательность мнений, сделал сайт – анти-Лукацкий и спамил бы его комментариями.

Я же всего лишь, с уважением к сделанному, использую Алексея как иллюстрацию в тех или иных случаях. Что поделать, у нас нет более известной личности в поибэ. Алексей сам выбрал этот путь, так что немного сравнений и пиара с моей стороны ему не повредят.

 

Борис:

Что плохого в безопасниках «воспитанных на блоге Лукацкого»?

Если кратко – все. Я сам когда-то его читал, т.к. это был самый оперативный источник по изменениям нормативки. В этом нет ничего плохого. Плохо, когда люди выпячивают, что они читают Лукацкого. Говорят, что чему-то там научились. В блогах нельзя ничему научиться, включая этот. Можно только принять информацию и пропустить через себя, найдя или нет в ней пользу.

Следовательно, безопасники-лукоблогеры сами расписываются в собственной неспособности думать. Они прочитали что-то где-то, и как стадо хомячков пошли разносить чуму по Европе. Потом глядь, тебе выдают заученную фразу (например (устал про ЗПД говорить), в Cisco нет закладок). Спрашиваешь – почему? Потому. И тишина.

Лукоблогеры убивают интеллект в нашей профессии, поэтому я против них.

 

Santor:

Почему ты со всеми конфликтуешь?  Это такой способ пиара?

Разумеется, конфликт один из основных источников пиара, лидирующий с круговым гандикапом. Этого не отнять.

И, нет. Я ни с кем не конфликтую. Да, там кто-то думает, что у него конфликт со мной. Но это их путь, не мой. Наверно, у них и особое сборище есть – «дружащих против». Они могут собираться каждую неделю, в темном подвале и с пристрастием рассматривать мои посты и комментарии, демонически хохоча. Они пересылают друг другу в чатах ссылки на обновления и т.д. и т.п.

Конфликты слишком затратны по времени и энергии, и очень интересны, конечно. Конфликт должен приносить пользу, хотя бы деньги.

Вот, Олеся Шелестова периодически накидывает на позитив. Тут все ясно – они прямые конкуренты, плюс что-то личное.

А мне с кем конфликтовать в поибэ? Из-за чего? Все это пустое. То, что многим кажется конфликтом, на самом деле лишь удобный способ проиллюстрировать  тот или иной вопрос.

 

Аноним:

Так ты в Positive Technologies или нет?

Нет.

 

SvX:

Как думаешь, на теме персональных данных еще долго можно будет зарабатывать? И какое сейчас самое перспективное направление в ИБ?

Зарабатывать в ЗПД можно будет долго, но с каждым годом все меньше и меньше. В итоге, будет как с PCI DSS – все упадут с 400 000$ до 500 т.р.

Проще сказать, какое направление не перспективное. Ввиду, последних новостей – сейчас просто вал SIEM, SOC, WAF. Понятно, что там уже ловить нечего. В итоге можно продавать чего хочешь, если сможешь напугать или показать эффективность. Думаю, за ним перспектива.

 

Bollard:

Привет. Хочу задать несколько вопросов к твоей традиционной вот уже 11 летней рубрике.

1)Почему не заведёшь twitter, было бы удобнее тебя там читать?

2)Почему вендоры и коллеги обижаются когда ты говоришь правду? Они ходят в каких-то розовых очках что ли?Вот твой последний пост о версусе ресурсов, да и о версусе специалистов. Ведь всё правда.Всё так и видится. И примеров просто полно. Достаточно взглянуть на сайты «вендоров №1», заброшенные пятилетние блоги, аккаунты в различных соцсетях и прочее, отсутствие форумов или замена их гугл группами (при импортозамещении-то). Что им мешает иметь такое же видение (предубеждения, пороки, непрофессионализм)?

А, он есть. Просто твиттер оказался такой неэффективной площадкой, что я просто сделал туда редирект с фейсбука. Неудобно ни постить, ни читать.

Почему обижаются? Ну, у меня есть теория на этот счет. Поибэ это такой междусобойчик, закрытый от всех других областей. В нем не принято, сильно выносить сор из избы. Скажем, один известный эксперт, занимающийся теперь вдруг новым направлением экспертизы еще в 2010 году – был туп как пробка по ЗПД. Об этом мне сказал, мой генеральный директор, который в безопасности не понимал вообще ничего. Но эксперт-то известный. По телеку показывают, вроде двигает Иб в массы.

Вся «компрометирующая» информация у нас всегда гуляла в кулуарах. За последний год, я узнал столько о топе поибэ, что просто диву даешься, как они еще могут людям в глаза смотреть? Прямо, вот, в каждого вендора/интегратора в фейсбучке тыкай, такое всплывает.

И, весь этот «компромат» рассказывался либо на пьянках, либо заказчикам. А тут, видите ли Дима, рассказывает что-то не особо приятное. Ату его!

Фокус в том, что ничего компрометирующего я не говорю. Я вообще, как тот жираф, который всю ночь смеется над анекдотами. Но ввиду отсутствия других видимых раздражителей, все агрятся на меня. Ну, не будет же компания А агриться на компанию Б за чернуху, ведь компания А поступает точно так же.

А, на этом все. До следующего года.

Что мне нравится в информационной безопасности?

Меня часто упрекают, что мне ничего не нравиться, и я всех критикую. Разумеется, это не так. Каноны жанра диктуют свои законы. Никому не интересно читать про хорошее, всем интересно читать про плохое. Что доказывает существование таких телеканалов, как НТВ и РЕН-ТВ. Да, вся наша поибэ держится на негативе: тут взломали, тут украли, тут риски новые, буууу!!

Как вы знаете, я пишу о недоработках, что бы их можно было исправить. Что бы помочь нам всем стать лучше. Но хватит обо мне, давайте о хорошем.

В нашей поибэ есть много прекрасного, чем я истинно восхищаюсь. И раз вы хотите хорошего, вот, вам хорошее.

Хорошее в информационной безопасности

В категории лучший firewall – CheckPoint. Просто нравится, за 8 лет только лучше становятся.

Лучший отечественный firewall – С-Терра. Самый приятный и честный вендор, с самой большой пропускной способностью. Всегда продавал с удовольствием.

Лучший антивирус – Касперский. Если антивирус все же покупать, то покупать Касперский. Да, поджирает память, да, делает что-то странное сам. Но лучше не найти.

Лучший WAF/DBS – Imperva. Стоит просто везде, самые первые на рынке (вроде). Очень люблю. К сожалению, ни одной не продал. Была возможность, но Информзащита загопстопила.

Лучший DLP – Infowatch. Давно их не видел, да и рынок DLP схлопывается до тошнотворной однообразности, но из всех Infowatch лучший по большинству параметров.

Лучший SIEM/SOC – IBM QRadar. И Гартнер со мной согласен.

Лучший сканер уязвимостей – XSpider.

Отечественный продукт, за которым интересно наблюдать – RuSIEM. Просто интересно, что как же у них получиться.

Лучший маркетинг – Solar Security. Чего у парней не отнять, так это их вездесущности. Куда не глянь, увидишь оранжевенькое. Конечно, не без косяков, но это самый всепоглощающий маркетинг на рынке.

Стартапер – Максим Лагутин. Можно только позавидовать чистоте упорства Максима в освоении денег инвесторов.

Топтание на месте – R-Vision. Давно наблюдаю за этой компанией. Парни оседлали волну самопроверки по СТО БР, и уже пару лет пробуют сделать свой SOC. R-Vision выступает просто на всех мероприятиях, в это году, видимо только на Инфосеке не были. Лучший образец бесцельного использования энергии.

Интегратор – Инфосистемы Джет. Наверно потому, что за 4 попытки у нас так и не срослось совместной работы.

Пресейл – Камиль из Техносерва. Реальное уважение к трудоспособности и навыкам.

Лучшая ИБ – Сбербанк. Я видел это.

Лучшая нормативка – ЗПД. Повторить можно, превзойти – вряд ли.

Алексей Лукацкий, как лучшее лицо отрасли. Ну да, вы можете сказать – какое лицо, такая и отрасль. Но посмотрите, как человек упорно трудится. Разумеется, не стоит читать все, что пишет Алексей, а то, что прочли провести через десяток фильтров. Но нельзя не восхититься последовательности и комплексности проводимой им работы. И не важно, что эта работа имеет деструктивную направленность – главное реализация и подход. А они – великолепны.

 

Наверняка, я что-то забыл, а где-то нет ничего хорошего. Но как видите, у нас есть повод для оптимизма. До новых встреч.

Значимые критерии (+упражнение о кидке Рольфа)

Здравствуйте, здравствуйте мои дорогие любители посчитать чужие деньги. Давно я не затрагивал темы экономической оценки. Должен поделиться своей радостью, уже самые хитрые начинают седлать тему – оценки ИБ. В частности, Андрей Прозоров, активно интересуется, где бы ему что-нибудь подсмотреть. :) Но, пока, смотрит не там. Но не суть, пусть это его начальник оценивает. Хочу поделиться с вами очередным кейсом по оценке.

Значимые критерии

Сама по себе оценка, вещь простая – бери и складывай, умножай. Большая толика проблем лежит в выборе критериев, что же собственно считать и как это делать. Если, вдруг, кто-то слушал мой филлер на Инфосеке, то знает – что единицу оценки называют критерием. Критерии можно собирать в группы и оценивать сразу группу.

Разумеется, надо оценивать лишь значимые критерии, а незначимые не надо. Именно выбор незначимых критериев, порождает смех, когда безопасник приходит со своими «экономическими выкладками». Например, Алексей Лукацкий уже пару лет ходит по конференциям и рассказывает, что безопасники определенных бизнесов должны прийти к директору и всунуть инновацию: «а давайте всех посадим работать удаленно! Внедрим BYOD, сэкономим на электричестве, офисных площадях и т.п. И BYOD. BYOD!!!!!11111» Первый раз я это услышал на вебинаре RISK, и словил немало лулзов. Даже сделал кучу пометок, и когда-нибудь я до них доберусь.

Смысл в другом, подобный безопасник, если и не отправиться сразу на хедхантер, то точно сильно сдаст позиции в компании. Все из-за того, что Алексей придумывал свои пассажи, что бы продавать BYOD от Cisco, а не решать конкретные задачи бизнеса.

Теперь, давайте разберем упражнение по выбору значимых и незначимых критериев.

Упражнение

Решил я купить жене машину. В результате долгих мытарств, мы выбрали Ford Kuga, черного цвета в топовой комплектации. Сходили на тест-драйв, и стали разговаривать о цене.

Основными салонами мы выбрали: Major Auto и Рольф Сити. Оба лидеры по продажам Ford в России. Собственно и планировалось выбрать между ними. И мы даже это сделали, но потом началась серия кидков и подстав, которая и породила данное упражнение.

Суть такова: менеджер Рольф Сити, назовем его Руслан, так обрадовался, что мы выбрали его, что предложил в нагрузку к зимней резине и защите картера, гарантию на 5 лет, 3 ТО бесплатно и поездку в Грецию. Затем, Руслан, позвонил полдесятого ночи, и сказал, что мы его обманули, и он нам ничего не обещал, за нашу резину он платить не будет, и идите нафиг.

После многократных разговоров с начальством Руслана, нам дали нового менеджера, который ухудшил (!) предложение на 30 000 рублей. Поговорив с Мэджером и еще одним салоном, у нас возникло три предложения:

Если оценивать данные критерии качественно, то, конечно, надо брать Рольф. Ведь, они столько предложили бесплатно, плюс халявная поездка – ляпота. Но давайте оценим каждый из критериев.

Разумеется, сразу из расчета надо выкидывать поездку. Поездка в Грецию, по аналогии с желанием Алексея продавать BYOD, не является значимым критерием, при выборе автомобиля. Плюс к этому, хотя сама по себе поездка оплачивает проживание в течение 8 дней (а это около 30 тысяч), перелет и прочие расходы на вас, а это те же самые 30 тысяч или больше, ведь вы туда отдыхать едите, а, следовательно, потратитесь. Если и включать данный критерий в оценку, то скорректировав на величину расходов.

Кстати, новый менеджер Рольфа прекрасно понимал, что поездка – фуфел. Т.к. сразу отказался снизить стоимость машины, на величину поездки. :)

Примерно таким же образом можно было бы избавиться, например, от гарантии или ТО3. Но не будем этого делать, чтобы не городить теорию.

Следующий шаг, оценить полноту критериев. Это значит ответить на вопрос: учтены ли все значимые критерии, влияющие на оценку?

Ответ: нет, не учтены.

Т.к. сейчас для машин, проданных в кредит идет большая скидка, то для его оформления надо оформить КАСКО. Следовательно, сумму страховки также надо включить в критерии (можно и сумму дисконта за кредит). ОСАГО включать не стал, т.к. его цена везде одинакова.

Немного посидев на телефоне и уточнив все цены, мы получаем следующее:

Вуаля. Оказывается, что лучшую цену дает Favorit Motors, который не зажопил работы по установке картера.

Ford я в итоге не купил, и, скорее всего, никогда уже не куплю. Пропало доверие к марке, с такими «лидерами продаж». Да, и политика кредитования у них странная, надо лучше выбирать банки в свою программу.

А, на этом все, до новых встреч.

 

P.S. В копилку разводок и приколов бизнеса по-русски:

1. Никогда не подписывайте в Рольфе предварительный договор до решения брать машину. Во-первых, он вас нифига не защищает. Мой договор уже аннулирован на основании телефонного разговора (!). Т.е. договор есть, но машину по нему, я уже никогда не куплю, если захочу. Фактически – это психологический трюк, чтобы вам было лень ехать и расторгать его.

Во-вторых, это не позволит воспользоваться хорошими предложениями в других Рольфах. Было хорошее предложение в Рольф Центр, но из-за «корпоративной политики», я им не смог воспользоваться.

В-третьих, предварительный договор н фиксирует даже стоимости машины. По сути, это все тот же развод, нацеленный на лень покупателя. Вы вполне можете приехать, и увидеть + 50 000 к цене. :)

2. Сотрудники Рольф Сити с радостью поливают дерьмом другие автосалоны Рольф. Например, на мой вопрос – почему в Рольф Центр точно такая же машина, на 100 000 дешевле. Мне менеджер не моргнув глазом, сказал, что они все подлецы и обманщики, вводящие в заблуждение клиентов. А самая честная цена, у него.

3. Главное не покупать в автодилере допоборудование, если его не дают в подарок. Главная накрутка происходит на работах (сюрприз!). Например, одинаковый перечень оборудования в Мэджоре стоил 130 000 р., а в Рольфе – 200 000 р. Интересно, сколько же у них ТО стоит? :)

Если не хотите потратить свое время, не покупайте Ford в Рольфе.

НСПК на крючке у АНБ?

Сижу я с утра, правлю резюме, и изучаю сайт потенциального работодателя Solar Security.

nsa-nspkЗацепился взгляд за последнюю новость (сохраненная копия):

Компания Solar Security, разработчик продуктов и сервисов для целевого мониторинга и оперативного управления информационной безопасностью, сообщает об успешном завершении основного этапа проекта, реализованного в АО «Национальная система платежных карт» (НСПК).

В ходе проекта сотрудники Solar Security и НСПК совместно подключили инфраструктуру компании к сервисам Solar JSOC, который обеспечил выявление и анализ событий ИБ, а также позволил предотвращать кибератаки в режиме реального времени 24/7. Параллельно в НСПК была развернута вся необходимая инфраструктура для построения внутреннего SOC, на которую постепенно были перенесены правила корреляции и выявления инцидентов, профили источников данных и другие наработки Solar JSOC.

Успешное функционирование национальной платежной системы является одной из задач национального значения. Поэтому с момента создания НСПК специалисты компании отводили ключевую роль формированию надежной системы кибербезопасности. Важной частью такой системы является мониторинг инцидентов ИБ.

Согласно мировой практике, создание системы мониторинга и реагирования на угрозы кибербезопасности может занять несколько лет, поэтому на период ее построения в НСПК было принято решение об использовании услуг ИБ-аутсорсинга. В качестве сервис-провайдера была выбрана российская компания Solar Security.

Я, честно сказать, порадовался, какой крупный проект. А потом, что-то мне показалось очень неправильным. Всем известно (да, и вендор этого не скрывает), что Solar строит свой SOC Solar inView и его аутсорсинговую версию JSOC на продуктах компании HP – ArcSight. Это, кстати единственный продукт из 4, который Solar не стал заявлять в реестр отечественного ПО (хотя мб и подали):

Все отечественные продукты Solar Security

Все отечественные продукты Solar Security

Т.е. это единственный не отечественный продукт в линейке компании. Я уже писал, что продажа услуг – легальный способ обхода ограничений на покупку иностранного ПО. Судя по новости, НСПК решил строить свою самую главную систему информационной безопасности на западном вендоре… И теперь, каждый сенсор ArcSight будет стоять на каждом ключевом узле НСПК, что бы передавать информацию в JSOC. Это просто особенности работы этой системы.

solar-jsoc-sec

Конечно, у нас на рынке есть более сведущие люди по закладкам АНБ в западных решениях, и об этом надо спрашивать Илью Медведовского. Но мне представляется, крайне плачевная ситуация. Ведь, что такое система SOC? К какой информации она может получить доступ?

Вероятная схема утечки данных из НСПК

Вероятная схема утечки данных из НСПК

Как минимум:

  • Настройки средств защиты;
  • Настройки сетевого оборудования;
  • Настройки серверов и рабочих станций;
  • Инциденты безопасности и многое другое.

Если предположить, что HP сотрудничает с Агентством национальной безопасности США, как и Cisco, то вся наша платежная система уже под колпаком.

Считайте меня параноиком, но я хотел бы задать вопрос – кто кого ввел в заблуждение, принимая решение ставить западное решение ArcSight под торговой маркой Solar Security?

В то время, когда основным драйвером для НСПК стало возвращение Крыма и попадание нашей страны под несправедливые санкции. Мы открываем всю нашу платежную информацию вероятному противнику… Фактически каждый житель России, теперь под колпаком у США. Так мало того, инфраструктура НСПК подвергается серьезному риску, если уже не взломана…. Все это крайне печально.

У меня, к сожалению, нет никаких твердых данных, и все выше изложенное всего лишь мнение человека со стороны, обывателя. Но в этой истории больше вопросов, чем ответов. Надеюсь официальные представители НСПК прокомментируют ситуацию.

Всего вам доброго.

Старикам здесь не место, или средства защиты информации, на которых не заработаешь

Как-то неожиданно все друзья и коллеги узнали об этом блоге, и настала популярность :) Самый популярный вопрос – зачем? Ответ: конечно, дикий и бешеный самопиар, чем я хуже.:) И, к тому же, я – графоман.

Но перейдем от личной популярности к популярности в информационной безопасности. А именно о средствах информационной безопасности, вышедших «в тираж». Что это?

Устаревшие средства защиты

С точки зрения интегратора (продаж) – это средства защиты, на которых уже нельзя заработать. Рынок этого насыщен и/или это уже у всех есть. Этим нельзя удивить, на этом не сделать квоту, это вышло в тираж.

С точки зрения заказчика – это уже ставшее чем-то обыденным, чем-то являющимся само собой разумеющимся. Тем, о чем знает даже собственник бизнеса, который может говорить лишь о яхтах и сигарах.

— Имя, сестра, имя!

Возглавляют список антивирусы. Вот уж точно о них слышали все. Если его у вас нет, вы, скорее всего, сидите на линуксе. Интегратору здесь практически не заработать, особенно с нуля. Да, если у вас в пуле есть заказчик с 10 000+ станциями, вы получите 1 млн. маржи.

Касперский, ESET, Symantec и остальные — извините.

Следующие в списке – межсетевые экраны и VPN. Тут все разнообразней, ведь даже на Cisco можно включить ACL и получить простенький фаервол. Если в штате есть безопасник, то можно увидеть фаервол сертифицированный и с гостовым VPN. Но если его нет, любой айтишник ограждает свою вотчину извне. Заработать еще можно: при поставке сертифицированных решений (желательно с гостом), а также при расширении филиальных структур и постройке чего-нибудь нового. Один минус: фаервол — это надолго, на второй год, в лучшем случае, техподдержку продашь.

Тройку замыкают системы анализа защищенности. Этих уже поменьше, но если есть безопасник – значит в 90% случаев есть XSpider. Что может быть более любо, чем посканить и принести красивый отчет? Сейчас все больше разрастается Qualys. Ну, и старший брат паука – MaxPatrol. Интеграторы чаще всего закладывают сканеры для выполнения требований по защите персональных данных. Если деньги есть – MaxPatrol, если нет – Xspider.

Это были старички. Есть и потенциальный новичок – DLP. Если раньше можно было продать 1000 лицензий за 20 млн., теперь уже нет такой роскоши. Все, кому нужно было купить — купили. Подтянулись новые игроки, сбросили с себя пыль старички – и пошла заруба, кто меньше даст цену. Еще пара лет, и будет как с антивирусами.

И, чтобы уж было ровно пять, внесем в список IPS/IDS. Скажу честно, продавал я их только для персданных. Решение это не самостоятельное, и всегда берется в нагрузку к фаерволу. Купили Cisco или Check Point, и IPS там же купите. Со смертью StoneSoft и разнообразие ушло – либо безумно дорого, либо snort под разными соусами.

Не обижайте стариков. Всего вам доброго.