Friday, April 17, 2015

Комплексная услуга

Читая книжку Practical malware analysis (кстати, обалденная книжка) пытаюсь найти применение этим знаниям для CISO и прихожу к выводу, что держать в штате заказчика таких ребят не надо, - разумнее это аутсорсить. Очевидно, что аутсорсить надо у того, кто это здорово делает и у кого объемы этой работы таковы, что ее себестоимость низкая. Кто же это такие :) ? Антивирусные вендоры!
Может, я, конечно, отстал от жизни и на рынке есть подобные предложения, но я не могу понять почему антивирусные вендоры не продают вместе со своими продуктами сервис по анализу и противодействию таргетированным атакам, против которых их продукты, очевидно, бессильны. Это позволило бы представить на рынке комплексную услугу.

Заказчику такая услуга интересна в том плане, что она комплексная и, очевидно, более эффективная чем всякие лозунги про эффективность автоматов и типовых подходов против APT. Автомат не способен адаптироваться, поступать нестандартно, здесь нужна работа человека... Да и вообще, пускай с профессионалами сражаются профессионалы!
Мое мнение, что в перспективе нас ожидают исключительно таргетированные атаки, поскольку мы почти все электрифицировали и разместили в Интернете, что позволят получать не виданный ранее профит, измеряемый миллионами рублей, а, вместе с тем, заказная разработка софта - 100 т.р. + способность поставить правильно задачу (написать техтребования).
Я это все говорю к тому, что автоматическая борьба с зловредами уже неэффективна и в недалеком будущем вообще превратится в профанацию, поэтому антивирусным вендорам надо задуматься об адаптации к ситуации и выводить на рынок более эффективные продукты\сервисы...

Прежде, чем описывать почему этот сервис будет выгоде антивирусному вендору. Попробую пофантазировать как этот сервис мог бы выглядеть.
1. Заказчик как-то узнал, что его поимели, да хоть даже из новостей... ну если не узнал никак, то он вряд ли будет заказчиком этого сервиса :) - вообще, сейчас мир таков, что есть только два типа заказчиков: которых имеют и они об этом знают и которых имеют и они об этом не знают, поэтому, если вы ничего не видите - это очень плохой знак!. Обращается на сервисную линию, ему выделяется телефонный эксперт, который помогает ему собрать необходимый эвиденс. Тут вендор может вложиться в курсы для своих заказчиков по компьютерной криминалистике, и этот шаг в большинстве случае будет пропущен - заказчик будет в состоянии собрать все что нужно, и как это нужно. Ну, или можно предоставлять автоматизированные инструменты для сбора.
2. Вендор, получив все это анализирует:
- выпускает экстру которая сразу позволит как-то "вылечить" проблему,
- помогает найти ответы на вопросы "что за негодяй", "какой мотив" и т.п. с чем можно пойти в милицию,
- помогает с "Lessons learned": что за уязвимость, как ее закрыть\снизить риск и т.п.
3. Все

Теперь, почему это выгодно антивирусному вендору. Во-первых, этот сервис недорог по себестоимости: ребята все равно это делают постоянно. Во-вторых, - это отличный источник информации для наполнения своих баз и вообще своего R&D. В-третьих, несмотря на то, что это R&D - это будет непосредственно финансироваться заказчиком (!!!) и это не надо будет прятать куда-то в стоимость поддержки\лицензий и т.п.

По-моему обалденная перспектива для всех. Надо брать и внедрять!

1 comment:

pushkinist said...

продавать софт намного выгоднее чем услуги, плюс объемы таких услуг небольшие относительно продажи коробок, много не заработать на этом. поэтому ав вендоры такое и не продают)
экономика типа.