Стратегии защиты информации при использовании open source решений

Дискуссии о применимости решений с открытым исходным кодом для защиты от кибератак идут уже многие годы, и вряд ли можно поставить точку в этих спорах. Однако полезно время от времени проводить анализ ситуации с этими решениями и, если можно так выразиться, подводить промежуточные результаты. Но если посмотреть историю вопроса, то в спорах звучат одни и те же аргументы, которые время от времени меняют знак с плюса на минус и обратно. Давайте в очередной раз рассмотрим основные преимущества, они же — недостатки.

Самое очевидное преимущество решений с открытым исходным кодом — это их бесплатность. Тут всё понятно — они не стоят ничего: ноль рублей и ноль копеек. Более того, предполагается, что их можно свободно модифицировать под свои нужды своими же силами. Этот неоспоримый плюс легко превращается в минус, когда приходит понимание, что бесплатно только программное обеспечение, а вот время работы специалистов по настройке плохо документированного ПО может стоить существенных денег и занимать неприличное количество времени, а у средних и даже крупных компаний просто может не быть бюджетов для доведения до ума этих бесплатных решений в конкретной ИТ-инфраструктуре. При этом нет никакой технической поддержки, у которой можно спросить, почему ничего не работает, и некому предъявить претензии, когда становится понятно, что решение не работает так, как вы ждёте.

Второй «неоспоримый» плюс — это открытый исход, который в теории должен защищать от потенциальных уязвимостей, закладок и всего подобного. Логика тут в следующем: программой пользуются миллионы людей по всей планете, кто-то обязательно должен будет заметить, что что-то не так, и тут же исправить все недостатки. Этот миф потрясающе устойчив, несмотря на легендарные баги, которые оставались в приложениях с открытым исходным кодом многие годы, хотя имеющиеся «миллионы пар глаз» должны были его заметить. Но у этого вопроса есть ещё одно измерение: огромное количество коммерческого ПО базируется на решениях с открытым кодом. И все баги благополучно переезжают в эти коммерческие решения в неизменном виде. Какая-нибудь уязвимость в веб-сервере nginx или apache после публикации в CVE успешно ставит под угрозу сотни коммерческих решений, которые используют эти веб-серверы для публикации панели администратора. Более того, никто не обязывает людей, обнаруживающих уязвимость в коде, тут же сообщать о ней всему миру. Теперь уже открытый исходный код может оказаться существенным минусом.

Третий момент — это функционал. Может показаться, что бесплатные решения ничем не уступают коммерческим. Ну действительно, при сравнении даташитов может действительно сложиться такое впечатление. Зачем покупать дорогущие решения от Cisco или Juniper, если есть Snort? Кому нужна СУБД от Oracle, если бесплатно можно скачать PostrgeSQL? И ещё интереснее: кто покупает платный Docker, если его можно скачать бесплатно? В этом ещё одна особенность современного open-source, которое существует уже много лет и имеет популярность в сообществе. Да, решения бесплатные, но бесплатно вы получаете самый базовый функционал решения — без поддержки, без интеграции с другими решениями, без каких-то фишек, которые могут стать необходимыми при крупных развёртываниях. И бесплатность решения приобретает дополнительное измерение. Появляются всевозможные «но».

И что теперь делать со всеми этим знаниями? ИБ во многом — это искусство управления рисками. И действительно бесплатные решения могут закрыть огромное количество потребностей даже крупных организаций. Однако необходимо всегда держать в голове причину, по которой то или иное решение является бесплатным, а также понимать, за что берут деньги компании, предлагающие решения с открытым исходным кодом за деньги. Какие-то системы действительно можно защитить бесплатно. Для других систем можно комбинировать решения для закрытия конкретных технических или регуляторных требований. Но для огромного количества проблем бесплатного софта попросту недостаточно. И это нужно учитывать при планировании защиты своей инфраструктуры. Круто, если у вас в команде опытные специалисты, которые могут довести бесплатные решения до ума, но полностью полагаться на это я бы точно не стал. Потому что это тоже риск: сегодня у вас есть такой супергерой, а завтра — нет. И кто будет поддерживать всё то, что он внедрил и настроил?

Каждая итерация дискуссий о месте решений с открытым исходным кодом выглядит примерно так. Мы можем встретиться через пару лет и сверить часы, однако я уверен, что принципиально новой аргументации не появится. Или нет?

Автор: Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.