Co mi vadí na nejrůznějších bezpečnostních reportech firem nabízejících bezpečnostní řešení

Jistě jste se s ním setkali i vy. Bezpečnostním reportem, jenž uvádí, v kterých zemích a odvětvích bylo zachyceno nejvíce phishingu, malware, DDoS útoků apod.

Položili jste si však někdy otázku, jak to mohou ty firmy proboha tak přesně vědět? Nevědí to, a už vůbec ne přesně, ale ta čísla prostě prodávají a pomáhají přesvědčit ke koupi daného bezpečnostního řešení.

V prvé řadě je třeba si položit otázku, odkud se ta čísla berou. Odpověď je nasnadě, ta čísla se berou od zákazníků, kteří používají dané bezpečnostní řešení, a v tom je zakopaný pes.

Pokud se v reportu uvádí, že celkem bylo napadeno X % českých uživatelů, je třeba to chápat tak, že na počítači X % uživatelů používajících daný produkt byl detekován malware. Výrobce daného bezpečnostního řešení jaksi předpokládá, že když jeho produkt našel u X % jeho klientů malware, tak že by se tento podíl nezměnil, ani kdyby jeho produkt byl nainstalován na všech počítačích.

Jenže to není pravda. Problém je v tom, že uživatelé, co používají daný produkt, mají nejspíš cosi společného, když si jej totiž mezi tolika bezpečnostními produkty vybrali, navštěvují třeba stejné stránky na webu, co já vím, ale každopádně se nejedná o náhodný výběr, takový vzorek, byť třeba i velký, není dostatečně reprezentativní, a tudíž nemůže dojít k zobecnění této informace na celek.

Je zřejmé, že někde může mít daná společnost nabízející bezpečnostní řešení dominantní podíl na trhu a její produkt může být nasazen na většině strojů, a někde zase naopak minimální a její produkt může být nasazen jen u několika málo zákazníků.

Pokud daný produkt není nasazen na většině strojů v dané zemi anebo ani není rovnoměrně zastoupen v jednotlivých odvětvích národního hospodářství, tak potom není možné tvrdit, že ta či ona země nebo odvětví se těší většímu či menšímu zájmu ze strany útočníků.

Dokonce, i když bude mít daná organizace v každém odvětví stejný počet instalací anebo ještě lépe stejný relativní tržní podíl a následně je pak realizován útok, který dané bezpečnostní řešení zachytí, tak přesto není možné na základě počtu detekcí prohlásit, že země A čelila většímu počtu útoků typu X, a nejvíce že byly postiženy firmy působící v odvětví Y.

Proč? Představte si, že v zemi A je jen jedna instalace daného bezpečnostního řešení, a na daný počítač byl i doručen škodlivý kód a ten byl tímto bezpečnostním řešením detekován. Z celkového počtu instalací byl tedy počet napadených 100 %. A teď si představte, že v zemi B je 100 instalací a také zde došlo k napadení jen jednoho počítače. Z celkového počtu instalací zde tedy bylo napadeno jen 1 % počítačů.

Na základě těchto informací se pak v reportu objeví informace, že země A je těžce pod útokem, zatímco země B se v reportu možná ani neobjeví. To podle toho, jak tomu bude v ostatních zemích. Co je na tom ale špatně? Především nevíme, jaká je velikost tamního trhu, jinými slovy, kolik je tam počítačů, na kterých by mohlo být dané bezpečnostní řešení nainstalováno, nebo ještě jinak, které by mohly být napadeny.

Co když v zemi A je jen jeden počítač? Pak bude informace v reportu dávat smysl, ale co když jich tam bude 100? Pak by na tom země A a země B byly úplně stejně. V obou případech byl napaden jen jeden počítač. A co když je v zemi A 1000 počítačů a v zemi B jen 100? Pak by na tom byla pro změnu výrazně hůře země B.

Další nepodstatnou roli pak hraje i odvětví hospodářství, kde ty instalace jsou, protože na některé organizace je útok veden jen proto, že jsou na internetu a na jiné proto, proč tam jsou. Ostatně o tom, proč tomu tak je, jsem psal zde. Dále je třeba zohlednit faktor času a místní specifika. To, že byl v zemi A detekován zvýšený počet útoků typu X na organizace působící v odvětví Y, ještě neznamená, že stejná situace nastane i v zemi B.

Aby měl daný bezpečnostní report vůbec nějakou vypovídající hodnotu, tak by musela být vždy uvedena poměrně detailní metodika hodnocení, a dále by muselo být uvedeno, o jakou hrozbu se přesně jedná, a co je do ní započteno a na základě jakých informací.

Dále by musely být uvedeny informace ohledně velikosti jednotlivých trhů, a penetrace daného produktu v rámci jednotlivých zemí a odvětví, aby bylo zřejmé, zda vůbec se jedná o nějaký statisticky zajímavý vzorek. Ale obávám se, že tuhle informaci firmy prodávající dané bezpečností řešení z důvodu konkurenčního boje asi příliš ochotně poskytovat nebudou.

V neposlední řadě je třeba si uvědomit, že firmy vyrábějící bezpečnostní řešení chtějí svůj produkt prodat, stejně jako firmy působící v jiných oborech, takže zveřejňují spíš takové informace, které mají podpořit prodej daného řešení.

Pokud se tedy firma specializuje na ochranu před DDoS, tak bude publikovat články o tom, kolik bylo vedeno útoků tohoto typu. Naopak firma nabízející ochranu před phishingem, bude zase celkem logicky psát o něm, stejně jako firma nabízející ochranu před malwarem, která zase bude reportovat každý výskyt malware, bez ohledu na to, jaký byl jeho potenciál způsobit škodu.

Pokud vás tento článek zaujal, můžete odkaz na něj sdílet.

Štítky:


K článku “Co mi vadí na nejrůznějších bezpečnostních reportech firem nabízejících bezpečnostní řešení” se zde nenachází žádný komentář - buďte první.

Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.

Přihlášeným uživatelům se tento formulář nezobrazuje - zaregistrujte se.

Jméno:(požadováno)
E-mail:(požadováno - nebude zobrazen)
Web:

Text vaší reakce: