Comments 110
Плюс за картинку.)
Хотя сама статья на мой взгляд лишь говорит «Все плохо, ужас», но ничего не предлагает взамен.
Хотя сама статья на мой взгляд лишь говорит «Все плохо, ужас», но ничего не предлагает взамен.
«Всё плохо, ужас» подразумевает, что «у нас нет надёжной защиты наших информационных систем»? В этом месте уже начинается тонкий маркетинг всякого рода secur* программ, решений и т.д.
Правильно просто признать, что нужно обсуждать проблему (а именно — наличие ошибок в программе, предоставляющих посторонний и нежелательный функционал) в другом ключе. В терминологии «как нам защитить (от чего?) компьютер» никакого конструктивного разговора не будет.
Правильно просто признать, что нужно обсуждать проблему (а именно — наличие ошибок в программе, предоставляющих посторонний и нежелательный функционал) в другом ключе. В терминологии «как нам защитить (от чего?) компьютер» никакого конструктивного разговора не будет.
Для большинства пользователей требование состоит в том, чтобы все, с чем они работают, работало так, как от него ожидают. И чем ближе соответствие, тем лучше.
Нерабочим называют состояние, когда необходимую функцию нельзя выполнить. Не важно, с чем это связано. «Безопасность» — это не очень понятная абстракция с точки зрения пользователя. Они не могут ее измерить, и, более того — в этом они правы (как следует из статьи).
Так что, казалось бы, логично формулировать термин «безопасность» в разрезе предполагаемого поведение системы в ответ на действия пользователя.
Но тут говорят свое слово взломы, вирусы и т.д. Они используют фактическое поведение системы, которое помимо используемых пользователем функций содержит побочные эффекты, т.е. все эффекты, возникающие в процессе непредусмотренного использования системы.
Следовательно, единственный способ гарантировать только предусмотренное поведение системы — объявить все непредусмотренное поведение ошибкой, и свести его к нескольким предусмотреным сценариям. Если рассмотреть все возможные состояния системы (а число таких состояний конечно), то можно определить функцию, которая для каждого состояния системы будет определять допустимые действия над системой. Следовательно, спроектировать систему, для которой все побочные эффекты будет сводиться к нескольким заранее заданным сценариям, теоретически возможно.
Насчет практики все сложнее, к сожалению. Все эти secure-системы предназначены как раз-таки для введения ограничений на использование системы. Но они тоже являются системами, в которых также могут быть побочные эффекты. Так что гарантию дать не получится, т.к. на доказательство отсутствия побочных эффектов уйдет о-очень много времени и денег, гораздо больше, чем вред от потенциального нарушителя.
Нерабочим называют состояние, когда необходимую функцию нельзя выполнить. Не важно, с чем это связано. «Безопасность» — это не очень понятная абстракция с точки зрения пользователя. Они не могут ее измерить, и, более того — в этом они правы (как следует из статьи).
Так что, казалось бы, логично формулировать термин «безопасность» в разрезе предполагаемого поведение системы в ответ на действия пользователя.
Но тут говорят свое слово взломы, вирусы и т.д. Они используют фактическое поведение системы, которое помимо используемых пользователем функций содержит побочные эффекты, т.е. все эффекты, возникающие в процессе непредусмотренного использования системы.
Следовательно, единственный способ гарантировать только предусмотренное поведение системы — объявить все непредусмотренное поведение ошибкой, и свести его к нескольким предусмотреным сценариям. Если рассмотреть все возможные состояния системы (а число таких состояний конечно), то можно определить функцию, которая для каждого состояния системы будет определять допустимые действия над системой. Следовательно, спроектировать систему, для которой все побочные эффекты будет сводиться к нескольким заранее заданным сценариям, теоретически возможно.
Насчет практики все сложнее, к сожалению. Все эти secure-системы предназначены как раз-таки для введения ограничений на использование системы. Но они тоже являются системами, в которых также могут быть побочные эффекты. Так что гарантию дать не получится, т.к. на доказательство отсутствия побочных эффектов уйдет о-очень много времени и денег, гораздо больше, чем вред от потенциального нарушителя.
Резюме для тех, кто не осилил «много букав» — гарантированно защищенную систему написать можно, но экономически невыгодно. Выгоднее закрывать только большую часть известных сценариев, а потом по мере обнаружения лазеек закрывать и их. На данный момент статус кво всех устраивает за неимением лучшего.
Давайте остановимся на «гарантированно защищённую». Если мы её можем написать, то мы можем _описать_ какой будет «гарантированная защита». Так?
И как это будет выглядеть? Я как раз и хотел написать, что причина такой слабости в области ИБ состоит не в том, что «бюджетов не хватает», а в том, что нет никакого описания полностью защищённой системы (давайте уберём слово «гарантия», потому что это опять же, не компьютерный термин. Пусть это будет просто «полная защита»)
И как это будет выглядеть? Я как раз и хотел написать, что причина такой слабости в области ИБ состоит не в том, что «бюджетов не хватает», а в том, что нет никакого описания полностью защищённой системы (давайте уберём слово «гарантия», потому что это опять же, не компьютерный термин. Пусть это будет просто «полная защита»)
Полная и абсолютная защита у системы может быть в том случае, если у неё нет коммуникаций с внешней, по отношению к системе, средой.
Что в нашем физическом мире все равно невозможно.
Даже сферический конь в вакууме повергается облучению.
Поэтому и говорится об уровне безопасности. Относительно уровня потенциальной опасности и угроз. Так что все правильно — есть действие, есть противодействие.
Есть угрозы (опасность), есть меры противодействия и предупреждения угроз (средства безопасности), точнее снижения их до минимально возможного уровня а также минимизации негативных последствий после их возникновения.
Даже сферический конь в вакууме повергается облучению.
Поэтому и говорится об уровне безопасности. Относительно уровня потенциальной опасности и угроз. Так что все правильно — есть действие, есть противодействие.
Есть угрозы (опасность), есть меры противодействия и предупреждения угроз (средства безопасности), точнее снижения их до минимально возможного уровня а также минимизации негативных последствий после их возникновения.
Уровень — это числовой? И от какого до какого шкала? И по каким параметрам нормируется? Я эти вычисления могу проконтролировать? Они объективные, или с потолка «вот это мы положим в 5% риска»?
Уровень — от «да фиг с ним, и так работать будет» до «вот этот болтик на 0.02 мм отличается от указанного в ТЗ; да, я знаю про допуск в 0.1мм, все равно переделывайте».
Заказчик системы сам определяет этот самый уровень.
От «да кому мы нужны, чтобы нас ломать» до «вы считаете шифрование с 1024 битным ключем достаточно надежным». В зависимости от выбранного уровня и строится и модель угроз и методы противодействия им. Исходя из желания руководства и финансовых возможностей компании.
Заказчик системы сам определяет этот самый уровень.
От «да кому мы нужны, чтобы нас ломать» до «вы считаете шифрование с 1024 битным ключем достаточно надежным». В зависимости от выбранного уровня и строится и модель угроз и методы противодействия им. Исходя из желания руководства и финансовых возможностей компании.
Неконструктивное определение. Что указанная защита будет у системы, которая не имеет коммуникаций — да, ок, соглашусь (интуитивно понятно).
Но на основании чего вы написали «только»? Это кем-то доказано? Из каких предпосылок и каким образом?
… нет таковых. Вот об этом «нет» я и говорю. Допустим, вы это написали без регалий и атрибутов, просто реплика в споре. Но ведь в какой-то момент это начинает утверждать сертифицированный специалист по ИБ, которого нужно слушаться. А на основании чего он это «только» говорит?
Но на основании чего вы написали «только»? Это кем-то доказано? Из каких предпосылок и каким образом?
… нет таковых. Вот об этом «нет» я и говорю. Допустим, вы это написали без регалий и атрибутов, просто реплика в споре. Но ведь в какой-то момент это начинает утверждать сертифицированный специалист по ИБ, которого нужно слушаться. А на основании чего он это «только» говорит?
На основании того, что угроза, которую нельзя реализовать, угрозой не является. Это все равно что вопрошать, на основании чего нуль символизирует ничто.
Э… Я не писал «только») Вполне допускаю, что существуют и другие возможные варианты, но они мне в голову пока что не приходят.
Другими словами, конструктивных моделей нет. Неконструктивная (но справедливая) модель есть. Есть конструктивный набор рецептов, справедливость и сообразность которых ничем не подтверждается.
Вот это всё и есть мои нарекания по отношению к современному состоянию ИБ.
Точнее, не это (ок, текущее состояние знаний человечества), а то, что эти знания предлагают как источник экспертных заключений, оценок и т.д.
Вот это всё и есть мои нарекания по отношению к современному состоянию ИБ.
Точнее, не это (ок, текущее состояние знаний человечества), а то, что эти знания предлагают как источник экспертных заключений, оценок и т.д.
Простите, а внутреннее взаимодействие компонентов системы как источник опасности вы не рассматриваете?
А мне не понравилась картинка. Слово бижутерия слишком крупно неправильно написано :)
Ваш пример некорректен. Утверждается, что в ТЗ описаны функции, соответствующие интервалу [1; 2]. Но это невозможно, ведь множество таких точек тоже континуум, в отрезке ничуть не меньше точек, чем во всей числовой прямой. Чтобы пример стал корректным, нужно за функционал, описанный в ТЗ, взять конечное число точек.
Да, спасибо. Вы только что описали еще один вид уязвимостей, не описанный ранее.
Пример некорректен, поскольку любой требуемый функционал описывается конечным автоматом и имеет конечное множество возможных состояний. Программа, которая имплементирует функционал, также имеет конечное множество состояний, причем такое, чтобы включить в себя все множество требуемого функционала.
Проблема как раз в том, что как правило программа не точно соответствует требуемому функционалу, а намного больше, и включает в себя состояния, которые не соответствуют требуемым («дополнение»). При нормальном использовании программа не входит в эти состояния. Однако задача хакера — разработать протокол работы, который вводит систему в такие состояния.
Тем не менее множество «дополнений» также конечно. Соответственно и уязвимостей конечное количество. Откуда они берутся? Использование сторонних библиотек, фреймворков, «нестабильных» методов программирования, неявных допущений. Но все это уже давно изучено и выработаны методы анализа всей системы на уязвимость. Да, изначально мы не знаем точное количество уязвимостей, которые есть в системе. Однако каждая обнаруженная потенциальная уязвимость уменьшает вероятность системы быть взломаной.
С другой стороны, у нас есть статистика взломов, благодаря которой мы можем реально оценивать вероятность уязвимостей в системах, соответствующих тому или иному критерию. Скажем, если ни одна SFOD-12 за определенный промежуток времени не была взломана, мы можем дать вероятностную оценку данному критерию.
Проблема как раз в том, что как правило программа не точно соответствует требуемому функционалу, а намного больше, и включает в себя состояния, которые не соответствуют требуемым («дополнение»). При нормальном использовании программа не входит в эти состояния. Однако задача хакера — разработать протокол работы, который вводит систему в такие состояния.
Тем не менее множество «дополнений» также конечно. Соответственно и уязвимостей конечное количество. Откуда они берутся? Использование сторонних библиотек, фреймворков, «нестабильных» методов программирования, неявных допущений. Но все это уже давно изучено и выработаны методы анализа всей системы на уязвимость. Да, изначально мы не знаем точное количество уязвимостей, которые есть в системе. Однако каждая обнаруженная потенциальная уязвимость уменьшает вероятность системы быть взломаной.
С другой стороны, у нас есть статистика взломов, благодаря которой мы можем реально оценивать вероятность уязвимостей в системах, соответствующих тому или иному критерию. Скажем, если ни одна SFOD-12 за определенный промежуток времени не была взломана, мы можем дать вероятностную оценку данному критерию.
Какой-то холиварный топик…
Безопасность информации — состояние защищенности информации и поддерживающей инфраструктуры, при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.
А функционал, который не описан в ТЗ или документации к системе называется недекларированной возможностью и может считаться уязвимостью => такая система вероятнее всего не получит сертификат безопасности.
Безопасность информации — состояние защищенности информации и поддерживающей инфраструктуры, при котором обеспечиваются её (их) конфиденциальность, доступность и целостность.
А функционал, который не описан в ТЗ или документации к системе называется недекларированной возможностью и может считаться уязвимостью => такая система вероятнее всего не получит сертификат безопасности.
Ага, ну давайте играться словами.
Что такое «состояние защищённости»? Если у меня на дырявом апаче с qwerty-паролем лежит скан кредитки, но им никто не воспользовался, это состояние защищённости? Ведь по факту информация была эффективно защищена (раз никто не воспользовался).
Если вы хотите сказать про потенциальную возможность для злоумышленника, то вот я вас и спрашиваю, как вы, глядя на систему, можете сказать, что она находится в «состоянии защищённости»? Какой критерий «защищённости»? Не согласно бумажкам сертификации, а по сути? Вот я для «работает»/«не работает» могу написать объективные критерии. Более того, они настолько объективные, что у меня сервер способен сам отслеживать эти параметры, настолько просто они формализуются.
А как вы определите «защищённая» информация или нет? Один критерий я привёл — если никто не нарушил защиту, значит защищённая. Но как показывает пример Сони, у подобного критерия могут быть лёгкие… м… трепетания.
Дальше. Что такое «сертификат безопасности»? Не по форме (бумага ведомства такого), а в техническом смысле? Что он показывает и означает?
Что такое «состояние защищённости»? Если у меня на дырявом апаче с qwerty-паролем лежит скан кредитки, но им никто не воспользовался, это состояние защищённости? Ведь по факту информация была эффективно защищена (раз никто не воспользовался).
Если вы хотите сказать про потенциальную возможность для злоумышленника, то вот я вас и спрашиваю, как вы, глядя на систему, можете сказать, что она находится в «состоянии защищённости»? Какой критерий «защищённости»? Не согласно бумажкам сертификации, а по сути? Вот я для «работает»/«не работает» могу написать объективные критерии. Более того, они настолько объективные, что у меня сервер способен сам отслеживать эти параметры, настолько просто они формализуются.
А как вы определите «защищённая» информация или нет? Один критерий я привёл — если никто не нарушил защиту, значит защищённая. Но как показывает пример Сони, у подобного критерия могут быть лёгкие… м… трепетания.
Дальше. Что такое «сертификат безопасности»? Не по форме (бумага ведомства такого), а в техническом смысле? Что он показывает и означает?
А вот здесь уже вступают те самые критерии, для написания которых методом исследований выявили, что qwerty ненадежный пароль, а надежным паролем будет 6cff3b9a99 и аккауратно это дело записали в методику, которой должен руководствоваться специалист по безопасности. Потом приходит аудиторская комиссия, которая проверяет систему на соответствие стандарту N, который подразумевает под собой применение методики. Та же методика предполагает, что апач должен быть не дырявым, а последней версии и со всеми патчами.
Если никто не нарушил защиту, это не критерий защищенности.
Сертификат смотря на что… На всю систему или на отдельный продукт. Подразумевается, что продукт проверен по методике, в нем нет недекларированных возможностей и он защищен согласно стандарту.
Следующий вопрос будет с чего я взял, что соответствие стандарту является критерием защищенности? Отвечаю:
Стандарт говорит, что, к примеру, для обеспечения конфиденциальности данных они должны быть зашифрованы, но не говорит как. На этот случай есть методика, в которой описаны виды информации по ее критичности и каждому виду присвоено свое шифрование: от 40 до 512 бит. Методом все тех же исследований было выявлено, что 512 бит является надежним и зашифрованные таким образом пакеты сохраняют конфиденциальность даже в случае перехвата.
И нужно помнить, что абсолютной защиты не существует — взломать можно все. Существует экономически целесообразная защита — ради защиты $40 никто не будет покупать сейф за $2 млн.
Если никто не нарушил защиту, это не критерий защищенности.
Сертификат смотря на что… На всю систему или на отдельный продукт. Подразумевается, что продукт проверен по методике, в нем нет недекларированных возможностей и он защищен согласно стандарту.
Следующий вопрос будет с чего я взял, что соответствие стандарту является критерием защищенности? Отвечаю:
Стандарт говорит, что, к примеру, для обеспечения конфиденциальности данных они должны быть зашифрованы, но не говорит как. На этот случай есть методика, в которой описаны виды информации по ее критичности и каждому виду присвоено свое шифрование: от 40 до 512 бит. Методом все тех же исследований было выявлено, что 512 бит является надежним и зашифрованные таким образом пакеты сохраняют конфиденциальность даже в случае перехвата.
И нужно помнить, что абсолютной защиты не существует — взломать можно все. Существует экономически целесообразная защита — ради защиты $40 никто не будет покупать сейф за $2 млн.
Какая комиссия? Вы о чём? Если мы говорим о техническом (то есть объективном) состоянии дел, то никакой комиссии нет и быть не может. Алгоритм квадратного корня даёт квадратный корень числа вне зависимости от того, федеральная комиссия США по связи там, или наша россвязь. Если вы утверждаете, что состояние защищённости — это наличие сертификата, то это как индульгенция у христиан. Есть бумажка? Нет грехов! А технического метода проверки нет.
Я не понимаю, как у вас поворачивается язык говорить «критерии». Критерий — необходимое и достаточное условие.
Вы можете мне описать хоть одно конструктивное достаточное условие для «безопасной системы»? Типа, сделал — и точно никаких уязвимостей не будет никогда и во веки веков? Нет, не можете. Откуда тогда слово «критерий»?
Как только вы в «защищённость» добавили деньги, как нормирующий фактор, де-факто вы признали, что не существует технических методов для обеспечения безопасности. Есть только методы устранения конкретных опасностей _И ТОЛЬКО_.
Собственно про это статья и есть — никто не может говорить про безопасность, можно говорить только про конкретное множество конкретных уязвимостей, которые отсутствуют.
Я не понимаю, как у вас поворачивается язык говорить «критерии». Критерий — необходимое и достаточное условие.
Вы можете мне описать хоть одно конструктивное достаточное условие для «безопасной системы»? Типа, сделал — и точно никаких уязвимостей не будет никогда и во веки веков? Нет, не можете. Откуда тогда слово «критерий»?
Как только вы в «защищённость» добавили деньги, как нормирующий фактор, де-факто вы признали, что не существует технических методов для обеспечения безопасности. Есть только методы устранения конкретных опасностей _И ТОЛЬКО_.
Собственно про это статья и есть — никто не может говорить про безопасность, можно говорить только про конкретное множество конкретных уязвимостей, которые отсутствуют.
Вы сейчас утверждаете, что кирпич для строительства жилых домов использовать небезопасно, потому что может случиться нашествие инопланетян, которые все разрушат своими лазерами, при том, что перед строителями не стоит задачи защитить жильцов от инопланетян.
Да, безопасность определяется отсутствием недопустимого риска и ни одна система не может считаться аболютно безопасной, однако она может считаться достаточно безопасной в конкретных условиях.
Не нравится слово безопасность — не используйте. И перестаньте тратить деньги на антивирус, ведь все равно LulzSec все сломают ;)
Да, безопасность определяется отсутствием недопустимого риска и ни одна система не может считаться аболютно безопасной, однако она может считаться достаточно безопасной в конкретных условиях.
Не нравится слово безопасность — не используйте. И перестаньте тратить деньги на антивирус, ведь все равно LulzSec все сломают ;)
В вашей терминологии система считается безопасной, если она не подвержена известным на данный момент угрозам, т.е. безопасность в узком смысле.
В статье рассматривается безопасность в широком смысле.
И то, и другое является безопасностью, просто разных видов. А поскольку Вы опускаете необходимый для полноты картины контекст (в широком смысле, в узком смысле, включая детальноеописание этого термина), возникает иллюзия того, что разговор идет об одном и том же. Хотя это не так.
В статье рассматривается безопасность в широком смысле.
И то, и другое является безопасностью, просто разных видов. А поскольку Вы опускаете необходимый для полноты картины контекст (в широком смысле, в узком смысле, включая детальноеописание этого термина), возникает иллюзия того, что разговор идет об одном и том же. Хотя это не так.
Гхм, интересно, что безопасность — это скорее всего перевод слова security, которое значит как раз защищённость(безопасность — это скорее safety). А насчёт определения тут всё также как в криптографии и физической защите, защита должна быть настолько мощной, чтобы выгода полученная от её взлома была меньше затрат, требуемых для взлома.
Тут просто не получится дать более точное определение. Могу привести другой пример из программирования, где невозможно так же определиться с критерием соответствия, если будет уместно.
Тут просто не получится дать более точное определение. Могу привести другой пример из программирования, где невозможно так же определиться с критерием соответствия, если будет уместно.
>защита должна быть настолько мощной, чтобы выгода полученная от её взлома была меньше затрат, требуемых для взлома.
Плохой критерий. Мы не можем в общем случае оценить выгоду злоумышленника, да и вообще считать деньги в чужом кошельке моветон. Более-менее нормальный критерий: защита должна быть настолько мощной, чтобы ущерб (включая оценку потери репутации) от её взлома не превышал затрат на неё.
Плохой критерий. Мы не можем в общем случае оценить выгоду злоумышленника, да и вообще считать деньги в чужом кошельке моветон. Более-менее нормальный критерий: защита должна быть настолько мощной, чтобы ущерб (включая оценку потери репутации) от её взлома не превышал затрат на неё.
Так статья-то об этом и есть. Вы кратко пересказали ее суть (кроме последнего провокационного абзаца).
UFO just landed and posted this here
Эээ… Топик о том что вы против маркетинговых спекуляций или я ничего не понял?
Автор протестует против различных трактовок слова «безопасность» в IT.
А сам при этом ставит рядом слова «математика» и "функционал".
UFO just landed and posted this here
Замените информационную на «производственную» или «пожарную» и поймете, что нигде нет математической строгости и полноты.
Однако, «не стой под стрелой» и т.п. — весьма разумные правила безопасности. И таки да, иногда появляются новые «уязвимости», благодаря альтернативно-одаренным персонажам.
Более того, все пространство состояний «системы» может быть неподвластным формализации. Да и не нужна эта полнота. Здесь как в теории вероятности, принцип практической уверенности. Ну вот маловероятно, что кирпич упадет на голову. Хотя некая вероятность есть и есть много забавных неведомых уязвимостей, когда кирпич можно словить. Большинству людей кирпич не грозит и грозить не будет.
Однако, наиболее вероятные отрезки стоить перечислить, проверить, выдать документ. Чем и занимается эксперт.
Не стой под стрелой, носи каску. Достаточная степень безопасности достигнута.
Однако, «не стой под стрелой» и т.п. — весьма разумные правила безопасности. И таки да, иногда появляются новые «уязвимости», благодаря альтернативно-одаренным персонажам.
Более того, все пространство состояний «системы» может быть неподвластным формализации. Да и не нужна эта полнота. Здесь как в теории вероятности, принцип практической уверенности. Ну вот маловероятно, что кирпич упадет на голову. Хотя некая вероятность есть и есть много забавных неведомых уязвимостей, когда кирпич можно словить. Большинству людей кирпич не грозит и грозить не будет.
Однако, наиболее вероятные отрезки стоить перечислить, проверить, выдать документ. Чем и занимается эксперт.
Не стой под стрелой, носи каску. Достаточная степень безопасности достигнута.
Пользуясь случаем, тоже расскажу про некий казус. Я в этом году закончил пятилетнее обучение по курсу «Защита информации» в одном не самом хреновом российском гос-университете. Все пять лет я тихо о*уевал от качества материала, предоставляемого на лекциях, некоторые из которых представляли из себя полуторачасовую рекламу какого-нибудь российского СЗИ из вот этих: ispdn.ru/szi/
Понимание пришло только в момент вручения диплома, когда я открыл корочку и прочитал: «Специалист по защите информации по специальности КОМПЛЕКСНОЕ обеспечение информационной безопасности вычислительных систем». Вот мне и втюхивали все пять какой комплекс средств лучше применить в той или иной организации. А ведь хотел сплоеты писать и конпилить =)
Камрады, не повторяйте ошибок =)
Понимание пришло только в момент вручения диплома, когда я открыл корочку и прочитал: «Специалист по защите информации по специальности КОМПЛЕКСНОЕ обеспечение информационной безопасности вычислительных систем». Вот мне и втюхивали все пять какой комплекс средств лучше применить в той или иной организации. А ведь хотел сплоеты писать и конпилить =)
Камрады, не повторяйте ошибок =)
Ну так вы на специалиста по безопасности учились, а exploit`ы — это специалист по опасности — таких у нас не учат.
По вашему получается, что специалисты по безопасности — это сугубо бумажные крысы, которые максимум что могут — это посканить сеть XSpider'ом =) А вайт-хэты — это значит добрые хакеры, ага.
Вы, наверное, удивитесь, узнав чем занимаются специалисты по безопасности в энтерпрайзе… Выбором антивирусов, например, или вот политикой обязятельной смены паролей. Такие вот люди востребованы. А добрые кевины митники пишут книжки и консультируют особо интересующихся, коих, замечу, совсем немного.
Вы много видели книг типа «Как написать загрузочный вирус с запуском операционной системы в виртуальной ммашине»? А для white hat такого рода сведения нужны, но увы, им не учат в университетых
Вы много видели книг типа «Как написать загрузочный вирус с запуском операционной системы в виртуальной ммашине»? А для white hat такого рода сведения нужны, но увы, им не учат в университетых
Знаете, мне за 5 лет уже осточертел этот холивар. Вы почему-то сразу переходите в крайности. Я же лишь говорю, что хорошего специалиста по ИБ от плохого отличает наличие фундаментальных знаний в области информационных технологий. Когда их нет — полноценное обучение в принципе невозможно.
Нынешние, _хорошие_ специалисты по ИБ не учились этой специальности в университетах, потому что тогда такой специальности просто не было в принципе. Чтобы противостоять на должном уровне взломщику, нужно знать не меньше него по части того, как именно надо _ломать_. Где, вы говорите, есть фундаментальные знания по этому вопросу, может Русинович где лекции читает?
Знакомый специалист сидит в банке и занимается тем, чему можно обучить даже собаку.
Вы говорите про сетевую и программную безопасность. Т.к. вы комплексник, вы должны знать, какое оборудование и ПО нужно купить, чтобы оно обеспечило эту безопасность. Вы должны уметь это оборудование настроить.
А вот эксплоиты пишут инженеры безопасности, которые это оборудование разрабатывают, тестируют, исследуют новые уязвимости и вам потом продают готовое, чтобы вы не тратили кучу времени и денег на собственные исследования.
Вы говорите про сетевую и программную безопасность. Т.к. вы комплексник, вы должны знать, какое оборудование и ПО нужно купить, чтобы оно обеспечило эту безопасность. Вы должны уметь это оборудование настроить.
А вот эксплоиты пишут инженеры безопасности, которые это оборудование разрабатывают, тестируют, исследуют новые уязвимости и вам потом продают готовое, чтобы вы не тратили кучу времени и денег на собственные исследования.
Тоже вполне себе специалисты по безопасности, правда в области менеджмента/управления безопасностью.
И те, что занимаются ethical hacking and penetration testing — тоже спецы по безопасности и этому(и не только) очень даже учат в университетах. Видимо только не в Российских…
И те, что занимаются ethical hacking and penetration testing — тоже спецы по безопасности и этому(и не только) очень даже учат в университетах. Видимо только не в Российских…
Кстати большая часть вирусных аналитиков в известных конторах — бывшие (?) хакеры (правильнее их называть реверсерами), некоторые были весьма известны в узких кругах. При этом они ВСЕ — самоучки.
Вам просто втюхали мнимую часть)
Закончил ВУЗ по специальности «Комплексная защита объектов информатизации» 3 года назад. Не говоря о качестве отдельных материалов, в целом, считаю, что давали то. Понимание почему «комплексная» и что для чего надо также имеется. Что я делаю не так? Может дело в конкретном ВУЗе? Конкретно по СЗИ было максимум 2-3 курса, в остальном больше вопросы организации ЗИ.
Всё хорошо, если вы сознательно хотели стать проектировщиком систем защиты. Я просто ожидал, что будут давать хоть какие-то основы computer science, без которых невозможно понимание того, как работает та или иная СЗИ. Вместо этого все СЗИ рассматривались в теории, как блэкбоксы с набором свойств, по которым можно определить, нужна в данной системе эта штука или нет. Ну и на выходе получили непонятно кого — чуваков с В/О, у которых как раз нет понимания «ЧЕ ВАЩЕ КУДА ВСТАВЛЯТЬ???», которые тут же пошли получать второе В/О.
Ах, не такой жизни я хотел!!!
Ах, не такой жизни я хотел!!!
Странно. Когда учился, не был в восторге от качества обучения, но, видимо, бывает и хуже. Нам давали достаточно много и общесистемных знаний (архитектура компьютера, программирование, ОС, сети). А конкретные программы или устройства рассматривали только в качестве примеров. Другой вопрос, что все знания оказались сильно общетеоретические и, не поработав год-два, было достаточно сложно их оценить… Скажем так, ВУЗ указал направление, в котором пошло развитие :)
В обучения по ИБ, на текущий момент необходимо включать отдельно психологию, так как самое слабое место в любой системе, это человеческий фактор. Ломать межсетевой экран значительно сложнее, чем секретаря в офисе. А у нас человек расписался в приказе, значит все хорошо, а что он в реальности знает, не важно.
А в дипломе указана специализация?
Часом ли не «проектирование, сопровождение и аудит комплексных систем информационной безопасности»?
Часом ли не «проектирование, сопровождение и аудит комплексных систем информационной безопасности»?
Не, так и написано: «Специалист по защите информации по специальности «комплексное обеспечение информационной безопасности вычислительных систем» =) А что?
Просто у меня тоже так написано, но дописана указанная мной специализация (правда дословность ее я не гарантирую, но суть та) :)
Поначалу я тоже думал, что втирают всякую фигню в универе, думал, что надо больше технической информации и т.п.
И только сейчас я понимаю следующее:
1) техническую информацию я смог получить самостоятельно Just for fun, ее сейчас и использую;
2) универ научил управлять процессами обеспечения информационной безопасности в организации;
3) универ дал мне знания, позволяющие формализовать процессы, касающиеся безопасности.
И вот теперь, когда я работаю в организации с несколькими сотнями пользователей, я понимаю, что универ-то в сущности был прав. Так как в отличие от чистых админов:
1) я могу набросать схему сети… даже не сети, а бизнес-процесса и задействованных в ней технику и персонал;
2) выявить узкие места процесса, спроектировать методы защиты узких мест;
3) реализовать защиту узких мест (причем как с помощью проприетарных средств, так и с помощью opensource, а иногда проще и самому что-то написать);
4) протестировать полученную систему самостоятельно, автоматизированно или с привлечением третьих лиц;
5) перейти в пункт 2, до тех пор, пока степень защищенности не станет достаточной для конкретной системы.
Комплексность в специальности означает то, что этот специалист способен провести автоматизированную систему по всем этапам ее жизни. Причем для этого он может использовать «некомплексных» (профильных) специалистов, которые будут писать эксплойты, тестировать конкретные ситуации, настраивать железки и т.п.
Кстати, в задачи этого специалиста обязательно будет входить подготовка нормативной базы (разработка политик, положений, процедур, инструкций).
То есть, «комплексный» специалист, он по сути, управленец, который способен спроектировать систему с нуля, внедрить ее, и проводить в мир иной по достижению пенсионного возраста.
Поначалу я тоже думал, что втирают всякую фигню в универе, думал, что надо больше технической информации и т.п.
И только сейчас я понимаю следующее:
1) техническую информацию я смог получить самостоятельно Just for fun, ее сейчас и использую;
2) универ научил управлять процессами обеспечения информационной безопасности в организации;
3) универ дал мне знания, позволяющие формализовать процессы, касающиеся безопасности.
И вот теперь, когда я работаю в организации с несколькими сотнями пользователей, я понимаю, что универ-то в сущности был прав. Так как в отличие от чистых админов:
1) я могу набросать схему сети… даже не сети, а бизнес-процесса и задействованных в ней технику и персонал;
2) выявить узкие места процесса, спроектировать методы защиты узких мест;
3) реализовать защиту узких мест (причем как с помощью проприетарных средств, так и с помощью opensource, а иногда проще и самому что-то написать);
4) протестировать полученную систему самостоятельно, автоматизированно или с привлечением третьих лиц;
5) перейти в пункт 2, до тех пор, пока степень защищенности не станет достаточной для конкретной системы.
Комплексность в специальности означает то, что этот специалист способен провести автоматизированную систему по всем этапам ее жизни. Причем для этого он может использовать «некомплексных» (профильных) специалистов, которые будут писать эксплойты, тестировать конкретные ситуации, настраивать железки и т.п.
Кстати, в задачи этого специалиста обязательно будет входить подготовка нормативной базы (разработка политик, положений, процедур, инструкций).
То есть, «комплексный» специалист, он по сути, управленец, который способен спроектировать систему с нуля, внедрить ее, и проводить в мир иной по достижению пенсионного возраста.
Думаю что не во всех системах мы имеем дело с бесконечной прямой. При ограниченном множестве вариантов эксплуатирования зависимостей (если примитивно, то например открытых портов), мы все же можем говорить об уровне безопасности как об обратной величине от термина опасности. На практике, думаю, не редко мы имеем дело с ограниченным множеством. Вспомните математические модели безопасности, которые могут говорить об однозначной безопасности.
Суть профессии специалиста по ИБ, как Вы справедливо заметили, состоит в том, чтобы указывать, как делать не надо и почему — отбросим лишнюю мишуру о классификацию угроз и управление рисками.
Я очень боюсь с утра пораньше некорректно выразиться, но, судя по статье, Вы — очень крутой мета-специалист по ИБ :)
По сути, кстати, классификация угроз и принцип адекватности защиты формируют вполне конечный ряд угроз, которым требуется противостоять, численно измеримый, хотя бы косвенно.
Я очень боюсь с утра пораньше некорректно выразиться, но, судя по статье, Вы — очень крутой мета-специалист по ИБ :)
По сути, кстати, классификация угроз и принцип адекватности защиты формируют вполне конечный ряд угроз, которым требуется противостоять, численно измеримый, хотя бы косвенно.
Нет, я не специалист. Я смотрю на эту индустрию сбоку, и мне пока не совсем понятно, на каких теоретических основах это всё зиждется.
Тут ширее надо смотреть: индустрия безопасности в ИТ — верхушка айсберга, по большому счету. Примечательно, что фундаментально индустрия безопасности вся базируется на принципах классификации и минимизации угроз, причем бумажек в айтишной отрасли не так много, как может показаться.
для сравнения, стоит, например, посмотреть в сторону авиационной безопасности (я про ГА): количество документации, которой должен очень хорошо владеть линейный пилот, зашкаливает все мыслимые, что, увы, не мешает самолетам периодически падать, несмотря на принципиально более высокий уровень стандартизации и обученности специалистов.
Посему — вопрос, по большому счету, в подходе, который, к сожалению, стар как мир…
для сравнения, стоит, например, посмотреть в сторону авиационной безопасности (я про ГА): количество документации, которой должен очень хорошо владеть линейный пилот, зашкаливает все мыслимые, что, увы, не мешает самолетам периодически падать, несмотря на принципиально более высокий уровень стандартизации и обученности специалистов.
Посему — вопрос, по большому счету, в подходе, который, к сожалению, стар как мир…
Угу. Но тут есть существенная разница. Если самолёты мы строит из того, что есть (материалы не мы создаём, то же касается строительства домов и т.д.), то компьютерную систему мы создаём сами полностью с нуля (я про человечество, а не про конкретного разработчика с пачкой import в начале файла). И почему-то тут ситуация оказывается такой же, как в случае с самолётами, если не хуже.
Ну, за время существования авиации, самолеты из чего только не строили — это, однако, никогда не было фактором, предотвращающим падения.
Хотя, продолжая сравнение, неприятной тенденцией в авиации является развитие т.н., человеческого фактора, который приводит, как выясняется к неприятно доминирующей доле авиапроисшествий и катастроф: умная техника, в принципе, способна решать задачи самолетовождения самостоятельно (дошел же прогресс!), а вот человек с присущими ему качествами и недостатками все портит.
По большому счету, дискутировать можно бесконечно долго, (даже в интервале [1,2] :)). Принципиально, теоретическая база — из области искусства войны, в части обороны, полагаю. Ничего другого человечество пока не придумало. Как следствие — годный специалист по ИБ отличается от мало годного исключительно опытом и кругозором.
Хотя, продолжая сравнение, неприятной тенденцией в авиации является развитие т.н., человеческого фактора, который приводит, как выясняется к неприятно доминирующей доле авиапроисшествий и катастроф: умная техника, в принципе, способна решать задачи самолетовождения самостоятельно (дошел же прогресс!), а вот человек с присущими ему качествами и недостатками все портит.
По большому счету, дискутировать можно бесконечно долго, (даже в интервале [1,2] :)). Принципиально, теоретическая база — из области искусства войны, в части обороны, полагаю. Ничего другого человечество пока не придумало. Как следствие — годный специалист по ИБ отличается от мало годного исключительно опытом и кругозором.
В этом и проблема. Вместо научной дисциплины мы получаем искусство. (По аналогии с искусством войны). Результаты зависят не от наработок в теоретической области, а от навыков того, кто их применяет. Разительный контраст с, например, электроникой и электротехникой. Чтобы использовать электронное устройство вовсе не нужно зубрить квантовую физику.
Тут вот еще что существенно: никому нафиг не нужна сферическая ИБ в вакууме, ибо это — прикладное, с позволения сказать, ремесло.
Точнее, так: существование безопасности как искусства, разумеется, имеет право на существование, но IRL все определяется тем самым нормирующим фактором — деньгами. В этот момент начинается новый виток обсуждения, в народе характеризуемый поговоркой вымыла мочало — начинай сначала, т.е., где начали, туда и приплыли: к определению адекватности организации указанных систем, опыту экспертов и т.п.
Собственно, отсюда все и пляшут, сочиняя стандарты, придумывая best practices и т.п.
Точнее, так: существование безопасности как искусства, разумеется, имеет право на существование, но IRL все определяется тем самым нормирующим фактором — деньгами. В этот момент начинается новый виток обсуждения, в народе характеризуемый поговоркой вымыла мочало — начинай сначала, т.е., где начали, туда и приплыли: к определению адекватности организации указанных систем, опыту экспертов и т.п.
Собственно, отсюда все и пляшут, сочиняя стандарты, придумывая best practices и т.п.
Именно в отношении этого у меня и состоит одна из интуитивных претензий. Когда мы говорим про «настоящие» науки, у них существует результат, который называют «прикладным» — и его можно использовать в очень простом виде, причём, при желании, можно подняться от этого простого вида к самому общему. С безопасностью этого нет — нет той теории, отдельные аспекты которой проявляются как прикладная часть. Каждый шаманит по-своему.
Под «общей теорией» я подразумеваю не разложение безопасности на аспекты (конфиденциальность, целостность и доступность), а техническую модель. Все конструктивные дисциплины (которые описывают «как делать») такую модель имеют, и из этой модели почти математическим (математическим?) образом вытекает механизм функционирования построенного практического решения.
У ИБ такой модели нет, нет общей теории из которой можно аналитическим образом вывести конкретные типы атак.
Под «общей теорией» я подразумеваю не разложение безопасности на аспекты (конфиденциальность, целостность и доступность), а техническую модель. Все конструктивные дисциплины (которые описывают «как делать») такую модель имеют, и из этой модели почти математическим (математическим?) образом вытекает механизм функционирования построенного практического решения.
У ИБ такой модели нет, нет общей теории из которой можно аналитическим образом вывести конкретные типы атак.
Что Вы понимаете под настоящей наукой? И почему Вы считаете, что у «ИБ» не существует прикладного результата?
Почему бы не привести аналогию с медициной? Также система (организм) существует в атмосфере постоянных опасностей (вирусов), которые видоизменяются и эволюционируют. Мы можем допустить инцидент и бороться с последствиями (лечение) или предпринимать защитные меры (укреплять иммунитет). В одном случае поможет клизма, в другом — витамины.
Почему бы не привести аналогию с медициной? Также система (организм) существует в атмосфере постоянных опасностей (вирусов), которые видоизменяются и эволюционируют. Мы можем допустить инцидент и бороться с последствиями (лечение) или предпринимать защитные меры (укреплять иммунитет). В одном случае поможет клизма, в другом — витамины.
Именно в момент сравнения ИБ с медициной я констатирую, как всё плохо. Медицина — это методология работы в условиях непонятного, неконтролируемого и неизвестного. Лучшее, что можно — делаем. А дальше «оставить в покое и пусть выздоравливает».
Заметим, последний совет в ИБ как-то не любят.
Заметим, последний совет в ИБ как-то не любят.
Математические законы никто не меняет. Завтра прямой угол не станет 89 или 91 градус. Число Пи тоже показывает стабильность.
Обеспечение ИБ же подразумевает реагирование на изменение угроз в постоянно изменяющейся среде. Да, как и медицина. Но это не значит, что всем надо бросать медицину и вступать в кружок математиков.
Я считаю, что неприменимость отдельных критериев «научности», которых, как я понимаю, Вы придерживаетесь, не позволяет делать выводы, что «ИБ — это шаманизм».
Обеспечение ИБ же подразумевает реагирование на изменение угроз в постоянно изменяющейся среде. Да, как и медицина. Но это не значит, что всем надо бросать медицину и вступать в кружок математиков.
Я считаю, что неприменимость отдельных критериев «научности», которых, как я понимаю, Вы придерживаетесь, не позволяет делать выводы, что «ИБ — это шаманизм».
Давайте скажем так, что ИБ — это не наука и не научная дисциплина, это всего лишь изложение существующего опыта с попытками систематизации. Никакой полноценной систематизации и общей модели эта дисциплина предложить не может, лишь наблюдения и мнения, подтверждающиеся авторитетом (который основывается на?).
Другими словами, советы по безопасности нельзя довести до теоретической проверки. Если вам говорят «в пароле обязательно должны быть буквы разных регистров», это не результат вычислений, это мнение кого-то там, кого столько раз цитировали, что уже забыли первоисточник.
Другими словами, советы по безопасности нельзя довести до теоретической проверки. Если вам говорят «в пароле обязательно должны быть буквы разных регистров», это не результат вычислений, это мнение кого-то там, кого столько раз цитировали, что уже забыли первоисточник.
Наконец ты дошел до этой мысли. ИБ — не научная дисциплина. Это набор стандартов, лучших практик и, в первую очередь, опыта.
Некоторые части ИБ вполне научные, криптография например, но в целом ИБ это экспертный сервис, живой организм. Число возможных комбинаций атак только на известные уязвимости в популярных продуктах составляет 232. Построить защиту, учитывающую все эти комбинации невозможно, потому в ходу теперь поведенческий анализ и динамическое профилирование и распознавание угроз, например. У меня есть подозрение, что если ИИ и будет создан когда либо, то силами либо поисковиков, либо безопасников )
Некоторые части ИБ вполне научные, криптография например, но в целом ИБ это экспертный сервис, живой организм. Число возможных комбинаций атак только на известные уязвимости в популярных продуктах составляет 232. Построить защиту, учитывающую все эти комбинации невозможно, потому в ходу теперь поведенческий анализ и динамическое профилирование и распознавание угроз, например. У меня есть подозрение, что если ИИ и будет создан когда либо, то силами либо поисковиков, либо безопасников )
Я почти был готов согласиться, но вот с паролями Вы зря. Есть конкретная формула: вероятность подбора пароля равна (число попыток)/((алфавит)^(количество символов)). Также существуют данные о стоимости или времени его подбора.
Говоря про формулы… Могу посоветовать обратить внимание на труды Клода Шеннона.
Говоря про формулы… Могу посоветовать обратить внимание на труды Клода Шеннона.
У xkcd насчёт этого был комикс. Есть формула, а есть злые хакеры, которые знают, что «1» чаще всего пишут либо в начало, либо в конец пароля, что большая буква только одна и т.д.
Указанная формула никак не учитывает «знание предметной области», в результате Pa$$w0rd идеально безопасный пароль, а Qwerty1 — более менее приличный.
Итого — очередной пшик, который преподносят как Очень Важное Правило Для Безопасности.
Указанная формула никак не учитывает «знание предметной области», в результате Pa$$w0rd идеально безопасный пароль, а Qwerty1 — более менее приличный.
Итого — очередной пшик, который преподносят как Очень Важное Правило Для Безопасности.
Хочется заметить, что «защита информации» — это не только человек с горящими глазами размахивающий руками и кричащий о влиянии вконтакта на безопасность, это еще и много других, действительно нужных вещей.
Например, управление рисками. Есть что-то, с чем организация не может мириться (риск активу выше некоего заданного уровня). Есть несколько контрмер, способных исправить ситуацию (устройство, документ, бранное слово). И должен быть человек, который сможет обнаружить этот риск и посоветовать контрмеру. И чтоб все это было адекватно. Что в этом плохого и неправильного?
Про сертификацию ничего не буду писать — как-то не понял, причем тут она…
Например, управление рисками. Есть что-то, с чем организация не может мириться (риск активу выше некоего заданного уровня). Есть несколько контрмер, способных исправить ситуацию (устройство, документ, бранное слово). И должен быть человек, который сможет обнаружить этот риск и посоветовать контрмеру. И чтоб все это было адекватно. Что в этом плохого и неправильного?
Про сертификацию ничего не буду писать — как-то не понял, причем тут она…
Меня беспокоят не те, кто указывает на воображаемые или реальные опасности, меня беспокоят те, кто говорят про безопасность получившегося.
Боюсь указать на то, что Вы, возможно, и так знаете, но рекомендуемый подход следующий: руководство определяет критерии принятия риска. Заданный уровень принятия риска достигается в ходе процесса защиты информации. В результате получается, что решение о том, что «стало безопасно» принимает руководство, а специалисты и эксперты просто предлагают и реализуют механизмы защиты.
Главное не скатиться до уровня хакера в столовой. :)
Мы вообще живем на весьма нестабильной каменной глыбе — цунами, землетрясения, магнитные бури, солнечные вспышки, космический мусор… Я уж не говорю про естественные физиологические опасности и проблемы, а также определенные ограничения фундаментальных физических законов (в плане противодействия им).
Тут дело не в подмене понятий, а в разночтениях терминологии.
Если взять в целом, то безопасность, естественно, может быть только относительной. Однако это не повод исключать слово из лексикона вовсе.
Мы вообще живем на весьма нестабильной каменной глыбе — цунами, землетрясения, магнитные бури, солнечные вспышки, космический мусор… Я уж не говорю про естественные физиологические опасности и проблемы, а также определенные ограничения фундаментальных физических законов (в плане противодействия им).
Тут дело не в подмене понятий, а в разночтениях терминологии.
Если взять в целом, то безопасность, естественно, может быть только относительной. Однако это не повод исключать слово из лексикона вовсе.
Вспомнилось в связи с этим постом:
Нужно было спроектировать «защищенную» систему, но из-за пакранойи заказчиков, которые не верили никаким сертификатам соответсвия, нельзя было использовать готовые решения (truecrypt, генту и некоторое другое, открытое ПО, они таки разрешили). Итак, был определн круг задач, которые пользователи должны выполнять: получение данных по сети (внутренней) через браузер и их отправка, хранение данных в на личном диске (тоже по сети, но монтировавшимся локально через TrueCrypt) и так далее.
После этого были определены классы, к которым каждая из задач принадлежала — при этом старались класс выбрать такой, чтобы кроме указанной задачи другого функционала не было. Любое средство защиты (iptables, к примеру), проверялось на лишний функционал. Выяснялось, можно ли собрать ПО без лишнего функционала, и если да, то собиралось только с тем, что нужно реально: к примеру, хромимум был собран без поддерки всякого барахла, ядро генты не умело работать с носителями информации, pxelinux не умел грузить что-то отличное от нашего образа и т.д. Радует, что нас не заставили реверсить и переписывать bios-ы машинок, на которые всё это должно было грузиться. А всё почему? А потому, что боялись утечек.
Нужно было спроектировать «защищенную» систему, но из-за пакранойи заказчиков, которые не верили никаким сертификатам соответсвия, нельзя было использовать готовые решения (truecrypt, генту и некоторое другое, открытое ПО, они таки разрешили). Итак, был определн круг задач, которые пользователи должны выполнять: получение данных по сети (внутренней) через браузер и их отправка, хранение данных в на личном диске (тоже по сети, но монтировавшимся локально через TrueCrypt) и так далее.
После этого были определены классы, к которым каждая из задач принадлежала — при этом старались класс выбрать такой, чтобы кроме указанной задачи другого функционала не было. Любое средство защиты (iptables, к примеру), проверялось на лишний функционал. Выяснялось, можно ли собрать ПО без лишнего функционала, и если да, то собиралось только с тем, что нужно реально: к примеру, хромимум был собран без поддерки всякого барахла, ядро генты не умело работать с носителями информации, pxelinux не умел грузить что-то отличное от нашего образа и т.д. Радует, что нас не заставили реверсить и переписывать bios-ы машинок, на которые всё это должно было грузиться. А всё почему? А потому, что боялись утечек.
Единственной задачей дисциплины «информационная безопасность» является описание рисков и снижение их до приемлемого уровня. Уровень «приемлемости» подбирается индивидуально в каждом конкретном случае и зависит от множества факторов.
А о чем топик я так и не понял.
А о чем топик я так и не понял.
При разработке СКЗИ и СЗИ первым делом составляется модель угроз. То есть какого плана угрозы и каким образом могут воздействовать на защищаемую систему. После чего составляются меры противодействия, по снижению влияния угрозы до минимально допустимого и доступного уровня.
Так что о «безопасности» можно действительно говорить только об относительной. Да еще и в рамках модели угроз, согласно которой система и спроектирована.
В остальном — ничего идеального нету. 128 бит шифрования уже считается потенциально ненадежным. А на подходе квантовые вычисления…
Так что о «безопасности» можно действительно говорить только об относительной. Да еще и в рамках модели угроз, согласно которой система и спроектирована.
В остальном — ничего идеального нету. 128 бит шифрования уже считается потенциально ненадежным. А на подходе квантовые вычисления…
На основании чего составляется модель угроз? Есть ли там какие-то алгоритмические/математические методы, или это перечисление из головы?
Ну, есть методические рекомендации, какие-то best practice.
Естественно, что все предусмотреть нельзя. И 100% гарантировать, что построенное по последнему слову техники (в том числе и защиты) здание завтра не испепелят каким-нибудь только открытым излучением, нельзя. :)
Тут можно опасть с бесконечную рекурсию:
— на основании чего строить защиту?
— на основании модели угроз
— а модель угроз на основании чего строить?
— на основе потенциальных угроз
-а кто эти угрозы определяет?
— модель угроз…
:)
При построении системы подобной уже ранее существовавшей угрозы рассчитываются исходя из опыта эксплуатации предыдущих и аналогичных систем. В случае новаторской области или идеи… Кто-то всегда будет первым.
Тотальная же паранойя… Ниже в комментарии я уже давал ссылку на «историю» "хакер в столовой" (легко гуглится по данному словосочетанию).
Собственно и систему можно ограничить только определенным образом (особенно, если она еще и должна взаимодействовать с другими системами). Вот и строится модель — чего потенциально может произойти, исходя, грубо говоря, из «памяти поколений», и как и от чего из этого списка будем защищаться.
Как правильно указано в статье неизвестных потенциальных угроз — бесконечное множество. От банального человеческого фактора до прилета Нибиру. Однако, имхо, это не повод кричать «мы все умрем!» и тихо ползти на кладбище, потому что полноценного понятия «безопасность» не существует.
Естественно, что все предусмотреть нельзя. И 100% гарантировать, что построенное по последнему слову техники (в том числе и защиты) здание завтра не испепелят каким-нибудь только открытым излучением, нельзя. :)
Тут можно опасть с бесконечную рекурсию:
— на основании чего строить защиту?
— на основании модели угроз
— а модель угроз на основании чего строить?
— на основе потенциальных угроз
-а кто эти угрозы определяет?
— модель угроз…
:)
При построении системы подобной уже ранее существовавшей угрозы рассчитываются исходя из опыта эксплуатации предыдущих и аналогичных систем. В случае новаторской области или идеи… Кто-то всегда будет первым.
Тотальная же паранойя… Ниже в комментарии я уже давал ссылку на «историю» "хакер в столовой" (легко гуглится по данному словосочетанию).
Собственно и систему можно ограничить только определенным образом (особенно, если она еще и должна взаимодействовать с другими системами). Вот и строится модель — чего потенциально может произойти, исходя, грубо говоря, из «памяти поколений», и как и от чего из этого списка будем защищаться.
Как правильно указано в статье неизвестных потенциальных угроз — бесконечное множество. От банального человеческого фактора до прилета Нибиру. Однако, имхо, это не повод кричать «мы все умрем!» и тихо ползти на кладбище, потому что полноценного понятия «безопасность» не существует.
Человек просит алгоритм. А Best Practices — это скорее «народные средства», вроде прикладывания подорожника :)
Официально одобренные алгоритмы имеются в соответствующих службах соответствующих органов. Соблюдая которые можно получить сертификат соответствия определенному уровню системы защиты.
Это на старте. А так, все со временем меняется и дорабатывается.
Построить изначально, с нуля и без последующих доработок абсолютно надежную систему невозможно. Всегда существует вероятность непредвиденного, что в договорах всегда закрепляют пунктом «форс-мажор».
Это на старте. А так, все со временем меняется и дорабатывается.
Построить изначально, с нуля и без последующих доработок абсолютно надежную систему невозможно. Всегда существует вероятность непредвиденного, что в договорах всегда закрепляют пунктом «форс-мажор».
Стоп. _МОДЕЛЬ_ угроз строится исходя из рекомендаций? То есть модели-то и нет? Я имею в виду не «модели угроз», а общей модели, из которой конструируется модель угроз для данного объекта? Просто мнения экспертов «это нужно прикрыть, тут нехорошо, а вот тут капуста завянет, солнышка нужно больше»?
Вот это меня и раздражает. Люди демонстрируют высшей степени снобизм, не имея за душой ничего, кроме душеспасительных советов.
Вот это меня и раздражает. Люди демонстрируют высшей степени снобизм, не имея за душой ничего, кроме душеспасительных советов.
Рекурсия, однако.
Как можно построить модель угроз, не зная об угрозах? Что-то частично можно измерить эмпирически, прикинуть. Но с неизвестными угрозами, то есть с опасностями, с которыми ранее не сталкивались… Как их моделировать?
Вот и получается, чтобы построить модель угроз нужно знать какие угрозы могут быть, а узнать какие угрозы могут быть можно только построив модель угроз, для построения которой, нужна модель угроз, из которой мы будем знать, какие угрозы могут влиять на систему, для определения которых нужно построить модель угроз…
Насчет снобизма — это уже вопрос квалификации кадров. Где тоже можно попасть в некислую неразрешимую рекурсию:
— как взять на работу хорошо безопасника?
— нужно, чтобы собеседование проводил опытный специалист; желательно тоже безопасник
— а как взять на работу хорошего опытного безопасника?
— …
Вот так и живем — определяем приемлемый уровень потери и рисков, латая систему безопасности и дорабатывая модель угроз согласно новым появляющимся фактам по ходу эксплуатации системы.
Как можно построить модель угроз, не зная об угрозах? Что-то частично можно измерить эмпирически, прикинуть. Но с неизвестными угрозами, то есть с опасностями, с которыми ранее не сталкивались… Как их моделировать?
Вот и получается, чтобы построить модель угроз нужно знать какие угрозы могут быть, а узнать какие угрозы могут быть можно только построив модель угроз, для построения которой, нужна модель угроз, из которой мы будем знать, какие угрозы могут влиять на систему, для определения которых нужно построить модель угроз…
Насчет снобизма — это уже вопрос квалификации кадров. Где тоже можно попасть в некислую неразрешимую рекурсию:
— как взять на работу хорошо безопасника?
— нужно, чтобы собеседование проводил опытный специалист; желательно тоже безопасник
— а как взять на работу хорошего опытного безопасника?
— …
Вот так и живем — определяем приемлемый уровень потери и рисков, латая систему безопасности и дорабатывая модель угроз согласно новым появляющимся фактам по ходу эксплуатации системы.
Картинки конечно иногда лишние, но вот схемы просто необходимы для избежания нудности. Чего так не хватало моему преподавателю. :)
Безопасность — это отсутствие опасности. «Безопасности», как и опасности, тоже бывают разные. Закрыли XSS — значит система XSS-безопасна. Не вижу никаких противоречий. Применять слово «безопасность» в глобальном смысле так же глупо, как и применять в том же смысле слово «опасность».
1. 100% защищенных систем не бывает. И нельзя закрыться от всех опасностей. Можно лишь свести риски к приемлемому уровню.
2. Закрыли XSS — значит система защищена от известных закрывающему реализаций угрозы. Поставив замок на дверь мы не можем рассчитывать, что теперь в помещение нельзя проникнуть.
2. Закрыли XSS — значит система защищена от известных закрывающему реализаций угрозы. Поставив замок на дверь мы не можем рассчитывать, что теперь в помещение нельзя проникнуть.
Совершенно верно: я об этом и написал в комментарии, на который вы ответили.
Возможно меня сбивает с толку первая фраза, но пока я ощущаю некоторое расхождение во взглядах :)
Не могу согласиться, что «безопасность — это отсутствие опасности», поскольку можно говорить о достижении состояния информационной безопасности, несмотря на существующие для системы опасности. Полностью исключить опасность информации можно только после исключения самой такой информации.
Не могу согласиться, что «безопасность — это отсутствие опасности», поскольку можно говорить о достижении состояния информационной безопасности, несмотря на существующие для системы опасности. Полностью исключить опасность информации можно только после исключения самой такой информации.
Мне представляется, что о безопасности можно говорить только в том же самом контексте, в котором говорится об опасности. Если мы рассматриваем опасность взлома сайта посредством XSS, то мы должны обеспечить XSS-безопасность. Если мы рассматриваем опасность уничтожения данных, то о мы должны обеспечить и XSS-безопасность, и SQL-injection-безопасность, и еще стопицот разных безопасностей. И безопасность от прямого попадания в дата-центр метеорита 10м в диаметре. Безопасности «вообще» не бывает. Как и опасности тоже.
Безопасность в классическом понимании это три свойства конфиденциальность, целостность и доступность. Обеспечением этих трех свойств занимаются специалисты в информационная безопасность.
То что написано про отрезки и прочее, это оценка рисков в ИБ. Эта оценка рисков требование бизнеса, выглядит недлепо? Но так оценивают любую сферу в бизнесе и ничего лучшего еще не придумали.
То что написано про отрезки и прочее, это оценка рисков в ИБ. Эта оценка рисков требование бизнеса, выглядит недлепо? Но так оценивают любую сферу в бизнесе и ничего лучшего еще не придумали.
Возмущение (не уверен что это правильный термин) автора топика, как я понимаю, от того, что даже с работой по защите любого одного из трех свойств, современная ИБ объективно не справляется. То есть она справляется, но субъективно.
Суперспециалист за большие деньги потанцует вокруг сервера и вроде как сделает его надежнее. (например, скажет, что теперь информация конфиденциальнее — ее тяжелее утащить).
Поп с кадилом тоже потанцует и тоже заверит, что теперь-то все будет хорошо.
Если меня как специалиста по защите информации попросят выбрать, кого из этих двух «защитников» пригласить — я выскажусь, что лучше первого. Но если спросить какого-нибудь «высокодуховного» человека с астральной связью с тонкими мирами — он скажет, что лучше попа. Тот наладит гармонию с высшим замыслом вселенной.
Так кому же довериться заказчику, который ничего в этом не понимает, но хочет знать на что и с какой эффективностью он тратит деньги? Для него и поп и Митник — одинаковые непонятные шаманы.
Эта «религиозность» и непонятность в ИБ уже приводит к тому что в нашей единственно верной религии появляются «еретики»: К какой-нибудь стандартной технологии придумывается новое имя и некто продает «уникальную» услугу (действительно, никто услугу с таким названием не продает). Успех продаж зависит только от того насколько авторитетно он ее опишет. При этом он становится «пророком» для тех, кто не знаком со сценой ИБ и не знает «кто крут, а кто нет». Ведь объективных методов проверки-то не существует.
Суперспециалист за большие деньги потанцует вокруг сервера и вроде как сделает его надежнее. (например, скажет, что теперь информация конфиденциальнее — ее тяжелее утащить).
Поп с кадилом тоже потанцует и тоже заверит, что теперь-то все будет хорошо.
Если меня как специалиста по защите информации попросят выбрать, кого из этих двух «защитников» пригласить — я выскажусь, что лучше первого. Но если спросить какого-нибудь «высокодуховного» человека с астральной связью с тонкими мирами — он скажет, что лучше попа. Тот наладит гармонию с высшим замыслом вселенной.
Так кому же довериться заказчику, который ничего в этом не понимает, но хочет знать на что и с какой эффективностью он тратит деньги? Для него и поп и Митник — одинаковые непонятные шаманы.
Эта «религиозность» и непонятность в ИБ уже приводит к тому что в нашей единственно верной религии появляются «еретики»: К какой-нибудь стандартной технологии придумывается новое имя и некто продает «уникальную» услугу (действительно, никто услугу с таким названием не продает). Успех продаж зависит только от того насколько авторитетно он ее опишет. При этом он становится «пророком» для тех, кто не знаком со сценой ИБ и не знает «кто крут, а кто нет». Ведь объективных методов проверки-то не существует.
Если вы не пишете софт для атомных электростанций Ирана, то с хорошей точностью систему можно назвать надежной или «безопасной», если проверена ее устойчивость к давно известным и часто применяемым атакам, которые хорошо изучены и классифицированы как раз как по вашим циферкам.
Как сделать безопасную компьютерную систему:
1. Стальной бункер в пустыне.
2. Взвод солдат по периметру.
3. Никаких проводов в или из бункера.
4. И главное — НЕ ВКЛЮЧАТЬ!
1. Стальной бункер в пустыне.
2. Взвод солдат по периметру.
3. Никаких проводов в или из бункера.
4. И главное — НЕ ВКЛЮЧАТЬ!
Безопасности информационной системы, это стечение обстоятельств, при котором все компоненты системы работают предсказуемо (стабильно). В другом случае обсуждение этого вопроса теряет смысл. Даже в изолированной системе есть N компонент, и в идеале, каждая компонента должна быть эталоном безопасности. А ведь баги есть не только в прикладной части, они есть железе, в топологии, структурные баги.
Это система, у которой нет части функционала (например, которая НЕ даёт доступа к информации, или которая НЕ предоставляет какую-то функцию). Таким образом, безопасная система, это система, в которой КРОМЕ описанного в ТЗ нет НИКАКОГО ДРУГОГО функционала.
У вас какое-то совершенно своё определение и понимание безопасности, практически ничего не имеющее общего с сутью.
Будет длинно, но может быть интересно кому-нибудь :-)
Во-первых, выполнение всех функций из ТЗ и невыполнение лишних — ничуть не гарантия. Система может быть уязвима просто по дизайну (по ТЗ). Мой любимый пример — это протокол IP, который (в сумме со всеми основными протоколами стека), на мой взгляд, является одним из чудес света, только в отличие от пирамид — он до сих пор используется по прямому назначению. Так вот в нем есть поле ID использующееся для «склейки» фрагментированных пакетов. Стандарт требует использовать разные значения для этого 16битного поля в разныхт пакетах, и рекомендует просто использовать счетчик (каждый раз делать +1). _стандарт рекомендует_. Именно на этой рекомендации основано анонимное сканирование портов (idle scan, dumb scan). Так что ТЗ само заложила бомбу в безопасность системы.
Во-вторых, ваш пост — это игра разума, которую можно назвать «серый не черный, не белый, значит никакой. но ведь серый же!». Есть отличный метод — присваиваем объективные количественные оценки измеряемому параметру, и анализируем feedback от наших действий на основании того, как меняются эти оценки. Здоровский принцип. И, современная информационная безопасность его не использует. (хотя иногда делает вид что использует, но это надувательство вроде «ресницы стали на 72% эффектнее!»). То есть, с этой точки зрения, вся сфера ИБ — надувательство и чушь. Но с другой, при всех недостатках, тем не менее, польза от нее ведь есть.
Нечто подобное есть в конфликте «психология vs физика». Психология, как наука, не использует критерий Поппера, обязательный элемент научного метода, и поэтому, строго говоря, не может даже именоваться наукой (хотя именуется). Поэтому, возможно, развивается не так бурно, как могла бы, если б могла использовать критерий поппера. Но это значит разве, что она шарлатанство и не имеет пользы? Нет. Хорошие психологи отлично решают множество проблем и «дебажат головы». Просто столь эффективный инструмент, который замечательно работает в простых ситуация (физика? что может быть проще? сколько там вообще понятий: атом, молекула, волна, скорость итд… ) не работает в сложных (грамотный психолог, наверное, одних только названий комплексов знает больше чем в физике сущностей). Ну слишком уж сложна психика, чтобы такой простой метод как критерий поппера применять. И хоть критерий и хорош, но приходится как-то без него крутиться, раз он не применим.
Так и ИБ вынуждена крутиться без объективной количественной оценки. И это не минус ИБ по сравнению, скажем, со сферой оборудования для контроля климата, где плохой кондиционер поддерживает температуру с погрешностью в 2 градуса, а хороший — с погрешностью в полградуса. Это наоборот плюс, потому что в этой нашей области, защитить даже хотя бы сервер — это вам не три релюхи спаять! :-)
Во-первых, выполнение всех функций из ТЗ и невыполнение лишних — ничуть не гарантия. Система может быть уязвима просто по дизайну (по ТЗ). Мой любимый пример — это протокол IP, который (в сумме со всеми основными протоколами стека), на мой взгляд, является одним из чудес света, только в отличие от пирамид — он до сих пор используется по прямому назначению. Так вот в нем есть поле ID использующееся для «склейки» фрагментированных пакетов. Стандарт требует использовать разные значения для этого 16битного поля в разныхт пакетах, и рекомендует просто использовать счетчик (каждый раз делать +1). _стандарт рекомендует_. Именно на этой рекомендации основано анонимное сканирование портов (idle scan, dumb scan). Так что ТЗ само заложила бомбу в безопасность системы.
Во-вторых, ваш пост — это игра разума, которую можно назвать «серый не черный, не белый, значит никакой. но ведь серый же!». Есть отличный метод — присваиваем объективные количественные оценки измеряемому параметру, и анализируем feedback от наших действий на основании того, как меняются эти оценки. Здоровский принцип. И, современная информационная безопасность его не использует. (хотя иногда делает вид что использует, но это надувательство вроде «ресницы стали на 72% эффектнее!»). То есть, с этой точки зрения, вся сфера ИБ — надувательство и чушь. Но с другой, при всех недостатках, тем не менее, польза от нее ведь есть.
Нечто подобное есть в конфликте «психология vs физика». Психология, как наука, не использует критерий Поппера, обязательный элемент научного метода, и поэтому, строго говоря, не может даже именоваться наукой (хотя именуется). Поэтому, возможно, развивается не так бурно, как могла бы, если б могла использовать критерий поппера. Но это значит разве, что она шарлатанство и не имеет пользы? Нет. Хорошие психологи отлично решают множество проблем и «дебажат головы». Просто столь эффективный инструмент, который замечательно работает в простых ситуация (физика? что может быть проще? сколько там вообще понятий: атом, молекула, волна, скорость итд… ) не работает в сложных (грамотный психолог, наверное, одних только названий комплексов знает больше чем в физике сущностей). Ну слишком уж сложна психика, чтобы такой простой метод как критерий поппера применять. И хоть критерий и хорош, но приходится как-то без него крутиться, раз он не применим.
Так и ИБ вынуждена крутиться без объективной количественной оценки. И это не минус ИБ по сравнению, скажем, со сферой оборудования для контроля климата, где плохой кондиционер поддерживает температуру с погрешностью в 2 градуса, а хороший — с погрешностью в полградуса. Это наоборот плюс, потому что в этой нашей области, защитить даже хотя бы сервер — это вам не три релюхи спаять! :-)
Существует термин "защита информации". Он кстати, часто встречается в названиях специальностей в ВУЗах.
Причём даже в названии научной специальности (05.13.19 «Методы и системы защиты информации, информационная безопасность») данный термин стоит раньше спорного "информационная безопасность".
По тексту комментариев его использовали, но никто не задумался в ключе данной статьи о том, что смысл термина "защита информации" — другой.
Причём даже в названии научной специальности (05.13.19 «Методы и системы защиты информации, информационная безопасность») данный термин стоит раньше спорного "информационная безопасность".
По тексту комментариев его использовали, но никто не задумался в ключе данной статьи о том, что смысл термина "защита информации" — другой.
Безопасность это не результат. Безопасность это процесс движения к наиболее защищенному состоянию.
не бывает абсолютно безопасных систем
не бывает абсолютно безопасных систем
Sign up to leave a comment.
Информационная опасность