Все мы знаем о фундаментальных законах физики, открытые Ньютоном и Галилеем. Наверное хотя бы немного со школьных парт слышали об аксиоматике Евклида. Кто решил хотя бы приблизиться к положению homo universalis, (хотя в наш XXI век это весьма непросто) наверное что-то слышал о законах Данилевского, Тойнби и/или Сэмюэла Хантингтона...
А что с Информационной Безопасностью? Есть ли у нас, ИБ-шников свои фундаментальные законы? Да — есть! И в этой статье о них пойдет речь.
Сразу скажу, что многие читатели сделают замечание; ведь многие законы были известны задолго до того, как я их услышал от определенных лиц… Что-ж, в этом случае сошлюсь на Закон Стиглера: "No scientific discovery is named after its original discoverer".
Закон Индюкова
Чем больше прошло времени с момента последнего серьезного ИБ-инцидента, тем больше вероятность взлома системы
Этот закон я впервые услышал от одного системного администратора одного весьма крупного банка…
Вот прошел инцидент, украли XX млн.руб, всем дали по заднице, пароли сменили, заказали крутые ИБ-системы (во всех сферах! по всем фронтам!...). Угомонились…
Проходит время, люди расслабляются… И вновь 50-летние тетеньки ставят 12345 пароль на систему или пишут его на бумажке и прикрепляют орбитом к монитору… И вновь на многих серваках коряво настроена сеть… И вновь по http можно подключиться ко всем камерам учреждения и узнать, какой кофе пил генеральный директор… И вновь… И вновь… И вновь… Пока опять что-то серьезное не случится...
Со стороны кажется бредом, но таковы реалии многих-многих крупных организаций, с превалирующей бюрократической составляющей. Люди расслабляются. Люди в крупных бюрократических конторах ведут себя как мальчуганы, которые в марте гуляют с непокрытой головой и без шарфа.
Мальчуганы простужаются, сопливят и ложатся с гриппом или простудой. Выздоровев, они надевают шарфы и шапки, но через год все повторяется снова.
Как защититься от Закона Индюкова лично я не знаю. Есть мнение? — напишите в комментариях.
Закон Митника
Даже выключенный компьютер можно взломать
Это знаменитая цитата из книги Кевина Митника Искусство Обмана.
Не надо думать, что вы защищены. Всегда, даже в "очевидном способе 100% защиты" можно найти изъян.
Выключенный компьютер можно включить. Руками. Физически нажав на power. Впрочем, чтобы его взломать, можно и не включать, можно просто его украсть, или украсть часть компьютера (жесткий диск).
Закон Склярова
Если стоимость взлома объекта A больше выгоды от взлома объекта A, то объект не будет взломан
Закон я услышал от сотрудника Positive Technologes, Дмитрия Склярова. Закон тривиален и очевиден, но… глядя на некоторых, не будем показывать пальцем, лиц, принимающих стратегические решения в определенных компаниях, я понимаю, что Закон Склярова известен не всем. Или его сурово игнорируют. Защищают сто рублей, устанавливая дорогущий сейф… Или наоборот действительно интересную и ценную информацию совершенно не защищают.
Бизнес должен взвесить риски. Понять, какова ценность той или иной защищаемой информации и создавать (или покупать) системы ИБ, обеспечивающие стоимость взлома для потенциальных хакеров большую, чем возможная потенциальная выгода.
У закона есть нюансы:
- Стоимость взлома может резко упасть (например появилась новая уязвимость или вы внедрили инсайдера в штат компании)
- Вы можете оценить стоимость взлома и/или стоимость прибыли неадекватно.
- Не все можно измерить деньгами и не всегда хакеры руководствуются денежными мотивами.
Закон Батенёва
Сказав о законе Склярова, перейдем к закону, сформулированным Александром Батенёвым (Group-IB).
Предположим, что верны условия
- Есть различные, публично известные объекты: А и Б
- Стоимость взлома А больше стоимости взлома Б
- Выгода от взлома А меньше от взлома Б
Закон Батенёва:
Объект А не будет взломан до тех пор, пока не взломан объект Б
Закон кажется невероятно очевидным (в принципе так оно и есть!) Однако многие и многие представители бизнеса абсолютно убеждены, что раз их не трогают — следовательно они защищены. Аааа!!! Это не верно!!! Например если ДБО вашего банка не взламывают хакеры, то это всего лишь означает, что Сбербанк и ВТБ а так же более мелкие, но "продвинутые" банки, пока еще не до конца решили все свои проблемы с безопасностью. Они просто "вкуснее" вас! Это как в анекдоте про Неуловимого Джо. Когда вы будете кому-то нужны, то возможно вас легко и быстро взломают. Бизнес, а бизнес, вам это надо?
Именно Закон Батенёва "защищает" различные инфраструктуры. Хакеры просто не могут извлечь выгоду от взлома АЭС, синкансэнов, и свечных заводиков...
Данный закон был ответом Александра на мой вопрос об актуальности стеганографии. По его мнению, стеганография "это конечно круто", но есть гораздо более простые способы достигнуть те же результаты… А вот когда "мир поумнеет", вот тогда "стеганография и стегоаналитика станут крайне актуальными". Что ж, тут не поспоришь. Видимо так оно и есть. Не пришло пока время для моей любимой стеганографии… Эх...
Закон Дейкстры
Чем глубже стек протоколов (используемых технологий), тем более уязвима система
Иначе говоря чем сложнее и запутаннее система, тем легче её взломать.
Изначально Эдсгер Вибе Дейкстра сформулировал свой закон по отношению к пониманию системы в целом,
имея в виду, что достаточно скоро наступят времена, когда программист не будет в деталях понимать все
процессы, происходящие в вычислительной технике… В принципе так оно и оказалось. Да что там детали,
к сожалению и в целом как устроен компьютер знают далеко не все программисты :(...
И это печально. Потеря контроля над цельностью восприятия реальности заставляет на многие и многие элементы действительно большой системы смотреть как на черные ящики или, в лучшем случае, как на очень серые ящики. Даже если функционал каждого ящика известен тому или иному разработчику и каждый из них может гарантировать (интересно чем?) безопасность "своей грядки", то это вовсе не значит, что система, состоящая из безопасных элементов сама безопасна. Целое не есть сумма его частей.
Закон Дейкстры не просто неизбежное зло. Этот закон заставляет нас поменять парадигму нашего отношения к информационной безопасности. Без обиняков, мы, безопасники, просто "украли" парадигму у военных и пытались строить строгие системы, которые совсем-совсем защищены. Даже в математическом смысле пытались что-то строгое изобрести… Ну помните там модель Белла-Лападулы, модель Биба, модель Кларка-Вильсона, модель Харрисона-Руззо-Ульмана ну и т.д. В рамках этой классической парадигмы, если пользователя ломали — то это не проблема ИБ-систем, это проблема криворукого персонала, ненадежных паролей и социальной инженерии!..
Но мир меняется и системы становятся очень большими. Они начинают жить своей собственной жизнью. Вы можете себе представить организацию с более чем 1500 различных СУБД во внутренней сети! Вы можете себе ЭТО представить!?.. Вот КАК это все можно администрировать и быть уверенным в безопасности?!..
Что же делать? Я думаю выход только один: переходить с пассивных систем на активные. Т.е. работать "на опережение". Современный преступный кибермир уже давно не состоит из гениальных хакеров-одиночек. Это целая система. Нужно изучать и исследовать эту систему. Я вовсе не призываю отказаться от "классических" антивирусных решений, DLP, токенов, SFTP и т.д. Нет! Я просто призываю признать эти меры недостаточными в силу Закона Дейкстры.
Так же как борьба с терроризмом заключается не только в проверках сумок в аэропортах и вокзалах, но и в работе спецслужб; так же и в мире ИБ активным действиям нужно дать ход не только когда инцидент ИБ уже произошел. Нужно регулярно и систематически работать в данном направлении, создавая активные "решения" в ИБ.
Закон Ашманова-Масаловича
Человек так же подвержен взлому. Возможно именно человека нужно защищать в первую очередь
Наслушавшись замечательных лекций Игоря Ашманова и Андрея Масаловича, я не мог не написать об этом фундаментальном законе. Кто не видел еще "Большие данные в соцсетях: специальной слежки АНБ за вами не требуется" и "Жизнь после Сноудена. Современный инструментарий интернет-разведки" — срочно устраняем пробелы.
Изначально все это выросло из информационных войн. Честно скажу, было большое искушение что-нибудь из политики жахнуть… Но… правила хабра это запрещают. Поэтому приведу пример из области бизнеса:
В декабре 2014 г. Сбербанк России пережил беспрецедентную атаку на его клиентов. Они получали сотни
тысяч SMS с предупреждением о том, что выданные Сбербанком карты Visa скоро перестанут обслуживаться. Были вбросы и в социальных сетях: говорилось, что Сбербанк столкнулся с проблемами ликвидности и не в состоянии выдавать деньги. Клиенты, мгновенно сориентировавшись, побежали изымать свои депозиты. Около 300 млрд руб. – такой оказалась цена хорошо спланированной информационной атаки, следы которой, по заявлениям представителей Банка России, вели на украинские Интернет-ресурсы. И вновь бизнес вспомнил про безопасность пост-фактум, затеяв расследование произошедшего.
Алексей Лукацкий. ИБ для бизнеса: Как продать невидимку
В целом любая социальная инженерия — это следствие Закона Ашманова-Масаловича.
Закон Березина
Пока гром не грянет, бизнес деньги на ИБ не даст
Закон известный всем. И постоянно об этом говорят. И никто ничего не может сделать. Ну не хочет бизнес тратить деньги на ИБ. А все потому, что ИБ не приносит прибыли и уж очень таинственно и непонятно сокращает издержки. Вот если вы яму копаете не ложкой а лопатой то тут все понятно! Покупаем лопату, выкидываем ложки! А с ИБ — не понятно. Березин считает, что так будет вечно. Лично я с ним полностью согласен. А вы?
Т.к. эта статья первое что у меня выскочило в поисковике, то в честь А.Березина этот закон и назовем.
Закон систематической исторической несправедливости Саймона Сингха
Все в ИБ изобретается минимум два раза: один раз результаты публикуются в закрытых источниках, второй раз в открытых источниках
Вы знаете, что RSA изобрели не Ривест, Шамир и Адлеман; а алгоритм Диффи-Хелмана был изобретен до Диффи и Хелмана? Просто до появления открытых работ данные задачи решали математики ведущих спецслужб и их работы былы засекречены… Вы знаете, что Алан Тьюринг не изобретал Колосс, а знаменитый фильм — это фейк. В действительности первый вычислительный компьютер изобрели и построили Мариан Реевский, Ежи Рожицкий и Генрих Зыгальский аж в 1938 году… Позднее этих гениальных польских изобретателей передали Великобритании, где они, выражаясь современным языком, под менеджментом Тьюринга, допиливали свое решение и создали Colossus.
Вот такая историческая несправедливость. В принципе ничего удивительного в этом нет, ведь информационная безопасность весьма щепетильная тема!.. Возможно уже решена задача дискретного логарифмирования, или где-нибудь (разумеется глубоко под землей, чтобы никто не увидел) считает свои задачки уже кем-то созданный квантовый компьютер...
Заключение
В каждой шутке есть доля правды.
Всех, кто отнесся ко всему написанному слишком серьезно — поздравляю с праздником! Впрочем согласитесь, что хотя многие мысли, и очевидны, и банальны, а иногда просто нелепы… но в целом являются справедливыми. И, к сожалению, до сих пор невероятно актуальны!
Возможно, эти "законы" будут всегда актуальны и истины. В этом случае, почему бы не объявить их фундаментальными? Я серьезно! В конце этого поста вынесен вопрос на "референдум" ;) Обязательно проголосуйте.
А какие законы знаете вы? Смело пишите в коментах!
Давайте вместе сделаем текст лучше! Если обнаружили описку — пишите в личку.