UPD Фундаментальні закони інформаційної безпеки

Всі ми знаємо про фундаментальні закони фізики. А що з Інформаційною Безпекою? Чи є тут свої фундаментальні закони? Так є!

Закон Індюкова

Чим більше пройшло часу з моменту останнього серйозного ІБ-інциденту, тим більша ймовірність злому системи
Ось пройшов інцидент, вкрали XX млн. грошей, паролі змінили, замовили круті ІБ-системи (у всіх сферах! По всіх фронтах! …). Вгамувалися …
Проходить час, люди розслабляються … І знову люди ставлять 12345 пароль на систему або пишуть його на папірці і прикріплюють до монітора … І знову на багатьох серваках кострубато налаштована мережа … І знову по http можна підключитися до всіх камер установи і дізнатися, яку каву пив генеральний директор … І знову … І знову … І знову … Поки знову щось серйозне не станеться …

Такі реалії багатьох-багатьох великих організацій, з переважаючою бюрократичної складової. Люди просто розслабляються.

Закон Митника

Навіть вимкнений комп’ютер можна зламати
Це знаменита цитата з книги Кевіна Митника Мистецтво Обману.
Не треба думати, що ви захищені. Завжди, навіть у “очевидному способі 100% захисту” можна знайти ваду.
Виключений комп’ютер можна включити. Руками. Фізично натиснувши на power. Втім, щоб його зламати, можна і не включати, можна просто його вкрасти, або вкрасти частину комп’ютера (жорсткий диск).

Закон Склярова

Якщо вартість злому об’єкта A більше вигоди від злому об’єкта A, то об’єкт не буде зламаний.

Бізнес повинен зважити на ризики. Зрозуміти, яка цінність тієї чи іншої інформації, що захищається і створювати (або купувати) системи ІБ, що забезпечують вартість злому для потенційних хакерів більшу, ніж можлива потенційна вигода.

У закону є нюанси:

Вартість злому може різко впасти (наприклад з’явилася нова уразливість або ви впровадили інсайдера в штат компанії)
Ви можете оцінити вартість злому і / або вартість прибутку неадекватно.
Не все можна виміряти грошима і не завжди хакери керуються грошовими мотивами.

Закон Батеньова

Припустимо, що вірні умови:
Є різні, публічно відомі об’єкти: А і Б
Вартість злому А більше вартості злому Б
Вигода від злому А менше від злому Б

Закон Батеньова:
Об’єкт А чи не буде зламаний до тих пір, поки не зламаний об’єкт Б.

Закон здається неймовірно очевидним (в принципі так воно і є!) Однак багато і багато представників бізнесу абсолютно переконані, що раз їх не чіпають – отже вони захищені. Аааа !!! Це не вірно!!! Наприклад якщо ДБО вашого банку не зламують хакери, то це всього лише означає, що зараз iншi просто “смачніше” вас!

Саме Закон Батеньова “захищає” різні інфраструктури. Хакери просто не можуть отримати вигоду від свічкових заводиків.

Закон Дейкстри

Чим глибше стек протоколів (використовуваних технологій), тим більш вразлива система
Інакше кажучи – чим складніше і заплутаніше система, тим легше її зламати.

Світ змінюється і системи стають дуже великими. Вони починають жити своїм власним життям.

Що ж робити? Вихід тільки один: переходити з пасивних систем на активні. Тобто працювати “на випередження”. Сучасний злочинний кіберсвіт вже давно не представлений геніальними хакерами-одинаками. Це ціла система. Потрібно вивчати і досліджувати цю систему.

Це не означає відмовитися від “класичних” антивірусних рішень, DLP, токенов, SFTP і т.д. Це означає визнати ці заходи недостатніми в силу Закону Дейкстри.

Так само як боротьба з тероризмом полягає не тільки в перевірках сумок в аеропортах і вокзалах, а й в роботі спецслужб; так само і в світі ІБ активні дії потрібні не тільки, коли інцидент вже стався. Потрібно регулярно і систематично працювати в даному напрямку, створюючи активні “рішення” в ІБ.

Далi буде…