Разработка модели угроз только на основании их вероятности

НПП ИТБ опубликовало ряд «аналитических» материалов, в которых есть интересный тезис о том, что для разработки модели угроз достаточно посчитать только их вероятность. А для этого предлагается опираться на статистику уязвимостей и успешных атак. При этом делается классическая ошибка — статистика берется общая (с SecurityLab), а вывод об угрозе на ее основе делается для конкретной компании. Я не говорю, что статистика СекЛаба плохая, но слишком уж она общая — деления по ОС и приложениям в ней нет. А без этого делать хоть мало-мальские серьезные выводы бесполезно.

В качестве доказательства такого заблуждения достаточно привести банальный пример — выбор системы защиты для моего домашнего компьютера. Среди распространенных угроз по мнению НПП ИТБ сегодня можно выделить компрометацию системы и повышение привилегий. Исходя из выводов специалистов НПП ИТБ, чтобы защититься от этих угроз недостаточно использовать IPS или антивирус — они неспособны бороться с проблемой. Рекомендация — поставить КСЗИ «Панцирь» 😉 Но вот беда — я дома использую MacBook и с названными угрозами (как и с большинством других — спамом, вирусами, троянами, червями) пока не сталкивался (за больше чем год активного серфинга в Инете).

Также авторы аналитики забыли, что для того, чтобы считать угрозу актуальной, надо оперировать не только вероятностью ее реализации, но и потенциальным ущербом. Они же поступили просто, — напрочь отметая экспертную оценку как адекватный метод оценки, самые вероятные угрозы назвали и самыми опасными 😉

Еще один пассаж вызвал мой интерес. В качестве безусловной истины был назван «следующий тезис – защитить можно только тот объект, который локализован (обладает заданным фиксированным набором), как в части подключаемых устройств, так и в части используемых приложений«. В качестве доказательства безусловности приведена ссылка на РД ФСТЭК по АС (от 1992-го года). Вот интересно, как тогда мой корпоративный лэптоп защищается уже 4 года? А ведь ни в части подключаемых устройств (как это сделать для Wi-Fi, Bluetooth и даже обычного сетевого подключения с динамической адресацией?), ни в части используемых приложений, я не могу похвастаться формализацией — для защиты используются совершенно иные принципы, которые отметаются авторами отчета как неэффективные.

Еще интересным я посчитал другую «очевидную» истину для специалистов НПП ИТБ — якобы в корпоративных системах должен использоваться только принцип «что не разрешено — запрещено». Я уже вступал в полемику с представителями НПП ИТБ на bankir.ru и опять повторюсь — такой принцип не работает в сколь-нибудь крупной, динамичной и открытой организации. Например, в Cisco. Как будет служба ИБ разрешать 70 тысячам сотрудников доступ на каждый чих СЗИ, изначально непрописанный в политике? И сколько таких сотрудников ИБ должно быть? И как будут «довольны» пользователи в такой ситуации? На бизнес наплевать, зато ИБ будет на высоте. В качестве примера «неудачной» СЗИ названа система защиты в ОС Windows. Правда потребитель почему-то тратит миллиарды долларов на продукцию именно Microsoft, а не апологетов параноидальной безопасности в ущерб бизнесу 😉

Мелочи, вроде невозможности рекламируемого средства бороться с угрозами на уровне бизнес-приложений (как это преподносится), я даже не буду описывать — про это на bankir.ru уже немало копий было сломано.

ЗЫ. Зато реклама СЗИ от НПП ИТБ удалась 😉

ЗЗЫ. Материалы конца 2009-го года опираются на статистику середины 2008-го. Толи материал раньше не могли опубликовать, толи новой статистики не нашли.

ЗЗЗЫ. Опять критикую ;-( Но вчерашние и позавчерашние документы (надеюсь были полезны) немного нивелируют эту критику 😉

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    А я со всем согласен …
    Скоро СрЗИ будут продавать с лозунгами "- это модно!".

    P.S. хотя так по моему уже кое кто делает )))

    Ответить
  2. Алексей Лукацкий

    Ну мода — один из мотивов продвижения

    Ответить
  3. Анонимный

    Вообще каковы мотивы выбора СрЗИ хотя можно было рассмотреть мотивы выбора или не выбора платных и бесплатных СрЗИ. Что выбрать — средство защиты или изменить образ жизни, отказаться от чего то…
    Думаю тема глубокая… Кто и как ограничивает этот выбор…

    Ответить
  4. Анонимный

    вот кстати…
    http://nnm.ru/blogs/russouth/antivirusnaya_zashita_nuzhen_vtoroy_eshelon/#cut

    Ответить
  5. Ригель

    Странные вы: где продажа, там и маркетинг — хоть это стиральный порошок, хоть СЗИ.

    Ответить
  6. Анонимный

    Про стиральный порошок — это ассоциация с интервью ESET ?

    Для покупки стирального порошка есть объективная реальность — грязные *** !
    Для покупки СрЗИ есть … страх запачкаться ?!

    Ответить
  7. Алексей Лукацкий

    Конечно есть 😉

    Ответить
  8. Анонимный

    особенно трогательно в тэгах к статье:

    Ключевые слова: персональные данные Панцирь-К НПП Информационные технологии в бизнесе

    Ответить
  9. Мария Сидорова

    Со многим соглашусь, но не совсем.
    Очень своеобразная практика откинуть вообще потенциальный ущерб, забыть про экспертные оценки и считать защищенными только локализованные объекты (((((

    Возвращаясь к вопросу о маркетинге, у нас на семинаре был такой диалог:
    Студент: Маркетинг — это наука о том, как обмануть покупателя.
    Преподаватель: Как? Если ты его обманешь он к тебе больше не придет и ты много не заработаешь.
    Студент: Тогда я понял. Маркетинг — это наука о том, как регулярно обманывать покупателя.

    Ответить
  10. Алексей Лукацкий

    Ну это первая и вторая стадия маркетинга 😉

    Ответить
  11. Анонимный

    Страшно когда наступает 3-я стадия — когда сам веришь !

    Ответить
  12. BDV

    у меня ощущение что вы лежите на пляжу и философствуете 🙂 🙂 пора возвращаться на работу 🙂

    Ответить
  13. Алексей Лукацкий

    Вот лежу я на пляжу и в экран компа гляжу…

    Ответить
  14. Ригель

    выпил ром и не жужжу

    Ответить
  15. Мария Сидорова

    А если еще на этом пляжу нет ни твоего ноутбука ни коммуникатора…

    Ответить
  16. Алексей Лукацкий

    Ну коммуникатор есть всегда 😉

    Ответить