27.02.2009

Подсчет вероятности угрозы - новая методика

В статье LETA-IT про риски есть здравая мысль, что вероятность риска ИБ посчитать нереально. А вот дальше делается интересный вывод/предложение - заменить вероятность риска на силу защитных мер. Дословно это звучит следующим образом - "можно порекомендовать подход, основанный на том, что вероятность реализации угрозы напрямую зависит от того, насколько мощными являются защитные меры, применяемые в организации". Зависимость разумеется есть, но она не прямая. Вероятность осуществления риска зависит в первую очередь от того, хочет ли злоумышленник его осуществлять, т.е. от ценности цели. Если он не хочет, то и вероятность риска равна нулю, какие бы защитные меры не присутствовали/отсутствовали. А если он хочет... Например, есть два компьютера - ПК секретарши и платежный сервер. У первого защитных мер нет совсем, а у второго - меры среднего уровня. Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так.

Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?

9 коммент.:

Void Z7 комментирует...

Алексей, а как вы вообще относитесь к теории вероятности в применении к чему либо? Особенно в купе со статистикой ...

Может темой для следующего мифа будет, что-нибудь вроде: "Анализ рисков в ИБ дает 100% прозрачность текущего состояния безопасности"?

Алексей Лукацкий комментирует...

Про риски в ИБ миф будет 100%

swan комментирует...

Ситуация действительно странная...
"Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так."

Это "А ведь это не так." - чисто интуитивное ???

Как с рисками в Природе ?! вид выживает оперируя двумя свойствами количеством особей (скоростью размножения) и скоростью приспосабливания к среде.
Если оба эти свойства не помогают - вид вымирает.

По аналогии - количество особей - связано с количеством дублирующихся систем, что реализовать дорого. Остается свойство приспосабливаемости... которое реально затрагивает только оболочку (СрЗИ) почти не затрагивая функциональные алгоритмы...

В таких условиях можно не считать риски вообще а придерживаться нескольким правилам:
- если систему не взломали - ВАМ ПОВЕЗЛО!
- если систему РЕАЛЬНО НАДО взломать - СИСТЕМА БУДЕТ ВЗЛОМАНА.
- если систему РЕАЛЬНО НАДО защищать - ГОТОВТЕСЬ К ПОСТОЯННОЙ БОРЬБЕ ЗА ПАРИТЕТ С ХАКЕРАМИ!

Алексей Лукацкий комментирует...

Только к регулярно продвигаемому тезису "оценка рисков - это панацея", все эти логические выводы не имеют никакого значения ;-) Ты говоришь про логику и я с тобой согласен ;-)

swan комментирует...

Порой, готовясь к яростному спору,
Когда исход борьбы неясен…
Мы попадаем в неожиданность ужасную,
Ведь оппонент во всем согласен !!!

Vyacheslav комментирует...

"Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так."

А если считать, что и ПК секретарши (т.к. он имеет доступ к платежному серверу) и сервер в совокупности есть система? Тогда в первом приближении ее защищенность будет определяться защищенностью ПК секретарши как самого слабого элемента системы. Тогда вероятность атаки ПК будет выше.


"Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?"

Затем, чтобы придумать как этот процент снизить. Только вот подходить надо, имхо, со стороны статистики. Это пока хотя бы дает какие-то результаты.

Алексей Лукацкий комментирует...

А зачем секретарше доступ к платежному серверу?

Vyacheslav комментирует...

Я подумал в Вашем примере доступ есть.
Но не суть важно. Я так понял, что в статье говорится о вероятности реализации угрозы, которая все-таки выше там, где защита слабее. А вот заинтересует ли потенциального злоумышленника какая-либо конкретная система - вопрос другой.

А вообще, не могли бы Вы дать ссылку на статью, чтобы можно было ознакомиться с предметом обсуждения?

Алексей Лукацкий комментирует...

http://safe.cnews.ru/reviews/index.shtml?2009/02/10/337463