11.8.09

Стоит ли сообщать злоумышленникам об уровне своей защищенности?

Вопрос, вынесенный в заголовок, не праздный. Более того, ответ на него не так прост как кажется. У многих специалистов сложилось впечатление, что, чем меньше злоумышленники знают об их системе защиты, тем выше ее эффективность. Сторонники движения security through obscurity часто ратуют за сохранение в тайне любой информации о том, какие меры и продукты защиты используются в организации. Но есть ли под этим какая-нибудь основа и рациональное зерно? Не миф ли это?

Оказывается все не так очевидно, как кажется многим. Более того, все совсем не так, как многим казалось раньше. 3 года назад, два специалиста - Марко Кремонини (Университет Милана) и Дмитрий Низовцев (Школа бизнеса Университета в Вашбурне, США) опубликовали результаты очень интересного исследования, выводы которого более чем интересны. Тем более, что опираются они на математику, а не просто на безосновательные "логические" заявления. Суть исследования "Understanding and Influencing Attackers’ Decisions: Implications for Security Investment Strategies" такова: при наличии альтернативы, злоумышленник не станет атаковать систему, об уровне защищенности которой он имеет хоть какую-то информацию. Разумеется, этот уровень должен быть ненулевым. Иными словами, Марки и Дмитрий доказывают, что поведение злоумышленников достаточно рационально и они не будут ломиться в дверь, о которой им известно, что она неприступна или обладает мощной защитой. А вот против организации, которая скрывает информацию о своей защищенности, плохие парни выйдут с большей вероятностью, т.к. рассчитывают, что скрывая состояние защищенности, компании есть чего опасаться.

21 коммент.:

Dmitry Evteev комментирует...

>> Но есть ли под этим какая-нибудь основа и рациональное зерно? Не миф ли это?
это пошло от военных...

Алексей Лукацкий комментирует...

Это пошлО или пОшло? ;-)

Анонимный комментирует...

Для себя давно понял, что "таинственность ради безопасности" -- это глупо. Но тут есть еще такой фактор: любая новость о внедрении какго-то продукта или технологии со смыслом "мы повысили уровень безопаности" несет оттенок некой бравады, пиара. А это, в свою очередь, действует как красная тряпка на быка.

Quiet Zone комментирует...

По-моему по тому же пути прошли когда-то криптоаналитики, признав непрактичной защиту путем защиты самого криптоалгоритма. Защищаться путем сокрытия устройства дело неблагодарное, но и выставлять дыры напоказ тоже не комильфо. Мне кажется, хранить молчание имеет в процессе построения базовой системы защиты или затыкания конкретной дыры, конечный промежуток времени, а потом уже бессмысленно и даже вредно. Это все равно что молчать в лицо соседям, которые знают, что каждый вечер у тебя сгорает ужин - рано или поздно они таки "отключат газ")

Dmitry Evteev комментирует...

пример из жизни. меняем банер на IIS, прикидываемся Apache. через N-ое время смотрим логи. что у нас тут? ах да, массовые вирусы нас теперь воспринимают, как апатч. соответственно от угрозы "попасть под массовую раздачу" мы защитились. нужны еще примеры? они есть у меня. Проводил пентест одного web-приложения. Чувствую, что оно работает под публичной CMS, но! Баннера или сигнатуры нету. Провозился достаточно долго, аж целых два дня:) После того, как админский доступ к приложению был получен, в коде увидел производителя CMS. Загрузил эту поделку с оф. сайта. Бегло пробежавшись по дистрибутиву понял, что потратил бы на реализацию атаки вместо двух дней всего минут 10-15. Нужны еще примеры?

Unknown комментирует...

При Full target атаке - чем меньше известно о системе, тем больше времени у защитников заметить атаку и отреагировать.
Вообще вопрос интересный, но его надо рассматривать на практике -
стоит ли всем заявлять, что вот мы поставили IPS или антивирус такого вендора? По-моему не стоит.
Мне кажется при атаке target\random opportunistic - ВОЗМОЖНО, какой-нибудь лейбак McAfee Secure (или громкая заява, что мы сотрудничаем с Отделом К) может отпугнуть кого-нибудь.

Анонимный комментирует...

2 Quiet Zone
"по тому же пути прошли когда-то криптоаналитики, признав непрактичной защиту путем защиты самого криптоалгоритма."
Они пошли по этому пути скорее для возможности математического доказательства преимуществ одного алгоритма над другим по криптостойкости, скорости и т.п. К тому же понимая что дыр в результате реализации алгоритма на порядок больше чем в самом алгоритме...

По теме в общем - лучше сообщать, но очень общими фразами - типа "мы приняли меры по защите ...". Почему не желательно указывать конкретные меры - потому что злоумышленники составляют перечень средств и компаний где они развернуты и при появлении 0-day уязвимости - они знают где ее использовать...

biakus комментирует...

Не надо забывать, что любые теории строятся на аксиомах. В данном случае, не всякий злоумышленник имеет рациональное поведение и конечно же все зависит от его целей.
На мой взгляд злоумышленникам лучше сообщать относительно системы защиты информацию с отрицательной ценностью, т.е. дезинформацию. Это уменьшит вероятность достижения их целей.
А сообщать всю информацию о системе защиты имеет смысл только тем, кто будет уведомлять только вас о ее уязвимостях.
Для слишком любопытных можно распространять только общую информацию без конкретной привязки к производителям.

malotavr комментирует...

> нужны еще примеры? они есть у меня.

Т.е. отсутствие информации о защитных мерах немножко усложнит тебе жизнь. Не вопрос :)

Вопрос немножко в другом. У "защитников" есть тенденция делать секреты из пустяков. "У меня есть банкоматы, но как я их защищаю - секрет". А то мы не знаем, что на этих банкоматах стоит файрвол, антивирус - и ни одного патча :)

Ладно бы они так от посторонних закрывались, а то ведь даже внутри организации подразделения хранят свои "страшные тайны", не делясь информацией со смежными подразделениями. В итоге инцидент, который мог бы быть разрешен в течение часа, растягивается на недели :)

Так что, немножко усложнив жизнь себе, они сильно усложняют жизнь себе. Короче, меру знать нужно :)

Алексей Лукацкий комментирует...

Все исходят из СОБСТВЕННОЙ ЛОГИКИ ;-) Хоть бы кто почитал исследование, чтобы понять математическое доказательство ;-)

Анонимный комментирует...

Дай ссылку - почитаем !!!

Был у нас в НИИ один мужик - так он на полумарковских моделировал что угодно один и тот же процесс мог так изящно подгонять к прямо противоположным результатам закладывая исходные данные !!!

malotavr комментирует...

Читал я эту статью.

Сам говоришь: оценивать риски - профанация. А апрjксимировать эти риски непрерывной случайной величиной с неизвестным распределением и делать на основании ее поведения какие-то выводы - профанация в квадрате.

Могу только повторить мнение одного академика: "К жизни бессмысленно подходить с позиций теории вероятностей: в ней нет случайности".

biakus комментирует...

Доказательства различных сценариев в исследовании строятся на аппарате теории игр (статические игры). Как и предполагалось: "The current paper examines attackers who are assumed to behave economically (that is, choose their
actions optimally based on comparison of their costs to benefits)". Что является ахилесовой пятой самого аппарата. Даже сами авторы документа не рекомендуют использовать свои теоретические результаты на практике.
В жизни поведение злоумышленников для нас выглядит случайным, но частично поддается пониманию при изучении длинных причинно-следственных связей, которые мы не в состоянии пока моделировать.

Анонимный комментирует...

Думаю, надо разделять сведения о защищённости и сведения о защищённости. Стоит оглашать информацию о пассивном мониторинге, логировании, архивировании и других подобных мерах, которые способствуют расследованию инцидента и наказанию злоумышленника. Сведения же о моделях оборудования и версиях ПО - действительно на практике означают сведения об уязвимостях.

Алексей Лукацкий комментирует...

malotavr: Ты меня не путай ;-) Я про профанацию говорил в другом аспекте ;-) Что то, как количественно оценивают риски многие из российских и не только интеграторов и консультантов - это профанация ;-) Ибо все исходят из вероятности и суммы ущерба, а ни то, ни то считать не могут. Вот если бы были исходные данные, то почему бы и не считать?.. Или модель надо менять...

malotavr комментирует...

"Ибо все исходят из вероятности и суммы ущерба, а ни то, ни то считать не могут."

Угу. А в этой статье, сохранив неумение считать конкретные значения вероятности, авторы заменили ее cледующим уровнем абстракции "вероятностью успеха в зависимости от затраченных усилий", т.е. еще более непонятно как задаваемой функцией.

Зато такой финт ушами позволил им превратить дискретную случайную величину в непрерывную и рисовать красивые интегралы. Вот только толку от них :)

Алексей Лукацкий комментирует...

А вероятность успеха... ты считаешь экспертным способом ;-) При 95% максимально затрачиваемых усилий вероятность успеха будет 95% ;-) А затрачиваемые усилия ты считаешь исходя из списка контролей в 27001/2. Все просто ;-)

Vadim комментирует...

А что касается защиты не от атак, а от утечек информации со стороны самих сотрудников? Стоит ли их информировать, что компания использует какие-то средства слежения или DLP-системы?

Анонимный комментирует...

2 Vadim
Думаю не стоит указывать какие...
Достаточно изучить функциональность таких систем, чтобы легко их обходить...

Dmitry Evteev комментирует...

стоит говорить, что компания использует средства DLP (даже, если это не так) - это психологический ход. но не стоит говорить какие.

Алексей Лукацкий комментирует...

Vadim: Ну если DLP используются в части защиты персональных данных, то вы должны уведомить об этом сотрудников по Трудовому Кодексу.