Pages - Menu

Страницы

27.2.09

Подсчет вероятности угрозы - новая методика

В статье LETA-IT про риски есть здравая мысль, что вероятность риска ИБ посчитать нереально. А вот дальше делается интересный вывод/предложение - заменить вероятность риска на силу защитных мер. Дословно это звучит следующим образом - "можно порекомендовать подход, основанный на том, что вероятность реализации угрозы напрямую зависит от того, насколько мощными являются защитные меры, применяемые в организации". Зависимость разумеется есть, но она не прямая. Вероятность осуществления риска зависит в первую очередь от того, хочет ли злоумышленник его осуществлять, т.е. от ценности цели. Если он не хочет, то и вероятность риска равна нулю, какие бы защитные меры не присутствовали/отсутствовали. А если он хочет... Например, есть два компьютера - ПК секретарши и платежный сервер. У первого защитных мер нет совсем, а у второго - меры среднего уровня. Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так.

Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?

9 комментариев:

  1. Алексей, а как вы вообще относитесь к теории вероятности в применении к чему либо? Особенно в купе со статистикой ...

    Может темой для следующего мифа будет, что-нибудь вроде: "Анализ рисков в ИБ дает 100% прозрачность текущего состояния безопасности"?

    ОтветитьУдалить
  2. Ситуация действительно странная...
    "Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так."

    Это "А ведь это не так." - чисто интуитивное ???

    Как с рисками в Природе ?! вид выживает оперируя двумя свойствами количеством особей (скоростью размножения) и скоростью приспосабливания к среде.
    Если оба эти свойства не помогают - вид вымирает.

    По аналогии - количество особей - связано с количеством дублирующихся систем, что реализовать дорого. Остается свойство приспосабливаемости... которое реально затрагивает только оболочку (СрЗИ) почти не затрагивая функциональные алгоритмы...

    В таких условиях можно не считать риски вообще а придерживаться нескольким правилам:
    - если систему не взломали - ВАМ ПОВЕЗЛО!
    - если систему РЕАЛЬНО НАДО взломать - СИСТЕМА БУДЕТ ВЗЛОМАНА.
    - если систему РЕАЛЬНО НАДО защищать - ГОТОВТЕСЬ К ПОСТОЯННОЙ БОРЬБЕ ЗА ПАРИТЕТ С ХАКЕРАМИ!

    ОтветитьУдалить
  3. Только к регулярно продвигаемому тезису "оценка рисков - это панацея", все эти логические выводы не имеют никакого значения ;-) Ты говоришь про логику и я с тобой согласен ;-)

    ОтветитьУдалить
  4. Порой, готовясь к яростному спору,
    Когда исход борьбы неясен…
    Мы попадаем в неожиданность ужасную,
    Ведь оппонент во всем согласен !!!

    ОтветитьУдалить
  5. "Если следовать логике LETA-IT, то получается, что вероятность риска для ПК секретарши гораздо выше (максимальный), чем у платежного сервера. А ведь это не так."

    А если считать, что и ПК секретарши (т.к. он имеет доступ к платежному серверу) и сервер в совокупности есть система? Тогда в первом приближении ее защищенность будет определяться защищенностью ПК секретарши как самого слабого элемента системы. Тогда вероятность атаки ПК будет выше.


    "Зачем все время возвращаться к бессмысленной идее измерения рисков в ИБ, если на данном этапе развития отрасли, это задача неосуществимая в 99,9% случаев?"

    Затем, чтобы придумать как этот процент снизить. Только вот подходить надо, имхо, со стороны статистики. Это пока хотя бы дает какие-то результаты.

    ОтветитьУдалить
  6. А зачем секретарше доступ к платежному серверу?

    ОтветитьУдалить
  7. Я подумал в Вашем примере доступ есть.
    Но не суть важно. Я так понял, что в статье говорится о вероятности реализации угрозы, которая все-таки выше там, где защита слабее. А вот заинтересует ли потенциального злоумышленника какая-либо конкретная система - вопрос другой.

    А вообще, не могли бы Вы дать ссылку на статью, чтобы можно было ознакомиться с предметом обсуждения?

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.