Разработка модели угроз только на основании их вероятности

НПП ИТБ опубликовало ряд "аналитических" материалов, в которых есть интересный тезис о том, что для разработки модели угроз достаточно посчитать только их вероятность. А для этого предлагается опираться на статистику уязвимостей и успешных атак. При этом делается классическая ошибка - статистика берется общая (с SecurityLab), а вывод об угрозе на ее основе делается для конкретной компании. Я не говорю, что статистика СекЛаба плохая, но слишком уж она общая - деления по ОС и приложениям в ней нет. А без этого делать хоть мало-мальские серьезные выводы бесполезно.

В качестве доказательства такого заблуждения достаточно привести банальный пример - выбор системы защиты для моего домашнего компьютера. Среди распространенных угроз по мнению НПП ИТБ сегодня можно выделить компрометацию системы и повышение привилегий. Исходя из выводов специалистов НПП ИТБ, чтобы защититься от этих угроз недостаточно использовать IPS или антивирус - они неспособны бороться с проблемой. Рекомендация - поставить КСЗИ "Панцирь" ;-) Но вот беда - я дома использую MacBook и с названными угрозами (как и с большинством других - спамом, вирусами, троянами, червями) пока не сталкивался (за больше чем год активного серфинга в Инете).

Также авторы аналитики забыли, что для того, чтобы считать угрозу актуальной, надо оперировать не только вероятностью ее реализации, но и потенциальным ущербом. Они же поступили просто, - напрочь отметая экспертную оценку как адекватный метод оценки, самые вероятные угрозы назвали и самыми опасными ;-)

Еще один пассаж вызвал мой интерес. В качестве безусловной истины был назван "следующий тезис – защитить можно только тот объект, который локализован (обладает заданным фиксированным набором), как в части подключаемых устройств, так и в части используемых приложений". В качестве доказательства безусловности приведена ссылка на РД ФСТЭК по АС (от 1992-го года). Вот интересно, как тогда мой корпоративный лэптоп защищается уже 4 года? А ведь ни в части подключаемых устройств (как это сделать для Wi-Fi, Bluetooth и даже обычного сетевого подключения с динамической адресацией?), ни в части используемых приложений, я не могу похвастаться формализацией - для защиты используются совершенно иные принципы, которые отметаются авторами отчета как неэффективные.

Еще интересным я посчитал другую "очевидную" истину для специалистов НПП ИТБ - якобы в корпоративных системах должен использоваться только принцип "что не разрешено - запрещено". Я уже вступал в полемику с представителями НПП ИТБ на bankir.ru и опять повторюсь - такой принцип не работает в сколь-нибудь крупной, динамичной и открытой организации. Например, в Cisco. Как будет служба ИБ разрешать 70 тысячам сотрудников доступ на каждый чих СЗИ, изначально непрописанный в политике? И сколько таких сотрудников ИБ должно быть? И как будут "довольны" пользователи в такой ситуации? На бизнес наплевать, зато ИБ будет на высоте. В качестве примера "неудачной" СЗИ названа система защиты в ОС Windows. Правда потребитель почему-то тратит миллиарды долларов на продукцию именно Microsoft, а не апологетов параноидальной безопасности в ущерб бизнесу ;-)

Мелочи, вроде невозможности рекламируемого средства бороться с угрозами на уровне бизнес-приложений (как это преподносится), я даже не буду описывать - про это на bankir.ru уже немало копий было сломано.

ЗЫ. Зато реклама СЗИ от НПП ИТБ удалась ;-)

ЗЗЫ. Материалы конца 2009-го года опираются на статистику середины 2008-го. Толи материал раньше не могли опубликовать, толи новой статистики не нашли.

ЗЗЗЫ. Опять критикую ;-( Но вчерашние и позавчерашние документы (надеюсь были полезны) немного нивелируют эту критику ;-)