 |
|
|
|
![[info]](http://l-stat.livejournal.com/img/userinfo.gif?v=92.1) infowatch | |
|
|
|
|
|
|
|
Достаточно распространённое заблуждение состоит в том, что потенциальному компьютерному злоумышленнику защитники приписывают собственные мотивы. Страдающий этим заблуждением работник ИБ, проводя оценку рисков, оценивает информацию с точки зрения её полезности для своего предприятия. Самую полезную считает нуждающейся в самой надёжной защите. Разумеется, это не верно. Оценка рисков подразумевает оценку возможного ущерба, который воспоследует в случае утраты, искажения, разглашения, передачи конкуренту той или иной информации. Это совершенно иная характеристика, ортогональная полезности. Но и в подходе со стороны "ущерба" тоже есть ошибка. 
Самая толстая броня – не там, где самые ценные элементы, а там, куда чаще попадают. |
Риски рисками, но чтобы верно определить потребную толщину брони, надо определить ценность информации для потенциального злоумышленника. Не полезность её для нас. И не ущерб в случае нарушения защиты. А степень привлекательности информации для противника. Взять те же персональные данные. Если не защитим, придут строгие дяди из "регулятора" и сделают а-та-та. Риск, однако. Но будет ли злобный хакер проникать в нашу ИС, чтоб узнать фамилии наших клиентов? Дураков нет! Его интересуют в конечном счёте деньги. А за список фамилий (даже очень длинный, даже с адресами) разумных денег не получишь, и продать его будет сложно. А вот пароли от аськи – совсем другое дело. Такой товар на чёрном рынке за полчаса уходит. Ну да, ничего нового ваш покорный слуга не открыл. Необходимость составления модели злоумышленника предусмотрена всеми учебниками и стандартами по ИБ. Проблема в том, что модели эти либо не описываются явным образом, либо не соответствуют действительности. В результате половина безопасников, 3/4 руководителей и подавляющее большинство журналистов воображают, что злобные хакеры охотятся за корпоративными секретами. Развенчаем мифчик, или пусть дальше верят? Tags: НСД, защита информации, криминалистика, оценка рисков, угрозы
|
|
|
|
|
|
|
|
|
|
|
|
|
|
| From: malotavr |
Date: October 15th, 2009 12:05 pm (UTC) |
| (Link) |
|
Браво (совершенно искренне)!
Парадокс - с одной стороны вы написали совершенно правильную вещь, с другой стороны, вы в этом сообщении сделали ровно ту самую ошибку, про которую пишете :)
Но будет ли злобный хакер проникать в нашу ИС, чтоб узнать фамилии наших клиентов? Дураков нет! Его интересуют в конечном счёте деньги.
БУДЕТ! Да, нарушителя в конечном счете интересуют деньги. Но данные, за которые покупатель деньги заплатит - до них ведь еще добраться нужно.
А как до них добраться? Способы разные, но стопроцентно работающий - социалка против вашего сотрудника с последующей эксплуатацией уязвимости на его рабочем месте. И первым шагом к реализации этой атаки становится получение хоть какой-то правдоподобной информации либо о ваших сотрудниках, либо о ваших клиентах. Поэтому первое, что интересует нарушителя - информация о ваших сотрудниках, их знакомствах и интересах, их почтовые ящики, в конце концов :)
В том-то и заключается проблема: по меньшей мере половина безопасников не имеет представления о том, как их атакуют и какую ценность для нарушителя представляет бросовая на первый взгляд информация. Об этом я не так давно в своем блоге писал :)
|
|
|
|
|
|
|
|
|
|
|
| From: malotavr |
Date: October 16th, 2009 12:17 pm (UTC) |
| (Link) |
|
Действительно, кто бы это мог быть? :)
Человек, контролирующий домен и основные серверы компании, очень крепко держит эту самую компанию за вполне определенную часть мужского организма :)
А учитывая, что человек этот, скорее всего, находится на Украине, в Латвии или в где-нибудь Эквадоре, то он еще и почти ничем не рискует. Сколько вы готовы заплатить за то, чтобы ваш бизнес на три-четыре недели тазом не накрылся?
А дальше - при таких возможностях каждый зарабатывает таким способом, на который у него фантазии хватит. Подкинуть вам обвинительное заключение по человечкам, которые, получив чужие учетки, наваривались на манипуляциях курсом акций? Старенькое, от января 2007.
|
|
|
|
|
|
|
|
|
|
|
| From: malotavr |
Date: October 16th, 2009 03:26 pm (UTC) |
| (Link) |
|
За каких-то пару лет работы в банке собеседника неплохо поднатаскали на предмет угроз, с которыми приходилось сталкиваться разным бранчам этого банка в разных странах :)
Мы говорим не об идиоте, а о нарушителе, находящемся на территории Украины, Латвии, Филиппин, Латинской Америки. Руки у российской Фемиды дотянутся? У аамериканской вот часто не дотягиваются. Они к кам через Интерпол по поводу Максика аж с 2004 г. обращались. И что? "Звиняйте, оснований нет". Это раз.
Не верите мне - пообщайтесь с Сергеем Михайловым из ЦИБ ФСБ. Наверняка же не один раз с ним пересекались. Какая там у нас статистика раскрываемости по делам об "преступлениях в сфере высоких технологий"? До 1% дотенет? Это два.
А по какому проценту правонарушений в сфере высоких технологий у нас заводятся уголовные дела? Даже по явным кардерским преступлениям те же банки предпочитают не обращаться в правоохранительные органы (зачем людям статистику раскрываемости портить?) а так или иначе решать этот вопрос с клиентом (либо за его счет, либо за свой). Это три.
Складываем раз, два и три и учитываем, что наш нарушитель - не герой Вицина, а молодой человек лет 20-27, с хорошими навыками и отмороженный на всю голову, живщий в не самой дружественной насмм стране и в принципе не выходящий на физический контакт с жертвой. Для него ж это рамантика-с, плюс нехилый заработок. Читая новость про арестованного хакера, он смотрит не на корячащиеся ему 20 лет тюрьмы, а на конфискованные у него $1600000. Думаете, испугается?
|
|
|
|
|
|
| |
|
|
|
в прошлое
![[info]](http://l-stat.livejournal.com/img/openid-profile.gif?v=92.1){kind=small}