Все мы знаем о фундаментальных законах физики, открытых Ньютоном и Галилеем.
Вы наверняка хоть немного слышали об этом со своих школьных парт. Аксиоматика Евклида .
Кто решил хотя бы приблизиться к ситуации человек универсальный ,(хотя в нашем 21 веке это очень сложно) я наверное что-то слышал про Законы Данилевского , Тойнби и/или Сэмюэл Хантингтон .
А как насчет информационной безопасности? Есть ли у нас, специалистов по информационной безопасности, свои фундаментальные законы? Да! И в этой статье мы поговорим о них.
Скажу сразу, что многие читатели оставят комментарий; ведь многие законы были известны задолго до того, как я услышал их от отдельных лиц.
Ну, в данном случае я буду сослаться на Закон Стиглера : «Ни одно научное открытие не названо в честь его первооткрывателя» .
закон Индюкова
Чем больше времени прошло с момента последнего серьезного инцидента информационной безопасности, тем выше вероятность взлома системы.Впервые я услышал этот закон от одного системного администратора одного очень крупного банка.
Был инцидент, ХХ миллионов рублей украли, всем надрали задницу, поменяли пароли, заказали крутые системы информационной безопасности (по всем направлениям! по всем фронтам!.
).
Успокоиться.
Время идет, люди расслабляются.
И снова 50-летние женщины ставят в систему пароль 12345 или пишут его на бумажке и прикрепляют на орбите к монитору.
И снова на многих серверах сеть настроена коряво.
И снова по http можно подключиться ко всем камерам заведения и узнать, какой кофе пил генеральный директор.
И снова.
И снова.
И снова.
.
Пока снова не произойдет что-то серьезное.
Со стороны это кажется ерундой, но таковы реалии многих и многих крупных организаций.
с преобладанием бюрократической составляющей .
Люди расслабляются.
Люди в крупных бюрократических кабинетах ведут себя как маленькие мальчики, которые в марте ходят с непокрытой головой и без шарфа.
Мальчики болеют простудой, насморком и ложатся спать из-за гриппа или простуды.
Выздоровев, они надели шарфы и шапки, но через год все повторяется.
Как защитить себя от Закон Индюкова Я лично не знаю.
Есть мнение? - напишите в комментариях.
Закон Митника
Даже выключенный компьютер можно взломатьЭто известная цитата из книги Кевин Митник Искусство обмана .
Не думайте, что вы защищены.
Всегда, даже в "очевидный метод 100% защиты" вы можете найти недостаток.
Выключенный компьютер можно включить.
Своими руками.
Сила физического прессинга.
Однако, чтобы взломать , его не обязательно включать, его можно просто украсть, или украсть часть компьютера (жесткий диск).
закон Склярова
Если цена взлом объекта А больше преимуществ от взлома объекта А, то объект не будет взломанЯ услышал закон от сотрудника Позитивные технологии , Дмитрий Скляров.
Закон тривиален и очевиден, но.
глядя на некоторых, не будем показывать пальцем, лиц, принимающих стратегические решения в тех или иных компаниях, я понимаю, что закон Склярова известен не всем.
Или его жестко игнорируют. Сто рублей защищают, установив дорогой сейф.
Или, наоборот, вообще не защищают действительно интересную и ценную информацию.
Бизнес должен взвешивать риски .
Понять ценность той или иной защищаемой информации и создать (или купить) системы информационной безопасности, обеспечивающие стоимость взлома для потенциальных хакеров больше, чем возможный потенциал выгода .
Закон имеет некоторые нюансы:
- Стоимость взлома может резко упасть (например, появилась новая уязвимость или вы внедрили инсайдера в штат компании)
- Вы можете оценить стоимость взлома и/или стоимость прибыли неадекватный .
- Не все можно измерить деньгами, и хакеры не всегда руководствуются денежными мотивами.
Закон Батенева
Поговорив о законе Склярова, перейдем к закону, сформулированному Александр Батенев ( Группа-ИБ ).
Предположим, что условия верныЗакон кажется невероятно очевидным (в принципе так и есть!) Однако многие и многие представители бизнеса абсолютно убеждены, что раз их не трогают, значит, они защищены.
- Существуют различные общеизвестные объекты: A и B.
- Стоимость взлома А более стоимость взлома B
- Получите выгоду от взлома A меньше от кражи со взломом Б Закон Батенева: Объект А не будет взломан, пока не будет взломан объект Б.
Аааа!!! Это неправда!!! Например, если ДБО вашего банка не взломаны хакерами, это всего лишь означает, что Сбербанк и ВТБ, а также более мелкие, но «продвинутые» банки, еще не до конца решили все свои проблемы с безопасностью.
Они просто «вкуснее» вас! Это как в шутка про Неуловимого Джо .
Когда вы кому-то нужны, они могут легко и быстро вас взломать.
Бизнес, но бизнес, он тебе нужен? Точно Закон Батенева «защищает» различные инфраструктура .
Хакеры просто не могут извлечь выгода от взлома AЭC, Синкансэн , И свечные фабрики .
Этот закон был ответом Александра на мой вопрос об актуальности стеганографии .
По его мнению, стеганография "это определенно круто" , но есть гораздо более простые способы добиться тех же результатов .
И вот тогда «Мир станет мудрее» , затем «стеганография и стегоаналитика станут чрезвычайно актуальными» .
Ну, с этим не поспоришь.
Видимо, это так.
Еще не пришло время моей любимой стеганографии.
Эх.
Закон Дейкстры
Чем глубже стек протоколов (используемые технологии), тем уязвимее система.Другими словами, чем сложнее и запутаннее система, тем легче ее взломать.
Первоначально Эдсгер Вибе Дейкстра сформулировал свой закон применительно к понимание система в целом, имея в виду, что довольно скоро наступит момент, когда программист не будет во всем разбираться в деталях процессы, происходящие в компьютерной технике.
В принципе, так и получилось.
Каковы детали? к сожалению и в целом Не все программисты знают, как устроен компьютер :(.
Это грустно.
Потеря контроля над целостность восприятия действительности силы на многие, многие элементы действительно отличная система рассматривать как черные ящики или, в лучшем случае, как очень серый коробки.
Даже если функционал каждой коробки известен тому или иному разработчику и каждый из них может гарантия (Интересно, что?) безопасность «своя грядка» , это вовсе не означает, что система, состоящая из безопасных элементов, сама по себе безопасна.
Целое не является суммой своих частей.
Закон Дейкстры – это не просто необходимое зло.
Этот закон заставляет нас измениться парадигма наше отношение к информационной безопасности.
Без скупости слов мы, спецслужбы, просто «украли» парадигму у военных и попытались построить строгий системы, которые полностью, полностью защищены.
Даже в математическом смысле пытались придумать что-то строгое.
Ну, помните там Модель Белла-Лападулы , Модель Биба , Модель Кларка-Уилсона , Модель Харрисона-Руццо-Ульмана ну и т. д. В рамках этой классической парадигмы, если пользователя взломали, то это не проблема систем информационной безопасности, это проблема нечестного персонала, ненадежных паролей и социальной инженерии!.
Но мир меняется, и системы становятся очень большими.
Они начинают жить своей жизнью.
Можете ли вы представить себе организацию, имеющую во внутренней сети более 1500 различных СУБД! Представляете?!?.
Вот КАК можно всем этим управлять и быть уверенным в безопасности?!.
Что делать? Я думаю, выход только один: переехать из пассивный системы на активный .
Те.
работать инициативно.
Современный мир киберпреступности уже давно перестал состоять из блестящих хакеров-одиночек.
Это целая система.
Эту систему необходимо изучать и изучать.
Я вовсе не призываю отказаться от «классических» антивирусных решений, DLP, токенов, SFTP и т. д. Нет! Я просто призываю признать эти меры недостаточный благодаря Закон Дейкстры .
Точно так же, как борьба с терроризмом – это не только проверка сумок в аэропортах и вокзалах, но и работа спецслужб; то же самое в мире информационной безопасности активный Действия необходимо начинать не только тогда, когда инцидент ИБ уже произошел.
Необходимо регулярно и систематически работать в этом направлении, создавая активный «решения» в области информационной безопасности.
Закон Ашманова-Масаловича
Человек также подвержен взлому.Прослушав замечательные лекции Игоря Ашманова и Андрея Масаловича, я не мог не написать об этом фундаментальном законе.Возможно, в первую очередь нужно защитить человека
Кто еще не видел» Большие данные в соцсетях: никакой специальной слежки АНБ за вами не требуется " И " Жизнь после Сноудена.
Современные инструменты интернет-аналитики «Мы срочно устраняем пробелы.
Изначально все это выросло из информационные войны .
Честно говоря, был большой соблазн что-нибудь почерпнуть из политики.
Но.
правила хабра это запрещают. Поэтому приведу пример из сферы бизнеса:
В декабре 2014 года Сбербанк России подвергся беспрецедентной атаке на своих клиентов.Вообще любая социальная инженерия – это следствие Закон Ашманова-Масаловича .Они получили сотни тысячи СМС с предупреждением о том, что карты Visa, выпущенные Сбербанком, скоро перестанут обслуживаться.
В социальных сетях также ходили слухи: говорилось, что Сбербанк столкнулся с проблемами с ликвидностью и не имеет возможности выдавать деньги.
Клиенты, моментально сориентировавшись, побежали забирать свои вклады.
Около 300 миллиардов рублей.
– такова была цена хорошо спланированной информационной атаки, следы которой, по мнению представителей Банка России, привели на украинские интернет-ресурсы.
И снова в бизнесе вспомнили о безопасности постфактум, начав расследование произошедшего.
Алексей Лукацкий .
Информационная безопасность для бизнеса: Как продавать невидимое
Закон Березина
Пока гром не грянет, бизнес не даст денег на информационную безопасностьЗакон известен всем.
И они постоянно об этом говорят. И никто ничего не может сделать.
Ну, предприятия не хотят тратить деньги на информационную безопасность.
А все потому, что информационная безопасность не приносит прибыли и очень загадочным и непонятным образом снижает затраты.
Вот если яму копать не ложкой, а лопатой, то всё ясно! Покупаем лопату и выбрасываем ложки! Что касается информационной безопасности, то здесь неясно.
Березин верит, что это произойдет навсегда .
Лично я с ним полностью согласен.
А ты? Потому что Эта статья Первое, что выскочило в моем поисковике, это то, что мы назовем этот закон в честь А.
Березина.
Закон систематической исторической несправедливости Саймона Сингха
Все в информационной безопасности придумывается как минимум дважды: один раз результаты публикуются в закрытых источниках, второй раз в открытых источниках.Вы знаете, что RSA не был изобретен Ривестом, Шамиром и Адлеманом; Был ли алгоритм Диффи-Хеллмана изобретен до Диффи и Хеллмана? Непосредственно перед появлением открыть работ, эти задачи решали математики ведущих спецслужб и их работа была засекречена.
Вы знаете, что Алан Тьюринг не изобрел Колосса, а знаменитый фильм - фейк .
Фактически, первый вычислительный компьютер был изобретен и построен Мариан Реевски , Ежи Розицкий И Хенрик Зыгальский еще в 1938 году.
Позже эти гениальные польские изобретатели были переведены в Великобританию, где, выражаясь современным языком, под руководством Тьюринга доработали свое решение и создали Колосса.
Это такая историческая несправедливость.
В принципе, ничего удивительного в этом нет, ведь информационная безопасность – очень деликатная тема!.
Возможно, она уже решена задача дискретного логарифма , или где-то (разумеется, глубоко под землей, чтобы никто не видел) он считает, что его проблемы уже кем-то созданы квантовый компьютер .
Заключение
В каждой шутке есть доля правды.Всем, кто слишком серьезно отнесся ко всему написанному - Я поздравляю вас ! Однако согласитесь, что хотя многие мысли и очевидны, и банальны, а иногда и просто смешны.
но в целом они таковы.
справедливый .
И, к сожалению, они до сих пор невероятно актуальны! Возможно, эти «законы» будут Всегда актуально и правдиво.
В таком случае, почему бы не объявить их фундаментальными? Я серьезно! В конце поста вопрос на «референдум» ;) Обязательно проголосуйте.
Какие законы вы знаете? Смело пишите в комментариях! Давайте вместе сделаем текст лучше! Если вы нашли опечатку, напишите мне в личное сообщение.
В опросе могут участвовать только зарегистрированные пользователи.
Войти , Пожалуйста.
Референдум специалистов по информационной безопасности.
Список предложенных законов поставлен на голосование 90,53% Одобряют 258 9,47% Отклоняют 27 285 пользователей проголосовали.
118 пользователей воздержались.
Теги: #законы информационной безопасности #ИБ #печальный жизненный опыт #настоящий профессиональный юмор #информационная безопасность
-
Анимация Фотографий. Открытие Рта
19 Dec, 24 -
Как Мы Запускали Хабр Для Гуманитариев
19 Dec, 24 -
Встреча Imagine Cup В Новосибирске
19 Dec, 24 -
Реквием По Морскому Старту
19 Dec, 24 -
Яндекс Пробки Для Дальтоников
19 Dec, 24