Information Security
Popular science
Brain
Comments 7
+3

Вы забыли главное, говоря о моделях и методологиях. Не просто воспроизводимость, но и доказательства. Не зря медицина прекратила рассуждать про всякие флюиды и давно зарылась в статистику. В медицине для каждой таблетки есть два параметра: number to treat / number to harm. Скольких надо "полечить", чтобы одному полегчало, и скольким надо сделать нежелательные побочные эффекты, чтобы одному полегчало.


Например, если у нас таблетка от кашля и показатель 1/100, то, наверное, это героин. А если у нас 100/0.01, то хоть оно и безвредно, но и польза у неё — так себе.


А если это единственное лекарство от смертельного недуга, то 100/10 — может даже не так уж и плохо.


Вот я хотел бы видеть такие же цифры для всех best practices.


Например: "сбрасывать пароль пользователю каждые 7 дней" — number to treat — 10000, number to harm — 1000. Для того, чтобы предотвратить один взлом.


Или: "включить ALSR" — number to treat 100000, number to harm — 0.0001. Вполне разумная мера.


А теперь вопрос: вся security-индустрия — она хоть какие-то проверяемые методологии имеет? Вот, прибежал кто-то и сказал, "надо антивирус на каждый компьютер". А какие доказательства? А какая процедура доказательств? Плацебо-антивирус? Статистика заражений? Double blind randomized clinical trial?

0
Крайне интересная мысль про доказательства, но думается что все же есть нюансы.

Информационная безопасность, суть информационное противоборство людей: хакера с жертвой, хакера с хакером, хакера с безопасником и т.д. По сути ИБ это война, и изучаться она должна с точки зрения военных конфликтов.

Приводимые математические показатели number to treat / number to harm для военного дела подходят плохо, как так существенную роль в победе (излечении с точки зрения медицины) могут съиграть неколичественные факторы: моральный дух войск, тактика и т.д. Аналогично и в ИБ. Грамотный человек, соблюдая жесткие требования информационной гигиены может долго обходится без антивируса. Другому же, менее «подкованному», без антивируса никуда.

Подобные количественные критерии подошли бы для повторяемых действий. В ИБ с «измеряемой» повторяемостью проблема.
0

В медицине воспроизводимость, мягко говоря, тоже не ахти. Именно потому приняли статистический подход. Даже если препарат у конкретного человека вызывает что-то странное (что мы не можем объяснить), статистический подход позволяет посмотреть насколько значимым является это отклонение. У почти любого препарата есть длинный список "очень редких побочных эффектов".


Вообще, сравнение ИБ с военными действиями некорректно, потому что простейшим решением в любой войне является уничтожение противника. Видишь врага? Есть средства его уничтожить? Проблема решена.


В ИБ враги неуязвимы, союзники тоже, потерь нет. Какая же это война?

+1
Текущая коммерческая ИБ — это позиционная война.
Потери — реализация одной из стороной своих целей, например, кража данных. Союзники «светлой стороны»- CERT, правоохранительные органы. Союзники «темной» — darknet, хакерские группировки, криминал.
+1

У вас очень интересная модель угроз. Я бы записал правоохранительные органы в куда большую угрозу безопасности, чем криминал. Эксплоиты, скрываемые уязвимости, требование о снижении криптозащищённости ПО, mitm-атаки, DPI, доступ к устройствам против воли их владельца… Один stuxnet нанёс вреда больше, чем большая часть всей предыдущей малвари.


Обратным образом, оверлейные сети (i2p/tor) выступают в качестве защитников приватности коммуникаций.

0
А если исходить из позиции, что уровень защищенности в целом равен защищенности самого слабого звена?
0
Если в хотдоге дорезать булку и развернуть его так, чтобы плоскость сечения булки была параллельна плоскости, на которой покоится хот-дог, станет ли он после этого бургером?
Бред.

Чем не устраивает цикл Деминга с постоянным улучшением системы принятия решений?
Only those users with full accounts are able to leave comments. , please.