Comments 7
Вы забыли главное, говоря о моделях и методологиях. Не просто воспроизводимость, но и доказательства. Не зря медицина прекратила рассуждать про всякие флюиды и давно зарылась в статистику. В медицине для каждой таблетки есть два параметра: number to treat / number to harm. Скольких надо "полечить", чтобы одному полегчало, и скольким надо сделать нежелательные побочные эффекты, чтобы одному полегчало.
Например, если у нас таблетка от кашля и показатель 1/100, то, наверное, это героин. А если у нас 100/0.01, то хоть оно и безвредно, но и польза у неё — так себе.
А если это единственное лекарство от смертельного недуга, то 100/10 — может даже не так уж и плохо.
Вот я хотел бы видеть такие же цифры для всех best practices.
Например: "сбрасывать пароль пользователю каждые 7 дней" — number to treat — 10000, number to harm — 1000. Для того, чтобы предотвратить один взлом.
Или: "включить ALSR" — number to treat 100000, number to harm — 0.0001. Вполне разумная мера.
А теперь вопрос: вся security-индустрия — она хоть какие-то проверяемые методологии имеет? Вот, прибежал кто-то и сказал, "надо антивирус на каждый компьютер". А какие доказательства? А какая процедура доказательств? Плацебо-антивирус? Статистика заражений? Double blind randomized clinical trial?
Информационная безопасность, суть информационное противоборство людей: хакера с жертвой, хакера с хакером, хакера с безопасником и т.д. По сути ИБ это война, и изучаться она должна с точки зрения военных конфликтов.
Приводимые математические показатели number to treat / number to harm для военного дела подходят плохо, как так существенную роль в победе (излечении с точки зрения медицины) могут съиграть неколичественные факторы: моральный дух войск, тактика и т.д. Аналогично и в ИБ. Грамотный человек, соблюдая жесткие требования информационной гигиены может долго обходится без антивируса. Другому же, менее «подкованному», без антивируса никуда.
Подобные количественные критерии подошли бы для повторяемых действий. В ИБ с «измеряемой» повторяемостью проблема.
В медицине воспроизводимость, мягко говоря, тоже не ахти. Именно потому приняли статистический подход. Даже если препарат у конкретного человека вызывает что-то странное (что мы не можем объяснить), статистический подход позволяет посмотреть насколько значимым является это отклонение. У почти любого препарата есть длинный список "очень редких побочных эффектов".
Вообще, сравнение ИБ с военными действиями некорректно, потому что простейшим решением в любой войне является уничтожение противника. Видишь врага? Есть средства его уничтожить? Проблема решена.
В ИБ враги неуязвимы, союзники тоже, потерь нет. Какая же это война?
Потери — реализация одной из стороной своих целей, например, кража данных. Союзники «светлой стороны»- CERT, правоохранительные органы. Союзники «темной» — darknet, хакерские группировки, криминал.
У вас очень интересная модель угроз. Я бы записал правоохранительные органы в куда большую угрозу безопасности, чем криминал. Эксплоиты, скрываемые уязвимости, требование о снижении криптозащищённости ПО, mitm-атаки, DPI, доступ к устройствам против воли их владельца… Один stuxnet нанёс вреда больше, чем большая часть всей предыдущей малвари.
Обратным образом, оверлейные сети (i2p/tor) выступают в качестве защитников приватности коммуникаций.
Бред.
Чем не устраивает цикл Деминга с постоянным улучшением системы принятия решений?
Ментальные модели в информационной безопасности