воскресенье, 31 марта 2013 г.

В тему о бумажной информационной "безопасности"

Должен признаться, активно обсуждаемая последний месяц тема бумажной безопасности начинает слегка напрягать. И даже не столько своей сутью, сколько тем, что некоторые уважаемые ученые мужы занимается откровенной херней вместо того, чтобы работать над интересными ресерчами и приносить пользу паразитам вроде меня =/ Посему, далее - мое IMHO относительно предмета их спора и того, как к нему следует относиться.

Итак, поборников технической информационной безопасности возмущает провозглашение себя сторонниками бумажной информационной безопасности экспертами в общей отрасли. Чтобы понять, кто прав, а кто виноват - разберем по полочкам, что же означает термин "информационная безопасность" и чем на самом деле занимаются обе стороны баррикады. Начнем с самого простого:

Информационная

Вот интересно, много ли экспертов из числа участников тех эпических дискуссиий смогли бы внятно объяснить, защиту чего именно они осуществляют? Построить обобщенную модель информационной системы, показать на ней, что определение принадлежности ее состояния ко множеству защищенных - неразрешимая задача, но, что множество уязвимых состояний рекурсивно-перечислимо? Что какой бы ни была эта система, не существует алгоритмического способа доказать ни наличие в ней НДВ, ни уязвимостей в алгоритме (логических, чему как раз и был посвящен недавний доклад Андрея Петухова andrepetukhov.wordpress.com/2013/03/22/рускрипто-2013/)? Что информация и информационная система суть - эквивалентные понятия, так же, как хранение и передача информации? Как обнаружить уязвимость неизвестного класса в коде и доказать, что это именно уязвимость, а не банальный баг? Что общего между формальными языками и множеством точек входа в систему? Чем является парсер языка множества значений всех точек входа? К какому классу грамматик предпочтительнее сводить этот язык на этапе разработки? А на этапе эксплуатации? Да, это сухая и местами зубодробительная теория... Но это - теория, без которой иметь собственное мнение о том, чем именно и как должна заниматься отрасль и что в ней является правильным и неправильным, по меньшей мере, странно (по большей - см. "эффект Даннинга-Крюгера").

О каких спорах "экспертов по информационной безопаности" может идти речь, если большинство из них даже толком не представляет, безопасность чего именно они обеспечивают?

Безопасность

"Безошибочность - это не отсутствие ошибок, а стремление их избежать" - странно звучит, не так ли? Как бы не стремился избежать ошибок, скажем, математик, доказывающий теорему, его доказательство либо будет содержать ошибки, либо не будет. True или false, промежуточных вариантов тут быть не может. Мера стараний математика никого не волнует в обоих случаях. Это настолько очевидно и следует из самой этимологии слова, что кажется капитанством чистой воды. Но тогда почему утверждение "Безопасность - это не отсутствие опасностей, а защита от них" так прочно вошло в обиход и употребляется повсеместно? Состояние системы, в котором она защищена от опасностей называется защищенностью, а безопасность - это что-то про чрево матери, пазуху бога и мир во всем мире. Как только конфиденциальность какой-либо информации начинает иметь для нас значение, опасность ее нарушения будет существовать до тех пор, пока мы не выведем информацию из разряда конфиденциальной, либо пока она не перестанет существовать. Множество опасностей суть - дополнение множества актуальных свойств информации в конкретный момент времени (именуемого состоянием информационной системы). И устранить какую-либо опасность мы можем лишь исключив то или иное свойство информации из множества актуальных. Мы можем устранить или снизить риски реализации опасности (чем по сути и занимаются в т.ч. "бумажные безопасники"), но это уже ближе к понятию "безрисковость", а "безопасность" тут опять не в дугу. Хотел бы я посмотреть в глаза тому, кто впервые ввел в обиход эту трактовку безопасности. Чувствуется рука изворотливого юриста, стремящегося любой ценой оправдать свое присутствие в предметной области. Да что там говорить - и сам, до недавнего времени бездумно употреблял этот термин, поддавшись тлетворному влиянию плодов косноязычия того деятеля. Остановимся на "безрисковости", как на термине, который наиболее близок к тому, чем на самом деле занимаются безопасники (далее - безрисковики). И сейчас у тех, кто также, как и я занимается поиском и устранением уязвимостей в информационных системах, наверняка возник вопрос: "Стоп! Какие это еще риски? Ничем подобным никогда не занимался и заниматься не буду!" И с одной стороны, это утверждение совершенно справедливо, т.к. мы обеспечиваем не безопасность, а защищенность систем. Но с другой, оценка уязвимости по шкалам CVSS, DREAD и т.п. - это и есть оценка риска в чистом виде. Только риска не бизнеса (в более общем случае - интересов корпорации), а самой информационной системы. В этом и есть главное отличие бумажных безрисковиков от технарей-защищенников. Но об этом чуть позже.

Кстати говоря, по этимологическим критериям слово "безопасность" ближе к английскому "safety", в то время, как "security" как раз рядом со словом "защищенность". Спросите у любого лингвиста. Поэтому, в этих их америках, в данном случае - все более или менее однозначно. И это важно, потому что само понятие "безопасность" применительно к информации является оксюмороном, как было показано выше. Безопасность - это когда страус сунул голову в песок, оставив свою жопу на радость хищникам, охотникам и зоофилам в надежде, что остальные части его тела тупо не тронут (у безрисковиков это называется "принятие рисков на свою задницу"). Защищенность (а точнее, defensive-style) - когда еж сворачивается в комок, выставляя наружу свои иголки. Ну или, когда дикообраз начинает метаться по замысловатой траектории и всаживать иглы во всех, кто попадется у него на пути (offensive-style). Чтобы была понятна разница между этими понятиями конкретно в нашей предметной области, расскажу две истории из собственного опыта, из которых также видно еще и:

Отличие бумажных безрисковиков от технарей-защищенников

1) Крупная телеком-комания, запуск промо-сайта акции для клиентов, аудит безопасности этого сайта. XSS на форме входа, уязвимость к повтору HTTP-запросов, позволяющая принять пяти-семикратное участие в акции (положить себе на счет 500-700р, вместо 100), еще что-то по-мелочи. Акция приурочена к конкретной праздничной дате, проводить ее позже не имеет смысла. Праздничная дата завтра, аудит сегодня, маркеты в шоке - ставят разрабам (сторонней компании) задачу немедленно устранить выявленные уязвимости. Разрабы, со свойственной им детской непосредственностью обещают всенепременно все устранить... после праздников, ибо основной персонал уже давно на корпоративе и его состояние никак не позволяет приступить к работе немедленно. Маркетологи берут в руки калькулятор (а это похлеще обезьяны с гранатой, должен заметить) и высчитывают, что ожидаемое количество участников акции X человек. Компания тратит X*100р на обещанные бонусы, но получает X*1000р в течении следующего месяца, за счет использования навязанных участникам акции дополнительных услуг. Поэтому, даже если все участники акции будут знать про узявимость и воспользуются ею, то потери компании составят X*700р при прибыли X*1000р, что даст X*300р чистой прибыли. Соответственно, если сайт не будет запущен в продуктив по результатам аудита, эти X*300р внезапно становятся прямыми убытками. Репутационный ущерб калькуляторы маркетологов считать не умеют, а на нет и суда нет. Безрисковики умывают руки, маркетологи принимают риски, сайт запускается как есть. За сутки никто из участников акции об уязвимости не узнаёт, компания получает максимальную прибыль.

2) Небольшой стартап, анализ защищенности его веб-сервиса сторонним специалистом. Основа бизнеса и главный актив - клиентская база (в виде учеток пользователей и их email'ов), лежащая на том же сервере, рядом с веб-сервисом. Предварительные результаты анализа показывают, что у разработчиков руки растут примерно из того места, которое торчит наружу у абстрактного безопасного страуса. Десятки уязвимостей, развесистое дерево атак, рутинг сервера сразу по нескольким веткам. Стартап меняет команду разработчиков и по окончательным результатам анализа движок переписывается новой командой практически с нуля по полученным рекомендациям и под наблюдением привлеченного специалиста. По окончанию разработки у специалиста заказывается повторный анализ, а после устранения полученных замечаний - еще один, на проверку устранения уязвимостей. Администраторам, внутренним пользователям и разработчикам пишутся инструкции на все случаи жизни, касающиеся обеспечения защищенности веб-сервиса. Их выполнение контролируется руководством, регулярно проводится пентест, заказываемый у различных команд и индивидуальных специалистов.

Основное отличие второго примера в том, что безрисковость бизнеса там напрямую зависела от защищенности информационных активов. Утекла база - потеряли бизнес. Очень простая логика, в которой уже нет места ни маркетологам с калькуляторами, ни безрисковикам с их мутной процедурой принятия рисков. Точнее, вторым место есть, но сильно после того, как активы будут технически защищены. И именно по этой причине, во втором случае защищенность информационного актива вышла на первый план. В первом же примере, напротив - во главе всего происходящего стояли интересы бизнеса, которые далеко не всегда совпадают с интересами информации, как защищаемой сущности. В этом и заключается основное отличие бумажных специалистов от технических - первые снижают (либо устраняют) риски для бизнеса, вторые - для информационной системы. Разумеется, бумажные специалисты лукавят, утверждая, что работают в области информационной безопасности, защищая информацию. Информационная безопасность - термин вообще ни о чем, а к информации они имеют примерно такое же отношение, как морские свинки к морю, поскольку защищают бизнес, а не информацию (правда от определенного класса угроз, имеющих отношение к информации, но who cares? - смотрим название блога Лукацкого и вникаем). Однако, это еще не значит, что они не являются профессионалами или делают бесполезную работу. Просто их направление деятельности, цели и средства их достижения несколько отличается от наших, хотя они и работают в той же отрасли. А шарлатанов и мнимых "экспертов" - по обе стороны хватает, чего уж там.

Между прочим, если обратиться к столь любимыму безрисковиками ГОСТу и обратить свое внимание на 51898-2002 (http://library.novosel.ru/show.php?c=48&id=869&tp=2), то там можно найти и потверждение того, что "безопасность" соответствует слову "safety", и что под этим подразумевается безрисковость, делая этот термин совершенно бестолковым, и что, говоря о мере защищенности, слова "безопасность" следует полностью избегать. Это на случай, если кто-то из безрисковиков отважится поспорить на эту тему.

P.S: И выкиньте вы эту "безопасность" из лексикона. Совершенно бестолковый термин, не вносящий ничего, кроме путаницы. У бизнеса может и случается отсутствие опасностей. У информации - нет.

10 комментариев:

  1. Справедливости ради, стоит отметить, что большинство "технарей" также не знакомо с теоретической информатикой и доказывать теорему Райса-Успенского не умеет.
    Так что, наверное, для того, чтобы называться экспертом по ИБ в нынешнем понимании этого термина, не обязательно знать фундамент вроде теории алгоритмов, теории информации, теории формальных языков.

    Да и вообще, в самой математике подходы к определению информации разные. Он комбинаторного до топологического.
    Умения пихать кавычки во все дыры и понимания принципов работы системы в целом вполне достаточно.

    "True или false, промежуточных вариантов тут быть не может"
    Неверно :P Корректность рассуждения может быть недоказуема.
    С точки зрения интуиционизма, вообще закон исключённого третьего не имеет место быть.

    // @ahack_ru
    // этот discus говнюк, хочет публиковать твиты от моего имени, поэтому не хочу авторизовываться =)

    ОтветитьУдалить
  2. Я и школу еще не окончил, а тут такие вещи вокруг творятся...

    ОтветитьУдалить
  3. >>Справедливости ради, стоит отметить, что большинство "технарей" также не знакомо с теоретической информатикой и доказывать теорему Райса-Успенского не умеет.

    А так же танцевать брейк-данс и делать сальто назад.

    Стоить так же заметить, что "Эксперты информационной безопасности", "Специалисты информационной безопасности" и прочими "джедаями" называются именно "бумажные специалисты".

    Дальнейшее развитие событий: либо квалифицировать (обучать) "технарей" в "бумажников". Хм... Либо работать в паре.

    ОтветитьУдалить
  4. Великолепно. Слова не мальчика, но мужа!

    ОтветитьУдалить
  5. На RSDN уже столько копий было обломано по поводу того, должен ли специалист в какой-либо области иметь за спиной теоретический базис (и насколько глубокий), что идти на очередной круг тупо лень) Я не утверждал, что буквально каждый эксперт обязан это знать, чтобы делать свою работу, речь шла об ином: "это - теория, без которой иметь собственное мнение о том, чем именно и как должна заниматься отрасль и что в ней является правильным и неправильным, по меньшей мере, странно"

    ОтветитьУдалить
  6. >> Либо работать в паре


    Экстремальный анализ защищенности? Гм =/

    ОтветитьУдалить
  7. > Корректность рассуждения может быть недоказуема


    Тогда это рассуждение уже не будет доказательством теоремы ;)

    ОтветитьУдалить
  8. Согласен с научной стороной вопроса. Но это не слишком-то обособившаяся и сформировавшаяся наука, так что "отрасль" в данном случае -- наверное скорее отрасль бизнеса. И для того, чтобы понимать, чем и как занимается бизнес, надо просто быть в него вовлечённым с какой-то из сторон %)

    ОтветитьУдалить
  9. Смотря в какой аксиоматике (непротиворечивость ZFC средствами ZFC не доказывается, ибо Гёдель), но да ладно, не важно, этот лингвистический вопрос здесь ни к чему.

    ОтветитьУдалить

Пожалуйста, будьте вежливы к автору и остальным посетителям этого блога