Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Закладка:
Формула для расчета среднего времени обнаружения для обоих уровней технически была верна в том смысле, что дала результат 36 дней, но она не сообщала никаких полезных сведений о распределении. Это то, что я называю незначительным изъяном средних значений. Значительный изъян намного хуже, так как вы даже не получите правильное среднее значение. Модель на рис. Б.7 создала собственный СИП, который теперь можно использовать для изучения влияния нескольких одновременных ботнет-атак.
Окно уязвимости для множества вирусов ботнетаПредположим, в эксплуатацию введена новая система, которую тут же атаковали несколько вирусов с одинаковым распределением времени обнаружения. Поскольку каждый вирус обнаружат в среднем за 36 дней, можно подумать, что время существования уязвимости снова составляет в среднем 36 дней, как и для одиночного вируса. Однако это не так, ведь система остается уязвимой, до тех пор пока не будут обнаружены все ботнеты.
На рис. Б.8 показаны СИПы времени обнаружения для 10 случаев ботнет-атак, сгенерированные моделью с рис. Б.7. У всех них одинаковые параметры генерации, но мы не учитывали порядок, чтобы сделать их статистически независимыми.
Рис. Б.8. СИПы времени обнаружения для 10 случаев независимых ботнет-атак
Эти СИПы используются в модели, представленной на рис. Б.9. Она рассчитывает в ячейке C14 распределение максимального времени обнаружения всех ботнет-атак. Обратите внимание, что можно настроить количество ботнет-атак от 1 до 10 с помощью счетчика (инструмент Excel «Элементы управления формы») в столбце E. Перед тем как экспериментировать с этой моделью, стоит закрыть модель, показанную на рис. Б.7, так как она содержит формулу СЛЧИС(), которая может замедлить вычисления.
Рис. Б.9. Моделирование нескольких ботнет-атак
По модели видно, что среднее количество дней существования уязвимости увеличивается по мере роста числа одновременных атак, а шанс обнаружения ее менее чем за 36 дней уменьшается. Это пример значительного изъяна средних значений, и для 10 ботнет-атак среднее значение составляет 78 дней существования, а вероятность того, что оно окажется меньше 36 дней, составляет всего 1 %.
Такое моделирование можно легко применить и к различным вариантам вирусов, атакующих не одновременно, а в случайно выбранные моменты. Аналитические выводы о том, в течение какого отрезка времени следует ожидать, что система будет уязвима, крайне важны при принятии решений об инвестициях, связанных со стратегиями смягчения последствий.
Взлом паролей
Антон Мобли
Cпециалист по анализу данных в компании GE Healthcare
В последние годы произошло несколько крупных утечек данных, нанесших огромный финансовый и репутационный ущерб. Исполнители у них были разные, в том числе хактивисты, государства и киберпреступники. Среди целей и типов нарушенных данных можно выделить следующие:
• компании Target и Home Depot – платежная информация;
• компания Anthem/WellPoint – личная медицинская информация;
• Управление кадровой службы США, Booz Allen Hamilton и HBGary – военная и разведывательная информация;
• виртуальные службы знакомств Ashley Madison и Adult FriendFinder – конфиденциальная информация.
Обычно борьбой с вредоносными программами и фишинговыми атаками занимаются специалисты по кибербезопасности, но такие взломы данных представляют собой вторичный риск для предприятий в связи с потерей учетных записей, базы данных которых часто оказываются размещены на хакерских форумах, в сети TOR и торрентах.
Взяв за основу взлом компании Adobe в 2013 году, можно смоделировать подверженность постороннему воздействию как функцию от величины компании и политики паролей. В октябре 2013 года9 компания Adobe объявила, что хакеры похитили исходный код основных продуктов Adobe, а также данные учетных записей более чем 153 млн пользователей. База данных очень быстро оказалась в открытом доступе. Некоторые пользователи, оказавшиеся в базе, скорее всего, сами придумывали пароли или вообще обходились без них. Эти данные по сей день являются одним из самых крупных источников учетных записей.
База данных содержала адреса электронной почты, зашифрованные пароли и подсказки к паролям открытым текстом, у тех пользователей, которые их добавляли. Важно, что пароли были не хешированными и не хешированными с добавлением случайной «соли», а зашифрованными алгоритмом 3DES. В этом случае потеря ключа дискредитирует надежность всей базы данных, но пока еще ключ не появился в открытом доступе. Когда «соль» в шифровании не используется, одинаковые пароли в зашифрованном виде выглядят одинаково. Подсказки к паролям хранились в открытом виде, следовательно, злоумышленник может объединить одинаковые зашифрованные пароли и получить все возможные подсказки для одного и того же пароля. Нередко в базе данных попадаются такие подсказки, как «работа», «единый вход», «пароль от Outlook» и «пароль от Lotus notes». Это означает, что один пароль используется несколько раз и, сведя зашифрованный пароль к набору применяемых подсказок, можно его легко подобрать. Кроме того, для защиты паролей применялось блочное шифрование, следовательно, злоумышленник мог взломать фрагменты паролей и использовать их для взлома учетных данных других пользователей в базе.
При моделировании подверженности постороннему воздействию организация определяется как
