Как оценить риски в кибербезопасности. Лучшие инструменты и практики - Ричард Сирсен
Шрифт:
Интервал:
Закладка:
1. Пароль, используемый в электронной почте сотрудника, совпадает с паролем, применяемым для защиты выполняемой им критически важной работы.
2. Пароль можно легко восстановить по базе данных Adobe, объединив подсказки к зашифрованным паролям.
Отсюда следует, что вероятность постороннего воздействия для организации с n сотрудников, при условии что сотрудники независимы, а на частоту повторного использования пароля не влияет уязвимость пароля сотрудника, можно смоделировать следующим образом:
P(сотрудники, подвергшиеся воздействию >= 1)
= 1 – P(Любой пароль сотрудника используется повторно И тот же пароль уязвим при объединении подсказок)n
= 1 – (1 – P(пароль используется повторно)P(отдельный пароль уязвим при объединении подсказок))n.
Эксперты по безопасности придерживаются разных мнений относительно частоты повторного использования паролей в учетных записях.
В некоторых исследованиях этот показатель находится в диапазоне от 12 до 20 %10, а в исследовании, проведенном в Принстоне с использованием ограниченных данных, он составляет 49 %11. Опираясь на предыдущие результаты, полученные при подобном анализе, в данной модели взято равномерное распределение в диапазоне от 0,15 до 0,25).
Моделирование вероятности того, насколько отдельный пароль уязвим при объединении подсказок, – задача посложнее. Чтобы ее решить, нужно понимать, как пользователи выбирают пароли. Так как в прошлом много раз происходили утечки паролей, для моделирования пространства выбора пароля можно использовать реально произошедшую утечку с минимальным ограничением паролей. Скажем, случившийся в 2009 году взлом компании RockYou, разрабатывавшей плагины и виджеты для сайтов социальных сетей. При этом произошла утечка 34 млн паролей. Объединенный набор паролей (без информации о пользователях) был взят с сайта https://wiki.skullsecurity.org/Passwords. Параметр для коэффициента наличия подсказок, помогающих взломать пароль, выбран 0,0001. На самом деле данный параметр не известен, поэтому эта оценка очень осторожная. Как правило, достаточно 10–20 подсказок, чтобы пароль можно было легко угадать. Этот параметр также зависит от количества людей, имеющих одинаковые пароли, но для простоты применяется точечная оценка. Задав в качестве условий количество пользователей с одинаковыми паролями и пространство паролей RockYou в виде функции распределения вероятности, указывающей способы выбора пользователями паролей, можно смоделировать подверженность отдельных пользователей внешнему воздействию следующим образом:
V = событие, когда пароль может быть угадан;
X = событие, когда X сотрудников имеют такой же пароль, как и пользователь;
N = взломанная база пользователей Adobe: ~153 млн;
PRY = функция плотности для каждого пароля из похищенных данных компании RockYou;
h = вероятность того, что подсказка пароля достаточно простая, чтобы позволить верно угадать пароль.
Эти результаты зависят от функции распределения вероятности пространства паролей компании RockYou. Если принять во внимание политику паролей, т. е. учитывать условное распределение для компании RockYou, согласующееся с политикой определения паролей, то первоначальный набор паролей, из которых выбирает пользователь, берется из распределения с гораздо более высокой энтропией.
При моделировании различных вариантов политики создания паролей и количества совпадений для эмпирической оценки кумулятивных функций распределения при различных политиках паролей меняют количество совпадений с паролем. Количество уязвимых паролей, т. е. паролей, с которыми связана простая подсказка, зависит от числа людей, использующих одинаковый пароль, и случаев повторного использования пароля. И с его помощью вычисляются оценка вероятности по методу максимального правдоподобия и 95 %-ный ДИ быстроты рассекречивания пароля отдельного сотрудника.
Объединив распределение, показывающее частоту повторного использования пароля, с распределением подверженности отдельного сотрудника внешнему воздействию, можно получить целый диапазон результатов (приведены на рис. Б.10). Сплошные линии показывают оценку вероятности подвергнуться воздействию по методу максимального правдоподобия, а пунктирные линии отмечают нижний и верхний пределы при использовании результатов 95 %-ного ДИ с низкими и высокими значениями распределения частоты повторного использования.
Рис. Б.10. Вероятность взлома в зависимости от размера компании и политики паролей
Модель дает представление о том, какой риск представляют собой взломанные учетные записи для организации в зависимости от аккаунтов сотрудников и политики паролей. Для повышения достоверности модели можно и нужно скорректировать несколько аспектов, в том числе указанные ниже.
1. Частота повторного использования пароля и подсказки определенно зависит от сложности пароля: люди, выбирающие хорошие пароли, не так часто создают для них подсказки. Однако при оценке на это обычно не делают поправку. Кроме того, объединение подсказок делает простые подсказки очень ценными, но и это не учитывается.
2. Принудительное введение политики паролей для базы пользователей, скорее всего, приведет к распределению с меньшей энтропией, чем условное распределение для компании RockYou. Например, если будет применена политика длины/типа символов, полагаю, что увеличится количество паролей, которые будут выглядеть следующим образом: P@ssw0rd123, pr!ncess123 и Trust№ 0ne!.
Киберконтрразведка
Дуглас А. Самуэльсон, доктор философии, президент и главный научный сотрудник компании InfoLogix, Inc.
Одной из наиболее интересных областей кибербезопасности является киберконтрразведка – обнаружение угроз безопасности и особенно внутренних угроз. После разоблачений Сноудена федеральным агентствам было приказано разработать программы по снижению внутренних угроз, но на сегодняшний день лишь несколько агентств приняли какие-то серьезные меры.
Одно из таких агентств, являющееся, пожалуй, лидером в области борьбы с внутренними угрозами, ввело в действие компьютерную систему выявления потенциальных внутренних угроз. Система использует такую информацию, как логины, пропуски, частоту и время доступа к определенным файлам и объектам, а также иные потенциально имеющие значение факты вроде мелких нарушений правил безопасности, наличия у пользователя родственников за рубежом, финансовых трудностей и повторяющихся сценариев поездок за границу. Общая идея во многом похожа на оценку заемщика или анализ мошенничества и злоупотреблений в сфере медицинского обслуживания. Система может определять закономерности действий, которые отличаются от обычных и напоминают поведение уже известных преступников.
Ключевым новшеством является настройка распознавания сходства с нарушителями,
