Участники конференции Security Bsides Boston 2014 говорили о том, что на протяжении веков строительная промышленность училась на своих ошибках и создавала сложные системы сдержек и противовесов, которые не только успешно справлялись со своей задачей, но и послужили моделью для построения сетевой безопасности.
.jpg) |
|
На протяжении веков строительная промышленность училась на своих ошибках. Источник: Wikipedia |
«Анализ типа отказов в строительной отрасли показывает, что безопасность всегда должна стоять на первом месте, – отметил в ходе своего выступления на конференции технический директор компании Counter Tack Майкл Дэвис. – Аналогичным образом и сетевых взломщиков можно сдерживать путем выстраивания сетевой защиты в тех областях, которые имеют известные атакующим уязвимости. Достоинства системы сетевой безопасности следует оценивать с точки зрения преодоления ее взломщиками и возникающих в результате этого последствий. Проанализировав все это, можно приступать к созданию средств защиты для будущей сетевой среды».
Анализ типов и последствий отказов (Failure Mode Effects Analysis, FMEA) впервые был использован в 60-х годах в НАСА, а впоследствии успешно применялся в автомобилестроении. В машинах специально создается зона деформации, которая, разрушаясь, принимает на себя всю силу удара и защищает тем самым пассажиров и более важные компоненты автомобиля.
«Аналогичную зону следовало бы моделировать и разработчикам сетевых систем, однако этого не происходит, – заметил Дэвис. – Никто не проектирует сетевые сегменты, которые полностью меняли бы свой функционал во время атаки в целях сохранения остальной части сети».
Архитекторам необходимо изучать бреши, выявлять условия, приводящие к отказам, и вносить соответствующие коррективы в принимаемые решения. Это можно делать путем проведения анализа в процессе проектирования и внедрения дополнительных контрольных параметров для уменьшения рисков. Конструкторы должны спросить себя, при каких условиях возможна атака конкретного сервера и какие средства защиты необходимо преодолеть атакующему, для того чтобы проникнуть внутрь системы.
Эта методология спасла на Марсе вездеход Spirit, когда его флэш-память вышла из строя. Инженеры предусмотрели такую возможность и встроили запасные компоненты, позволившие контроллерам осуществить перезапись, перезагрузить систему и вернуть вездеход к жизни. Мораль? Заранее готовьтесь к событиям, вероятность которых невелика и которые могут повлечь за собой тяжелые последствия.
Проблемы в области сетевой безопасности крайне сложны. В отчете Verizon Data Breach Investigation указывается, что ликвидация девяти слабых мест в системе безопасности может блокировать 95% атак с SQL-инъекциями. Но каждая из этих девяти проблем связана еще с девятью, которые в свою очередь приводят к появлению новых брешей. «Нужно смотреть на взаимосвязанную цепь событий, а не на изолированные друг от друга слабые места», – подчеркнул Дэвис.
Устранить все проблемы крайне затруднительно в силу их сложности, поэтому прежде всего необходимо оценить риски для бизнеса, которые повлечет за собой каждый из потенциальных отказов, а потом уже ликвидировать слабые места с учетом их приоритета.
Для оценки риска Дэвис предлагает следующую формулу: Приоритет риска = Серьезность Х Частота Х Обнаружение. Серьезность описывает последствия, которые атака повлечет для функционирования всей среды (1 – последствия несущественны, 10 – последствия очень серьезны). Частота отражает статистику возникновения отказов с учетом накопленного опыта (1 – вероятность минимальна, 10 – очень вероятна ). Обнаружение характеризует способность управляющей схемы выявлять слабые места и устранять причину их возникновения (1 – обнаруживаются легко, 10 – обнаруживаются с большим трудом).
Анализ подобного рода может улучшить решения, принимаемые представителями бизнеса в сфере безопасности, и имеет очень важное значение, ведь взломщикам для проникновения в систему достаточно всего одной лазейки. И вряд ли после первой попытки они оставят вас в покое.
«Нам нужно принимать более эффективные решения, – указал Дэвис. – Атакующие могут совершать глупости и допускать ошибки, но затем они возвращаются и предпринимают новую попытку проникновения уже на другой машине».