Бесплатно Моделирование угроз и оценка рисков

Тема в разделе "Сборник статей по безопасности и анонимности", создана пользователем Wowas, 4 июн 2017.

  1. Wowas

    Wowas Moder Модератор форума

    Приветствую, уважаемый читатель, пользовател! Наверняка если ты попал в данную тему - тебе интересен вопрос об анонимности, приватности в сети. Я не раз уже пытался рассказать и показать, что нужно для элеменатрного, безопасного серфинга сети. Давай по порядку:
    1.
    2.

    Ну а теперь поговорим о моделировании угроз и оценке рисков.
    У вас должно было появиться представление об уязвимостях, угрозах, злоумышленниках, последствиях и результирующих рисках. Также вы теперь должны понимать, почему безопасность это процесс, действия и технологии для защиты ваших активов, приватности и анонимности. Давайте немного углубимся в применение всего того, что мы уже узнали. Первое очень важное замечание, вы никогда не сможете достичь 100% безопасности, также как не бывает и нулевого риска. По этой причине вы никогда не сможете защитить свои активы полностью, или сохранить абсолютную приватность, или заполучить совершенную анонимность.

    Если вы когда-либо видели, что кто-то рекламирует стопроцентную безопасность, обойдите его за километр. У него нет ни малейшего понятия, о чем он говорит. Риск будет всегда, только если вы не прекратите свою жизнедеятельность. Жизнь это риск, выход в Интернет это риск. Мы идем на риск ради больших возможностей и преимуществ, которые дарует нам Интернет. Чтобы извлечь выгоду из возможностей от использования Интернета, мы вынуждены принять уровень риска. И вам нужно решить для себя, какова ваша устойчивость к риску, основанному исходя из ваших обстоятельств. Чем ниже устойчивость к риску, то есть если последствия от потери безопасности, приватности и анонимности критичны, тем больше средств обеспечения безопасности вам нужно, тем более продвинутые и ограниченные по юзабилити средства вам могут потребоваться.

    Чем выше устойчивость к имеющемуся риску, то есть последствия могут быть не критичными, тем меньше средств безопасности вам нужно. Так что безопасность это баланс, баланс между юзабилити и безопасностью, между риском и возможностью. И безопасность часто препятствует простоте в использовании. Вот почему мы должны выбирать средства безопасности, которые подходят для наших целей и которые соотносятся с нашей склонностью к риску. Наберитесь терпения и тогда вы начнете больше понимать о существующих угрозах и злоумышленниках, и о вещах, о которых вы, возможно, никогда не слышали до этого. Теперь другое очень важное замечание, подход к вашей безопасности должен быть риск-ориентированным. Мы знаем, что нельзя иметь стопроцентную безопасность, так что вам нужно применять риск-ориентированный подход для использования соответствующего уровня безопасности в целях уменьшения риска, чтобы она не стала излишне обременительной до такой степени, что систему уже становится нельзя использовать. Но только вы можете выбрать, насколько объемной и обременительной должна быть ваша , необходимая для защиты ваших активов. Для применения риск-ориентированного подхода к безопасности во время выбора средств обеспечения безопасности вам нужно выполнить базовое моделирование угроз и оценку рисков. И я помогу это сделать на следующем примере.

    Итак, риск равняется уязвимости умножить на угрозы, умножить на последствия. Давайте сейчас пройдем через процесс оценки. Для начала начнем с наших активов. У вас уже должен быть список или набросок списка или представление о ваших активах. У вас должно быть примерное представление о вещах, которые вам важны и которые вы хотите защитить. Уязвимости, угрозы и злоумышленники. У вас, возможно, есть определенное понимание, каковы ваши угрозы и кто ваши противники, это наверняка и стало причиной, по которой вы читаете данный материал. Или у вас может не быть четкого представления об этом, или вы еще не решили окончательно. Определите последствия того, что ваши активы могут быть скомпрометированы, что угрозы могут быть реализованы. Когда речь заходит о ваших активах, представьте, что они утеряны или украдены, уничтожены или зашифрованы, так что вы не можете их использовать, либо они размещены в Интернете, попали в руки к злоумышленникам, преступникам, хакерам, правительству, правоохранительным органам.
    Как это могло бы ударить по вашей репутации, вашей приватности, вашей анонимности? Каковы будут последствия от потери приватности и анонимности? Что сделает злоумышленник? Сконцентрируйтесь на последствиях, возникающих при условии, когда угрозы и злоумышленники вряд ли могут быть обнаружены, и это ключевой момент здесь. Чтобы определить риск и нужные вам средства обеспечения безопасности, сконцентрируйтесь на последствиях, возникающих при условии, что ваше понимание и общие представления об угрозах и злоумышленниках не определены до конца, а такое часто случается. Вы представляете себе последствия, а удар оказывается еще сильнее. Как только к вам придет понимание о ваших активах, угрозах в их адрес, уязвимостях, злоумышленниках, доступных средствах обеспечения безопасности, и вы поймете последствия от исходящих угроз, то вы сможете определить общий уровень риска, которому подвергаетесь. Возможно, вы определились, что конкретно в вашей деятельности подвержено риску, а также на противостояние каким угрозам, злоумышленникам и уязвимостям необходимо выделить самые эффективные средства безопасности и наибольшее внимание.

    Позвольте мне привести пример, о котором вы, должно быть, и так подумали. Должно быть, вы представили угрозу кражи вашего ноутбука, злоумышленник это вор, уязвимость это данные на вашем ноутбуке в виде не зашифрованного текста, а последствия это урон репутации и возможно, кража персональных данных. В зависимости от вашей устойчивости к риску вы выберете средства безопасности, которые минимизируют риск. И вам следует в первую очередь использовать средства защиты от самых приоритетных рисков. Серия данных материалов в целом это серия уроков по средствам безопасности, как их применять, зачем их применять, об их сильных и слабых сторонах, и так далее. Когда дело дойдет до выбора, выбирайте те средства безопасности, которые лучше всего уменьшают ваши риски. Например, в случае с кражей ноутбука, о которой мы только что говорили, вы могли бы выбрать с использованием механизмов блокировки, и предзагрузочную аутентификацию в качестве части ваших средств безопасности, снижающих риски подобной угрозы. Далее, внедрение этих средств. Вы устанавливаете блокировку, производите полное шифрование диска, настраиваете. Далее оцениваете, оцениваете выбранные вами средства на эффективность. Проверьте, что шифрование всего диска произведено и данные зашифрованы. Затем контролируйте, контролируйте эффективность средств безопасности. Например, проверяйте обновления систем безопасности, уязвимости в механизмах защиты диска, и так далее. Если находите слабое место, возвращаетесь к заданному этапу снова. Это и есть моделирование угроз и оценка рисков.
     

Поделиться этой страницей