01.12.2003

Законы Мерфи для информационной безопасности

Мерфология - область человеческих знаний, которая не только забавна и интересна, но и которая реально отражает многие аспекты человеческой деятельности. Всего из одного шутливо/правдивого закона Мерфи "если какая-нибудь неприятность может произойти, она обязательно случается", родилось целое направление, которое позволяет понять многие процессы в человеческом обществе.

Законы Мерфи для информационной безопасности Мерфология - область человеческих знаний, которая не только забавна и интересна, но и которая реально отражает многие аспекты человеческой деятельности. Всего из одного шутливо/правдивого закона Мерфи "если какая-нибудь неприятность может произойти, она обязательно случается", родилось целое направление, которое позволяет понять многие процессы в человеческом обществе. Существуют различные направления мерфологии - военная, медицинская, писательская, рекламная, бытовая и т.п. Но мне ни разу не приходилось видеть законов Мерфи для информационной безопасности. Кроме давно опубликованной статьи «Murphy's law and computer security» (http://www.insecure.org/stf/wietse_murphy.html) автора сканера безопасности SATAN Витса Венема, эта деятельность, которая становится все более и более важной, не нашла отражение в мерфологии. И я решил исправить это упущение и попытался собрать разрозненные наблюдения и замечания в одном документе. Какие-то из нижеприведенных тезисов являются следствием уже известных законов Мерфи, какие-то наблюдения и аксиомы не вошли в этот документ, т.к. полностью совпадают с законами из других направлений мерфологии. Однако некоторые наблюдения достаточно интересны и присущи только информационной безопасности. Что из этого получилось - решать вам.

PS. Предвидя очередные заявления «что за чушь», «какая ерунда», «бред сивой кобылы», «автор погорячился», «продажа своих продуктов любой ценой» и т.п. ответственно заявляю этот материал носит ЮМОРИСТИЧЕСКИЙ характер. Все вышеупомянутые высказывания взяты из форума SecurityLab ( http://forum.securitylab.ru/forum_posts.asp?TID=5133), посвященного обсуждению моей юмористической статьи «Почему сканер безопасности лучше чем администратор» ().

Основные законы

  • Если вас можно атаковать, вас атакуют (следствие основного закона Мерфи).
  • Если 4 дыры устранены, то всегда найдется пятая.
  • Не заявляй о своей неуязвимости и невзламываемости - всегда найдется кто-то, кто докажет обратное.
    • Следствие - Если вы считаете свою сеть неуязвимой, то вы ошибаетесь.
  • Любая программа содержит дыры.
    • Следствие: даже системы защиты содержат дыры.
  • Обнаружить все дыры невозможно.
  • Если вы уверены, что написанная вами инструкция по правилам выбора паролей не может быть понята неправильно, всегда найдется сотрудник, который поймет ее именно так.

Наблюдения за пользователями

  • Экспертом по безопасности, как и знатоком футбола, считает себя каждый второй пользователь (не считая каждого первого).
  • Каждый программист считает себя специалистом по криптографии и умению разрабатывать невзламываемые алгоритмы шифрования.
  • Не усматривайте злого умысла в том, что вполне объяснимо обычной пользовательской ошибкой (следствие из бритвы Хеллона).

Законы построения системы обеспечения информационной безопасности

  • Система информационной безопасности никогда не строится в срок и в пределах сметы (следствие из закона Хеопса).
  • Как бы хорошо не была написана политика безопасности всегда найдется используемая у вас технология, которая не нашла в ней отражение.
  • Как только политика безопасности окончательно утверждена, она уже окончательно устарела.
  • Любые издержки на построение системы информационной безопасности больше, чем вы ожидаете (следствие пятого закона Фостера).

Наблюдения о руководстве

  • Руководство всегда озадачивается безопасностью своей компании только после того, как ее уже взломали.
  • Руководителем отдела защиты информации назначают либо отставного военного, либо бывшего милиционера, либо бывшего сотрудника 1-го отдела.
  • Человек, знающий как и куда правильно потратить деньги на информационную безопасность, и человек, их выделяющий - это всегда разные люди.
    • Исключение: исключений не бывает.

Наблюдения об атаках

  • Из всех атак произойдет именно та, ущерб от которой больше всего.
  • Если вас атаковали один раз, не ждите, что на этом все и кончится.
  • Атаки происходят тогда, когда администратор безопасности отсутствует на работе.
    • Следствие - Стоит вам отлучиться на 5 минут, как именно в этот момент ваш босс не сможет закачать себе новую MP3-композицию из-за настроек МСЭ.
  • Целью атаки будет именно тот сервер, падение которого нанесет наибольший ущерб (следствие закона избирательного тяготения).
  • Если атака все-таки нанесла вам ущерб всегда найдется администратор, который скажет "я так и нал" (следствие закона Эванса и Бьерна).
  • Если в вашей сети всего один непропатченный сервер, именно через него и начнется эпидемия очередного червя.
  • Эпидемия червя начинается именно тогда, когда вы забыли продлить подписку на антивирусные базы или базы сигнатур атак.
  • Если атака проходит незамеченной для администратора безопасности, значит вас ждет ловушка (основной закон для хакеров).
  • Именно тот незначительный скан, который вы проигнорируете, будет предвестником массированной атаки.
  • Об атаках всегда сообщается в прошедшем времени (следствие уотергейтского принципа).
  • Из всех атак произойдет именно та, от который вы забыли защититься.
Наблюдения о хакерах
  • Сотрудники отдела защиты информации приходят и уходят, а хакеры остаются (следствие девиза Джоунза)
  • Действия профессиональных хакеров можно предсказать, но Интернет полон любителей.
Наблюдения о консультантах по безопасности
  • Консультанты по безопасности - загадочные люди; сначала они выспрашивают все о вашей сети и ее безопасности, а потом приводят эту информацию в своем отчете, выдавая ее за титанический плод своих усилий (следствие второго закона Макдональда).
  • Приглашенные эксперты по безопасности всегда кажутся лучше своих собственных.
  • Если эксперт по безопасности знает, как называется атака, которой вы подверглись, это еще не значит, что он знает, как от нее защититься.
  • Каждый способен сказать, что в вашей сети есть дыра, но не каждый способен найти ее.
  • Виновным в неудачном внедрении системы защиты всегда оказывается внешний эксперт, приглашенный для консультаций.
  • Приглашенный эксперт, обвиненный в неудачном внедрении системы защиты, обвинит вас в непредоставлении всей необходимой информации (закон противоположного обвинения).
  • Стоимость услуг по обследованию корпоративной сети - величина, никак не зависящая от числа и квалификации экспертов, участвующих в обследовании.

Замечания по аутсорсингу

  • Передать свою безопасность на аутсорсинг - значит потерять контроль над сетью. Не передать – потерять контроль еще быстрее.
  • Доступность аутсорсинга еще не показатель, что им надо воспользоваться.

Наблюдения о средствах защиты

  • Расходы на средства защиты информации стремятся сравняться с доходами от их внедрения (следствие из второго закона Паркинсона).
  • Стоимость системы защиты информации всегда больше, чем вы запланировали (следствие пятого закона Фостера).
  • Установив систему защиты, не ждите благоприятных отзывов от сотрудников.
  • Ни одно средство защиты, введенное в эксплуатацию, не прошло тестирования.
  • Ни одно средство защиты, прошедшее тестирование, не готово к вводу в эксплуатацию (закон противоположности).
  • Чем больше функций в системе защиты, тем больше вероятность, что одна из них не работает так как надо.
  • Если вы не уверены, работает ли ваша системы защиты, значит она не работает.
  • Если ваша система защиты работает по расписанию, то вы обязательно забудете запустить ее в нужное время.
  • Система, защищающая от самых современных атак, будет неспособна защитить вас от давно устаревших.
  • Надежность системы защиты обратно пропорциональна числу и положению лиц, управляющих ею (следствие закона Уатсона).
  • Если вы хотите создать централизованную систему управления средствами защиты информации, окажется, что все ваши средства выпущены разными производителями и не интегрируются между собой.
  • Наличие сертификата соответствия на систему защиты еще не означает, что продукт соответствует классу защищенности, указанному в сертификате.
    • Следствие - Это также не значит, что продукт вообще работает.
      • Вывод - Это вообще ничего не значит.
  • Система защиты блокирует доступ вашего босса в Интернет именно в тот момент, когда он думает об увеличении вашей зарплаты.
  • Если вы приобрели большую партию электронных брелков или смарт-карт, то обязательно окажется, что более 50% ваших сотрудников являются женщинами, которым негде носить эти средства аутентификации (наблюдение Левашова).

Разные наблюдения

  • Когда администратор безопасности испытывает затруднения при обнаружении дыр, это значит, что он ищет не там, где следует.
  • Нет ничего более приятного, чем отбитая атака хакеров.
  • Если вы уверены, что в вашей сети нет бесконтрольно установленных и используемых модемов, то вы ошибаетесь.
  • В отделе защиты информации всегда не хватает людей.
  • Если после отпуска вы забыли свой пароль, отдых удался на славу.
  • Именно в тот момент, когда вам нужно собрать доказательства несанкционированной деятельности, окажется, что регистрация событий не включена.
  • Если вашу статью кто-то украл, то скорее всего это преподаватель какого-либо ВУЗа (пессимистическое наблюдение Лукацкого)
Об авторе:

Алексей Викторович Лукацкий, автор книг «Обнаружение атак», «Protect Your Information with Intrusion Detection» и др. Автор курсов «Технология обнаружения атак» и «Выбор системы обнаружения атак». Связаться с ним можно по e-mail: luka@infosec.ru.

1 декабря 2003 г.

или введите имя

CAPTCHA