Абсолютной безопасности не существует. Возьмите сервер, поместите его в экранирующий кожух, установите на него Trusted Solaris , отключите его от сети, залейте все интерфейсные порты эпоксидкой. После этого погрузите его на корабль, отвезите на Филиппины и сбросьте в Марианскую впадину. По достижении дна ваш сервер будет в безопасности на 99,98%.
Вместо того, чтобы стремиться к платоническому идеалу абсолютно безопасной системы, опытные специалисты руководствуются следующим принципом управления рисками. Прежде всего, для системы (здесь, прежде и далее "система" - это некий абстрактный объект защиты) определяется текущий уровень риска. Допустим, что после учета всех возможных угроз и вероятностей их актуализации, среднегодовой риск составляет 80%. Это означает, что если "ничего не трогать, все и так работает" (с), то система будет скомпрометирована с вот такой вот вероятностью -- ежегодно. Затем вычисляется допустимый уровень риска. Допустим, что в нашем примере допустимый среднегодовой риск равен 20%. То есть, теоретически, для владельца системы допустимо, что ее будут взламывать раз в пять лет. На практике это может означать то, что систему не планируют использовать так долго.
Для достижения допустимого уровня риска, специалисту по безопасности нужно понизить риск с отметки 80% до отметки 20%. Сделать это можно внедряя т.н. контроли или средства обеспечения безопасности. Допустим, что в силах специалиста понизить риск следующими контролями:
- сегментировать сеть и установить межсетевой экран (-15%),
- развернуть систему предотвращения вторжений (-20%),
- установить антивирус (-5%),
- обучить пользователей системы основам ИБ (-10%),
- автоматизировать анализ логов системы с целью раннего обнаружения попыток взлома (-15%),
- и т.д., и т.п.
Исходя из стоимости внедрения средств защиты, из их числа выбирают несколько контролей, которые в сумме понижают риск до допустимого уровня. Этот процесс имеет зеркальное отображение: чем ниже опускается уровень риска, тем выше поднимается "планка" стоимости удачной атаки. Чем больше прикладывается усилий для защиты системы, тем больше требуется ресурсов для их преодоления. В итоге, взламывать систему становится экономически не выгодно для большинства потенциальных желающих. А меньшинство... на меньшинство мы как раз и оставили те 20% допустимого риска.
Итак, работа специалиста по ИБ состоит в поднятии планки на приемлемую высоту. Тем не менее, не редки споры, в ходе которых в ответ на предложение внедрить тот или иной контроль, раздается нечто вроде: "-Зачем, достаточно мотивированный атакующий все равно преодолеет этот барьер" или "-Администратора системы это все равно не остановит". На лицо полное непонимание цели внедрения контролей и принципов защиты в целом. Контраргументы в таком случае могут быть следующими: Сколько нам будет стоить внедрение контроля? Ничего не будет стоить, только немного повозиться придется... А риск при этом хоть немного понизится? Ах, не немного, а даже существенно... Ну тогда "давайте сделаем это" (с).
Тот факт, что после всех усилий, вероятность компрометации системы не исчезнет, не означает, что мы не должны стараться свести ее к минимуму.
