Мерфология - область человеческих знаний, которая не только забавна и интересна, но и которая реально отражает многие аспекты человеческой деятельности. Всего из одного
шутливо/правдивого закона Мерфи "если какая-нибудь неприятность может произойти, она
обязательно случается", родилось целое направление, которое позволяет понять многие
процессы в человеческом обществе.
Законы Мерфи для информационной безопасности
Мерфология - область человеческих знаний, которая не только забавна и интересна, но и которая
реально отражает многие аспекты человеческой деятельности. Всего из одного
шутливо/правдивого закона Мерфи "если какая-нибудь неприятность может произойти, она
обязательно случается", родилось целое направление, которое позволяет понять многие
процессы в человеческом обществе. Существуют различные направления мерфологии - военная,
медицинская, писательская, рекламная, бытовая и т.п. Но мне ни разу не приходилось видеть
законов Мерфи для информационной безопасности. Кроме давно опубликованной статьи
«Murphy's law and computer security» (http://www.insecure.org/stf/wietse_murphy.html) автора сканера
безопасности SATAN Витса Венема, эта деятельность, которая становится все более и более
важной, не нашла отражение в мерфологии. И я решил исправить это упущение и попытался
собрать разрозненные наблюдения и замечания в одном документе. Какие-то из нижеприведенных
тезисов являются следствием уже известных законов Мерфи, какие-то наблюдения и аксиомы не
вошли в этот документ, т.к. полностью совпадают с законами из других направлений мерфологии.
Однако некоторые наблюдения достаточно интересны и присущи только информационной
безопасности. Что из этого получилось - решать вам.
PS. Предвидя очередные заявления «что за чушь», «какая ерунда», «бред сивой кобылы», «автор
погорячился», «продажа своих продуктов любой ценой» и т.п. ответственно заявляю этот
материал носит ЮМОРИСТИЧЕСКИЙ характер. Все вышеупомянутые высказывания взяты из
форума SecurityLab ( http://forum.securitylab.ru/forum_posts.asp?TID=5133), посвященного
обсуждению моей юмористической статьи «Почему сканер безопасности лучше чем
администратор» ().
Основные законы
- Если вас можно атаковать, вас атакуют (следствие основного закона Мерфи).
- Если 4 дыры устранены, то всегда найдется пятая.
- Не заявляй о своей неуязвимости и невзламываемости - всегда найдется кто-то, кто докажет
обратное.
- Следствие - Если вы считаете свою сеть неуязвимой, то вы ошибаетесь.
- Любая программа содержит дыры.
- Следствие: даже системы защиты содержат дыры.
- Обнаружить все дыры невозможно.
- Если вы уверены, что написанная вами инструкция по правилам выбора паролей не может
быть понята неправильно, всегда найдется сотрудник, который поймет ее именно так.
Наблюдения за пользователями
- Экспертом по безопасности, как и знатоком футбола, считает себя каждый второй пользователь
(не считая каждого первого).
- Каждый программист считает себя специалистом по криптографии и умению разрабатывать
невзламываемые алгоритмы шифрования.
- Не усматривайте злого умысла в том, что вполне объяснимо обычной пользовательской
ошибкой (следствие из бритвы Хеллона).
Законы построения системы обеспечения информационной безопасности
- Система информационной безопасности никогда не строится в срок и в пределах сметы
(следствие из закона Хеопса).
- Как бы хорошо не была написана политика безопасности всегда найдется используемая у вас
технология, которая не нашла в ней отражение.
- Как только политика безопасности окончательно утверждена, она уже окончательно устарела.
- Любые издержки на построение системы информационной безопасности больше, чем вы
ожидаете (следствие пятого закона Фостера).
Наблюдения о руководстве
- Руководство всегда озадачивается безопасностью своей компании только после того, как ее
уже взломали.
- Руководителем отдела защиты информации назначают либо отставного военного, либо
бывшего милиционера, либо бывшего сотрудника 1-го отдела.
- Человек, знающий как и куда правильно потратить деньги на информационную безопасность, и
человек, их выделяющий - это всегда разные люди.
- Исключение: исключений не бывает.
Наблюдения об атаках
- Из всех атак произойдет именно та, ущерб от которой больше всего.
- Если вас атаковали один раз, не ждите, что на этом все и кончится.
- Атаки происходят тогда, когда администратор безопасности отсутствует на работе.
- Следствие - Стоит вам отлучиться на 5 минут, как именно в этот момент ваш босс не
сможет закачать себе новую MP3-композицию из-за настроек МСЭ.
- Целью атаки будет именно тот сервер, падение которого нанесет наибольший ущерб
(следствие закона избирательного тяготения).
- Если атака все-таки нанесла вам ущерб всегда найдется администратор, который скажет "я так
и нал" (следствие закона Эванса и Бьерна).
- Если в вашей сети всего один непропатченный сервер, именно через него и начнется эпидемия
очередного червя.
- Эпидемия червя начинается именно тогда, когда вы забыли продлить подписку на
антивирусные базы или базы сигнатур атак.
- Если атака проходит незамеченной для администратора безопасности, значит вас ждет
ловушка (основной закон для хакеров).
- Именно тот незначительный скан, который вы проигнорируете, будет предвестником
массированной атаки.
- Об атаках всегда сообщается в прошедшем времени (следствие уотергейтского принципа).
- Из всех атак произойдет именно та, от который вы забыли защититься.
Наблюдения о хакерах
- Сотрудники отдела защиты информации приходят и уходят, а хакеры остаются (следствие
девиза Джоунза)
- Действия профессиональных хакеров можно предсказать, но Интернет полон любителей.
Наблюдения о консультантах по безопасности
- Консультанты по безопасности - загадочные люди; сначала они выспрашивают все о вашей
сети и ее безопасности, а потом приводят эту информацию в своем отчете, выдавая ее за
титанический плод своих усилий (следствие второго закона Макдональда).
- Приглашенные эксперты по безопасности всегда кажутся лучше своих собственных.
- Если эксперт по безопасности знает, как называется атака, которой вы подверглись, это еще не
значит, что он знает, как от нее защититься.
- Каждый способен сказать, что в вашей сети есть дыра, но не каждый способен найти ее.
- Виновным в неудачном внедрении системы защиты всегда оказывается внешний эксперт,
приглашенный для консультаций.
- Приглашенный эксперт, обвиненный в неудачном внедрении системы защиты, обвинит вас в
непредоставлении всей необходимой информации (закон противоположного обвинения).
- Стоимость услуг по обследованию корпоративной сети - величина, никак не зависящая от числа
и квалификации экспертов, участвующих в обследовании.
Замечания по аутсорсингу
- Передать свою безопасность на аутсорсинг - значит потерять контроль над сетью. Не передать
– потерять контроль еще быстрее.
- Доступность аутсорсинга еще не показатель, что им надо воспользоваться.
Наблюдения о средствах защиты
- Расходы на средства защиты информации стремятся сравняться с доходами от их внедрения
(следствие из второго закона Паркинсона).
- Стоимость системы защиты информации всегда больше, чем вы запланировали (следствие
пятого закона Фостера).
- Установив систему защиты, не ждите благоприятных отзывов от сотрудников.
- Ни одно средство защиты, введенное в эксплуатацию, не прошло тестирования.
- Ни одно средство защиты, прошедшее тестирование, не готово к вводу в эксплуатацию (закон
противоположности).
- Чем больше функций в системе защиты, тем больше вероятность, что одна из них не работает
так как надо.
- Если вы не уверены, работает ли ваша системы защиты, значит она не работает.
- Если ваша система защиты работает по расписанию, то вы обязательно забудете запустить ее
в нужное время.
- Система, защищающая от самых современных атак, будет неспособна защитить вас от давно
устаревших.
- Надежность системы защиты обратно пропорциональна числу и положению лиц, управляющих
ею (следствие закона Уатсона).
- Если вы хотите создать централизованную систему управления средствами защиты
информации, окажется, что все ваши средства выпущены разными производителями и не
интегрируются между собой.
- Наличие сертификата соответствия на систему защиты еще не означает, что продукт
соответствует классу защищенности, указанному в сертификате.
- Следствие - Это также не значит, что продукт вообще работает.
- Вывод - Это вообще ничего не значит.
- Система защиты блокирует доступ вашего босса в Интернет именно в тот момент, когда он
думает об увеличении вашей зарплаты.
- Если вы приобрели большую партию электронных брелков или смарт-карт, то обязательно
окажется, что более 50% ваших сотрудников являются женщинами, которым негде носить эти
средства аутентификации (наблюдение Левашова).
Разные наблюдения
- Когда администратор безопасности испытывает затруднения при обнаружении дыр, это значит,
что он ищет не там, где следует.
- Нет ничего более приятного, чем отбитая атака хакеров.
- Если вы уверены, что в вашей сети нет бесконтрольно установленных и используемых
модемов, то вы ошибаетесь.
- В отделе защиты информации всегда не хватает людей.
- Если после отпуска вы забыли свой пароль, отдых удался на славу.
- Именно в тот момент, когда вам нужно собрать доказательства несанкционированной
деятельности, окажется, что регистрация событий не включена.
- Если вашу статью кто-то украл, то скорее всего это преподаватель какого-либо ВУЗа
(пессимистическое наблюдение Лукацкого)
Об авторе:
Алексей Викторович Лукацкий, автор книг «Обнаружение атак», «Protect Your Information with
Intrusion Detection» и др. Автор курсов «Технология обнаружения атак» и «Выбор системы
обнаружения атак». Связаться с ним можно по e-mail: luka@infosec.ru.
1 декабря 2003 г.