Законы Мерфи для информационной безопасности

Законы Мерфи для информационной безопасности Мерфология - область человеческих знаний, которая не только забавна и интересна, но и которая реально отражает многие аспекты человеческой деятельности. Всего из одного шутливо/правдивого закона Мерфи "если какая-нибудь неприятность может произойти, она обязательно случается", родилось целое направление, которое позволяет понять многие процессы в человеческом обществе. Существуют различные направления мерфологии - военная, медицинская, писательская, рекламная, бытовая и т.п. Но мне ни разу не приходилось видеть законов Мерфи для информационной безопасности. Кроме давно опубликованной статьи «Murphy's law and computer security» (http://www.insecure.org/stf/wietse_murphy.html) автора сканера безопасности SATAN Витса Венема, эта деятельность, которая становится все более и более важной, не нашла отражение в мерфологии. И я решил исправить это упущение и попытался собрать разрозненные наблюдения и замечания в одном документе. Какие-то из нижеприведенных тезисов являются следствием уже известных законов Мерфи, какие-то наблюдения и аксиомы не вошли в этот документ, т.к. полностью совпадают с законами из других направлений мерфологии. Однако некоторые наблюдения достаточно интересны и присущи только информационной безопасности. Что из этого получилось - решать вам.

PS. Предвидя очередные заявления «что за чушь», «какая ерунда», «бред сивой кобылы», «автор погорячился», «продажа своих продуктов любой ценой» и т.п. ответственно заявляю этот материал носит ЮМОРИСТИЧЕСКИЙ характер. Все вышеупомянутые высказывания взяты из форума SecurityLab ( http://forum.securitylab.ru/forum_posts.asp?TID=5133), посвященного обсуждению моей юмористической статьи «Почему сканер безопасности лучше чем администратор» ().

Основные законы

• Если вас можно атаковать, вас атакуют (следствие основного закона Мерфи).
• Если 4 дыры устранены, то всегда найдется пятая.
• Не заявляй о своей неуязвимости и невзламываемости - всегда найдется кто-то, кто докажет обратное.
  • Следствие - Если вы считаете свою сеть неуязвимой, то вы ошибаетесь.
• Любая программа содержит дыры.
  • Следствие: даже системы защиты содержат дыры.
• Обнаружить все дыры невозможно.
• Если вы уверены, что написанная вами инструкция по правилам выбора паролей не может быть понята неправильно, всегда найдется сотрудник, который поймет ее именно так.

Наблюдения за пользователями

• Экспертом по безопасности, как и знатоком футбола, считает себя каждый второй пользователь (не считая каждого первого).
• Каждый программист считает себя специалистом по криптографии и умению разрабатывать невзламываемые алгоритмы шифрования.
• Не усматривайте злого умысла в том, что вполне объяснимо обычной пользовательской ошибкой (следствие из бритвы Хеллона).

Законы построения системы обеспечения информационной безопасности

• Система информационной безопасности никогда не строится в срок и в пределах сметы (следствие из закона Хеопса).
• Как бы хорошо не была написана политика безопасности всегда найдется используемая у вас технология, которая не нашла в ней отражение.
• Как только политика безопасности окончательно утверждена, она уже окончательно устарела.
• Любые издержки на построение системы информационной безопасности больше, чем вы ожидаете (следствие пятого закона Фостера).

Наблюдения о руководстве

• Руководство всегда озадачивается безопасностью своей компании только после того, как ее уже взломали.
• Руководителем отдела защиты информации назначают либо отставного военного, либо бывшего милиционера, либо бывшего сотрудника 1-го отдела.
• Человек, знающий как и куда правильно потратить деньги на информационную безопасность, и человек, их выделяющий - это всегда разные люди.
  • Исключение: исключений не бывает.

Наблюдения об атаках

• Из всех атак произойдет именно та, ущерб от которой больше всего.
• Если вас атаковали один раз, не ждите, что на этом все и кончится.
• Атаки происходят тогда, когда администратор безопасности отсутствует на работе.
  • Следствие - Стоит вам отлучиться на 5 минут, как именно в этот момент ваш босс не сможет закачать себе новую MP3-композицию из-за настроек МСЭ.
• Целью атаки будет именно тот сервер, падение которого нанесет наибольший ущерб (следствие закона избирательного тяготения).
• Если атака все-таки нанесла вам ущерб всегда найдется администратор, который скажет "я так и нал" (следствие закона Эванса и Бьерна).
• Если в вашей сети всего один непропатченный сервер, именно через него и начнется эпидемия очередного червя.
• Эпидемия червя начинается именно тогда, когда вы забыли продлить подписку на антивирусные базы или базы сигнатур атак.
• Если атака проходит незамеченной для администратора безопасности, значит вас ждет ловушка (основной закон для хакеров).
• Именно тот незначительный скан, который вы проигнорируете, будет предвестником массированной атаки.
• Об атаках всегда сообщается в прошедшем времени (следствие уотергейтского принципа).
• Из всех атак произойдет именно та, от который вы забыли защититься.

Наблюдения о хакерах

• Сотрудники отдела защиты информации приходят и уходят, а хакеры остаются (следствие девиза Джоунза)
• Действия профессиональных хакеров можно предсказать, но Интернет полон любителей.

Наблюдения о консультантах по безопасности

• Консультанты по безопасности - загадочные люди; сначала они выспрашивают все о вашей сети и ее безопасности, а потом приводят эту информацию в своем отчете, выдавая ее за титанический плод своих усилий (следствие второго закона Макдональда).
• Приглашенные эксперты по безопасности всегда кажутся лучше своих собственных.
• Если эксперт по безопасности знает, как называется атака, которой вы подверглись, это еще не значит, что он знает, как от нее защититься.
• Каждый способен сказать, что в вашей сети есть дыра, но не каждый способен найти ее.
• Виновным в неудачном внедрении системы защиты всегда оказывается внешний эксперт, приглашенный для консультаций.
• Приглашенный эксперт, обвиненный в неудачном внедрении системы защиты, обвинит вас в непредоставлении всей необходимой информации (закон противоположного обвинения).
• Стоимость услуг по обследованию корпоративной сети - величина, никак не зависящая от числа и квалификации экспертов, участвующих в обследовании.

Замечания по аутсорсингу

• Передать свою безопасность на аутсорсинг - значит потерять контроль над сетью. Не передать – потерять контроль еще быстрее.
• Доступность аутсорсинга еще не показатель, что им надо воспользоваться.

Наблюдения о средствах защиты

• Расходы на средства защиты информации стремятся сравняться с доходами от их внедрения (следствие из второго закона Паркинсона).
• Стоимость системы защиты информации всегда больше, чем вы запланировали (следствие пятого закона Фостера).
• Установив систему защиты, не ждите благоприятных отзывов от сотрудников.
• Ни одно средство защиты, введенное в эксплуатацию, не прошло тестирования.
• Ни одно средство защиты, прошедшее тестирование, не готово к вводу в эксплуатацию (закон противоположности).
• Чем больше функций в системе защиты, тем больше вероятность, что одна из них не работает так как надо.
• Если вы не уверены, работает ли ваша системы защиты, значит она не работает.
• Если ваша система защиты работает по расписанию, то вы обязательно забудете запустить ее в нужное время.
• Система, защищающая от самых современных атак, будет неспособна защитить вас от давно устаревших.
• Надежность системы защиты обратно пропорциональна числу и положению лиц, управляющих ею (следствие закона Уатсона).
• Если вы хотите создать централизованную систему управления средствами защиты информации, окажется, что все ваши средства выпущены разными производителями и не интегрируются между собой.
• Наличие сертификата соответствия на систему защиты еще не означает, что продукт соответствует классу защищенности, указанному в сертификате.
  • Следствие - Это также не значит, что продукт вообще работает.
    • Вывод - Это вообще ничего не значит.
• Система защиты блокирует доступ вашего босса в Интернет именно в тот момент, когда он думает об увеличении вашей зарплаты.
• Если вы приобрели большую партию электронных брелков или смарт-карт, то обязательно окажется, что более 50% ваших сотрудников являются женщинами, которым негде носить эти средства аутентификации (наблюдение Левашова).

Разные наблюдения

• Когда администратор безопасности испытывает затруднения при обнаружении дыр, это значит, что он ищет не там, где следует.
• Нет ничего более приятного, чем отбитая атака хакеров.
• Если вы уверены, что в вашей сети нет бесконтрольно установленных и используемых модемов, то вы ошибаетесь.
• В отделе защиты информации всегда не хватает людей.
• Если после отпуска вы забыли свой пароль, отдых удался на славу.
• Именно в тот момент, когда вам нужно собрать доказательства несанкционированной деятельности, окажется, что регистрация событий не включена.
• Если вашу статью кто-то украл, то скорее всего это преподаватель какого-либо ВУЗа (пессимистическое наблюдение Лукацкого)

Об авторе:

Алексей Викторович Лукацкий, автор книг «Обнаружение атак», «Protect Your Information with Intrusion Detection» и др. Автор курсов «Технология обнаружения атак» и «Выбор системы обнаружения атак». Связаться с ним можно по e-mail: luka@infosec.ru.

1 декабря 2003 г.