Некоторые из наиболее широко используемых понятий безопасности неправильно понимаются или используются как синонимы. Определенные понятия безопасности настолько тесно связаны друг с другом, что их следует изучать совместно. Сегодня мы рассмотрим несколько родственных понятий — угроза, уязвимость и эксплойт — и узнаем, как специалисты по безопасности используют их для оценки или определения риска.
Запомните цель: защита активов
Причиной, по которой мы принимаем меры безопасности, является защита активов. Активами считается все, что имеет ценность. Активы могут иметь материальную ценность; например, золото и ювелирные изделия — это материальные активы, так же, как и люди. В корпоративной сети база данных, сервер, на котором размещена база данных, и сама сеть, обеспечивающая связь с сервером, также являются материальными активами. Другие активы — корпоративная или личная конфиденциальная информация или репутация — имеют нематериальную ценность, но не менее важны.
Угрозы и злоумышленники
Система безопасности учитывает несколько видов угроз. Угрозой может быть выраженное или продемонстрированное намерение причинить вред активу или сделать его непригодным для использования. Враждебные действия, целью которых является актив, независимо от их побудительной причины считаются угрозами. Стихийные бедствия, ошибки со стороны человека или халатность тоже считаются угрозами. Оба указанных вида угроз могут привести к нарушениям работы веб-служб или электронной почты, утрате или случайному раскрытию конфиденциальной информации, а в развивающемся интернете вещей оба вида способны создать угрозы нанесения вреда человеку. Идентификация угроз — важный, но чрезвычайно сложный аспект управления системой безопасности.
Какой-то человек или какая-то вещь может представлять или создавать угрозу. Это злоумышленники. Некоторыми злоумышленниками являются отдельные личности или государственные субъекты. Недовольные, неопытные или переутомленные сотрудники также могут создавать угрозы для активов организации, и при управлении системой безопасности следует учитывать всех этих лиц.
Уязвимости
Уязвимость — это брешь в системе мер, принятых вами для обеспечения безопасности актива. Это широкое толкование традиционного определения, которое учитывает только бреши или слабые места в системах или сетях (см. RFC 2828). Уязвимости создают возможность нанесения вреда активам вашей организации. Они существуют в используемых вами операционных системах, приложениях или оборудовании. Например, если вы не используете антивирусное или антивредоносное программное обеспечение, ваш ноутбук или мобильное устройство уязвимо для заражения. Аналогичным образом, если вы не обновляете регулярно программное обеспечение своих операционных систем и приложений, они сохраняют уязвимость для проблем программного обеспечения («багов» ), которые были идентифицированы и исправлены. (Эти усилия в сфере называются ликвидацией или снижением уязвимости.)
Настройка программного обеспечения, оборудования и даже учетных записей электронной почты или социальных сетей тоже может создавать уязвимости. Управление параметрами конфиденциальности, к примеру, может стать причиной того, что предварительная информация о выпуске продукта, которую вы собирались сообщить только своим коллегам, окажется в публичном доступе.
Поведение пользователей создает возможности для злоумышленников и, следовательно, тоже относится к уязвимостям. Системный администратор, просматривающий интернет-страницы под учетной записью администратора на корпоративной рабочей станции, может стать жертвой «теневой загрузки» или вредоносной программы. Это поведение создает уязвимость, которая не учитывается определением в RFC 2828, но является в современном интернете не меньшей проблемой, чем баги в программном обеспечении.
И наконец, как мы уже рассматривали в своей первой статье по вопросам понимания мер безопасности, люди уязвимы для психологических атак. Эта уязвимость — одна из наиболее сложных для устранения. Повышение степени понимания мер безопасности наконец обретает признание как важный компонент ликвидации уязвимостей.
Эксплойты
Понятие эксплойт широко используется для описания компьютерной программы, которая разработана с целью атаки на актив путем использования его уязвимости. Цель многих эксплойтов состоит в получении контроля над активом. Например, успешно функционирующий эксплойт для уязвимости базы данных может предоставить злоумышленнику средства сбора или тайного получения всех записей из этой базы данных. Успешное применение эксплойтов такого вида называют утечкой данных. Также разрабатываются эксплойты для атаки через уязвимость операционной системы или приложения, нацеленной на получение прав удаленного администратора или прав «запуска» программ на ноутбуке или сервере. (Это распространенная цель вредоносного ПО, которую мы изучим в будущей статье.)
Не все эксплойты применяют программное обеспечение, и неправильно относить все атаки на основе эксплойтов к хакерству. Мошенничество — психологическая атака на конкретного человека или сотрудника с целью заставить его раскрыть личную или конфиденциальную информацию — давно существующая разновидность эксплойта, не требующего хакерских навыков.
Риск
Если поискать определение понятия риск. то можно найти очень много определений. Одно из них, которое я считаю наиболее простым для понимания, имеет следующий вид: «возможность нанесения вреда или ущерба активу, а также его уничтожения в результате угрозы посредством эксплойта, использующего уязвимость» [TAG]. Оно достаточно аккуратно связывает вместе рассмотренные нами понятия — актив, угроза, уязвимость, эксплойт. На практике для каждого актива определяется совокупность угроз, способных причинить вред этому активу. Затем определяются уязвимости, которыми злоумышленники могли бы воспользоваться для причинения вреда активу. Это необыкновенно простая часть. Загвоздка возникает при анализе мер по снижению риска. Устранить все угрозы — и, следовательно, весь риск — невозможно, так как определенная степень риска будет существовать всегда. Наиболее благоразумно определить издержки снижения риска и сопоставить их с выгодами. Теоретически эти усилия приводят к определению объема риска, который вам придется принять, учитывая сумму, которую вы готовы потратить. На практике в эпоху интернета эта задача становится намного сложнее, чем раньше.