Приветствую!
Создание психологического и методического портрета потенциального злоумышленника — задача, требующая не только технических знаний, но и понимания человеческой природы. Это сложный процесс, который часто осложняется тем, что специалисту по информационной безопасности (ИБ) приходится противостоять невидимому противнику.
Почему так сложно представить врага?
В основе защиты ИТ-инфраструктуры лежит не борьба с абстрактным злом, а четкое понимание конкретного противника, его мотивов и арсенала. Ранее мы обсуждали моделирование атак, а сегодня сосредоточимся на личности самого нарушителя. Главная сложность в том, что ИБ-специалист, скорее всего, никогда не встретит своего оппонента в реальной жизни. Это порождает иллюзии: человек склонен бояться того, что выглядит страшным, а не того, что представляет реальную опасность, что мешает объективной оценке.
ВАЖНО: Данный материал носит исключительно ознакомительный характер и призван помочь в построении защитных механизмов, а не поощрять противоправные действия.
Психологические ловушки при оценке угроз могут быть двоякими: с одной стороны, недооценка значимости своих активов («Кому мы нужны?»), ведущая к выбору слабых защитных мер; с другой — их переоценка, провоцирующая неоправданно жесткую и затратную защиту («У нас тут золотой запас!»).
Внешний или внутренний: откуда ждать угрозу?
Актуальность этой темы возросла с публикацией проекта методики ФСТЭК России. В документе нарушители делятся на две категории: внешние (не имеющие полномочий доступа) и внутренние (имеющие такие полномочия). Однако эти определения не покрывают все сценарии. Например, как классифицировать сотрудника, который атакует корпоративную сеть из дома, используя свои легитимные учетные данные, но находясь за пределами офиса?
Для большей ясности можно уточнить определения:
- Внешний нарушитель — субъект без полномочий доступа, реализующий угрозы извне защищаемых систем.
- Внутренний нарушитель — субъект, обладающий полномочиями доступа, который может реализовывать угрозы как изнутри, так и извне периметра.
Это деление условно, так как внешний злоумышленник, скомпрометировав учетную запись, мгновенно «превращается» во внутреннего. Поэтому с практической точки зрения ключевым становится вопрос не столько о происхождении нарушителя, сколько о его возможностях.
Обратите внимание: Простой анализ спроса на товары и услуги. Как узнать сколько людей хотят купить ваш товар.
Ключевой вопрос: что умеет нарушитель?
Согласно проекту методики, для каждой категории нарушителей необходимо определить их виды и возможности. Однако логичнее было бы разделить эти понятия. Проведем аналогию: выбирая способ самообороны, вы оцениваете не социальный статус или внешность нападающего, а его физические возможности и вооружение (палка, нож, пистолет).
Точно так же в ИБ важно понимать, какими инструментами и навыками владеет злоумышленник, а не к какой условной группе (хакер-одиночка, организованная группа, инсайдер) его можно отнести. Вид нарушителя — понятие расплывчатое и может увести моделирование в сторону ложных ассоциаций.
Связь возможностей и угроз
В проекте методики связь между моделью нарушителя (его видом и возможностями) и конкретными сценариями реализации угроз (тактиками и техниками) обозначена неявно. Это создает разрыв между теорией моделирования и практикой построения защиты.
Итог: хотя и говорят, что врага нужно знать в лицо, в контексте информационной безопасности гораздо продуктивнее знать и моделировать его возможности. Именно оценка потенциала нарушителя, напрямую увязанная с актуальными для вашей инфраструктуры угрозами, дает максимальный практический результат для выстраивания эффективной защиты.
Больше интересных статей здесь: Финансы.
Источник статьи: Как узнать своего врага в лицо.