Центр исследования компьютерной преступности

home контакты

Книга о том, как обхитрить и разгромить киберпреступников их же оружием

Дата: 12.03.2010
Источник: Snob.ru


hack/hacker16.jpg

Вышла наша книга Assessing Information Security: Strategies, Tactics, Logic and Framework, название которой можно перевести как «Оценка информационной безопасности: стратегия, тактика, логика и базовая структура».


Книга, которая была написана в соавторстве с Константином Гавриленко и Андреем Михайловским, является продуктом долгих лет размышлений, почему, несмотря на все ухищрения защищающейся стороны, атакующие — от профессиональных киберпреступников до недоброжелателей внутри компаний и организаций, а иногда и просто любителей — по-прежнему продолжают одерживать верх. И что можно сделать для перелома этой ситуации.

Еще на 11-м DEF CON, самой большой и известной международной хакерской конференции, мне бросилось в глаза то, что там было больше спецов по информационной безопасности, чем собственно «хакеров» в медийно-негативном понимании этого слова. По большому счету, там и агентов ФБР, и прочих «людей в штатском» было больше, чем таких «хакеров» :-) Примерно то же относится и к конференции Black Hat, и ко многим другим подобного рода слетам.

Профессиональный IT (или, в более широком смысле, информационный) «безопасник» уделяет как минимум восемь часов своего рабочего времени этому делу. Каждый день. Платят за это достаточно неплохо, и обычно с поощрениями. В его распоряжении ресурсы корпорации или правительственной организации, на которую он работает, а под рукой — своя команда спецов. На его стороне закон. Если что, можно нанять сторонних консультантов, а за спиной стоят правоохранительные органы — от полиции до «более серьезных агентств». Он имеет профильное высшее образование, посещает разнообразные курсы по повышению квалификации, обменивается опытом с коллегами, мотается по всяческим полезным конференциям, оснащается самыми последними передовыми технологиями и... с треском проигрывает. Зачастую — самоучке, которому помимо взлома систем приходится зарабатывать на пропитание и другими способами. Хоббисту. Или же полностью технически безграмотному человеку, но хорошему социальному инженеру — психологическому манипулятору. Или просто человеку, оказавшемуся в нужном месте в нужное время.

Почему так? Как может сторона, обладающая преимуществом в материальных ресурсах, времени и опыте, регулярно попадать впросак? Добро пожаловать на поле боя непрерывной асимметричной войны, у которой своя логика и свои законы, которые необходимо понимать. Проблема здесь не в технологиях. И не в людях. И не в бумагах, вроде руководств безопасности. И не в организации ее управления (которую сейчас принято именовать СУИБ — система управления информационной безопасностью). И не в законодательствах и стандартах. Дело, как мы четко видим это сейчас, в стратегии защиты. Вернее, в отсутствии таковой. Или в присутствии такой, что лучше бы ее и вовсе не было. Соответствовать стандартам — не стратегия. Установить ту или иную «железку» или «софтину», что-то запретить, а что-то разрешить — тоже. Проверить по пунктам от А до Я, а сделано ли это, это, это и это, — в ту же степь. Потому что на часто задаваемый нами вопрос, а почему именно так, следовал ответ: а так положено. Прямой эквивалент армейского «Не умничайте, читайте устав, там все написано». Ответ, достойный прапорщика, а не руководителя службы безопасности крупной компании, который должен соответствовать как минимум полковнику. Но ничего даже и близко сопоставимого с богатыми наработками современной военной стратегии в сфере IT и информационной безопасности сейчас просто нет. Так зачем же изобретать велосипед?

В процессе написания пришлось перелопатить работы стратегов от классиков — начиная с Сунь Цзы и его менее известных, но столь же ценных земляков-последователей (Сунь Пин, Мэй Яочен, Ду Му, Као Као, Ванг Кси и другие), пруссаков (Клаузевиц, фон Мольтке, Шлиссен, Людендорф) и заканчивая современной западной школой (Джон Бойд, по сути переложения его идей в стратегических руководствах морпехов США MCDP Warfighting, MCDP Strategy, обобщения и популяризации «Макиавелли XXI века» Роберта Грина и т. д.). И что интересно, их мысли и предложения оказались для нас гораздо более приемлемыми, актуальными и практичными, чем все имеющиеся тематические, специализированные руководства и учебники по построению, организации и управлению корпоративной информационной безопасности от общепринятых мэтров в этой области!

А вот насколько нам удалось их адаптировать, в первую очередь к оценке и проведению аудитов информационной безопасности, и переплести со значимыми специфическими методологиями, регуляциями, технологиями и процессами для создания всеохватывающего стратегического подхода — судить уже читателям.

Кстати, о побочных выводах, к профессиональному не имеющих никакого отношения. Стало гораздо понятнее и почему СССР проиграл «холодную войну», и почему у американцев дела сейчас идут далеко не самым лучшим образом. С высоты птичьего полета логика и философия конфликта универсальна — идет ли речь о борьбе с киберпреступностью или столкновении геополитических титанов.

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.