Страница:
От криптографии я обратился к безопасности и представлял себе проблему примерно так же, как и военные. Большинство публикаций по вопросам безопасности были проникнуты той же идеей, которую можно кратко сформулировать так: профилактические меры могут обеспечить безопасность.
Для чего используется шифрование? Существует угроза прослушивания, и шифрование должно помешать этому. Представьте себе, что Алиса общается с Бобом, а Ева подслушивает их. Единственный способ помешать Еве узнать, о чем говорят Алиса и Боб, – использовать такое профилактическое средство защиты, как шифрование. В этом случае нет ни обнаружения, ни реагирования. Нет также возможности управлять риском. Поэтому следует заранее отвести угрозу.
В течение нескольких десятилетий мы использовали этот подход к безопасности. Мы рисовали различные схемы. Мы классифицировали различных нападающих и определяли, на что они способны. Мы использовали профилактические меры, такие как шифрование и контроль доступа. Если мы можем отвести угрозы, то мы победили. Если нет – мы пропали.
Вообразите мое удивление, когда я узнал, что в реальном мире такой подход не работает. В апреле 1999 года я прозрел: безопасность связана с управлением рисками, процессы безопасности имеют первостепенное значение, а обнаружение и реагирование – реальные способы улучшить безопасность, и все это могут обеспечить лишь привлеченные независимые компании. Внезапно все стало на свои места. Так что я переписал книгу и преобразовал свою компанию Counterpane Systems в Counterpane Internet Security, Inc. Теперь мы предоставляем услуги по контролю безопасности сетей (обнаружение и реагирование).
Раньше, когда использовалась связь только по радио или телеграфу, такой подход не имел бы смысла. Обнаружение и реагирование были невозможны. Сегодняшний электронный мир сложнее. Нападающий не просто подключается к линии связи. Он взламывает брандмауэр. Он пытается украсть деньги, используя подделанную смарт-карту. Он хозяйничает в сети. Сегодняшний виртуальный мир больше похож на физический со всеми его возможностями.
Но это не ситуация «все или ничего». Раньше, если уж Ева умела подслушивать, то она могла бы подслушать всех. А если бы у нее не было такой возможности, то ей не удалось бы подслушать никого. Сегодня все иначе. Можно украсть деньги, но не слишком много. Пират-одиночка может сделать несколько копий DVD, но не десятки тысяч. Нападающий может проникнуть в сеть и поковыряться в ней минут десять, после чего он будет обнаружен и выдворен.
Реальный мир полон опасностей. Это не значит, что их нужно избегать, невозможно делать деньги, ничем не рискуя. В выигрыше оказывается не та компания, которая лучше всех отводит угрозы, а та, которая лучше всех управляет рисками. (Вспомните систему кредитных карт.)
В Counterpane Internet Security мы считаем, что одни только технические средства не могут защитить от нападений, осуществляемых человеком, поэтому основная наша деятельность заключается в предоставлении услуг квалифицированных специалистов по безопасности. Мы собираем информацию с разных устройств в сетях клиентов и тщательно выискиваем следы нападений. Все сколько-нибудь подозрительное исследуют наши аналитики, которые знают все о нападениях, могут определить, действительно ли происходит нападение, и знают, как на него реагировать.
Я понял, что проблема не в технологиях, а в их использовании. В своей фирме мы используем симбиоз человеческих способностей и возможностей машины. Люди – наиболее уязвимое звено любой системы безопасности, в том числе компьютерной.
И если читателю покажется, что эта книга написана в рекламных целях, то он будет отчасти прав. И книга, и новая компания появились на свет благодаря открытию того, что самую надежную защиту можно обеспечить только с помощью опытных специалистов, занимающихся обнаружением и реагированием. Эта книга отражает ход моих мыслей, связанных с преобразованием нашей компании, и поясняет, чем мы занимаемся.
Вы можете узнать больше о нас на сайте www counterpane com.
Спасибо за внимание.
http://lib aldebaran ru/author/kan_dyevid/kan_dyevid_vzlomshiki_kodov/ Прим сост. FB2]
Для чего используется шифрование? Существует угроза прослушивания, и шифрование должно помешать этому. Представьте себе, что Алиса общается с Бобом, а Ева подслушивает их. Единственный способ помешать Еве узнать, о чем говорят Алиса и Боб, – использовать такое профилактическое средство защиты, как шифрование. В этом случае нет ни обнаружения, ни реагирования. Нет также возможности управлять риском. Поэтому следует заранее отвести угрозу.
В течение нескольких десятилетий мы использовали этот подход к безопасности. Мы рисовали различные схемы. Мы классифицировали различных нападающих и определяли, на что они способны. Мы использовали профилактические меры, такие как шифрование и контроль доступа. Если мы можем отвести угрозы, то мы победили. Если нет – мы пропали.
Вообразите мое удивление, когда я узнал, что в реальном мире такой подход не работает. В апреле 1999 года я прозрел: безопасность связана с управлением рисками, процессы безопасности имеют первостепенное значение, а обнаружение и реагирование – реальные способы улучшить безопасность, и все это могут обеспечить лишь привлеченные независимые компании. Внезапно все стало на свои места. Так что я переписал книгу и преобразовал свою компанию Counterpane Systems в Counterpane Internet Security, Inc. Теперь мы предоставляем услуги по контролю безопасности сетей (обнаружение и реагирование).
Раньше, когда использовалась связь только по радио или телеграфу, такой подход не имел бы смысла. Обнаружение и реагирование были невозможны. Сегодняшний электронный мир сложнее. Нападающий не просто подключается к линии связи. Он взламывает брандмауэр. Он пытается украсть деньги, используя подделанную смарт-карту. Он хозяйничает в сети. Сегодняшний виртуальный мир больше похож на физический со всеми его возможностями.
Но это не ситуация «все или ничего». Раньше, если уж Ева умела подслушивать, то она могла бы подслушать всех. А если бы у нее не было такой возможности, то ей не удалось бы подслушать никого. Сегодня все иначе. Можно украсть деньги, но не слишком много. Пират-одиночка может сделать несколько копий DVD, но не десятки тысяч. Нападающий может проникнуть в сеть и поковыряться в ней минут десять, после чего он будет обнаружен и выдворен.
Реальный мир полон опасностей. Это не значит, что их нужно избегать, невозможно делать деньги, ничем не рискуя. В выигрыше оказывается не та компания, которая лучше всех отводит угрозы, а та, которая лучше всех управляет рисками. (Вспомните систему кредитных карт.)
В Counterpane Internet Security мы считаем, что одни только технические средства не могут защитить от нападений, осуществляемых человеком, поэтому основная наша деятельность заключается в предоставлении услуг квалифицированных специалистов по безопасности. Мы собираем информацию с разных устройств в сетях клиентов и тщательно выискиваем следы нападений. Все сколько-нибудь подозрительное исследуют наши аналитики, которые знают все о нападениях, могут определить, действительно ли происходит нападение, и знают, как на него реагировать.
Я понял, что проблема не в технологиях, а в их использовании. В своей фирме мы используем симбиоз человеческих способностей и возможностей машины. Люди – наиболее уязвимое звено любой системы безопасности, в том числе компьютерной.
И если читателю покажется, что эта книга написана в рекламных целях, то он будет отчасти прав. И книга, и новая компания появились на свет благодаря открытию того, что самую надежную защиту можно обеспечить только с помощью опытных специалистов, занимающихся обнаружением и реагированием. Эта книга отражает ход моих мыслей, связанных с преобразованием нашей компании, и поясняет, чем мы занимаемся.
Вы можете узнать больше о нас на сайте www counterpane com.
Спасибо за внимание.
http://lib aldebaran ru/author/kan_dyevid/kan_dyevid_vzlomshiki_kodov/ Прим сост. FB2]
Стюарт МакКлур (Stuart McClure), Джоел Скрамбрей (Joel Scrambray) и Джордж Курц (George Kurtz) написали книгу Hacking Exposed (Osborne/McGraw-Hill,1999), которую я настоятельно рекомендую. Я написал предисловие ко второму ее изданию, которое уже должно выйти к моменту публикации этой книги.
Гэри Макграу (Gary McGraw) подробно описал разработку надежного программного обеспечения, а также все плюсы и минусы открытого исходного кода. Я использовал его книгу Securing Java (John Wiley&Sons, 1999), написанную в соавторстве с Эдом Фелтоном (Ed Felton).
Наблюдения Питера Неймана (Peter Neumann) настолько глубоки и очевидны, что я часто забываю, что не всегда верил ему. Его колонка Inside Risks на последней странице журнала Communications of the ACM всегда интересна. Я также настоятельно рекомендую его книгу Computer-Related Risks (Addison-Wesley, 1995).
Эссе, речи и застольные шутки Маркуса Ранума (Marcus Ranum) долго были для меня источником вдохновения и здравого смысла. Я настоятельно рекомендую прочитать все, что он написал. Его веб-сайт: http://pubweb nfi-.net/~mjr/.
Эви Рувин (Avi Ruvin), Дэн Гир (Dan Geer) и Маркус Ранум (Marcus Ranum) совместно написали книгу Web Security Sourcebook (John Wiley&Sons, 1997), которую я тоже рекомендую.
Книга Винна Швартау (Winn Schwartau) Time Based Security (Interpact Press, 1999) содержит схожие с моими идеи о важности обнаружения и реагирования.
Диомидис Спинеллис (Diomidis Spinellis) приводит данные о сложности операционных систем и языков программирования в своей статье Software Reliability: Modern Challenges (in G.I.Schueller and P.Kafka, editors, Proceedings ESREL'99 – The Tenth European Conference on Safety and Reliability, pages 589—592, Munich-Garching Germany, September 1999).
Размышления Ричарда Тиема о хакерстве и эпистемологии Интернета были для меня источником вдохновения. Вы можете найти его работы на сайте: www thiemeworks com.
Сотни эссе и статей о компьютерной безопасности публикуются каждый год. Если бы я все их прочитал, то, несомненно, все мысли, идеи, размышления, нюансы и умные остроты, собранные там, попали бы в эту книгу. Я приношу свои извинения за то, что не могу выразить благодарность каждому, кто заслуживает этого.
Об авторе
Брюс Шнайер – президент криптографической компании Counterpane Systems (США), член совета директоров Международной ассоциации криптологических исследований (IACR) и член консультативного совета Информационного центра электронной приватности (EPIC). Шнайер известен как автор нескольких бестселлеров и признанный эксперт в области прикладной криптографии и компьютерной безопасности. Его книги давно стали настольными энциклопедиями для множества людей, интересующихся вопросами защиты информации.
В своей новой книге Брюс Шнайер развеивает миф о том, что информация в цифровом мире может быть абсолютно конфиденциальной. Он проповедует собственный подход к защите информации. Безопасность данных для него – не только систематизация, обнаружение и отражение угроз, главное – управление рисками, своевременные превентивные меры для снижения риска угроз, каждодневная кропотливая работа по системному обеспечению безопасности предприятия.
В своей новой книге Брюс Шнайер развеивает миф о том, что информация в цифровом мире может быть абсолютно конфиденциальной. Он проповедует собственный подход к защите информации. Безопасность данных для него – не только систематизация, обнаружение и отражение угроз, главное – управление рисками, своевременные превентивные меры для снижения риска угроз, каждодневная кропотливая работа по системному обеспечению безопасности предприятия.
«…Наконец-то я могу предложить решения для обозначенного круга проблем, показать путь из тьмы, дать надежду на будущее компьютерной безопасности…»
Брюс Шнайер