Цитаты из книги автора Рик Ховард Кибербезопасность: главные принципы

Обеспечение киберустойчивости сводится не к защите системы от проникновения противника, а к тому, чтобы предположить ее успешный взлом и разработать план действий, позволяющий продолжить выполнение своей миссии после него.

При выявлении новых уязвимостей и эксплойтов сделайте следующее.

• Определите, подвергается ли ваша организация соответствующей опасности.

• Оцените вероятность того, что какой-нибудь злоумышленник воспользуется этой уязвимостью.

• Оцените вероятность того, что в случае такой атаки ущерб будет существенным.

• Выясните, существует ли исправление или другой обходной путь, позволяющий устранить проблему.

• Решите, какие действия необходимо предпринять для снижения риска (в зависимости от вашего прогноза это может быть множество действий или ни одного).

После выполнения перечисленных действий необходимо реализовать принятое решение, то есть план мероприятий по снижению рисков.

стандартный способ формулирования информации об уязвимостях в компонентном ПО, который называется VEX-документом (Vulnerability Exploitability Exchange) [128, 135, 136].

целесообразно отличать производителей SBOM (вышестоящие поставщики, ориентированные на свои продукты) от потребителей SBOM (нижестоящие поставщики, ориентированные на продукты вышестоящего поставщика). И те и другие будут использовать инструменты, соответствующие формальной спецификации стандарта.

По словам Джона Дугласа из компании Microsoft, в ноябре 2021 года доля публичных репозиториев программного обеспечения, использующих открытое ПО, составляла более 80 % [70]. Согласно отчету компании Synopsys за 2022 год 97 % коммерческого ПО содержит компоненты с открытым исходным кодом. При этом основная часть этой кодовой базы (78 из 97 %) приходится на открытое ПО [22].

В случае со стратегией нулевого доверия ярким примером была история Сноудена, в случае с SBOM весьма показательной является история Log4j.

Мы обнаружили, что чем более защищенными становятся машины, тем менее полезными они оказываются для решения распространенных задач

Полное знание о системе недостижимо, поэтому в нашем понимании этой системы всегда будет некоторая доля неопределенности.

• Принципал системы вынужден доверять одному или нескольким агентам.

• Известные риски могут быть уменьшены посредством их контроля, передачи и избегания, в противном случае они должны быть приняты.

• Неизвестные риски проявляются через сложность.

При выявлении новых уязвимостей и эксплойтов сделайте следующее.
• Определите, подвергается ли ваша организация соответствующей опасности.
• Оцените вероятность того, что какой-нибудь злоумышленник воспользуется этой уязвимостью.
• Оцените вероятность того, что в случае такой атаки ущерб будет существенным.
• Выясните, существует ли исправление или другой обходной путь, позволяющий устранить проблему.
• Решите, какие действия необходимо предпринять для снижения риска (в зависимости от вашего прогноза это может быть множество действий или ни одного).

Однако межсетевые экраны нового поколения представляют собой нечто совсем иное. Архитекторы безопасности используют их для блокирования сетевого трафика на основе приложений, привязанных к аутентифицированному пользователю, а не на основе IP-адресов. Задумайтесь об этом на секунду.
Вместо того чтобы работать на третьем уровне с портами, протоколами и IP-адресами, этот межсетевой экран работает на седьмом уровне с приложениями. Если вы обеспокоены тем, что ваши сотрудники используют некую соцсеть в течение рабочего дня, можете попытаться заблокировать их доступ к множеству IP-адресов, которые задействует эта соцсеть и которые постоянно меняются, на третьем уровне. Кстати, эта задача практически невыполнима. В качестве альтернативы можете написать правило брандмауэра нового поколения, работающего на седьмом уровне, согласно которому заходить в соцсеть разрешается только сотрудникам отдела маркетинга. После этого можете больше никогда не возвращаться к этому вопросу.