Даже хорошо спроектированные процессы дают сбой на стыках ответственности - всегда может обнаружиться что-то там, где предыдущие уже не отвечают, а следующие еще не включились.
Я писал про Контекст, но это - одна его сторона, связанная с конкретной инфраструктурой конкретного предприятия, спецификой, так сказать, Объекта защиты. Однако, есть и другая сторона, которую позволю себе назвать Контекстом угрозы. Концептуально контекст угрозы понять очень просто: такой инструмент как нож, в руках Джека-потрошителя и в руках грибника - представляет собой совершенно разную угрозу и это, безусловно, необходимо учитывать планирующему контроли безопасности. Именно поэтому неправильно продетекчивать конкретный инструмент (~нож), не беря во внимания Контекст угрозы, - в случае Грибника такой подход будет фолсить.
Может показаться, что требование анализа Контекста угрозы выглядит не реализуемым, поскольку он, очевидно, определяется последствиями, которые далеко не всегда предсказуемы, а нам следует их предотвращать. Да, это сложно, так как мы уже не можем тупо продетекчивать все ножи в независимости кто и как ими пользуется, и даже все еще хуже - преступления можно совершать вполне бытовыми инструментами, но, уверяю, это возможно. Именно для этого есть аналитика, различные скоринговые алгоритмы, машобуч, в конце концов! Нормальные инфобез-вендоры уже не сражаются с конкретной малварой\инструментами, но противостоят злоумышленникам их использующим, что позволяет при смене инструмента продолжать успешно защищать своих клиентов. Низкий уровень ошибок I и II рода при изменяющихся инструментах - является простейшим подтверждением результативности анализа Контекста угрозы, хорошим критерием качества совокупного detect rate продуктов безопасности - услуг и технологий.
Закончить пост хочется той же идеей о разделении ответственности. Как видим, Контекст имеет, минимум, две перспективы: контекст угрозы, определяющий специфику непосредственной угрозы вообще, и контекст среды, характеризующий насколько данная конкретная угрозы актуальна для данного конкретного предприятия. Контекст угрозы должен обязательно быть адресован поставщиком продуктов безопасности "из коробки", Контекст среды - это уже вопрос адаптации в конкретную инфраструктуру.
No comments:
Post a Comment