...во многой мудрости много печали; и кто умножает познания, умножает скорбь
(Екк. 1:18)
(Екк. 1:18)
Сумасшедшим жить легко
(Пилот)
Я неплохо учился в институте, отчего остались различные приятные артефакты, позволяющие с улыбкой вспомнить прошедшее счастливое студенчество, поностальгировать... Однако, как бы это не странно звучало, весьма неплохие знания по предмету, отнюдь не позволяли мне просто и быстро сдавать экзамены и зачеты по ряду дисциплин. Экзамены у Алексея Евгеньевича я сдавал долго, так как по мере решения задачек, со словами что-то типа: "О, вы и это знаете?!", он давал новые, более сложные... Несмотря на кажущуюся нелогичность подхода, он абсолютно правильный: с ответственных больше спрос, а мучить нечего не знающего смысла никакого нет.
Другим воспоминанием из детства является выбор вида спорта после окончания музыкальной школы. Тогда мне казалось, что привлекательным была бы какая-то борьба, что позволит улучшить навыки самозащиты и защиты всего остального, что я считаю важным. Отец был против, аргументируя это тем, что если ты не профессиональный боец, тебя просто выключат, и быстрая потеря сознания, возможно, спасет тебе жизнь, однако, если ты будешь пытаться эффективно сопротивляться, тебя точно убьют. Мне искренне близка и сейчас мораль наших предков викингов, о том что лучшая смерть для мужчины - на поле боя, но в итоге я был отправлен на плавание...
Этот же принцип работает и в корпоративной защите. Атакующий всегда будет действовать по пути наименьшего сопротивления, с наименьшими затратами для себя. Нет никакого смысла применять сложные техники и разрабатывать продвинутый инструментарий для компании с низким уровнем ИБ. Напротив, для зрелого в части ИБ предприятия, атака будет сложной. Практически наверняка первичная компрометация закончится успехом, первоначальная мотивация заставит ребят возвращаться к вам снова и снова, а расследование инцидентов займет основную роль в вашем SecOps. Чем более продвинутой будет атака, тем сложнее будет ее обнаружить и остановить. Может сложиться так, что обнаружить атакующего можно будет только если он допустит ошибку, но, если он достаточно профессионален, вероятность, что он ошибется - невелика.
Получается, что совершенствуя защитные механизмы, мы провоцируем появление атак, которые сами же не сможем обнаружить. Если бы мы вообще ничего не делали по ИБ, нас бы примитивно ломали, что давало бы нам, в свою очередь, не напрягаясь справляться с этими взломами.
В этом случае весь SecOps можно свести к быстрому восстановлению (помните жидкого терминатора и как он здорово ожил потом). Только если уровень безопасности у нас низкий, то и атаки на нас будут простые, а поэтому расследовать и реагировать на них просто (== дешевле), так как проще решить много маленьких задачек, чем одну большую. Получаем, что помимо того. что мы вовсе не тратимся на безопасность, мы имеем еще дешевый респонс.
В завершении заметки, как подтверждение эффективности подхода с решением множества простых задачек вместо одной большой, хочу привести еще один пример из прошлого. В школе я принимал участия в разных олимпиадах, но дальше области не выходил. Стандартно я участвовал в физике и математике. Обычно я выигрывал физику, а мой хороший друг Алексей всегда выигрывал математику. Но однажды я выиграл и математику на городской олимпиаде. Дело в том, что на этот раз участникам было предложено множество задач с разной стоимостью баллов за каждую. Были простые - по одному баллу за задачу, были сложные - по три балла за задачу, по-моему были еще очень сложные - за 4 или за 5 баллов. Я знал, что по сравнению с другими участниками олимпиады, скорее играю роль статиста, поэтому решал задачи по возрастанию сложности: сначала решил все, что за балл, затем - что за два, затем приступил к сложным - за три. Алексей же, будучи реальным претендентом на победу, выбрал иную стратегию - начал со сложных задач. Да, он их решил. Но я выиграл по баллам: мои одна-две сложных задач и куча простых задачек по баллу в сумме принесли больше очков, чем его несколько супер-сложных...
В общем, как говорится, думайте сами, решайте сами, где тот баланс между вашими инвестициями в безопасность и сложностью атак на вас, которым вы сможете противостоять.