Frage:
Warum ist es wichtig, bewährte Sicherheitsmethoden anzuwenden, wenn das Risiko, vor dem sie schützen, sehr gering ist?
Eloy Roldán Paredes
2015-12-11 16:57:29 UTC
view on stackexchange narkive permalink

Manchmal schützen Sie bewährte Sicherheitsmethoden vor Angriffen, die sehr unwahrscheinlich sind. Wie verteidigen Sie in diesen Szenarien die Implementierung solcher Sicherheitsmaßnahmen?

Zum Beispiel den kennwortschützenden Zugriff auf das BIOS eines Thinclients. Ein BIOS ohne Kennwort ist ein Risiko, da ein Angreifer mit physischem Zugriff die BIOS-Konfiguration ändern kann, um von USB zu starten und ohne Authentifizierung auf die Daten des Systems zuzugreifen. In diesem Fall benötigt der Angreifer physischen Zugriff, der Thinclient speichert nicht zu viele wichtige Informationen usw. Das Risiko ist sehr gering.

Andere Beispiele können sich auf einige Maßnahmen beziehen, wenn Sie Systeme härten.

In diesem Fall ist es besser, diese Sicherheitsmaßnahme nicht durchzusetzen, um mit dem Rest des Unternehmens angemessen zu sein, oder Sie öffnen kleine Löcher, die Ihnen in Zukunft ins Gesicht schlagen werden?

Kommentare sind nicht für eine ausführliche Diskussion gedacht. Diese Konversation wurde [zum Chat verschoben] (http://chat.stackexchange.com/rooms/32959/discussion-on-question-by-eloy-roldan-paredes-why-is-it-important-to-apply- sichern).
Zehn antworten:
Ben
2015-12-11 18:00:32 UTC
view on stackexchange narkive permalink

Die potenziellen Auswirkungen sind nicht gering, unabhängig davon, wie viele Informationen der Thin Client speichert.

Insbesondere besteht das Risiko, dass ein Angreifer so etwas wie ein Rootkit oder einen Software-Keylogger im Betriebssystem des installiert Thin Client, den Sie wahrscheinlich nicht durch Inspektion entdecken können. (Dies ist eine Variante des Evil Maid-Angriffs).

Sollte ein Administrator diesen Client in Zukunft jemals verwenden, ist das Spiel für das Netzwerk vorbei. Der Thin Client kann auch als Brückenkopf verwendet werden, um weitere Angriffe auf das Netzwerk zu starten oder eine Aufklärung durchzuführen.

Der Schutz des BIOS verhindert dies, indem die Integrität des Thin Client-Betriebssystems geschützt wird.

Die umfassendere Lektion hier: Best Practice erspart Ihnen die Kosten und Schwierigkeiten bei der Bewertung jedes Risikos, was, wie diese Frage zeigt, schwierig ist.

Sie mussten jedoch das Risiko erklären, um diese spezifische Best Practice zu rechtfertigen. Dies ist Ihre Empfehlung, den Grund nach jeder Best Practice zu untersuchen (IMO gute Idee) oder Best Practices als Dogma zu akzeptieren, ohne den Grund in Frage zu stellen (IMO schlechte Idee) )?
Wenn Sie der Meinung sind, dass Best Practices nicht auf Ihre Situation zutreffen, sind Sie möglicherweise richtig oder verstehen einfach nicht die vollständigen Gründe. Natürlich können Sie die Gründe untersuchen, und Sie denken möglicherweise immer noch, dass sie nicht zutreffen. Aber Sie müssen bedenken: "Wie wahrscheinlich ist es, dass ich mich irre?" Man kann nicht alles wissen, es ist nicht wirtschaftlich. Die Untersuchung der Gründe mit der Hoffnung, die Praxis zu vermeiden, kann am Ende mehr Aufwand bedeuten als die Umsetzung der Praxis.
Ich kann akzeptieren, dass niemand alles weiß, aber mit diesem Argument kann ich sagen, dass eine bewährte Methode eine Sicherheitsanfälligkeit hervorrufen und unsicherer sein kann und Sie sie möglicherweise nicht sehen, weil niemand alles weiß. Mit diesen Argumenten bin ich mir immer noch nicht sicher, ob es besser ist, eine bewährte Methode ohne Begründung anzuwenden oder nicht ...
Best Practice repräsentiert das Fachwissen anderer und das gesammelte Wissen und die Erfahrung von vielen Jahren. Es ist besser, Verständnis zu haben, aber in Ermangelung eines Verständnisses genügt im Allgemeinen empfangene Weisheit.
Oder Sie könnten sagen, dass Best Practice Dinge sind, die so häufig richtig sind, dass es normalerweise einfacher ist, sie zu tun, als zu entscheiden, ob sie getan werden sollen oder nicht, und dann sicherzustellen, dass die Entscheidung angesichts zukünftiger Änderungen korrekt bleibt .
@SteveJessop - Genau. Ich denke, "zukünftige Veränderungen" sind eine der wichtigsten Überlegungen. Angenommen, Sie haben alle Nachforschungen angestellt und (heute) könnten Sie zu 100% sicher und sogar richtig sein, dass einige "Best Practices" nicht befolgt werden müssen. Aber eine kleine Änderung morgen von jemand anderem (sogar einem Anbieter) könnte diese ausgelassene Best Practice wichtig machen.
Es ist alles gut und schön und gut zu argumentieren, dass eine bewährte Methode die Zeit / Mühe / etc / nicht wirklich wert ist und eigentlich keine bewährte Methode sein sollte. Es ist jedoch kein guter Ansatz, dies zu beurteilen, bevor Sie verstehen, warum es überhaupt die beste Vorgehensweise gibt. Wenn Sie genau verstehen, was die Praxis ist und warum sie als Best Practice angesehen wurde, können Sie selbst eine fundierte Entscheidung darüber treffen, ob Sie der Meinung sind, dass es sich wirklich um eine Best Practice handeln sollte. Aber in der Zwischenzeit könnte es ... umsichtig sein, sich mit solchen Dingen auf die Seite der Sicherheit zu stellen.
Ich hatte die gleiche Idee (Keylogger Rootkit) wie Sie. Mein Fazit ist jedoch etwas anders: Risikokaskaden. Jedes kleine Risiko kann oft so ausgenutzt werden, dass mehr Schwachstellen entstehen und das Endergebnis unvorhersehbar ist. Angenommen, ein bekanntes Risiko kann sich verzehnfachen.
Aus diesem Grund sollte eine quantitative Risikobewertung durchgeführt werden, einschließlich der Bewertung sowohl der ** Auswirkungen ** als auch der ** Wahrscheinlichkeit **. Es gibt viele Angriffe, die unwahrscheinlich sind. Die Frage ist, wie hoch sind die Kosten für die Umsetzung der Gegenmaßnahmen im Vergleich zu den Kosten für einen erfolgreichen Angriff? In vielen Fällen kann sogar ein einziger erfolgreicher Angriff verheerende Folgen haben. Deshalb wird empfohlen, sich vor ihnen zu schützen, so unwahrscheinlich sie auch sein mögen. Je höher die Auswirkung, desto geringer ist die Wahrscheinlichkeit.
@DrewJordan Manchmal sind die Kosten für die Bewertung höher als die Kosten für die beste Vorgehensweise ...
Nun, das OP fragte: "Wie verteidigen Sie die Umsetzung solcher Sicherheitsmaßnahmen?" Sie sagten, die Auswirkungen seien nicht gering, und das OP habe die Wahrscheinlichkeit bereits berücksichtigt ... Das ist Ihre Einschätzung in diesem Fall. OP fragte, wie Best Practices zu rechtfertigen sind: So geht es mit Zahlen. Wie viel hat es Sie gekostet, dieses Beispiel zu erstellen und es in Form einer Antwort zu dokumentieren? Sehr wenig würde ich vermuten, und jetzt haben Sie einen Grund, die Best Practice zu befolgen. Ja, es kann mehr kosten als nur die Implementierung, aber jetzt haben Sie die Rechtfertigung, die auch Wert hat.
Die Art und Weise, wie ich es rechtfertigen würde, wäre zu sagen: "Die vollständige Einschätzung des Risikos würde zwei Manntage kosten und dann jedem neuen Kunden erklären, warum wir es nicht für notwendig hielten, wäre ein laufendes Projekt, aber die Implementierung dieser Best Practice für Branchen-Benchmarks." würde vier Stunden dauern ... Nun, ich möchte das Risiko richtig einschätzen, weil es ein interessantes Projekt ist, aber ich vermute, dass Sie als Unternehmen es vorziehen würden, es einfach umzusetzen und dann mit dem nächsten Job fortzufahren. "
Dies ist einfach keine gute Antwort. Es steht Ihnen frei, dem OP und seinem Beispiel nicht zuzustimmen. Sein Standpunkt war jedoch, dass einige "Best Practices" für unwahrscheinliche Ereignisse gelten, die möglicherweise die Zeit wert sind, um sie zu mildern. Die Frage betraf die Verteidigung, keine "Best Practices" anzuwenden, nicht den Schutz des BIOS.
@SteveSether, Entweder haben Sie die Frage falsch verstanden oder Ihren Kommentar falsch geschrieben? Bei OP ging es nicht darum, "Best Practices zu verteidigen * nicht * anzuwenden", sondern "Best Practices zu verteidigen *, angesichts des Drucks, sie nicht anzuwenden".
@Ben Du hast recht. Es spielt jedoch keine Rolle, da diese Frage das Beispiel beantwortet und die eigentliche Frage nicht anspricht.
schroeder
2015-12-11 21:27:15 UTC
view on stackexchange narkive permalink

Kosten sind die Grundlage für die Bewertung von Risiken und deren Minderung. Wenn die Kosten (monetäre Kosten, Betriebskosten, benutzerfreundliche Kosten usw.) für die Implementierung einer Verteidigung (bewährte Verfahren usw.) den durch das realisierte Risiko verursachten Schaden übersteigen, können Sie zu Recht das Risiko übernehmen .

Dies ist ein ziemlich grundlegendes Konzept im Risikomanagement.

Bei vielen gängigen Best Practices (Kennwortschutz für das BIOS, Verschlüsselung der Festplatte eines Servers ...) kann das Risiko jedoch sehr gering sein, da die Wahrscheinlichkeit unter Berücksichtigung der anderen bereits implementierten Sicherheitsmaßnahmen sehr gering ist. Vielleicht könnten wir sagen, dass 80% des Risikos durch 20% der Sicherheitsmaßnahmen abgedeckt werden. Warum also die anderen 80% der Sicherheitsmaßnahmen umsetzen, die nur Best Practices sind, die schwer zu rechtfertigen sind?
Sie sind nicht schwer zu rechtfertigen. Warum sind sie Ihrer Meinung nach schwer zu rechtfertigen?
Sie bewerten die Risiken (unter Berücksichtigung der Wahrscheinlichkeit und anderer mildernder Maßnahmen) und treffen eine Entscheidung auf der Grundlage von Kosten / Nutzen.
Ein nicht kennwortgeschütztes BIOS ist beispielsweise ein Risiko, wenn der Angreifer physischen Zugriff auf das Gerät hat, weiß, wie man das BIOS aufruft, über ein vorbereitetes Pendrive mit einem bootfähigen Betriebssystem verfügt und über ein anderes Gerät verfügt, auf dem gespeichert wird, was er stehlen wird hat die Zeit, all dies gegen das Gerät durchzuführen, ohne dass es jemand merkt, muss alle anderen physischen Sicherheitsmaßnahmen vermeiden und all dies, um einen Thinclient zu gefährden, in dem fast alles gespeichert ist, nur Netzwerkzugriff auf andere relevantere Systeme, die ihre eigene Sicherheit haben Maße...
Ihre Antwort beantwortet meine Frage nicht
Ich denke, sie sind schwer zu rechtfertigen, da das Risiko sehr gering und der Aufwand für ein derart "scheinbar" geringes Risiko zu hoch zu sein scheint.
Aber genau das habe ich in meiner Antwort gesagt.
Der Schlüssel ist die Arbeit "offensichtlich". "Scheinbar geringes Risiko" ist offensichtlich, da es schwierig ist, wissenschaftlich zu messen, ob ein Risiko hoch oder niedrig ist. Schwierigkeiten, das Risiko * wissenschaftlich * zu messen = es ist schwierig, eine bewährte Methode gegen das Risiko zu rechtfertigen.
Risiko ist eine Kombination aus Wahrscheinlichkeit und Auswirkung. Die Auswirkungen können leicht wissenschaftlich gemessen werden. Es ist fast unmöglich, das Infosec-Risiko wissenschaftlich zu messen. Es basiert auf Erfahrung und Urteilsvermögen. Ich bin immer noch verwirrt darüber, was Ihre Frage wirklich ist! Auch wenn das Risiko schwer zu messen ist, können Sie dennoch eine Risikostufe zuweisen und die Kosten einer "Best Practice" dagegen abwägen.
@Eloy: Sobald Sie "Angreifer hat ein Pendrive vorbereitet" haben, ist der Rest überflüssig, da jemand, der vorbereitet ist, all diese Dinge abgedeckt hat (einschließlich des Zeitproblems: Wenn er richtig vorbereitet ist, steckt er das Pendrive einfach ein und schaltet die Maschine aus und wieder ein , wählen Sie, um vom Laufwerk zu booten, und lassen Sie es dann seine Sache tun). Es hört sich so an, als würden Sie versuchen, dies zu rechtfertigen, indem Sie einen Angreifer so behandeln, als ob er sich auf eine ganze Reihe von Zufällen verlässt ("Oh, ich habe zufällig ein Pendrive bei mir!"). . Aber natürlich sind sie vorbereitet: Sie sind Angreifer, es ist ihre Aufgabe.
@Schroeder Stimmen Sie mit fast allem überein, was Sie oben sagen. Außer "Auswirkungen lassen sich leicht wissenschaftlich messen". Eigentlich ist das ein großes Problem, warum viele Leute Cyberrisiken unterschätzen. Sie achten nicht auf sehr wichtige Risikoelemente, denen eine konkrete Zahl schwer zuzuordnen ist. Wie viel war die enorme Menge an schlechter PR und Vertrauensbruch bei Kunden, die vom Target-Hack kamen, wert? Wie massiv war der Snowden-Insider-Hack auf die NSA und die US-Regierung? Schwer zu quantifizierende Risikoelemente sind jedoch nach wie vor von entscheidender Bedeutung, um die Kosten / Nutzen-Risikominderung irgendwie zu berücksichtigen.
Aber der entscheidende Punkt ist natürlich: Die Unbestimmtheiten bei der Risikomessung führen dazu, dass Menschen das Risiko häufig * unterschätzen *, anstatt es zu überschätzen. Und das Unterschätzen des Risikos kann außerordentlich gefährlich sein, während das einfache Überschätzen einfach ineffizient ist.
@halfinformed Die Auswirkungen einer bestimmten Anzahl von weichen Auswirkungen, wie z. B. das Reputationsrisiko, können quantifiziert werden. Was unmöglich zu quantifizieren ist, was ich bereits in meiner Antwort angegeben habe, ist die Wahrscheinlichkeit, dass ein bestimmtes Reputationsrisiko infolge eines Sicherheitsvorfalls auftritt. Es scheint, als hätten Sie in Ihrem Kommentar "Auswirkung" mit "Risiko" gleichgesetzt.
@Schroeder Nun, aus meiner Sicht kann das, was ein "Risiko" von einem "Einfluss" unterscheidet, mehrdeutig sein, abhängig davon, was der umgebende Kontext ist. So ähnlich wie zu bestimmen, ob eine bestimmte Sache ein "Mittel" oder ein "Zweck" darstellt. Sie könnten sagen "Nun, Risiko ist ein zufälliges Ereignis". Viele "Auswirkungen" beinhalten jedoch auch Unsicherheiten. Wenn ich zum Beispiel sage: "Wenn ich nicht auf meine Ernährung achte, kann mein Gewicht zunehmen. Wenn mein Gewicht zunimmt, kann ich einen Herzinfarkt bekommen. Wenn ich einen Herzinfarkt habe, kann ich sterben." Habe ich dort einen Herzinfarkt, ein "Risiko" oder eine "Auswirkung"? Oder beides?
Wie auch immer, ich nehme an, ich habe das obige Wort "Risiko" im umgangssprachlichen Sinne verwendet und sowohl das, was man im akademischen Sinne als "Risiken" als auch "Auswirkungen" bezeichnen könnte. Was ich vermitteln wollte, war, dass die Leute dazu neigen, negative Möglichkeiten zu unterschätzen oder zu ignorieren, die mit einem Geldwert nur schwer oder gar nicht genau zu quantifizieren sind. Dies wiederum führt dazu, dass Organisationen die Ressourcen, die der Cybersicherheit als Risikominderung (im weiteren Sinne des Wortes) zugewiesen werden sollten, systematisch unterschätzen.
Es gibt bewährte Sicherheitsmethoden, da die überwiegende Mehrheit der in Sicherheitsfunktionen beschäftigten Personen nicht über die zur Risikobewertung erforderlichen Tools verfügt. Wir leben im Informationszeitalter, in dem das größte Kapital und die größte Haftung eines Unternehmens in der Regel die Informationen sind, die es besitzt.
@Aron Das ist eine interessante Aussage. Haben Sie eine Substanz, um es zu sichern?
@schroeder Ich gehe von der alten Statistik aus, dass die meisten Unternehmen sich nicht von einer Datenverletzung erholen können (und innerhalb von x Monaten aus dem Geschäft gehen). Weitere Untersuchungen scheinen jedoch darauf hinzudeuten, dass die ursprüngliche Quelle dieser oft zitierten Statistik es an Ort und Stelle erfunden hat ....> _ <
@Aron, das Risiko vor einem Vorfall zu bewerten und sich nicht von einem Vorfall zu erholen, sind zwei sehr, sehr unterschiedliche Dinge. Das OP fragt nach einer Einschätzung des Risikos einer Aktivität, bevor es überhaupt zu einem Vorfall kommt.
Steffen Ullrich
2015-12-11 18:09:13 UTC
view on stackexchange narkive permalink

Best Practices sind keine Gesetze, sondern Empfehlungen. Sie kommen normalerweise mit einer Erklärung, warum sie empfohlen werden. Wenn Sie der Meinung sind, dass die Erklärung in Ihrem Fall nicht zutrifft, können Sie die Empfehlung ignorieren. Mit diesem Gefühl haben Sie vielleicht sogar Recht und können so Kosten sparen.

Beachten Sie jedoch, dass Sie die Empfehlung je nach Arbeitsumgebung nicht einfach ignorieren können, sondern dokumentieren müssen, warum Sie der Meinung sind, dass sie ignoriert werden kann. Es kann auch sein, dass Sie persönlich verantwortlich sind, wenn etwas Schlimmes passiert, weil die Best Practices ignoriert wurden. Daher ist es oft einfacher und weniger riskant, den Empfehlungen zu folgen, als sie zu ignorieren.

Ich nehme Ihren Rat an, keine Best Practice anzuwenden, wenn dies für mich keinen Sinn hat, aber ich bin in zwei Punkten anderer Meinung: 1) Nach meiner Erfahrung kommen Best Practices normalerweise ohne die Erklärung, warum es wichtig ist ... wenn sie nur akzeptiert werden. 2) Ich denke nicht, dass es einfacher ist, Empfehlungen zu befolgen, als sie zu ignorieren ... es ist einfacher, sie zu ignorieren ... insbesondere, wenn Sie gegen andere Abteilungen kämpfen müssen, um eine Sicherheitsmaßnahme umzusetzen, die nicht richtig gerechtfertigt ist.
@EloyRoldánParedes: Es hängt stark von Ihrem Arbeitsumfeld ab (z. B. Industrie oder Kleinunternehmen) und davon, wer verantwortlich ist, wenn etwas schief geht. Wenn Sie die Verantwortung auf eine andere Person übertragen können, fällt es Ihnen möglicherweise leichter, die Empfehlung zu ignorieren.
@EloyRoldánParedes - Einige Branchen * erfordern * bestimmte Dinge (HIPPA für das Gesundheitswesen, PCI für Kreditkarten usw.). Oft gibt es in den Anforderungen einen gewissen Spielraum, in dem Sie entscheiden können, etwas nicht zu tun, sondern nur, wenn Sie dokumentieren, warum Sie es nicht sind und wie es kein Risiko darstellt.
Jozef Woods
2015-12-11 22:11:52 UTC
view on stackexchange narkive permalink

Hier sind eine Reihe von Faktoren zu berücksichtigen:

  1. Wie hoch sind die Kosten für die Umsetzung der Maßnahme? Der Schutz aller BIOS kann schmerzhaft sein, ist aber kein erheblicher Aufwand für Geld oder Aufwand.

  2. Wie hoch ist das Risiko, dass etwas Schlimmes passiert? Die Chancen sind relativ gering, aber die Auswirkungen sind moderat (Keylogger werden erwähnt, es gibt eine Reihe anderer Probleme, wenn jemand seinen eigenen Code auf Ihrem System ausführt, nämlich dass es nicht mehr Ihr System ist). Das tatsächliche Risiko ist gering bis mittel.

  3. Welche Auswirkungen hat die Implementierung? Gibt es legitime Gründe für den durchschnittlichen Benutzer, auf das BIOS seines Thin Clients zuzugreifen? Nicht wirklich.

    4. ol>

    Wir haben also etwas, bei dem die Schadensbegrenzung nicht viel kostet, keine großen Auswirkungen hat und vor einem niedrigen bis mittleren Risiko schützt . Ich würde sagen, das ist ein gutes Argument, um es persönlich umzusetzen.

Es gibt einen vierten relevanten Faktor: Was ist die * Effektivität * der Implementierung? Wenn durch die Umsetzung der Maßnahme das in Punkt 2 bewertete Risiko vollständig und perfekt beseitigt wird, ist dies eine ganz andere zu bewertende Situation als wenn durch die Umsetzung der Maßnahme nur ein geringer Betrag von der Schwere oder der Wahrscheinlichkeit dieses Risikos eingespart wird, und erstere kann a rechtfertigen viel höhere Kosten (Punkt 1) und Auswirkungen (Punkt 3) als letztere. Ich würde das gegebene Beispiel für BIOS-Passwörter irgendwo in die Mitte dieser Skala stellen, vielleicht etwas näher an letzterem als an ersterem Extrem.
kasperd
2015-12-12 00:20:48 UTC
view on stackexchange narkive permalink

In vielen Fällen läuft es auf die Frage hinaus, was sehr geringes Risiko bedeutet. Wenn Sie genau wissen, wie gering das Risiko ist, können Sie die erwarteten Kosten für die Nichtminderung des Risikos berechnen.

In Wirklichkeit kennen Sie das genaue Risiko selten. Potenzielle Sicherheitsprobleme werden häufig als sehr geringes Risiko abgetan, ohne dass versucht wird, das Risiko tatsächlich einzuschätzen.

In vielen Fällen ist weniger Aufwand erforderlich, um das Sicherheitsproblem zu lösen, als das Risiko mit ausreichender Bewertung zu bewerten Genauigkeit , um eine fundierte Entscheidung darüber zu treffen, ob die Sicherheitslücke behoben werden soll. Für mich ist dies das Hauptargument, um selbst Sicherheitslücken mit sehr geringem Risiko zu beheben, da Sie dadurch den größten Teil der mit der Risikobewertung verbundenen Kosten sparen.

Wer kann immer den Unterschied zwischen einem bekannten Sicherheitsproblem erkennen? ein geringes Risiko und ein geringes Risiko?

Manchmal ist es produktiver, Sicherheitsprobleme gegeneinander zu bewerten, als jedes einzelne Sicherheitsproblem anhand einer niedrigen Risikoschwelle zu bewerten.

In Ihrem speziellen Beispiel können Sie das Risiko einer böswilligen Änderung der BIOS-Einstellungen mit dem Risiko einer Netzwerkverbindung auf dem Gerät vergleichen, das mit einem MITM-Gerät fehlerhaft ist.

"In Wirklichkeit kennt man das genaue Risiko selten. Oft werden potenzielle Sicherheitsprobleme als sehr geringes Risiko abgetan, ohne dass versucht wird, das Risiko tatsächlich einzuschätzen." Würde +1000 geben, wenn ich könnte. Tatsächlich basiert das gesamte Konzept der Schaffung eines Sicherheitsspielraums beim Umgang mit Systemen - ob die Sicherheit eines Netzwerks gegen einen lokalen Angreifer, die Widerstandsfähigkeit eines Gebäudes gegen Erdbeben usw. - auf einem gewissen Grad an umsichtigem Schutz gegen Systeme das Risiko, dass Ihre Risikobewertung selbst etwas abweicht.
m2kin2
2015-12-11 20:03:24 UTC
view on stackexchange narkive permalink

Die Haltung, die Sie einnehmen, basiert auf der Umgebung, in der Sie arbeiten. Zumindest sind die von Ihnen erstellten Sicherheitsrichtlinien proportional zu Ihrem Budget und den Bedrohungsmodellen, die Sie im Auge haben. Ohne eine Einschätzung des Dollarwerts, den Sie schützen, werden Sie unglaublich viel Zeit damit verbringen, herauszufinden, wo sich die Löcher befinden. Auf der anderen Seite verwenden kriminelle Elemente niedrig / keine geschützten Elemente, um nach höherwertigen Zielen zu suchen.

Bedenken Sie auch, dass Anbieter, die angeblich zur Risikominderung beitragen, nicht mit der Silberkugel zur Lösung jedes einzelnen Problems geliefert werden . Letztendlich sind Sie und das Unternehmen die einzigen, die für die Sicherheit verantwortlich sind. Aus geschäftlicher Sicht könnten Sie die Kosten für Sicherheitsfehler / -mängel weitergeben, aber dies könnte auf lange Sicht nicht helfen. Es ist im Moment eine ziemlich heisere Welt da draußen.

TTT
2015-12-11 22:40:38 UTC
view on stackexchange narkive permalink

Manchmal schützen Sie bewährte Sicherheitsmethoden vor Risiken, die sehr unwahrscheinlich sind. Wie verteidigen Sie in diesen Szenarien die Implementierung dieser Sicherheitsmaßnahme?

Sie sollten nichts verteidigen müssen. Lassen Sie die Zahlen für sich selbst sprechen:

  1. Wahrscheinlichkeit des Auftretens von Angriff X = P.
  2. Gesamtkosten von X, wenn er auftritt = TC. (Dies muss die Diagnose und Behebung des Verstoßes, Einnahmeverluste, Reputation, Klagen, Krisenmanagement usw. umfassen.)
  3. Kosten für Sicherheitsmaßnahmen, um X überhaupt zu verhindern = C.
    4. ol>

    Die Gleichung lautet einfach:

    C < P * TC

    Wenn die Gleichung wahr ist, sollte die Sicherheitsmaßnahme implementiert werden . Natürlich ist der schwierige Teil zunächst die Berechnung von P und TC, aber Sie werden vielleicht feststellen, dass Sie in Bezug auf TC zu konservativ und in Bezug auf P zu optimistisch sind und es sich dennoch um eine lohnende Investition handelt. Darüber hinaus erhalten Sie den zusätzlichen Vorteil, dass Sie die Sicherheitsmaßnahmen für Investoren und / oder Kunden bekannt machen.

    Dies ist offensichtlich eine übermäßige Vereinfachung aller zu berücksichtigenden Faktoren, aber unter dem Gesichtspunkt des ROI sollte die Logik gelten auf.

Es tut mir leid, aber die wissenschaftliche Wahrscheinlichkeit eines Angriffs berechnen zu können, scheint mir ein Irrtum zu sein. Zum Beispiel ergibt ein Blick in vergangene Ereignisse normalerweise eine Wahrscheinlichkeit von 0, und dies ist nicht real. Eine andere Möglichkeit ist, die Wahrscheinlichkeit zu "erfinden" oder eine "ungefähre Berechnung" durchzuführen ... auch meiner Meinung nach nicht sehr wissenschaftlich. Ich weiß, dass dies der Standard für Risikomethoden ist, aber ich bin mit diesem Ansatz nicht einverstanden. Wenn wir uns einig sind, dass wir eine Metrik zum Messen benötigen, mag ich mehr RAV-Berechnungen von OSSTMM.
@EloyRoldánParedes - Nur weil wir keinen * guten * Weg kennen, um die Wahrscheinlichkeit zu berechnen, heißt das nicht, dass dies nicht möglich ist. Und wenn sich die Wahrscheinlichkeit wirklich 0 nähert, sollten Sie sich vielleicht keine Sorgen machen, es sei denn, es ist vergleichsweise einfach, sie zu mildern. Das ist im Grunde der Punkt der Gleichung. Zum Beispiel hat der Eigentümer von Ashley Madison einmal behauptet, der Wert seines Unternehmens sei 1 Mrd. USD. Die Kosten des Verstoßes könnten wohl der Wert des gesamten Unternehmens sein. Wenn dieser Verstoß einen P von 1 zu 1.000 hatte, mussten die Kosten für eine bessere Sicherheit weniger als 1 Mio. USD betragen - hätte es tun müssen ...
Eine andere Sichtweise ist folgende: Wenn C / TC

Shaz
2015-12-11 22:58:01 UTC
view on stackexchange narkive permalink

Das ist also eine Art Erweiterung der Antwort von schroeder.

Ich denke, hier gibt es eine leichte Verwechslung in dem, was wir unter "Risiko" verstehen. Sie betrachten das Risiko aus Sicht des Computersystems (Kennwort des BIOS, Installation von AV, Verwendung einer Firewall usw.). Die Perspektive, über die Schröder spricht, ist aus geschäftlicher Sicht: Was sind die damit verbundenen Kosten, wenn die Maschine kompromittiert wurde?

Wenn ein Unternehmen ein 'Risiko' hat, gibt es einige Dinge, die es tun kann:

  • Akzeptieren Sie das Risiko - übernehmen Sie Es wird nichts Schlimmes passieren, und wenn doch, wird es kein großes Problem sein, damit umzugehen.

  • Risikovermeidung - Vermeiden Sie es, dem Risiko überhaupt ausgesetzt zu sein.

    • Risikobegrenzung (Risikominderung) - Reduzieren Sie die Wahrscheinlichkeit des Eintretens des Risikos.

  • Risikoübertragung (CYA) - Stellen Sie sicher, dass jemand anderes verantwortlich ist für das Risiko.

    • Um klar zu sein, die beiden Arten von Risiken, die im Thread diskutiert werden:

    1. Die Risiko ein Unternehmen hat, sollte ein bestimmtes System kompromittiert werden. Dies kann Finanzinformationen des Kunden (Kreditkartennummern usw.) sowie geschützte Informationen, Geschäftsgeheimnisse, Verschlusssachen usw. umfassen.

    2. Das Risiko, das OP vorschlägt: das Risiko, dass ein Computer auf eine bestimmte Weise kompromittiert wird.

      3. ol>

      Hier ist die Nuance, auf die ich komme: # 1 ist das Risiko des Unternehmens. Die Strategie zur Bewältigung dieses Risikos besteht normalerweise in der Risikobegrenzung (Risikominderung) . Hier kommt # 2 ins Spiel. # 2 verringert die Wahrscheinlichkeit, dass # 1 auftritt. Wir betrachten viele verschiedene Methoden, mit denen ein Computer in # 2 kompromittiert werden kann, und implementieren vorbeugende Maßnahmen, um # 1 so weit wie möglich zu mildern. Da viele "Best Practices" billig oder No-Brainers sind (d. H. Ihre Kosten sind leicht zu rechtfertigen), ist es sinnvoll, ihnen zu folgen, auch wenn ihr Angriffsvektor auf individueller Basis höchst unwahrscheinlich ist.

    Manchmal ist das Geschäftsrisiko für Geräte, die keine Geschäftsdaten speichern oder geschäftskritische Funktionen ausführen, nicht sehr klar, aber eine erste Tür zu einer Infrastruktur, die durch andere Sicherheitsmaßnahmen geschützt ist. In diesem Szenario ist es wahrscheinlich besser, die Best Practice nicht zu implementieren, aber ich mache mir Sorgen, dass ich nicht nur wenige unwichtige Best Practices implementiere und dann ein sehr hohes Risiko habe.
    @EloyRoldánParedes Das Problem dort ist, dass Sie im Wesentlichen alle Ihre Systeme gleich behandeln müssen. Sie können versuchen, niedrigere Sicherheitspraktiken auf Jims Computer zu rechtfertigen, da er in der Fabrik arbeitet und ihn nur für E-Mails verwendet. Ein Hacker sieht jedoch einen Computer mit einem niedrigeren Sicherheitsprofil als Hauptziel. Sie werden Jims Computer hacken und ihn als Startpunkt für Ihre Server, Finanzinformationen usw. verwenden.
    Robert Mennell
    2015-12-18 06:29:39 UTC
    view on stackexchange narkive permalink

    In Bezug auf Ihr Beispiel:

    Jeder Zugriff auf ein System / Netzwerk / Gesamtstruktur / Objekt, das sichere Daten enthält, muss von Ende zu Ende sicher gehalten werden, egal wie klein das Ende ist ist.

    In Bezug auf die Sicherheit im Allgemeinen :

    Alle Zugriffe auf ein System / Netzwerk / Gesamtstruktur / Objekt, das enthält Sichere Daten müssen sicher aufbewahrt werden.

    Warum?

    Dafür gibt es einen Grund. Ein einzelner Zugriffspunkt auf ein Netzwerk, das sichere Daten enthält, ist selbst sicherheitsbedürftig. Informationen darüber, was als GANZES auf dem System passiert ist, müssen sicher sein, damit die sicheren Daten im kleinsten Teil vollständig geschützt sind. Wenn ein einzelnes Glied in der Kette bricht, ist die Kette gebrochen.

    Aber wie kann ich diese Kette brechen, wenn auf dem Client keine Sicherheitsinformationen vorhanden sind? Einfach, indem Sie die Netzwerk. Wenn ich sehen kann, was im Netzwerk vor sich geht, kann ich lernen, welche Schlüssel mich durch welche Sperren, wie und auf welche Weise führen. Dann habe ich eine einfache Möglichkeit, in Ihr Netzwerk zu gelangen und Ihre Daten abzurufen. Aus diesem Grund müssen ALLE Aktivitäten von Ende zu Ende sicher sein.

    Gehen wir zum Beispiel, wie Sie ins Gesicht geschlagen werden:

    1. Sie Denken Sie, Ihr Zuhause ist sicher.
    2. Sie haben biometrische Fingerabdruckscanner (wie im Fernsehen), die bedeuten, dass nur Ihre Finger Sie hineinbringen.
    3. Sie berühren einen Türknauf an einer Ladenfront 70 Millionen Meilen entfernt, vor sechs Jahren
    4. Ich hebe diesen Druck auf
    5. Ich identifiziere Ihren Druck (durch einen langwierigen Prozess)
    6. Ich benutze diesen Druck zum Öffnen Ihr Zuhause, während Sie schlafen
    7. Ich schlage Ihnen ins Gesicht
      8. ol>

      Obwohl es kilometerweit entfernt war und dieser Druck viele andere Drucke hatte, und so weiter und so fort Ich könnte Ihren Abdruck dort irgendwann noch finden und damit Ihr Zuhause öffnen. Das ist sehr unwahrscheinlich, aber wenn ich es WIRKLICH will, kann ich Ihnen trotzdem mit Zeit, Mühe und etwas Geduld ins Gesicht schlagen.

      Trotzdem tut dies nicht mehr als Gegenwart ein Beispiel. Lassen Sie uns stattdessen die Wahrheit der Sicherheit sagen:

      Das sicherste System der Welt im Untergrund, an einem unbekannten Ort, knusprig verbrannt und zerstört.

      Sicher, das ist ein bisschen frech, aber es bringt die Idee rüber. Ja, diese bewährte Sicherheitsmethode sollte weiterhin verwendet werden. Schließlich ist Ihr System nicht das sicherste System der Welt. Sie sollten also versuchen, näher heranzukommen.

    Serge Ballesta
    2015-12-12 17:36:48 UTC
    view on stackexchange narkive permalink

    Wie bereits gesagt, ist Sicherheit hauptsächlich ein Risiko-Kosten-Ansatz.

    Aber meiner Meinung nach gibt es noch einen weiteren Punkt zu beachten: Wie bei der Gebäudesicherheit ist eine verstärkte Tür wenig nützlich, wenn das Fenster geöffnet ist bleibt offen. Um ein Risiko richtig einschätzen zu können, müssen Sie wissen, gegen was Sie sich schützen möchten. Schützen Sie das BIOS also mit einem Kennwort, da ein Vektor für einen Angreifer sein kann, der über einen physischen Zugriff verfügen kann. IMHO, wenn ein Angreifer physischen Zugriff auf einen Computer erhalten kann, ist dieser Computer gefährdet, weil alles passieren könnte: ein physischer Schlüssellogger in der Tastatur selbst, ein Netzwerkanalysator zwischen dem internen Anschluss und dem externen Stecker, ein bösartiges USB-Gerät in der Box usw.

    Das BIOS-Kennwort ist jedoch immer noch eine gute Vorgehensweise, da es eine weitere Infektion verhindern kann, wenn ein Angriff den Beitrag erreicht, und vor allem, weil ein unachtsamer oder ungeschickter Benutzer nicht in der Lage ist, sein eigenes Terminal zu beschädigen oder zu gefährden.



    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...