Библибоба

Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Как оценить риски в кибербезопасности. Лучшие инструменты и практики

Дуглас У. Хаббард , Ричард Сирсен

В последние годы произошло несколько крупных утечек данных, нанесших огромный финансовый и репутационный ущерб. Исполнители у них были разные, в том числе хактивисты, государства и киберпреступники. Среди целей и типов нарушенных данных можно выделить следующие:

• компании Target и Home Depot – платежная информация;

• компания Anthem/WellPoint – личная медицинская информация;

• Управление кадровой службы США, Booz Allen Hamilton и HBGary – военная и разведывательная информация;

• виртуальные службы знакомств Ashley Madison и Adult FriendFinder – конфиденциальная информация.


Обычно борьбой с вредоносными программами и фишинговыми атаками занимаются специалисты по кибербезопасности, но такие взломы данных представляют собой вторичный риск для предприятий в связи с потерей учетных записей, базы данных которых часто оказываются размещены на хакерских форумах, в сети TOR и торрентах.

Взяв за основу взлом компании Adobe в 2013 году, можно смоделировать подверженность постороннему воздействию как функцию от величины компании и политики паролей. В октябре 2013 года9

компания Adobe объявила, что хакеры похитили исходный код основных продуктов Adobe, а также данные учетных записей более чем 153 млн пользователей. База данных очень быстро оказалась в открытом доступе. Некоторые пользователи, оказавшиеся в базе, скорее всего, сами придумывали пароли или вообще обходились без них. Эти данные по сей день являются одним из самых крупных источников учетных записей.

База данных содержала адреса электронной почты, зашифрованные пароли и подсказки к паролям открытым текстом, у тех пользователей, которые их добавляли. Важно, что пароли были не хешированными и не хешированными с добавлением случайной «соли», а зашифрованными алгоритмом 3DES. В этом случае потеря ключа дискредитирует надежность всей базы данных, но пока еще ключ не появился в открытом доступе. Когда «соль» в шифровании не используется, одинаковые пароли в зашифрованном виде выглядят одинаково. Подсказки к паролям хранились в открытом виде, следовательно, злоумышленник может объединить одинаковые зашифрованные пароли и получить все возможные подсказки для одного и того же пароля. Нередко в базе данных попадаются такие подсказки, как «работа», «единый вход», «пароль от Outlook» и «пароль от Lotus notes». Это означает, что один пароль используется несколько раз и, сведя зашифрованный пароль к набору применяемых подсказок, можно его легко подобрать. Кроме того, для защиты паролей применялось блочное шифрование, следовательно, злоумышленник мог взломать фрагменты паролей и использовать их для взлома учетных данных других пользователей в базе.

При моделировании подверженности постороннему воздействию организация определяется как подверженная постороннему воздействию, если соблюдены следующие критерии.

1. Пароль, используемый в электронной почте сотрудника, совпадает с паролем, применяемым для защиты выполняемой им критически важной работы.

2. Пароль можно легко восстановить по базе данных Adobe, объединив подсказки к зашифрованным паролям.


Отсюда следует, что вероятность постороннего воздействия для организации с n сотрудников, при условии что сотрудники независимы, а на частоту повторного использования пароля не влияет уязвимость пароля сотрудника, можно смоделировать следующим образом:

P(сотрудники, подвергшиеся воздействию >= 1)

= 1 – P(Любой пароль сотрудника используется повторно И тот же пароль уязвим при объединении подсказок)n

= 1 – (1 – P(пароль используется повторно)P(отдельный пароль уязвим при объединении подсказок))n.


Эксперты по безопасности придерживаются разных мнений относительно частоты повторного использования паролей в учетных записях.

В некоторых исследованиях этот показатель находится в диапазоне от 12 до 20 %10, а в исследовании, проведенном в Принстоне с использованием ограниченных данных, он составляет 49 %11. Опираясь на предыдущие результаты, полученные при подобном анализе, в данной модели взято равномерное распределение в диапазоне от 0,15 до 0,25).

Перейти на страницу:
Читать далее

Похожие книги

Один хороший трейд. Скрытая информация о высококонкурентном мире частного трейдинга
Один хороший трейд. Скрытая информация о высококонкурентном мире частного трейдинга

Частный трейдинг или proprietory trading пока еще мало освещен в русскоязычной литературе. По сути дела, это первая книга на эту тему. Считается, что такой трейдинг появился много лет назад, когда брокерские компании, банки и другие финансовые институты нанимали трейдеров для торговли на финансовых рынках деньгами компании. Сейчас это понятие распространяется и на трейдеров, которые не получают заработную плату, но вкладывают некую сумму своих личных денег в трейды компании-собственника.Книга рассказывает обо всех важных уроках, преподанных автору рынком на протяжении последних 12 лет, в течение которых он тем или иным образом был связан с частным трейдингом. Он поделится с читателем наработанным опытом и для этого познакомит вас со многими трейдерами. Некоторым из них довелось познать вкус успеха, большинству же пришлось очень туго.Книга нацелена на широкую аудиторию трейдеров и спекулянтов, работающих на финансовых рынках России и мира, а также частных инвесторов, самостоятельно продумывающиХ свои стратегии в биржевых и внебиржевых трейдах.

Майк Беллафиоре

Финансы / Хобби и ремесла / Дом и досуг / Финансы и бизнес / Ценные бумаги
Читать бесплатно
23 положения по бухгалтерскому учету
23 положения по бухгалтерскому учету

Настоящее издание содержит основные нормативные документы, регламентирующие ведение бухгалтерского учета: Федеральный закон «О бухгалтерском учете», Положение по ведению бухгалтерского учета и бухгалтерской отчетности в Российской Федерации, а также все действующие положения по бухгалтерскому учету с учетом всех последних изменений.Издание предназначено для бухгалтеров, аудиторов, работников налоговых и финансовых служб, студентов, аспирантов, преподавателей экономических вузов и колледжей, юристов и руководителей организаций.

Законы РФ , Коллектив Авторов

Финансы / Бухучет и аудит / Финансы и бизнес
Без регистрации
Инвестиции в инфраструктуру: Деньги, проекты, интересы. ГЧП, концессии, проектное финансирование
Инвестиции в инфраструктуру: Деньги, проекты, интересы. ГЧП, концессии, проектное финансирование

Без инвестиций в инфраструктуру невозможно представить себе функционирование общества, экономики, бизнеса, государства и его граждан. В книге описываются основные модели внебюджетного инвестирования в транспортные, социальные, медицинские, IT– и иные проекты. Такие проекты – удел больших денег, многоходовых инвестиционных моделей и значительных интересов, а в основе почти всех подобных проектов прямые инвестиции со стороны бюджетов разных уровней либо различные формы государственно-частного партнерства (ГЧП). Материал в книге изложен понятным языком, с многочисленными примерами, помогающими усвоению важнейшей информации, даны предметные советы по старту и реализации конкретных проектов. Именно они могут принести бизнесу существенный доход, а властям – авторитет и уважение граждан.

Альберт Еганян

Финансы / Финансы и бизнес / Ценные бумаги
Полная версия
Руководство богатого папы по инвестированию
Руководство богатого папы по инвестированию

Вы можете выбрать жизнь в мире нехватки денег и можете выбрать жизнь в мире изобилия денег. Одной из главных тем, обсуждающихся в этой книге, является утверждение, что вы сами имеете власть создавать вокруг себя мир нехватки или изобилия денег.

Роберт Кийосаки , Роберт Тору Кийосаки , Шарон Л. Лечтер , Шерон Лечтер

Финансы / Финансы и бизнес / Ценные бумаги
Читать Онлайн
Избранное