私たちは皆、ニュートンとガリレオによって発見された物理学の基本法則について知っています。 おそらく学校の机から少なくとも少しはユークリッドの公理について聞いた。 少なくともホモ普遍性の位置に近づくことを決めた人は(これは私たちの21世紀では簡単ではありませんが) 、ダニレフスキー 、 トインビー 、および/またはサミュエル・ハンティントンの法律について何かを聞いたに違いありません...
情報セキュリティはどうですか? IS-shnikovには独自の基本法則がありますか? はい-あります! そして、この記事ではそれらについて説明します。
多くの読者が発言するとすぐに言わなければなりません。 結局、特定の人々からそれらを聞くずっと前に多くの法律が知られていました...さて、この場合、私はスティグラーの法則を参照します: 「科学的な発見はその最初の発見者にちなんで命名されません」 。
トルコ法
最後の重大な情報セキュリティインシデントから時間が経過するほど、システムがハッキングされる可能性が高くなります
非常に大きな銀行のシステム管理者からこの法律を聞いたのは初めてです...
事件は過ぎ去り、XX百万ルーブルを盗み、全員にロバを与え、パスワードを変更し、クールな情報セキュリティシステムを注文しました(すべての分野で!あらゆる面で!)。 落ち着いた...
時間が経つと人々はリラックスします...そして再び、50歳の叔母はシステムに12345個のパスワードを入力するか、紙に書き留めて軌道に乗せてモニターに接続します...そして再び、多くのサーバーでネットワークが不器用に構成されています...そして再びhttp経由で機関のすべてのカメラに接続して確認できますCEOはどのようなコーヒーを飲みましたか...そしてまた...そしてまた...そしてまた...何か深刻なことが再び起こるまで...
外からはそれはナンセンスに思えますが、それは、多くの大規模な組織の現実であり、 一般的な官僚的な構成要素を持っています 。 人々はリラックスしています。 大規模な官僚的なオフィスの人々は、3月に頭を開けてスカーフなしで歩く少年のように振る舞います。
少年たちは風邪を引いて、鼻水を流し、インフルエンザや風邪で寝ます。 回復した後、彼らはスカーフと帽子を着用しましたが、1年後にすべてが再び繰り返されます。
私は個人的に、インデューコフ法から身を守る方法を知りません。 意見はありますか? -コメントを書いてください。
ミトニックの法則
電源が切れたコンピューターでもハッキングされる可能性がある
これはケビンミトニックの本The Art of Deceptionからの有名な引用です。
あなたが保護されているとは思わないでください。 常に、 「100%保護の明白な方法」であっても、欠陥を見つけることができます。
電源がオフのコンピューターはオンにすることができます。 手。 物理的に電源をクリックします。 ただし、 ハッキングするには 、電源をオンにしたり、盗んだり、コンピューターの一部(ハードドライブ)を盗んだりすることはできません。
スクリャロフの法則
オブジェクトA をハッキングするコストがオブジェクトA をハッキングする利点よりも大きい場合 、オブジェクトはハッキングされません。
Positive Technologesの従業員Dmitry Sklyarovから法律を聞きました。 法律はささいで明白ですが、...一部を見て、特定の企業で戦略的決定を下す人々を指さしません。誰もがスクリャロフの法則を知っているわけではないことを理解しています。 または彼はひどく無視されます。 高価な金庫を設置することにより、100ルーブルを保護します...または、逆に、本当に興味深く貴重な情報を保護しません。
企業はリスクを考慮しなければなりません。 保護されている情報の価値を理解し、潜在的な利益よりも潜在的なハッカーにハッキングのコストを提供する情報セキュリティシステムを作成(または購入)します。
法律には微妙な違いがあります。
- ハッキングのコストは大幅に低下する可能性があります(たとえば、新しい脆弱性が出現したり、社内スタッフにインサイダーを導入したなど)。
- ハッキングコストや利益コストを不十分に見積もることができます。
- すべてが金銭で測定できるわけではなく、ハッカーは必ずしも金銭的な動機に導かれるわけではありません。
バテネフの法則
スクリャロフの法則について話したので、 アレクサンダー・バテネフ ( Group-IB )が策定した法則に移りましょう。
条件が真であると仮定します
- さまざまな公開オブジェクトがあります:AおよびB
- ハックA のコストは、ハックBのコストよりも大きい
- Aを壊すことのメリットBを壊すことのメリット
バテネフの法則:
オブジェクトBがハッキングされるまで、オブジェクトAはハッキングされません
法律は信じられないほど明白なようです(原理的にはそうです!)、しかし、多くの多くのビジネスの代表者は、彼らは触れられていないので、したがって保護されていると絶対に確信しています。 ああ! これは真実ではありません!!! たとえば、ハッカーが銀行のRBSを解読しない場合、SberbankとVTBだけでなく、小規模であるが「高度な」銀行がまだすべてのセキュリティ問題を完全に解決していないことを意味します。 彼らはあなたにとって「美味」です! それは、とらえどころのないジョークのジョークのようなものです。 誰かがあなたを必要とするとき、あなたは簡単かつ迅速にハッキングされる可能性があります。 ビジネス、しかしビジネス、あなたはそれを必要としますか?
さまざまなインフラストラクチャ を 「保護」するのはバテネフの法則です 。 ハッカーは、原子力発電所、 新幹線 、 ろうそく工場をハッキングしてもまったく利益を得られません...
この法律は、ステガノグラフィーの関連性に関する私の質問に対するアレキサンダーの答えでした 。 彼の意見では、ステガノグラフィは「確かにクール」です が、同じ結果を達成するためのはるかに簡単な方法があります ...しかし、 「世界が賢くなる」とき、 「ステガノグラフィとステガナリシスは非常に重要になります」 。 議論することはできません。 どうやらそうです。 私のお気に入りのステガノグラフィーの時間が来るまでは...えー...
ダイクストラの法則
プロトコルスタック(使用されるテクノロジ)が深いほど、システムの脆弱性が高くなります。
言い換えれば、システムが複雑で混乱しているほど、簡単にクラッキングできます。
Edsger Weebe Dijkstraはもともと、システム全体を理解することに関する法律を策定しましたが、
プログラマーがすべてを詳細に理解できない時が来ることを十分に覚えておいてください
コンピューター技術で発生するプロセス...原則として、これが判明した方法です。 詳細は何ですか
残念ながら、 一般的に、すべてのプログラマーがコンピューターの仕組みを知っているわけではありません:(...
そして、これは悲しいです。 現実の知覚の完全性に対する制御の喪失は、 本当に大きなシステムの多くの多くの要素をブラックボックスまたはせいぜい非常に灰色のボックスのように見せます。 各ボックスの機能が1人または別の開発者に知られていて、それぞれが保証できる場合でも( 「自分のベッド」のセキュリティ)、これは安全な要素で構成されるシステム自体が安全であることを意味しません。 全体は、その部分の合計ではありません。
ダイクストラの法則は、避けられない悪ではありません。 この法律により、情報セキュリティに対する姿勢のパラダイムが変わります。 支障なく、私たち警備員は、軍隊からパラダイムを単に「盗み」、完全に、完全に保護された厳格なシステムを構築しようとしました。 数学的な意味でさえ、彼らは厳格な何かを発明しようとしました...さて、 ベルラパドゥラモデル 、 ビブモデル 、クラーク-ウィルソン モデル 、 ハリソン-ルッツォ-ウルマンモデルなどを思い出してください 。 この古典的なパラダイムの枠組みの中で、ユーザーが壊れた場合、これは情報セキュリティシステムの問題ではなく、湾曲した手、信頼性の低いパスワード、ソーシャルエンジニアリングの問題です!..
しかし、世界は変化しており、システムは非常に大きくなっています。 彼らは自分の人生を生き始めます。 内部ネットワーク上に1,500以上の異なるDBMSを持つ組織を想像できます! これを想像できますか?!..すべてを管理し、セキュリティを確保する方法は次のとおりです!?..
どうする? 出口は1つしかないと思います。 パッシブシステムからアクティブシステムへの切り替えです。 つまり 曲線に先んじて作業します。 現代の犯罪サイバーワールドは、独創的な単一のハッカーで構成されなくなりました。 これはシステム全体です。 このシステムを研究および調査する必要があります。 「古典的な」アンチウイルスソリューション、DLP、トークン、SFTPなどを放棄することはお勧めしません。 いや! ダイクストラ法のおかげで、これらの措置は不十分であると見なされることを強くお勧めします。
テロとの闘いが空港や駅で荷物をチェックするだけでなく、特別なサービスの仕事にもあるように。 情報セキュリティの世界では、情報セキュリティインシデントが既に発生しているときだけでなく、 アクティブなアクションに進捗を与える必要があります。 この方向で定期的かつ体系的に作業し、情報セキュリティの積極的な 「解決策」を作成する必要があります。
アシュマノフ・マサロビッチ法
人はハッキングの対象にもなります。 おそらく、それは最初に保護する必要がある人です
イゴール・アシュマノフとアンドレイ・マサロビッチの素晴らしい講義を聞いた後、私はこの基本法について書くしかありませんでした。 「 ソーシャルネットワークのビッグデータ:特別なNSA監視は必要ありません 」と「 Life after Snowden。最新のインターネットインテリジェンスツール 」をまだ見たことがない人 -ギャップを早急に埋めます。
当初、これらはすべて情報戦争から生まれました 。 正直なところ、政治から何かをcrash落させようとする大きな誘惑がありました...しかし... ...ハブルのルールはそれを禁止しています。 したがって、ビジネス分野の例を挙げます。
2014年12月、ロシアのズベルバンクは、顧客に対する前例のない攻撃を経験しました。 彼らは何百も
Sberbankによって発行されたVisaカードがまもなくサービスを停止されることを警告する1,000 SMS。 ソーシャルネットワークには大量のデータが詰め込まれていました。Sberbankは流動性の問題に直面しており、資金を提供できないと言われていました。 顧客は即座に志向して、預金を引き出すために走りました。 約3,000億ルーブル。 -これはよく計画された情報攻撃の価格であり、ロシア銀行の代表者によると、その痕跡はウクライナのインターネットリソースにつながった。 また、ビジネスは事後のセキュリティを思い出し、何が起こったのか調査を開始しました。
アレクセイ・ルカツキー ビジネス向けIB:非表示の販売方法
一般に、ソーシャルエンジニアリングはアシュマノフ・マサロビッチ法の結果です 。
ベレジンの法則
雷が発生するまで、ビジネスは情報セキュリティのためにお金を与えません
法律はすべての人に知られています。 そして彼らは常にそれについて話します。 そして、誰も何もできません。 まあ、ビジネスは情報セキュリティにお金をかけたくありません。 ISは収益性が低く、すでに非常に不可解かつ不可解にコストを削減しているためです。 さて、スプーンではなくシャベルで穴を掘ると、すべてが明確になります! シャベルを買って、スプーンを捨てます! そしてIBでは-それは明らかではありません。 ベレジンはこれが永遠に続くと信じています 。 個人的に、私は彼に完全に同意します。 あなたはどうですか?
なぜなら この記事は私の検索エンジンに最初に登場したもので、A。ベレジンに敬意を表してこの法律が呼ばれます。
体系的な歴史的不公正のサイモンシンの法則
ISのすべてが少なくとも2回発明されています。結果がクローズドソースで公開されたら、2回目はオープンソースで公開されます。
RSAはRivest、Shamir、およびAdlemanによって発明されたものではないことをご存じでしょう。 Diffie-Hellmanの前にDiffie-Hellmanアルゴリズムが発明されましたか? オープンな作品が登場する直前に、これらの問題は一流の特別サービスの数学者によって解決され、彼らの作品は分類されました...アラン・チューリングはコロッサスを発明しなかったこと、そして有名な映画は偽物であることを知っています。 実際、最初のコンピューターは、 マリアン ・レジェフスキー 、 イェジー・ロジツキー 、 ハインリッヒ・ジガルスキーによって発明され、1938年にすでに作られました...
ここにそのような歴史的な不正があります。 情報セキュリティは非常にデリケートなトピックであるため、原則としてこれには驚くべきことは何もありません!..おそらく、 離散対数の問題はすでに解決されているか、他の誰かが既に作成した量子コンピューターがどこか(もちろん、誰も見えないように深い地下)でそのタスクを検討しています。 ..
おわりに
すべてのジョークには真実があります。
あまりにも真剣に書かれたすべてのものを取ったすべての人に-私は休日にあなたを祝福します ! しかし、あなたは多くの考えが明白で平凡であり、時には単にばかげていることを認めなければなりません...しかし一般的には彼らは公平です。 そして、残念なことに、それらはまだ信じられないほど関連しています!
おそらく、これらの「法律」は常に関連性があり、真実です。 この場合、なぜそれらを基本と宣言しないのですか? 私は本気です! この投稿の最後に、「国民投票」に関する質問があります;)必ず投票してください。
あなたはどんな法律を知っていますか? コメントを自由に書いてください!
一緒にテキストを改善しましょう! タイプミスを見つけたら-個人で書いてください。