Il cinismo ha un ruolo valido nella sicurezza delle informazioni? [chiuso]

-2

L'altro giorno, ho partecipato a una discussione su Meta Stack Overflow su cosa fare quando un utente pubblica credenziali (di solito inavvertitamente) su un post di Stack Exchange. (GitHub e altri siti hanno problemi simili.)

Mi sono reso conto dopo aver postato i miei pensieri che mi sembra piuttosto cinico presumere che le credenziali siano state compromesse, anche se erano visibili solo su Internet per pochi minuti / ora. E almeno un'altra persona ha sottolineato questo.

Il cinismo di solito non è intuitivo per me. Sul lavoro e nella vita in generale, trovo che sia meglio dare agli altri il beneficio del dubbio e trattarli come persone reali piuttosto che, ad esempio, criminali o utenti malintenzionati.

Quindi la mia domanda non riguarda se ho ragione o torto o anche cosa fare. Ma mi chiedo, il cinismo gioca un ruolo valido nella sicurezza delle informazioni? E per chiarire, non sto parlando di essere un cinico che è infelice essere in giro perché l'atteggiamento negativo si attenua. Voglio dire è raccomandato da una prospettiva di sicurezza assumere che gli altri siano motivati solo dall'interesse personale? (In altre parole, è accettabile supporre che se qualcuno potrebbe avere rubato le tue credenziali, loro l'hanno rubato?)

È persino possibile avvicinarsi alla sicurezza dal punto di vista del fatto che le persone sono fondamentalmente virtuose? (Come nel caso, richiederebbe una risposta più positiva da potenziali minacce e quindi ridurre al minimo il rischio?)

Se hai esempi storici specifici o pubblicazioni accademiche / scientifiche correlate, sarebbe utile.

    
posta Matt 31.12.2014 - 07:56
fonte

1 risposta

4

La sicurezza delle informazioni riguarda esclusivamente la gestione del rischio, non si tratta di essere positivi o negativi, ma di essere concreti. Nella gestione del rischio prendiamo la probabilità, valutiamo l'esposizione di attacco (vulnerabilità) e poi c'è un attore con una determinata motivazione o qualsiasi circostanza o evento con la possibilità di avere un impatto negativo su una risorsa.

Ora, se prendiamo la tua situazione: un utente pubblica credenziali su StackExchange o Github.

L'attore delle minacce qui sono persone che hanno accesso non autorizzato alle credenziali. La vulnerabilità qui è l'esposizione delle informazioni. La probabilità deve essere valutata, in ordine di probabilità:

  • Sito web ad alto traffico, molte persone lo avranno visto
  • Sito web ad alto traffico, indici di Google abbastanza veloci e cache
  • Memorizzazione nella cache di siti Web come l'archivio Internet
  • Raccoglitori di credenziali

Ma possiamo affermare che la probabilità è altamente probabile che siano stati esposti. Quindi abbiamo una perdita di informazioni.

MA qual è la probabilità che queste credenziali vengano abusate? Ciò dipenderà dalla situazione, ma non possiamo valutarlo poiché non sappiamo a cosa servono le credenziali. Potrebbe essere che sono utilizzati per i sistemi di produzione, ma anche per l'account personale di uno sviluppatore. Diciamo che è basso perché è un sistema usato internamente.

Quindi valuteremo quale sarebbe il costo se il sistema fosse compromesso. Potrebbe essere una perdita finanziaria diretta o una perdita finanziaria indiretta dovuta a danni alla reputazione o all'incapacità delle persone di lavorare. Ma potrebbe anche accadere che la password venga utilizzata solo in fase di sviluppo e che l'esposizione sia limitata a un singolo sviluppatore.

Diciamo che la possibilità che il sistema sia effettivamente compromesso è bassa, ma l'impatto è elevato. Quindi abbiamo un rischio eccessivo di media bassa x alta = media. Poiché non possiamo valutare il costo effettivo del rischio in questo esempio, non inserirò un numero, ma normalmente saresti in grado di valutare il rischio.

Ora finalmente, qual è il costo per ridurre o mitigare questo rischio? Quanto tempo ci vuole per cambiare questa password? Diciamo che non è molto. Possiamo dire che il costo è piuttosto basso. La riduzione del rischio è più economica rispetto a quando si presenterebbe il rischio? Sì, quindi attenualo.

Quello che volevo sottolineare è che non si tratta di cinismo, si tratta di coprire rischi e costi. Essere positivi o negativi non ha nulla a che fare con esso, si tratta di misurare il più obiettivamente possibile ciò che l'esposizione è e qual è il costo potenziale.

Resta il fatto che è possibile PROVA le credenziali che sono state esposte, ma NON PUOI provare che nessuno le ha raccolte. E questo è puro.

    
risposta data 31.12.2014 - 08:56
fonte

Leggi altre domande sui tag