Qualcuno può fornire una definizione formale e semplice di "proteggere qualcosa" nella sicurezza delle informazioni?
Considera questa una descrizione molto, molto, molto breve. La risposta alla tua domanda può comprendere un intero set di libri.
La sicurezza riguarda la gestione del rischio. Fare qualcosa di sicuro significa ridurre il rischio. L'abbassamento del rischio è associato alla messa in atto di controlli, ogni controllo può avere un determinato prezzo e può attenuare un certo rischio, riducendo la probabilità che una vulnerabilità possa avere un impatto negativo sulle attività. Le risorse in questo contesto possono essere qualsiasi cosa un'impresa consideri preziosa, inclusi sistemi, applicazioni, ma anche persone, infrastrutture ecc ...
A e B sono entrambi validi, tranne che A probabilmente dipende dal costo. La sicurezza costa denaro e non ha senso spendere un sacco di soldi per proteggere un bene se la sicurezza costa più del valore del bene. Se il valore di un bene aumenta nel tempo, potrebbe essere sensato "renderlo più sicuro" nel tempo spendendo di più in controlli extra.
La gestione del rischio è la chiave per rispondere a questa domanda apparentemente semplice. Per rendere i dati (o un dispositivo) perfettamente sicuri, si dovrebbe cancellare tutta la conoscenza di esso. Distruggere i dati / il dispositivo per renderlo sicuro rende non disponibile, violando la triade della CIA citata da @SilverlightFox. Usando il dispositivo di crittografia Enigma, il nazista lo rese vulnerabile.
Finché il futuro (e la vita) sono incerti, "il più sicuro possibile" è un compito senza fine e infruttuoso. Quindi fare qualcosa di più sicuro è più importante per la sicurezza di qualcosa. Tuttavia, ciò solleva la domanda: quanto più sicuri devono essere i dati (dispositivo)? Quanto più impegno e ingegno sono appropriati per "proteggere il bene?"
Questo mi ricorda la seguente battuta:
Two men are walking through a forest. Suddenly, they see a bear running towards them. They turn and start running away. But then one of them stops, takes some running shoes from his bag, and starts putting the on. “What are you doing?” says the other man. “Do you think you will run fast than the bear with those?” “I don’t have to run faster than the bear,” he says. “I just have to run faster than you.”
Quindi "quanta sicurezza è sufficiente" dipende dal contesto. Questo è il motivo per cui la maggior parte delle case ha serrature e banche chiave che si occupano dell'installazione di depositi. L'impatto di una violazione sulla prima - sebbene piuttosto personale per il proprietario della casa - è probabilmente meno costoso in termini di impatto sulla banca. Grazie alle misure adottate dalle banche per proteggere i contenuti dei loro caveau (acciaio, allarmi, guardie, ecc.), I proprietari di case pagano le banche per tenere i loro oggetti di valore in una cassetta di sicurezza anziché replicare le misure di sicurezza della banca per le loro case. L'eccezione che dimostra il punto è il proprietario di casa visibilmente ricco che rifiuta di mettere tutti i suoi oggetti di valore nel caveau di una banca. Qual è il punto di preziosi dipinti, sculture e gioielli se non ti piace?
Quindi come si può decidere quanti sforzi o soldi spesi per la sicurezza sono sufficienti? Uno strumento è Aspettativa di perdita annualizzata . In breve, ALE è il costo (tangibile e intangibile) di una perdita moltiplicata per la probabilità che l'incidente si verifichi in un anno. Se la banca ha $ 10.000 nel caveau e c'è una probabilità del 10% di essere derubati con successo, la banca non dovrebbe più (o meno) di $ 1.000 per proteggere il caveau. Bruce Schneier fa notare che il calcolo diventa complicato e disordinato molto rapidamente.
Un altro approccio è il ritorno dell'investimento in sicurezza (ROSI). Rispecchiando il principio di business del ritorno sull'investimento, il costo di un evento negativo si chiama esposizione al rischio. Una soluzione di sicurezza mitiga tale rischio di qualche percentuale. Moltiplicare l'esposizione per la percentuale attenuata fornisce il rendimento atteso. Pertanto, ROSI viene utilizzato per identificare la spesa appropriata per la messa in sicurezza di un bene. Tuttavia, ROSI non è privo di detrattori, tra cui spicca Bruce Schneier .
Le metriche sulla sicurezza di Andrew Jauquith sono un'altra lettura degna sull'argomento. Jaquith scrive su p 33 "... i professionisti di ALE soffrono di una quasi totale incapacità di stimare in modo affidabile probabilità [di accadimento] o perdite". Puoi leggere le sue alternative chiare e convincenti a ALE e ROI.
Entrambi sono applicabili.
Assicurare qualcosa significa ridurre i rischi associati all'esecuzione di tale rete, sistema o applicazione.
Nella sicurezza delle informazioni i rischi sono spesso nella triade della CIA - Riservatezza, integrità e disponibilità. Ad esempio, un'applicazione potrebbe presentare una vulnerabilità di sicurezza che influisce sulla riservatezza dei dati. La protezione dell'applicazione contro questo rischio comporterebbe il recupero della vulnerabilità della sicurezza o la rimozione della minaccia. Tuttavia, di solito non è possibile raggiungere quest'ultimo. Potrebbe non essere pratico rendere questa vulnerabilità "il più sicura possibile", tuttavia il rischio può essere mitigato a un livello accettabile dall'azienda, quindi spesso l'azione intrapresa è quella di renderlo "più sicuro".
La sicurezza di solito si riferisce alla condivisione sicura, ovvero alle tecniche di condivisione di determinate informazioni solo con le persone con le quali si desidera condividerle. Se non hai nulla da condividere, allora è facile essere sicuri, basta non dare a nessuno alcuna informazione su di te. Tuttavia, tale approccio è abbastanza poco pratico, dal momento che vivere e fare affari richiede la condivisione di determinate informazioni: informazioni finanziarie con partner commerciali, informazioni mediche con medici, informazioni di identificazione con partner commerciali e governo, informazioni personali con amici e familiari, ecc.
Di solito quando le persone parlano di "mancanza di sicurezza" si riferiscono a una vulnerabilità dimostrata e di solito a una vulnerabilità grave. In un certo senso, hacker, contro, truffatori e ladri testano sempre la tua sicurezza, sia elettronica che fisica. Il più delle volte tu, i tuoi computer e la tua vita stai bene, non perdi nessuna informazione alla persona sbagliata, e noi la chiamiamo "sicura". Altre volte, c'è un problema, come ad esempio un'interruzione e un'entrata in casa o forse una violazione dei dati sul computer. In questo caso lo chiamiamo un problema di sicurezza.
Il processo di recupero di una situazione di sicurezza dopo una violazione comporta l'analisi del rischio e la riparazione della vulnerabilità. Se sei interessato ad azioni legali, allora entra in gioco la scientifica. Fissare i buchi di sicurezza è fondamentalmente diverso da ottenere giustizia che implichi l'applicazione della legge. La maggior parte dei professionisti della sicurezza informatica si concentra sul fissare i buchi di sicurezza prima, e la seconda sulla medicina legale. Sebbene, durante la fase di analisi della vulnerabilità, ci sia una certa quantità di analisi forense utilizzata per scoprire la vulnerabilità, ma di solito non supera lo standard utilizzato in un tribunale.
In termini di crittografia, sicuro significa non rotto . E broken significa che esiste un metodo per decodificare meglio della forza bruta .
E come sapete, la forza bruta è il metodo della disperazione in cui è necessario provare tutte le chiavi possibili.
Leggi altre domande sui tag appsec