Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Pomôže ďalšia kamera?

194 views

Published on

Aké robíme chyby pri vyhodnocovaní rizika v IT bezpečnosti? Čo je to fat tail, "neznáme neznáme"? Dá sa nejak brániť proti armáde náhodných útočníkov z Internetu, keď máme obmedzené zdroje? Dá sa urobiť "aikido ťah" a využiť silu protivníka proti nemu samotnému?

Skôr filozofické rozprávanie o zvláštnych neintuitívnych vlastnostiach IT bezpečnosti, s veľmi vážnymi a konkrétnymi praktickými dopadmi, o ktorých väčšina ľudí nerozmýšľa.

Published in: Education
  • Be the first to comment

  • Be the first to like this

Pomôže ďalšia kamera?

  1. 1. Pomôže ďalšia kamera? O neintuitívnych vlastnostiach bezpečnosti, asymetrií a fat tailoch v bezpečnosti juraj@bednar.io
  2. 2. Riziko = Pravdepodobnosť * Dopad Overall Risk Severity Impact HIGH Medium High Critical MEDIUM Low Medium High LOW Note Low Medium LOW MEDIUM HIGH Likelihood
  3. 3. Riziko = pravdepodobnosť * dopad •OWASP: 1. Identifying a Risk 2. Factors for Estimating Likelihood 3. Factors for Estimating Impact 4. Determining Severity of the Risk 5. Deciding What to Fix
  4. 4. Technické riziko vs. biznis riziko Nízka * Stredný = Nízke 10% * 100000€ = 10000€
  5. 5. Predikčné chyby • Firma s kapitálom 0.5 mil € • Najväčšie známe nepokryté riziko: • Pravdepodobnosť, 10%, vypočítané sofistikovaným algoritmom “nám trvalo dlho kým sme ho identifikovali, aj hacker to bude mať ťažké” • Dopad: 500 000€ • Riziko: 50 000€ • Pokryté (interným) poistným produktom, 50 000€ je dlhodobý náklad, poistná suma 500 000€ • Realita: • Zraniteľnosť odhalená a zneužitá (a asi sme neodhadli pravdepodobnosť) • Okrem toho čo sme rátali sme dostali prvú pokutu GDPR, obchodný partner cez ktorého nás hackli sa s nami súdi o náhradu škody, dopad: 2 milióny € • 500 000€ od poisťovne, firma je milión eur v mínuse => bankrot
  6. 6. Cesta nie len cieľ • “Na to, aby sme mohli vyhrať musíme najprv prežiť” – Taleb • Absorpčná bariéra (napr. krach firmy)
  7. 7. Čo s predikčnými chybami • Pravdepodobnosť rátať ako 100% (sledovať len dopad) • Byť hyperkonzervatívny alebo hyperagresívny alebo obidve naraz (barbell strategy => môj podcast, Antifragile) • Obmedzovať network efekt dopadu (oddelenie systémov, supply chain, …) • Dávať pozor na absorpčné bariéry rizika (keby úspešnosť leteckej dopravy bola 98%, väčšina pilotov by bola mŕtva)
  8. 8. Neznáme neznáme Určitosť (istota) Znalosť (identifikácia) Určité (známe) Neurčité (neznáme) Identifikované (známe) Známe známe: Identifikované znalosti Známe neznáme: Identifikované riziko Neidentifikované (neznáme) Neznáme známe: Zatiaľ neodhalené znalosti Neznáme neznáme: Neidentifikované riziko
  9. 9. Neznáme neznáme • Analýza rizík sa venuje tomu, čo dokážeme identifikovať • Neznáme neznáme sú oveľa zákernejšie • Nedokážeme sa proti nim tak ľahko poistiť • Nevieme určiť dopad (a pravdepodobnosť je malá) • Je ich oveľa viac ako známych rizík • Čo s nimi? • Čo najrýchlejšia identifikácia (Honeypot, IRT, ”zamínovať” sieť pípačmi, senzormi a vyhodnocovať ich, s vedomím že 99.9% času sú to plané poplachy) • Čo najrýchlejšia reakcia (žiadne čakanie na schvaľovanie budgetu, rozhodnutia, mítingy) • Kompartmentalizácia a decentralizácia (aby sa útok nešíril ďalej)
  10. 10. Normálne rozdelenie (mediocristan)
  11. 11. Fat-tailed rozdelenie (extremistan)
  12. 12. Odchýlky a stredná hodnota • Normálne rozdelenie: 68% času sme vrámci jednej štandardnej odchýlky od strednej hodnoty • Ak akciový trh je fat-tailed (inak povedané, ak v akciovom trhu nastávajú “čierne labute”) ako často sú ceny akcií vrámci jednej štandardnej odchýlky? • => Viac alebo menej ako 68%?
  13. 13. Odchýlky a stredná hodnota • Väčšina ľudí odpovedá – menej ako 68%, fat tails znamená viac odchýliek. • Skutočnosť: Medzi 78% a 98% času • Okolo strednej hodnoty sa funkcia správa ešte normálnejšie ako normálne rozdelenie. • Ale…. Aká je stredná hodnota?
  14. 14. Zákon veľkých čísel (mediocristan)
  15. 15. Zákon veľkých čísel (extremistan)
  16. 16. Dôsledok • Ak máme jednostranné fat tailed rozdelenie (napríklad rozdelenie dopadov bezpečnostných zraniteľností), skutočná stredná hodnota pri málo (10^6? – závisí od konkrétneho rozdelenia pravdepodobnosti) pozorovaniach je bližšie k maximu doteraz pozorovaných hodnôt, nie k priemeru! • Predstavme si najväčší bezpečnostný problem, aký sme zažili – ten je v skutočnosti bližšie k priemeru (strednej hodnote) ako priemer toho čo sme doteraz zažili! • Minidôsledok: Ak nájdeme v januári veľkú bezpečnostnú zraniteľnosť a minieme celoročný rozpočet na bezpečnosť, väčšina ľudí povie: “O jednu zraniteľnosť menej, sme bezpečnejší”, v skutočnosti: “Rozpočet treba navýšiť, odhalili sme že priemer je vyššie ako sme si mysleli a čaká nás veľa oveľa horších zraniteľností!” • Nájdenie alebo mitigovanie ďalšej udalosti bude náročnejšie, má nižšiu pravdepodobnosť (je viac skrytá), ale stále veľký dopad
  17. 17. Dôsledok: Regulácie a GDPR • Snaha zákonov a regulácií je stabilizovať prostredie • Hackeri a bezpečnostné incidenty ale ťažia s nestability • Ak máme fat tailed rozdelenie bezpečnosti, zákonom riešime problémy okolo (domnelej) strednej hodnoty, v skutočnosti je ale oveľa dôležitejšie bezpečnosť riešiť “z chvosta” (from the tail) • => regulácia rieši ľahké problémy ktoré všetci vieme riešiť aj bez regulácie • => potrebujeme riešiť neistotu, nestabilitu, neznáme a nepravdepodobné udalosti a tie sa dajú riešiť iba rýchlosťou, teda opakom nestability • Jediný účinný spôsob riešenia bezpečnosti musí počítať s nestabilitou prostredia. Zákon sa snaží o stabilitu prostredia. • => GDPR odčerpáva energiu smerom k strednej hodnote od tailov, tzn. môžeme očakávať väčšie problémy, na ktoré ale nebudeme pripravení. Vďaka EÚ!
  18. 18. Poznámky k fat tails • Väčšina fat tails je tvorená unknown unknowns (lebo sú to čierne labute, nepravdepodobné udalosti, ktoré sme nikdy nezažili a majú obrovský dopad, napr. SPECTRE, logjam, …) • Network effects znásobujú dopad • Takmer všetky CPU na planéte a všetky šikovnejšie OS sú zraniteľné na SPECTRE, zraniteľnosť prekračuje network effects (cloud, …) • Vďaka network effectu môže byť dopad exponenciálny • Pri akomkoľvek riziku vyhodnotenom z pozorovania potrebujeme o niekoľko rádov viac pozorovaní (pri Paretovom rozdelení je to 10^11 viac pozorovaní ako pri normálnom rozdelení) => nereálne • Mimochodom dopravné nehody vs. Terorizmus => hlúpe porovnanie • Pinkerov „nenásilnejší svet“ => nie je dostatok dát na také tvrdenie
  19. 19. Čo s fat tails v bezpečnosti? • Odrezať chvost! • “Poistná suma” (zníženie dopadu) • Kompartmentalizácia • Cold&hot wallet • Decentralizácia ! • Červené tlačítko • Rýchla identifikácia a reakcia, počítanie s neznámym, fungovanie alebo ťaženie z neistoty
  20. 20. Asymetrie nákladov a výnosov • Čo útočník získa ≤ čo obeť stratí • Keď mi niekto ukradne databázu zákazníkov, útočník získa jej trhovú hodnotu (či už na spamovanie alebo to predá konkurencii), firma ale stratí konkurenčnú výhodu, reputáciu, ... • “Vykradnutie banky”: útočník získa sumu ukradnutých peňazí, banka stratí okrem toho aj reputáciu a možno bude musieť (vďaka GDPR) platiť aj pokutu alebo nejaké ďalšie sankcie. • (útočník väčšinou nepočíta so skrytým rizikom, čo je náklad)
  21. 21. Asymetria útočnej vs. obrannej sily • Ideálny stav. Obrana by mala byť silnejšia ako útok • V súčasnosti • “Armáda” hackerov z celého sveta útočí na systémy, pár ľudí sa stará o obrannú bezpečnosť • Nástrojov na útok je veľa, ale máme obmedzenie koľko obranných nástrojov môžeme naraz použiť (napr. nemôžeme si nainštalovať “desať antivírových programov”)
  22. 22. Otočenie oboch asymetrií: Bug bounty program • Armáda dobrých hackerov vám pomáha kontinuálne testovať • Odmena pre hackera za odhalenú zraniteľnosť je nižšia ako riziko • Šetrí náklady hackerom (nemajú žiadne riziko a majú pozitívne reputačné riziko) • Šetrí náklady firmám (nemajú žiadne reputačné riziko, riziko pokuty, majú compliance, platia len za nájdené zraniteľnosti) • Ako určiť odmenu? • Ak žiadny hacker dlho nenašiel zraniteľnosť, treba ju určite zvýšiť, pretože vieme, že zraniteľnosti tam pravdepodobne sú – a ak nie sú, nevadí, neplatíme odmeny • Hacktrophy.com
  23. 23. Pomôže ďalšia kamera? • Bezpečnostné divadlo nás klame, myslíme si že vyložením tekutiny na letisku sme ochránení proti terorizmu => nie, terorizmus ťaží z nestability a jednoducho vymyslí iný spôsob útoku • Rýchla identifikácia a reakcia je dôležitá, ak kamera pozerá na nové veci a vyhodnocuje neočakávané udalosti, pomôže. Ale kamery sa pozerajú na to, čo poznáme a vyhodnocujú to, čo očakávajú (unknown unknowns sú blind spot) • Snahy o stabilizáciu stavu posúvajú našu energiu smerom k jadru, pričom by sme sa mali sústrediť na tail => myslíme si, že bezpečnosť stúpa, v skutočnosti sme menej pripravení na nepravdepodobné udalosti. • Útočníci tažia z neistoty, zákony zvyšujú stabilitu. Energia obrany ide k známej časti (jadru), ale útočníkom je oveľa lepšie v taile => míňame energiu na niečo, kde útočníkom nie je dobre, ale obrane je dobre • Ďalšia kamera nám pomáha pozerať sa na to, čo chceme a nevidieť tam, odkiaľ príde ďalší útok
  24. 24. Ďakujem! • juraj@bednar.io • paralelnapolis.sk • Hacktrophy.com, citadelo.com • Podcast a blog: juraj.bednar.io • Literatúra: Antifragile (Taleb)

×