Подход Security by Design предполагает, что аспекты безопасности должны быть учтены при создании архитектуры, то есть до этапа технического моделирования угроз. Выглядит немного парадоксально — меры защиты вырабатываются по итогам моделирования, для которого нужна архитектура, которую надо создать с учетом требований по безопасности! Как кибериммунная методология предлагает решать эту задачу?
Это — основная идея кибериммунного подхода: еще до формального моделирования угроз нужно определить критические части системы, непосредственно отвечающие за активы, и изолировать их от любого потенциально возможного нежелательного воздействия. Для этого требуется контролировать взаимодействия критических частей системы со всеми остальными, делить их на более мелкие и оставлять среди критических только самое необходимое.
Этот процесс выполняется на всем протяжении формирования базовой архитектуры системы. Мы постоянно отвечаем на вопрос: «Что, если тот или иной компонент будет скомпрометирован?». В результате остается относительно небольшое число критических компонентов, которые не должны быть скомпрометированы. Их необходимо очень тщательно разработать, протестировать и верифицировать. Поверхность атаки на эти компоненты, — а значит, и на всю систему, — будет мала, а стоимость атаки — высока.
Отрицает ли такой подход проведение полноценного технического моделирования угроз? Нет, но он позволяет уменьшить объем изменений архитектуры после технического моделирования, в идеальном случае — до нуля. Более того, такой подход обеспечивает большую устойчивость системы к угрозам, сценариям и способам атак, которые не были известны на момент моделирования угроз.
Верификация кода, подтверждение корректности работы и качества с точки зрения безопасности — важнейший этап создания безопасной системы. Возможно, изменятся способы верификации и инструментарий, но не отменится сама процедура.
Особенность кибериммунного подхода заключается в том, что строгой верификации подвергается не весь код, а сравнительно небольшая его часть — только так называемый доверенный код. То есть критические компоненты, непосредственно влияющие на достижение целей безопасности. Весь остальной код верифицируется наиболее экономичными способами.
В следующей части мы расскажем о требованиях к архитектуре и дизайну системы.
Подход Security by Design предполагает, что аспекты безопасности должны быть учтены при создании архитектуры, то есть до этапа технического моделирования угроз. Выглядит немного парадоксально — меры защиты вырабатываются по итогам моделирования, для которого нужна архитектура, которую надо создать с учетом требований по безопасности! Как кибериммунная методология предлагает решать эту задачу?
Это — основная идея кибериммунного подхода: еще до формального моделирования угроз нужно определить критические части системы, непосредственно отвечающие за активы, и изолировать их от любого потенциально возможного нежелательного воздействия. Для этого требуется контролировать взаимодействия критических частей системы со всеми остальными, делить их на более мелкие и оставлять среди критических только самое необходимое.
Этот процесс выполняется на всем протяжении формирования базовой архитектуры системы. Мы постоянно отвечаем на вопрос: «Что, если тот или иной компонент будет скомпрометирован?». В результате остается относительно небольшое число критических компонентов, которые не должны быть скомпрометированы. Их необходимо очень тщательно разработать, протестировать и верифицировать. Поверхность атаки на эти компоненты, — а значит, и на всю систему, — будет мала, а стоимость атаки — высока.
Отрицает ли такой подход проведение полноценного технического моделирования угроз? Нет, но он позволяет уменьшить объем изменений архитектуры после технического моделирования, в идеальном случае — до нуля. Более того, такой подход обеспечивает большую устойчивость системы к угрозам, сценариям и способам атак, которые не были известны на момент моделирования угроз.
Верификация кода, подтверждение корректности работы и качества с точки зрения безопасности — важнейший этап создания безопасной системы. Возможно, изменятся способы верификации и инструментарий, но не отменится сама процедура.
Особенность кибериммунного подхода заключается в том, что строгой верификации подвергается не весь код, а сравнительно небольшая его часть — только так называемый доверенный код. То есть критические компоненты, непосредственно влияющие на достижение целей безопасности. Весь остальной код верифицируется наиболее экономичными способами.
В следующей части мы расскажем о требованиях к архитектуре и дизайну системы.
