[Перевод] Безопасность через неясность недооценивается
В информационной безопасности мы выработали ряд аксиом, с которыми не принято спорить:
Никогда не внедряйте собственную криптографию.
Всегда используйте TLS.
Безопасность через неясность (security by obscurity) — это плохо.
И тому подобное. Большинство из них в целом верны. Однако мне начинает казаться, что люди слепо следуют этим аксиомам как культу карго. И многие на самом деле не думают об исключениях из правил. В этой статье я выскажу свои возражения против идеи «безопасность через неясность — это плохо».
Риск, эшелонированная оборона и швейцарский сыр
Одной из главных задач ИБ является снижение рисков. Согласно методологии OWASP, риск возникновения проблемы рассчитывается по формуле:
Риск = Вероятность * Воздействие
По этой формуле, проблема удалённого выполнения кода (RCE) представляет больший риск, чем проблема межсайтового скриптинга, поскольку RCE несёт большее воздействие. Здесь всё просто. Но что насчёт метрики вероятности? Читать дальше →
Источник: Хабрахабр
- Хабрахабр Информационная безопасность Блог компании GlobalSign Информационная безопасность Программирование порты безопасность через неясность OWASP эшелонированная оборона модель швейцарского сыра обфускация симметричное шифрование камуфляж
- Настрочить жалобу в спортлото
- GlobalSign_admin
- Распечатать
- TG Instant View
💬 Комментарии
В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.
🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.
💡 Хотите обсудить материал?
Присоединяйтесь к нашему Telegram-каналу:
https://t.me/blogssmartzНажмите кнопку ниже — и вы сразу попадёте в чат с комментариями