August 2013 Download this article as a PDFAbstract

Несмотря на почти 30 лет исследований и применения практики информационной системы безопасности инженерии еще не начался экспонировать черты строгой научной дисциплины. Как cyberadversaries стали более зрелыми, сложных и дисциплинированными в их конспирации науки техники безопасности не успевает. Доказательства эрозии нашей цифровой безопасности,-на которой общество во все большей степени зависит от-появляется в новостях почти ежедневно.

В этой статье мы приводим программу исследований, призванных приступить к решению этого дефицита и перемещения информационной системы безопасности инженерии к зрелой инженерной дисциплины. Наш опыт свидетельствует о том, что существуют две ключевые области, в которых это движение должно начинаться. Во-первых следует разработать модель угроз, действия с точки зрения управления рисками и техники безопасности. Во-вторых следует разработать практические и соответствующие измерения безопасности основу для адекватного информирования процессов инженерно безопасности и управления рисками. Прогресс в этих областях особенно принесет пользу оценщики риска бизнеса/правительства, а также безопасности инженеров, выполняющих проектные работы безопасности, приводит к более точной, значимой и количественного анализа рисков и более последовательной и согласованной безопасности проектных решений.

Моделирование угроз, измерение безопасности являются сложные мероприятия, чтобы получить право-особенно, когда они должны применяться в общем контексте. Однако они являются решающими отправной точки, потому что они составляют основу научной практики безопасности инжиниринг. Решение этих проблем потребует более и более последовательной интеграции между суб дисциплинами оценки рисков и техники безопасности, в том числе новые инструменты для облегчения этой интеграции. В целом в пути преподается и практикуется принимать во внимание целостный подход с зрелой, научной дисциплины инженерии безопасности потребуются изменения.

Введение

Несмотря на почти 30 лет исследований и применения практика инженерии безопасности информационных систем еще не начался экспонировать черты строгой научной дисциплины (Cybenko и Ландвер, 2012). В результате невозможно до сих пор для изучения информационной системы и ответить на вопрос, «насколько безопасно это?» в научно значимой. Это серьезная проблема, поскольку все чаще, экономическое и физическое благополучие нашего общества зависит от безопасного проектирования и функционирования бизнеса, правительства и критической инфраструктуры информационных систем. Они появляются в почти каждый аспект нашей повседневной жизни, но мы на самом деле очень мало знаем о том, как они стоят вверх когда речь заходит о безопасности (Viega, 2012). Было бы поистине тревожным, чтобы задать вопрос «насколько безопасно это?» в отношении самолета, только чтобы обнаружить, что инженеры, ни сертификаторов действительно понял ответ. Тем не менее это именно ситуация, в которой сообщество безопасности информационных технологий сегодня.

Хотя большинство концепций и идей, найденных в этой статье применимы к технике защиты в целом, здесь мы используем термин «техника безопасности» с уделением особого внимания безопасности информационных систем. Таким образом в контексте этой статьи мы определяем безопасности инженерных как «искусство и наука о потребности в защите информации обнаружения пользователей и затем проектирование и создание информационных систем, с экономикой и элегантности, поэтому они могут смело противостоять силам, к которым они могут подвергаться» (Агентства национальной безопасности, 2002 год). Это определение имеет аналог в естественных науках, где «силы» являются естественными и безопасность является отсутствие или избежание телесных повреждений. Как мы видим, этот естественный аналог может сообщить при ответе на вопросы, такие, как «насколько безопасно это?» более точной и последовательной основе.

Проблемы

Мы видим две серьезные проблемы, сдерживает науки техники безопасности. Во-первых это в отличие от других инженерных областей в связи, что большинство «сил» быть моделированным вызвано субъектами человеческой угрозой с преднамеренным намерением, в отличие от сил из-за естественных и случайных причин. Таким образом первое крупное препятствие, стоящих перед инженерии безопасности является определение и поддерживать модель угрозы, которая может использоваться для вычисления или связаны эти «силы» таким образом, что приводит к последовательной инженерных решений. Это не означает, что модели угроз не существует. В самом деле как и зарождающегося этапы любой молодой научной дисциплины, есть много моделей, которые, к сожалению, может привести к несогласованности и дублирования усилий. Например в многих методологиях для оценки угроз и рисков, таких, как угрозы, согласованной и методологии оценки рисков, разработанной сообщений безопасности учреждения Канады и Королевской канадской конной полиции (КСЭД/КККП, 2007) и руководство для проведения оценок рисков, разработанных национальным институтом стандартов и технологий (NIST, 2012), заседатели являются тренером по разработке модели угроз. Конечно угроза аналитики не являются скорее всего, восстановить свои модели угроз каждый раз, когда они выполняют оценку. Скорее модели разрабатываются постепенно с течением времени и существенн основаны на индивидуальных знаний и опыта. Однако хотя может быть общность между моделями, созданные различными асессоров, несомненно нет гарантии, что это так. Это несоответствие (наряду с вариациями в схемах классификации, методологий, определений и терминологии) делает его сложным для проверки и повторного использования результатов, которые будут в конечном итоге сообщество к небольшой набор самых успешных моделей. Это сближение, которое является визитной карточкой зрелой науки, еще не произошло в рамках сообщества безопасности.

Таким образом мы утверждаем, что общая модель угроз должна быть основной целью инженерного сообщества безопасности. Эта модель должна определять угрозы и «силы» участвуют в пути, которые могут быть проверены и построено в течение долгого времени через repeatable качественного или количественного анализа. Такая модель также будет «действия» в том смысле, что результаты оценки угрозы будут указывать естественно вариантов дизайна для техники безопасности, что, прежде всего, может быть его основным показателем успеха. Такое обязательство будет конечно, требуют согласованных исследований и развития повестки дня, чтобы заложить общую основу, на которой проверка и уточнение может начать происходить.

Второй и потенциально более сложной проблемой является необходимость полезной основы для измерения безопасности. В настоящее время нет никаких практических, соответствующим способом измерения абсолютной безопасности информационной системы. На самом деле нет никакого четкого понимания что абсолютной безопасности средств (например, Pfleeger, 2012; Беме, 2010; Дэвидсон, 2009; Houmb и др., 2010; Savola, 2007; Pfleeger, 2007; Макхью, 2002). Абсолютная безопасность отличается от общей практики «измерения» соответствие системы требованиям произвольных безопасности. Хотя система может быть 100% совместимый с набором требований безопасности, в большинстве случаев имеется мало прямых доказательств того, что эти потребности фактически привести более «безопасной» системы. Очевидно безопасности измерения будет оказываться помощь в значительной степени от общей модели угроз, но два подхода являются взаимозависимые, поскольку моделирование угроз в конечном итоге потребует количественного измерения для того, чтобы продемонстрировать успех.

Мы рассмотрим оба этих проблем в следующих разделах и описать наше видение программы общинных исследований безопасности. Для обеих задач мы утверждаем, что наилучшим подходом является принимать сигналы от установленных дисциплин, таких как гражданские, механические или электротехники и аналогий, где это возможно. Мы считаем, что чем ближе мы обращаем эти параллели, яснее будет наше понимание того, где мы должны действовать далее.

Модель действия угроз

Общепринятой моделью преднамеренных угроз центральное значение для улучшения безопасности инженерной дисциплины. Наиболее важным аспектом такой модели является осуществимое с инженерной точки зрения. То есть при определении требований безопасности и разработки на основе рисков предприятия, модель поможет последовательно и согласованно определить набор вариантов дизайна – наряду с контроля безопасности и их необходимый уровень осуществления гарантии – которые могли бы достичь целей, определенных владельцем системы с точки зрения затрат, оперативную полезность и толерантность к риску. Это, конечно, аналогично использованию стандартных инженерных моделей во время разработки (например, высокая частота антенны дизайн).

Типичные методологии оценки угроз и рисков, таких, как угрозы, согласованной и методологии оценки рисков (КСЭД/КККП, 2007) и NIST руководство для проведения оценки риска (2012), как правило, сосредоточены на получении информации, касающейся риска решений. В этих оценках потенциально длинный список угроз актеров или сценариев угроз создается для оценки угрозы атрибутов и рассчитать вероятность риска. Другими словами мотивация оценивается для целей определения вероятности нападения. Немногие, если таковые имеются, угрозы атрибуты определены и оценены так, что намеренно помогает с выбором вариантов дизайна или контроля безопасности, или это помогает определить уровни гарантии осуществления.

Для того чтобы достигнуть модели осуществимое угроз, существует два фундаментальных изменений, которые должны быть сделаны для способа оценки угроз. Во-первых акт выполнения оценки угрозы должны быть отделены от акта выполнения оценки рисков. Существующие угрозы и оценки риска рамки делают мало различия между этими видами деятельности. Хотя они имеют общие элементы, каждое действие требует набор различных навыков и целей различных аудиторий. Во-вторых угрозы следует оценивать на основе (по крайней мере на начальном этапе) возможностей, которые угрозы актер может wield, а не атрибутов, которые относятся к субъектам угрозы (например, мотивация, намерения, неприятие риска, готовность инвестировать время). Актер специфические атрибуты более надлежащим образом рассмотрены в ходе оценки рисков. Мы исследуем возможности подхода в следующих разделах.

Оценка угроз на основе атрибутов актера угрозы

Как правило методологии оценки угрозы начала спрашивать, какие угрозы субъекты могут атаковать информационную систему. В некоторых случаях угрозы субъекты могут исключаются из рассмотрения если вероятность атаки считается весьма отдаленной. Чаще всего эта вероятность используется для состояния потенциальный риск от злоумышленника вниз (травмы от нападения не меняется, только масштабы нерешенных рисков). Этот подход устанавливает границы на расходах безопасности, как с точки зрения денег и ограничения оперативной свободы и фокусы ограниченные ресурсы, где значительный ущерб, как ожидается, будут происходить.

Вероятность того, что угроза актер будет атаковать часто определяется путем изучения некоторые атрибуты, такие как возможности актера (какие виды атак они способны делать), мотивы и намерения, отвращение к риску, готовности вкладывать время и усилия, уровень доступа, и др. Сложность такого подхода заключается в том, что многие из этих атрибутов не могут быть точно смоделированных или оценены, потому что они часто со временем могут меняться или они основаны на сложных психических состояний или моделей поведения. Как следствие оценки на основе этих атрибутов имеют большие неопределенности, что делает ожидание где будет происходить значительные травмы менее точным.

Более серьезной проблемой с этим подходом является, что аналитик должен разработать исчерпывающий перечень субъектов реальной угрозы и их атрибуты для того, чтобы обеспечить все сценарии угрозы. Однако трудно рассуждать о полноте этого списка, как это продемонстрировано такие события, как взрыв в Оклахома Сити, нападения 11 сентября, Фукусима Daiichi ядерной катастрофы и Лак Мегантик крушение.

В ходе составления этого перечня субъектов реальной угрозы, аналитик должен также подумать, перечисление и оценить возможности угрозы актера – способы, в которых каждая угроза актер может атаковать систему. Как показано на рисунке 1, проблема с этим подходом является, что возможности могут быть пропущены, если, например, эксперт не рассматривать все возможные сценарии актер или если субъекты угрозы не являются должным образом потому, что они рассматриваются как маловероятно атаковать. Некоторые из этих неопознанных возможностей, если может crippling к Организации. Это откровение не обязательно будет предана очевидным, думая только об угрозе актеров. It is also natural to assume that even those threat actors that have been considered will evolve over time and that some may come into possession of more sophisticated, or even as-yet unidentified capabilities. Только хорошо дисциплинированные, частые обновления оценки угрозы участников будет иметь возможность отслеживать эту эволюцию. В следующем разделе мы утверждаем, что лучшим подходом будет основывать оценку угрозы по возможности вместо самих субъектов угрозы.

Рисунок 1

Рисунок 1. Могут упускать из виду возможности от неизвестных угроз субъектов

Оценка угроз на основе угрозы актер возможностей

Вместо того, чтобы моделирование характеристик угрозы субъектов, таких, как их мотивации и намерения, ресурсы и толерантность к риску, мы предлагаем, что оценка угрозы должны быть сосредоточены на возможностях, которые могут быть использованы для атаки на систему. Используя этот подход, возможно (хотя и потенциально сложные) для: i) разработать более исчерпывающий обзор потенциальной угрозы, ii) рассуждать о полноте анализа и iii) выявить потенциальные пробелы в наших знаниях. Подход, основанный на возможности также предполагает усилия сообщества поскольку конкретной системы информации не должны быть разглашены. Учитывая, что возможности можно оценить в общем контексте, материал будет весьма многократного использования. Последнее преимущество такого подхода является, что она обеспечивает общий интерфейс между нападениями угроз субъектами и контроля, необходимых для эффективной борьбы с ними, как показано на рисунке 2.

Рисунок 2

Рисунок 2. Субъекты угрозы связаны к элементам управления через свои возможности

Но что мы подразумеваем под угрозой актер возможности? На наш взгляд потенциал состоит из вектора и уровня сложности. Проще говоря способность вектор определяет грубой таксономии атаки на информационную систему (рис. 3). Возможность вектор определяет где, как и что. Эти поля вектора возможности могут включать:

  1. Режим доступа: Это поле определяет средства, получить доступ к целевой системе. Прямые режимы включают физические, персонал, логические и электромагнитные. Косвенные режимы включают прямые режимы, которые применяются к элементам жизненного цикла системы (например, разработка системы, обновления программного обеспечения, замена оборудования и системы поддержки операций). Косвенные режимы потенциально являются рекурсивными и обычно относятся к цепи поставок системы.
  2. Слой: Вектор возможности будет призван действовать против одного или нескольких архитектурных «слои» в системе, например приложения, данные, операционная система, виртуализации, сети, прошивки и аппаратного обеспечения.
  3. Вид и тип: Эти поля определяют общее имя или группирования для конкретных возможностей для обеспечения семантической совместимости с общей терминологии для различных атак. Поле Тип может следовать число вложенных типов полей для дальнейшего различения возможностей. Пример из материала, который можно найти в поле Тип может включать категории верхнего уровня, найденных в общей атаки шаблон перечисления и классификации (CAPEC).
  4. Информация операции: Это поле является необязательным, но может быть полезно как способ группировки или индексации атак, которые имеют аналогичные последствия. Поле информации операция намекает на почему данная возможность может осуществляться (то есть, его намерения). Вектор возможности может принадлежать к более чем один тип информации операции. Потенциальные категории включают отрицать, эксплуатировать (инфильтрат, exfiltrate), разведать, обмануть, и др.

Рисунок 3

Рисунок 3. Возможности модели угроз

Следует отметить, что эта разбивка является лишь рекомендуемой отправной точкой. Больше, меньше или различных категорий могут быть необходимы, по мере развития платформы.

Второй элемент возможности определяется его изысканностью. Например рассмотрим возможность отказа в обслуживании. Распределенная версия этой возможности можно выполнить с помощью программного обеспечения, загруженных из Интернета и из десятков компьютеров. Же возможности могут быть запущены с 5000 компьютеров, распределенных по всему миру, используя код, использующий ранее неизвестные уязвимости. Различия между этими возможностями являются: i) уровень сложности, необходимых для настройки и выполнять их и ii) набор элементов управления, необходимых для предотвращения или ограничения успешного использования возможностей системы (а также строгость, с которой они разработаны, реализованы и эксплуатация).

Таким образом просто определить вектор возможностей недостаточно. Чтобы заполнить оценки угрозы, безопасности, эксперты должны также определить, если имеют отличительные особенности (или атрибуты) которые делают же вектор возможности труднее обнаружить или предотвратить и затем определить, какие варианты существуют для решения этих более сложных вариантов (например, элементы управления, изменения архитектуры). На рисунке 3 мы делим изысканность на семь различных уровней в соответствии с первоначально предложенным в агентства национальной безопасности информации обеспечения технической основы (НГБ, 2002). Однако мы пока не определили что бы стоит набор отличительные изощренности атрибутов, хотя мы подозреваем, что они могут быть в некоторой степени зависит от особенностей каждого вектора индивидуальных возможностей.

Важно подчеркнуть, что определение градуированной уровня сложности приводит к выбору элементов управления безопасностью и варианты, которые, как правило, более дорогие и более оперативном плане ограничение, как одно двигает вверх по шкале сложности конструкции. Такой подход обеспечивает оценщики риска с более четкой информацией относительно компромисса между угрозой смягчения последствий и затрат.

Как окончательное примечание важной особенностью подхода на основе возможностей является, что он имеет некоторый интеллектуальный потенциал. То есть если мы все комбинации первого атрибута со вторым, а затем третий атрибут, мы получаем вселенную комбинаций возможных возможностей. Некоторые комбинации будут не имеет смысла и могут быть проигнорированы в то время как другие будут иметь достаточно доказательств, чтобы показать, что они активно используют угрозы субъектами на различных уровнях сложности (например, логический доступ, операционной системе, троянец, инфильтрат). Другие комбинации будут появляться странно незнакомых, либо потому, что они никогда не использовали, или они осуществляются, но никогда не были обнаружены публично (например, электромагнитное, оборудование, аудио скрытого канала, exfiltration). Таким образом возможности векторы должны сказать нам, где мы должны искать доказательства нападения и, как следствие, где актеры угрозы может выглядеть для того, чтобы найти новые возможности для расширения их возможностей.

Рисунок 4 иллюстрирует фиктивный набор возможностей, относящиеся к отказу в операции. Для каждой возможности вектора есть семь ячеек, в которых можно получить информацию о сложности. Именно какая информация должна содержаться в каждой ячейке, и как она определяется является проблемой фундаментальных исследований. Чтобы удовлетворить заседатели риска необходимо количественно определить «потенциал» для атаки с использованием данной возможности, мы предлагаем три общие категории следующим образом:

  1. Возможность наблюдается использование хотя бы одной угрозой актера на данном уровне сложности (например, черные ящики, помеченные «O» на рис. 4).
  2. Возможность была продемонстрирована на Конференции, такие, как DEF CON, но пока не наблюдается «в дикой природе» (то есть хешированных серые поля с пометкой «D» на рис. 4).
  3. Возможность, как известно, существует на заданном уровне сложности, но не наблюдается (например, темные серые поля отмеченные с «E» на рис. 4); Примером может служить ядерные генерируемые электромагнитного импульса.

Рисунок 4

Рисунок 4. Пример угрозы возможности для фиктивного набора векторов

Многие возможности следовать «товаризации» жизненный цикл, в котором они создаются на высоких уровнях сложности, но впоследствии производятся проще реализовать и становятся все более доступными на более низких уровнях сложности. Это может быть представлено на рисунке 4 как тепловую карту и может предоставить ценную информацию для оценщиков рисков при рассмотрении вопроса о необходимости контроля безопасности в течение длительного периода времени.

С инженерной точки зрения каждая ячейка должна сопоставить набор мер безопасности, механизмы, стратегии, безопасности шаблонов проектирования и гарантии выполнения требований, которые были показаны (предпочтительно на основе количественного анализа) для эффективного противодействия угрозы потенциала на указанном уровне сложности.

Вне зависимости от типа информации, включенной с каждой ячейкой, фундаментальные исследования проблемы выглядит следующим образом: учитывая после инцидента анализ угрозы событие (или анализ, основанный на уязвимости исследовательской работы), как мы определяем, какой уровень сложности представлено? Мы рассматриваем это как сложная задача, потому что это будет обязательно субъективным упражнения (по крайней мере в начале). Однако существуют теоретические и практические подходы, которые могут помочь уменьшить вариации и неопределенности, представленного этой субъективности.

Измерение безопасности

Второй ключевой задачей, стоящей перед инженеры информационной системы безопасности является трудность в деле измерения безопасности в практическом и соответствующим образом (Pfleeger, 2007). Существует значительный объем исследований по данному вопросу, но все исследования, как представляется, сбой одного или обоих испытания практичности или значимости (например, Lundin соавт., 2006; Голени и др., 2011). Если это не так, мы бы рабочее решение сейчас. Возможность измерения безопасности полезным способом является абсолютно решающее значение для улучшения техники безопасности как дисциплина, поскольку измерение является основой научного подхода.

Почему трудно измерение

Измерение безопасности является сложной задачей для целого ряда причин. Прежде всего это проблема четко определить, что подразумевается под термином безопасности. Кравцевич, Мартинелли и Yautsiukhin (2010) отмечают, что «мы не имеют широкое признание и недвусмысленное определение», позволяет нам идентифицировать одну систему как более безопасным, чем другой. Однако определение безопасности часто зависит от точки зрения и контекста; Это означает разные вещи для разных людей в разных ролях. Таким образом мы считаем, что есть множество определений, которые могут все быть одинаково полезны в их собственном контексте. Например противоречащие цели безопасности могут возникнуть при рассмотрении Организации необходимо отслеживать и контролировать, что происходит на их системах против работника необходимости правовой защиты. Тем не менее поскольку определение безопасности будет иметь значительное влияние на то, как измеряется, важно обеспечить, что он выбирается надлежащим образом и последовательно использовать.

Вторая трудность заключается в что, независимо от того, как они определены, свойства безопасности фактически должны быть измеримыми, и эти измерения должны быть практичными для получения. Существует три типа измерения безопасности информационной системы безопасности должна быть связана с:

  1. Техника измерения: Эти измерения используются инженерами для создания моделей, которые «обеспечивают официальное представление (например, наборы уравнений), который наилучшим образом соответствует безопасности для систем рассматриваемых» (Verendel, 2010). Это же виды измерений, которые можно было бы ожидать от, например, стресс и напряжение анализ различных материалов в гражданском строительстве.
  2. Измерение соответствия: Эти измерения устанавливают степень, к которому информационная система соответствует набору спецификаций, полученных от требования к функциональности и гарантии безопасности. На протяжении всего процесса развития системы обычно производится измерение соответствия. Примеры этих типов измерений приведены в «обзор управления рисками безопасности ИТ: Жизненный цикл подход» (КСЭД ITSG-33: Приложение 2, 2012 г.) и общие критерии.
  3. Оперативные измерения: Эти типы измерения обеспечивают метрики для отражения производительности оперативной безопасности информационной системы. Примеры включают покрытие управления исправлениями, среднее время для смягчения, и др. Связанные ресурсы включают 27004:2009 ISO/IEC стандарт для методов измерения в области информационной безопасности и метрики, используемые центром для Интернет-безопасности.

В этой статье мы обеспокоены главным образом с измерением инженерных потому, что это является необходимым условием для продвижения науки техники безопасности. К сожалению такого рода измерения также представляется наиболее трудно получить в виде количественной (Wang, 2005; Verendel, 2010). Они требуют общей, объективного масштаба и измерительного прибора, и оба должны быть приняты широко через инженерно безопасности сообщества для того, чтобы получить тяги (Залевски соавт., 2011). Инженерия безопасности не хватает этих количественных стандартов, в первую очередь потому, что безопасность часто выражается в абстрактном.

В отсутствие количественных измерений качественных оценок использовались для получения метрики безопасности. Качественные оценки могут быть лучшее что техника безопасности может достичь до представления надлежащих количественных мер. К сожалению субъективность подразумевает несоответствие, которое является неприемлемым в научно обоснованной дисциплины. Хотя это может оказаться невозможным для искоренения субъективности в целом, есть, безусловно, способы свести его к минимуму. В некоторых отношениях мы выступаем за такой же подход (но на гораздо большем масштабе), что Национальный институт стандартов и технологий (NIST) с шифрованием. NIST упорядочивает алгоритмы шифрования по размер ключа по количеству «бит безопасности» которые они предоставляют. Масштаб номинально цель, но алгоритм размещения на шкале является результатом экспертной оценки по одной или нескольких криптографических математиков, которые оценивают «объем работы» необходимо для того, чтобы взломать зашифрованный с помощью алгоритма с заданной длиной ключа (NIST 800-57: Версия 3, 2012). Здесь измерение является субъективным сконструированного масштаба и клиенты используют это как инженерное измерение для составления их конструкции.

Третья задача безопасности измерения является понятие гарантии. В приведенном выше примере криптографии мы смотрели на измерения с точки зрения ответа на «как сильно это?», но мы не задавали вопрос «как хорошо это работает?» Без решения гарантии впустую усилия в решении безопасности. For example, although an encryption algorithm may have strong conceptual security (i.e., theoretical strength), if the algorithm is implemented incorrectly, then its actual security (i.e., robustness) is weak.

Гарантии измерения не считается широко как сила в сообществе исследований безопасности. Исключения включают криптографические оценки после Федеральный стандарт обработки информации (FIPS 140) и общие критерии обеспечения требований. Этот недостаток внимания к обеспечению измерения, вероятно, из-за того, что она, как представляется, еще более абстрактным и (в большинстве случаев) более субъективным, чем измерения силы безопасности. Генерации и передачи информации гарантии «стандартизованного» будет способствовать сокращению субъективности, и это в центре внимания хотя бы один объект управления группы спецификации (Александр соавт., 2011). Однако сочетание информации о гарантии и прочности в составной меры безопасности должны подвергаться дальнейшего анализа и проверки. Некоторые работы было достигнуто в этом направлении с понятием «надежности» в КСЕД ИТ руководство по безопасности (КСЭД ITSG-33: Приложение 2, 2012 г.), технических рамок обеспечения информационной (Агентства национальной безопасности, 2002 год) и некоторые профили защиты общих критериев.

Забегая вперед

По вопросу о проведении исследовательской повестки дня, которая касается безопасности практические и соответствующие измерения, мы предлагаем простой подход: рассмотреть техники безопасности в отношении других зрелых инженерных дисциплин и как много аналогий, насколько это возможно. Этот подход выступает перед Залевски и коллегами (2011), которые считают, что продвижение вперед требует «более тесной увязки оценки безопасности с концепций, разработанных в измерение науки и физики». Где это аналог в технике безопасности не существует, или не переводить легко, то мы имеем элемент для добавления программы исследований. We suspect this might help identify the form that measurements should take.

Например гражданских инженеров создания структур, которые существуют в определенном контексте угрозы. «Грузы» (с точки зрения силы) применяются в трехмерном пространстве – часто вниз с тянуть гравитации, но иногда в других направлениях из-за других природных или антропогенных сил. Масштабы и размах этих нагрузок прямо пропорционально к определенным уровням в рамках каждого события угрозы; например «F2 торнадо» или «Cat3 ураган». Уровни минимальной нагрузки для определенных угроз событий определяются регулирующими органами и оказывают воздействие на пути структура сконструированная и разработан (например, минимальное расстояние между несущей членов). Нерегулируемые угрозы события могут представлять особый интерес для определенных клиентов и сил бороться с этими угрозами могут быть указаны как дополнительные требования (например, болларды напротив федеральных зданий).

Естественной безопасности аналогового «нагрузки» предоставляется спектр угроз изощренности, что мы предложили ранее. Однако хотя мы подразумеваем, что «нагрузку» на вектор возможности угрозы на уровне сложности 7 «больше», чем уровень 6, мы не имеем четкое понимание, что «сил» применяются угрозы против инфраструктуры системы информации и какие последствия они могут иметь. Устранение этих пробелов в нашем понимании может помочь нам в разработке инженерных метрик, которые необходимы для продвижения науки техники безопасности.

Собирая все вместе

В следующих разделах мы наметим несколько конкретных областей, где можно ожидать улучшения в результате приема на программы исследований, предложенных в этой статье.

Композитный безопасности

«Святой Грааль» техники безопасности должен быть в состоянии ответить на проблему композиции (Ирвайн и РАО, 2011; Датта и др., 2011). То есть с учетом информационной системы архитектуры или дизайна состоит из дискретных безопасности и компонентов, не относящихся к безопасности, решение проблемы композиции позволит нам определить общую безопасность информационной системы. Проблема композиции является общим плач в области информационной безопасности; «Мы просто не имеют теоретические основы для оценки безопасности системы в целом» (Макхью, 2002). Однако проблема композиции не может быть решена без измерения и измерения не может быть выполнена без модели угроз общепринятой.

Разработка безопасности обязательных требований

Имея научно обоснованной угрозы модель и безопасности измерения рамок позволит сообществу безопасности оказывать влияние на развитие стандартов безопасности, которые основаны на прочных инженерных принципов. В гражданском строительстве (и, конечно, других инженерных дисциплин) события угроз, которые могут представлять риск для безопасности включены с течением времени в стандарты, кодексы и правила. Эта информация, почерпнутые из инженерного измерения и, в некоторых случаях, впечатляющие неудачи, такие как Тэкомский мост. Отличительной чертой зрелых технических наук является возможность исследовать и извлечь уроки из этих неудач и перерабатывать эту информацию в учебные программы, кодексы и правила.

Техника безопасности, как представляется, имеют несколько близко эквиваленты требований, указанных в кодексах и правилах – Антивирус и механизмы контроля доступа, как представляется, быть стандартным требованием в большинстве спецификации системы, хотя они отнюдь не являются обязательными. Для того, чтобы начать внедрение контроля безопасности в стандартах безопасности (особенно, если они очень дорого), необходимо тщательно понять эти элементы управления с точки зрения инженерных наук.

Учебная программа безопасности Инжиниринг

И наконец мы отмечаем, что многие учебные программы, предлагаемые для техники безопасности в колледже или университете являются просто вычислительной техники или компьютерных науках, которые посыпают темы в области безопасности, гарантии и, к сожалению, оценка или риска управления рисками (например, Hjelmås и Wolthusen, 2006; Пожилые и подбородок, 2012; Ирвин и Нгуен, 2010). Насколько нам известно, нет никакой учебной программы, которая стремится построить (или построить на) набор математических (или хотя бы более формальных) моделей, которые позволяют композитный безопасности информационной системы в повторяемым, значимым образом. Мы подозреваем, что это из-за отсутствия понимания о том, где именно для того начать.

Заключение

В этой статье мы широко изложили программу исследований, которые с достаточным усилием, поможет начать процесс размещения техники безопасности для информационных систем на основе эквивалентных других зрелых инженерных дисциплин. Были выявлены две важные области, требующие внимания: угрозы моделирования и инженерно безопасности измерения. Мы утверждали, что эти районы являются критические отправной точки, поскольку они затрагивают почти все аспекты техники безопасности и в целом области ИТ-безопасности. Кроме того мы считаем, что для того, чтобы быть успешным, эти области исследований должны выполняться многопрофильной группой экспертов. При принятии этой программы исследований, есть значительные возможности для значительных изменений в позе безопасности существующих и будущих информационных систем. И при этом, безопасность и неприкосновенность частной жизни канадцев и надеемся, что они вкладывают средства в информационные системы предприятий, правительств и критической инфраструктуры информационных систем также позитивно скажется.

Выражение признательности

Мы хотели бы поблагодарить Ларри Стоддард за его вклад и идеи в этой работе.

Доля этой статьи:

Цитируете эту статью:

Оцените содержание: 
Нет голосов были поданы еще. Скажи свое слово!

Ключевые слова: кибербезопасности, информационной системы безопасности инженерии, исследования, управление рисками, техника безопасности, измерение безопасности, моделирование угроз

Добавить новый комментарий

Обычный текст

  • Теги HTML не разрешены.
  • Адреса электронной почты и адреса страниц включите в ссылки автоматически.
  • Строки и параграфы переносятся автоматически.