Security by Obscurity

Представьте: вы прячете ключ от офиса под цветочным горшком на этаже. Дверь закрыта на замок, и вы надеетесь, что никто не догадается искать ключ рядом. Другой пример: в поездке президента сопровождает несколько машин – так, никто не знает точно, в которой из них едет глава государства. Это и есть Security by Obscurity – попытка защитить что-то ценное не за счет надежных механизмов, а за счет секретности или сложности обнаружения. Собственно об этой кибербезопасной концепции мы сегодня и поговорим.

Принцип Security by Obscurity подразумевает, что любая информационная система безопасна до тех пор, пока уязвимости остаются скрытыми. Эти лазейки в безопасности системы должны оставаться неизвестными для всех, кроме определенного круга лиц, например, разработчиков и архитекторов или как в случае из первого абзаца поста – только для сотрудников офиса.

В практическом кибербезе этот подход может быть реализован по-разному. Можно использовать обфускацию кода, вместо понятных имен переменных использовать случайные символы, скрыть названия внутренних систем или использовать неочевидные пути доступа к данным, например, через промежуточные идентификаторы и системы-прокладки.

В обычной жизни мы тоже часто полагаемся на неочевидность: прячем файлы в папке с невинным названием ☕, используем псевдонимы и не указываем телефон в соцсетях (но используем ФИО и номер везде при регистрации, да).

Главная опасность Security by Obscurity – ложное чувство безопасности. Когда вы верите, что спрятанное = защищенное, вы можете игнорировать реальные меры: сложные пароли, двухфакторную аутентификацию или своевременное обновление ПО. Если злоумышленник целенаправленно ищет лазейку, Security by Obscurity его не остановит. Хакеры же используют автоматизацию, сканеры, ботов и социнжиниринг, чтобы быстро находить "спрятанные" слабости.

Из-за этого в среде ИБ давно сложилось мнение, что "безопасность через неясность – это плохо". Так ли это на самом деле? Если вы хотите защитить свою систему только с помощью Security by Obscurity, то, очевидно, что это плохая идея: если "секрет" раскроется (а это вопрос времени), защита рухнет мгновенно. Настоящая безопасность – это слои, как матрешка (ну вы поняли). Obscurity – лишь один из них, который помогает снизить вероятность взлома.

⚡ Пакет Безопасности 😎 Security Club 🛍 Наши проекты


В этом посте были ссылки, но мы их удалили по правилам Сетки

repost

4

input message

напишите коммент

еще контент в этом сообществе

еще контент в этом соообществе

войдите, чтобы увидеть

и подписаться на интересных профи

в приложении больше возможностей

пока в веб-версии есть не всё — мы вовсю работаем над ней

сетка — cоциальная сеть для нетворкинга от hh.ru

пересекайтесь с теми, кто повлияет на ваш профессиональный путь