web-dev-qa-db-fra.com

Ignorer une menace que vous ne pouvez pas défendre contre une stratégie valide?

Étant donné que vous ne pouvez parfois pas vous défendre contre une forme de menace, est-il alors valable d'ignorer cette menace? Au lieu de se défendre contre la menace, atténuez simplement le symptôme.

Un exemple de cela vient de la distribution des médias, où DRM a été moins qu'efficace pour protéger les données. En fin de compte, rien n'empêche le client de contourner la protection car, en fait, elle doit être non défendue à un moment donné pour la visualiser.

Bien que le cas particulier ci-dessus soit bien connu, certains cas analogues pourraient ne pas être aussi bien connus. Étant donné que l'élaboration d'une mesure de protection peut coûter trop cher, quand suggère-t-on au client:

  • ignorer la menace pour la sécurité
  • changer le modèle commercial en un modèle qui éloigne la menace
27
joojaa

Vous n'ignoreriez jamais une menace, et c'est peut-être de la sémantique sur votre formulation. Vous acceptez, atténuez ou sous-traitez le risque pour la menace donnée. Dans ce cas, ce serait:

  1. accepter qu'il y aura une perte de X $,
  2. atténuer le DRM fixe ou trouver un DRM alternatif pour protéger le produit, ou
  3. externaliser en utilisant une assurance ou placer le risque sur quelqu'un d'autre de la même manière que l'assurance.

Dans votre cas, si 1) n'est pas acceptable, ils doivent passer à 2 ou 3 comme alternative.

39
turagittech

TL; DR: NO (mais nous devons définir ce que signifie "ignorer"; d'après le texte de la question, je pense que nous sommes en fait du même avis) .

Vous n'ignorez pas une menace. L'ancienne scie dit que vous ne craignez pas une menace que vous ne pouvez pas éviter - stultum est timere quod vitare non potes , car la peur ne vous servira à rien.

Mais peu de menaces sont totalement inévitables dans tous leurs aspects et conséquences, et ne bénéficient pas du tout de la considération, de sorte qu'il ne reste plus qu'à gagner du temps en les ignorant.

Vous ne pouvez pas éviter la mort par exemple, mais vous vous efforcez toujours de la retarder autant que possible avec la médecine et le mode de vie; vous le planifiez avec des assurances et un testament; vous atténuez ses conséquences sur les personnes dont vous vous occupez, et si et lorsque cela est possible et légal, vous essayez d'atténuer les conséquences sur vous-même (ces conséquences vous pouvez).

C'est exactement la même chose avec des menaces moindres (moins les implications religieuses).

Vous commencez par définir la menace et sa surface d'attaque. Vous évaluez ensuite si vous pouvez, et à quel prix, réduire cette surface d'attaque. C'est là que la partie "repenser le modèle d'entreprise" pourrait entrer en jeu. Ou même "abandonner complètement le projet" ou "le laisser tomber sur quelqu'un d'autre".

Ensuite, vous savez que vous avez une vulnérabilité, mais cela vous pose toujours le problème de déterminer si cette vulnérabilité est exploitée, et combien, et quels sont les dommages réellement est. Dans le scénario de duplication de contenu, cela signifierait le déploiement d'un capteur capable de vous dire ce qui est copié illégalement et combien. Dans plusieurs juridictions, vous ne pouvez rien faire tant que vous ne pouvez pas quantifier un préjudice économique ou son risque.

Connaître les dommages (réels et potentiels) est également essentiel pour choisir une stratégie. Vous pouvez choisir de ne rien faire (mais continuer à surveiller!) Si les dommages s'avèrent minimes et susceptibles de rester minimes; ou si les dommages ont également un côté positif - par exemple: la copie illégale d'un logiciel signifie également qu'il existe une base d'utilisateurs illégaux qui ne serait pas autrement présente, et qu'une partie de cette base d'utilisateurs doit devenir légitime à un moment ou à un autre . Pensez à une suite bureautique que vous connaissez illégalement quand vous êtes étudiant, puis proposez-la dans votre CV et/ou influence les choix d'achat d'une grande entreprise (vont-ils avec UnknownOffice v1.0? Ou préfèrent-ils WellKnownOffice 1.0? réflexion sur la disponibilité des utilisateurs qualifiés - et, par conséquent, sur leurs salaires). Vous "perdriez" beaucoup d'utilisateurs que vous n'auriez jamais gagnés de toute façon - une perte virtuelle énorme, une perte de revenus nulle - et gagneriez des utilisateurs que vous n'auriez pas eu autrement. Vous devrez peut-être toujours examiner une licence pour les particuliers ou les étudiants, ou offrir un essai gratuit ou une version limitée ouverte, mais le fait est que dans ce cas, votre "menace" serait en fait d'aider vous.

Si les dégâts se révèlent énormes, vous pouvez envisager d'autres stratégies (éventuellement politiques - la législation ne peut-elle pas être modifiée pour rendre les poursuites possibles? - ou techniques - que diriez-vous d'un système de dongle? Fournir uniquement des flux en direct à des utilisateurs authentifiés? propre système de visualisation incompatible? - ce sont toutes des options très coûteuses qui auraient également un impact sur la diffusion, vous avez donc besoin de données solides pour justifier même de les considérer).

Ensuite, un dommage ne signifie pas que vous l'acceptez passivement. Certaines parties des dommages pourraient être contenues ou autrement limitées, réduites ou leur impact atténué d'une manière ou d'une autre.

Vous pouvez adopter de manière proactive des stratégies conçues pour désamorcer une partie du danger ou le refléter sur la source. Il suffit de tirer le vent ici, mais si vous publiez régulièrement une version de qualité inférieure d'un contenu numérique après un certain temps après la sortie officielle, vous êtes obligé de démotiver gravement une fraction importante des copieurs illégaux (ainsi que, dans certaines juridictions, de faire cas plus difficile pour ceux qui copient). Cela diminue la disponibilité des copies illégales et peut augmenter les revenus. C'est n théorie, bien sûr: il faudrait le mettre à l'épreuve. Et puis peut-être expérimenter différentes qualités et délais pour voir lequel est le plus efficace. Vous pourriez mettre des primes sur les lanceurs d'alerte: je me souviens d'un programme anti-piratage dans lequel vous pouviez transformer une licence piratée en licence légale presque gratuitement, à condition de produire une preuve d'achat du matériel piraté . Cela n'a rien contre le piratage domestique, mais le risque de fournir illégalement des logiciels à une petite/moyenne entreprise était énorme; quoi que vous ayez facturé pour le logiciel, vous ne pourriez jamais battre une licence à coût nul.

14
LSerni

Il existe quatre stratégies de base pour contrôler les risques:

  1. Évitement: application de mesures de protection qui éliminent ou réduisent les risques non contrôlés restants pour la vulnérabilité
  2. Transfert: transfert du risque vers d'autres domaines ou vers des entités externes
  3. Atténuation: réduire l'impact si la vulnérabilité est exploitée
  4. Acceptation: comprendre les conséquences et accepter le risque sans contrôle ni atténuation

Et 'Acceptation' est différent de 'Ignorance'.

10
Arief Karfianto

S'il y a un risque, il ne disparaîtra pas simplement si vous l'ignorez. Si le risque est suffisamment faible, il est peu probable qu'il se produise et vous pouvez probablement l'ignorer. Cela fait partie de la gestion des risques habituelle, c'est-à-dire qu'il n'y a pas de système entièrement sécurisé.

Mais si le risque est suffisamment grand, ignorer ce sera une mauvaise idée. Ainsi, alors que l'ignorance est dans ce cas encore une stratégie valable, elle peut être considérée comme une stratégie inutile. Il serait préférable de s'attaquer au risque. C'est à dire. dans votre exemple avec DRM, cela pourrait être un changement de modèle commercial ou un lobbying pour des modifications du système juridique afin de réduire vos propres risques en augmentant le risque des attaquants.

2
Steffen Ullrich

Plutôt que d'ignorer, je vous suggère d'évaluer la menace, de déterminer les pertes et de déterminer le coût de la défense contre la menace.

Si le coût de la défense est supérieur aux pertes, il est valable de choisir d'accepter les pertes de la menace sans développer de stratégie pour faire face à la menace.

Comme d'autres le soulignent, il existe de nombreuses façons de gérer les menaces qui ne coûtent pas cher. À titre d'exemple, la menace DRM est gérée en utilisant la pression sociale sous la forme de publicités, "Vous ne voleriez pas une voiture ...", et des poursuites judiciaires bien connues suggérant que les utilisateurs risquent de risquer leurs finances s'ils brisent le DRM.

Certains chercheurs en sécurité limitent leurs défenses à des solutions principalement techniques, mais il existe de nombreux autres outils à la disposition du chercheur à l'esprit ouvert.

1
Adam Davis

Vous ne devez pas "ignorer" une menace simplement parce que vous ne pouvez pas l’empêcher. Les menaces ont deux faces: l'avant et l'après. "Après" existe toujours si vous ne pouvez rien faire pour "avant".

Par exemple, le déni de service est très difficile à empêcher. Si un attaquant déterminé avec suffisamment de ressources (ou un attaquant déterminé stupide avec certaines ressources) décide de vous récupérer, il n'y a pas grand-chose que vous puissiez faire au-delà de la fermeture de votre site, payez pour une tonne de bande passante supplémentaire à l'avance, ou espérez que votre hébergeur/FAI utilisera certaines de leurs ressources pour vous aider.

Vous pouvez toutefois tenter d'atténuer les effets en cas de déni de service. Bien que les sites Web purs ne puissent pas faire grand-chose de cette façon, un logiciel qui nécessite un contact avec un site Web est un exemple où cela est possible. Supposons que vous ayez un programme qui stocke des données sur un serveur. Vous pouvez intégrer la capacité de gérer le site (ou le réseau, si le problème est du côté de l'utilisateur) en panne en stockant temporairement les données localement et en limitant les fonctionnalités qui nécessiteraient le téléchargement de nouvelles données.

Cela permet d'atténuer les effets du déni de service sur votre logiciel, même si vous pouvez faire peu pour l'empêcher. Ignorer simplement la menace suggère que vous ne devriez pas tenter de tels efforts d'atténuation.

Bien sûr, il existe des cas où même l'atténuation des effets est difficile, voire impossible. Comme je l'ai suggéré, les sites Web ont peu de choses à faire à part descendre ou augmenter la facture de bande passante tout en répondant lentement. Dans ce genre de cas, peut-être que "ignorer" pourrait être appliqué - bien que "accepter que vous ne puissiez rien faire pour atténuer le problème" pourrait être un terme plus politique et verbeux pour cela.

Dans une certaine mesure, c'est aussi une question d'échelle. Si vous dirigez une énorme entreprise informatique/Web, comme par exemple Google, vous pourriez avoir plus d'options dans l'exemple continu de déni de service que Mme Smith's Pastries Online, comme une implication directe des forces de l'ordre et diverses astuces techniques en coulisses.

J'ai principalement utilisé le DoS car c'est un exemple classique d'une menace difficile ou impossible à prévenir, mais vous pouvez appliquer un processus de raisonnement similaire à presque tout.

Je pense qu'un point intéressant à noter, puisque vous avez mentionné la GRC, est que parfois vos efforts d'atténuation peuvent avoir des coûts; dans ce cas, il s'agit d'une diminution de la satisfaction des utilisateurs et des mauvaises relations publiques. Dans certains cas informatiques purs, il peut s'agir d'une augmentation des coûts et de mauvaises performances. C'est en pesant ces coûts que vous pourriez décider que même les effets possibles d'une menace valent la peine d'être ignorés, au moins jusqu'à ce qu'ils deviennent un problème important.

1
user83389

Ignorer est un mot assez fort, mais je peux vous dire que c'est la procédure standard dans de nombreuses entreprises pour éviter de faire quoi que ce soit qui mettrait en lumière une menace qui serait difficile à gérer.

La politique générale dans presque tous les magasins informatiques est de faire preuve de "diligence raisonnable", ce qui signifie essentiellement faire ce que vous êtes censé faire. Étant donné que les attaques très avancées (chinois APT etc) ne sont généralement pas détectables par des méthodes de diligence raisonnable standard comme l'installation de AV sur un ordinateur, elles ne sont pas facilement gérées par le service informatique typique.

Donc, fondamentalement, cela signifie que si une intrusion APT est détectée, l'entreprise doit embaucher des consultants en sécurité spécialisés de haute expertise pour résoudre le problème. C'est TRÈS TRÈS cher. Donc, le résultat net c'est que tout le monde est contrarié. Le PDG est en colère à cause de l'argent dépensé. Le service informatique a l'air mauvais parce qu'il a laissé la chose se produire en premier lieu. Et, finalement, même après que les super pros ont balayé votre système, il n'y a aucune garantie que le les intrus ne sont toujours pas présents et ont du code sur votre réseau quelque part.

Donc, pour toutes ces raisons, le service informatique moyen ne veut même pas y aller, alors il évite de faire quoi que ce soit qui pourrait créer des problèmes comme celui-ci. L'idée générale est que s'il ne peut pas être détecté par des méthodes standard (AV et IDS commercial), il n'existe pas en ce qui les concerne.

0
Tyler Durden