19.06.2014

Почему здания не падают?

Источник: Network World, США
На протяжении веков строительная промышленность училась на своих ошибках и создавала сложные системы сдержек и противовесов, которые не только успешно справлялись со своей задачей, но и послужили моделью для построения сетевой безопасности.

«Анализ отказов в строительной отрасли показывает, что безопасность всегда должна стоять на первом месте, — уверен технический директор компании Counter Tack Майкл Дэвис. — Аналогичным образом и сетевых взломщиков можно сдерживать путем выстраивания сетевой защиты в тех областях, которые имеют известные атакующим уязвимости. Достоинства системы сетевой безопасности следует оценивать с точки зрения преодоления ее взломщиками и возникающих в результате этого последствий. Проанализировав все это, можно приступать к созданию средств защиты для будущей сетевой среды».

Анализ типов и последствий отказов (Failure Mode Effects Analysis, FMEA) впервые был использован в 60-х годах в НАСА, а впоследствии успешно применялся в автомобилестроении. В машинах специально создается зона деформации, которая, разрушаясь, принимает на себя всю силу удара и защищает тем самым пассажиров и более важные компоненты автомобиля.

«Аналогичную зону следовало бы моделировать и разработчикам сетевых систем, однако этого не происходит, — заметил Дэвис. — Никто не проектирует сетевые сегменты, которые полностью меняли бы свой функционал во время атаки в целях сохранения остальной части сети».

Архитекторам необходимо изучать бреши, выявлять условия, приводящие к отказам, и вносить соответствующие коррективы в принимаемые решения. Это можно делать путем проведения анализа в процессе проектирования и внедрения дополнительных контрольных параметров для уменьшения рисков. Конструкторы должны спросить себя, при каких условиях возможна атака конкретного сервера и какие средства защиты необходимо преодолеть атакующему, для того чтобы проникнуть внутрь системы.

Эта методология спасла на Марсе вездеход Spirit, когда его флэш-память вышла из строя. Инженеры предусмотрели такую возможность и встроили запасные компоненты, позволившие контроллерам осуществить перезапись, перезагрузить систему и вернуть вездеход к жизни. Мораль? Заранее готовьтесь к событиям, вероятность которых невелика и которые могут повлечь за собой тяжелые последствия.

Устранить все проблемы крайне затруднительно в силу их сложности, поэтому прежде всего необходимо оценить риски, которые повлечет за собой каждый из потенциальных отказов, а потом уже ликвидировать слабые места с учетом их приоритета.

Для оценки риска Дэвис предлагает проанализировать серьезность, то есть возможные последствия атаки для функционирования всей среды, частоту возникновения соответствующих отказов, а также вероятность обнаружения — способность управляющей схемы выявлять слабые места и устранять причину их возникновения.

Комментарии

  • Facebook
  • Вконтакте