måndag 30 juli 2012

Försvarsfällan: Därför är inte risk linjärt till sårbarhet

Har precis läst ett par artiklar i CSO, "Why you shouldn't train employees for security awareness" skrivet av Dave Aitel, och svaret på den, "Security awareness can be the most cost-effective security measure" av Ira Wrinkler.

För att summera så tycker Dave att security awareness inte fungerar tillräckligt bra och att man bör lägga resurser på annat. Ira har tolkat det som att Dave menar att om inte utbildningen är 100%:ig är den inte värd att göra, och menar att man ska titta på skillnaden mellan om man genomfört utbildningen eller inte. Ett skydd som inte är 100%:igt kan fortfarande vara värdefullt.

Jag håller helt med Ira i hans resonemang, inom säkerhetsvärlden möter jag alltför ofta en binär syn på saken. Ett skydd behöver långt ifrån alltid vara 100%:igt för att det ska vara värt att ha det.

Men... Ira använder en argumentation som visar hans läggning åt försvarssidan. Dave å sin sida kommer defintivt från angreppssidan. I dess renaste form ser jag argumenten såhär:

Försvarssidan: Om jag eliminerar 5 av mina 10 SQL injection så är jag 50% säkrare.
Angreppssidan: Jag behöver bara en sårbarhet. Om du har 10 SQLi och plockar bort 5, har risken inte minskat med många procent, och definitivt inte 50%.

Angreppssidan står för facit. Eliminering av 50% av sårbarheterna påverkar risken enbart genom att risken för att sårbarheterna upptäcks minskas. Vad det sedan är värt i risk-% har att göra med hur lätta de kvarvarande sårbarheterna är att hitta för just din angripare, och hur de åtgärdade sårbarheterna resulterar i att ett pågående angrepp hanteras av dig.

Min egen åsikt? För att citera mig själv från ett inlägg från 2006 på Dave's mailinglista daily-dave:
Exactly *who* are you protecting from *what*

En del hot bemöts bra genom utbildning. Andra inte. Också beroende på övriga befintliga säkerhetsskydd. Komplicerat som vanligt alltså :(