ПОЗНАЙ СЕБЯ: ЛАНДШАФТ УГРОЗ И УЯЗВИМОСТЕЙ
Цель этого блока состоит в том, чтобы дать вам понимание фундаментальных принципов безопасности, приватности и анонимности.
Как эти принципы применяются в различных ситуациях, или конкретно в вашей ситуации, так чтобы
Вы смогли определять, Выбирать, внедрять и мониторить подходящие средства по обеспечению безопасности для снижения рисков.
Вы поймете отношения и противоположности между безопасностью, приватностью и анонимностью.
Принципы, о которых Вы узнаете в этом разделе, необходимо сохранить в вашей памяти и применять после прохождения этого курса.
Защищай то, что ценишь
Ваша цель - это защита того, что Вы больше всего цените, а также достижение достаточного уровня безопасности в ваших делах онлайн.
Подумайте сейчас о своих аккаунтах, файлах, электронной почте, посещаемых вами веб-сайтах и так далее и спросите себя: "Что из этого я считаю наиболее конфиденциальным?"
Что
Вы не можете позволить себе потерять? Что незаменимо? Что может причинить вам наибольший вред? Что может ударить по вашей репутации?
Примерами таких вещей могут быть: фотографии, данные кредитной карты, данные банковского аккаунта, персональные данные, позволяющие установить личность, данные об аккаунтах, связанных с LinkedIn, Facebook, Amazon,
PayPal, ВКонтакте,
WebMoney, ваша основная электронная почта, ваш Биткойн-кошелек, история браузера, особые файлы, о которых
Вы основательно волнуетесь, информация о паролях. Подумайте о том, что эти вещи украдены, уничтожены или зашифрованы, так что
Вы не можете больше их использовать, либо они размещены в публичный доступ в Интернете, либо они попали в руки к преступникам. Теперь составьте список таких вещей и степень вашей озабоченности по поводу их сохранности.
Мы будем считать эти вещи активами, нуждающимися в безопасности, это активы, о которых
Вы заботитесь. Далее мы будем использовать этот список с активами для концентрации ваших усилий на обеспечении их безопасности. Например, мало смысла в том, чтобы пытаться сделать резервную копию файлов, которые
Вы можете легко заменить, и при этом не уделить достаточно внимания незаменимым файлам. Смысл того, что мы делаем, состоит в том, чтобы приложить большую часть усилий к защите вещей, которые
Вы цените и о которых хотите позаботиться, и не тратить свое время на вещи, которые вам не нужны вовсе или могут быть довольно-таки легко заменены.
Что такое приватность, анонимность и псевдо-анонимность
Есть две вещи, которые Вы можете дорого ценить, это приватность и анонимность, они будут связаны с тем, почему некоторые из активов важны для вас.
Вы наверняка желаете, чтобы ваши электронные письма оставались приватными, а ваша личность тайной. Но приватность и анонимность - это не одно и то же, давайте
Выясним, в чем их различие.
Приватность - это когда никто не видит, что Вы делаете, но потенциально знает, кто
Вы такой. Приватность касается контента, того, как сохранять конфиденциальность и хранить секреты. Примером приватности будет отправка зашифрованного электронного письма другу. Только он и
Вы можете прочитать это письмо, оно приватно для остального мира, не публично.
Другой пример, когда Вы регистрируетесь у провайдера облачного хранения типа Dropbox,
Вы не анонимны, но если Вы зашифруете файлы и только Вы будете иметь ключ, данные будут приватными, у вас будет обеспечена приватность данных.
Вы приватны в собственном доме, поскольку никто не знает, что Вы делаете дома, но
Вы не анонимны, все знают, что Вы там живете.
Анонимность - это когда никто не знает, кто Вы, но потенциально видит, что Вы делаете. Анонимность отделяет ваши действия и деятельность от вашей настоящей личности. Анонимность касается вашей личности. Если происходит какой-то инцидент, то из числа всех прочих людей подозрение может пасть на любого из них.
Вы можете желать анонимности для просмотра контента, а не для его производства, бывают разные ситуации. Анонимность означает, что ваши действия невозможно будет связать с вами,
Вы будете без имени и без лица.
Например, Вы заходите в Интернет при помощи сервиса для анонимизации типа
Tor и оставляете сообщение о правах женщин под анонимным псевдонимом, возможно
Вы из страны, где подобное деяние считается преступлением. Ваши идентификационные данные остаются анонимными и отделенными от вашей реальной личности, однако ваше сообщение получено и оно не приватно, вот что называется анонимностью.
Если Вы заходите на веб-сайт при помощи виртуальной частной сети
VPN, то Вы потенциально анонимны на этом сайте, но если
Вы оставите сообщение на их публичном форуме, то сообщение не будет приватным.
И наконец, есть вариант анонимности, который люди иногда используют и он называется псевдо-анонимностью. Псевдо-анонимность - это когда
Вы желаете сохранить свою репутацию, а не скрыть личность. Распространенный пример - иметь 10 псевдоним для
социальных сетей. Данное изображение наглядно демонстрирует это.
Злоумышленники могут не знать, кто этот пользователь с синим пакетом, но они могут соотнести определенные сообщения или действия с этим пользователем. Это псевдоним, прикрытие, фальшивая личность.
Надеюсь, вам теперь стала ясна разница между
приватностью, анонимностью и псевдо-анонимностью, так что
Вы теперь должны понимать, что именно нужно вам в вашей ситуации.
Часто эти три понятия используются взаимозаменяемо и даже я сам иногда путаюсь в них, но важно понять различие, потому что разные технологии обеспечивают приватность в ущерб анонимности и псевдо-анонимности.
Одним из интересных псевдонимов нашего времени является Сатоши Накамото, создатель Биткойн. Если
Вы не знаете, кто это такой, то ради интереса отправляйтесь немного почитать на эту тему.
В большинстве стран у вас есть защищенное законодательством право на приватность и анонимность, если они вам нужны. В большинстве стран кража вашей персональной и приватной информации является преступлением. Например, содержимое электронного письма - это приватная информация.
Должен, однако, заметить, что многие правительства, похоже, могут себе позволить безнаказанно красть персональную информацию и, к сожалению, мы все отдаем себе в этом отчет.
Вот почему люди чувствуют, что наша
приватность нарушается, это Вызывает у нас потребность в безопасности, обеспечении приватности и анонимности, и вероятно, именно поэтому многие из вас сейчас смотрят этот курс.
Итак, к списку ваших активов или вещей, представляющих важность для вас, Вы вполне можете добавить приватность и анонимность. Возможно, потребность в них может быть значительно
Выше или ниже, чем потребность в защите ваших активов.
Мы движемся далее по курсу, а пока что оцените потребность в защите ваших активов, включая приватность и анонимность, потому что это будет определять необходимые для вас меры безопасности.
Безопасность, уязвимости, угрозы и злоумышленники
Теперь мы понимаем разницу между приватностью, анонимностью и псевдоанонимностью. И теперь мы можем перейти к безопасности. Здесь мы видим наши активы, это вещи, о которых мы заботимся, мы хотим, чтобы они были приватными, например, наши файлы, аккаунты, финансовая информация, электронная почта, и вещи, которые могут относиться к анонимности или нашей личности, и мы не хотим, чтобы эти вещи ассоциировались с нашей личностью, это может быть история браузера, история наших загрузок, какие сообщения мы оставляем и так далее. Эти активы индивидуальны для вас, это ваши персональные нужды.
И чтобы защитить эти активы, мы применяем различные средства обеспечения безопасности. К этим средствам относятся VPN, шифрование, Opsec, HTTP-фильтры, OpenPGP, экраны блокировки и другие,
Вы можете увидеть их на изображении.
Итак, это означает, что безопасность - это уровень устойчивости наших активов по отношению к угрозам, исходящим от злоумышленников. И мы
Выбираем средства для обеспечения безопасности, основываясь на видах угроз и противостоящих нам злоумышленников.
Угрозы - это неприятности, которые могут произойти, например, атака
вредоносного программного
обеспечения, массовое снятие информации с технических каналов связи, наборы эксплойтов, чтение зашифрованных данных, заражение вирусом и другие угрозы, которые
Вы можете наблюдать здесь.
И эти угрозы, они исходят со стороны злоумышленников, к ним можно отнести хакеров, киберпреступников, правительства стран, диктаторские режимы или, возможно, кого-либо наподобие вашей бывшей или бывшего, если уж совсем не повезло.
Здесь Вы видите эти красные треугольники, они изображают уязвимости, баги и слабые места в наших средствах обеспечения безопасности. Угроза будет пытаться эксплуатировать уязвимости в вашей безопасности для воздействия на ваши активы. Например, вредоносная программа заражает ваш компьютер при помощи уязвимости вследствие отсутствия нужной заплатки.
РИСК = (Уязвимость
> Угрозы > Последствия)
Изобразим это при помощи формулы. Риск равен: уязвимости умножить на угрозы, умножить на последствия. Риск - это вероятность возникновения угрозы, эксплуатирующей уязвимости в ваших средствах обеспечения безопасности и последствия, к которым все это может привести. Риск для ваших активов, риск для вас, риск для вашей приватности и анонимности.
Угрозы и злоумышленники, которым Вы противостоите, называются вашим ландшафтом угроз, или моделью угроз. Ваш ландшафт угроз будет индивидуален для вас.
В разделе "Познай своего противника" мы получше поймем существующие угрозы и злоумышленников, так что
Вы сможете определить свой собственный ландшафт угроз, хотя мы и будем изучать множество типовых угроз и злоумышленников типа
хакеров, киберпреступников и так далее. А еще, не у всех из нас есть проблемная бывшая или бывший.
Как Вы можете ясно увидеть, безопасность совершенно не изолирована, нет никакого универсального решения от всех проблем. Ваши средства обеспечения безопасности должны быть
Выбраны, основываясь на их способности уменьшать количество возможных угроз и злоумышленников, а также на последствиях
Выбранной реализации.
Например, Вы можете Выбрать
Tor в качестве средства против массовой слежки, угрозы массовой слежки, исходящей от диктаторского режима. И
Вы можете Выбрать Tor по причине того, что последствия весьма критичны, ведь речь идет о вашей личности, и как только ваша личность будет идентифицирована, наступят последствия.
Таким образом, Вы должны применить средства обеспечения безопасности для защиты своих активов, для обеспечения приватности и анонимности, или псевдоанонимности, если они вам необходимы.
Безопасность - это технология, безопасность - это также и действие, и процесс. Очень важно понимать, что средства для обеспечения безопасности - это не просто технология,
Вы должны понимать это. Эти средства являются еще и процессами, и действиями. Ваши действия, по факту, - это самые важные средства обеспечения безопасности для защиты ваших активов и уменьшения количества угроз и злоумышленников.
Результатом правильно подобранных процессов, действий и технологий безопасности является защита ваших активов, приватности и анонимности.
Моделирование угроз и оценка рисков
Теперь поговорим о моделировании угроз и оценке рисков. У вас должно было появиться представление об уязвимостях, угрозах, злоумышленниках, последствиях и результирующих рисках. Также
Вы теперь должны понимать, почему безопасность - это процесс, действия и технологии для защиты ваших активов, приватности и анонимности.
Давайте немного углубимся в применение всего того, что мы уже узнали. Первое очень важное замечание,
Вы никогда не сможете достичь 100% безопасности, также как не бывает и нулевого риска. По этой причине
Вы никогда не сможете защитить свои активы полностью, или сохранить абсолютную приватность, или заполучить совершенную анонимность.
Если Вы когда-либо видели, что кто-то рекламирует стопроцентную безопасность, обойдите его за километр. У него нет ни малейшего понятия, о чем он говорит. Риск будет всегда, только если
Вы не прекратите свою жизнедеятельность.
Жизнь - это риск, Выход в Интернет - это риск. Мы идем на риск ради больших возможностей и преимуществ, которые дарует нам Интернет. Чтобы извлечь
Выгоду из возможностей от использования Интернета, мы Вынуждены принять уровень риска.
И вам нужно решить для себя, какова ваша устойчивость к риску, основанному исходя из ваших обстоятельств. Чем ниже устойчивость к риску, то есть если последствия от потери безопасности, приватности и анонимности критичны, тем больше средств обеспечения безопасности вам нужно, тем более продвинутые и ограниченные по юзабилити средства вам могут потребоваться. Чем
Выше устойчивость к имеющемуся риску, то есть последствия могут быть не критичными, тем меньше средств безопасности вам нужно.
Так что безопасность - это баланс, баланс между юзабилити и безопасностью, между риском и возможностью. И безопасность часто препятствует простоте в использовании. Вот почему мы должны
Выбирать средства безопасности, которые подходят для наших целей и которые соотносятся с нашей склонностью к риску.
Этот курс и разделы "Познай себя" и "Познай своего противника" обеспечат вас общими сведениями об угрозах и уязвимостях, которые
Вы можете повстречать в Интернете, так что Вы сможете сделать осознанный Выбор в зависимости от ваших потребностей в безопасности, приватности, анонимности и устойчивости к риску.
Наберитесь терпения, пока мы пройдем через эти два раздела, и тогда Вы начнете больше понимать о существующих угрозах и злоумышленниках, и о вещах, о которых
Вы, возможно, никогда не слышали до этого.
Теперь другое очень важное замечание, подход к вашей безопасности должен быть риск-ориентированным. Мы знаем, что нельзя иметь стопроцентную безопасность, так что вам нужно применять риск-ориентированный подход для использования соответствующего уровня безопасности в целях уменьшения риска, чтобы она не стала излишне обременительной до такой степени, что систему уже становится нельзя использовать. Но только
Вы можете Выбрать, насколько объемной и обременительной должна быть ваша безопасность, необходимая для защиты ваших активов.
Для применения риск-ориентированного подхода к безопасности во время Выбора средств обеспечения безопасности вам нужно
Выполнить базовое моделирование угроз и оценку рисков. И я помогу это сделать на следующем примере.
Итак, риск равняется уязвимости умножить на угрозы, умножить на последствия. Давайте сейчас пройдем через процесс оценки.
Для начала начнем с наших активов. У вас уже должен быть список или набросок списка или представление о ваших активах, мы занимались этим в предыдущих видео. У вас должно быть примерное представление о вещах, которые вам важны и которые
Вы хотите защитить. Уязвимости, угрозы и злоумышленники. У вас, возможно, есть определенное понимание, каковы ваши угрозы и кто ваши противники, это наверняка и стало причиной, по которой
Вы решили пройти этот курс. Или у вас может не быть четкого представления об этом, или
Вы еще не решили окончательно.
В разделе "Познай своего противника" мы рассмотрим разные уязвимости, угрозы и злоумышленников. Когда
Вы будете проходить следующий раздел, определите, что подходит вам. Так Вы сможете определиться с риском. Определите последствия того, что ваши активы могут быть скомпрометированы, что угрозы могут быть реализованы.
Когда речь заходит о ваших активах, представьте, что они утеряны или украдены, уничтожены или зашифрованы, так что
Вы не можете их использовать, либо они размещены в Интернете, попали в руки к злоумышленникам, преступникам, хакерам, правительству, правоохранительным органам.
Как это могло бы ударить по вашей репутации, вашей приватности, вашей анонимности? Каковы будут последствия от потери приватности и анонимности? Что сделает злоумышленник?
Сконцентрируйтесь на последствиях, возникающих при условии, когда угрозы и злоумышленники вряд ли могут быть обнаружены, и это ключевой момент здесь. Чтобы определить риск и нужные вам средства обеспечения безопасности, сконцентрируйтесь на последствиях, возникающих при условии, что ваше понимание и общие представления об угрозах и злоумышленниках не определены до конца, а такое часто случается.
Вы представляете себе последствия, а удар оказывается еще сильнее.
Как только к вам придет понимание о ваших активах, угрозах в их адрес, уязвимостях, злоумышленниках, доступных средствах обеспечения безопасности, и
Вы поймете последствия от исходящих угроз, то Вы сможете определить общий уровень риска, которому подвергаетесь. Пока что
Вы, возможно, не знаете обо всех средствах безопасности и как их настраивать, но это будет изучено далее в ходе курса.
Возможно, Вы определились, что конкретно в вашей деятельности подвержено риску, а также на противостояние каким угрозам, злоумышленникам и уязвимостям необходимо
Выделить самые эффективные средства безопасности и наибольшее внимание.
Позвольте мне привести пример, о котором Вы, должно быть, и так подумали. Пока
Вы толком еще не прошли этот курс, чтобы уметь производить моделирование угроз и оценку рисков.
Должно быть, Вы представили угрозу кражи вашего ноутбука, злоумышленник -это вор, уязвимость - это данные на вашем ноутбуке в виде незашифрованного текста, а последствия - это урон репутации и возможно, кража персональных данных. В зависимости от вашей устойчивости к риску
Вы Выберете средства безопасности, которые минимизируют риск. И вам следует в первую очередь использовать средства защиты от самых приоритетных рисков.
Выбирайте > Внедряйте > Оценивайте > Контролируйте
Данный курс в целом - это серия уроков по средствам безопасности, как их применять, зачем их применять, об их сильных и слабых сторонах, и так далее.
На протяжении курса Выбирайте, внедряйте, оценивайте, контролируйте те средства безопасности, которые мы будем разбирать. Когда дело дойдет до
Выбора, Выбирайте те средства безопасности, которые лучше всего уменьшают ваши риски.
Например, в случае с кражей ноутбука, о которой мы только что говорили, Вы могли бы
Выбрать шифрование всего диска с использованием механизмов блокировки, шифрование загрузочного сектора и предзагрузочную аутентификацию в качестве части ваших средств безопасности, снижающих риски подобной угрозы.
Далее, внедрение этих средств. Вы устанавливаете блокировку, производите полное шифрование диска, настраиваете. Далее оцениваете, оцениваете
Выбранные вами средства на эффективность. Проверьте, что шифрование всего диска произведено и данные зашифрованы. Затем контролируйте, контролируйте эффективность средств безопасности. Например, проверяйте обновления систем безопасности, уязвимости в механизмах защиты диска, и так далее.
Если находите слабое место, возвращаетесь к заданному этапу снова. Это и есть моделирование угроз и оценка рисков.
Как только Вы ознакомитесь с этим курсом более детально, то почувствуете большую уверенность в оценке угроз и злоумышленников, понимании, где же находятся ваши уязвимости. А затем начнете понимать, где необходимо применять средства безопасности для защиты вещей, которые
Вы цените, приватности или анонимности, или ваших файлов, или электронной почты.
Итак, я надеюсь, это видео поможет вам убедиться, что Вы Выбираете правильные средства безопасности, и принесет максимальную пользу для защиты ваших активов.
Безопасность vs Приватность vs Анонимность: Можно ли обладать ими всеми?
Безопасность, приватность и анонимность могут иногда быть в противоречии друг с другом. Например, функция браузера может проверять все веб-сайты, которые
Вы посещаете, не относятся ли они к сайтам с известным вредоносным содержанием.
Эта функция помогает обеспечивать безопасность, потому что она может остановить вас от посещения сайта с вредоносными контентом, но может потенциально и вмешаться в вашу приватность и анонимность, поскольку вредоносный сайт сохраняет постоянный контакт с вашим браузером и может постоянно получать информацию о том, какие сайты
Вы посещаете и когда. И в подобных ситуациях вам нужно сделать Выбор между безопасностью, приватностью и анонимностью.
Терпимость людей к слежке и раскрытию их персональной информации и действий онлайн может различаться.
Если Вы политический диссидент, сражающийся за права человека, вам может быть нужна тотальная приватность и анонимность онлайн от вашего правительства.
Если Вы рядовой пользователь сети Интернет, то скорее всего просто желаете, чтобы ваши электронные письма не читали посторонние, а история посещения сайтов оставалась в секрете.
Раскрытие информации и
деанонимизация могут привести к ряду последствий: от легкого вмешательства в частную жизнь до угрозы жизни, зависящей от них. Уровень приватности и анонимности, который вам нужен, прямо пропорционален уровню безопасности, который вам нужен, так что держите это в уме далее по ходу курса, когда
Вы будете Выбирать себе необходимые средства безопасности .
Повторюсь еще раз. Уровень приватности и анонимности, который вам нужен, прямо пропорционален уровню безопасности, который вам нужен. Чем больше приватности и анонимности, тем больше средств безопасности.
Приведу здесь цитату Брюса Шнайера: "Приватность состоит не в том, чтобы что-либо спрятать. Приватность состоит в том, чтобы иметь возможность контролировать, какими мы предстаем перед этим миром. Она состоит в том, чтобы
Вы могли сохранять свое публичное лицо и в то же время имели возможность приватно мыслить и действовать. Приватность состоит в поддержании личного достоинства".
Эшелонированная защита
В безопасности существует принцип под названием "эшелонированная защита". Идея здесь в том, чтобы обеспечить слои защиты следующим образом: при падении одной защиты другая продолжает защищать вас на своей позиции. Есть три основных вида защиты.
Во-первых, это Предотвращение. Примером может быть ситуация, когда Вы шифруете свои файлы и убеждаетесь, что ключ или пароль не доступен посторонним. Предотвращение - это защита от компрометации ваших файлов злоумышленниками и их доступа к вашей конфиденциальной информации.
Далее идет Обнаружение. Примером обнаружения может быть, например, ситуация, когда
Вы настраиваете "Виртуальную канарейку". Это размещение тщательно спланированной ловушки, срабатывающей при вмешательстве злоумышленника или вредоносной программы, или ловушки, указывающей на нечто подозрительное.
Далее идет Восстановление. Это восстановление из бэкапа, или возможность восстановить утерянный файл или доступ к аккаунту. Принцип здесь такой: то, что
Вы не можете предотвратить, Вы обнаруживаете, а если не можете обнаружить - устраняете последствия.
Это не так сложно для понимания. Это просто тот случай, когда вам, возможно, придется менять свое поведение и использовать нужную технологию в нужное время. Это и будет обеспечением подхода эшелонированной защиты.
|
|