Geekly articles weekly

مشكلة تصنيف القراصنة حسب الخطر



لا يوجد سوى هذا الفضاء ، مألوف تماما ، حيث لا توجد مفاجآت.
مضاءة بالكامل ، كل سنتيمتر تحت إشراف.

ولكن خارج محيط الظلام الذي لا يمكن اختراقه هو أنه حتى متر لا يستطيع رؤية أي شيء.
والخروج من هذه الأسلحة الظلام متناول اليد. الأيدي المسلحة. لغرض واحد - لتدمير كل هذا العالم.
والآن يخرج سلاح من الظلام. من المعروف كيف يبدو وما هو قادر عليه. نسر الصحراء.

ولكن كيف نفهم من يده؟

هل هو مرتزق لن يغمض عينيه أمام إحدى الطلقات ، أم هو طالب في مرحلة ما قبل المدرسة بالكاد يستطيع أن يحمل مسدسًا ، وسيقتله هو نفسه؟

يبدو أن المقدمة كانت أكثر إثارة للاهتمام من المقال نفسه.

دعني أحاول مرة أخرى ، أقل أدبية.

خطأ في التعامل


منذ خمس سنوات ، عندما كنت أكتب شهادتي ، اقترح مشرف الدراسات العليا موضوعًا لتصنيف المخالفين الأمنيين. في تلك اللحظة ، بدا لنا أن الموضوع لم يكن كافيًا للحصول على دبلوم ، لكن بعض التطورات ما زالت قيد العمل.

مرت سنوات ، ولكن بعض الأسئلة التي أثيرت في شهادتي لا تزال تهمني.
أنا أكثر من متأكد من أنني فاتني الكثير في تصنيف المخالفين وأود أن أرى أفكارك حول هذا في التعليقات.

الآن بالتأكيد البداية


هل من الممكن استخدام تصنيفات منتهكي الأمن بخلاف إنشاء نموذج لمخالف الأمان؟

لقد كانت شهادتي خاصة ، نعم ، هذا ممكن.

لكن أولاً ، دعونا ننظر إلى التعاريف.

بدلاً من العبارة الطويلة "منتهك الأمان" سأستخدم "المتسلل". في النهاية ، ليس لدينا مجلة أكاديمية لاستخدام الصيغ البيروقراطية التي تم التحقق منها.

في البداية اعتقدت أن التصنيف يجب أن يتم وفق "قوة" المتسلل. ولكن بعد ذلك اضطررت إلى تحديد ما هي "قوة القرصنة". نتيجة لذلك ، حدث شيء بروح "القوة هي مقدار الضرر الذي يمكن أن يلحقه أحد المتسللين بالنظام". بعد ذلك ، يجب أن أتحدث عن كيفية تحديد الضرر: بالتكاليف النقدية للتخلص من عواقب الهجوم ، أو في وقت التوقف عن العمل أو التخلص منه ، أو ما يعادله.

لكنني اتخذت قرار سليمان وابتعدت عن السلطة تمامًا ونصنّف المتسللين بالخطر للنظام المهاجم. حسنًا ، ما يعنيه الخطر هنا يعود إليك.

نحن تصنيف؟


لذلك ، وصلنا إلى تصنيف المتسللين عن طريق الخطر للنظام. ولكن كيف يمكن تصنيف واحد؟ نعم ، يمكنك أن تأخذ ثلاثة تدرجات: "خطر منخفض" ، "خطر متوسط" و "خطر كبير".

كل احسب. شكرا لك على قراءة مقالي القصير ، أنا سعيد لأنك قضيت وقتك في ذلك.

في الواقع ، نحن نقترب ببطء من مشكلة تقلقني: هل يمكن تصنيف المتسللين تلقائيًا؟

لذلك أولا ، دعونا نرى ما هو الآن.

تمكنت من العثور على طريقتين رئيسيتين:

  • حسب الموارد
  • عن طريق المعرفة.

الآن دعونا نرى ما أنا لا أحب عنهم.

تصنيف الموارد


يمكن العثور على هذا التصنيف في FSTEC. لكي نكون أكثر دقة ، فهم لا يصنفون المخالفين بأنفسهم ، لكنهم محتملون:

  1. الدخلاء مع الأساسية (منخفضة) المحتملة.
  2. الدخلاء مع زيادة الأساسية (المتوسطة) المحتملة.
  3. ارتفاع الدخلاء المحتملة.



منتهكي الفئة الثالثة هم "الخدمات الخاصة للدول الأجنبية (تكتلات الدول)".

في الواقع ، يشير التصنيف إلى عدد الأشخاص والوقت والمال الذين يمكن إنفاقهم على هجوم من قبل أحد المتطفلين (جيدًا أو مجموعة من المتسللين). تستطيع وكالات الاستخبارات إنفاق موارد مالية غير محدودة تقريبًا ، وتوظيف معاهد بحث بأكملها لتطوير طرق الاختراق.

وهنا يثور سؤال حول كيف يمكن تصنيف المتسللين تلقائيًا. واتضح أن هناك القليل من الفرص لهذا ، لأنه لا يمكنك أن تسأل المتسلل "كم أنت على استعداد لإنفاق المال لكسر لي؟"

ما لم تتمكن من استخدام أي حلول مضادة لـ APT ، فيمكنهم تحليل شيء ما وتصنيف الهجوم المسجل باعتباره نوعًا من أنواع مجموعة الهاكرز الدولية ، والتي تسمى "الحكومة".

أو عند التحقيق في الحادث ، باستخدام طريقة خبير ، حدد مقدار الجهد والمال الذي تم إنفاقه وعدد الأشخاص الذين شاركوا فيه.

التصنيف حسب المعرفة


عادةً ما يبدو مثل هذا التصنيف كالتالي:

  1. النصي كيدي.
  2. Hatskery.
  3. المتسللين مستوى عال.



يكاد يكون من المفهوم تقريبًا أن استغلال البرامج النصية نفسها لا يكتب مآثر ، ويجر شخصًا آخر ، ويمكن للمتسللين بالفعل تكوين شيء لأنفسهم واستخدام الأدوات بطريقة محبّذة ، ويبحث المتسللون ذوو المستوى العالي عن نقاط الضعف ويكتبوا مآثر على احتياجاتهم. اعتمادًا على مؤلف التصنيف ، يمكن أن تكون تعريفات (وأسماء) الفئات مختلفة - ما كتبته هو نسخة متوسطة وقصيرة جدًا.

إذن ما المشكلة؟


المشكلة هي أنه لا يمكنك السماح لأي مهاجم بالكتابة إلى المهاجم.

في مواجهة عدم اليقين ، من الصعب استنتاج المعرفة. حتى في ظروف الامتحانات الأكثر تحكمًا ، قد تكون الاستنتاجات غير صحيحة.

كشف الأجهزة؟


حسنا ، يمكنك أن تجرب. ولكن ليس هناك ما يضمن أن المتسلل عالي المستوى لن يستخدم أدوات أكثر بساطة. خاصة إذا لم يكن على دراية بأي تقنية. في محاولاته ، قد ينخفض ​​إلى مستوى طفولي النصي ، الأمر الذي لن يجعله أقل خطورة ، لأنه بعد اجتيازه قسمًا صعبًا بالنسبة له ، سيعود مرة أخرى إلى المستوى الثالث من الخطر. أيضا ، لا تنس أن جميع الأدوات تباع أو تسربت لفتح الوصول. يمكن أن يؤدي استخدام أداة عالية المستوى إلى زيادة فرص "النجاح" وجعل الشخص الذي يستخدمه أكثر خطورة من منظور قصير الأجل ، ولكن بشكل عام لن يتغير شيء.

هذا ، في الواقع ، أنا أتحدث عن حقيقة أن مثل هذا النظام عرضة للأخطاء من كلا النوعين الأول والثاني (المبالغة في تقدير الخطر والتقليل من شأن).

ربما أسهل؟


هناك طريقة أخرى استخدمتها في شهادتي - باستخدام CVE ، أو بشكل أكثر دقة ، CVSS.

في وصف الضعف CVSS هناك خط مثل "تعقيد الاستغلال".

العلاقة بسيطة للغاية - إذا كان من الصعب استغلال الثغرة الأمنية ، يكون الشخص الذي يمكنه استغلالها أكثر خطورة.

يبدو مثالياً: نحن ننظر إلى نقاط الضعف التي يستغلها المتسلل ، ونبحث عنها في قاعدة البيانات ونخصص تصنيفًا للمخاطر للمتسلل. إذن ما الذي لا يعجبني هنا؟

يتم تقييم استغلال الضعف بواسطة خبير. وقد يكون مخطئًا في تقييمه ، وقد يكون له مصلحته الخاصة (التقليل المتعمد للتقييم أو المبالغة في تقديره) ، وحتى أي شيء ، لأن هذا شخص.

بالإضافة إلى ذلك ، يمكن شراء استغلال الثغرة الأمنية. في بعض الأحيان ، يمكن أن يكون التنفيذ "موجهًا إلى المشتري" بحيث يبقى فقط للضغط على زر "الاختراق" الشرطي وتنخفض درجة تعقيد العملية للقراصنة إلى نحو الصفر.

بدلا من الاستنتاجات


بالتفكير في حل هذه المشكلة ، أدركت أنه ، بشكل عام ، لم أستطع حلها - ليس لدي المعرفة اللازمة.

ربما سوف يطالب Habr بأي معايير يمكن تصنيف المتسللين؟ ربما فاتني النهج الواضح؟

والأهم من ذلك - هل هو ضروري على الإطلاق؟

ربما ستكون هذه المشاركة مفيدة للطلاب الذين يختارون موضوعًا للحصول على دبلوم.

على الرغم من البيان البسيط للغاية للسؤال ("كيفية تحديد مستوى المتسلل؟") ، فإن إعطاء إجابة ليست واضحة على الإطلاق.

شيء مثل رؤية الجهاز والتعرف على الأنماط.

فقط أكثر مملة.

Source: https://habr.com/ru/post/ar471468/

More articles:


All Articles