Ключевые слова: источник информации, поиск угроз, публикация, устранение уязвимости, СМИ, информационная безопасность
Когда речь идет об источнике информации, в наше время, важным критерием становиться достоверность предоставляемой в этом источнике информации. Для распределения уровня достоверности человек использует собственные, субъективные, критерии, но для поставленной задачи будет необходимо определить более объективные показатели.
Для упрощения, будем использовать термин «КДИИ» — Коэффициент доверия источнику информации.
Наибольший КДИИ мы можем определить для таких источников информации как официальные блоги и новостные сайты разработчиков СЗИ (средств защиты информации). Их публикации основываются на инцидентах, зафиксированных их программными или программно-аппаратными комплексами, установленными на действующих предприятиях и организациях, в рамках предоставления которых они гарантируют минимальное число ложных фиксаций событий.
Близким КДИИ обладают организации и научно-исследовательские группы, специализирующиеся на поиске угроз в программных, аппаратных или программно-аппаратными комплексах. Их публикации основываются на личном опыте столкновения с угрозой и расследованием ее источника. Однако согласно негласному правилу они должны первоначально сообщить о найденной уязвимости разработчику, а уже после либо выждать время, в которое разработчик разберется с уязвимостью и опубликует инструкции по устранению уязвимости вместе со ссылкой на нашедших ее, либо опубликует самостоятельно. Окно безопасности, в таком случае будет составлять порядка 72 часов, тогда как разработчик может опубликовать новость раньше, пока решение по устранению уязвимости еще не готово, чтобы предупредить потенциальных жертв о существовании угрозы и возможности начала крупномасштабной кибератаки. [1]
Достаточно существенным КДИИ могут служить публикации на специализированных форумах и форумах, находящихся с DarkNet, а также в социальных сетях. Подобные публикации могут быть спровоцированы столкновением с инцидентом специалистами ИБ, попавшими в число первых пострадавших или даже публикациями групп злоумышленников, собирающихся совершить кибератаку. Сложность в определении КДИИ в данном случае заключается в невозможности однозначно оценить каждую публикацию, так как подобные форумы не гарантируют достоверность публикуемой информации. Весомый КД публикации может быть поставлен только в случае анализа не только основной публикации, но и реакции на нее других участников форумов, а также схожие публикации на других форумах.
КДИИ СМИ, специализирующихся на событиях ИБ или специализирующихся на ИТ и имеющие отдельный раздел о ИБ, можно считать вполне высоким. Даже при том, что большинство таких публикаций ссылаются на разработчиков или организации и научно-исследовательские группы, специализирующиеся на поиске угроз в программных, аппаратных или программно-аппаратными комплексах, они стараются опубликовать информацию об инциденте в числе первых. Иногда аналитики подобных источников информации, самостоятельно обрабатывая разрозненную информацию в сети Интернет, способны «предсказать» инцидент до его начала с высокой степенью вероятности.
Близкое к специализированным СМИ, значение КДИИ, имеют СМИ занимающиеся новостями об ИТ. В штате таких организаций может отсутствовать аналитик событий ИБ, который, используя собственное экспертное мнение, сможет оценить инцидент, но скорее всего они опубликуют информацию о событии достаточно оперативно, после ее получения, даже если получат информацию от организаций с большим КДИИ.
Последним источником информации в сети интернет, могут служить крупные, популярные СМИ, с аудиторией охвата более 1 000 000 человек. Для них скорость и достоверность предоставляемой информации является критичной, однако надеется на экспертный взгляд на инцидент ИБ не приходится. Так же сложность в автоматизированном выявлении среди публикаций по различным темам, увеличивает возможность ложно-положительных срабатываний системы поиска и агрегации информации.
В отдельную категорию так же стоит отнести личные блоги именитых специалистов по ИБ, признанных экспертов и руководителей организаций, связанных со сферой ТИ и ИБ. Высчитывать КДИИ таких блогов придется индивидуально, для каждого в отдельности.
Таким образом можно определить 7 категорий СМИ в сети Интернет:
Таблица 1
Категории СМИ всети Интернет
|
Категория |
КДИИ |
|
Разработчики/производители |
0,857143 |
|
Организации и научно-исследовательские группы специализирующиеся на поиске угроз в программных |
0,714286 |
|
Специализированные форумы, DarkNet, социальные сети |
0,571429 |
|
СМИ со специализацией на ИБ, ИТ/ИБ |
0,428571 |
|
СМИ со специализацией на ИТ |
0,285714 |
|
Крупные СМИ |
0,142857 |
|
Блоги «экспертов» |
индивидуально |
Где КДИИ рассчитывается как:
(1)
Где Nк — общее кол-во категорий, а Nтк — номер текущей категории.
Так же, КДИИ для категории не обозначает что тот или иной источник информации должен иметь КДИИ такой же что и у категории, к которой относится. При аргументированной причине, КДИИ может быть уменьшен или увеличен, но должен быть в пределах 0 < КДИИ < 1.
КДИИ блогов «экспертов» по-умолчанию можно признать за 0, как частную публикацию одного человека, однако коэффициент полностью зависит от того, кто является автором данного блога.
Вывод: выведенная таблица является минимумом категорий, на которые можно разделить источники информации, при обработке информации в сфере информационной безопасности и защиты информации, а также информационных технологий в целом.
Литература:
1. Этика поиска и исследования уязвимостей // ХАБРАХАБР. URL: https://habrahabr.ru/post/347498/ (дата обращения: 14.05.2018).
