Security by Obscurity (безопасность через сокрытие)
Что такое Security by Obscurity (безопасность через сокрытие)?
Security by Obscurity (безопасность через сокрытие)Подход, при котором главным средством защиты считается сокрытие дизайна, реализации или расположения системы, а не её внутренняя прочность.
Подход «безопасность через сокрытие» исходит из того, что атакующий не справится, если не знает, как устроена система, где она находится и какой алгоритм используется. Принцип Керкгоффса (1883) это отвергает: криптосистема должна оставаться безопасной, даже если всё, кроме ключа, публично. Скрытые URL администратора, собственная закрытая криптография, неопубликованные порты, «безопасность через ребрендинг» рассыпаются под сканерами, утечками, реверс-инжинирингом и инсайдерами. NIST и ISO считают сокрытие в лучшем случае слоем эшелонированной защиты — небольшим дополнительным затруднением, не заменяющим сильную аутентификацию, аутентифицированное шифрование, харденинг, мониторинг и патчинг.
● Примеры
- 01
Спрятать админ-панель по адресу /supersecret-admin, оставив слабую аутентификацию.
- 02
Изобрести «собственное шифрование» вместо использования AES-GCM.
● Частые вопросы
Что такое Security by Obscurity (безопасность через сокрытие)?
Подход, при котором главным средством защиты считается сокрытие дизайна, реализации или расположения системы, а не её внутренняя прочность. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Security by Obscurity (безопасность через сокрытие)?
Подход, при котором главным средством защиты считается сокрытие дизайна, реализации или расположения системы, а не её внутренняя прочность.
Как работает Security by Obscurity (безопасность через сокрытие)?
Подход «безопасность через сокрытие» исходит из того, что атакующий не справится, если не знает, как устроена система, где она находится и какой алгоритм используется. Принцип Керкгоффса (1883) это отвергает: криптосистема должна оставаться безопасной, даже если всё, кроме ключа, публично. Скрытые URL администратора, собственная закрытая криптография, неопубликованные порты, «безопасность через ребрендинг» рассыпаются под сканерами, утечками, реверс-инжинирингом и инсайдерами. NIST и ISO считают сокрытие в лучшем случае слоем эшелонированной защиты — небольшим дополнительным затруднением, не заменяющим сильную аутентификацию, аутентифицированное шифрование, харденинг, мониторинг и патчинг.
Как защититься от Security by Obscurity (безопасность через сокрытие)?
Защита от Security by Obscurity (безопасность через сокрытие) обычно сочетает технические меры и операционные практики, как описано в определении выше.
● Связанные термины
- compliance№ 299
Эшелонированная защита (Defense in Depth)
Стратегия безопасности, при которой независимые средства контроля выстраиваются слоями: отказ одного компенсируется другими через предотвращение, обнаружение или сдерживание.
- cryptography№ 249
Криптография
Наука о защите информации математическими методами, обеспечивающими конфиденциальность, целостность, подлинность и неотрекаемость в присутствии злоумышленника.
- appsec№ 982
Безопасное программирование
Практика написания исходного кода, минимизирующая дефекты безопасности за счёт оборонительных паттернов, языковых правил и общепризнанных руководств.
- appsec№ 1150
Моделирование угроз
Структурированный анализ, выявляющий активы, угрозы, уязвимости и меры защиты системы, чтобы безопасность закладывалась в дизайн, а не добавлялась после.
- identity-access№ 854
Принцип наименьших привилегий
Принцип безопасности, согласно которому каждому пользователю, процессу или сервису выдаётся только тот минимум прав, который строго необходим для его задач.