Читаем Как оценить риски в кибербезопасности. Лучшие инструменты и практики полностью

Моделирование вероятности того, насколько отдельный пароль уязвим при объединении подсказок, – задача посложнее. Чтобы ее решить, нужно понимать, как пользователи выбирают пароли. Так как в прошлом много раз происходили утечки паролей, для моделирования пространства выбора пароля можно использовать реально произошедшую утечку с минимальным ограничением паролей. Скажем, случившийся в 2009 году взлом компании RockYou, разрабатывавшей плагины и виджеты для сайтов социальных сетей. При этом произошла утечка 34 млн паролей. Объединенный набор паролей (без информации о пользователях) был взят с сайта https://wiki.skullsecurity.org/Passwords. Параметр для коэффициента наличия подсказок, помогающих взломать пароль, выбран 0,0001. На самом деле данный параметр не известен, поэтому эта оценка очень осторожная. Как правило, достаточно 10–20 подсказок, чтобы пароль можно было легко угадать. Этот параметр также зависит от количества людей, имеющих одинаковые пароли, но для простоты применяется точечная оценка. Задав в качестве условий количество пользователей с одинаковыми паролями и пространство паролей RockYou в виде функции распределения вероятности, указывающей способы выбора пользователями паролей, можно смоделировать подверженность отдельных пользователей внешнему воздействию следующим образом:

V = событие, когда пароль может быть угадан;

X = событие, когда X сотрудников имеют такой же пароль, как и пользователь;

N = взломанная база пользователей Adobe: ~153 млн;

PRY = функция плотности для каждого пароля из похищенных данных компании RockYou;

h = вероятность того, что подсказка пароля достаточно простая, чтобы позволить верно угадать пароль.

Эти результаты зависят от функции распределения вероятности пространства паролей компании RockYou. Если принять во внимание политику паролей, т. е. учитывать условное распределение для компании RockYou, согласующееся с политикой определения паролей, то первоначальный набор паролей, из которых выбирает пользователь, берется из распределения с гораздо более высокой энтропией.

При моделировании различных вариантов политики создания паролей и количества совпадений для эмпирической оценки кумулятивных функций распределения при различных политиках паролей меняют количество совпадений с паролем. Количество уязвимых паролей, т. е. паролей, с которыми связана простая подсказка, зависит от числа людей, использующих одинаковый пароль, и случаев повторного использования пароля. И с его помощью вычисляются оценка вероятности по методу максимального правдоподобия и 95 %-ный ДИ быстроты рассекречивания пароля отдельного сотрудника.

Объединив распределение, показывающее частоту повторного использования пароля, с распределением подверженности отдельного сотрудника внешнему воздействию, можно получить целый диапазон результатов (приведены на рис. Б.10). Сплошные линии показывают оценку вероятности подвергнуться воздействию по методу максимального правдоподобия, а пунктирные линии отмечают нижний и верхний пределы при использовании результатов 95 %-ного ДИ с низкими и высокими значениями распределения частоты повторного использования.

Рис. Б.10. Вероятность взлома в зависимости от размера компании и политики паролей

Модель дает представление о том, какой риск представляют собой взломанные учетные записи для организации в зависимости от аккаунтов сотрудников и политики паролей. Для повышения достоверности модели можно и нужно скорректировать несколько аспектов, в том числе указанные ниже.

1. Частота повторного использования пароля и подсказки определенно зависит от сложности пароля: люди, выбирающие хорошие пароли, не так часто создают для них подсказки. Однако при оценке на это обычно не делают поправку. Кроме того, объединение подсказок делает простые подсказки очень ценными, но и это не учитывается.

2. Принудительное введение политики паролей для базы пользователей, скорее всего, приведет к распределению с меньшей энтропией, чем условное распределение для компании RockYou. Например, если будет применена политика длины/типа символов, полагаю, что увеличится количество паролей, которые будут выглядеть следующим образом: P@ssw0rd123, pr!ncess123 и Trust№ 0ne!.

Одной из наиболее интересных областей кибербезопасности является киберконтрразведка – обнаружение угроз безопасности и особенно внутренних угроз. После разоблачений Сноудена федеральным агентствам было приказано разработать программы по снижению внутренних угроз, но на сегодняшний день лишь несколько агентств приняли какие-то серьезные меры.