«Сложность разрушает кибербезопасность сегодня, но переоценка подхода к информационным технологиям в целом может нас спасти».
Так говорит Даниэль Грусс, доцент группы «Secure Systems» Австрийского технологического университета в Граце. Грусс и его коллеги обнаружили некоторые из самых больших за последнее время недостатков в системе безопасности, включая дефекты в конструкции микропроцессоров «Meltdown» и «Spectre», рабочий эксплойт «Rowhammer», атаки на Intel SGX, в том числе «Plundervolt», и многие другие уязвимости.
Выступая на конференции Black Hat Asia, проходившей в пятницу в Сингапуре, Грусс заявил, что несмотря на теоретическую возможность обезопасить современную информационную систему - это редко делается в реальном мире для боевых систем. Мир привык использовать лабиринты взаимосвязанных, непроверенных и часто даже полностью недокументированных систем, утверждает он.
Возникающая в результате переусложнённость конечной конструкции не позволяет считать, что все части системы безопасны из-за множества подсистем и взаимодействий, которые невозможно проверить или обезопасить. Даже выявление проектных ошибок, зарытых в этом клубке информационных систем, требует долгих и глубоких расследований, которые Грусс и его коллеги проводили при поиске утечек данных.
Доцент также выдвинул свою теорию, что по мере того, как закон Мура подходит к своему экстремуму, мы будем использовать все больше и больше систем с все большим количеством процессорных ресурсов, взаимодействующих друг с другом, что означает еще больший риск для безопасности. По его мнению, построение более простых систем - это не вариант, потому что человечество сейчас ожидает повсеместных высокопроизводительных вычислений.
Все это приводит к тому, что мы оказываемся в мире, где отдельные системы несовершенны, взаимодействие между ними не может быть защищено, мы каждый день строим и соединяем друг с другом все больше серверов. Несмотря на осознание роста рисков - мы не можем, и не будем меняться.
К счастью, Грусс думает, что есть способ остановить этот беспорядок противоречий, оказывающих катастрофическое воздействие.
Его первое предложение заключается в том, что мы должны переосмыслить информационные технологии. Сегодня, по его словам, «информатика» считается формальной наукой. Грусс сказал, что это нужно переосмыслить по двум причинам.
Для начала, по его словам, сложность компьютеров и сетей теперь приближается к сложностям структур, организмов и популяций, которые встречаются в биологии. Другая причина заключается в том, что применение эмпирических методов является лучшим способом тестирования систем и их взаимодействия.
«Наши системы становятся все более сложными, поэтому нам приходится тратить все больше и больше времени на изучение их природы» - заявил он.
Грусс считает, что это может быть хорошей новостью для профессионалов в области безопасности, потому что мир явно будет нуждаться в них, и многие будут иметь возможность развиваться. «В 30-летней перспективе я ожидаю, что у нас будет больше людей, изучающих и анализирующих системы, и больше разнообразных рабочих мест в области безопасности» ,- сообщил он участникам виртуальной конференции.
Он также заявил, что пока невозможно предсказать, с какой точки зрения нам нужно будет оценивать безопасность в будущем.
«Без интернета не процветали бы шантажисты с шифровальщиками», - сообщил Грусс, иллюстрируя, как изменения шаблонного использования информационных технологий может привести к совершенно непредвиденным проблемам.
Он также предположил, что страховщики будут играть большую роль, потому что эмпирический метод может выявить больше рисков. А страховщики действительно любят разрабатывать продукты, которые снижают риски. Наличие страховки, конечно, не может быть основанием для снижения бдительности, а в некоторых случаях, ее наличие может даже привлекать кибермошенников.
«У нас точно будет гарантия занятости на ближайшие годы для всех, кто работает в области аналитики информационной безопасности, - сообщил Грусс, - Полагаю, это хорошо».
Перевод сделан со статьи https://www.theregister.com