Předpokládaná bezpečnost - Presumed security

Předpokládaná bezpečnost je princip v bezpečnostní inženýrství že systém je bezpečný před útokem kvůli tomu, že útočník předpokládá na základě pravděpodobnosti, že je zabezpečený. Předpokládaná bezpečnost je opakem bezpečnost prostřednictvím neznáma. Systém spoléhající se na zabezpečení prostřednictvím neznáma může mít skutečné chyby zabezpečení, ale jeho vlastníci nebo návrháři záměrně dělají systém složitějším v naději, že útočníci nebudou schopni najít chybu. Naopak systém spoléhající se na předpokládané zabezpečení se nepokouší řešit své bezpečnostní chyby, které mohou být veřejně známé, ale místo toho se spoléhá na potenciální útočníky jednoduše za předpokladu, že cíl nestojí za to útočit. Důvody pro to, aby útočník tento předpoklad vytvořil, se mohou pohybovat od osobního rizika (útočník věří, že vlastníci systému je mohou snadno identifikovat, zachytit a stíhat) až po technologické znalosti (útočník je přesvědčen, že vlastníci systému mají dostatečné znalosti bezpečnostních technik, aby zajistili žádné chyby existující, což znemožňuje útok).

Ačkoli je tento přístup k zabezpečení implicitně chápán bezpečnostními profesionály, je zřídka diskutován nebo dokumentován. Zdá se, že fráze „předpokládaná bezpečnost“ byla poprvé vytvořena webem s komentářem k bezpečnosti Zero Flaws.[1] Článek používá Královská vojenská akademie Sandhurst jako příklad se zaměřením na zjevný nedostatek bezpečnosti vstupu a porovnáním s předpokládanou bezpečností, kterou bude mít vojenské zařízení. Tento článek také podrobně popisuje nedostatky spojené s a důvěra pečeť jako je pečeť Verisign Secure Site a vysvětluje, proč tento předpokládaný bezpečnostní přístup ve skutečnosti poškozuje celkovou pozici zabezpečení.

Odkazy a poznámky

  1. ^ „Nulové chyby: předpokládaná bezpečnost“. Archivovány od originálu 16. října 2012. Citováno 2009-08-23.CS1 maint: BOT: stav původní adresy URL neznámý (odkaz)