В настоящее время программы становятся все более сложными потому, что клиенты ожидают от них дополнительных функций и возможностей. В такой ситуации утечки информации избежать невозможно. Поэтому очень актуальной задачей на сегодняшний день является разработка инструментов и методов обнаружения и минимизации утечек.
Утечка информации на одном участке программы может привести к распространению риска утечки на другие участки или на все программное обеспечение в целом.
Когда организации обнаруживают утечку информации в программном обеспечении, их команды инженеров по устойчивому развитию или менеджеров качества просто исправляют часть программного обеспечения. Однако организациям становится трудно документировать общее снижение риска утечки.
Современные программы очень громоздкие и очень сложные с точки зрения кода.
По-другому невозможно обеспечить большое количество функций, объединённых в единое программное обеспечение. В этих условиях разработчикам приходится ослаблять политику безопасности и допускать незначительную утечку информации.
Из-за большого объёма разработчики иногда допускают ошибки в кодировании, которые могут приводить к утечке информации. Чтобы обеспечить баланс между удобством пользователей и утечкой закрытой информации необходимо установить определённый порог.
Прежде чем объяснять и применять количественные показатели утечки информации в промышленном программном обеспечении, важно понять все технические сложности, связанные с количественным анализом утечки информации.
Требования политики безопасности значительно усложняют разработку программного обеспечения. Строгое соблюдение политики в отношении программного обеспечения затрудняет его использование. Строгая политика безопасности влияет на удобство использования, доступность программного обеспечения и стоимость внедрения.
Строгая политика безопасности делает клиентов и ИТ-организации несчастными.
Для повышения доступности и удобства использования программного обеспечения разработчики ослабляют политику безопасности. Но слабая политика безопасности может привести к утечке информации.
Примером такой утечки может служить пользовательский интерфейс банкомата и средства проверки паролей. В банкомате, если пользователь вводит неправильный контакт, пользовательский интерфейс показывает сообщение о том, что введённый номер контакта неверен и доступ запрещён. Таким образом, если рядом злоумышленник и у него есть список из возможных номеров, то он узнает, что введённый номер неверен и может исключить неверный номер из своего списка возможных номеров.
Это пример, когда разработчик пытается разработать удобный для пользователя интерфейс банкомата, но в конечном итоге оказывается с системой, которая пропускает информацию. Хотя такая утечка информации очень мала, но ею нельзя пренебрегать.
Предложена методика расчёта риска утечки информации для программного обеспечения:
- Преобразование сложного, неравномерного и иерархического распределения событий в простую цепочку информационных последовательностей.
- Поток информации и обмен информацией между компонентами программного обеспечения должны проходить без утечек.
- Выполнение кода производится в сети, поэтому и сетевое соединение должно работать в течение всего процесса.
Такая модель является весьма гибкой и позволяет находить альтернативные решения. Организации могут добавлять детали в зависимости от своих потребностей для получения более низкого риска утечки.
Предлагаемый метод также облегчит задачу документирования, выполняемую устойчивой инженерной группой в ИТ-компаниях, поскольку предлагаемый метод также позволяет количественно оценить фактор снижения риска. Поддерживающие команды инженеров или команды по обеспечению качества могут найти фактор риска до или после применения путча. На основании рассчитанной величины можно также рассчитать снижение риска.
Предлагаемая модель открыта для применения большего количества статистических концепций для достижения результатов, в большей степени ориентированных на отрасль.
Если вам понравился мой маленький рассказ, то поддержите меня и подпишитесь на канал, оставьте свой комментарий и приходите снова.Я буду Вас ждать! Спасибо за уделенное время!
