Поддержать проект Telegram

База знаний

Зачем беспокоиться о безопасности? Почему приватность имеет значение Политика нулевого доверия (Zero Trust Policy) Как нарушается анонимность
Главная / Политика нулевого доверия (Zero Trust Policy)

Политика нулевого доверия (Zero Trust Policy)

6 мин 126 просмотров
Начинающий
Политика нулевого доверия (Zero Trust Policy)

Давай прямо: в кибербезопасности (да и в жизни тоже) всё держится на одном простом принципе — нулевое доверие. Звучит параноидально, но на деле это просто здравый смысл.

Вот у тебя есть какая-то информация. Ты услышал что-то на конференции, прочитал в чате, посмотрел на YouTube. Можно ли этому верить? Ну… в лучшем случае — под сомнением. В худшем — это вообще умышленный вброс, чтобы тебя запутать.

На кого можно опереться?

Первое, кому можно доверять (и то с оговорками) — это ты сам.

Если ты сам что-то протестировал, проверил, убедился — это хорошо. Главное, чтобы ты понимал, что именно проверяешь и насколько ты в этом разбираешься.

Ты захотел проверить, как шифруется твой трафик. Запустил сниффер, посмотрел — вроде бы не читается. Красота? Ну, почти. Если ты понимаешь, что именно и как именно нужно читать, и знаешь, что не упустил нюансы. Иначе сам себя обманул.

На втором месте — эксперты.

Те самые, которых все любят цитировать. У которых микрофоны, книги, курсы. Всё круто, но…

  • Они не отвечают за последствия, если ты сделал по их инструкции и всё пошло по не той инструкции.
  • Они, как и все, могут ошибаться.
  • А ещё у них есть интерес. Повестка. Или мотивация. А может — начальник с “видением”.

И вот тут начинается весёлое

Есть такая история с детекторами лжи. В интернете полно «лайфхаков», как их обмануть: подложи кнопку под ногу, вспоминай налоговую во время контрольных вопросов — ну, чтоб пульс скакал. Всё такое.

А теперь внимание: мне довелось общаться с полиграфологом старой школы. Работал ещё с КГБ. Он говорит:

Большая часть этих советов — это чушь, которую… сами полиграфологи и придумали. Чтобы заранее понимать, кто пришёл обманывать, и сразу видеть, где он “играет”.

Вот и весь лайфхак. Информацию вбросили умышленно. Чтобы сбить с толку.

А теперь ближе к нашей теме.

Возьмём, скажем, специалиста, который рассказывает, что «вот этот софт не ломается», «вот такие пароли не брутфорсятся». Он говорит:

Если вы поставите 20-значный пароль — вас никто не взломает.

И тут стоп. А он точно заинтересован, чтобы ты стал неуязвим?

Может, он сам работает с инструментами, которые эти пароли ломают, и просто хочет, чтобы ты думал, будто они неприступны? Или наоборот — чтобы ты расслабился?

Вспомним хотя бы скандалы с Группой ИБ — те же ребята, кто публично рассказывал про «надежные инструменты», потом оказались в центре уголовных дел. Так себе доверие, да?

Вопрос в модели интересов. Кто он тебе — друг, враг или кто-то третий? Зачем он это говорит? Какие у него цели? Какую роль он играет в этой истории?

Вывод простой: доверяй — проверяй.

Даже если тебе рассказывают «железобетонный способ» или показывают «проверенный тул», лучше:

  • попробовать самому;
  • сравнить с другими источниками;
  • задать себе вопрос: а кто от этого выигрывает, если я в это поверю?

Вот тебе пара кейсов в догонку:

Вот случай с PureVPN — они официально писали про “no logs”, а потом сдали пользователя по запросу властей. Красиво?

Или вот в 2017 году WannaCry, который зашифровал файлы сотен тысяч пользователей. Почему сработало? Потому что люди не обновляли систему. В один день — и всё: бизнесы остановились, больницы стали недоступны, сервера умерли.

Кибератака на трубопровод в США — Colonial Pipeline. Один вирус — и пол-страны без бензина. Люди в очередях, паника, цены вверх. И всё это — не в 2045 году, а в 2021.

И да, я сам не исключение

Я тоже могу ошибаться. У меня свои взгляды. Свой опыт. Но ты, читая это, обязан — обязан! — не просто кивать, а спрашивать:

  • «А почему он это говорит именно так?»
  • «А что говорят другие?»
  • «А как я могу это проверить?»

Политика нулевого доверия — она не про страх. Она про гигиену мышления.

Сегодня ты поверил в «безопасный VPN», а завтра проснулся с утекшим логом, потому что не проверил, кто его поднял.

Сегодня ты поверил, что браузер «самый приватный», а через год узнал, что он спокойно сливал DNS-запросы в Google.

Сегодня ты поверил, что «никто не взломает такую флешку», а потом в твой ноутбук просто воткнули USB с эксплойтом, пока ты ходил за кофе.

Надо проверять всё. Вообще всё.

  • Проверяешь, как работает VPN? Не поленись — глянь, не торчит ли твой IP наружу.
  • Настроил сервер? Пробеги его простыми эксплойтами.
  • Читаешь инструкцию? Посмотри, не повторяют ли другие то же самое — или, наоборот, спорят.
  • Эксперт говорит «вот точно так»? Подумай, зачем ему это утверждать.

Финал простой:

Не надо впадать в паранойю. Но если ты выстроишь себе одну «лазейку» — типа «ну вот этому источнику я доверяю на 100%» — знай:

В этой точке тебе и прилетит. Безопасность ломается всегда там, где ты расслабился.

Одна ошибка — и можно будет очень долго и очень больно всё разгребать. Особенно если пострадает что-то ценное — не только файлы, но, скажем, репутация. Или бизнес.

Так что нет, это не про фольгу. Это про мозг. Просто включай его почаще, и будет тебе цифровой покой.

Оцените эту статью

5,0
(2 оценок)
Кликните на звезду, чтобы оценить
← Предыдущий материал Почему приватность имеет значение Следующий материал → Как нарушается анонимность