Факторний аналіз ризиків на прикладі інциденту з програмним забезпеченням реєстру глобальної маршрутизації
DOI:
https://doi.org/10.35681/1560-9189.2020.1.1.207783Ключові слова:
управління ризиками, глобальна маршрутизація, безпека програмного забезпечення, перехоплення маршрутів, кібербезпекаАнотація
При проектуванні та розробці програмних систем будь-якої складнос-ті важливим і необхідним є управління проектним ризиком. Методологія базується на аналізі загроз, реалізація яких може певним чином вплинути на систему та її власника. Впровадження нових технологій RPKI призвело до появи нової єдиної точки відмови в системі глобальної маршрутизації мережі Інтернет. Питанню поводження з ризиками в процесі розробки та експлуатації програмного забезпечення для реєстрів глобальної маршрутизації було приділено недостатньо уваги, в результаті чого стався глобальний інцидент безпеки, який класифікується як «перехоплення маршрутів». Проведено аналіз помилок ризик-менеджменту методом декомпозиції основного ризику та подальшого факторного аналізу.
Посилання
Andreas Reuter, Randy Bush, Italo Cunha, Ethan Katz-Bassett, Thomas C Schmidt, and Matthias Wählisch. Towards a rigorous methodology for measuring adoption of RPKI route validation and fltering. ACM SIGCOMM Computer Communication Review, 48(1):19–27, 2018.
Zubok V. Retrospektyvnyy analiz intsydentiv kiberbezpeky, pov"yazanykh z atakamy na hlobal'nu marshrutyzatsiyu. Modelyuvannya ta informatsiyni tekhnolohiyi. 2019. Vyp. 86. S. 42–49.
MERIT. List of Routing Registries. URL: http://www.irr.net/docs/list.html (Data zvernennya: 20.04.2020).
RIPE NCC. BGP Origin Validation. URL: https://www.ripe.net/manage-ips-and-asns/resource-management/certification/bgp-origin-validation (Data zvernennya: 20.04.2020).
RPKI ROA Deletion: Post-mortem. URL: https://www.ripe.net/ripe/mail/archives/routing-wg/ 2020-April/004072.html (Data zvernennya: 21.04.2020).
This is how you deal with route leaks. Qrator Labs corporate blog. Information Security, Network technologies. URL: https://habr.com/en/company/qrator/blog/495260/ (Data zvernennya: 21.04.2020).
Russian Telco Hijacked Internet Traffic of Major Networks — Accident or Malicious Action?: URL: https://www.securityweek.com/russian-telco-hijacked-internet-traffic-major-networks-accident-or-malicious-action (Data zvernennya: 21.04.2020).
NASA-GB-9719.13: NASA Software Safety Guidebook. NASA Technical Standard. — Washington D.C. National Aeronautics and Space Administration, 2004.
Measuring and Managing Information Risk: A FAIR Approach. URL: https://www.fairinstitute.org/ fair-book (Data zvernennya: 10.06.2020).
