Экспертный материал
Алексей Залецкий | специалист по информационной безопасности
Любой современный бизнес сталкивается с киберугрозами, которые не так очевидны, как финансовые угрозы и угрозы физической безопасности бизнеса, но потенциально могут нанести гораздо больший вред.
Столкнувшись с инцидентами информационной безопасности или требованиями регуляторов, первый вопрос, который встает перед любой компанией: «На чём основываться при создании системы защиты информации?». И тут на помощь приходит процедура моделирования угроз, которая позволяет определить актуальные угрозы безопасности, от которых и необходимо защищать бизнес.
Без моделирования угроз либо будет построена избыточная система защиты, защищающая в том числе от угроз, которых нет. Либо неэффективная система защиты, не охватывающая все актуальные угрозы.
Что такое модель угроз и кому необходимо ее разрабатывать
Модель угроз является фундаментом для создания системы защиты информации. При создании любой системы защиты в первую очередь нужно ответить на следующие вопросы:
-
Что защищаем?
-
От чего защищаем?
-
Какой ущерб может быть нанесен?
Первый и третий вопрос относится к оценке рисков. Оценка и анализ рисков позволит определить все активы в компании, которые необходимо защитить, определить их стоимость, критичность и какой ущерб может быть нанесён этим активам.
Как результат оценки рисков будет понимание, сколько обосновано компания может потратить на создание системы защиты информации. Так как информационная безопасность - это почти неосязаемая сфера, пока не случится инцидент, крайне важно руководству иметь какие-то ориентиры для определения объёма финансирования этой составляющей.
Но если смотреть с точки зрения построения системы защиты, даже при отчетливо понятных границах бюджета всё равно остаётся вопрос: «А от чего защищать?». И ответ на этот вопрос предоставляет модель угроз. Она позволяет понять, какие угрозы для компании актуальны, а какие нет, и что даёт возможность построить действительно эффективную систему защиты.
Моделирование угроз является обязательным для компаний, которые создают систему защиты в соответствии с требованиями регуляторов. То есть если у вас обрабатываются персональные данные или есть государственная информационная система либо даже критическая информационная инфраструктура, то вам это точно нужно. В остальных случаях - не обязательно. Но чем вы будете руководствоваться при выборе мер защиты? Можно, конечно, придерживаться лучших практик, но где гарантия, что созданная вами система будет не избыточно и при этом достаточна.
О том, как разработать модель угроз и на что обратить внимание, мы писали в статье.
Что нового в моделировании угроз
5 февраля 2021 года вышла новая методика ФСТЭК России по определению актуальных угроз. В этой методике нет ни одной формулы, она вся основывается на экспертном подходе и сочетает в себе определение актуальных угроз с риск ориентированным подходом. Это весьма современный документ, который учитывает в том числе вариант размещения защищаемых систем в облаках.
С 2015 года существует ресурс bdu.fstec.ru, который крайне полезен при моделировании угроз, а для некоторых типов систем даже обязателен.
Чего пока нет, так это новых базовых моделей угроз. Есть базовая модель угроз КСИИ от 2007 года (которая, в дальнейшем заменила документы по КИИ, кроме как раз базовой модели угроз) и базовая модель угроз персональных данных от 2008 года.
Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры (утв. ФСТЭК России 18.05.2007) имеет гриф ДСП (для служебного пользования и не распространяется свободно).
Основные сложности при моделировании угроз
Самое сложное при моделировании угроз по новой методике - это разработка реалистичных сценариев. В методике приводятся только графические примеры таких сценариев. Но что, если актуальных угроз, например, штук 10, и на каждую есть по 10 разных сценариев. Трудоёмкость рисования этих сценариев становится крайне высока.
В конце данной статьи приводится более простой способ составления сценариев реализации угроз в табличном виде.
Кроме того, не имея опыта попытки эксплуатации уязвимостей как можно определить, реалистичный сценарий или нет. В идеале в команде экспертов должен быть пентестер, который точно может на основе своего опыта сказать, будет сценарий реалистичным или нет.
Используемые методики, иные документы и ресурсы
В первую очередь это методика оценки угроз безопасности информации ФСТЭК России от 5 февраля 2021 года.
Базовая модель угроз безопасности персональных данных при обработке в информационной системе персональных данных, утвержденная заместителем директора ФСТЭК России 15.02.2008.
Базовая модель угроз безопасности информации в ключевых системах информационной инфраструктуры, утвержденная ФСТЭК России 18 мая 2007 г.
Отраслевые базовые модели угроз.
Сайт Банка данных угроз ФСТЭК России.
Основные этапы моделирования угроз
В соответствии с новой методикой определение актуальных угроз проводится в три этапа:
Этап 1. Определение негативных последствий
Это как раз интеграция риск ориентированного подхода в процесс моделирования угроз. Но есть отличия. В риск ориентированном подходе сначала определяются активы, которым может быть нанесён ущерб, а уже потом определяются негативные последствия для этих активов.
В данном же случае негативные последствия определяются в отношении физических, юридических лиц и государства. То есть суммарный риск по всем активам.
Этап 2. Определение возможных объектов воздействия угроз безопасности информации
На данном этапе определяются конкретные активы, которым может быть нанесён вред. Начиная с информации, циркулирующей в информационной системе, заканчивая ПО и машинными носителями.
Этап 3. Оценка возможности реализации (возникновения) угроз безопасности информации и определение их актуальности.
Определяются источники угроз безопасности. В новой методике рассматриваются только антропогенные источники, иначе говоря, злоумышленники. Техногенные и природные факторы в расчёт не берутся. Как результат, должен быть определен список актуальных нарушителей.
Актуальные нарушители бывают как внешние, так и внутренние. Кроме того, они обладают разным потенциалом воздействия. Например, администратор будет иметь гораздо больше возможностей по взлому и нанесению негативных последствий, чем рядовой пользователь. Так же возможности спецслужб и опытных хакерских групп гораздо выше, чем возможности хакеров одиночек.
В новой методике определены четыре уровня возможностей нарушителей:
-
базовые возможности по реализации угроз безопасности информации (Н1);
-
базовые повышенные возможности по реализации угроз безопасности информации (Н2);
-
средние возможности по реализации угроз безопасности информации (Н3);
-
высокие возможности по реализации угроз безопасности информации (Н4).
Здесь есть отличия от того, как возможности классифицируются в Банке данных угроз (БДУ) ФСТЭК России, которые делятся на:
-
нарушитель с низким потенциалом;
-
нарушитель со средним потенциалом;
-
нарушитель с высоким потенциалом.
Возможно, в БДУ приведут классификацию нарушителей к формату новой методики. Но на данный момент принято считать, что нарушителям с базовыми, повышенными и средними возможностями соответствуют нарушителям со средним потенциалом.
Оценка актуальности угроз безопасности информации
Угроза является актуальной, если от реализации угрозы может быть нанесён ущерб, есть актуальный нарушитель и сценарий реализации угрозы.
В качестве исходных данных используются данные, собранные и систематизированные на предыдущих этапах. Явным образом не рассматривается мотивация нарушителя, но понятно, что немотивированного нарушителя вы при моделировании угроз навряд ли отнесете к актуальным.
Самое сложное - это определение сценариев реализации угроз.
В методике приведены примеры таких сценариев, например:
Данный сценарий показывают последовательность атаки на инфраструктуру промышленного предприятия. Для получения доступа к корпоративной сети используется атака отказ в обслуживании и письмо с вредоносным вложением. Что дальше позволяет с компьютеров корпоративной сети изменить настройки межсетевого экрана между корпоративной сетью и производственным сегментом и совершить атаку на сеть АСУ ТП, выводя из строя технологический процесс.
Разработка сценариев реализации угроз
Сценарии в графическом виде выглядят наглядно, но при большом количестве сценариев трудоёмкость составления модели угроз вырастает в разы.
Более удобный и предсказуемый в плане трудозатрат вариант - сценарии в табличном виде.
Примеры сценариев
Пример сценариев в табличном виде:
УБИ | Наименование угрозы | Актуальность угрозы | Потенциал нарушителя | Тактика | Основные техники |
3-й уровень (обеспечения системного программного обеспечения серверных компонентов) | |||||
6 | Угроза внедрения кода или данных | Актуальная | Внешний нарушитель с низким потенциалом |
Т3 T10 |
Т3.1-Т3.9 Т10.1-Т10.7 |
8 | Угроза восстановления аутентификационной информации | Актуальная | Внешний нарушитель с низким потенциалом | Т6 | Т6.1-Т6.7 |
14 | Угроза длительного удержания вычислительных ресурсов пользователями | Актуальная | Внешний нарушитель с низким потенциалом | T10 | Т10.10-Т10.11 |
15 | Угроза доступа к защищаемым файлам с использованием обходного пути | Актуальная | Внешний нарушитель с низким потенциалом | T9 | Т9.4, Т9.7 |
22 | Угроза избыточного выделения оперативной памяти | Актуальная | Внешний нарушитель с низким потенциалом | T10 | Т10.10-Т10.11 |
28 | Угроза использования альтернативных путей доступа к ресурсам | Актуальная | Внешний нарушитель с низким потенциалом | T9 | Т9.11 |
31 | Угроза использования механизмов авторизации для повышения привилегий | Актуальная | Внешний нарушитель с низким потенциалом | Т6 | Т6.1-Т6.9 |
34 | Угроза использования слабостей протоколов сетевого/локального обмена данными | Актуальная | Внешний нарушитель с низким потенциалом | Т7 | Т7.21 |
Номера тактик и техник можно взять из приложения к методике и добавить собственные. Данный табличный вид позволяет автоматизировать процесс моделирования. Можно разработать свой шаблон сценариев, например, в Excel. Где, выбирая из перечня тактик и техник, можно за сравнительно небольшое время получить сценарии всех актуальных угроз.
Более детально сценарии реализации угроз безопасности, мы рассматривали на вебинаре.
Заключение
Процесс моделирования угроз весьма не прост, но разобраться в нём по силам каждому. Для качественного моделирования угроз лучше обращаться к профессионалам, потому что, как уже упоминалось в статье, для определения реалистичных сценариев угроз нужно привлекать опытных аудиторов и пентестеров. Компания Corpsoft 24 в рамках услуг размещения в облаке информационных систем, обрабатывающих информацию ограниченного доступа, предоставляет услуги по моделированию угроз, так и полного спектра услуг по защите информации.