More Related Content
Similar to Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Similar to Алексей Лукацкий - Как сформировать правильную модель сетевых угроз (20)
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
- 1. Построение модели
угроз
Алексей Лукацкий
Бизнес-консультант по безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 1/95
- 2. Общий подход к
оценке угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 2/95
- 3. “Анализ рисков, оценка их вероятности и
тяжести последствий похожа на
посещение игроками Лас-Вегаса – зал
общий, а система игры у каждого своя”
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 3/95
- 4. Что такое угроза?
Возможная причина нежелательного инцидента,
который может закончиться ущербом для системы
или организации
ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002
Потенциальная причина инцидента, который может
нанести ущерб системе или организации
ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 4/95
- 5. Что такое риск?
Вероятная частота и вероятная величина будущих
потерь
Метод FAIR
Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002
Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005
Вероятность причинения ущерба вследствие того, что
определенная угроза реализуется в результате
наличия определенной уязвимости
ГОСТ Р 52448-2005
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 5/95
- 6. Элементы риска / угрозы
Риск / угроза описывается комбинацией следующих
элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее
Эффективность моделирования угроз зависит от того,
сможем ли мы оценить эти элементы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 6/95
- 7. Характеристики угроз
Также надо учитывать и другие характеристики
(например, согласно ISO 13335)
Источник – внутренний или внешний;
Мотивация, например финансовая выгода, конкурентное
преимущество
Частота возникновения
Правдоподобие
Вредоносное воздействие
Нельзя забывать про длительность воздействия
угрозы
Разовая утечка информации vs. DDoS-атака в течение
квартала
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 7/95
- 8. Модель угроз
Практически нигде не определено понятие «модели
угроз»
Описание источников угроз ИБ; методов реализации
угроз ИБ; объектов, пригодных для реализации угроз
ИБ; уязвимостей, используемых источниками угроз
ИБ; типов возможных потерь (например, нарушение
доступности, целостности или конфиденциальности
информационных активов); масштабов
потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной
безопасности организаций банковской системы РФ. Методика
оценки рисков нарушения информационной безопасности»
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 8/95
- 9. Анализ угроз vs. анализ рисков
Согласно ряду стандартов моделирование угроз
предшествует оценке рисков
Согласно другим стандартам и лучшим практикам
анализ угроз и анализ рисков очень тесно
переплетены
Анализ рисков позволяет ответить на 3 вопроса
(согласно ГОСТ Р 51901.1-2002 «Менеджмент риска.
Анализ риска технологических систем»)
Что может выйти из строя (идентификация опасности)
С какой вероятностью это может произойти (анализ частоты)
Каковы последствия этого события (анализ последствий)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 9/95
- 10. Вопросы для модели угроз
Модель нарушителя должна ответить на
следующие вопросы
Какие угрозы могут быть реализованы?
Кем могут быть реализованы эти угрозы?
Модель нарушителя
С какой вероятностью могут быть реализованы эти угрозы?
Каков потенциальный ущерб от этих угроз?
Каким образом могут быть реализованы эти угрозы?
Средства и каналы реализации
Почему эти угрозы могут быть реализованы?
Уязвимости и мотивация
На что могут быть направлены эти угрозы?
Как можно отразить эти угрозы?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 10/95
- 11. Как моделировать
быстро и просто?!
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 11/95
- 12. Cisco SAFE
Набор лучших практик
по построению
надежной и
защищенной сети
Дизайны и конфигурации
354 страницы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 12/95
- 14. Основные угрозы для сети
Отказ в обслуживании (DoS)
Распределенный отказ в обслуживании (DDoS)
Неавторизованный доступ
Перехват сессии
«Человек посередине»
Эскалация привилегий
Вторжения
Ботнеты
Атаки на протоколы маршрутизации
Атаки на протокол Spanning tree (STP)
Атаки второго уровня (L2)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 14/95
- 15. Атаки второго уровня
Атаки «шторм MAC» Атаки на DHCP
Коммутатор 00:0e:00:aa:aa:aa
DHCP-
работает как
концентратор
00:0e:00:bb:bb:bb
00:0e:00:aa:aa:cc
00:0e:00:bb:bb:dd
X сервер
132 000 etc
произв.
DHCP DoS “DHCP
MAC- Request”
адресов
“Вот IP-
адрес!”
Атаки типа «посредник» Атаки подмены IP-адреса
Сервер
Шлюз = 10.1.1.1
эл.
MAC=A Si
почты
“Мой адрес
10.1.1.50 !”
“ Ващ
пароль:
‘joecisco’ !”
Атакующий = 10.1.1.25 Жертва = 10.1.1.50
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 15/95
- 16. Угрозы = метод нейтрализации
Шпион-
Подмена Атаки Нару-
DoS/ ское ПО, Конт- Управ-
IP-адреса Ботнеты НСД шение
DDoS L2 ВПО, роль ление
отправ. политик
реклама
Защита ПК
Фильтр. на пер.
IPS
Контроль
доступа
Сетевая
аутентификация
Защита
инфраструктуры
Управление
доступом (AAA)
Маршрутизация
Учет трафика
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 16/95
- 17. Угрозы тоже меняются
Угрозы носят заказной и
криминальный характер
Угрозы и криминалитет
становятся быстрее,
умнее & неуловимее
Точечные (даже лучшие
в своем классе)
решения не
справляются в одиночку
с ростом угроз
Заказчики не могут
защищать свои ресурсы
в режиме 24х7
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 17/95
- 18. Старые методы уже не работают
Мотивация Известность Деньги
Метод Дерзко Незаметно
Фокус Все равно Мишень
Средства Вручную Автомат
Результат Подрыв Катастрофа
Тип Уникальный код Tool kit
Цель Инфраструктура Приложения
Агент Изнутри Третье лицо
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 18/95
- 19. Процесс
моделирования
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 19/95
- 20. Разные процессы моделирования
Существует различные
описанные процессы
моделирования угроз
Более детально
рассмотрим ГОСТ Р
51901.1-2002
Источник: Ford Motor Company
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 20/95
- 21. Этапы моделирования угроз
Определение области
применения
Идентификация опасности и
предварительная оценка
последствий
Оценка величины угрозы
Проверка результатов
анализа
Документальное обоснование
Корректировка результатов
анализа с учетом последних
данных
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 21/95
- 22. Область применения
Область применения должна быть определена и
задокументирована
Этапы определения области применения
Описание оснований для и/или проблем, повлекших
моделирование угроз (анализ риска)
Описание исследуемой системы
Установление источников, содержащих информацию о всех
технических, правовых, человеческих, организационных
факторах, имеющих отношение к системе и проблемам
Описание предположения, ограничивающих анализ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 22/95
- 23. Область применения - сеть
Для определения области достаточно высокоуровневой схемы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 23/95
- 25. На результат это не влияет
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 25/95
- 26. Область применения - сеть
Источники информации
Карты сети
Результаты работы сканеров безопасности или средств
построения топологии
Общение с ИТшниками или интеграторами, построившими сеть
Предположения, ограничивающие анализ
Динамичность среды (например, IP-адресации или появление
мобильных устройств)
Информация об арендуемых каналах связи
Сеть – это не только набор сетевых устройств и
каналов связи
Это помещения, персонал (включая подрядчиков),
электричество, неконтролируемый Интернет
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 26/95
- 27. Пример: атаки на банкоматы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 27/95
- 28. Админы – это часть сети!
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 28/95
- 29. Идентификация опасности
Необходимо идентифицировать опасности
Известные опасности (происходившие ранее) должны быть
четко и точно описаны
Неучтенные ранее опасности должны быть идентифицированы
с помощью формальных методов анализа
Предварительная оценка должна основываться на анализе
последствий и изучении их основных причин
Предварительная оценка позволяет сделать
следующий шаг
Принятие немедленных мер с целью снижения или исключения
опасностей
Прекращение анализа из-за несущественности опасности
Переход к детальной оценке рисков и угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 29/95
- 30. Каталоги угроз
ГОСТы 51901 и 51275 позволяют сформировать
высокоуровневый список возможных угроз, который
может быть расширен за счет каталогов угроз
Каталоги угроз
BSI – Threats Catalogue Force majeur (370 угроз)
MAGERIT
BITS (70 категорий угроз, свыше 600 общих угроз)
ISF (49 угроз)
CRAMM (37 угроз)
MELANI (12 угроз)
MS Threat Model (36 атак)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 30/95
- 32. Анализ последствий
Анализ последствий используется для оценки
вероятного воздействия, которое вызывается
нежелательным событием
Анализ последствий должен
Основываться на выбранных нежелательных событиях
Описывать любые последствия, являющиеся результатом
нежелательных событий
Учитывать меры, направленные на смягчение последствий,
наряду с условиями, оказывающими влияние на последствия
Устанавливать критерии, используемые для полной
идентификации последствий
Учитывать как немедленные последствия, так и те, которые
могут проявиться по прошествии определенного времени
Учитывать вторичные последствия на смежные системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 32/95
- 33. Последствия и свойства информации
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и
средства обеспечения безопасности. Выбор защитных
мер» выделяет 6 свойств информации, для которых
описываются последствия
Конфиденциальность
Целостность
Доступность
Подотчетность
Аутентичность
Достоверность
Такая классификация позволяет систематизировать
последствия
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 33/95
- 34. Другие формы последствий
• Простои
Продуктивность • Ухудшение психологического климата
• Расследование инцидента
Реагирование • PR-активность
• Замена оборудования
Замена • Повторный ввод информации
• Судебные издержки, досудебное урегулирование
Штрафы • Приостановление деятельности
• Ноу-хау, государственная, коммерческая тайна
Конкуренты • Отток клиентов, обгон со стороны конкурента
• Гудвил
Репутация • Снижение капитализации, курса акций
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 34/95
- 35. Оценка риска
На практике идентификация опасностей может
приводить к очень большому числу сценариев
потенциальных инцидентов
Детальный количественный анализ частот и последствий в
таком случае не всегда возможен и осуществим
Необходимо качественно ранжировать сценарии,
поместив их в матрицы риска
Детальный количественный анализ осуществляется для
сценариев с более высокими уровнями рисков
Не существует универсальной формы и содержания
матрицы риска
Классификация частот и серьезности последствий (как и
количество их категорий) могут меняться в зависимости от
ситуации
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 35/95
- 36. Пример матрицы риска
Классификация риска: Источник: ГОСТ Р 51901.1-2002
• В – высокая величина риска
• С – средняя величина риска
• М – малая величина риска
• Н – незначительная величина риска
Классификация серьезности последствий:
• Катастрофическое – практически полная потеря анализируемого объекта
• Значительное – крупный ущерб системе
• Серьезное – серьезный ущерб системе
• Незначительное – незначительное повреждение системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 36/95
- 37. Анализ неопределенностей
Для эффективной интерпретации значений риска и
угроз очень важно понимание неопределенностей и
вызывающих их причин
Анализ неопределенностей предусматривает
определение изменений и неточностей в результатах
моделирования, которые являются следствием
отклонения параметров и предположений,
применяемых при построении модели
С анализом неопределенностей тесно связан анализ
чувствительности
Анализ чувствительности подразумевает
определение изменений в реакции модели на
отклонения отдельных параметров модели
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 37/95
- 38. Проверка анализа
Проверка анализа позволяет убедиться, что анализ
проведен корректно и ничего не забыто
Для проверки анализа необходимо привлекать людей,
не участвующих в анализе
Проверка анализа включает
Проверка соответствия области применения поставленным
задачам
Проверка всех важных допущений
Подтверждение правильности использованных методов,
моделей и данных
Проверка результатов на повторяемость
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 38/95
- 39. Как оформить
модель угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 39/95
- 40. Содержание по ГОСТ Р 51344-99
Документация оценки и определения риска включает
Характеристика оборудования (техусловия, область
применения, использование по назначению)
Любые относящиеся к делу предположения, которые были
сделаны (например, факторы безопасности и т.д.)
Идентифицированные опасности
Информация, на основании которой сделана оценка и
определение риска (использованные данные и источники)
Сомнения, связанные с использованными данными и
источниками
Цели, которые должны быть достигнуты защитными мерами
(например, конфиденциальность, целостность и т.д.)
Меры безопасности, принимаемые для устранения выявленных
опасностей или уменьшения риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 40/95
- 41. Содержание по ГОСТ Р 51344-99 (окончание)
Документация оценки и определения риска включает
Остаточные риски
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 41/95
- 42. Содержание по ГОСТ Р 51901.1-2002
Отчет по анализу риска/угроз включает
Краткое изложение анализа
Выводы
Цели и область применения анализа
Ограничения, допущения и обоснование предположений
Описание соответствующих частей системы
Методология анализа
Результаты идентификации опасностей
Используемые модели, в т.ч. допущения и их обоснования
Используемые данные и их источники
Результаты оценки величины риска
Анализ чувствительности и неопределенности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 42/95
- 43. Содержание по ГОСТ Р 51901.1-2002
(окончание)
Отчет по анализу риска/угроз включает
Рассмотрение и обсуждение результатов
Рассмотрение и обсуждение трудностей моделирования
Ссылки и рекомендации
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 43/95
- 44. Методики
моделирования
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 44/95
- 45. Методики анализа рисков
AS/NZS 4360 ISO 31000
HB 167:200X NIST SP 800-3
EBIOS SOMAP
ISO 27005 (ISO/IEC IS Lanifex Risk Compass
13335-2)
Austrian IT Security
MAGERIT Handbook
MARION A&K Analysis
MEHARI ISF IRAM (включая
SARA, SPRINT)
CRISAM
OSSTMM RAV
OCTAVE
BSI 100-3
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 45/95
- 46. Другие методики моделирования угроз
Trike
IT-Grundschutz Methodology от BSI (Германия)
AS/NZS 4360:2004 (Австралия)
MAGERIT: Risk Analysis and Management Methodology
for Information Systems (Испания)
EBIOS - Expression of Needs and Identification of
Security Objectives (Франция)
MEHARI (Франция)
OCTAVE
FRAP
NIST 800-30 (США)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 46/95
- 47. Другие методики моделирования угроз
MG-2, MG-3 (Канада)
SOMAP
IRAM
MELANI
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 47/95
- 48. Ограничиться
опасностью или
пойти дальше?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 48/95
- 49. Идентификация только ли опасности?
Нарушитель Мотивация Источник Угрозы
Причина Уязвимость
Определение нарушителей, их мотивация и
источников угроз позволяет сузить спектр
возможных угроз, из которых формируется список
актуальных
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 49/95
- 50. Нарушители и их
потенциал
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 50/95
- 51. Классификация нарушителей
ГОСТ Р 52448-2005 «Обеспечение безопасности
сетей электросвязи. Общие положения»
Террористы и террористические организации
Конкурирующие организации и структуры
Спецслужбы иностранных государств и блоков государств
Криминальные структуры
Взломщики программных продуктов ИТ
Бывшие сотрудники организаций связи
Недобросовестные сотрудники и партнеры
Пользователи услугами связи
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 51/95
- 52. А оцениваем ли мы риски
нарушителя?
Профиль (модель) нарушителя
Мотив (причина)
Цель
«Спонсор» (кто помогает ресурсами?)
Потенциальные возможности
Озабоченность косвенным ущербом
Приемлемый уровень риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 52/95
- 53. Потенциал нападения
ГОСТ Р ИСО/МЭК 18045 «Методы и средства
обеспечения безопасности. Методология оценки
безопасности информационных технологий»
определяет в Приложении А (А.8.1) потенциал
нападения, зависящий от
Мотивации нарушителя
Компетентности нарушителя
Ресурсов нарушителя
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 53/95
- 54. Вычисление потенциала нападения
2 аспекта - идентификация и использование
Время, затрачиваемое на идентификацию уязвимости
Техническая компетентность специалиста
Знание проекта и функционирования атакуемой системы
Доступ к атакуемой системе
Аппаратное обеспечение/ПО или другое оборудование,
требуемое для анализа
Эти факторы не всегда независимы друг от друга и
могут время от времени заменять друг друга
Компетентность время, доступные ресурсы время
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 54/95
- 55. Мотивация нарушителей
ГОСТ Р 52448-2005 «Обеспечение безопасности
сетей электросвязи. Общие положения»
Месть
Достижение денежной выгоды
Хулиганство и любопытство
Профессиональное самоутверждение
Я бы еще добавил политику и идеологию
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 55/95
- 56. Деньги играют важную роль, но есть и
другие мотивы
Кибер- Кибер- Хактивисты Писатели Старая Фрикеры Самураи Script Warez
террористы воины malware школа kiddies D00dz
Сложность
+ + + + +
Эго
+ + + +
Шпионаж
+ +
Идеология
+ + + + +
Шалость
+ + +
Деньги
+ + + + +
Месть
+ + + +
Источник: Furnell, S. M
Отсутствие желания заработать не означает
отсутствие бизнес-модели киберпреступности
Anonymous, Lulzsec демонстрируют это в полной мере
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 56/95
- 57. Как понять мотивацию?!
• На что похожа его среда?
• Кто его окружает?
Что он видит? • С кем он дружит?
• С чем он сталкивается ежедневно?
• С какими проблемами встречается?
• Что говорят его друзья?
Что он слышит? • Кто и как реально воздействует на него?
• Какие медиаканалы на него влияют?
• Что для него реально важно?
Что он
• Что его трогает?
чувствует/думает?
• Его мечты и стремления?
Что он • Как он себя держит?
говорит/делает? • О чем он может рассказать окружающим?
• Каковы его разочарования?
Что его тревожит • Какие препятствия между ним и его мечтами?
• Чего он боится?
• Чего он действительно хочет достичь?
• Что для него мерило успеха?
К чему он стремится
• Какие стратегии он мог бы использовать для достижения
успеха?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 57/95
- 59. Источники угроз по ГОСТ 52448
ГОСТ Р 52448-2005 «Обеспечение безопасности
сетей электросвязи. Общие положения»
Субъект
Материальный объект
Физическое явление
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 59/95
- 60. Источники угроз по РС БР ИББС-2.2
РС БР ИББС-2.2-2009 «Обеспечение
информационной безопасности организаций
банковской системы Российской Федерации.
Методика оценки рисков нарушения информационной
безопасности»
Неблагоприятные события природного, техногенного и
социального характера
Террористы и криминальные элементы
Зависимость от поставщиков/провайдеров/партнеров/клиентов
Сбои, отказы, разрушения/повреждения ПО и техсредств
Внутренние нарушители ИБ
Внешние нарушители ИБ
Несоответствие требованиям надзорных и регулирующих
Threat Modeling
органов
© 2008 Cisco Systems, Inc. All rights reserved. 60/95
- 61. Факторы,
воздействующие
на информацию
Источники, категории
или причины угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 61/95
- 62. Категории опасностей
Природные опасности
Наводнения, землетрясения, ураганы, молнии и т.п.
Технические опасности
Социальные опасности
Войны, вооруженные нападения, диверсии, эпидемии и т.п.
Опасности, связанные с укладом жизни
Злоупотребление наркотиками, алкоголь, сектантство и т.п.
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ
риска технологических систем»
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 62/95
- 63. ГОСТ Р 51275-2006
ГОСТ Р 51275-2006 «Объект информатизации.
Факторы, воздействующие на информацию»
Стандарт устанавливает классификацию и перечень
факторов, воздействующих на безопасность защищаемой
информации, в целях обоснования угроз безопасности
информации и требований по защите информации на
объекте информатизации
Природа Источник
возникновения возникновения
Объективные Субъективные Внутренние Внешние
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 63/95
- 64. Объективные факторы
Внутренние
Передача сигналов
Излучение сигналов, функционально присущие тех.средствам
Побочные электромагнитные излучения
Паразитное электромагнитное излучение
Наводка
Наличие акустоэлектрических преобразователей в элементах
тех.средств
Дефекты, сбои и отказы, аварии тех.средств
Дефекты, сбои и отказы ПО
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 64/95
- 65. Объективные факторы
Внешние
Явления техногенного характера
Природные явления, стихийные бедствия
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 65/95
- 66. Субъективные факторы
Внутренние
Разглашение защищаемой информации лицами, имеющими к
ней право доступа
Неправомерные действия со стороны лиц, имеющих право
доступа к защищаемой информации
Несанкционированный доступ к информации
Недостатки организационного обеспечения защиты
информации
Ошибки обслуживающего персонала
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 66/95
- 67. Субъективные факторы
Внешние
Доступ к защищаемой информации с применением
тех.средств
Несанкционированный доступ к защищаемой информации
Блокирование доступа к защищаемой информации путем
перегрузки тех.средств обработки информации запросами на
ее обработку
Действия криминальных групп и отдельных преступных
субъектов
Искажение, уничтожение или блокирование информации с
применением тех.средств
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 67/95
- 68. Как систематизировать причины?
По статистике от 70 до 80% всех авиационных
инцидентов в гражданской и военной авиации
происходит по вине человека
Причины этих инцидентов никак не классифицированы
При возникновении инцидента сложно идентифицировать
проблему, понять ее причины и предотвратить повтор
неприятных событий
«Система классификации и анализа человеческого
фактора» (The Human Factors Analysis and
Classification System - HFACS)
4 уровня отказов/сбоев/ошибок/проблем,
приводящих к инцидентам
Небезопасное действие, предпосылки к небезопасным
Threat Modeling
действиям, плохой надзор и влияние организации
© 2008 Cisco Systems, Inc. All rights reserved. 68/95
- 69. Пример
Влияние организации
Алкоголь
Наркотики
Плохой рекрутинг
персонала
Давление времени
Урезание расходов
И т.д.
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 69/95
- 70. Думайте о
психологии, а не
только о
технологии
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 70/95
- 71. Угрозы бывают не только
технологические
M&A
БИЗНЕС, ПЕРСОНАЛ
ЛЮДИ СОВЕТ ДИРЕКТОРОВ
ЛОЯЛЬНОСТЬ КЛИЕНТОВ
РЕЧЕВАЯ ИНФОРМАЦИЯ
ВИДЕОКОНФЕРЕНЦИИ
ИНФОРМАЦИЯ
НОСИТЕЛИ
ФАЙЛЫ и ПОЧТА
WEB MFG FIN
ERP
ПРИЛОЖЕНИЯ XML
ERP SCM
CRM ДОКУМЕНТООБОРОТ
БИЗНЕС-ПРОЦЕСС
МЕЖСЕТЕВЫЕ ЭКРАНЫ
СЕТЬ СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ
VPN
АНТИВИРУСЫ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 71/95
- 72. Причины разрыва между ожидаемым
и реальным
Юзабилити (удобство/неудобство) безопасности
Как систем, так и процедур и процессов
Отсутствие у сотрудников необходимых знаний в
области ИБ
Отношение к безопасности
Отсутствие культуры безопасности
Например, сотрудники часто думают или говорят «почему я
должен это делать, если мой коллега этого не делает?»
Конфликт целей
Классическая дилемма: что важнее - запустить продукт к
сроку, но без серьезных проверок на безопасность, или
досконально проверить защищенность, но сорвать сроки
запуска проекта? 72/95
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved.
- 73. Куда девать токен или смарткарту?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 73/95
- 74. Отключение средств защиты
При оценке риска необходимо принимать во внимание
возможность отключения или расстройства защитных
средств
Из ГОСТ Р 51344-99 «Безопасность машин. Принципы оценки и
распределения риска»
Побуждение сделать это возникает когда
Средства защиты снижают выпуск продукции или мешают
другим действиям и намерениям потребителя
Средства защиты трудно применить
Должны быть привлечены не операторы, а другой персонал
Средства защиты не признаются или неприемлемы для их
назначения
Возможность отключения зависит как от их типа, так и
от конструктивных особенностей
Threat Modeling 74/95
© 2008 Cisco Systems, Inc. All rights reserved.
- 75. Человеческий фактор и ГОСТ Р 51344-99
При моделировании угроз необходимо принимать
во внимание человеческий фактор
Взаимодействие человек – техническое средство
Взаимодействие между людьми
Психологические аспекты
Эргономические факторы
Способность осознавать риск в данной ситуации (зависит от
обучения, опыта или способностей)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 75/95
- 76. Психология
восприятия риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 76/95
- 77. Психология восприятия риска
Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов
существует сложность с восприятием риска
Безопасность основана не только на вероятности
различных рисков и эффективности различных
контрмер (реальность), но и на ощущениях
Ощущения зависят от психологических реакций на
риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 77/95
- 78. Реальность и ощущения
Реальность безопасности ≠ ощущения безопасности
Система может быть безопасной, даже если мы не
чувствуем и не понимаем этого
Мы можем думать, что система в безопасности, когда это не
так
Психология восприятия риска безопасности
Поведенческая экономика
Психология принятия решений
Психология риска
Неврология
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 78/95
- 79. Реальность и ощущение безопасности
Число погибших в Число жертв автоаварий в
авиакатастрофах в России – около 100
России в 2008 году – 139 человек ежедневно (!)
человек 1,2 млн. жертв в год, 20-50
1980 – 1989 гг. – в СССР 2624 млн. получают травмы
жертвы авиакатастроф
Трагедия 11 сентября в От отравления пищей в
США унесла жизни 2973 США ежегодно умирают
человек 5000 человек
Ощущение
Реальность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 79/95
- 80. Наше отношение к рискам и угрозам
Мы преувеличиваем одни риски и преуменьшаем
другие
Наше восприятие риска чаще всего «хромает» в пяти
направлениях
Степень серьезности риска
Вероятность риска
Объем затрат
Эффективность контрмер
Возможность адекватного сопоставления рисков и затрат
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 80/95
- 81. Основные ошибки восприятия
Люди преувеличивают риски, Люди преуменьшают риски,
которые которые
Производят глубокое впечатление Не привлекают внимание
Случаются редко Являются обычными
Персонифицированы Анонимны
Неподконтрольны или навязаны Контролируются в большей
извне степени или принимаются
добровольно
Обсуждаются Не обсуждаются
Преднамеренные или Естественные
спровоцированные человеком
Угрожают непосредственно Угрожают в будущем, или границы
которых размыты
Внезапны Развиваются медленно, со
временем
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 81/95
- 82. Основные ошибки восприятия (окончание)
Люди преувеличивают риски, Люди преуменьшают риски,
которые которые
Угрожают человеку лично Угрожают другим
Новые и незнакомые Знакомые
Неопределенные Понятные
Угрожающие их детям Угрожающие им самим
Оскорбительные с моральной Желательные с моральной точки
точки зрения зрения
Полностью лишенные выгод Связанные с дополнительными
выгодами
Выходят за рамки обычной Характерны для обычной ситуации
ситуации
Недоверенные источники Доверенные источники
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 82/95
- 83. Ошибки восприятия безопасности
Мобильные вирусы В моем антивирусе для
«Операторы сотовой связи смартфона всего 1000
готовятся к эпидемиями записей и ни одного
вирусов для мобильных предупреждения за 2 (!)
телефонов» года
«Мобильный апокалипсис
лишь вопрос времени»
Западные производители Отечественный
ПО специально вставляют разработчик несет
закладки, чтобы украсть большую угрозу
вашу информацию он пока не дорожит
репутацией
Более опасный
риски Реальность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 83/95
- 84. Как мозг анализирует риски
В человеческом мозгу 2
системы отвечают за
анализ рисков
Примитивная интуитивная –
работает быстро
Продвинутая аналитическая –
принимает решения
медленно
Продвинутая система
появилась только у высших
приматов – еще не
отшлифована
Обе системы работают
одновременно и конфликтуют
между собой
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 84/95
- 85. Как мозг анализирует риски
Человек не анализирует
риски безопасности с
точки зрения математики
Мы не анализируем
вероятности событий
Люди не могут
анализировать каждое
свое решение
Это попросту невозможно
Человек использует
готовые рецепты, общие
установки, стереотипы,
предпочтения и привычки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 85/95
- 86. Интересные следствия
«Предубеждение оптимизма» -
мы считаем, что «с нами это не
случится», даже если это
случилось с другими
Несмотря на эпидемии и атаки
других компаний, сами мы считаем,
что нас это никак не коснется – мы
игнорируем или преуменьшаем
риски сетевой безопасности
Человеческий мозг не умеет
работать с большими числами
1 шанс из 2-х против 1 шанса из 8-ми
гораздо понятнее, чем 1 шанс из
10000 против 1 шанса из 100000
Threat Modeling
1 шанс из 10000 = «почти никогда»
© 2008 Cisco Systems, Inc. All rights reserved. 86/95
- 87. Могли ли мы представить, что нас
будет атаковать РЖД?
Заражаются
посещаемые и
популярные сайты
По данным
Лаборатории
Касперского осенью
2011-го года
оказались
зараженными сайты
ОАО «РЖД» (180000
посетителей в день)
ИД «Комсомольская
правда» (587000)
ИД «Свободная пресса»
Threat Modeling
(276000)
© 2008 Cisco Systems, Inc. All rights reserved. 87/95
- 88. Интересные следствия (продолжение)
«Эвристика доступности» –
события, которые легче
вспоминаются, имеют
больший риск
Или произошли недавно
Или имели более серьезные
последствия (для эксперта)
Или преподносятся ярко
Люди склонны игнорировать
действительные вероятности
в случаях, когда ситуация
эмоционально окрашена
Терроризм, авиакатастрофы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 88/95
- 89. Интересные следствия (продолжение)
Риски, имевшие место когда-
либо в жизни эксперта, имеют
больший вес, чем те, с
которыми он никогда не
встречался
Мы будем бороться с атаками, уже
произошедшими в прошлом,
игнорируя будущие угрозы
Чем более выдающимся
кажется событие, тем выше
вероятность, что оно покажется
случайным
СМИ и вендоры часто вредят
адекватности восприятия эксперта
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 89/95
- 91. “В настоящее время нельзя говорить о
правильном или неправильном методе
анализа риска. Важно, чтобы организация
пользовалась наиболее удобным и
внушающем доверие методом, приносящим
воспроизводимые результаты.”
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
Presentation_ID
Threat Modeling © 2006 Cisco Systems, Inc. Systems, reserved.
© 2008 Cisco All rights Inc. All rights Cisco Confidential
reserved. 91/95
- 92. Что дальше?
Избежание риска
Устранение источника угрозы…
Принятие риска
Бороться себе дороже
Передача риска
Аутсорсинг, страхование…
Снижение рисков
Реализация защитных мер…
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 92/95
- 93. Защитные мероприятия
В зависимости от выбранной методологии
моделирования угроз (анализа рисков) перечень
предлагаемых защитных мер может предлагаться
тем же стандартом
ISOIEC TR 13335-4
ISO 27002
IT-Grundschutz Methodology
И т.д.
В ряде случаев стандарты включают рекомендации
по выбору, а не только их законченный список
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 93/95
- 94. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +38-044-391-3600
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 94/95