Алексей Лукацкий - Как сформировать правильную модель сетевых угроз

Построение модели
угроз

Алексей Лукацкий
Бизнес-консультант по безопасности

Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 1/95

Общий подход к
оценке угроз


“Анализ рисков, оценка их вероятности и
тяжести последствий похожа на
посещение игроками Лас-Вегаса – зал
общий, а система игры у каждого своя”


Что такое угроза?

 Возможная причина нежелательного инцидента,
который может закончиться ущербом для системы
или организации
ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002

 Потенциальная причина инцидента, который может
нанести ущерб системе или организации
ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002


Что такое риск?

 Вероятная частота и вероятная величина будущих
потерь
Метод FAIR

 Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002

 Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005

 Вероятность причинения ущерба вследствие того, что
определенная угроза реализуется в результате
наличия определенной уязвимости
ГОСТ Р 52448-2005


Элементы риска / угрозы

 Риск / угроза описывается комбинацией следующих
элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее

 Эффективность моделирования угроз зависит от того,
сможем ли мы оценить эти элементы


Характеристики угроз

 Также надо учитывать и другие характеристики
(например, согласно ISO 13335)
Источник – внутренний или внешний;
Мотивация, например финансовая выгода, конкурентное
преимущество
Частота возникновения
Правдоподобие
Вредоносное воздействие

 Нельзя забывать про длительность воздействия
угрозы
Разовая утечка информации vs. DDoS-атака в течение
квартала


Модель угроз

 Практически нигде не определено понятие «модели
угроз»
 Описание источников угроз ИБ; методов реализации
угроз ИБ; объектов, пригодных для реализации угроз
ИБ; уязвимостей, используемых источниками угроз
ИБ; типов возможных потерь (например, нарушение
доступности, целостности или конфиденциальности
информационных активов); масштабов
потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной
безопасности организаций банковской системы РФ. Методика
оценки рисков нарушения информационной безопасности»


Анализ угроз vs. анализ рисков

 Согласно ряду стандартов моделирование угроз
предшествует оценке рисков
 Согласно другим стандартам и лучшим практикам
анализ угроз и анализ рисков очень тесно
переплетены
 Анализ рисков позволяет ответить на 3 вопроса
(согласно ГОСТ Р 51901.1-2002 «Менеджмент риска.
Анализ риска технологических систем»)
Что может выйти из строя (идентификация опасности)
С какой вероятностью это может произойти (анализ частоты)
Каковы последствия этого события (анализ последствий)


Вопросы для модели угроз

 Модель нарушителя должна ответить на
следующие вопросы
Какие угрозы могут быть реализованы?
Кем могут быть реализованы эти угрозы?
Модель нарушителя
С какой вероятностью могут быть реализованы эти угрозы?
Каков потенциальный ущерб от этих угроз?
Каким образом могут быть реализованы эти угрозы?
Средства и каналы реализации
Почему эти угрозы могут быть реализованы?
Уязвимости и мотивация
На что могут быть направлены эти угрозы?
Как можно отразить эти угрозы?

Как моделировать
быстро и просто?!


Cisco SAFE

 Набор лучших практик
по построению
надежной и
защищенной сети
Дизайны и конфигурации

 354 страницы


Основные угрозы для сети
 Отказ в обслуживании (DoS)
 Распределенный отказ в обслуживании (DDoS)
 Неавторизованный доступ
 Перехват сессии
 «Человек посередине»
 Эскалация привилегий
 Вторжения
 Ботнеты
 Атаки на протоколы маршрутизации
 Атаки на протокол Spanning tree (STP)
 Атаки второго уровня (L2)

Атаки второго уровня
Атаки «шторм MAC» Атаки на DHCP
Коммутатор 00:0e:00:aa:aa:aa
DHCP-
работает как
концентратор
00:0e:00:bb:bb:bb
00:0e:00:aa:aa:cc
00:0e:00:bb:bb:dd
X сервер

132 000 etc
произв.
DHCP DoS “DHCP
MAC- Request”
адресов
“Вот IP-
адрес!”

Атаки типа «посредник» Атаки подмены IP-адреса
Сервер
Шлюз = 10.1.1.1
эл.
MAC=A Si
почты

“Мой адрес
10.1.1.50 !”
“ Ващ
пароль:
‘joecisco’ !”

Атакующий = 10.1.1.25 Жертва = 10.1.1.50

Угрозы = метод нейтрализации
Шпион-
Подмена Атаки Нару-
DoS/ ское ПО, Конт- Управ-
IP-адреса Ботнеты НСД шение
DDoS L2 ВПО, роль ление
отправ. политик
реклама

Защита ПК

Фильтр. на пер.

IPS

Контроль
доступа

Сетевая
аутентификация
Защита
инфраструктуры
Управление
доступом (AAA)
Маршрутизация

Учет трафика

Угрозы тоже меняются
 Угрозы носят заказной и
криминальный характер
 Угрозы и криминалитет
становятся быстрее,
умнее & неуловимее
 Точечные (даже лучшие
в своем классе)
решения не
справляются в одиночку
с ростом угроз
 Заказчики не могут
защищать свои ресурсы
в режиме 24х7


Старые методы уже не работают
Мотивация Известность Деньги

Метод Дерзко Незаметно

Фокус Все равно Мишень

Средства Вручную Автомат

Результат Подрыв Катастрофа

Тип Уникальный код Tool kit

Цель Инфраструктура Приложения

Агент Изнутри Третье лицо


Процесс
моделирования
угроз


Разные процессы моделирования

 Существует различные
описанные процессы
моделирования угроз
 Более детально
рассмотрим ГОСТ Р
51901.1-2002

Источник: Ford Motor Company

Этапы моделирования угроз

 Определение области
применения
 Идентификация опасности и
предварительная оценка
последствий
 Оценка величины угрозы
 Проверка результатов
анализа
 Документальное обоснование
 Корректировка результатов
анализа с учетом последних
данных

Область применения

 Область применения должна быть определена и
задокументирована
 Этапы определения области применения
Описание оснований для и/или проблем, повлекших
моделирование угроз (анализ риска)
Описание исследуемой системы
Установление источников, содержащих информацию о всех
технических, правовых, человеческих, организационных
факторах, имеющих отношение к системе и проблемам
Описание предположения, ограничивающих анализ


Область применения - сеть

Для определения области достаточно высокоуровневой схемы


Не стоит детализировать до узла


На результат это не влияет


Область применения - сеть

 Источники информации
Карты сети
Результаты работы сканеров безопасности или средств
построения топологии
Общение с ИТшниками или интеграторами, построившими сеть

 Предположения, ограничивающие анализ
Динамичность среды (например, IP-адресации или появление
мобильных устройств)
Информация об арендуемых каналах связи

 Сеть – это не только набор сетевых устройств и
каналов связи
Это помещения, персонал (включая подрядчиков),
электричество, неконтролируемый Интернет

Пример: атаки на банкоматы


Админы – это часть сети!


Идентификация опасности

 Необходимо идентифицировать опасности
Известные опасности (происходившие ранее) должны быть
четко и точно описаны
Неучтенные ранее опасности должны быть идентифицированы
с помощью формальных методов анализа
Предварительная оценка должна основываться на анализе
последствий и изучении их основных причин

 Предварительная оценка позволяет сделать
следующий шаг
Принятие немедленных мер с целью снижения или исключения
опасностей
Прекращение анализа из-за несущественности опасности
Переход к детальной оценке рисков и угроз


Каталоги угроз

 ГОСТы 51901 и 51275 позволяют сформировать
высокоуровневый список возможных угроз, который
может быть расширен за счет каталогов угроз
 Каталоги угроз
BSI – Threats Catalogue Force majeur (370 угроз)
MAGERIT
BITS (70 категорий угроз, свыше 600 общих угроз)
ISF (49 угроз)
CRAMM (37 угроз)
MELANI (12 угроз)
MS Threat Model (36 атак)


Каталог угроз BSI


Анализ последствий

 Анализ последствий используется для оценки
вероятного воздействия, которое вызывается
нежелательным событием
 Анализ последствий должен
Основываться на выбранных нежелательных событиях
Описывать любые последствия, являющиеся результатом
нежелательных событий
Учитывать меры, направленные на смягчение последствий,
наряду с условиями, оказывающими влияние на последствия
Устанавливать критерии, используемые для полной
идентификации последствий
Учитывать как немедленные последствия, так и те, которые
могут проявиться по прошествии определенного времени
Учитывать вторичные последствия на смежные системы

Последствия и свойства информации

 ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и
средства обеспечения безопасности. Выбор защитных
мер» выделяет 6 свойств информации, для которых
описываются последствия
Конфиденциальность
Целостность
Доступность
Подотчетность
Аутентичность
Достоверность

 Такая классификация позволяет систематизировать
последствия


Другие формы последствий

• Простои
Продуктивность • Ухудшение психологического климата

• Расследование инцидента
Реагирование • PR-активность

• Замена оборудования
Замена • Повторный ввод информации

• Судебные издержки, досудебное урегулирование
Штрафы • Приостановление деятельности

• Ноу-хау, государственная, коммерческая тайна
Конкуренты • Отток клиентов, обгон со стороны конкурента

• Гудвил
Репутация • Снижение капитализации, курса акций


Оценка риска

 На практике идентификация опасностей может
приводить к очень большому числу сценариев
потенциальных инцидентов
Детальный количественный анализ частот и последствий в
таком случае не всегда возможен и осуществим

 Необходимо качественно ранжировать сценарии,
поместив их в матрицы риска
Детальный количественный анализ осуществляется для
сценариев с более высокими уровнями рисков

 Не существует универсальной формы и содержания
матрицы риска
Классификация частот и серьезности последствий (как и
количество их категорий) могут меняться в зависимости от
ситуации

Пример матрицы риска

Классификация риска: Источник: ГОСТ Р 51901.1-2002
• В – высокая величина риска
• С – средняя величина риска
• М – малая величина риска
• Н – незначительная величина риска
Классификация серьезности последствий:
• Катастрофическое – практически полная потеря анализируемого объекта
• Значительное – крупный ущерб системе
• Серьезное – серьезный ущерб системе
• Незначительное – незначительное повреждение системы


Анализ неопределенностей

 Для эффективной интерпретации значений риска и
угроз очень важно понимание неопределенностей и
вызывающих их причин
 Анализ неопределенностей предусматривает
определение изменений и неточностей в результатах
моделирования, которые являются следствием
отклонения параметров и предположений,
применяемых при построении модели
С анализом неопределенностей тесно связан анализ
чувствительности

 Анализ чувствительности подразумевает
определение изменений в реакции модели на
отклонения отдельных параметров модели

Проверка анализа

 Проверка анализа позволяет убедиться, что анализ
проведен корректно и ничего не забыто
 Для проверки анализа необходимо привлекать людей,
не участвующих в анализе
 Проверка анализа включает
Проверка соответствия области применения поставленным
задачам
Проверка всех важных допущений
Подтверждение правильности использованных методов,
моделей и данных
Проверка результатов на повторяемость


Как оформить
модель угроз?


Содержание по ГОСТ Р 51344-99

 Документация оценки и определения риска включает
Характеристика оборудования (техусловия, область
применения, использование по назначению)
Любые относящиеся к делу предположения, которые были
сделаны (например, факторы безопасности и т.д.)
Идентифицированные опасности
Информация, на основании которой сделана оценка и
определение риска (использованные данные и источники)
Сомнения, связанные с использованными данными и
источниками
Цели, которые должны быть достигнуты защитными мерами
(например, конфиденциальность, целостность и т.д.)
Меры безопасности, принимаемые для устранения выявленных
опасностей или уменьшения риска

Содержание по ГОСТ Р 51344-99 (окончание)

 Документация оценки и определения риска включает
Остаточные риски


Содержание по ГОСТ Р 51901.1-2002

 Отчет по анализу риска/угроз включает
Краткое изложение анализа
Выводы
Цели и область применения анализа
Ограничения, допущения и обоснование предположений
Описание соответствующих частей системы
Методология анализа
Результаты идентификации опасностей
Используемые модели, в т.ч. допущения и их обоснования
Используемые данные и их источники
Результаты оценки величины риска
Анализ чувствительности и неопределенности

Содержание по ГОСТ Р 51901.1-2002
(окончание)

 Отчет по анализу риска/угроз включает
Рассмотрение и обсуждение результатов
Рассмотрение и обсуждение трудностей моделирования
Ссылки и рекомендации


Методики
моделирования
угроз


Методики анализа рисков

 AS/NZS 4360  ISO 31000
 HB 167:200X  NIST SP 800-3
 EBIOS  SOMAP
 ISO 27005 (ISO/IEC IS  Lanifex Risk Compass
13335-2)
 Austrian IT Security
 MAGERIT Handbook
 MARION  A&K Analysis
 MEHARI  ISF IRAM (включая
SARA, SPRINT)
 CRISAM
 OSSTMM RAV
 OCTAVE
 BSI 100-3

Другие методики моделирования угроз

 Trike
 IT-Grundschutz Methodology от BSI (Германия)
 AS/NZS 4360:2004 (Австралия)
 MAGERIT: Risk Analysis and Management Methodology
for Information Systems (Испания)
 EBIOS - Expression of Needs and Identification of
Security Objectives (Франция)
 MEHARI (Франция)
 OCTAVE
 FRAP
 NIST 800-30 (США)

Другие методики моделирования угроз

 MG-2, MG-3 (Канада)
 SOMAP
 IRAM
 MELANI


Ограничиться
опасностью или
пойти дальше?


Идентификация только ли опасности?

Нарушитель Мотивация Источник Угрозы

Причина Уязвимость

 Определение нарушителей, их мотивация и
источников угроз позволяет сузить спектр
возможных угроз, из которых формируется список
актуальных


Нарушители и их
потенциал


Классификация нарушителей

 ГОСТ Р 52448-2005 «Обеспечение безопасности
сетей электросвязи. Общие положения»
Террористы и террористические организации
Конкурирующие организации и структуры
Спецслужбы иностранных государств и блоков государств
Криминальные структуры
Взломщики программных продуктов ИТ
Бывшие сотрудники организаций связи
Недобросовестные сотрудники и партнеры
Пользователи услугами связи


А оцениваем ли мы риски
нарушителя?

 Профиль (модель) нарушителя
Мотив (причина)
Цель
«Спонсор» (кто помогает ресурсами?)
Потенциальные возможности
Озабоченность косвенным ущербом
Приемлемый уровень риска


Потенциал нападения

 ГОСТ Р ИСО/МЭК 18045 «Методы и средства
обеспечения безопасности. Методология оценки
безопасности информационных технологий»
определяет в Приложении А (А.8.1) потенциал
нападения, зависящий от
Мотивации нарушителя
Компетентности нарушителя
Ресурсов нарушителя


Вычисление потенциала нападения

 2 аспекта - идентификация и использование
Время, затрачиваемое на идентификацию уязвимости
Техническая компетентность специалиста
Знание проекта и функционирования атакуемой системы
Доступ к атакуемой системе
Аппаратное обеспечение/ПО или другое оборудование,
требуемое для анализа

 Эти факторы не всегда независимы друг от друга и
могут время от времени заменять друг друга
Компетентность  время, доступные ресурсы  время


Мотивация нарушителей

Месть
Достижение денежной выгоды
Хулиганство и любопытство
Профессиональное самоутверждение

 Я бы еще добавил политику и идеологию


Деньги играют важную роль, но есть и
другие мотивы
Кибер- Кибер- Хактивисты Писатели Старая Фрикеры Самураи Script Warez
террористы воины malware школа kiddies D00dz
Сложность
+ + + + +
Эго
+ + + +
Шпионаж
+ +
Идеология
+ + + + +
Шалость
+ + +
Деньги
+ + + + +
Месть
+ + + +
Источник: Furnell, S. M

 Отсутствие желания заработать не означает
отсутствие бизнес-модели киберпреступности
Anonymous, Lulzsec демонстрируют это в полной мере


Как понять мотивацию?!
• На что похожа его среда?
• Кто его окружает?
Что он видит? • С кем он дружит?
• С чем он сталкивается ежедневно?
• С какими проблемами встречается?

• Что говорят его друзья?
Что он слышит? • Кто и как реально воздействует на него?
• Какие медиаканалы на него влияют?
• Что для него реально важно?
Что он
• Что его трогает?
чувствует/думает?
• Его мечты и стремления?

Что он • Как он себя держит?
говорит/делает? • О чем он может рассказать окружающим?
• Каковы его разочарования?
Что его тревожит • Какие препятствия между ним и его мечтами?
• Чего он боится?
• Чего он действительно хочет достичь?
• Что для него мерило успеха?
К чему он стремится
• Какие стратегии он мог бы использовать для достижения
успеха?


Источники угроз


Источники угроз по ГОСТ 52448

Субъект
Материальный объект
Физическое явление


Источники угроз по РС БР ИББС-2.2

 РС БР ИББС-2.2-2009 «Обеспечение
информационной безопасности организаций
банковской системы Российской Федерации.
Методика оценки рисков нарушения информационной
безопасности»
Неблагоприятные события природного, техногенного и
социального характера
Террористы и криминальные элементы
Зависимость от поставщиков/провайдеров/партнеров/клиентов
Сбои, отказы, разрушения/повреждения ПО и техсредств
Внутренние нарушители ИБ
Внешние нарушители ИБ
Несоответствие требованиям надзорных и регулирующих
Threat Modeling
органов
© 2008 Cisco Systems, Inc. All rights reserved. 60/95

Факторы,
воздействующие
на информацию
Источники, категории
или причины угроз?


Категории опасностей

 Природные опасности
Наводнения, землетрясения, ураганы, молнии и т.п.

 Технические опасности
 Социальные опасности
Войны, вооруженные нападения, диверсии, эпидемии и т.п.

 Опасности, связанные с укладом жизни
Злоупотребление наркотиками, алкоголь, сектантство и т.п.

 ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ
риска технологических систем»


ГОСТ Р 51275-2006

 ГОСТ Р 51275-2006 «Объект информатизации.
Факторы, воздействующие на информацию»
Стандарт устанавливает классификацию и перечень
факторов, воздействующих на безопасность защищаемой
информации, в целях обоснования угроз безопасности
информации и требований по защите информации на
объекте информатизации

Природа Источник
возникновения возникновения

Объективные Субъективные Внутренние Внешние


Объективные факторы

 Внутренние
Передача сигналов
Излучение сигналов, функционально присущие тех.средствам
Побочные электромагнитные излучения
Паразитное электромагнитное излучение
Наводка
Наличие акустоэлектрических преобразователей в элементах
тех.средств
Дефекты, сбои и отказы, аварии тех.средств
Дефекты, сбои и отказы ПО


Объективные факторы

 Внешние
Явления техногенного характера
Природные явления, стихийные бедствия


Субъективные факторы

 Внутренние
Разглашение защищаемой информации лицами, имеющими к
ней право доступа
Неправомерные действия со стороны лиц, имеющих право
доступа к защищаемой информации
Несанкционированный доступ к информации
Недостатки организационного обеспечения защиты
информации
Ошибки обслуживающего персонала


Субъективные факторы

 Внешние
Доступ к защищаемой информации с применением
тех.средств
Несанкционированный доступ к защищаемой информации
Блокирование доступа к защищаемой информации путем
перегрузки тех.средств обработки информации запросами на
ее обработку
Действия криминальных групп и отдельных преступных
субъектов
Искажение, уничтожение или блокирование информации с
применением тех.средств


Как систематизировать причины?

 По статистике от 70 до 80% всех авиационных
инцидентов в гражданской и военной авиации
происходит по вине человека
Причины этих инцидентов никак не классифицированы
При возникновении инцидента сложно идентифицировать
проблему, понять ее причины и предотвратить повтор
неприятных событий

 «Система классификации и анализа человеческого
фактора» (The Human Factors Analysis and
Classification System - HFACS)
 4 уровня отказов/сбоев/ошибок/проблем,
приводящих к инцидентам
Небезопасное действие, предпосылки к небезопасным
Threat Modeling
действиям, плохой надзор и влияние организации

Пример
 Влияние организации
Алкоголь
Наркотики
Плохой рекрутинг
персонала
Давление времени
Урезание расходов
И т.д.


Думайте о
психологии, а не
только о
технологии


Угрозы бывают не только
технологические

M&A
БИЗНЕС, ПЕРСОНАЛ
ЛЮДИ СОВЕТ ДИРЕКТОРОВ
ЛОЯЛЬНОСТЬ КЛИЕНТОВ

РЕЧЕВАЯ ИНФОРМАЦИЯ
ВИДЕОКОНФЕРЕНЦИИ
ИНФОРМАЦИЯ
НОСИТЕЛИ
ФАЙЛЫ и ПОЧТА

WEB MFG FIN
ERP
ПРИЛОЖЕНИЯ XML
ERP SCM
CRM ДОКУМЕНТООБОРОТ
БИЗНЕС-ПРОЦЕСС

МЕЖСЕТЕВЫЕ ЭКРАНЫ
СЕТЬ СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ
VPN
АНТИВИРУСЫ


Причины разрыва между ожидаемым
и реальным

 Юзабилити (удобство/неудобство) безопасности
Как систем, так и процедур и процессов

 Отсутствие у сотрудников необходимых знаний в
области ИБ
 Отношение к безопасности
 Отсутствие культуры безопасности
Например, сотрудники часто думают или говорят «почему я
должен это делать, если мой коллега этого не делает?»

 Конфликт целей
Классическая дилемма: что важнее - запустить продукт к
сроку, но без серьезных проверок на безопасность, или
досконально проверить защищенность, но сорвать сроки
запуска проекта? 72/95
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved.

Куда девать токен или смарткарту?


Отключение средств защиты

 При оценке риска необходимо принимать во внимание
возможность отключения или расстройства защитных
средств
Из ГОСТ Р 51344-99 «Безопасность машин. Принципы оценки и
распределения риска»

 Побуждение сделать это возникает когда
Средства защиты снижают выпуск продукции или мешают
другим действиям и намерениям потребителя
Средства защиты трудно применить
Должны быть привлечены не операторы, а другой персонал
Средства защиты не признаются или неприемлемы для их
назначения

 Возможность отключения зависит как от их типа, так и
от конструктивных особенностей
Threat Modeling 74/95
© 2008 Cisco Systems, Inc. All rights reserved.

Человеческий фактор и ГОСТ Р 51344-99

 При моделировании угроз необходимо принимать
во внимание человеческий фактор
Взаимодействие человек – техническое средство
Взаимодействие между людьми
Психологические аспекты
Эргономические факторы
Способность осознавать риск в данной ситуации (зависит от
обучения, опыта или способностей)


Психология
восприятия риска


Психология восприятия риска

 Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов
существует сложность с восприятием риска
 Безопасность основана не только на вероятности
различных рисков и эффективности различных
контрмер (реальность), но и на ощущениях
 Ощущения зависят от психологических реакций на
риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?


Реальность и ощущения

 Реальность безопасности ≠ ощущения безопасности
 Система может быть безопасной, даже если мы не
чувствуем и не понимаем этого
Мы можем думать, что система в безопасности, когда это не
так

 Психология восприятия риска безопасности
Поведенческая экономика
Психология принятия решений
Психология риска
Неврология


Реальность и ощущение безопасности

 Число погибших в  Число жертв автоаварий в
авиакатастрофах в России – около 100
России в 2008 году – 139 человек ежедневно (!)
человек 1,2 млн. жертв в год, 20-50
1980 – 1989 гг. – в СССР 2624 млн. получают травмы
жертвы авиакатастроф

 Трагедия 11 сентября в  От отравления пищей в
США унесла жизни 2973 США ежегодно умирают
человек 5000 человек

Ощущение
Реальность


Наше отношение к рискам и угрозам

 Мы преувеличиваем одни риски и преуменьшаем
другие
 Наше восприятие риска чаще всего «хромает» в пяти
направлениях
Степень серьезности риска
Вероятность риска
Объем затрат
Эффективность контрмер
Возможность адекватного сопоставления рисков и затрат


Основные ошибки восприятия
Люди преувеличивают риски, Люди преуменьшают риски,
которые которые
Производят глубокое впечатление Не привлекают внимание
Случаются редко Являются обычными
Персонифицированы Анонимны
Неподконтрольны или навязаны Контролируются в большей
извне степени или принимаются
добровольно
Обсуждаются Не обсуждаются
Преднамеренные или Естественные
спровоцированные человеком
Угрожают непосредственно Угрожают в будущем, или границы
которых размыты
Внезапны Развиваются медленно, со
временем

Основные ошибки восприятия (окончание)
Люди преувеличивают риски, Люди преуменьшают риски,
которые которые
Угрожают человеку лично Угрожают другим
Новые и незнакомые Знакомые
Неопределенные Понятные
Угрожающие их детям Угрожающие им самим
Оскорбительные с моральной Желательные с моральной точки
точки зрения зрения
Полностью лишенные выгод Связанные с дополнительными
выгодами
Выходят за рамки обычной Характерны для обычной ситуации
ситуации
Недоверенные источники Доверенные источники


Ошибки восприятия безопасности

 Мобильные вирусы  В моем антивирусе для
«Операторы сотовой связи смартфона всего 1000
готовятся к эпидемиями записей и ни одного
вирусов для мобильных предупреждения за 2 (!)
телефонов» года
«Мобильный апокалипсис
лишь вопрос времени»

 Западные производители  Отечественный
ПО специально вставляют разработчик несет
закладки, чтобы украсть большую угрозу
вашу информацию он пока не дорожит
репутацией
Более опасный
риски Реальность


Как мозг анализирует риски

 В человеческом мозгу 2
системы отвечают за
анализ рисков
Примитивная интуитивная –
работает быстро
Продвинутая аналитическая –
принимает решения
медленно
Продвинутая система
появилась только у высших
приматов – еще не
отшлифована
Обе системы работают
одновременно и конфликтуют
между собой

Как мозг анализирует риски

 Человек не анализирует
риски безопасности с
точки зрения математики
Мы не анализируем
вероятности событий

 Люди не могут
анализировать каждое
свое решение
Это попросту невозможно

 Человек использует
готовые рецепты, общие
установки, стереотипы,
предпочтения и привычки

Интересные следствия

 «Предубеждение оптимизма» -
мы считаем, что «с нами это не
случится», даже если это
случилось с другими
Несмотря на эпидемии и атаки
других компаний, сами мы считаем,
что нас это никак не коснется – мы
игнорируем или преуменьшаем
риски сетевой безопасности

 Человеческий мозг не умеет
работать с большими числами
1 шанс из 2-х против 1 шанса из 8-ми
гораздо понятнее, чем 1 шанс из
10000 против 1 шанса из 100000
Threat Modeling
1 шанс из 10000 = «почти никогда»

Могли ли мы представить, что нас
будет атаковать РЖД?
 Заражаются
посещаемые и
популярные сайты
 По данным
Лаборатории
Касперского осенью
2011-го года
оказались
зараженными сайты
ОАО «РЖД» (180000
посетителей в день)
ИД «Комсомольская
правда» (587000)
ИД «Свободная пресса»
Threat Modeling
(276000)

Интересные следствия (продолжение)

 «Эвристика доступности» –
события, которые легче
вспоминаются, имеют
больший риск
Или произошли недавно
Или имели более серьезные
последствия (для эксперта)
Или преподносятся ярко

 Люди склонны игнорировать
действительные вероятности
в случаях, когда ситуация
эмоционально окрашена
Терроризм, авиакатастрофы

Интересные следствия (продолжение)

 Риски, имевшие место когда-
либо в жизни эксперта, имеют
больший вес, чем те, с
которыми он никогда не
встречался
Мы будем бороться с атаками, уже
произошедшими в прошлом,
игнорируя будущие угрозы

 Чем более выдающимся
кажется событие, тем выше
вероятность, что оно покажется
случайным
СМИ и вендоры часто вредят
адекватности восприятия эксперта

Заключение


“В настоящее время нельзя говорить о
правильном или неправильном методе
анализа риска. Важно, чтобы организация
пользовалась наиболее удобным и
внушающем доверие методом, приносящим
воспроизводимые результаты.”

ГОСТ Р ИСО/МЭК ТО 13335-3-2007

Presentation_ID
Threat Modeling © 2006 Cisco Systems, Inc. Systems, reserved.
© 2008 Cisco All rights Inc. All rights Cisco Confidential
reserved. 91/95

Что дальше?

 Избежание риска
Устранение источника угрозы…

 Принятие риска
Бороться себе дороже

 Передача риска
Аутсорсинг, страхование…

 Снижение рисков
Реализация защитных мер…


Защитные мероприятия

 В зависимости от выбранной методологии
моделирования угроз (анализа рисков) перечень
предлагаемых защитных мер может предлагаться
тем же стандартом
ISOIEC TR 13335-4
ISO 27002
IT-Grundschutz Methodology
И т.д.

 В ряде случаев стандарты включают рекомендации
по выбору, а не только их законченный список


Вопросы?

Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +38-044-391-3600


Алексей Лукацкий - Как сформировать правильную модель сетевых угроз

Recommended

Recommended

More Related Content

Similar to Алексей Лукацкий - Как сформировать правильную модель сетевых угроз

Similar to Алексей Лукацкий - Как сформировать правильную модель сетевых угроз (20)

More from UISGCON

More from UISGCON (20)

Алексей Лукацкий - Как сформировать правильную модель сетевых угроз