1. Методики
моделирования
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 169/398

2. Методики анализа рисков
 AS/NZS 4360  ISO 31000
 HB 167:200X  NIST SP 800-3
 EBIOS  SOMAP
 ISO 27005 (ISO/IEC IS  Lanifex Risk Compass
13335-2)
 Austrian IT Security
 MAGERIT Handbook
 MARION  A&K Analysis
 MEHARI  ISF IRAM (включая
SARA, SPRINT)
 CRISAM
 OSSTMM RAV
 OCTAVE
 BSI 100-3
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 170/398

3. Взгляд ФСТЭК на свои документы
СТР-К РД
15408
МСЭ,
Ключевые Персональные Коммерческая
АС
системы данные тайна
СВТ…
Требования по защите Требования к Требования к
разных видов тайн разработке функциональности
средств защиты средств защиты
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 171/398

4. ISOIEC TR 13335-3
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 172/398

5. Стандарт ISOIEC TR 13335-3
 ГОСТ Р ИСО/МЭК ТО «Методы и средства
обеспечения безопасности. Методы менеджмента
безопасности информационных технологий»
ISOIEC TR 13335-3-1998
 Многие методы анализа рисков предусматривают
использование таблиц и различных субъективных и
эмпирических мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 173/398

6. Пример оценки по ISOIEC TR 13335-3
 На базе оценки активов
Физические активы и ПО оцениваются на основании
стоимости их замены или восстановления
Оценка ценности данных осуществляется путем
интервьюирования владельцев данных
Трансляция количественной ценности в качественную
оценку по числовой шкале
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 174/398

7. Пример оценки по ISOIEC TR 13335-3
 На базе ранжирования угроз по мерам риска
Оценка воздействия / последствий / ценности актива
Оценка вероятности возникновения угрозы
Расчет мер риска (перемножение b и c)
Ранжирование угроз по мере риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 175/398

8. Пример оценки по ISOIEC TR 13335-3
 По вероятности и ущербу
Определение ценности актива
Определение частоты / вероятности
Оценка актива
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 176/398

9. Пример оценки по ISOIEC TR 13335-3
 Продолжение…
Вычисление суммы оценок всех активов для определения
оценки системы (путем суммирования)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 177/398

10. Пример оценки по ISOIEC TR 13335-3
 По разграничению между
допустимым/недопустимым рисков
Т – допустимый риск, N – недопустимый риск
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 178/398

11. ISOIEC TR 13569
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 179/398

12. Стандарт ISOIEC TR 13569
 ISOIEC TR 13569:2005 «Financial services —
Information security guidelines»
ГОСТ Р ИСО/МЭК 13569
Данный технический отчет предоставляет рекомендации по
разработке программы обеспечения информационной
безопасности для учреждений в индустрии финансовых
услуг
Данный отчет не предназначен для описывает единое
общее решение для всех финансовых учреждений
Каждая организация должна проводить анализ риска и
выбирать соответствующие действия
Данный технический отчет предоставляет рекомендации
для проведения такого процесса, а не предлагает
конкретные решения
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 180/398

13. Цели ISOIEC TR 13569
 Цели
определение программы менеджмента информационной
безопасности
представление организации и политики программы и
необходимых структурных компонентов
представление рекомендаций по выбору средств
обеспечения безопасности, представляющих собой
принятые разумные бизнес-практики в финансовых услугах
информирование руководства финансовых организаций о
необходимости систематического рассмотрения правовых
рисков в его программе менеджмента информационной
безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 181/398

14. Процесс оценки рисков
 Оценка рисков потенциальных угроз для каждой
зоны уязвимости путем заполнения табличной
формы оценки риска
 Присвоение комбинированного уровня риска
каждой зоне уязвимости путем заполнения таблицы
оценки риска
 Определение подходящих политик безопасности и
защитных мер, используя результаты шага 2 и
имеющиеся меры управления
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 182/398

15. Область рассмотрения
 5 зон уязвимостей
Персонал
Помещения и оборудование
Приложения
Системы связи
Программные средства и операционные системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 183/398

16. Пример модели угроз по ISO 13569
Уязвимости Денежные Уменьшение Ущерб для Совокупный
потери продуктивности репутации риск
Персонал
Помещение и
оборудование
Приложение
Системы
связи
Программные
среды и ОС
 При заполнении таблицы основное предположение
должно заключаться в том, что никаких защитных
мер не существует
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 184/398

17. Типы угроз
 4 типа угроз
Несанкционированное раскрытие, изменение или разрушение
информации
Непреднамеренное изменение или разрушение информации
Отсутствие поставки или неправильно адресованная поставка
информации
Отказ от обслуживания или ухудшение обслуживания
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 185/398

18. Пример модели угроз по ISO 13569
Уязвимость: Риск денежных Риск Риск для
Персонал потерь уменьшения репутации
продуктивности
Несанкционированное В С Н В С Н В С Н
раскрытие, изменение
или разрушение
информации
Непреднамеренное В С Н В С Н В С Н
изменение или раз-
рушение информации
Отсутствие поставки В С Н В С Н В С Н
или неправильно
адресованная поставка
информации
Отказ от обслуживания В С Н В С Н В С Н
или ухудшение
обслуживания
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 186/398

19. Общие правила моделирования угроз
 Угрозы с большей вероятностью возникновения
должны оказывать более существенное влияние на
устанавливаемую степень риска
Угрозы с наименьшей вероятностью возникновения должны
оказывать менее существенное влияние
 Угрозам, имеющим более существенное отношение к
оцениваемой бизнес-функции, должна придаваться
большая значимость при установлении степени
риска
 В случае сомнения выбираем более высокую
степень риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 187/398

20. Вероятности угроз
1. пренебрежимо малая – раз в 1000 лет или меньше
2. крайне маловероятная – раз в 200 лет
3. очень маловероятная – раз в 50 лет
4. маловероятная – раз в 20 лет
5. возможная – раз в 5 лет
6. вероятная – ежегодно
7. очень вероятная – ежеквартально
8. ожидаемая – ежемесячно
9. ожидаемая с уверенностью– еженедельно
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 188/398

21. Оценка воздействия (ущерба)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 189/398

22. Оценка воздействия (ущерба)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 190/398

23. Оценка воздействия (ущерба)
 Оценка осуществляется с учетом наличия мер защиты
Наличие мер защиты обычно снижает вероятность события, но
не ущерб от него. Если мера направлена на снижение ущерба,
то обычно она не влияет на вероятность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 191/398

24. Оценка подверженности угрозе
9 3 3 4 4 4 5 5 5 5
8 3 3 3 4 4 4 5 5 5
7 2 3 3 3 4 4 4 5 5
Ущерб
6 2 2 3 3 3 4 4 4 5
5 2 2 2 3 3 3 4 4 4
4 1 2 2 2 3 3 3 4 4
3 1 1 2 2 2 3 3 3 4
2 1 1 1 2 2 2 3 3 3
1 1 1 1 1 2 2 2 3 3
1 2 3 4 5 6 7 8 9
Вероятность
 Уровень 1 – не требует внимания, уровень 5 –
разбираться немедленно (без продолжения оценки
риска) 192/398
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved.

25. Резюме
 Ориентация на финансовые организации
 Большой спектр различных нетехнических и
процессных мер защиты
 Большое количество примеров
 Оценка рисков с разных точек зрения
Репутация, безопасность, финансы, юриспруденция и право,
стратегия и т.д.
 Практическая направленность
Советы в спорных случаях
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 193/398

26. ГОСТ Р 51344-99
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 194/398

27. ГОСТ Р 51344-99
 «Безопасность машин. Принципы оценки и
распределения риска»
 Является руководством для принятия решений при
конструировании машин
Но изложенные в нем подходы могут быть использованы и в
других областях безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 195/398

28. Отдельные замечания
 Отсутствие инцидентов или малое их число не
должны быть использованы как автоматическое
предположение о низком риске
 Для количественной оценки допускается
использование справочников, лабораторных и
эксплуатационных данных
Если есть сомнения в их достоверности, это должно быть
отражено в документации
 Качественная оценка возможна при согласованном
мнении экспертов, полученных непосредственно из
экспериментов
Например, по методу Дельфи
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 196/398

29. Элементы риска
Риск
Тяжесть
Вероятность ущерба
ущерба
Частота и
Вероятность Возможность
продолжительность
возникновения исключения или
воздействия
опасности ограничения ущерба
опасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 197/398

30. Человеческий фактор
 При оценке риска необходимо принимать во
внимание человеческий фактор
Взаимодействие человек – техсредство
Взаимодействие между людьми
Психологические аспекты
Эргономические факторы
Способность осознавать риск в данной ситуации (зависит от
обучения, опыта или способностей)
 Также в этот список можно добавить и экономические
аспекты
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 198/398

31. Психологическая приемлемость
 Очень важно, чтобы интерфейс взаимодействия с
пользователем был удобным в использовании; чтобы
пользователи запросто и «на автомате» использовали
механизмы защиты правильным образом. Если образ
защиты в уме пользователя будут соответствовать
тем механизмам, которые он использует на практике,
то ошибки будут минимизированы. Если же
пользователь должен переводить представляемый им
образ на совершенно иной «язык», он обязательно
будет делать ошибки
Джером Зальтцер и Майкл Шредер, 1975 (!) год
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 199/398

32. Пароли: что плохого?
 Выбирайте пароли длиной свыше 8 символов
А как их запомнить?
 Используйте системы автоматической генерации
паролей (8HguJ7hY)
А как их запомнить?
 Пусть пароль выбирает пользователь
Тривиальные и легко угадываемые пароли
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 200/398

33. Почему это происходит?
 Продукт разрабатывается с точки зрения
разработчика, а не потребителя
 Если потребители и опрашиваются, то только с точки
зрения функций защиты
 Тестирование проводится на предмет ошибок и дыр,
но не юзабилити
 Продукт выпускается в условиях жесткой конкуренции
со стороны других разработчиков
 В России практически никто не обращается к услугам
специалистов по эргономике
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 201/398

34. Пароли: как улучшить?
 «Когнитивные» пароли
 Графические пароли
 Токены, смарт-карты, биометрия
Помните о принципе Левашова
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 202/398

35. Отключение средств защиты
 При оценке риска необходимо принимать во
внимание возможность отключения или расстройства
защитных средств
 Побуждение сделать это возникает когда
Средства защиты снижают выпуск продукции или мешают
другим действиям и намерениям потребителя
Средства защиты трудно применить
Должны быть привлечены не операторы, а другой персонал
Средства защиты не признаются или неприемлемы для их
назначения
 Возможность отключения зависит как от их типа, так
и от конструктивных особенностей
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 203/398

36. Пример с ОС Windows
 Что такое «signed»?
 Что такое «Microsoft
Code Signing PCA»?
 Всегда доверять этому
источнику?
А если я хочу всегда
недоверять этому
источнику?
 Что «да» и что «нет»?
 Чем это опасно?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 204/398

37. Пример с ОС Windows
 Как можно открыть exe-
файл?
 Чем это опасно?
 Какие действия
осуществляются по
умолчанию?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 205/398

38. Дерево атак
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 206/398

39. Дерево атак (attack tree)
 Дерево атак – метод, учитывающий комбинированный
эффект использования уязвимостей
злоумышленниками и их зависимость друг с другом
 Позволяет оценить наиболее предпочтительный для
злоумышленников вариант атаки на выбранную цель
sshd
FTP
Server
` Machine 1
Attacker Firewall Router
Machine 0
Database
Server
Machine 2
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 207/398

40. Определение уязвимостей
 Идентификация уязвимостей
системы
С помощью средств анализа
защищенности
Экспертный метод
 Пути движения злоумышленника
sshd_bof(0,1) → ftp_rhosts(1,2) → rsh(1,2)
→ local_bof(2)
ftp_rhosts(0,1) → rsh(0,1) → ftp_rhosts(1,2)
→ rsh(1,2) → local_bof(2)
ftp_rhosts(0,2) → rsh(0,2) → local_bof(2)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 208/398

41. Определение вероятностей
 Экспертная оценка 0.8
вероятности использования
той или иной уязвимости 0.1 0.9
 Учитывается 0.8 0.8
Публичность информации об
уязвимости
0.9 0.9
Публичность эксплойта
Сложность реализации 0.1
И т.д.
 Вместо вероятности может учитываться стоимость
или время перехода из одного узла в другой
Это позволяет уйти от вероятностного подхода
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 209/398

42. Вычисление итоговой вероятности
 Использование аппарат
математической статистики
вычисляются итоговые 0.8
значения вероятностей 0.9 0.72
 Следование одной 0.1
0.8
уязвимости за другой
p(A and B) = p(A)p(B) 0.8 0.60
0.9 0.72
 При выборе одного из
0.9 0.54
возможных путей следования 0.1 0.087
злоумышленника
p(A or B) = p(A) + p(B) – p(A)p(B)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 210/398

43. Моделирование
угроз Microsoft
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 211/398

44. Моделирование угроз от Microsoft
 Компания Microsoft разработала процедуру
моделирования угроз, которая используется при
разработке всех приложений данной компании
 Ориентация данного процесса – создание модели
угроз для приложений
 Данная модель может использоваться при анализе
угроз для собственноручно разработанных или
приобретаемых приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 212/398

45. Моделирование угроз от Microsoft
1 Идентификация активов
2 Описание архитектуры
3 Декомпозиция приложения
4 Идентификация угроз
5 Документирование угроз
6 Ранжирование угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 213/398

46. Идентификация активов
 Актив в контексте модели угроз компании Microsoft –
информация или данные, подлежащие защите
Интеллектуальная собственность
Списки клиентов
Номера кредитных карт
Учетные записи пользователей
Ключи шифрования
 Также оценивается как актив
Целостность БД
Целостность Web-страниц
Целостность компьютеров в сети
Доступность приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 214/398

47. Описание архитектуры
 Что делает приложение и как оно используется?
Пользователь видит состояние своего счета
Пользователь видит банковские «продукты» – текущий счет,
карточный счет, депозит и т.п.
Пользователь осуществляет перевод средств
Пользователь формирует запросы в банк
Пользователь открывает новые счета и депозиты
 Построение диаграммы приложения
Показ подсистем
Показ информационных потоков
Список активов
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 215/398

48. Описание архитектуры
Актив #1 Актив #2 Актив #3
Web-сервер Сервер БД
Bob Login
Firewall
Alice IIS ASP.NET
Main
Bill
State
Актив #4 Актив #5 Актив #6
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 216/398

49. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 217/398

50. Декомпозиция приложения
 Уточнение архитектуры
Механизмы аутентификации
Механизмы авторизации
Различные технологии (DPAPI и т.п.)
Границы и контролируемые зоны
Идентификация точек входа
 Думать как хакер
Где мои уязвимости?
Что я могу им противопоставить?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 218/398

51. Декомпозиция приложения
Форма аутентификации Авторизация URL
Web-сервер Сервер БД
Доверие
Bob
Login
Alice
Firewall
IIS ASP.NET
Bill Main
State
DPAPI Аутентификация Windows
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 219/398

52. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 220/398

53. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 221/398

54. Идентификация угроз
 Метод №1: Список угроз
Начинаем с чистого листа всех возможных угроз
Идентифицируем все угрозы, применимые к вашему
приложению
 Метод №2: STRIDE
Категоризация списка типов угроз
Идентификация угроз по типу/категории
 Опционально: дерево угроз
Вершина – цель злоумышленника
Дерево позволяет идентифицировать условия реализации
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 222/398

55. STRIDE
 Spoofing - Подмена
Может ли злоумышленник получить доступ с подставными
идентификационными данными?
 Tampering
Может ли злоумышленник модифицировать данные?
 Repudiation
Может ли злоумышленник блокировать те или иные операции?
 Information Disclosure
 Denial of Service
 Elevation of privilege
Может ли злоумышленник повысить свои привилегии ?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 223/398

56. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 224/398

57. Дерево угроз
Кража
Auth Cookies
Получение auth
cookie для
подмены identity
ИЛИ
И И
Unencrypted Cross-Site XSS
Eavesdropping
Connection Scripting Vulnerability
Cookies через Хакер Злоумышлен- Приложение
нешифрован- использует ник использует уязвимо к
ный HTTP сниффер для знания для атаке XSS
HTTP-трафика доступа
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 225/398

58. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 226/398

59. Документирование угроз
Кража Auth Cookies путем перехвата трафика
Цель угрозы Соединение между броузером и Web-
сервером
Риск
Техника атаки Злоумышленник использует сниффер для
мониторинга трафика
Защитная мера Использование SSL/TLS для шифрования
трафика
Кража Auth Cookies через Cross-Site Scripting
Цель угрозы Уязвимый код приложения
Риск
Техника атаки Злоумышленник посылает e-mail с
вредоносной ссылкой пользователю
Защитная мера Проверка ввода; правильный HTML-вывод
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 227/398

60. Ранжирование угроз
 Простая модель
Риск = вероятность * ущерб
Градация вероятности – 1-10 (1 – менее вероятный)
Градация ущерба – 1-10 (1 – низкий ущерб)
 Модель DREAD
Большая детализация потенциальных угроз
Приоритезация (ранжирование) каждой угрозы по шкале 1-15
Разработана и широко используется Microsoft
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 228/398

61. DREAD
 Damage potential – потенциальный ущерб
Какие последствия удачной атаки?
 Reproducibility – повторяемость
Будет ли эксплойт работать каждый раз или требуются
специфичные условия?
 Exploitability – квалификация
Какая квалификация нужна злоумышленнику нужна для
использования эксплойта?
 Affected users – подверженность
Как много пользователей «попадет» при удачном эксплойте?
 Discoverability – доступность
Как злоумышленник узнает, что уязвимость существует?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 229/398

62. DREAD (продолжение)
Высокий (3) Средний (2) Низкий (1)
Ущерб Злоумышленник Злоумышленник Злоумышленник
может получить может получить может получить
данные и данные, но не доступ к
изменить их или более некритичным
удалить данным
Повторяемость Работает всегда
Работает только Работает редко
в определенное
время
Квалификация Даже Bart Злоумышленник Злоумышленник
Simpson может должен иметь должен иметь
это сделать определенную ОЧЕНЬ высокую
квалификацию квалификацию
Подверженность Многие или все Некоторые Небольшая группа
пользователи пользователи пользователей
Доступность Злоумышленник Злоумышленник Злоумышленнику
может легко может найти требуются усилия
найти дыру дыру для поиска дыры
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 230/398

63. DREAD (окончание)
Threat D R E A D Сумма
Кража Auth cookie (с 3 2 3 2 3 13
помощью сниффера)
Кража Auth cookie (XSS) 3 2 2 2 3 12
Высокий ущерб
(spoofed identities и т.д.)
Cookie могут быть украдены
в любое время, но срок их
действия ограничен
Любой может запустить
сниффер; XSS требует Ранжирование
средней квалификации рисков
Все пользователи могут
«попасть», но не все будут
кликать на опасные ссылки
Легко найти: только ввести
<script> в поле формы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 231/398

64. На примере финансовой системы
 Risk Calculation Tool
Может быть свободно загружен с
http://adventuresinsecurity.com/blog
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 232/398

65. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 233/398

66. Моделирование
угроз OWASP
Для Web-приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 234/398

67. Методика OWASP
 OWASP – Open Web
Application Security
Project
Основный и самый
надежный источник по
тематике защиты Web-
приложений
 Формирует список
основных уязвимостей
Web-приложений
 Определяет методику
моделирования угроз
для Web-приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 235/398

68. Моделирование угроз
 Методика очень похожа на подход Microsoft
Кто у кого стянул? ;-)
 Описание архитектуры
 Идентификация активов
 Идентификация угроз
 Привязка угроз к архитектуре
 Оценка сценариев последствий
 Документирование нарушений
 Оценка векторов атак
 Повторный, итерационный анализ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 236/398

69. Описание архитектуры
 Сверху-вниз
Оценка бизнес-объектов
 Снизу-вверх
Оценка приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 237/398

70. Описание архитектуры
Определение ландшафта угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 238/398

71. Описание архитектуры
Определение уязвимостей
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 239/398

72. Идентификация активов
Включая информационные потоки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 240/398

73. Идентификация и привязка угроз
Включая векторы атак
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 241/398

74. Оценка сценариев последствий
 Штрафы со стороны регуляторов
 Нарушение SLA или QoS
 Потеря кредита доверия
 Снижение курса акций, доходов, доли рынка
 PR-инцидент
 Потеря стратегических преимуществ
 Снижение лояльности или потеря клиентов
 И т.д.
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 242/398

75. Документирование нарушений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 243/398

76. N-Softgoal
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 244/398

77. N-Softgoal
 Базируется на методах NFR Framework и KAOS
Ориентация на моделировании функциональных требований и
качественных атрибутов
 Разработана в Verizon и Техасском университете в
Далласе
 4 ключевых шага
Определение целей безопасности
Определение угроз достижению выбранных целей
Анализ угроз
Оценка адекватности защитных мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 245/398

78. Выбор целей для Интернет-банка
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 246/398

79. Определение и анализ угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 247/398

80. Оценка адекватности защитных мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 248/398

81. Модель Digital
Security
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 249/398

82. Методика Digital Security
 Digital Security –
российская компания,
занимающаяся услугами
в области
информационной
безопасности
 Является разработчиком
системы DS Office для
анализа рисков
 Разработала модель
анализа угроз и
уязвимостей
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 250/398

83. Модель Cisco
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 251/398

84. Архитектура защищенной сети SAFE
Центр управления сетью Филиал /
отделение
WAN
Офисная
сеть Si
WAN
Партнер
Si
Ядро Internet
Si Si
Si
Cisco Virtual Office
ЦОД
Internet
E-Commerce
Si
Si
Удаленный
пользователь
Si
Si
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 252/398

85. Принципы построения защищенной
сети
Принципы ИТ Принципы ИБ
• Модульность / • Безопасность как
поэтапность свойство, а не опция
• Снижение TCO • Цель – любое
• Стандартизация / устройство, сегмент,
унификация приложение
• Гибкость • Эшелонированная
• Надежность оборона
• Поддержка новых • Независимость модулей
проектов • Двойной контроль
• Адаптивность / • Интеграция в
автоматизация инфраструктуру
• Масштабируемость • Соответствие
требованиям
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 253/398

86. SAFE в современной сети
Устройства ИБ
 VPNs  Firewall  Admission Control
Решения  Monitoring  Email Filtering  Intrusion Prevention
Сетевые
по ИБ устройства
 PCI  Routers
 DLP Policy and  Servers
 Threat  Switches
Control Device
Manageme
Identify Harden
Видимость
Monitor nt Isolate
Контроль
Correlate Enforce
Data WAN Internet E-comm- Cisco Virtual Partner
Campus Branch
Center Edge Edge erce Teleworker User Sites
Secured Mobility, Unified Communications, Network Virtualization
Network Foundation Protection
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved.
Сервисы 254/398

87. Модель угроз SAFE
 Цель – любое IP-устройство, любое приложение и
сеть
 Для каждого модуля уже предусмотрен спектр своих
угроз, для которых предусмотрен свой набор контрмер
Вероятность угрозы (на основе опыта Cisco и облегчения
внедрения SAFE) принята за единицу
 Ориентация на сетевые угрозы
 Учитывает в т.ч. и war-dialer’ы
Очень редкое пункт в современных документах по
безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 255/398

88. Методика Банка
России
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 256/398

89. РС БР ИББС-2.2-2009
 РС БР ИББС-2.2-2009 «Обеспечение
информационной безопасности организаций
банковской системы Российской Федерации.
Методика оценки рисков нарушения информационной
безопасности»
 Настоящие рекомендации в области стандартизации
Банка России распространяются на организации БС
РФ, проводящие оценку рисков нарушения ИБ в
рамках построения/совершенствования системы
обеспечения информационной безопасности (СОИБ) в
соответствии с требованиями СТО БР ИББС-1.0
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 257/398

90. Рекомендательность стандарта
 Положения настоящих рекомендаций в области
стандартизации Банка России применяются на
добровольной основе
 В конкретной организации БС РФ для проведения
оценки рисков нарушения ИБ могут использоваться
прочие (другие) методики
 Результаты использования настоящих рекомендаций
и прочих (других) методик оценки рисков нарушения
ИБ имеют равное значения при построении СОИБ
организации БС РФ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 258/398

91. Оценка вероятности и последствий
 Оценка риска нарушения ИБ определяется на
основании качественных оценок
степени возможности реализации угроз ИБ выявленными
и(или) предполагаемыми источниками угроз ИБ в результате
их воздействия на объекты среды информационных активов
степени тяжести последствий от потери свойств ИБ для
рассматриваемых типов информационных активов
 Оценка возможности реализации угроз ИБ и тяжести
последствий нарушения ИБ должны определяться на
основе экспертного оценивания
сотрудниками службы ИБ и ИТ
дополнительно необходимо привлекать сотрудников
профильных подразделений, использующих рассматриваемые
Threat Modeling
типы информационных активов
© 2008 Cisco Systems, Inc. All rights reserved. 259/398

92. Оценка возможности реализации
 Предварительно необходимо
Оценить информационные активы
Оценить типы объектов среды
Оценить актуальные источники угроз
 Учитывается
Мотивация нарушителя
Квалификация и ресурсы нарушителя
Статистика частоты реализации
Способы реализации угроз
Сложность обнаружения угрозы
Наличие защитных мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 260/398

93. Оценка возможности реализации
 Качественная шкала возможности реализации
Нереализуемая
Минимальная
Средняя
Высокая
Критическая
Величина СВР угроз ИБ Величина СВРкол угроз ИБ
Нереализуемая 0%
Минимальная От 1% - до 20%
Средняя От 21% - до 50%
Высокая От 51% - до 100%
Критическая 100%
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 261/398

94. Оценка возможности реализации
 В стандарте присутствует типовая форма
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 262/398

95. Оценка тяжести последствий
 Учитывается
степень влияния на непрерывность деятельности организации
степень влияния на репутацию организации
объем финансовых и материальных потерь
объем финансовых и материальных затрат, необходимых для
восстановления
объем людских ресурсов, необходимых для восстановления
объем временных затрат, необходимых для восстановления
степень нарушения законодательных требований и(или)
договорных обязательств
степень нарушения требований регулирующих и
контролирующих (надзорных) органов в области ИБ, а также
требований нормативных актов Банка России
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 263/398

96. Оценка тяжести последствий
 Учитывается
объем хранимой, передаваемой, обрабатываемой,
уничтожаемой информации
данные о наличии у рассматриваемых типов объектов среды
организационных, технических и прочих апостериорных
защитных мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 264/398

97. Оценка тяжести последствий
 Качественная шкала тяжести последствий
Минимальная
Средняя
Высокая
Критическая
Величина СТП нарушения ИБ Величина СТПкол нарушения ИБ
минимальная До 0,5% от величины капитала организации БС РФ
средняя От 0,5% до 1,5% от величины капитала организации БС РФ
высокая От 1,5% до 3,0% от величины капитала организации БС РФ
критическая Более 3,0% от величины капитала организации БС РФ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 265/398

98. Оценка тяжести последствий
 В стандарте присутствует типовая форма
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 266/398

99. Оценка риска
 На основании тяжести последствий и возможности
реализации определяется допустимость риска
СТП нарушения ИБ
СВР угроз ИБ
минимальная средняя высокая критическая
нереализуемая допустимый допустимый допустимый допустимый
минимальная допустимый допустимый допустимый недопустимый
средняя допустимый допустимый недопустимый недопустимый
высокая допустимый недопустимый недопустимый недопустимый
критическая недопустимый недопустимый недопустимый недопустимый
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 267/398