Алексей Лукацкий - Как сформировать правильную модель сетевых угроз

  • 597 views
Uploaded on

 

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
No Downloads

Views

Total Views
597
On Slideshare
0
From Embeds
0
Number of Embeds
1

Actions

Shares
Downloads
0
Comments
0
Likes
2

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Построение модели угроз Алексей Лукацкий Бизнес-консультант по безопасностиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 1/95
  • 2. Общий подход к оценке угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 2/95
  • 3. “Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 3/95
  • 4. Что такое угроза?  Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002  Потенциальная причина инцидента, который может нанести ущерб системе или организации ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 4/95
  • 5. Что такое риск?  Вероятная частота и вероятная величина будущих потерь Метод FAIR  Сочетание вероятности события и его последствий ГОСТ Р 51901.1-2002  Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005  Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 5/95
  • 6. Элементы риска / угрозы  Риск / угроза описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее  Эффективность моделирования угроз зависит от того, сможем ли мы оценить эти элементыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 6/95
  • 7. Характеристики угроз  Также надо учитывать и другие характеристики (например, согласно ISO 13335) Источник – внутренний или внешний; Мотивация, например финансовая выгода, конкурентное преимущество Частота возникновения Правдоподобие Вредоносное воздействие  Нельзя забывать про длительность воздействия угрозы Разовая утечка информации vs. DDoS-атака в течение кварталаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 7/95
  • 8. Модель угроз  Практически нигде не определено понятие «модели угроз»  Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 8/95
  • 9. Анализ угроз vs. анализ рисков  Согласно ряду стандартов моделирование угроз предшествует оценке рисков  Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены  Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем») Что может выйти из строя (идентификация опасности) С какой вероятностью это может произойти (анализ частоты) Каковы последствия этого события (анализ последствий)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 9/95
  • 10. Вопросы для модели угроз  Модель нарушителя должна ответить на следующие вопросы Какие угрозы могут быть реализованы? Кем могут быть реализованы эти угрозы? Модель нарушителя С какой вероятностью могут быть реализованы эти угрозы? Каков потенциальный ущерб от этих угроз? Каким образом могут быть реализованы эти угрозы? Средства и каналы реализации Почему эти угрозы могут быть реализованы? Уязвимости и мотивация На что могут быть направлены эти угрозы? Как можно отразить эти угрозы?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 10/95
  • 11. Как моделировать быстро и просто?!Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 11/95
  • 12. Cisco SAFE  Набор лучших практик по построению надежной и защищенной сети Дизайны и конфигурации  354 страницыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 12/95
  • 13. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 13/95
  • 14. Основные угрозы для сети  Отказ в обслуживании (DoS)  Распределенный отказ в обслуживании (DDoS)  Неавторизованный доступ  Перехват сессии  «Человек посередине»  Эскалация привилегий  Вторжения  Ботнеты  Атаки на протоколы маршрутизации  Атаки на протокол Spanning tree (STP)  Атаки второго уровня (L2)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 14/95
  • 15. Атаки второго уровня Атаки «шторм MAC» Атаки на DHCP Коммутатор 00:0e:00:aa:aa:aa DHCP- работает как концентратор 00:0e:00:bb:bb:bb 00:0e:00:aa:aa:cc 00:0e:00:bb:bb:dd X сервер 132 000 etc произв. DHCP DoS “DHCP MAC- Request” адресов “Вот IP- адрес!” Атаки типа «посредник» Атаки подмены IP-адреса Сервер Шлюз = 10.1.1.1 эл. MAC=A Si почты “Мой адрес 10.1.1.50 !” “ Ващ пароль: ‘joecisco’ !” Атакующий = 10.1.1.25 Жертва = 10.1.1.50Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 15/95
  • 16. Угрозы = метод нейтрализации Шпион- Подмена Атаки Нару- DoS/ ское ПО, Конт- Управ- IP-адреса Ботнеты НСД шение DDoS L2 ВПО, роль ление отправ. политик рекламаЗащита ПКФильтр. на пер.IPSКонтрольдоступаСетеваяаутентификацияЗащитаинфраструктурыУправлениедоступом (AAA)МаршрутизацияУчет трафика Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 16/95
  • 17. Угрозы тоже меняются  Угрозы носят заказной и криминальный характер  Угрозы и криминалитет становятся быстрее, умнее & неуловимее  Точечные (даже лучшие в своем классе) решения не справляются в одиночку с ростом угроз  Заказчики не могут защищать свои ресурсы в режиме 24х7Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 17/95
  • 18. Старые методы уже не работают Мотивация Известность Деньги Метод Дерзко Незаметно Фокус Все равно Мишень Средства Вручную Автомат Результат Подрыв Катастрофа Тип Уникальный код Tool kit Цель Инфраструктура Приложения Агент Изнутри Третье лицоThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 18/95
  • 19. Процесс моделирования угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 19/95
  • 20. Разные процессы моделирования  Существует различные описанные процессы моделирования угроз  Более детально рассмотрим ГОСТ Р 51901.1-2002 Источник: Ford Motor CompanyThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 20/95
  • 21. Этапы моделирования угроз  Определение области применения  Идентификация опасности и предварительная оценка последствий  Оценка величины угрозы  Проверка результатов анализа  Документальное обоснование  Корректировка результатов анализа с учетом последних данныхThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 21/95
  • 22. Область применения  Область применения должна быть определена и задокументирована  Этапы определения области применения Описание оснований для и/или проблем, повлекших моделирование угроз (анализ риска) Описание исследуемой системы Установление источников, содержащих информацию о всех технических, правовых, человеческих, организационных факторах, имеющих отношение к системе и проблемам Описание предположения, ограничивающих анализThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 22/95
  • 23. Область применения - сеть Для определения области достаточно высокоуровневой схемыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 23/95
  • 24. Не стоит детализировать до узлаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 24/95
  • 25. На результат это не влияетThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 25/95
  • 26. Область применения - сеть  Источники информации Карты сети Результаты работы сканеров безопасности или средств построения топологии Общение с ИТшниками или интеграторами, построившими сеть  Предположения, ограничивающие анализ Динамичность среды (например, IP-адресации или появление мобильных устройств) Информация об арендуемых каналах связи  Сеть – это не только набор сетевых устройств и каналов связи Это помещения, персонал (включая подрядчиков), электричество, неконтролируемый ИнтернетThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 26/95
  • 27. Пример: атаки на банкоматыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 27/95
  • 28. Админы – это часть сети!Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 28/95
  • 29. Идентификация опасности  Необходимо идентифицировать опасности Известные опасности (происходившие ранее) должны быть четко и точно описаны Неучтенные ранее опасности должны быть идентифицированы с помощью формальных методов анализа Предварительная оценка должна основываться на анализе последствий и изучении их основных причин  Предварительная оценка позволяет сделать следующий шаг Принятие немедленных мер с целью снижения или исключения опасностей Прекращение анализа из-за несущественности опасности Переход к детальной оценке рисков и угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 29/95
  • 30. Каталоги угроз  ГОСТы 51901 и 51275 позволяют сформировать высокоуровневый список возможных угроз, который может быть расширен за счет каталогов угроз  Каталоги угроз BSI – Threats Catalogue Force majeur (370 угроз) MAGERIT BITS (70 категорий угроз, свыше 600 общих угроз) ISF (49 угроз) CRAMM (37 угроз) MELANI (12 угроз) MS Threat Model (36 атак)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 30/95
  • 31. Каталог угроз BSIThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 31/95
  • 32. Анализ последствий  Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием  Анализ последствий должен Основываться на выбранных нежелательных событиях Описывать любые последствия, являющиеся результатом нежелательных событий Учитывать меры, направленные на смягчение последствий, наряду с условиями, оказывающими влияние на последствия Устанавливать критерии, используемые для полной идентификации последствий Учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного времени Учитывать вторичные последствия на смежные системыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 32/95
  • 33. Последствия и свойства информации  ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и средства обеспечения безопасности. Выбор защитных мер» выделяет 6 свойств информации, для которых описываются последствия Конфиденциальность Целостность Доступность Подотчетность Аутентичность Достоверность  Такая классификация позволяет систематизировать последствияThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 33/95
  • 34. Другие формы последствий • Простои Продуктивность • Ухудшение психологического климата • Расследование инцидента Реагирование • PR-активность • Замена оборудования Замена • Повторный ввод информации • Судебные издержки, досудебное урегулирование Штрафы • Приостановление деятельности • Ноу-хау, государственная, коммерческая тайна Конкуренты • Отток клиентов, обгон со стороны конкурента • Гудвил Репутация • Снижение капитализации, курса акцийThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 34/95
  • 35. Оценка риска  На практике идентификация опасностей может приводить к очень большому числу сценариев потенциальных инцидентов Детальный количественный анализ частот и последствий в таком случае не всегда возможен и осуществим  Необходимо качественно ранжировать сценарии, поместив их в матрицы риска Детальный количественный анализ осуществляется для сценариев с более высокими уровнями рисков  Не существует универсальной формы и содержания матрицы риска Классификация частот и серьезности последствий (как и количество их категорий) могут меняться в зависимости от ситуацииThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 35/95
  • 36. Пример матрицы риска Классификация риска: Источник: ГОСТ Р 51901.1-2002 • В – высокая величина риска • С – средняя величина риска • М – малая величина риска • Н – незначительная величина риска Классификация серьезности последствий: • Катастрофическое – практически полная потеря анализируемого объекта • Значительное – крупный ущерб системе • Серьезное – серьезный ущерб системе • Незначительное – незначительное повреждение системыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 36/95
  • 37. Анализ неопределенностей  Для эффективной интерпретации значений риска и угроз очень важно понимание неопределенностей и вызывающих их причин  Анализ неопределенностей предусматривает определение изменений и неточностей в результатах моделирования, которые являются следствием отклонения параметров и предположений, применяемых при построении модели С анализом неопределенностей тесно связан анализ чувствительности  Анализ чувствительности подразумевает определение изменений в реакции модели на отклонения отдельных параметров моделиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 37/95
  • 38. Проверка анализа  Проверка анализа позволяет убедиться, что анализ проведен корректно и ничего не забыто  Для проверки анализа необходимо привлекать людей, не участвующих в анализе  Проверка анализа включает Проверка соответствия области применения поставленным задачам Проверка всех важных допущений Подтверждение правильности использованных методов, моделей и данных Проверка результатов на повторяемостьThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 38/95
  • 39. Как оформить модель угроз?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 39/95
  • 40. Содержание по ГОСТ Р 51344-99  Документация оценки и определения риска включает Характеристика оборудования (техусловия, область применения, использование по назначению) Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.) Идентифицированные опасности Информация, на основании которой сделана оценка и определение риска (использованные данные и источники) Сомнения, связанные с использованными данными и источниками Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.) Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения рискаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 40/95
  • 41. Содержание по ГОСТ Р 51344-99 (окончание)  Документация оценки и определения риска включает Остаточные рискиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 41/95
  • 42. Содержание по ГОСТ Р 51901.1-2002  Отчет по анализу риска/угроз включает Краткое изложение анализа Выводы Цели и область применения анализа Ограничения, допущения и обоснование предположений Описание соответствующих частей системы Методология анализа Результаты идентификации опасностей Используемые модели, в т.ч. допущения и их обоснования Используемые данные и их источники Результаты оценки величины риска Анализ чувствительности и неопределенностиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 42/95
  • 43. Содержание по ГОСТ Р 51901.1-2002 (окончание)  Отчет по анализу риска/угроз включает Рассмотрение и обсуждение результатов Рассмотрение и обсуждение трудностей моделирования Ссылки и рекомендацииThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 43/95
  • 44. Методики моделирования угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 44/95
  • 45. Методики анализа рисков  AS/NZS 4360  ISO 31000  HB 167:200X  NIST SP 800-3  EBIOS  SOMAP  ISO 27005 (ISO/IEC IS  Lanifex Risk Compass 13335-2)  Austrian IT Security  MAGERIT Handbook  MARION  A&K Analysis  MEHARI  ISF IRAM (включая SARA, SPRINT)  CRISAM  OSSTMM RAV  OCTAVE  BSI 100-3Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 45/95
  • 46. Другие методики моделирования угроз  Trike  IT-Grundschutz Methodology от BSI (Германия)  AS/NZS 4360:2004 (Австралия)  MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания)  EBIOS - Expression of Needs and Identification of Security Objectives (Франция)  MEHARI (Франция)  OCTAVE  FRAP  NIST 800-30 (США)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 46/95
  • 47. Другие методики моделирования угроз  MG-2, MG-3 (Канада)  SOMAP  IRAM  MELANIThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 47/95
  • 48. Ограничиться опасностью или пойти дальше?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 48/95
  • 49. Идентификация только ли опасности? Нарушитель Мотивация Источник Угрозы Причина Уязвимость  Определение нарушителей, их мотивация и источников угроз позволяет сузить спектр возможных угроз, из которых формируется список актуальныхThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 49/95
  • 50. Нарушители и их потенциалThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 50/95
  • 51. Классификация нарушителей  ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения» Террористы и террористические организации Конкурирующие организации и структуры Спецслужбы иностранных государств и блоков государств Криминальные структуры Взломщики программных продуктов ИТ Бывшие сотрудники организаций связи Недобросовестные сотрудники и партнеры Пользователи услугами связиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 51/95
  • 52. А оцениваем ли мы риски нарушителя?  Профиль (модель) нарушителя Мотив (причина) Цель «Спонсор» (кто помогает ресурсами?) Потенциальные возможности Озабоченность косвенным ущербом Приемлемый уровень рискаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 52/95
  • 53. Потенциал нападения  ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от Мотивации нарушителя Компетентности нарушителя Ресурсов нарушителяThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 53/95
  • 54. Вычисление потенциала нападения  2 аспекта - идентификация и использование Время, затрачиваемое на идентификацию уязвимости Техническая компетентность специалиста Знание проекта и функционирования атакуемой системы Доступ к атакуемой системе Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа  Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга Компетентность  время, доступные ресурсы  времяThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 54/95
  • 55. Мотивация нарушителей  ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения» Месть Достижение денежной выгоды Хулиганство и любопытство Профессиональное самоутверждение  Я бы еще добавил политику и идеологиюThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 55/95
  • 56. Деньги играют важную роль, но есть и другие мотивы Кибер- Кибер- Хактивисты Писатели Старая Фрикеры Самураи Script Warez террористы воины malware школа kiddies D00dz Сложность + + + + + Эго + + + + Шпионаж + + Идеология + + + + + Шалость + + + Деньги + + + + + Месть + + + + Источник: Furnell, S. M  Отсутствие желания заработать не означает отсутствие бизнес-модели киберпреступности Anonymous, Lulzsec демонстрируют это в полной мереThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 56/95
  • 57. Как понять мотивацию?! • На что похожа его среда? • Кто его окружает? Что он видит? • С кем он дружит? • С чем он сталкивается ежедневно? • С какими проблемами встречается? • Что говорят его друзья? Что он слышит? • Кто и как реально воздействует на него? • Какие медиаканалы на него влияют? • Что для него реально важно? Что он • Что его трогает? чувствует/думает? • Его мечты и стремления? Что он • Как он себя держит? говорит/делает? • О чем он может рассказать окружающим? • Каковы его разочарования? Что его тревожит • Какие препятствия между ним и его мечтами? • Чего он боится? • Чего он действительно хочет достичь? • Что для него мерило успеха? К чему он стремится • Какие стратегии он мог бы использовать для достижения успеха?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 57/95
  • 58. Источники угрозThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 58/95
  • 59. Источники угроз по ГОСТ 52448  ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения» Субъект Материальный объект Физическое явлениеThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 59/95
  • 60. Источники угроз по РС БР ИББС-2.2  РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности» Неблагоприятные события природного, техногенного и социального характера Террористы и криминальные элементы Зависимость от поставщиков/провайдеров/партнеров/клиентов Сбои, отказы, разрушения/повреждения ПО и техсредств Внутренние нарушители ИБ Внешние нарушители ИБ Несоответствие требованиям надзорных и регулирующихThreat Modeling органов © 2008 Cisco Systems, Inc. All rights reserved. 60/95
  • 61. Факторы, воздействующие на информацию Источники, категории или причины угроз?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 61/95
  • 62. Категории опасностей  Природные опасности Наводнения, землетрясения, ураганы, молнии и т.п.  Технические опасности  Социальные опасности Войны, вооруженные нападения, диверсии, эпидемии и т.п.  Опасности, связанные с укладом жизни Злоупотребление наркотиками, алкоголь, сектантство и т.п.  ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 62/95
  • 63. ГОСТ Р 51275-2006  ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на информацию» Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации Природа Источник возникновения возникновения Объективные Субъективные Внутренние ВнешниеThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 63/95
  • 64. Объективные факторы  Внутренние Передача сигналов Излучение сигналов, функционально присущие тех.средствам Побочные электромагнитные излучения Паразитное электромагнитное излучение Наводка Наличие акустоэлектрических преобразователей в элементах тех.средств Дефекты, сбои и отказы, аварии тех.средств Дефекты, сбои и отказы ПОThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 64/95
  • 65. Объективные факторы  Внешние Явления техногенного характера Природные явления, стихийные бедствияThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 65/95
  • 66. Субъективные факторы  Внутренние Разглашение защищаемой информации лицами, имеющими к ней право доступа Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации Несанкционированный доступ к информации Недостатки организационного обеспечения защиты информации Ошибки обслуживающего персоналаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 66/95
  • 67. Субъективные факторы  Внешние Доступ к защищаемой информации с применением тех.средств Несанкционированный доступ к защищаемой информации Блокирование доступа к защищаемой информации путем перегрузки тех.средств обработки информации запросами на ее обработку Действия криминальных групп и отдельных преступных субъектов Искажение, уничтожение или блокирование информации с применением тех.средствThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 67/95
  • 68. Как систематизировать причины?  По статистике от 70 до 80% всех авиационных инцидентов в гражданской и военной авиации происходит по вине человека Причины этих инцидентов никак не классифицированы При возникновении инцидента сложно идентифицировать проблему, понять ее причины и предотвратить повтор неприятных событий  «Система классификации и анализа человеческого фактора» (The Human Factors Analysis and Classification System - HFACS)  4 уровня отказов/сбоев/ошибок/проблем, приводящих к инцидентам Небезопасное действие, предпосылки к небезопаснымThreat Modeling действиям, плохой надзор и влияние организации © 2008 Cisco Systems, Inc. All rights reserved. 68/95
  • 69. Пример  Влияние организации Алкоголь Наркотики Плохой рекрутинг персонала Давление времени Урезание расходов И т.д.Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 69/95
  • 70. Думайте о психологии, а не только о технологииThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 70/95
  • 71. Угрозы бывают не только технологические M&A БИЗНЕС, ПЕРСОНАЛ ЛЮДИ СОВЕТ ДИРЕКТОРОВ ЛОЯЛЬНОСТЬ КЛИЕНТОВ РЕЧЕВАЯ ИНФОРМАЦИЯ ВИДЕОКОНФЕРЕНЦИИИНФОРМАЦИЯ НОСИТЕЛИ ФАЙЛЫ и ПОЧТА WEB MFG FIN ERPПРИЛОЖЕНИЯ XML ERP SCM CRM ДОКУМЕНТООБОРОТ БИЗНЕС-ПРОЦЕСС МЕЖСЕТЕВЫЕ ЭКРАНЫ СЕТЬ СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ VPN АНТИВИРУСЫ Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 71/95
  • 72. Причины разрыва между ожидаемым и реальным  Юзабилити (удобство/неудобство) безопасности Как систем, так и процедур и процессов  Отсутствие у сотрудников необходимых знаний в области ИБ  Отношение к безопасности  Отсутствие культуры безопасности Например, сотрудники часто думают или говорят «почему я должен это делать, если мой коллега этого не делает?»  Конфликт целей Классическая дилемма: что важнее - запустить продукт к сроку, но без серьезных проверок на безопасность, или досконально проверить защищенность, но сорвать сроки запуска проекта? 72/95Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved.
  • 73. Куда девать токен или смарткарту?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 73/95
  • 74. Отключение средств защиты  При оценке риска необходимо принимать во внимание возможность отключения или расстройства защитных средств Из ГОСТ Р 51344-99 «Безопасность машин. Принципы оценки и распределения риска»  Побуждение сделать это возникает когда Средства защиты снижают выпуск продукции или мешают другим действиям и намерениям потребителя Средства защиты трудно применить Должны быть привлечены не операторы, а другой персонал Средства защиты не признаются или неприемлемы для их назначения  Возможность отключения зависит как от их типа, так и от конструктивных особенностейThreat Modeling 74/95 © 2008 Cisco Systems, Inc. All rights reserved.
  • 75. Человеческий фактор и ГОСТ Р 51344-99  При моделировании угроз необходимо принимать во внимание человеческий фактор Взаимодействие человек – техническое средство Взаимодействие между людьми Психологические аспекты Эргономические факторы Способность осознавать риск в данной ситуации (зависит от обучения, опыта или способностей)Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 75/95
  • 76. Психология восприятия рискаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 76/95
  • 77. Психология восприятия риска  Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска  Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях  Ощущения зависят от психологических реакций на риски и контрмеры Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию? Что вероятнее – пасть жертвой террористов или погибнуть на дороге?Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 77/95
  • 78. Реальность и ощущения  Реальность безопасности ≠ ощущения безопасности  Система может быть безопасной, даже если мы не чувствуем и не понимаем этого Мы можем думать, что система в безопасности, когда это не так  Психология восприятия риска безопасности Поведенческая экономика Психология принятия решений Психология риска НеврологияThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 78/95
  • 79. Реальность и ощущение безопасности  Число погибших в  Число жертв автоаварий в авиакатастрофах в России – около 100 России в 2008 году – 139 человек ежедневно (!) человек 1,2 млн. жертв в год, 20-50 1980 – 1989 гг. – в СССР 2624 млн. получают травмы жертвы авиакатастроф  Трагедия 11 сентября в  От отравления пищей в США унесла жизни 2973 США ежегодно умирают человек 5000 человек Ощущение РеальностьThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 79/95
  • 80. Наше отношение к рискам и угрозам  Мы преувеличиваем одни риски и преуменьшаем другие  Наше восприятие риска чаще всего «хромает» в пяти направлениях Степень серьезности риска Вероятность риска Объем затрат Эффективность контрмер Возможность адекватного сопоставления рисков и затратThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 80/95
  • 81. Основные ошибки восприятия Люди преувеличивают риски, Люди преуменьшают риски, которые которые Производят глубокое впечатление Не привлекают внимание Случаются редко Являются обычными Персонифицированы Анонимны Неподконтрольны или навязаны Контролируются в большей извне степени или принимаются добровольно Обсуждаются Не обсуждаются Преднамеренные или Естественные спровоцированные человеком Угрожают непосредственно Угрожают в будущем, или границы которых размыты Внезапны Развиваются медленно, со временемThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 81/95
  • 82. Основные ошибки восприятия (окончание) Люди преувеличивают риски, Люди преуменьшают риски, которые которые Угрожают человеку лично Угрожают другим Новые и незнакомые Знакомые Неопределенные Понятные Угрожающие их детям Угрожающие им самим Оскорбительные с моральной Желательные с моральной точки точки зрения зрения Полностью лишенные выгод Связанные с дополнительными выгодами Выходят за рамки обычной Характерны для обычной ситуации ситуации Недоверенные источники Доверенные источникиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 82/95
  • 83. Ошибки восприятия безопасности  Мобильные вирусы  В моем антивирусе для «Операторы сотовой связи смартфона всего 1000 готовятся к эпидемиями записей и ни одного вирусов для мобильных предупреждения за 2 (!) телефонов» года «Мобильный апокалипсис лишь вопрос времени»  Западные производители  Отечественный ПО специально вставляют разработчик несет закладки, чтобы украсть большую угрозу вашу информацию он пока не дорожит репутацией Более опасный риски РеальностьThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 83/95
  • 84. Как мозг анализирует риски  В человеческом мозгу 2 системы отвечают за анализ рисков Примитивная интуитивная – работает быстро Продвинутая аналитическая – принимает решения медленно Продвинутая система появилась только у высших приматов – еще не отшлифована Обе системы работают одновременно и конфликтуют между собойThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 84/95
  • 85. Как мозг анализирует риски  Человек не анализирует риски безопасности с точки зрения математики Мы не анализируем вероятности событий  Люди не могут анализировать каждое свое решение Это попросту невозможно  Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычкиThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 85/95
  • 86. Интересные следствия  «Предубеждение оптимизма» - мы считаем, что «с нами это не случится», даже если это случилось с другими Несмотря на эпидемии и атаки других компаний, сами мы считаем, что нас это никак не коснется – мы игнорируем или преуменьшаем риски сетевой безопасности  Человеческий мозг не умеет работать с большими числами 1 шанс из 2-х против 1 шанса из 8-ми гораздо понятнее, чем 1 шанс из 10000 против 1 шанса из 100000Threat Modeling 1 шанс из 10000 = «почти никогда» © 2008 Cisco Systems, Inc. All rights reserved. 86/95
  • 87. Могли ли мы представить, что нас будет атаковать РЖД?  Заражаются посещаемые и популярные сайты  По данным Лаборатории Касперского осенью 2011-го года оказались зараженными сайты ОАО «РЖД» (180000 посетителей в день) ИД «Комсомольская правда» (587000) ИД «Свободная пресса»Threat Modeling (276000) © 2008 Cisco Systems, Inc. All rights reserved. 87/95
  • 88. Интересные следствия (продолжение)  «Эвристика доступности» – события, которые легче вспоминаются, имеют больший риск Или произошли недавно Или имели более серьезные последствия (для эксперта) Или преподносятся ярко  Люди склонны игнорировать действительные вероятности в случаях, когда ситуация эмоционально окрашена Терроризм, авиакатастрофыThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 88/95
  • 89. Интересные следствия (продолжение)  Риски, имевшие место когда- либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы  Чем более выдающимся кажется событие, тем выше вероятность, что оно покажется случайным СМИ и вендоры часто вредят адекватности восприятия экспертаThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 89/95
  • 90. ЗаключениеThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 90/95
  • 91. “В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающем доверие методом, приносящим воспроизводимые результаты.” ГОСТ Р ИСО/МЭК ТО 13335-3-2007Presentation_IDThreat Modeling © 2006 Cisco Systems, Inc. Systems, reserved. © 2008 Cisco All rights Inc. All rights Cisco Confidential reserved. 91/95
  • 92. Что дальше?  Избежание риска Устранение источника угрозы…  Принятие риска Бороться себе дороже  Передача риска Аутсорсинг, страхование…  Снижение рисков Реализация защитных мер…Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 92/95
  • 93. Защитные мероприятия  В зависимости от выбранной методологии моделирования угроз (анализа рисков) перечень предлагаемых защитных мер может предлагаться тем же стандартом ISOIEC TR 13335-4 ISO 27002 IT-Grundschutz Methodology И т.д.  В ряде случаев стандарты включают рекомендации по выбору, а не только их законченный списокThreat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 93/95
  • 94. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +38-044-391-3600Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 94/95
  • 95. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 95/95