В феврале этого года ФСТЭК утвердила методику оценки угроз, которая подразумевает формирование перечня актуальных сценариев реализации угроз ИБ, в том числе и на АСУ ТП. Перечень тактик и техник из методики ФСТЭК очень похож по своей идеологии на матрицу MITRE ATT&CK, но при этом они не синхронизированы, так как Россия не ищет легких путей и всегда идет своим маршрутом, что создает определенные сложности для владельцев АСУ ТП, которые вынуждены практически с нуля писать модель угроз по требованиям ФСТЭК, не имея возможность использовать имеющиеся по MITRE ATT&CK наработки. И так как составить перечень всех сценариев реализации угроз невозможно (хотя пока это и требуется по методике), необходимо приоритизировать возможные последовательности действий злоумышленников, опираясь на известные инциденты, которые уже происходили в АСУ ТП. Алексей Лукацкий, Бизнес-консультант по безопасности в Cisco, в своем докладе приводит типовые сценарии реализации угроз на АСУ ТП и их соответствие матрице MITRE ATT&CK. Ввиду несоответствия матрицы ATT&CK и перечня техник и тактик ФСТЭК в докладе соотносятся сценарии по ATT&CK и по ФСТЭК. В заключение спикер приводит примеры ключевых параметров модели угроз, которые должны присутствовать в ней согласно обязательной к применению методики оценки угроз ФСТЭК.
Подробнее о конференции: https://kas.pr/kicsconf2021
Артем Зиненко. Vulnerability Assessment в ICS на основе информации из публичн...
Алексей Лукацкий. Основные сценарии реализации угроз на АСУ ТП и их преломление на методику оценки угроз ФСТЭК
1. И ИХ ПРЕЛОМЛЕНИЕ НА МЕТОДИКУ ОЦЕНКИ
УГРОЗ ФСТЭК
ОСНОВНЫЕ СЦЕНАРИИ
РЕАЛИЗАЦИИ УГРОЗ НА
АСУ ТП
Алексей Лукацкий
Бизнес-консультант по безопасности
alukatsk@cisco.com
22. Новый БДУ, устранение нестыковок и лишних шагов,
изменение процедуры оценки актуальности угроз, изменение
подхода к сценариям реализации угроз
ФСТЭК в 1-м квартале 2022 года
планирует внесение изменений в
методику оценки
32. Было бы неплохо, если бы это сделала сама ФСТЭК, но пока
увы… Хотя есть другие варианты
А можем мы смаппить TTP от
MITRE ATT&CK в тактики и техники
ФСТЭК?
38. ФСТЭК не имеет ряда техник (145 vs 200+), а также не имеет
детализации для конкретных платформ – Windows, Linux,
мобильных устройств, облачных платформ и т.п.
К сожалению прямой маппинг
всех техник и тактик ФСТЭК в TTP
MITRE ATT&CK невозможен
44. Так может ориентироваться на техники, а не их комбинации?
А техники брать не из головы, а из известных инцидентов?
Обратите внимание, что при
триллионах комбинаций
сценариев реализации угроз
число техник у вас все равно
ограничено парой-тройкой сотен