Threat Modeling (Part 1)

Построение модели
угроз
Версия 1.3

Алексей Лукацкий
Бизнес-консультант по безопасности

Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 1/398

О курсе

 Цель: Понимание методов разработки модели угроз
как с практической точки зрения, так и для
выполнения требования регуляторов
 На сегодняшний день модель угроз обязательно
требуется только по линии защиты персональных
данных
 Структура
Ключевые понятия и термины
Общие подходы к моделированию угроз
Методики моделирования угроз (в т.ч. и для защиты ПДн)
Средства автоматизации
Оформление модели угроз


О курсе

Преподаватель Консультант

• Рассматривает • Ищет пути
все решения для
альтернативы конкретной
компании

 Мы рассматриваем многие из существующих
моделей угроз и методов их разработки
 Применение их в конкретной организации зависит
от множества условий и целей


Точки зрения на модель угроз

Служба ИБ

Юрист Регуляторы

Модель
угроз
Надзорный
Нарушитель
орган

Интегратор Вендор


Содержание

 Для чего нужна модель угроз?
Необходимость или требование регулятора?

 Оценка вероятности и стоимости ущерба
 Процедура построения модели угроз
 Различные методы моделирования угроз
 Примеры моделей угроз
 Средства моделирования угроз
 Форма модели угроз


Общий подход к
оценке угроз


“Анализ рисков, оценка их вероятности и
тяжести последствий похожа на
посещение игроками Лас-Вегаса – зал
общий, а система игры у каждого своя”


Взглянем с точки зрения заказчика

 Методики оценки рисков представляются
интеграторами и консультантами
…которые заинтересованы в продаже своих продуктов и услуг

 Признаки хорошей методики управления рисками
Она полезна для меня ? Соответствует моим требованиям к
принятию решений? Получаю ли я ответы на мои вопросы?
Она логична? Она измеряет именно риски или уязвимости или
меры защиты (controls)? Она оценивает частоту угроз и
размер ущерба и вероятность?
Она соответствует действительности? Интернет-банк очень
часто незащищен (высокий риск); но много ли мы знаем
фактов потерь вследствие этого?


Управление рисками и шаманство

 Управление рисками сегодня это
больше искусство, чем наука
 Управление рисками похоже на
шаманство
Битье в бубен, бросание костей –
отсутствие рационального объяснения
своего выбора и «почему это работает»
Заветы предков – Best Practices
Интуиции и опыт хороши, но…

 А какой риск приемлем?..


Что такое угроза?



 Совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность, связанную с утечкой информации и(или)
несанкционированными и(или)
непреднамеренными воздействиями на нее
Рекомендации ФСТЭК по защите коммерческой тайны и
КСИИ

 Потенциальная причина инцидента, который может
нанести ущерб системе или организации
ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002



 Угрозы безопасности персональных данных -
совокупность условий и факторов, создающих
опасность несанкционированного, в том числе
случайного, доступа к персональным данным,
результатом которого может стать уничтожение,
изменение, блокирование, копирование,
распространение персональных данных, а также
иных несанкционированных действий при их
обработке в информационной системе
персональных данных
Требования ФСТЭК по защите персональных данных



 Совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность нарушения безопасности информации
ГОСТ 50.1.056-2005

 Возможная причина нежелательного инцидента,
который может закончиться ущербом для системы
или организации
ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002


Что такое риск?

 Вероятная частота и вероятная величина будущих
потерь
Метод FAIR

 Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002

 Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005

 Вероятность причинения ущерба вследствие того, что
определенная угроза реализуется в результате
наличия определенной уязвимости
ГОСТ Р 52448-2005


Что такое риск?

 Потенциальная опасность нанесения ущерба
организации в результате реализации некоторой
угрозы с использованием уязвимостей актива или
группы активов
ГОСТ Р ИСО/МЭК 13335-1-2006
ГОСТ Р ИСО/МЭК 13569 (проект)

 Риск – сочетание вероятности нанесения ущерба и
тяжести этого ущерба
ГОСТ Р 51898-2002

 Состояние неопределенности, в котором некоторые
возможности приводят к потерям, катастрофам или
иным нежелательным результатам
Даг Хаббард

Риск vs. угроза vs. другие термины

 Риск - это
способность
конкретной
угрозы
использовать
уязвимости
одного или
нескольких видов
активов для
нанесения
ущерба
организации
Источник: ГОСТ Р ИСО/МЭК 15408-1-2002


Элементы риска

 Риск описывается комбинацией следующих
элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее

 Эффективность управления рисками зависит от того,
сможем ли мы оценить эти элементы


Характеристики угроз

 Также надо учитывать и другие характеристики
(например, согласно ISO 13335)
Источник – внутренний или внешний;
Мотивация, например финансовая выгода, конкурентное
преимущество
Частота возникновения
Правдоподобие
Вредоносное воздействие

 Нельзя забывать про длительность воздействия
угрозы
Разовая утечка информации vs. DDoS-атака в течение
квартала


Что такое модель
угроз?


Модель угроз

 Описание источников угроз ИБ; методов реализации
угроз ИБ; объектов, пригодных для реализации угроз
ИБ; уязвимостей, используемых источниками угроз
ИБ; типов возможных потерь (например, нарушение
доступности, целостности или конфиденциальности
информационных активов); масштабов
потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной
безопасности организаций банковской системы РФ. Методика
оценки рисков нарушения информационной безопасности»

 Физическое, математическое, описательное
представление свойств и характеристик угроз
безопасности информации
ГОСТ 50922-2006 «Защита информации. Основные термины и

Модель угроз (окончание)

 Модель нарушителя - предположения о
возможностях нарушителя, которые он может
использовать для разработки и проведения атак, а
также об ограничениях на эти возможности
 Модель угроз - перечень возможных угроз
Методические рекомендации ФСБ по обеспечению с
помощью криптосредств безопасности персональных
данных при их обработке в информационных системах
персональных данных с использованием средств
автоматизации


Зачем нужна
модель угроз?


Зачем нужно моделирование угроз

 Систематическая идентификация потенциальных
опасностей
 Систематическая идентификация возможных видов
отказов
 Количественные оценки или ранжирование рисков
 Выявление факторов, обуславливающих риск, и
слабых звеньев в системе
 Более глубокое понимание устройства и
функционирование системы
 Сопоставление риска исследуемой системы с рисками
альтернативных систем или технологий

Зачем нужно моделирование угроз
(окончание)

 Идентификация и сопоставление рисков и
неопределенностей
 Возможность выбора мер и приемов по обеспечению
снижения риска

 ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ
риска технологических систем»

 Основная задача моделирования угроз – обоснование
решений, касающихся рисков


Вопросы для модели угроз

 Модель нарушителя должна ответить на
следующие вопросы
Какие угрозы могут быть реализованы?
Кем могут быть реализованы эти угрозы?
Модель нарушителя
С какой вероятностью могут быть реализованы эти угрозы?
Каков потенциальный ущерб от этих угроз?
Каким образом могут быть реализованы эти угрозы?
Средства и каналы реализации
Почему эти угрозы могут быть реализованы?
Уязвимости и мотивация
На что могут быть направлены эти угрозы?
Как можно отразить эти угрозы?

Анализ угроз vs. анализ рисков

 Согласно РС БР ИББС-2.2-2009 моделирование угроз
предшествует оценке рисков
 Согласно другим стандартам и лучшим практикам
анализ угроз и анализ рисков очень тесно
переплетены
 Анализ рисков позволяет ответить на 3 вопроса
(согласно ГОСТ Р 51901.1-2002 «Менеджмент риска.
Анализ риска технологических систем»)
Что может выйти из строя (идентификация опасности)
С какой вероятностью это может произойти (анализ частоты)
Каковы последствия этого события (анализ последствий)


Качественная или
количественная
оценка?


Качество или количество?

 1954 г. - Paul Meehl – «Clinical Versus Statistical
Prediction: A Theoretical Analysis and Review of the
Evidence», 1954
Работа обновлена в 1996

 Количественная оценка работает лучше экспертной
(качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить
доказательства


Качество/количество: кому доверять?

Качественная
оценка Количественная
оценка

 Отсутствие количественной оценки не позволяет
Оценить адекватность затрат на снижение рисков
Оценить возможность перекладывания рисков
Продемонстрировать снижение рисков
Сравнить текущий уровень с предыдущими значениями


Когда нет цифр?

 Количественная оценка не всегда возможна из-за
Недостатка информации о системе
Недостатка информации о деятельности, подвергающейся
оценке
Отсутствии или недостатке данных об инцидентах
Влияния человеческого фактора

 Качественная оценка требует
Четкого разъяснения всех используемых терминов
Обоснования всех классификаций частот и последствий
Понимания всех плюсов и минусов качественной
(экспертной) оценки


Метод: экспертная оценка

Достоинства Ограничения
Простота реализации Возможность влияния на экспертное
мнение заинтересованными лицами
При оценке случайных событий принцип
«здравого смысла» неприменим
Волюнтаризм экспертов
Отсутствие достаточного количества
экспертов
Балльные оценки экспертов не
позволяют судить о количественных
соотношениях между оцениваемыми
объектами
Зависимость от квалификации эксперта
Психология восприятия риска

Метод Дельфи

 Основной принцип: если опросить людей,
обладающих компетенцией в интересующем нас
вопросе, их усредненная оценка обычно будет
точна более чем на 80%
Если провести второй раунд, предварительно ознакомив
экспертов с результатам первого, то результативность
становится еще выше

 Модификация метода: брать среднюю оценку после
отбрасывания крайних значений
Данный метод рекомендуется применять, если эксперты не
могут подкрепить свое мнение серьезными аргументами


Метод Дельфи: пример

Эксперты Раунд 1 Раунд 2

Эксперт 1 50 55





Итого 61 / 58 61 / 58


Несколько
примеров
недооценки угроз
экспертами


Атаки на процессинг


Атаки на банкоматы


Безопасность банковского ПО


Банковские трояны (пример)

 Троян Tofger
После посещения ряда Интернет-банков пересылает
введенные с клавиатуры данные и скриншоты экрана
 Троян Banker.chg
Перехватывает доступ к определенным банковским сайтам и
переправляет на подставные сайты (фарминг)
 Троян Bancos.pw
Перехват HTTPS-трафика
 Троян Zbot.ikh
Перехват данных HTTP для некоторых российских банков, а
также кража сертификатов, ключей ЭЦП и т.п.


DDoS-атаки на банки


Безопасность клиентов


Контроль привилегированных


Атаки на Интернет-банкинг


Безопасность пластика


Подставные сайты (фишинг и фарминг)


Информационная война


Законодательство и ИБ


Психология
восприятия риска


Психология восприятия риска

 Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов
существует сложность с восприятием риска
 Безопасность основана не только на вероятности
различных рисков и эффективности различных
контрмер (реальность), но и на ощущениях
 Ощущения зависят от психологических реакций на
риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?


Реальность и ощущения

 Реальность безопасности ≠ ощущения безопасности
 Система может быть безопасной, даже если мы не
чувствуем и не понимаем этого
Мы можем думать, что система в безопасности, когда это не
так

 Психология восприятия риска безопасности
Поведенческая экономика
Психология принятия решений
Психология риска
Неврология


Реальность и ощущение безопасности

 Число погибших в  Число жертв автоаварий в
авиакатастрофах в России – около 100
России в 2008 году – 139 человек ежедневно (!)
человек 1,2 млн. жертв в год, 20-50
1980 – 1989 гг. – в СССР 2624 млн. получают травмы
жертвы авиакатастроф

 Трагедия 11 сентября в  От отравления пищей в
США унесла жизни 2973 США ежегодно умирают
человек 5000 человек

Ощущение
Реальность


Наше отношение к рискам и угрозам

 Мы преувеличиваем одни риски и преуменьшаем
другие
 Наше восприятие риска чаще всего «хромает» в пяти
направлениях
Степень серьезности риска
Вероятность риска
Объем затрат
Эффективность контрмер
Возможность адекватного сопоставления рисков и затрат


Основные ошибки восприятия
Люди преувеличивают риски, Люди преуменьшают риски,
которые которые
Производят глубокое впечатление Не привлекают внимание
Случаются редко Являются обычными
Персонифицированы Анонимны
Неподконтрольны или навязаны Контролируются в большей
извне степени или принимаются
добровольно
Обсуждаются Не обсуждаются
Преднамеренные или Естественные
спровоцированные человеком
Угрожают непосредственно Угрожают в будущем, или границы
которых размыты
Внезапны Развиваются медленно, со
временем

Основные ошибки восприятия (окончание)
Люди преувеличивают риски, Люди преуменьшают риски,
которые которые
Угрожают человеку лично Угрожают другим
Новые и незнакомые Знакомые
Неопределенные Понятные
Угрожающие их детям Угрожающие им самим
Оскорбительные с моральной Желательные с моральной точки
точки зрения зрения
Полностью лишенные выгод Связанные с дополнительными
выгодами
Выходят за рамки обычной Характерны для обычной ситуации
ситуации
Недоверенные источники Доверенные источники


Ошибки восприятия безопасности

 Мобильные вирусы  В моем антивирусе для
«Операторы сотовой связи смартфона всего 1000
готовятся к эпидемиями записей и ни одного
вирусов для мобильных предупреждения за 2 (!)
телефонов» года
«Мобильный апокалипсис
лишь вопрос времени»

 Западные производители  Отечественный
ПО специально вставляют разработчик несет
закладки, чтобы украсть большую угрозу
вашу информацию он пока не дорожит
репутацией
Более опасный
риски Реальность


Как мозг анализирует риски

 В человеческом мозгу 2
системы отвечают за
анализ рисков
Примитивная интуитивная –
работает быстро
Продвинутая аналитическая –
принимает решения
медленно
Продвинутая система
появилась только у высших
приматов – еще не
отшлифована
Обе системы работают
одновременно и конфликтуют
между собой

Как мозг анализирует риски

 Человек не анализирует
риски безопасности с
точки зрения математики
Мы не анализируем
вероятности событий

 Люди не могут
анализировать каждое
свое решение
Это попросту невозможно

 Человек использует
готовые рецепты, общие
установки, стереотипы,
предпочтения и привычки

Интересные следствия

 «Предубеждение оптимизма» -
мы считаем, что «с нами это не
случится», даже если это
случилось с другими
Несмотря на эпидемии и атаки
других компаний, сами мы считаем,
что нас это никак не коснется – мы
игнорируем или преуменьшаем
риски сетевой безопасности

 Человеческий мозг не умеет
работать с большими числами
1 шанс из 2-х против 1 шанса из 8-ми
гораздо понятнее, чем 1 шанс из
10000 против 1 шанса из 100000
Threat Modeling
1 шанс из 10000 = «почти никогда»
© 2008 Cisco Systems, Inc. All rights reserved. 57/398

Интересные следствия (продолжение)

 «Эвристика доступности» –
события, которые легче
вспоминаются, имеют
больший риск
Или произошли недавно
Или имели более серьезные
последствия (для эксперта)
Или преподносятся ярко

 Люди склонны игнорировать
действительные вероятности
в случаях, когда ситуация
эмоционально окрашена
Терроризм, авиакатастрофы

Интересные следствия (продолжение)

 Риски, имевшие место когда-
либо в жизни эксперта, имеют
больший вес, чем те, с
которыми он никогда не
встречался
Мы будем бороться с атаками, уже
произошедшими в прошлом,
игнорируя будущие угрозы

 Чем более выдающимся
кажется событие, тем выше
вероятность, что оно покажется
случайным
СМИ и вендоры часто вредят
адекватности восприятия эксперта

Интересные следствия (окончание)

 Очень важна
последовательность, в которой
представлены те или иные
альтернативы
 «Предубеждение подтверждения»
- люди склонны больше учитывать
данные, которые подтверждают
предварительно занимаемую ими
позицию, чем те, которые ее
опровергают
Ситуация еще хуже - люди, которые
занимают позицию A, иногда считают,
что свидетельство анти-A тоже
поддерживает их позицию

Threat Modeling (Part 1)

More Related Content

What's hot (20)

Viewers also liked (18)

Similar to Threat Modeling (Part 1) (20)

More from Aleksey Lukatskiy (20)

Threat Modeling (Part 1)