threat modeling (part 1)

1/398© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling

Построение модели угрозВерсия 1.3

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 2/398

О курсе

Цель: Понимание методов разработки модели угроз как с практической точки зрения, так и для выполнения требования регуляторов

На сегодняшний день модель угроз обязательно требуется только по линии защиты персональных данных

Структура

Ключевые понятия и термины

Общие подходы к моделированию угроз

Методики моделирования угроз (в т.ч. и для защиты ПДн)

Средства автоматизации

Оформление модели угроз


О курсе

Мы рассматриваем многие из существующих моделей угроз и методов их разработки

Применение их в конкретной организации зависит от множества условий и целей

Преподаватель

• Рассматривает все альтернативы

Консультант

• Ищет пути решения для конкретной компании


Точки зрения на модель угроз

Модель угроз

Служба ИБ

Регуляторы

Надзорный орган

ВендорИнтегратор

Нарушитель

Юрист


Содержание

Для чего нужна модель угроз?

Необходимость или требование регулятора?

Оценка вероятности и стоимости ущерба

Процедура построения модели угроз

Различные методы моделирования угроз

Примеры моделей угроз

Средства моделирования угроз

Форма модели угроз


Общий подход к оценке угроз


“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”


Взглянем с точки зрения заказчика

Методики оценки рисков представляются интеграторами и консультантами

…которые заинтересованы в продаже своих продуктов и услуг

Признаки хорошей методики управления рисками

Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы?

Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз иразмер ущерба и вероятность?

Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого?


Управление рисками и шаманство

Управление рисками сегодня это больше искусство, чем наука

Управление рисками похоже на шаманство

Битье в бубен, бросание костей –отсутствие рационального объяснения своего выбора и «почему это работает»

Заветы предков – Best Practices

Интуиции и опыт хороши, но…

А какой риск приемлем?..


Что такое угроза?



Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и(или) несанкционированными и(или) непреднамеренными воздействиями на нее

Рекомендации ФСТЭК по защите коммерческой тайны и КСИИ

Потенциальная причина инцидента, который может нанести ущерб системе или организации

ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002



Угрозы безопасности персональных данных -совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных

Требования ФСТЭК по защите персональных данных



Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации

ГОСТ 50.1.056-2005

Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации

ISO\IEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002


Что такое риск?

Вероятная частота и вероятная величина будущих потерь

Метод FAIR

Сочетание вероятности события и его последствий

ГОСТ Р 51901.1-2002

Комбинация вероятности события и его последствий

ГОСТ Р ИСО/МЭК 17799-2005

Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости

ГОСТ Р 52448-2005


Что такое риск?

Потенциальная опасность нанесения ущербаорганизации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов

ГОСТ Р ИСО/МЭК 13335-1-2006

ГОСТ Р ИСО/МЭК 13569 (проект)

Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба

ГОСТ Р 51898-2002

Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам

Даг Хаббард


Риск vs. угроза vs. другие термины

Риск - это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации

Источник: ГОСТ Р ИСО/МЭК 15408-1-2002


Элементы риска

Риск описывается комбинацией следующих элементов:

Тяжесть возможного ущерба (последствия)

Вероятность нанесения ущерба

Частота и продолжительность воздействия угрозы

Вероятность возникновения угрозы

Возможность избежать угрозы или ограничить ущерб от нее

Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы


Характеристики угроз

Также надо учитывать и другие характеристики (например, согласно ISO 13335)

Источник – внутренний или внешний;

Мотивация, например финансовая выгода, конкурентное преимущество

Частота возникновения

Правдоподобие

Вредоносное воздействие

Нельзя забывать про длительность воздействия угрозы

Разовая утечка информации vs. DDoS-атака в течение квартала


Что такое модель угроз?


Модель угроз

Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба

РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»

Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации

ГОСТ 50922-2006 «Защита информации. Основные термины и определения»


Модель угроз (окончание)

Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности

Модель угроз - перечень возможных угроз

Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации


Зачем нужна модель угроз?


Зачем нужно моделирование угроз

Систематическая идентификация потенциальных опасностей

Систематическая идентификация возможных видов отказов

Количественные оценки или ранжирование рисков

Выявление факторов, обуславливающих риск, и слабых звеньев в системе

Более глубокое понимание устройства и функционирование системы

Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий


Зачем нужно моделирование угроз (окончание)

Идентификация и сопоставление рисков и неопределенностей

Возможность выбора мер и приемов по обеспечению снижения риска

ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»

Основная задача моделирования угроз – обоснование решений, касающихся рисков


Вопросы для модели угроз

Модель нарушителя должна ответить на следующие вопросы

Какие угрозы могут быть реализованы?

Кем могут быть реализованы эти угрозы?

Модель нарушителя

С какой вероятностью могут быть реализованы эти угрозы?

Каков потенциальный ущерб от этих угроз?

Каким образом могут быть реализованы эти угрозы?

Средства и каналы реализации

Почему эти угрозы могут быть реализованы?

Уязвимости и мотивация

На что могут быть направлены эти угрозы?

Как можно отразить эти угрозы?


Анализ угроз vs. анализ рисков

Согласно РС БР ИББС-2.2-2009 моделирование угроз предшествует оценке рисков

Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены

Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»)

Что может выйти из строя (идентификация опасности)

С какой вероятностью это может произойти (анализ частоты)

Каковы последствия этого события (анализ последствий)


Качественная или количественная оценка?


Качество или количество?

1954 г. - Paul Meehl – «Clinical Versus Statistical Prediction: A Theoretical Analysis and Review of the Evidence», 1954

Работа обновлена в 1996

Количественная оценка работает лучше экспертной (качественной)

В 136-ти случаев из 144-х

Качественная оценка необъективна по своей сути

При качественной оценке сложно предъявить доказательства


Качество/количество: кому доверять?

Отсутствие количественной оценки не позволяет

Оценить адекватность затрат на снижение рисков

Оценить возможность перекладывания рисков

Продемонстрировать снижение рисков

Сравнить текущий уровень с предыдущими значениями

Качественная оценка Количественная

оценка


Когда нет цифр?

Количественная оценка не всегда возможна из-за

Недостатка информации о системе

Недостатка информации о деятельности, подвергающейся оценке

Отсутствии или недостатке данных об инцидентах

Влияния человеческого фактора

Качественная оценка требует

Четкого разъяснения всех используемых терминов

Обоснования всех классификаций частот и последствий

Понимания всех плюсов и минусов качественной (экспертной) оценки


Метод: экспертная оценка

Достоинства ОграниченияПростота реализации Возможность влияния на экспертное

мнение заинтересованными лицами

При оценке случайных событий принцип «здравого смысла» неприменим

Волюнтаризм экспертов

Отсутствие достаточного количества экспертов

Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами

Зависимость от квалификации эксперта

Психология восприятия риска


Метод Дельфи

Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80%

Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше

Модификация метода: брать среднюю оценку после отбрасывания крайних значений

Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами


Метод Дельфи: пример

Эксперты Раунд 1 Раунд 2

Эксперт 1 50 55





Итого 61 / 58 61 / 58


Несколько примеров недооценки угроз экспертами


Атаки на процессинг


Атаки на банкоматы


Безопасность банковского ПО


Банковские трояны (пример)

Троян Tofger

После посещения ряда Интернет-банков пересылает введенные с клавиатуры данные и скриншоты экрана

Троян Banker.chg

Перехватывает доступ к определенным банковским сайтам и переправляет на подставные сайты (фарминг)

Троян Bancos.pw

Перехват HTTPS-трафика

Троян Zbot.ikh

Перехват данных HTTP для некоторых российских банков, а также кража сертификатов, ключей ЭЦП и т.п.


DDoS-атаки на банки


Безопасность клиентов


Контроль привилегированных


Атаки на Интернет-банкинг


Безопасность пластика


Подставные сайты (фишинг и фарминг)


Информационная война


Законодательство и ИБ



Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска

Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях

Ощущения зависят от психологических реакций на риски и контрмеры

Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию?

Что вероятнее – пасть жертвой террористов или погибнуть на дороге?


Реальность и ощущения

Реальность безопасности ≠ ощущения безопасности

Система может быть безопасной, даже если мы не чувствуем и не понимаем этого

Мы можем думать, что система в безопасности, когда это не так

Психология восприятия риска безопасности

Поведенческая экономика

Психология принятия решений

Психология риска

Неврология


Реальность и ощущение безопасности

Число погибших в авиакатастрофах в России в 2008 году – 139 человек

1980 – 1989 гг. – в СССР 2624 жертвы авиакатастроф

Трагедия 11 сентября в США унесла жизни 2973 человек

Число жертв автоаварий в России – около 100 человек ежедневно (!)

1,2 млн. жертв в год, 20-50 млн. получают травмы

От отравления пищей в США ежегодно умирают 5000 человек

ОщущениеРеальность


Наше отношение к рискам и угрозам

Мы преувеличиваем одни риски и преуменьшаем другие

Наше восприятие риска чаще всего «хромает» в пяти направлениях

Степень серьезности риска

Вероятность риска

Объем затрат

Эффективность контрмер

Возможность адекватного сопоставления рисков и затрат


Основные ошибки восприятия

Люди преувеличивают риски,

которые

Люди преуменьшают риски,

которые

Производят глубокое впечатление Не привлекают внимание

Случаются редко Являются обычными

Персонифицированы Анонимны

Неподконтрольны или навязаны

извне

Контролируются в большей

степени или принимаются

добровольно

Обсуждаются Не обсуждаются

Преднамеренные или

спровоцированные человеком

Естественные

Угрожают непосредственно Угрожают в будущем, или границы

которых размыты

Внезапны Развиваются медленно, со

временем


Основные ошибки восприятия (окончание)

Люди преувеличивают риски,

которые

Люди преуменьшают риски,

которые

Угрожают человеку лично Угрожают другим

Новые и незнакомые Знакомые

Неопределенные Понятные

Угрожающие их детям Угрожающие им самим

Оскорбительные с моральной

точки зрения

Желательные с моральной точки

зрения

Полностью лишенные выгод Связанные с дополнительными

выгодами

Выходят за рамки обычной

ситуации

Характерны для обычной ситуации

Недоверенные источники Доверенные источники


Ошибки восприятия безопасности

Мобильные вирусы

«Операторы сотовой связи готовятся к эпидемиями вирусов для мобильных телефонов»

«Мобильный апокалипсис лишь вопрос времени»

Западные производители ПО специально вставляют закладки, чтобы украсть вашу информацию

В моем антивирусе для смартфона всего 1000 записей и ни одного предупреждения за 2 (!) года

Отечественный разработчик несет большую угрозу

он пока не дорожит репутацией

Более опасный риски Реальность


Как мозг анализирует риски

В человеческом мозгу 2 системы отвечают за анализ рисков

Примитивная интуитивная –работает быстро

Продвинутая аналитическая –принимает решения медленно

Продвинутая система появилась только у высших приматов – еще не отшлифована

Обе системы работают одновременно и конфликтуют между собой


Как мозг анализирует риски

Человек не анализирует риски безопасности с точки зрения математики

Мы не анализируем вероятности событий

Люди не могут анализировать каждое свое решение

Это попросту невозможно

Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычки


Интересные следствия

«Предубеждение оптимизма» -мы считаем, что «с нами это не случится», даже если это случилось с другими

Несмотря на эпидемии и атаки других компаний, сами мы считаем, что нас это никак не коснется – мы игнорируем или преуменьшаем риски сетевой безопасности

Человеческий мозг не умеет работать с большими числами

1 шанс из 2-х против 1 шанса из 8-ми гораздо понятнее, чем 1 шанс из 10000 против 1 шанса из 100000

1 шанс из 10000 = «почти никогда»


Интересные следствия (продолжение)

«Эвристика доступности» –события, которые легче вспоминаются, имеют больший риск

Или произошли недавно

Или имели более серьезные последствия (для эксперта)

Или преподносятся ярко

Люди склонны игнорировать действительные вероятности в случаях, когда ситуация эмоционально окрашена

Терроризм, авиакатастрофы


Интересные следствия (продолжение)

Риски, имевшие место когда-либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался

Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы

Чем более выдающимся кажется событие, тем выше вероятность, что оно покажется случайным

СМИ и вендоры часто вредят адекватности восприятия эксперта


Интересные следствия (окончание)

Очень важна последовательность, в которой представлены те или иные альтернативы

«Предубеждение подтверждения» - люди склонны больше учитывать данные, которые подтверждают предварительно занимаемую ими позицию, чем те, которые ее опровергают

Ситуация еще хуже - люди, которые занимают позицию A, иногда считают, что свидетельство анти-A тоже поддерживает их позицию

threat modeling (part 1)

Self Improvement