threat modeling (part 2)
DESCRIPTION
TRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 61/398
Моделирование угроз на разных этапах жизненного цикла
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 62/398
Этап проектирования
Выявление главных источников риска и предполагаемых факторов, влияющих на риск
Предоставление исходных данных для оценки системы в целом
Определение и оценка возможных мер безопасности
Предоставление исходных данных для оценки потенциально опасных действий и систем
Обеспечение соответствующей информации при проведении ОКР
Оценка альтернативных решений
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 63/398
Этап эксплуатации и техобслуживания
Контроль и оценка данных эксплуатации
Обеспечение исходными данными процесса разработки эксплуатационной документации
Корректировка информации об основных источниках риска и влияющих факторах
Предоставление информации по значимости риска для принятия оперативных решений
Определение влияния изменений в оргструктуре, производстве, процедурах эксплуатации и компонентах системы
Подготовка персонала
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 64/398
Этап вывода из эксплуатации
Предоставление исходных данных для новой версии системы
Корректировка информации об основных источниках риска и влияющих факторах
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 65/398
Чем раньше, тем лучше
Чем позже осуществляется моделирование угроз, тем дороже обходится борьба с ними
Дизайн и архитектура
• 1Х
Внедрение
• 5Х
Тесты интеграции
• 10Х
Бета-тестирование
• 15Х
Боевой запуск
• 30Х
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 66/398
Стратегии анализа рисков
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 67/398
4 стратегии анализа рисков
Источник: ГОСТ Р ИСО/МЭК ТО 13335-3-2007(ISO\IEC TR 13335-3-1998)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 68/398
Базовый подход
Принятие усредненного значения риска для всехсистем
Выбор стандартных средств защиты (ISO/IEC TR 13335-4 или ISO\IEC 27002)
Сложно применим в организациях с системами разного уровня критичности, разными видами конфиденциальной информации
Достоинства
• Минимум ресурсов
• Унификация защитных мер
Недостатки
• Завышение или занижение уровня риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 69/398
Неформальный подход
Проведение анализа, основанного на практическом опыте конкретного эксперта
Достоинства
• Не требует значительных средств и времени
Недостатки
• Увеличивается вероятность пропуска важных деталей
• Трудности при обосновании защитных мер
• Возможна низкая квалификация эксперта
• Зависимость от субъективности или увольнения эксперта
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 70/398
Детальный подход
Детальная идентификация и оценка активов, оценка угроз, оценка уровня уязвимости активов и т.д.
Достоинства
• Адекватный выбор защитных мер
Недостатки
• Значительные финансовые, временные и людские ресурсы
• Вероятность опоздать с выбором защитных мер из-за глубокого анализа
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 71/398
Комбинированный подход
Предварительный анализ высокого уровня для всех систем с последующей детализацией для наиболее критичных для бизнеса систем и использованием базового подхода для менее критичных систем
Достоинства
• Быстрая оперативная оценка систем с последующим выбором адекватного метода анализа рисков
• Оптимизация и эффективность использования ресурсов
Недостатки
• Потенциальная ошибочность отнесения систем к некритичным для бизнеса
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 72/398
Процесс моделирования угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 73/398
Разные процессы моделирования
Существует различные описанные процессы моделирования угроз
Более детально рассмотрим ГОСТ Р 51901.1-2002
Источник: Ford Motor Company
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 74/398
Этапы моделирования угроз
Определение области применения
Идентификация опасности и предварительная оценка последствий
Оценка величины угрозы
Проверка результатов анализа
Документальное обоснование
Корректировка результатов анализа с учетом последних данных
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 75/398
Кто моделирует угрозы?
Персонал должен быть квалифицированным и понимать принципы функционирования анализируемой системы
Отсутствие собственных экспертов
Обращение к специализированным компаниям
Сложность современных систем обуславливает применение групп экспертов
Нельзя зависеть от одного человека
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 76/398
Область применения
Область применения должна быть определена и задокументирована
Документы ФСТЭК определяют такое понятие как «контролируемая зона», но оно уже «области применения»
Этапы определения области применения
Описание оснований для и/или проблем, повлекших моделирование угроз (анализ риска)
Описание исследуемой системы
Установление источников, содержащих информацию о всех технических, правовых, человеческих, организационных факторах, имеющих отношение к системе и проблемам
Описание предположения, ограничивающих анализ
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 77/398
Границы рассмотрения системы
В ГОСТ Р ИСО/МЭК ТО 13335-3-2007 вводится понятие «границы рассмотрения»
Позволяет избежать ненужных операций и повысить качество анализа рисков
Для конкретной системы необходимо учитывать
ИТ-активы
Персонал (включая субподрядчиков и персонал сторонних организаций)
Необходимые условия для производственной деятельности (помещения, банкоматы, CCTV и т.п.)
Бизнес-операции
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 78/398
Идентификация опасности
Необходимо идентифицировать опасности
Известные опасности (происходившие ранее) должны быть четко и точно описаны
Неучтенные ранее опасности должны быть идентифицированы с помощью формальных методов анализа
Предварительная оценка должна основываться на анализе последствий и изучении их основных причин
Предварительная оценка позволяет сделать следующий шаг
Принятие немедленных мер с целью снижения или исключения опасностей
Прекращение анализа из-за несущественности опасности
Переход к оценке рисков и угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 79/398
Анализ последствий
Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием
Анализ последствий должен
Основываться на выбранных нежелательных событиях
Описывать любые последствия, являющиеся результатом нежелательных событий
Учитывать меры, направленные на смягчение последствий, наряду с условиями, оказывающими влияние на последствия
Устанавливать критерии, используемые для полной идентификации последствий
Учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного времени
Учитывать вторичные последствия на смежные системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 80/398
Анализ неопределенностей
Для эффективной интерпретации значений риска и угроз очень важно понимание неопределенностей и вызывающих их причин
Анализ неопределенностей предусматривает определение изменений и неточностей в результатах моделирования, которые являются следствием отклонения параметров и предположений, применяемых при построении модели
С анализом неопределенностей тесно связан анализ чувствительности
Анализ чувствительности подразумевает определение изменений в реакции модели на отклонения отдельных параметров модели
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 81/398
Проверка анализа
Проверка анализа позволяет убедиться, что анализ проведен корректно и ничего не забыто
Для проверки анализа необходимо привлекать людей, не участвующих в анализе
Проверка анализа включает
Проверка соответствия области применения поставленным задачам
Проверка всех важных допущений
Подтверждение правильности использованных методов, моделей и данных
Проверка результатов на повторяемость
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 82/398
Нарушители
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 83/398
Классификация нарушителей
ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»
Террористы и террористические организации
Конкурирующие организации и структуры
Спецслужбы иностранных государств и блоков государств
Криминальные структуры
Взломщики программных продуктов ИТ
Бывшие сотрудники организаций связи
Недобросовестные сотрудники и партнеры
Пользователи услугами связи
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 84/398
Мотивация нарушителей
ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»
Месть
Достижение денежной выгоды
Хулиганство и любопытство
Профессиональное самоутверждение
Я бы еще добавил политику и идеологию
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 85/398
Авторы Промежуточная ступень
Злоумышленники второй ступени
Злоумышленники первой ступени
Конечный результат
Шпионящее ПО
Вирусы
Трояны
Черви
Создатели вредоносных
программ
Внутреннее злоупотребление
привилегиями
Сбор информации
Сбор данных о компьютере
Организатор атак типа DDoS с целью
вымогательства
Спамер
Злоумышленник
Фарминг/изменение DNS
Хищение персональных
данных
Компрометация ПК и приложений
Создание ботнетов
Управление ботнетами
Личная информация
Информационное маклерство
Кража
Шпионаж
Вымогательство
Коммерческие продажи
Мошеннические продажи
Финансовое мошенничество
Разработчикизлоумышленных
программ
Хакеры/прямые атаки
Известность
Экосистема киберпреступников
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 86/398
Последствия
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 87/398
Последствия и свойства информации
ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и средства обеспечения безопасности. Выбор защитных мер» выделает 6 свойств информации, для которых описываются последствия
Конфиденциальность
Целостность
Доступность
Подотчетность
Аутентичность
Достоверность
Такая классификация позволяет систематизировать последствия
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 88/398
Последствия для конфиденциальности
Потеря общественного доверия
Снижение имиджа
Ответственность перед законом
Отрицательное влияние на политику организации
Создание угрозы безопасности персонала
Финансовые потери
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 89/398
Последствия для целостности
Принятие неправильных решений
Обман
Прерывание коммерческих операций
Потеря общественного доверия
Снижение имиджа
Финансовые потери
Ответственность перед законом
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 90/398
Последствия для доступности
Принятие неправильных решений
Неспособность выполнять важные поставленные задачи
Потеря общественного доверия
Снижение имиджа
Финансовые потери
Ответственность перед законом
Большие затраты на восстановление
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 91/398
Последствия для подотчетности
Манипулирование системой со стороны пользователей
Обман
Промышленный шпионаж
Неконтролируемые действия
Ложные обвинения
Ответственность перед законом
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 92/398
Последствия для аутентичности
Обман
Использование достоверных процессов с недостоверными данными
Манипулирование организацией извне
Промышленный шпионаж
Ложные обвинения
Ответственность перед законом
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 93/398
Последствия для достоверности
Обман
Потеря доли рынка
Снижение мотивации в работе персонала
Ненадежные поставщики
Снижение доверия клиентов
Ответственность перед законом
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 94/398
Источники угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 95/398
Источники угроз по ГОСТ 52448
ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»
Субъект
Материальный объект
Физическое явление
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 96/398
Источники угроз по РС БР ИББС-2.2
РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»
Неблагоприятные события природного, техногенного и социального характера
Террористы и криминальные элементы
Зависимость от поставщиков/провайдеров/партнеров/клиентов
Сбои, отказы, разрушения/повреждения ПО и техсредств
Внутренние нарушители ИБ
Внешние нарушители ИБ
Несоответствие требованиям надзорных и регулирующих органов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 97/398
Факторы, воздействующие на информацию
Источники угроз?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 98/398
Категории опасностей
Природные опасности
Наводнения, землетрясения, ураганы, молнии и т.п.
Технические опасности
Социальные опасности
Войны, вооруженные нападения, диверсии, эпидемии и т.п.
Опасности, связанные с укладом жизни
Злоупотребление наркотиками, алкоголь, сектантство и т.п.
ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 99/398
Пример из жизни
Национальности руководителей отдела ИБ и службы внутреннего контроля банка – осетин и ингуш
Конфликт
Клиент банка (на Кавказе) – давний друг семьи, к которой принадлежит руководитель отдела банка
Потенциальная проблема
Руководитель и подчиненный организации (в Казахстане) из разных кланов (тейпов)
Конфликт
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 100/398
ГОСТ Р 51275-2006
ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на информацию»
Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации
Природа возникновения
Объективные Субъективные
Источник возникновения
Внутренние Внешние
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 101/398
Объективные факторы
Внутренние
Передача сигналов
Излучение сигналов, функционально присущие тех.средствам
Побочные электромагнитные излучения
Паразитное электромагнитное излучение
Наводка
Наличие акустоэлектрических преобразователей в элементах тех.средств
Дефекты, сбои и отказы, аварии тех.средств
Дефекты, сбои и отказы ПО
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 102/398
Объективные факторы
Внешние
Явления техногенного характера
Природные явления, стихийные бедствия
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 103/398
Субъективные факторы
Внутренние
Разглашение защищаемой информации лицами, имеющими к ней право доступа
Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации
Несанкционированный доступ к информации
Недостатки организационного обеспечения защиты информации
Ошибки обслуживающего персонала
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 104/398
Субъективные факторы
Внешние
Доступ к защищаемой информации с применением тех.средств
Несанкционированный доступ к защищаемой информации
Блокирование доступа к защищаемой информации путем перегрузки тех.средств обработки информации запросами на ее обработку
Действия криминальных групп и отдельных преступных субъектов
Искажение, уничтожение или блокирование информации с применением тех.средств
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 105/398
Каталоги угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 106/398
Каталоги угроз
Каталоги угроз
ФСТЭК – «Методика определения актуальных угроз персональным данным»
ФСТЭК – «Методика определения актуальных угроз ключевым системам информационной инфраструктуры»
BSI – Threats Catalogue Force majeur
MAGERIT: Risk Analysis and Management Methodology for Information Systems
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
Учитывайте, что угрозы постоянно меняются и могут отсутствовать в используемой версии каталога или измениться по сравнению с описанными в ней
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 107/398
ГОСТ Р ИСО/МЭК ТО 13335-3-2007
…D – угрозы, обусловленные преднамеренными действиямиA – угрозы, обусловленные случайными действиямиE – угрозы, обусловленные естественными причинами
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 108/398
Методы анализа рисков и определения опасностей
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 109/398
Методы анализа риска / угроз
Существует множество различных методов анализа рисков / угроз
Универсального метода не существует
При выборе метода надо учитывать, что должен быть
Научно обоснованным и соответствовать сложности и природе анализируемой системы
Давать результаты в форме, обеспечивающей понимание природы риска/угрозы и способов его контроля
Типовым и обладать свойствами, обеспечивающими возможность прослеживаемости, повторяемости и контролируемости
В документации необходимо представить обоснование выбранного метода анализа / моделирования
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 110/398
Выбор метода анализа риска / угроз
Метод анализа риска и угроз выбирается исходя из приемлемости целого ряда факторов
Например, на ранней стадии развития системы могут использоваться менее детализированные методы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 111/398
2 категории методов анализа рисков
Дедуктивный
• За исходное принимается заключительное событие
• Выявляются события, которые могут вызвать исходное
Индуктивный
• За исходное принимается разрушение/ нарушение ИБ различных компонентов
• Выявляются события, которые могут последовать за этим нарушением
Источник: ГОСТ Р 51344-99
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 112/398
Дедуктивный метод
Исходное событие – утечка информации
События-причины
Троянец, занесенный через периферию (USB, CD и т.п.)
Троянец , занесенный через e-mail
Троянец, занесенный через уязвимость в Web-броузере
Кража со стороны сотрудника
Случайные действия персонала
Халатность персонала
Шантаж персонала
Перехват информации во время передачи по каналам связи
Кража носителя информации (лэптопа, КПК и т.п.)
Уязвимость в настройках средств защиты
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 113/398
Индуктивный метод
Исходное событие – атака на Web-сайт банка
События-последствия
Негативный отзыв в прессе (удар по репутации)
Недоступность сайта
Утечка информации с сайта
Проникновение во внутреннюю сеть организации
Дефейс главной страницы сайта
Внедрение вредоносного кода на сайт
Хищение средств (для Интернет-банкинга или Интернет-магазина)
Нарушение законодательства (PCI DSS)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 114/398
Методы анализа риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 115/398
Методы анализа риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 116/398
Особенности выбора
Не стоит опираться только на один метод анализа рисков / угроз – лучше их комбинировать
Важно помнить, что существенным фактором во многих инцидентах является человеческий фактор и организационные ошибки
Нельзя ограничиваться только технической стороной анализируемой системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 117/398
Процесс моделирования угроз(продолжение)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 118/398
Оценка риска
На практике идентификация опасностей может приводить к очень большому числу сценариев потенциальных инцидентов
Детальный количественный анализ частот и последствий в таком случае не всегда возможен и осуществим
Необходимо качественно ранжировать сценарии, поместив их в матрицы риска
Детальный количественный анализ осуществляется для сценариев с более высокими уровнями рисков
Не существует универсальной формы и содержания матрицы риска
Классификация частот и серьезности последствий (как и количество их категорий) могут меняться в зависимости от ситуации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 119/398
Пример матрицы риска
Источник: ГОСТ Р 51901.1-2002Классификация риска:• В – высокая величина риска• С – средняя величина риска• М – малая величина риска• Н – незначительная величина риска
Классификация серьезности последствий:• Катастрофическое – практически полная потеря анализируемого объекта• Значительное – крупный ущерб системе• Серьезное – серьезный ущерб системе• Незначительное – незначительное повреждение системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 120/398
Анализ частот / вероятности
Историческая (статистическая) оценка, позволяющая на основании данных прошлых периодов прогнозировать будущее
Опрос экспертов
Метод Дельфи, метод парных сопоставлений, метод классификации групп риска
Прогнозирование с использованием таких приемов, как дерево неисправностей (граф атак), дерево событий и т.п.
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 121/398
Вероятность
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 122/398
Вероятность возникновения риска
Считаем самостоятельно
(экспертная оценка)
Используем готовую статистику
Собственная Чужая
Базовый расчет
Детальный расчет
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 123/398
Вероятность возникновения риска(второй метод – после собственной статистики)
У нас же есть отчеты CSI/FBI, E&Y, PwC, KPMG, МВД, Infowatch, Perimetrix и т.п.!
Мы не знаем условий, при которых произошел инцидент
Мы не имеем деталей по каждому респонденту
Средняя температура по больнице
Пример: риски для АСУ ТП
Небольшое число внедрений
Публичной статистики нет (базы BCIT и INL не в счет)
Статистики вендоров нет – «закрытые» технологии
Собственной статистики нет – у ИБ/ИТ не доступа к АСУ ТП
Экспертных оценок в России нет
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 124/398
О доверии к статистике
Proofpoint
• 43% утечек через e-mail
Infowatch
• 5% утечек через e-mail
IDC
• 56% утечек через e-mail
Собираемая статистика очень сильно зависит от используемых методов опроса, аудитории, желания респондентов делиться информацией, масштаба опроса и даже от того, с какой ноги встал интервьюер
Не каждая компания приглашает социологов для осуществления опросов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 125/398
Публичные отчеты со статистикой угроз
WhiteHat Security – Web Vulnerability Statistics
Positive Technologies – Статистика уязвимостей Web
CSI – CSI Computer Crime & Security Survey
Aberdeen Group – The 2008 Email Security Report
IBM ISS – X-Force 2008 Trend & Risk Report
Symantec – Global Internet Security Threat Report
MessageLabs – 2008 Annual Security Report
Cisco – 2008 Annual Security Report
Verizon – 2009 Data Breach Investigations Report
PwC – 2008 Information Security Breaches Survey
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 126/398
CNN: Десятки миллионов ПК инфицированы и входят в состав различных ботнетов
http://www.cnn.com/2006/TECH/internet/01/31/furst/
Symantec Internet Security Report – Июнь ‘05
10,000+ новых зомби добавляется каждый день
Рост DoS-атак с 119 до 927 в день —рост на 679%
Большой % DDoS-атак создаются ради вымогательства
Рост ботнетов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 127/398
Большинство провайдеров второго уровня и контент-провайдеров (85%) фиксируют атаки преимущественно на скоростях 500 Мбит/сек – 1 Гбит/сек.
Многие респонденты говорят в среднем о 10-ти и более атаках в месяц, которые нарушают доступность сетей клиентов (среднее число атак в месяц - 40)
Атак, которые влияют непосредственно на инфраструктуру провайдеров, стало меньше – в среднем 1-2 в месяц
Источник: Arbor Networks Worldwide ISP Security Report
Размер и частота DoS-атак
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 128/398
Рост числа вредоносного ПОучаствующего в построение ботнетов и краже данных
# уникальных сигнатур в 2006: 972K# уникальных сигнатур в 2007: 5.5M
Уникальные сигнатуры вредоносного ПО
500% рост за 12 месяцев
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 129/398
Утечки данных через E-mail и Web
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 130/398
100%-й рост спама
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 131/398
Базовая экспертная оценка (третий метод)
При отсутствии статистической/исторической информации экспертная оценка является единственным методов определения частоты/вероятности реализации угроз
Эксперты ранжируют вероятность наступления события исходя из своего опыта и знаний анализируемой системы
Экспертная оценка является дополняет статистику и зачастую подтверждает ее
Желательно использовать комбинацию всех методов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 132/398
Считаем самостоятельно (четвертый метод)
Вероятность
Уязвимость
Сила защитной
меры
Возможности нарушителя
Угроза
Наличие доступа
Действие
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 133/398
А оцениваем ли мы риски нарушителя?
Профиль (модель) нарушителя
Мотив (причина)
Цель
«Спонсор» (кто помогает ресурсами?)
Потенциальные возможности
Озабоченность косвенным ущербом
Приемлемый уровень риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 134/398
Потенциал нападения
ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от
Мотивации нарушителя
Компетентности нарушителя
Ресурсов нарушителя
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 135/398
Мотивация нападения
Высокая мотивация нападение неизбежно
Низкая мотивация нападение маловероятно
Но исключая крайние ситуации, прямой связи между вероятностью и мотивацией не прослеживается
Более ценный актив более высокая мотивация
Но ценность актива субъективна и прямая связь ценности и мотивация не всегда связана
Высокая мотивация приобретение достаточной компетентности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 136/398
Вычисление потенциала нападения
2 аспекта - идентификация и использование
Время, затрачиваемое на идентификацию уязвимости
Техническая компетентность специалиста
Знание проекта и функционирования атакуемой системы
Доступ к атакуемой системе
Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа
Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга
Компетентность время, доступные ресурсы время
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 137/398
Вычисление потенциала нападения
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 138/398
Вычисление рейтинга уязвимости
Складываются 10 значений из предыдущей таблицы
Таблица – не догма, а руководство к действию
Если значение близко к границе, подумайте об усреднении двух значений
ОО – объект оценки, СФБ – стойкость функции безопасности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 139/398
Сравнение с другими рисками (пятый метод)
Сравнение/сопоставление с аналогичным риском
ГОСТ Р 51344-99
Сравнение с риском на аналогичном решении с учетом следующих факторов
Аналогичное оборудование безопасности
Предполагаемое использование и технологии на обоих решениях сравнимы
Опасность и элементы риска сравнимы
Технические условия сравнимы
Условия использования сравнимы
Необходимо учитывать дополнительные факторы
Например, тип защищаемой информации или потенциал нападения
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 140/398
Аналитика (шестой метод)
Прогнозирование с использованием аналитических методов
«Дерево неисправностей» (Fault Tree Analysis) – диаграмма всех возможных последствий инцидента в системе (МЭК 61025)
«Дерево событий» (Event Tree Analysis) - диаграмма всех возможных последствий данного события
Имитационное моделирование отказов/инцидентов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 141/398
Бинарная вероятность (седьмой метод)
Вероятность принимается равной единице, если угроза может быть осуществлена, и нулю – если нет
При отсутствии защитных мер
Этот подход имеет право на жизнь, но только для небольшого количества систем и сценариев
В обычной жизни это слишком дорого
…или для угроз, которые являются очень распространенными
Данный метод применяется в неьольшом количестве различных методик
Ключевые системы информационной инфраструктуры – ФСТЭК
Security Architecture for Enterprise (SAFE) – Cisco
Методика ФСБ по персданным
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 142/398
Градация вероятности угроз
Существуют различные градации частот / вероятности опасностей / угроз
Девять уровней – ГОСТ 13569
Шесть уровней – ГОСТ Р 51901.1-2002
Четыре уровня – «Методика определения актуальных угроз ПДн»
Три уровня – ГОСТ Р 52448-2005
И т.п.
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 143/398
Оценка потерь
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 144/398
Оценка потерь
Анализ риска не может быть осуществлен без оценки потерь
Потеря в природе риска. Без потерь рисков не бывает
Оценка риска не имеет смысла, если мы не можем определить ценность актива, подверженного рискам
Особенности оценки потерь
Точная оценка невозможна по своей природе. Многие ее и не ждут, столкнувшись с потерями при инвестиционных, рыночных рисках…
Worst-case (самый худший случай) не имеет отношения к анализу рисков, т.к. исчезает элемент вероятности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 145/398
Почему сложно считать?
Информационный актив может иметь разную ценность
В разное время, для разных аудиторий, в разных бизнес-процессах
Потери могут принимать разные формы
Одно событие может быть причиной нескольких форм потерь
Сложные взаимосвязи между разными формами потерь
Объем потерь определяется множеством факторов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 146/398
Ценность относительна
Ценность стакана воды в городских условиях равна нулю
Вода есть везде
Стакан воды в пустыне бесценнен
Воды практически нет
Цена стакана воды одинакова в обоих условиях
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 147/398
Зависимая ценность
Если ценность зависимого актива ниже или равна ценности анализируемого актива, то итоговая ценность остается прежней
Если ценность зависимых активов выше, то ценность анализируемого актива необходимо повысить с учетом
Уровня соответствующей зависимости
Уровня ценности других активов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 148/398
Определение ценности
Потери
Прямые – потеря доходов, штрафы за нарушение договорных обязательств, штрафы надзорных органов, иски
Косвенные – упущенная выгода, потеря доли рынка, снижение лояльности заказчиков/партнеров, репутация
Приобретение
Ускорение сделок, снижение времени вывода продукта на рынок, рост продуктивности, рост числа клиентов и т.д.
Ценность потери Ценность
приобретения
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 149/398
Определение потерь
Бизнес-потери
Падение доходов
Штрафы и судебные иски
Упущенная выгода
Потеря доли рынка
Удар по репутации
Снижение лояльности клиентов/партнеров
«Информационные» потери (например, интеллектуальная собственность)
ИТ- или операционные потери
Цена восстановления информации
Цена восстановления ИТ-систем
Цена восстановления бизнес-процессов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 150/398
Формы потерь
• Простои
• Ухудшение психологического климатаПродуктивность
• Расследование инцидента
• PR-активностьРеагирование
• Замена оборудования
• Повторный ввод информацииЗамена
• Судебные издержки, досудебное урегулирование
• Приостановление деятельностиШтрафы
• Ноу-хау, государственная, коммерческая тайна
• Отток клиентов, обгон со стороны конкурентаКонкуренты
• Гудвил
• Снижение капитализации, курса акцийРепутация
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 151/398
Составляющие потерь
Цена «сбоя» складывается из множества параметров
Восстановление утерянной информации
«Процедурные» затраты
Стоимость времени восстановления
Взаимодействие с пострадавшими стейкхолдерами
Резервирование автоматизации ключевых процессов ручными операциями
Снижение качества обслуживания
Извлечение уроков и т.п.
Необходимо учитывать динамику потерь
Ущерб может наступить мгновенно или спустя недели
Активность бизнес-процессов может зависеть от квартала/сезона ущерб зависит от этого же
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 152/398
Жизненный цикл сбоя
RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime
Степень влияния и составляющие цены «сбоя» меняется с течением времени
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 153/398
Ценность активов
Активы бывают материальные и нематериальные
Материальные активы оцениваются обычно на основе стоимости их замены или восстановления
Аналогичным образом часто оценивается и программное обеспечение
Ценность информации и иных нематериальных активов определяется либо экспертным способом (метод Дельфи) или с помощью специальных методик
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 154/398
Взгляд на информацию
ИБ думает про информацию с точки зрения
Целостности, конфиденциальности и доступности
Бизнес думает про информацию с точки зрения
Стоимости создания, рыночной ценности, достоверности, своевременности (оперативности)
ИББизнес
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 155/398
Стоимость информации
Рыночная стоимость компании – наличные –стоимость всех физических активов = стоимость информации (информационная ценность)
Пример
$100М физических активов и $100М наличными
$100М акций по $10 каждая
Стоимость информации $800М
Стоимость акций упала на 1% и компания потеряла $8М. Это проблема ИБ?
Стоимость акций выросла на 2% и компания заработала $16М. Это успех ИБ?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 156/398
Имеет ли информационный актив цену?
Наиболее сложный, но реализуемый этап в BIA
Требует привлечения финансового департамента и финансовых методик расчета
Совершенно иной уровень знаний и квалификации
Оценки стоимости информационных активов возможна
Бухгалтерия давно умеет это делать!
Методика оценки нематериальных активов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 157/398
Нематериальные активы
Патенты, изобретения, технологии…
Авторские права
Деловая репутация
Фирменные знаки и наименования
Документированные консультации
Торговые марки
ПО, обособленное по «железа»
Права на эксплуатацию
Лицензии
И т.д.
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 158/398
Виды стоимости НМА
Вид стоимости Определение
Стоимость обмена Вероятная цена продажи, когда условия
обмена известны обеим сторонам и сделка
считается взаимовыгодной
Обоснованная рыночная
стоимость
Наиболее вероятная цена, по которой
объект оценки переходит из рук одного
продавца в руки другого на открытом рынке
и добровольно
Стоимость
использования
Стоимость объекта оценки в представлении
конкретного пользователя и с учетом его
ограничений
Ликвидационная
стоимость
Стоимость объекта оценки при вынужденной
продаже, банкротстве
Стоимость замещения Наименьшая стоимость эквивалентного
объекта оценки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 159/398
Методы оценки НМА
Рыночный
• Метод сравнения продаж аналогичных объектов оценки
Затратный
• Метод стоимости замещения
• Метод восстановительной стоимости
• Метод исходных затрат
Доходный
• Метод расчета роялти
• Метод исключения ставки роялти
• Метод DCF
• Метод прямой капитализации
• Экспресс-оценка
• Метод избыточной прибыли
• Метод по правилу 25%
• Экспертные методы
У каждого метода есть своя область применения, свои достоинства и недостатки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 160/398
Стандарты оценки НМА
МСФО 38 «Нематериальные активы»
GAAP – для США
EVS 2000 – для Евросоюза
Стандарты оценки РФ
Утверждены ПП-519 от 6.07.2001
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 161/398
ALE, ALE, ALE, ALE
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 162/398
ALE – Annual Loss Expectancy
Совокупные затраты на ИБ = ALE + TCO
Ежегодный ожидаемый размер потерь
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 163/398
SLE – Single Loss Expectancy
Стоимость потерь от одной атаки
Может вычисляться как
Произведение стоимости атакуемого актива (Asset Value) на вероятность атаки (Exposure Factor)
или
Детальная оценка стоимости конкретной атаки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 164/398
SLE = AV * EF
Мы должны уметь оценивать стоимость активов с различных сторон
Генерируемая активом прибыль или оборот
Стоимость информации
Мы должны иметь представление о вероятности атак
Сбор собственной статистики
Экспертная оценка
Использование международной усредненной статистики (KPMG, PwC, CSI и т.д.)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 165/398
Detailed Attack Costing (DAC)
Детальная оценка стоимости атаки включает в себя:
Стоимость простоя атакуемого актива (потеря продуктивности)
Стоимость восстановления атакуемого актива, включая привлечение внешних сил
Дополнительные затраты (штрафы, неустойки, репутация, судебные тяжбы, уход клиентов и т.п.)
Потенциальные сбережения (например, электричество или Интернет)
Метод обычно применяется для активов, которые напрямую не «завязаны» на генерацию финансовых средств, но важны для бизнеса
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 166/398
Исходные данные
Время простоя вследствие атаки
Время восстановления после атаки
Время повторного ввода потерянной информации
Зарплата обслуживающего персонала
Зарплата сотрудников атакованного узла или сегмента
Численность обслуживающего персонала
Численность сотрудников атакованного узла/сегмента
Объем продаж, выполненных с помощью атакованного узла или сегмента
Стоимость замены оборудования или запасных частей
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 167/398
Совокупная стоимость владения
Прямые затраты включают в себя:
Капитальные затраты на программное обеспечение
Капитальные затраты на аппаратное обеспечение
Затраты на дополнительное программно-аппаратное обеспечение (базы данных, браузеры, системы резервирования и т.д.)
Затраты на поддержку и обучение (командировочные расходы, звонки в службу поддержки, общение по e-mail)
Затраты на управление (зарплата администраторов, реагирование на атаки, трафик Internet, модернизация)
Затраты на внедрение
Сопутствующие затраты (прокладка СКС, изменение топологии, перенастройка оборудования)
Прайсовая стоимость системы защиты составляет 15-21% от совокупной стоимости владения
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 168/398
Совокупная стоимость владения
Косвенные затраты включают в себя:
Непродуктивная работа пользователей, связанная с действиями «проб и ошибок» из-за отказа от чтения документации и обучения
Простои и сбои системы защиты