threat modeling (part 3)
TRANSCRIPT
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 169/398
Методики моделирования угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 170/398
Методики анализа рисков
AS/NZS 4360
HB 167:200X
EBIOS
ISO 27005 (ISO/IEC IS 13335-2)
MAGERIT
MARION
MEHARI
CRISAM
OCTAVE
ISO 31000
NIST SP 800-3
SOMAP
Lanifex Risk Compass
Austrian IT Security Handbook
A&K Analysis
ISF IRAM (включая SARA, SPRINT)
OSSTMM RAV
BSI 100-3
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 171/398
Взгляд ФСТЭК на свои документы
СТР-К
Ключевые системы
Персональные данные
Коммерческая тайна
РД
МСЭ, СВТ…
АС
15408
Требования по защитеразных видов тайн
Требования кразработке
средств защиты
Требования кфункциональности
средств защиты
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 172/398
ISO\IEC TR 13335-3
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 173/398
Стандарт ISO\IEC TR 13335-3
ГОСТ Р ИСО/МЭК ТО «Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий»
ISO\IEC TR 13335-3-1998
Многие методы анализа рисков предусматривают использование таблиц и различных субъективных и эмпирических мер
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 174/398
Пример оценки по ISO\IEC TR 13335-3
На базе оценки активов
Физические активы и ПО оцениваются на основании стоимости их замены или восстановления
Оценка ценности данных осуществляется путем интервьюирования владельцев данных
Трансляция количественной ценности в качественную оценку по числовой шкале
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 175/398
Пример оценки по ISO\IEC TR 13335-3
На базе ранжирования угроз по мерам риска
Оценка воздействия / последствий / ценности актива
Оценка вероятности возникновения угрозы
Расчет мер риска (перемножение b и c)
Ранжирование угроз по мере риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 176/398
Пример оценки по ISO\IEC TR 13335-3
По вероятности и ущербу
Определение ценности актива
Определение частоты / вероятности
Оценка актива
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 177/398
Пример оценки по ISO\IEC TR 13335-3
Продолжение…
Вычисление суммы оценок всех активов для определения оценки системы (путем суммирования)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 178/398
Пример оценки по ISO\IEC TR 13335-3
По разграничению между допустимым/недопустимым рисков
Т – допустимый риск, N – недопустимый риск
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 179/398
ISO\IEC TR 13569
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 180/398
Стандарт ISO\IEC TR 13569
ISO\IEC TR 13569:2005 «Financial services —Information security guidelines»
ГОСТ Р ИСО/МЭК 13569
Данный технический отчет предоставляет рекомендации по разработке программы обеспечения информационной безопасности для учреждений в индустрии финансовых услуг
Данный отчет не предназначен для описывает единое общее решение для всех финансовых учреждений
Каждая организация должна проводить анализ риска и выбирать соответствующие действия
Данный технический отчет предоставляет рекомендации для проведения такого процесса, а не предлагает конкретные решения
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 181/398
Цели ISO\IEC TR 13569
Цели
определение программы менеджмента информационной безопасности
представление организации и политики программы и необходимых структурных компонентов
представление рекомендаций по выбору средств обеспечения безопасности, представляющих собой принятые разумные бизнес-практики в финансовых услугах
информирование руководства финансовых организаций о необходимости систематического рассмотрения правовых рисков в его программе менеджмента информационной безопасности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 182/398
Процесс оценки рисков
Оценка рисков потенциальных угроз для каждой зоны уязвимости путем заполнения табличной формы оценки риска
Присвоение комбинированного уровня риска каждой зоне уязвимости путем заполнения таблицы оценки риска
Определение подходящих политик безопасности и защитных мер, используя результаты шага 2 и имеющиеся меры управления
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 183/398
Область рассмотрения
5 зон уязвимостей
Персонал
Помещения и оборудование
Приложения
Системы связи
Программные средства и операционные системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 184/398
Пример модели угроз по ISO 13569
Уязвимости Денежные
потери
Уменьшение
продуктивности
Ущерб для
репутации
Совокупный
риск
Персонал
Помещение и
оборудование
Приложение
Системы
связи
Программные
среды и ОС
При заполнении таблицы основное предположение должно заключаться в том, что никаких защитных мер не существует
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 185/398
Типы угроз
4 типа угроз
Несанкционированное раскрытие, изменение или разрушение информации
Непреднамеренное изменение или разрушение информации
Отсутствие поставки или неправильно адресованная поставка информации
Отказ от обслуживания или ухудшение обслуживания
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 186/398
Пример модели угроз по ISO 13569
Уязвимость:
Персонал
Риск денежных
потерь
Риск
уменьшения
продуктивности
Риск для
репутации
Несанкционированное
раскрытие, изменение
или разрушение
информации
В С Н В С Н В С Н
Непреднамеренное
изменение или раз-
рушение информации
В С Н В С Н В С Н
Отсутствие поставки
или неправильно
адресованная поставка
информации
В С Н В С Н В С Н
Отказ от обслуживания
или ухудшение
обслуживания
В С Н В С Н В С Н
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 187/398
Общие правила моделирования угроз
Угрозы с большей вероятностью возникновения должны оказывать более существенное влияние на устанавливаемую степень риска
Угрозы с наименьшей вероятностью возникновения должны оказывать менее существенное влияние
Угрозам, имеющим более существенное отношение к оцениваемой бизнес-функции, должна придаваться большая значимость при установлении степени риска
В случае сомнения выбираем более высокую степень риска
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 188/398
Вероятности угроз
1. пренебрежимо малая – раз в 1000 лет или меньше
2. крайне маловероятная – раз в 200 лет
3. очень маловероятная – раз в 50 лет
4. маловероятная – раз в 20 лет
5. возможная – раз в 5 лет
6. вероятная – ежегодно
7. очень вероятная – ежеквартально
8. ожидаемая – ежемесячно
9. ожидаемая с уверенностью– еженедельно
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 189/398
Оценка воздействия (ущерба)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 190/398
Оценка воздействия (ущерба)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 191/398
Оценка воздействия (ущерба)
Оценка осуществляется с учетом наличия мер защиты
Наличие мер защиты обычно снижает вероятность события, но не ущерб от него. Если мера направлена на снижение ущерба, то обычно она не влияет на вероятность
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 192/398
Оценка подверженности угрозе
9 3 3 4 4 4 5 5 5 5
8 3 3 3 4 4 4 5 5 5
7 2 3 3 3 4 4 4 5 5
6 2 2 3 3 3 4 4 4 5
5 2 2 2 3 3 3 4 4 4
4 1 2 2 2 3 3 3 4 4
3 1 1 2 2 2 3 3 3 4
2 1 1 1 2 2 2 3 3 3
1 1 1 1 1 2 2 2 3 3
1 2 3 4 5 6 7 8 9
Ущерб
Вероятность
Уровень 1 – не требует внимания, уровень 5 –разбираться немедленно (без продолжения оценки риска)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 193/398
Резюме
Ориентация на финансовые организации
Большой спектр различных нетехнических и процессных мер защиты
Большое количество примеров
Оценка рисков с разных точек зрения
Репутация, безопасность, финансы, юриспруденция и право, стратегия и т.д.
Практическая направленность
Советы в спорных случаях
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 194/398
ГОСТ Р 51344-99
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 195/398
ГОСТ Р 51344-99
«Безопасность машин. Принципы оценки и распределения риска»
Является руководством для принятия решений при конструировании машин
Но изложенные в нем подходы могут быть использованы и в других областях безопасности
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 196/398
Отдельные замечания
Отсутствие инцидентов или малое их число не должны быть использованы как автоматическое предположение о низком риске
Для количественной оценки допускается использование справочников, лабораторных и эксплуатационных данных
Если есть сомнения в их достоверности, это должно быть отражено в документации
Качественная оценка возможна при согласованном мнении экспертов, полученных непосредственно из экспериментов
Например, по методу Дельфи
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 197/398
Элементы риска
Риск
Тяжесть ущерба
Вероятность ущерба
Частота и продолжительность
воздействия опасности
Вероятность возникновения
опасности
Возможность исключения или
ограничения ущерба
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 198/398
Человеческий фактор
При оценке риска необходимо принимать во внимание человеческий фактор
Взаимодействие человек – техсредство
Взаимодействие между людьми
Психологические аспекты
Эргономические факторы
Способность осознавать риск в данной ситуации (зависит от обучения, опыта или способностей)
Также в этот список можно добавить и экономические аспекты
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 199/398
Психологическая приемлемость
Очень важно, чтобы интерфейс взаимодействия с пользователем был удобным в использовании; чтобы пользователи запросто и «на автомате» использовали механизмы защиты правильным образом. Если образ защиты в уме пользователя будут соответствовать тем механизмам, которые он использует на практике, то ошибки будут минимизированы. Если же пользователь должен переводить представляемый им образ на совершенно иной «язык», он обязательно будет делать ошибки
Джером Зальтцер и Майкл Шредер, 1975 (!) год
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 200/398
Пароли: что плохого?
Выбирайте пароли длиной свыше 8 символов
А как их запомнить?
Используйте системы автоматической генерации паролей (8HguJ7hY)
А как их запомнить?
Пусть пароль выбирает пользователь
Тривиальные и легко угадываемые пароли
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 201/398
Почему это происходит?
Продукт разрабатывается с точки зрения разработчика, а не потребителя
Если потребители и опрашиваются, то только с точки зрения функций защиты
Тестирование проводится на предмет ошибок и дыр, но не юзабилити
Продукт выпускается в условиях жесткой конкуренции со стороны других разработчиков
В России практически никто не обращается к услугам специалистов по эргономике
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 202/398
Пароли: как улучшить?
«Когнитивные» пароли
Графические пароли
Токены, смарт-карты, биометрия
Помните о принципе Левашова
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 203/398
Отключение средств защиты
При оценке риска необходимо принимать во внимание возможность отключения или расстройства защитных средств
Побуждение сделать это возникает когда
Средства защиты снижают выпуск продукции или мешают другим действиям и намерениям потребителя
Средства защиты трудно применить
Должны быть привлечены не операторы, а другой персонал
Средства защиты не признаются или неприемлемы для их назначения
Возможность отключения зависит как от их типа, так и от конструктивных особенностей
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 204/398
Пример с ОС Windows
Что такое «signed»?
Что такое «Microsoft Code Signing PCA»?
Всегда доверять этому источнику?
А если я хочу всегда недоверять этому источнику?
Что «да» и что «нет»?
Чем это опасно?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 205/398
Пример с ОС Windows
Как можно открыть exe-файл?
Чем это опасно?
Какие действия осуществляются по умолчанию?
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 206/398
Дерево атак
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 207/398
Дерево атак (attack tree)
Дерево атак – метод, учитывающий комбинированный эффект использования уязвимостей злоумышленниками и их зависимость друг с другом
Позволяет оценить наиболее предпочтительный для злоумышленников вариант атаки на выбранную цель
`
AttackerMachine 0
Firewall Router
sshd
Database
ServerMachine 2
FTP
ServerMachine 1
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 208/398
Определение уязвимостей
Идентификация уязвимостей системы
С помощью средств анализа защищенности
Экспертный метод
Пути движения злоумышленника
sshd_bof(0,1) → ftp_rhosts(1,2) → rsh(1,2)→ local_bof(2)
ftp_rhosts(0,1) → rsh(0,1) → ftp_rhosts(1,2)→ rsh(1,2) → local_bof(2)
ftp_rhosts(0,2) → rsh(0,2) → local_bof(2)
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 209/398
Определение вероятностей
Экспертная оценкавероятности использования той или иной уязвимости
Учитывается
Публичность информации обуязвимости
Публичность эксплойта
Сложность реализации
И т.д.
Вместо вероятности может учитываться стоимость или время перехода из одного узла в другой
Это позволяет уйти от вероятностного подхода
8.0
8.0
9.01.0
9.0 9.0
1.0
8.0
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 210/398
Вычисление итоговой вероятности
Использование аппарат математической статистики вычисляются итоговые значения вероятностей
Следование одной уязвимости за другой
p(A and B) = p(A)p(B)
При выборе одного из возможных путей следования злоумышленника
p(A or B) = p(A) + p(B) – p(A)p(B)
60.08.0
8.0
72.09.0
1.0
54.09.0
72.09.0
087.01.0
8.0
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 211/398
Моделирование угроз Microsoft
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 212/398
Компания Microsoft разработала процедуру моделирования угроз, которая используется при разработке всех приложений данной компании
Ориентация данного процесса – создание модели угроз для приложений
Данная модель может использоваться при анализе угроз для собственноручно разработанных или приобретаемых приложений
Моделирование угроз от Microsoft
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 213/398
Моделирование угроз от Microsoft
Идентификация активов
Описание архитектуры
Декомпозиция приложения
Идентификация угроз
Документирование угроз
Ранжирование угроз
1
2
3
4
5
6
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 214/398
Актив в контексте модели угроз компании Microsoft –информация или данные, подлежащие защите
Интеллектуальная собственность
Списки клиентов
Номера кредитных карт
Учетные записи пользователей
Ключи шифрования
Также оценивается как актив
Целостность БД
Целостность Web-страниц
Целостность компьютеров в сети
Доступность приложений
Идентификация активов
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 215/398
Что делает приложение и как оно используется?
Пользователь видит состояние своего счета
Пользователь видит банковские «продукты» – текущий счет, карточный счет, депозит и т.п.
Пользователь осуществляет перевод средств
Пользователь формирует запросы в банк
Пользователь открывает новые счета и депозиты
Построение диаграммы приложения
Показ подсистем
Показ информационных потоков
Список активов
Описание архитектуры
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 216/398
Описание архитектуры
Bob
Alice
Bill
Актив #4
Актив #1 Актив #2 Актив #3
Актив #5 Актив #6
IIS ASP.NET
Web-сервер
Login
State
Main
Сервер БД
Fire
wall
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 217/398
На примере финансовой системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 218/398
Уточнение архитектуры
Механизмы аутентификации
Механизмы авторизации
Различные технологии (DPAPI и т.п.)
Границы и контролируемые зоны
Идентификация точек входа
Думать как хакер
Где мои уязвимости?
Что я могу им противопоставить?
Декомпозиция приложения
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 219/398
Декомпозиция приложения
Bob
Alice
BillIIS ASP.NET
Web-сервер Сервер БДДоверие
Форма аутентификации Авторизация URL
DPAPI Аутентификация Windows
Fire
wall
Login
State
Main
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 220/398
На примере финансовой системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 221/398
На примере финансовой системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 222/398
Метод №1: Список угроз
Начинаем с чистого листа всех возможных угроз
Идентифицируем все угрозы, применимые к вашему приложению
Метод №2: STRIDE
Категоризация списка типов угроз
Идентификация угроз по типу/категории
Опционально: дерево угроз
Вершина – цель злоумышленника
Дерево позволяет идентифицировать условия реализации угроз
Идентификация угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 223/398
Spoofing - Подмена
Может ли злоумышленник получить доступ с подставными идентификационными данными?
Tampering
Может ли злоумышленник модифицировать данные?
Repudiation
Может ли злоумышленник блокировать те или иные операции?
Information Disclosure
Denial of Service
Elevation of privilege
Может ли злоумышленник повысить свои привилегии ?
STRIDE
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 224/398
На примере финансовой системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 225/398
Дерево угрозКража
Auth Cookies
Получение auth
cookie для
подмены identity
Unencrypted
Connection
Cookies через
нешифрован-
ный HTTP
Eavesdropping
Хакер
использует
сниффер для
HTTP-трафика
Cross-Site
Scripting
Злоумышлен-
ник использует
знания для
доступа
XSS
Vulnerability
Приложение
уязвимо к
атаке XSS
ИЛИ
И И
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 226/398
На примере финансовой системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 227/398
Документирование угроз
Кража Auth Cookies путем перехвата трафика
Цель угрозы Соединение между броузером и Web-сервером
Риск
Техника атаки Злоумышленник использует сниффер для мониторинга трафика
Защитная мера Использование SSL/TLS для шифрования трафика
Кража Auth Cookies через Cross-Site Scripting
Цель угрозы Уязвимый код приложения
Риск
Техника атаки Злоумышленник посылает e-mail с вредоносной ссылкой пользователю
Защитная мера Проверка ввода; правильный HTML-вывод
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 228/398
Простая модель
Риск = вероятность * ущерб
Градация вероятности – 1-10 (1 – менее вероятный)
Градация ущерба – 1-10 (1 – низкий ущерб)
Модель DREAD
Большая детализация потенциальных угроз
Приоритезация (ранжирование) каждой угрозы по шкале 1-15
Разработана и широко используется Microsoft
Ранжирование угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 229/398
Damage potential – потенциальный ущерб
Какие последствия удачной атаки?
Reproducibility – повторяемость
Будет ли эксплойт работать каждый раз или требуются специфичные условия?
Exploitability – квалификация
Какая квалификация нужна злоумышленнику нужна для использования эксплойта?
Affected users – подверженность
Как много пользователей «попадет» при удачном эксплойте?
Discoverability – доступность
Как злоумышленник узнает, что уязвимость существует?
DREAD
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 230/398
DREAD (продолжение)
Высокий (3) Средний (2) Низкий (1)Ущерб Злоумышленник
может получить данные и изменить их или удалить
Злоумышленник может получить данные, но не более
Злоумышленник может получить доступ к некритичным данным
Повторяемость Работает всегда Работает только в определенное время
Работает редко
Квалификация Даже Bart Simpson может это сделать
Злоумышленник должен иметь определенную квалификацию
Злоумышленник должен иметь ОЧЕНЬ высокую квалификацию
Подверженность Многие или все пользователи
Некоторые пользователи
Небольшая группа пользователей
Доступность Злоумышленник может легко найти дыру
Злоумышленник может найти дыру
Злоумышленнику требуются усилия для поиска дыры
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 231/398
DREAD (окончание)
Threat D R E A D Сумма
Кража Auth cookie (с помощью сниффера)
3 2 3 2 3 13
Кража Auth cookie (XSS) 3 2 2 2 3 12
Высокий ущерб
(spoofed identities и т.д.)
Cookie могут быть украдены
в любое время, но срок их
действия ограничен
Любой может запустить
сниффер; XSS требует
средней квалификации
Все пользователи могут
«попасть», но не все будут
кликать на опасные ссылки
Легко найти: только ввести
<script> в поле формы
Ранжирование
рисков
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 232/398
На примере финансовой системы
Risk Calculation Tool
Может быть свободно загружен с http://adventuresinsecurity.com/blog
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 233/398
На примере финансовой системы
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 234/398
Моделирование угроз OWASPДля Web-приложений
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 235/398
OWASP – Open Web Application Security Project
Основный и самый надежный источник по тематике защиты Web-приложений
Формирует список основных уязвимостей Web-приложений
Определяет методику моделирования угроз для Web-приложений
Методика OWASP
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 236/398
Методика очень похожа на подход Microsoft
Кто у кого стянул? ;-)
Описание архитектуры
Идентификация активов
Идентификация угроз
Привязка угроз к архитектуре
Оценка сценариев последствий
Документирование нарушений
Оценка векторов атак
Повторный, итерационный анализ
Моделирование угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 237/398
Сверху-вниз
Оценка бизнес-объектов
Снизу-вверх
Оценка приложений
Описание архитектуры
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 238/398
Описание архитектурыОпределение ландшафта угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 239/398
Описание архитектурыОпределение уязвимостей
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 240/398
Идентификация активовВключая информационные потоки
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 241/398
Идентификация и привязка угрозВключая векторы атак
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 242/398
Штрафы со стороны регуляторов
Нарушение SLA или QoS
Потеря кредита доверия
Снижение курса акций, доходов, доли рынка
PR-инцидент
Потеря стратегических преимуществ
Снижение лояльности или потеря клиентов
И т.д.
Оценка сценариев последствий
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 243/398
Документирование нарушений
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 244/398
N-Softgoal
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 245/398
Базируется на методах NFR Framework и KAOS
Ориентация на моделировании функциональных требований и качественных атрибутов
Разработана в Verizon и Техасском университете в Далласе
4 ключевых шага
Определение целей безопасности
Определение угроз достижению выбранных целей
Анализ угроз
Оценка адекватности защитных мер
N-Softgoal
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 246/398
Выбор целей для Интернет-банка
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 247/398
Определение и анализ угроз
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 248/398
Оценка адекватности защитных мер
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 249/398
Модель Digital Security
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 250/398
Digital Security –российская компания, занимающаяся услугами в области информационной безопасности
Является разработчиком системы DS Office для анализа рисков
Разработала модель анализа угроз и уязвимостей
Методика Digital Security
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 251/398
Модель Cisco
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 252/398
ПартнерWAN
WAN
Internet
Internet
E-Commerce
Ядро
Офисная сеть
ЦОД
Центр управления сетью
Cisco Virtual Office
Удаленный пользователь
Филиал / отделение
SiSi
SiSi SiSi
SiSi
SiSi
SiSi
SiSi
SiSi
SiSi
Архитектура защищенной сети SAFE
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 253/398
Принципы построения защищенной сети
Принципы ИТ
• Модульность /поэтапность
• Снижение TCO
• Стандартизация / унификация
• Гибкость
• Надежность
• Поддержка новых проектов
• Адаптивность / автоматизация
• Масштабируемость
Принципы ИБ
• Безопасность как свойство, а не опция
• Цель – любое устройство, сегмент, приложение
• Эшелонированная оборона
• Независимость модулей
• Двойной контроль
• Интеграция в инфраструктуру
• Соответствие требованиям
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 254/398
SAFE в современной сети
DataCenter
CampusWANEdge
BranchInternetEdge
E-comm-erce
CiscoTeleworker
VirtualUser
PartnerSites
Сервисы
Policy and Device
Management
Решения по ИБ PCI
DLP
Threat Control
Сетевые устройства
Routers
Servers
Switches
Identify
Monitor
Correlate
Harden
Isolate
Enforce
Видимость Контроль
Secured Mobility, Unified Communications, Network Virtualization
Network Foundation Protection
Устройства ИБ VPNs
Monitoring
Admission Control
Intrusion Prevention
Firewall
Email Filtering
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 255/398
Цель – любое IP-устройство, любое приложение и сеть
Для каждого модуля уже предусмотрен спектр своих угроз, для которых предусмотрен свой набор контрмер
Вероятность угрозы (на основе опыта Cisco и облегчения внедрения SAFE) принята за единицу
Ориентация на сетевые угрозы
Учитывает в т.ч. и war-dialer’ы
Очень редкое пункт в современных документах по безопасности
Модель угроз SAFE
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 256/398
Методика Банка России
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 257/398
РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»
Настоящие рекомендации в области стандартизации Банка России распространяются на организации БС РФ, проводящие оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0
РС БР ИББС-2.2-2009
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 258/398
Положения настоящих рекомендаций в области стандартизации Банка России применяются на добровольной основе
В конкретной организации БС РФ для проведения оценки рисков нарушения ИБ могут использоваться прочие (другие) методики
Результаты использования настоящих рекомендаций и прочих (других) методик оценки рисков нарушения ИБ имеют равное значения при построении СОИБ организации БС РФ
Рекомендательность стандарта
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 259/398
Оценка риска нарушения ИБ определяется на основании качественных оценок
степени возможности реализации угроз ИБ выявленными и(или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды информационных активов
степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов
Оценка возможности реализации угроз ИБ и тяжести последствий нарушения ИБ должны определяться на основе экспертного оценивания
сотрудниками службы ИБ и ИТ
дополнительно необходимо привлекать сотрудников профильных подразделений, использующих рассматриваемые типы информационных активов
Оценка вероятности и последствий
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 260/398
Предварительно необходимо
Оценить информационные активы
Оценить типы объектов среды
Оценить актуальные источники угроз
Учитывается
Мотивация нарушителя
Квалификация и ресурсы нарушителя
Статистика частоты реализации
Способы реализации угроз
Сложность обнаружения угрозы
Наличие защитных мер
Оценка возможности реализации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 261/398
Качественная шкала возможности реализации
Нереализуемая
Минимальная
Средняя
Высокая
Критическая
Оценка возможности реализации
Величина СВР угроз ИБ Величина СВРкол угроз ИБ
Нереализуемая 0%
Минимальная От 1% - до 20%
Средняя От 21% - до 50%
Высокая От 51% - до 100%
Критическая 100%
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 262/398
В стандарте присутствует типовая форма
Оценка возможности реализации
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 263/398
Учитывается
степень влияния на непрерывность деятельности организации
степень влияния на репутацию организации
объем финансовых и материальных потерь
объем финансовых и материальных затрат, необходимых для восстановления
объем людских ресурсов, необходимых для восстановления
объем временных затрат, необходимых для восстановления
степень нарушения законодательных требований и(или) договорных обязательств
степень нарушения требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований нормативных актов Банка России
Оценка тяжести последствий
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 264/398
Учитывается
объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации
данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих апостериорных защитных мер
Оценка тяжести последствий
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 265/398
Качественная шкала тяжести последствий
Минимальная
Средняя
Высокая
Критическая
Оценка тяжести последствий
Величина СТП нарушения ИБ Величина СТПкол нарушения ИБ
минимальная До 0,5% от величины капитала организации БС РФ
средняя От 0,5% до 1,5% от величины капитала организации БС РФ
высокая От 1,5% до 3,0% от величины капитала организации БС РФ
критическая Более 3,0% от величины капитала организации БС РФ
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 266/398
В стандарте присутствует типовая форма
Оценка тяжести последствий
© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 267/398
На основании тяжести последствий и возможности реализации определяется допустимость риска
Оценка риска
СВР угроз ИБ
СТП нарушения ИБ
минимальная средняя высокая критическая
нереализуемая допустимый допустимый допустимый допустимый
минимальная допустимый допустимый допустимый недопустимый
средняя допустимый допустимый недопустимый недопустимый
высокая допустимый недопустимый недопустимый недопустимый
критическая недопустимый недопустимый недопустимый недопустимый