threat modeling (part 3)

© 2008 Cisco Systems, Inc. All rights reserved.Threat Modeling 169/398

Методики моделирования угроз


Методики анализа рисков

AS/NZS 4360

HB 167:200X

EBIOS

ISO 27005 (ISO/IEC IS 13335-2)

MAGERIT

MARION

MEHARI

CRISAM

OCTAVE

ISO 31000

NIST SP 800-3

SOMAP

Lanifex Risk Compass

Austrian IT Security Handbook

A&K Analysis

ISF IRAM (включая SARA, SPRINT)

OSSTMM RAV

BSI 100-3


Взгляд ФСТЭК на свои документы

СТР-К

Ключевые системы

Персональные данные

Коммерческая тайна

РД

МСЭ, СВТ…

АС

15408

Требования по защитеразных видов тайн

Требования кразработке

средств защиты

Требования кфункциональности

средств защиты


ISO\IEC TR 13335-3


Стандарт ISO\IEC TR 13335-3

ГОСТ Р ИСО/МЭК ТО «Методы и средства обеспечения безопасности. Методы менеджмента безопасности информационных технологий»

ISO\IEC TR 13335-3-1998

Многие методы анализа рисков предусматривают использование таблиц и различных субъективных и эмпирических мер


Пример оценки по ISO\IEC TR 13335-3

На базе оценки активов

Физические активы и ПО оцениваются на основании стоимости их замены или восстановления

Оценка ценности данных осуществляется путем интервьюирования владельцев данных

Трансляция количественной ценности в качественную оценку по числовой шкале



На базе ранжирования угроз по мерам риска

Оценка воздействия / последствий / ценности актива

Оценка вероятности возникновения угрозы

Расчет мер риска (перемножение b и c)

Ранжирование угроз по мере риска



По вероятности и ущербу

Определение ценности актива

Определение частоты / вероятности

Оценка актива



Продолжение…

Вычисление суммы оценок всех активов для определения оценки системы (путем суммирования)



По разграничению между допустимым/недопустимым рисков

Т – допустимый риск, N – недопустимый риск


ISO\IEC TR 13569


Стандарт ISO\IEC TR 13569

ISO\IEC TR 13569:2005 «Financial services —Information security guidelines»

ГОСТ Р ИСО/МЭК 13569

Данный технический отчет предоставляет рекомендации по разработке программы обеспечения информационной безопасности для учреждений в индустрии финансовых услуг

Данный отчет не предназначен для описывает единое общее решение для всех финансовых учреждений

Каждая организация должна проводить анализ риска и выбирать соответствующие действия

Данный технический отчет предоставляет рекомендации для проведения такого процесса, а не предлагает конкретные решения


Цели ISO\IEC TR 13569

Цели

определение программы менеджмента информационной безопасности

представление организации и политики программы и необходимых структурных компонентов

представление рекомендаций по выбору средств обеспечения безопасности, представляющих собой принятые разумные бизнес-практики в финансовых услугах

информирование руководства финансовых организаций о необходимости систематического рассмотрения правовых рисков в его программе менеджмента информационной безопасности


Процесс оценки рисков

Оценка рисков потенциальных угроз для каждой зоны уязвимости путем заполнения табличной формы оценки риска

Присвоение комбинированного уровня риска каждой зоне уязвимости путем заполнения таблицы оценки риска

Определение подходящих политик безопасности и защитных мер, используя результаты шага 2 и имеющиеся меры управления


Область рассмотрения

5 зон уязвимостей

Персонал

Помещения и оборудование

Приложения

Системы связи

Программные средства и операционные системы


Пример модели угроз по ISO 13569

Уязвимости Денежные

потери

Уменьшение

продуктивности

Ущерб для

репутации

Совокупный

риск

Персонал

Помещение и

оборудование

Приложение

Системы

связи

Программные

среды и ОС

При заполнении таблицы основное предположение должно заключаться в том, что никаких защитных мер не существует


Типы угроз

4 типа угроз

Несанкционированное раскрытие, изменение или разрушение информации

Непреднамеренное изменение или разрушение информации

Отсутствие поставки или неправильно адресованная поставка информации

Отказ от обслуживания или ухудшение обслуживания


Пример модели угроз по ISO 13569

Уязвимость:

Персонал

Риск денежных

потерь

Риск

уменьшения

продуктивности

Риск для

репутации

Несанкционированное

раскрытие, изменение

или разрушение

информации

В С Н В С Н В С Н

Непреднамеренное

изменение или раз-

рушение информации


Отсутствие поставки

или неправильно

адресованная поставка

информации


Отказ от обслуживания

или ухудшение

обслуживания



Общие правила моделирования угроз

Угрозы с большей вероятностью возникновения должны оказывать более существенное влияние на устанавливаемую степень риска

Угрозы с наименьшей вероятностью возникновения должны оказывать менее существенное влияние

Угрозам, имеющим более существенное отношение к оцениваемой бизнес-функции, должна придаваться большая значимость при установлении степени риска

В случае сомнения выбираем более высокую степень риска


Вероятности угроз

1. пренебрежимо малая – раз в 1000 лет или меньше

2. крайне маловероятная – раз в 200 лет

3. очень маловероятная – раз в 50 лет

4. маловероятная – раз в 20 лет

5. возможная – раз в 5 лет

6. вероятная – ежегодно

7. очень вероятная – ежеквартально

8. ожидаемая – ежемесячно

9. ожидаемая с уверенностью– еженедельно


Оценка воздействия (ущерба)



Оценка осуществляется с учетом наличия мер защиты

Наличие мер защиты обычно снижает вероятность события, но не ущерб от него. Если мера направлена на снижение ущерба, то обычно она не влияет на вероятность


Оценка подверженности угрозе

9 3 3 4 4 4 5 5 5 5

8 3 3 3 4 4 4 5 5 5

7 2 3 3 3 4 4 4 5 5

6 2 2 3 3 3 4 4 4 5

5 2 2 2 3 3 3 4 4 4

4 1 2 2 2 3 3 3 4 4

3 1 1 2 2 2 3 3 3 4

2 1 1 1 2 2 2 3 3 3

1 1 1 1 1 2 2 2 3 3

1 2 3 4 5 6 7 8 9

Ущерб

Вероятность

Уровень 1 – не требует внимания, уровень 5 –разбираться немедленно (без продолжения оценки риска)


Резюме

Ориентация на финансовые организации

Большой спектр различных нетехнических и процессных мер защиты

Большое количество примеров

Оценка рисков с разных точек зрения

Репутация, безопасность, финансы, юриспруденция и право, стратегия и т.д.

Практическая направленность

Советы в спорных случаях


ГОСТ Р 51344-99


ГОСТ Р 51344-99

«Безопасность машин. Принципы оценки и распределения риска»

Является руководством для принятия решений при конструировании машин

Но изложенные в нем подходы могут быть использованы и в других областях безопасности


Отдельные замечания

Отсутствие инцидентов или малое их число не должны быть использованы как автоматическое предположение о низком риске

Для количественной оценки допускается использование справочников, лабораторных и эксплуатационных данных

Если есть сомнения в их достоверности, это должно быть отражено в документации

Качественная оценка возможна при согласованном мнении экспертов, полученных непосредственно из экспериментов

Например, по методу Дельфи


Элементы риска

Риск

Тяжесть ущерба

Вероятность ущерба

Частота и продолжительность

воздействия опасности

Вероятность возникновения

опасности

Возможность исключения или

ограничения ущерба


Человеческий фактор

При оценке риска необходимо принимать во внимание человеческий фактор

Взаимодействие человек – техсредство

Взаимодействие между людьми

Психологические аспекты

Эргономические факторы

Способность осознавать риск в данной ситуации (зависит от обучения, опыта или способностей)

Также в этот список можно добавить и экономические аспекты


Психологическая приемлемость

Очень важно, чтобы интерфейс взаимодействия с пользователем был удобным в использовании; чтобы пользователи запросто и «на автомате» использовали механизмы защиты правильным образом. Если образ защиты в уме пользователя будут соответствовать тем механизмам, которые он использует на практике, то ошибки будут минимизированы. Если же пользователь должен переводить представляемый им образ на совершенно иной «язык», он обязательно будет делать ошибки

Джером Зальтцер и Майкл Шредер, 1975 (!) год


Пароли: что плохого?

Выбирайте пароли длиной свыше 8 символов

А как их запомнить?

Используйте системы автоматической генерации паролей (8HguJ7hY)

А как их запомнить?

Пусть пароль выбирает пользователь

Тривиальные и легко угадываемые пароли


Почему это происходит?

Продукт разрабатывается с точки зрения разработчика, а не потребителя

Если потребители и опрашиваются, то только с точки зрения функций защиты

Тестирование проводится на предмет ошибок и дыр, но не юзабилити

Продукт выпускается в условиях жесткой конкуренции со стороны других разработчиков

В России практически никто не обращается к услугам специалистов по эргономике


Пароли: как улучшить?

«Когнитивные» пароли

Графические пароли

Токены, смарт-карты, биометрия

Помните о принципе Левашова


Отключение средств защиты

При оценке риска необходимо принимать во внимание возможность отключения или расстройства защитных средств

Побуждение сделать это возникает когда

Средства защиты снижают выпуск продукции или мешают другим действиям и намерениям потребителя

Средства защиты трудно применить

Должны быть привлечены не операторы, а другой персонал

Средства защиты не признаются или неприемлемы для их назначения

Возможность отключения зависит как от их типа, так и от конструктивных особенностей


Пример с ОС Windows

Что такое «signed»?

Что такое «Microsoft Code Signing PCA»?

Всегда доверять этому источнику?

А если я хочу всегда недоверять этому источнику?

Что «да» и что «нет»?

Чем это опасно?


Пример с ОС Windows

Как можно открыть exe-файл?

Чем это опасно?

Какие действия осуществляются по умолчанию?


Дерево атак


Дерево атак (attack tree)

Дерево атак – метод, учитывающий комбинированный эффект использования уязвимостей злоумышленниками и их зависимость друг с другом

Позволяет оценить наиболее предпочтительный для злоумышленников вариант атаки на выбранную цель

`

AttackerMachine 0

Firewall Router

sshd

Database

ServerMachine 2

FTP

ServerMachine 1


Определение уязвимостей

Идентификация уязвимостей системы

С помощью средств анализа защищенности

Экспертный метод

Пути движения злоумышленника

sshd_bof(0,1) → ftp_rhosts(1,2) → rsh(1,2)→ local_bof(2)

ftp_rhosts(0,1) → rsh(0,1) → ftp_rhosts(1,2)→ rsh(1,2) → local_bof(2)

ftp_rhosts(0,2) → rsh(0,2) → local_bof(2)


Определение вероятностей

Экспертная оценкавероятности использования той или иной уязвимости

Учитывается

Публичность информации обуязвимости

Публичность эксплойта

Сложность реализации

И т.д.

Вместо вероятности может учитываться стоимость или время перехода из одного узла в другой

Это позволяет уйти от вероятностного подхода

8.0

8.0

9.01.0

9.0 9.0

1.0

8.0


Вычисление итоговой вероятности

Использование аппарат математической статистики вычисляются итоговые значения вероятностей

Следование одной уязвимости за другой

p(A and B) = p(A)p(B)

При выборе одного из возможных путей следования злоумышленника

p(A or B) = p(A) + p(B) – p(A)p(B)

60.08.0

8.0

72.09.0

1.0

54.09.0

72.09.0

087.01.0

8.0


Моделирование угроз Microsoft


Компания Microsoft разработала процедуру моделирования угроз, которая используется при разработке всех приложений данной компании

Ориентация данного процесса – создание модели угроз для приложений

Данная модель может использоваться при анализе угроз для собственноручно разработанных или приобретаемых приложений

Моделирование угроз от Microsoft


Моделирование угроз от Microsoft

Идентификация активов

Описание архитектуры

Декомпозиция приложения

Идентификация угроз

Документирование угроз

Ранжирование угроз

1

2

3

4

5

6


Актив в контексте модели угроз компании Microsoft –информация или данные, подлежащие защите

Интеллектуальная собственность

Списки клиентов

Номера кредитных карт

Учетные записи пользователей

Ключи шифрования

Также оценивается как актив

Целостность БД

Целостность Web-страниц

Целостность компьютеров в сети

Доступность приложений



Что делает приложение и как оно используется?

Пользователь видит состояние своего счета

Пользователь видит банковские «продукты» – текущий счет, карточный счет, депозит и т.п.

Пользователь осуществляет перевод средств

Пользователь формирует запросы в банк

Пользователь открывает новые счета и депозиты

Построение диаграммы приложения

Показ подсистем

Показ информационных потоков

Список активов




Bob

Alice

Bill

Актив #4

Актив #1 Актив #2 Актив #3

Актив #5 Актив #6

IIS ASP.NET

Web-сервер

Login

State

Main

Сервер БД

Fire

wall


На примере финансовой системы


Уточнение архитектуры

Механизмы аутентификации

Механизмы авторизации

Различные технологии (DPAPI и т.п.)

Границы и контролируемые зоны

Идентификация точек входа

Думать как хакер

Где мои уязвимости?

Что я могу им противопоставить?




Bob

Alice

BillIIS ASP.NET

Web-сервер Сервер БДДоверие

Форма аутентификации Авторизация URL

DPAPI Аутентификация Windows

Fire

wall

Login

State

Main


Метод №1: Список угроз

Начинаем с чистого листа всех возможных угроз

Идентифицируем все угрозы, применимые к вашему приложению

Метод №2: STRIDE

Категоризация списка типов угроз

Идентификация угроз по типу/категории

Опционально: дерево угроз

Вершина – цель злоумышленника

Дерево позволяет идентифицировать условия реализации угроз



Spoofing - Подмена

Может ли злоумышленник получить доступ с подставными идентификационными данными?

Tampering

Может ли злоумышленник модифицировать данные?

Repudiation

Может ли злоумышленник блокировать те или иные операции?

Information Disclosure

Denial of Service

Elevation of privilege

Может ли злоумышленник повысить свои привилегии ?

STRIDE


Дерево угрозКража

Auth Cookies

Получение auth

cookie для

подмены identity

Unencrypted

Connection

Cookies через

нешифрован-

ный HTTP

Eavesdropping

Хакер

использует

сниффер для

HTTP-трафика

Cross-Site

Scripting

Злоумышлен-

ник использует

знания для

доступа

XSS

Vulnerability

Приложение

уязвимо к

атаке XSS

ИЛИ

И И


Документирование угроз

Кража Auth Cookies путем перехвата трафика

Цель угрозы Соединение между броузером и Web-сервером

Риск

Техника атаки Злоумышленник использует сниффер для мониторинга трафика

Защитная мера Использование SSL/TLS для шифрования трафика

Кража Auth Cookies через Cross-Site Scripting

Цель угрозы Уязвимый код приложения

Риск

Техника атаки Злоумышленник посылает e-mail с вредоносной ссылкой пользователю

Защитная мера Проверка ввода; правильный HTML-вывод


Простая модель

Риск = вероятность * ущерб

Градация вероятности – 1-10 (1 – менее вероятный)

Градация ущерба – 1-10 (1 – низкий ущерб)

Модель DREAD

Большая детализация потенциальных угроз

Приоритезация (ранжирование) каждой угрозы по шкале 1-15

Разработана и широко используется Microsoft

Ранжирование угроз


Damage potential – потенциальный ущерб

Какие последствия удачной атаки?

Reproducibility – повторяемость

Будет ли эксплойт работать каждый раз или требуются специфичные условия?

Exploitability – квалификация

Какая квалификация нужна злоумышленнику нужна для использования эксплойта?

Affected users – подверженность

Как много пользователей «попадет» при удачном эксплойте?

Discoverability – доступность

Как злоумышленник узнает, что уязвимость существует?

DREAD


DREAD (продолжение)

Высокий (3) Средний (2) Низкий (1)Ущерб Злоумышленник

может получить данные и изменить их или удалить

Злоумышленник может получить данные, но не более

Злоумышленник может получить доступ к некритичным данным

Повторяемость Работает всегда Работает только в определенное время

Работает редко

Квалификация Даже Bart Simpson может это сделать

Злоумышленник должен иметь определенную квалификацию

Злоумышленник должен иметь ОЧЕНЬ высокую квалификацию

Подверженность Многие или все пользователи

Некоторые пользователи

Небольшая группа пользователей

Доступность Злоумышленник может легко найти дыру

Злоумышленник может найти дыру

Злоумышленнику требуются усилия для поиска дыры


DREAD (окончание)

Threat D R E A D Сумма

Кража Auth cookie (с помощью сниффера)

3 2 3 2 3 13

Кража Auth cookie (XSS) 3 2 2 2 3 12

Высокий ущерб

(spoofed identities и т.д.)

Cookie могут быть украдены

в любое время, но срок их

действия ограничен

Любой может запустить

сниффер; XSS требует

средней квалификации

Все пользователи могут

«попасть», но не все будут

кликать на опасные ссылки

Легко найти: только ввести

<script> в поле формы

Ранжирование

рисков



Risk Calculation Tool

Может быть свободно загружен с http://adventuresinsecurity.com/blog


Моделирование угроз OWASPДля Web-приложений


OWASP – Open Web Application Security Project

Основный и самый надежный источник по тематике защиты Web-приложений

Формирует список основных уязвимостей Web-приложений

Определяет методику моделирования угроз для Web-приложений

Методика OWASP


Методика очень похожа на подход Microsoft

Кто у кого стянул? ;-)




Привязка угроз к архитектуре

Оценка сценариев последствий

Документирование нарушений

Оценка векторов атак

Повторный, итерационный анализ

Моделирование угроз


Сверху-вниз

Оценка бизнес-объектов

Снизу-вверх

Оценка приложений



Описание архитектурыОпределение ландшафта угроз


Описание архитектурыОпределение уязвимостей


Идентификация активовВключая информационные потоки


Идентификация и привязка угрозВключая векторы атак


Штрафы со стороны регуляторов

Нарушение SLA или QoS

Потеря кредита доверия

Снижение курса акций, доходов, доли рынка

PR-инцидент

Потеря стратегических преимуществ

Снижение лояльности или потеря клиентов

И т.д.

Оценка сценариев последствий


Документирование нарушений


N-Softgoal


Базируется на методах NFR Framework и KAOS

Ориентация на моделировании функциональных требований и качественных атрибутов

Разработана в Verizon и Техасском университете в Далласе

4 ключевых шага

Определение целей безопасности

Определение угроз достижению выбранных целей

Анализ угроз

Оценка адекватности защитных мер

N-Softgoal


Выбор целей для Интернет-банка


Определение и анализ угроз


Оценка адекватности защитных мер


Модель Digital Security


Digital Security –российская компания, занимающаяся услугами в области информационной безопасности

Является разработчиком системы DS Office для анализа рисков

Разработала модель анализа угроз и уязвимостей

Методика Digital Security

�� \threats_vuln.pdf




Модель Cisco


ПартнерWAN

WAN

Internet

Internet

E-Commerce

Ядро

Офисная сеть

ЦОД

Центр управления сетью

Cisco Virtual Office

Удаленный пользователь

Филиал / отделение

SiSi

SiSi SiSi

SiSi

SiSi

SiSi

SiSi

SiSi

SiSi

Архитектура защищенной сети SAFE


Принципы построения защищенной сети

Принципы ИТ

• Модульность /поэтапность

• Снижение TCO

• Стандартизация / унификация

• Гибкость

• Надежность

• Поддержка новых проектов

• Адаптивность / автоматизация

• Масштабируемость

Принципы ИБ

• Безопасность как свойство, а не опция

• Цель – любое устройство, сегмент, приложение

• Эшелонированная оборона

• Независимость модулей

• Двойной контроль

• Интеграция в инфраструктуру

• Соответствие требованиям


SAFE в современной сети

DataCenter

CampusWANEdge

BranchInternetEdge

E-comm-erce

CiscoTeleworker

VirtualUser

PartnerSites

Сервисы

Policy and Device

Management

Решения по ИБ PCI

DLP

Threat Control

Сетевые устройства

Routers

Servers

Switches

Identify

Monitor

Correlate

Harden

Isolate

Enforce

Видимость Контроль

Secured Mobility, Unified Communications, Network Virtualization

Network Foundation Protection

Устройства ИБ VPNs

Monitoring

Admission Control

Intrusion Prevention

Firewall

Email Filtering


Цель – любое IP-устройство, любое приложение и сеть

Для каждого модуля уже предусмотрен спектр своих угроз, для которых предусмотрен свой набор контрмер

Вероятность угрозы (на основе опыта Cisco и облегчения внедрения SAFE) принята за единицу

Ориентация на сетевые угрозы

Учитывает в т.ч. и war-dialer’ы

Очень редкое пункт в современных документах по безопасности

Модель угроз SAFE


Методика Банка России


РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»

Настоящие рекомендации в области стандартизации Банка России распространяются на организации БС РФ, проводящие оценку рисков нарушения ИБ в рамках построения/совершенствования системы обеспечения информационной безопасности (СОИБ) в соответствии с требованиями СТО БР ИББС-1.0

РС БР ИББС-2.2-2009


Положения настоящих рекомендаций в области стандартизации Банка России применяются на добровольной основе

В конкретной организации БС РФ для проведения оценки рисков нарушения ИБ могут использоваться прочие (другие) методики

Результаты использования настоящих рекомендаций и прочих (других) методик оценки рисков нарушения ИБ имеют равное значения при построении СОИБ организации БС РФ

Рекомендательность стандарта


Оценка риска нарушения ИБ определяется на основании качественных оценок

степени возможности реализации угроз ИБ выявленными и(или) предполагаемыми источниками угроз ИБ в результате их воздействия на объекты среды информационных активов

степени тяжести последствий от потери свойств ИБ для рассматриваемых типов информационных активов

Оценка возможности реализации угроз ИБ и тяжести последствий нарушения ИБ должны определяться на основе экспертного оценивания

сотрудниками службы ИБ и ИТ

дополнительно необходимо привлекать сотрудников профильных подразделений, использующих рассматриваемые типы информационных активов

Оценка вероятности и последствий


Предварительно необходимо

Оценить информационные активы

Оценить типы объектов среды

Оценить актуальные источники угроз


Мотивация нарушителя

Квалификация и ресурсы нарушителя

Статистика частоты реализации

Способы реализации угроз

Сложность обнаружения угрозы

Наличие защитных мер

Оценка возможности реализации


Качественная шкала возможности реализации

Нереализуемая

Минимальная

Средняя

Высокая

Критическая


Величина СВР угроз ИБ Величина СВРкол угроз ИБ

Нереализуемая 0%

Минимальная От 1% - до 20%

Средняя От 21% - до 50%

Высокая От 51% - до 100%

Критическая 100%


В стандарте присутствует типовая форма




степень влияния на непрерывность деятельности организации

степень влияния на репутацию организации

объем финансовых и материальных потерь

объем финансовых и материальных затрат, необходимых для восстановления

объем людских ресурсов, необходимых для восстановления

объем временных затрат, необходимых для восстановления

степень нарушения законодательных требований и(или) договорных обязательств

степень нарушения требований регулирующих и контролирующих (надзорных) органов в области ИБ, а также требований нормативных актов Банка России

Оценка тяжести последствий



объем хранимой, передаваемой, обрабатываемой, уничтожаемой информации

данные о наличии у рассматриваемых типов объектов среды организационных, технических и прочих апостериорных защитных мер



Качественная шкала тяжести последствий

Минимальная

Средняя

Высокая

Критическая


Величина СТП нарушения ИБ Величина СТПкол нарушения ИБ

минимальная До 0,5% от величины капитала организации БС РФ

средняя От 0,5% до 1,5% от величины капитала организации БС РФ

высокая От 1,5% до 3,0% от величины капитала организации БС РФ

критическая Более 3,0% от величины капитала организации БС РФ


В стандарте присутствует типовая форма



На основании тяжести последствий и возможности реализации определяется допустимость риска

Оценка риска

СВР угроз ИБ

СТП нарушения ИБ

минимальная средняя высокая критическая

нереализуемая допустимый допустимый допустимый допустимый

минимальная допустимый допустимый допустимый недопустимый

средняя допустимый допустимый недопустимый недопустимый

высокая допустимый недопустимый недопустимый недопустимый

критическая недопустимый недопустимый недопустимый недопустимый

threat modeling (part 3)

Self Improvement

cisco systems

microsoft threat modeling

bof2 threat modeling

web threat modeling

n threat modeling

b c threat modeling

pb papbthreat modeling

isoiec tr