More Related Content
Similar to Threat Modeling (Part 3)
Similar to Threat Modeling (Part 3) (20)
More from Aleksey Lukatskiy
More from Aleksey Lukatskiy (20)
Threat Modeling (Part 3)
- 1. Методики
моделирования
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 169/398
- 2. Методики анализа рисков
AS/NZS 4360 ISO 31000
HB 167:200X NIST SP 800-3
EBIOS SOMAP
ISO 27005 (ISO/IEC IS Lanifex Risk Compass
13335-2)
Austrian IT Security
MAGERIT Handbook
MARION A&K Analysis
MEHARI ISF IRAM (включая
SARA, SPRINT)
CRISAM
OSSTMM RAV
OCTAVE
BSI 100-3
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 170/398
- 3. Взгляд ФСТЭК на свои документы
СТР-К РД
15408
МСЭ,
Ключевые Персональные Коммерческая
АС
системы данные тайна
СВТ…
Требования по защите Требования к Требования к
разных видов тайн разработке функциональности
средств защиты средств защиты
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 171/398
- 5. Стандарт ISOIEC TR 13335-3
ГОСТ Р ИСО/МЭК ТО «Методы и средства
обеспечения безопасности. Методы менеджмента
безопасности информационных технологий»
ISOIEC TR 13335-3-1998
Многие методы анализа рисков предусматривают
использование таблиц и различных субъективных и
эмпирических мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 173/398
- 6. Пример оценки по ISOIEC TR 13335-3
На базе оценки активов
Физические активы и ПО оцениваются на основании
стоимости их замены или восстановления
Оценка ценности данных осуществляется путем
интервьюирования владельцев данных
Трансляция количественной ценности в качественную
оценку по числовой шкале
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 174/398
- 7. Пример оценки по ISOIEC TR 13335-3
На базе ранжирования угроз по мерам риска
Оценка воздействия / последствий / ценности актива
Оценка вероятности возникновения угрозы
Расчет мер риска (перемножение b и c)
Ранжирование угроз по мере риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 175/398
- 8. Пример оценки по ISOIEC TR 13335-3
По вероятности и ущербу
Определение ценности актива
Определение частоты / вероятности
Оценка актива
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 176/398
- 9. Пример оценки по ISOIEC TR 13335-3
Продолжение…
Вычисление суммы оценок всех активов для определения
оценки системы (путем суммирования)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 177/398
- 10. Пример оценки по ISOIEC TR 13335-3
По разграничению между
допустимым/недопустимым рисков
Т – допустимый риск, N – недопустимый риск
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 178/398
- 12. Стандарт ISOIEC TR 13569
ISOIEC TR 13569:2005 «Financial services —
Information security guidelines»
ГОСТ Р ИСО/МЭК 13569
Данный технический отчет предоставляет рекомендации по
разработке программы обеспечения информационной
безопасности для учреждений в индустрии финансовых
услуг
Данный отчет не предназначен для описывает единое
общее решение для всех финансовых учреждений
Каждая организация должна проводить анализ риска и
выбирать соответствующие действия
Данный технический отчет предоставляет рекомендации
для проведения такого процесса, а не предлагает
конкретные решения
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 180/398
- 13. Цели ISOIEC TR 13569
Цели
определение программы менеджмента информационной
безопасности
представление организации и политики программы и
необходимых структурных компонентов
представление рекомендаций по выбору средств
обеспечения безопасности, представляющих собой
принятые разумные бизнес-практики в финансовых услугах
информирование руководства финансовых организаций о
необходимости систематического рассмотрения правовых
рисков в его программе менеджмента информационной
безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 181/398
- 14. Процесс оценки рисков
Оценка рисков потенциальных угроз для каждой
зоны уязвимости путем заполнения табличной
формы оценки риска
Присвоение комбинированного уровня риска
каждой зоне уязвимости путем заполнения таблицы
оценки риска
Определение подходящих политик безопасности и
защитных мер, используя результаты шага 2 и
имеющиеся меры управления
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 182/398
- 15. Область рассмотрения
5 зон уязвимостей
Персонал
Помещения и оборудование
Приложения
Системы связи
Программные средства и операционные системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 183/398
- 16. Пример модели угроз по ISO 13569
Уязвимости Денежные Уменьшение Ущерб для Совокупный
потери продуктивности репутации риск
Персонал
Помещение и
оборудование
Приложение
Системы
связи
Программные
среды и ОС
При заполнении таблицы основное предположение
должно заключаться в том, что никаких защитных
мер не существует
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 184/398
- 17. Типы угроз
4 типа угроз
Несанкционированное раскрытие, изменение или разрушение
информации
Непреднамеренное изменение или разрушение информации
Отсутствие поставки или неправильно адресованная поставка
информации
Отказ от обслуживания или ухудшение обслуживания
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 185/398
- 18. Пример модели угроз по ISO 13569
Уязвимость: Риск денежных Риск Риск для
Персонал потерь уменьшения репутации
продуктивности
Несанкционированное В С Н В С Н В С Н
раскрытие, изменение
или разрушение
информации
Непреднамеренное В С Н В С Н В С Н
изменение или раз-
рушение информации
Отсутствие поставки В С Н В С Н В С Н
или неправильно
адресованная поставка
информации
Отказ от обслуживания В С Н В С Н В С Н
или ухудшение
обслуживания
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 186/398
- 19. Общие правила моделирования угроз
Угрозы с большей вероятностью возникновения
должны оказывать более существенное влияние на
устанавливаемую степень риска
Угрозы с наименьшей вероятностью возникновения должны
оказывать менее существенное влияние
Угрозам, имеющим более существенное отношение к
оцениваемой бизнес-функции, должна придаваться
большая значимость при установлении степени
риска
В случае сомнения выбираем более высокую
степень риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 187/398
- 20. Вероятности угроз
1. пренебрежимо малая – раз в 1000 лет или меньше
2. крайне маловероятная – раз в 200 лет
3. очень маловероятная – раз в 50 лет
4. маловероятная – раз в 20 лет
5. возможная – раз в 5 лет
6. вероятная – ежегодно
7. очень вероятная – ежеквартально
8. ожидаемая – ежемесячно
9. ожидаемая с уверенностью– еженедельно
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 188/398
- 23. Оценка воздействия (ущерба)
Оценка осуществляется с учетом наличия мер защиты
Наличие мер защиты обычно снижает вероятность события, но
не ущерб от него. Если мера направлена на снижение ущерба,
то обычно она не влияет на вероятность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 191/398
- 24. Оценка подверженности угрозе
9 3 3 4 4 4 5 5 5 5
8 3 3 3 4 4 4 5 5 5
7 2 3 3 3 4 4 4 5 5
Ущерб
6 2 2 3 3 3 4 4 4 5
5 2 2 2 3 3 3 4 4 4
4 1 2 2 2 3 3 3 4 4
3 1 1 2 2 2 3 3 3 4
2 1 1 1 2 2 2 3 3 3
1 1 1 1 1 2 2 2 3 3
1 2 3 4 5 6 7 8 9
Вероятность
Уровень 1 – не требует внимания, уровень 5 –
разбираться немедленно (без продолжения оценки
риска) 192/398
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved.
- 25. Резюме
Ориентация на финансовые организации
Большой спектр различных нетехнических и
процессных мер защиты
Большое количество примеров
Оценка рисков с разных точек зрения
Репутация, безопасность, финансы, юриспруденция и право,
стратегия и т.д.
Практическая направленность
Советы в спорных случаях
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 193/398
- 27. ГОСТ Р 51344-99
«Безопасность машин. Принципы оценки и
распределения риска»
Является руководством для принятия решений при
конструировании машин
Но изложенные в нем подходы могут быть использованы и в
других областях безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 195/398
- 28. Отдельные замечания
Отсутствие инцидентов или малое их число не
должны быть использованы как автоматическое
предположение о низком риске
Для количественной оценки допускается
использование справочников, лабораторных и
эксплуатационных данных
Если есть сомнения в их достоверности, это должно быть
отражено в документации
Качественная оценка возможна при согласованном
мнении экспертов, полученных непосредственно из
экспериментов
Например, по методу Дельфи
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 196/398
- 29. Элементы риска
Риск
Тяжесть
Вероятность ущерба
ущерба
Частота и
Вероятность Возможность
продолжительность
возникновения исключения или
воздействия
опасности ограничения ущерба
опасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 197/398
- 30. Человеческий фактор
При оценке риска необходимо принимать во
внимание человеческий фактор
Взаимодействие человек – техсредство
Взаимодействие между людьми
Психологические аспекты
Эргономические факторы
Способность осознавать риск в данной ситуации (зависит от
обучения, опыта или способностей)
Также в этот список можно добавить и экономические
аспекты
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 198/398
- 31. Психологическая приемлемость
Очень важно, чтобы интерфейс взаимодействия с
пользователем был удобным в использовании; чтобы
пользователи запросто и «на автомате» использовали
механизмы защиты правильным образом. Если образ
защиты в уме пользователя будут соответствовать
тем механизмам, которые он использует на практике,
то ошибки будут минимизированы. Если же
пользователь должен переводить представляемый им
образ на совершенно иной «язык», он обязательно
будет делать ошибки
Джером Зальтцер и Майкл Шредер, 1975 (!) год
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 199/398
- 32. Пароли: что плохого?
Выбирайте пароли длиной свыше 8 символов
А как их запомнить?
Используйте системы автоматической генерации
паролей (8HguJ7hY)
А как их запомнить?
Пусть пароль выбирает пользователь
Тривиальные и легко угадываемые пароли
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 200/398
- 33. Почему это происходит?
Продукт разрабатывается с точки зрения
разработчика, а не потребителя
Если потребители и опрашиваются, то только с точки
зрения функций защиты
Тестирование проводится на предмет ошибок и дыр,
но не юзабилити
Продукт выпускается в условиях жесткой конкуренции
со стороны других разработчиков
В России практически никто не обращается к услугам
специалистов по эргономике
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 201/398
- 34. Пароли: как улучшить?
«Когнитивные» пароли
Графические пароли
Токены, смарт-карты, биометрия
Помните о принципе Левашова
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 202/398
- 35. Отключение средств защиты
При оценке риска необходимо принимать во
внимание возможность отключения или расстройства
защитных средств
Побуждение сделать это возникает когда
Средства защиты снижают выпуск продукции или мешают
другим действиям и намерениям потребителя
Средства защиты трудно применить
Должны быть привлечены не операторы, а другой персонал
Средства защиты не признаются или неприемлемы для их
назначения
Возможность отключения зависит как от их типа, так
и от конструктивных особенностей
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 203/398
- 36. Пример с ОС Windows
Что такое «signed»?
Что такое «Microsoft
Code Signing PCA»?
Всегда доверять этому
источнику?
А если я хочу всегда
недоверять этому
источнику?
Что «да» и что «нет»?
Чем это опасно?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 204/398
- 37. Пример с ОС Windows
Как можно открыть exe-
файл?
Чем это опасно?
Какие действия
осуществляются по
умолчанию?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 205/398
- 39. Дерево атак (attack tree)
Дерево атак – метод, учитывающий комбинированный
эффект использования уязвимостей
злоумышленниками и их зависимость друг с другом
Позволяет оценить наиболее предпочтительный для
злоумышленников вариант атаки на выбранную цель
sshd
FTP
Server
` Machine 1
Attacker Firewall Router
Machine 0
Database
Server
Machine 2
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 207/398
- 40. Определение уязвимостей
Идентификация уязвимостей
системы
С помощью средств анализа
защищенности
Экспертный метод
Пути движения злоумышленника
sshd_bof(0,1) → ftp_rhosts(1,2) → rsh(1,2)
→ local_bof(2)
ftp_rhosts(0,1) → rsh(0,1) → ftp_rhosts(1,2)
→ rsh(1,2) → local_bof(2)
ftp_rhosts(0,2) → rsh(0,2) → local_bof(2)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 208/398
- 41. Определение вероятностей
Экспертная оценка 0.8
вероятности использования
той или иной уязвимости 0.1 0.9
Учитывается 0.8 0.8
Публичность информации об
уязвимости
0.9 0.9
Публичность эксплойта
Сложность реализации 0.1
И т.д.
Вместо вероятности может учитываться стоимость
или время перехода из одного узла в другой
Это позволяет уйти от вероятностного подхода
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 209/398
- 42. Вычисление итоговой вероятности
Использование аппарат
математической статистики
вычисляются итоговые 0.8
значения вероятностей 0.9 0.72
Следование одной 0.1
0.8
уязвимости за другой
p(A and B) = p(A)p(B) 0.8 0.60
0.9 0.72
При выборе одного из
0.9 0.54
возможных путей следования 0.1 0.087
злоумышленника
p(A or B) = p(A) + p(B) – p(A)p(B)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 210/398
- 43. Моделирование
угроз Microsoft
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 211/398
- 44. Моделирование угроз от Microsoft
Компания Microsoft разработала процедуру
моделирования угроз, которая используется при
разработке всех приложений данной компании
Ориентация данного процесса – создание модели
угроз для приложений
Данная модель может использоваться при анализе
угроз для собственноручно разработанных или
приобретаемых приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 212/398
- 45. Моделирование угроз от Microsoft
1 Идентификация активов
2 Описание архитектуры
3 Декомпозиция приложения
4 Идентификация угроз
5 Документирование угроз
6 Ранжирование угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 213/398
- 46. Идентификация активов
Актив в контексте модели угроз компании Microsoft –
информация или данные, подлежащие защите
Интеллектуальная собственность
Списки клиентов
Номера кредитных карт
Учетные записи пользователей
Ключи шифрования
Также оценивается как актив
Целостность БД
Целостность Web-страниц
Целостность компьютеров в сети
Доступность приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 214/398
- 47. Описание архитектуры
Что делает приложение и как оно используется?
Пользователь видит состояние своего счета
Пользователь видит банковские «продукты» – текущий счет,
карточный счет, депозит и т.п.
Пользователь осуществляет перевод средств
Пользователь формирует запросы в банк
Пользователь открывает новые счета и депозиты
Построение диаграммы приложения
Показ подсистем
Показ информационных потоков
Список активов
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 215/398
- 48. Описание архитектуры
Актив #1 Актив #2 Актив #3
Web-сервер Сервер БД
Bob Login
Firewall
Alice IIS ASP.NET
Main
Bill
State
Актив #4 Актив #5 Актив #6
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 216/398
- 49. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 217/398
- 50. Декомпозиция приложения
Уточнение архитектуры
Механизмы аутентификации
Механизмы авторизации
Различные технологии (DPAPI и т.п.)
Границы и контролируемые зоны
Идентификация точек входа
Думать как хакер
Где мои уязвимости?
Что я могу им противопоставить?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 218/398
- 51. Декомпозиция приложения
Форма аутентификации Авторизация URL
Web-сервер Сервер БД
Доверие
Bob
Login
Alice
Firewall
IIS ASP.NET
Bill Main
State
DPAPI Аутентификация Windows
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 219/398
- 52. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 220/398
- 53. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 221/398
- 54. Идентификация угроз
Метод №1: Список угроз
Начинаем с чистого листа всех возможных угроз
Идентифицируем все угрозы, применимые к вашему
приложению
Метод №2: STRIDE
Категоризация списка типов угроз
Идентификация угроз по типу/категории
Опционально: дерево угроз
Вершина – цель злоумышленника
Дерево позволяет идентифицировать условия реализации
угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 222/398
- 55. STRIDE
Spoofing - Подмена
Может ли злоумышленник получить доступ с подставными
идентификационными данными?
Tampering
Может ли злоумышленник модифицировать данные?
Repudiation
Может ли злоумышленник блокировать те или иные операции?
Information Disclosure
Denial of Service
Elevation of privilege
Может ли злоумышленник повысить свои привилегии ?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 223/398
- 56. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 224/398
- 57. Дерево угроз
Кража
Auth Cookies
Получение auth
cookie для
подмены identity
ИЛИ
И И
Unencrypted Cross-Site XSS
Eavesdropping
Connection Scripting Vulnerability
Cookies через Хакер Злоумышлен- Приложение
нешифрован- использует ник использует уязвимо к
ный HTTP сниффер для знания для атаке XSS
HTTP-трафика доступа
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 225/398
- 58. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 226/398
- 59. Документирование угроз
Кража Auth Cookies путем перехвата трафика
Цель угрозы Соединение между броузером и Web-
сервером
Риск
Техника атаки Злоумышленник использует сниффер для
мониторинга трафика
Защитная мера Использование SSL/TLS для шифрования
трафика
Кража Auth Cookies через Cross-Site Scripting
Цель угрозы Уязвимый код приложения
Риск
Техника атаки Злоумышленник посылает e-mail с
вредоносной ссылкой пользователю
Защитная мера Проверка ввода; правильный HTML-вывод
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 227/398
- 60. Ранжирование угроз
Простая модель
Риск = вероятность * ущерб
Градация вероятности – 1-10 (1 – менее вероятный)
Градация ущерба – 1-10 (1 – низкий ущерб)
Модель DREAD
Большая детализация потенциальных угроз
Приоритезация (ранжирование) каждой угрозы по шкале 1-15
Разработана и широко используется Microsoft
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 228/398
- 61. DREAD
Damage potential – потенциальный ущерб
Какие последствия удачной атаки?
Reproducibility – повторяемость
Будет ли эксплойт работать каждый раз или требуются
специфичные условия?
Exploitability – квалификация
Какая квалификация нужна злоумышленнику нужна для
использования эксплойта?
Affected users – подверженность
Как много пользователей «попадет» при удачном эксплойте?
Discoverability – доступность
Как злоумышленник узнает, что уязвимость существует?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 229/398
- 62. DREAD (продолжение)
Высокий (3) Средний (2) Низкий (1)
Ущерб Злоумышленник Злоумышленник Злоумышленник
может получить может получить может получить
данные и данные, но не доступ к
изменить их или более некритичным
удалить данным
Повторяемость Работает всегда
Работает только Работает редко
в определенное
время
Квалификация Даже Bart Злоумышленник Злоумышленник
Simpson может должен иметь должен иметь
это сделать определенную ОЧЕНЬ высокую
квалификацию квалификацию
Подверженность Многие или все Некоторые Небольшая группа
пользователи пользователи пользователей
Доступность Злоумышленник Злоумышленник Злоумышленнику
может легко может найти требуются усилия
найти дыру дыру для поиска дыры
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 230/398
- 63. DREAD (окончание)
Threat D R E A D Сумма
Кража Auth cookie (с 3 2 3 2 3 13
помощью сниффера)
Кража Auth cookie (XSS) 3 2 2 2 3 12
Высокий ущерб
(spoofed identities и т.д.)
Cookie могут быть украдены
в любое время, но срок их
действия ограничен
Любой может запустить
сниффер; XSS требует Ранжирование
средней квалификации рисков
Все пользователи могут
«попасть», но не все будут
кликать на опасные ссылки
Легко найти: только ввести
<script> в поле формы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 231/398
- 64. На примере финансовой системы
Risk Calculation Tool
Может быть свободно загружен с
http://adventuresinsecurity.com/blog
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 232/398
- 65. На примере финансовой системы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 233/398
- 66. Моделирование
угроз OWASP
Для Web-приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 234/398
- 67. Методика OWASP
OWASP – Open Web
Application Security
Project
Основный и самый
надежный источник по
тематике защиты Web-
приложений
Формирует список
основных уязвимостей
Web-приложений
Определяет методику
моделирования угроз
для Web-приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 235/398
- 68. Моделирование угроз
Методика очень похожа на подход Microsoft
Кто у кого стянул? ;-)
Описание архитектуры
Идентификация активов
Идентификация угроз
Привязка угроз к архитектуре
Оценка сценариев последствий
Документирование нарушений
Оценка векторов атак
Повторный, итерационный анализ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 236/398
- 69. Описание архитектуры
Сверху-вниз
Оценка бизнес-объектов
Снизу-вверх
Оценка приложений
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 237/398
- 70. Описание архитектуры
Определение ландшафта угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 238/398
- 71. Описание архитектуры
Определение уязвимостей
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 239/398
- 72. Идентификация активов
Включая информационные потоки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 240/398
- 73. Идентификация и привязка угроз
Включая векторы атак
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 241/398
- 74. Оценка сценариев последствий
Штрафы со стороны регуляторов
Нарушение SLA или QoS
Потеря кредита доверия
Снижение курса акций, доходов, доли рынка
PR-инцидент
Потеря стратегических преимуществ
Снижение лояльности или потеря клиентов
И т.д.
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 242/398
- 77. N-Softgoal
Базируется на методах NFR Framework и KAOS
Ориентация на моделировании функциональных требований и
качественных атрибутов
Разработана в Verizon и Техасском университете в
Далласе
4 ключевых шага
Определение целей безопасности
Определение угроз достижению выбранных целей
Анализ угроз
Оценка адекватности защитных мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 245/398
- 78. Выбор целей для Интернет-банка
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 246/398
- 79. Определение и анализ угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 247/398
- 81. Модель Digital
Security
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 249/398
- 82. Методика Digital Security
Digital Security –
российская компания,
занимающаяся услугами
в области
информационной
безопасности
Является разработчиком
системы DS Office для
анализа рисков
Разработала модель
анализа угроз и
уязвимостей
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 250/398
- 84. Архитектура защищенной сети SAFE
Центр управления сетью Филиал /
отделение
WAN
Офисная
сеть Si
WAN
Партнер
Si
Ядро Internet
Si Si
Si
Cisco Virtual Office
ЦОД
Internet
E-Commerce
Si
Si
Удаленный
пользователь
Si
Si
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 252/398
- 85. Принципы построения защищенной
сети
Принципы ИТ Принципы ИБ
• Модульность / • Безопасность как
поэтапность свойство, а не опция
• Снижение TCO • Цель – любое
• Стандартизация / устройство, сегмент,
унификация приложение
• Гибкость • Эшелонированная
• Надежность оборона
• Поддержка новых • Независимость модулей
проектов • Двойной контроль
• Адаптивность / • Интеграция в
автоматизация инфраструктуру
• Масштабируемость • Соответствие
требованиям
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 253/398
- 86. SAFE в современной сети
Устройства ИБ
VPNs Firewall Admission Control
Решения Monitoring Email Filtering Intrusion Prevention
Сетевые
по ИБ устройства
PCI Routers
DLP Policy and Servers
Threat Switches
Control Device
Manageme
Identify Harden
Видимость
Monitor nt Isolate
Контроль
Correlate Enforce
Data WAN Internet E-comm- Cisco Virtual Partner
Campus Branch
Center Edge Edge erce Teleworker User Sites
Secured Mobility, Unified Communications, Network Virtualization
Network Foundation Protection
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved.
Сервисы 254/398
- 87. Модель угроз SAFE
Цель – любое IP-устройство, любое приложение и
сеть
Для каждого модуля уже предусмотрен спектр своих
угроз, для которых предусмотрен свой набор контрмер
Вероятность угрозы (на основе опыта Cisco и облегчения
внедрения SAFE) принята за единицу
Ориентация на сетевые угрозы
Учитывает в т.ч. и war-dialer’ы
Очень редкое пункт в современных документах по
безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 255/398
- 88. Методика Банка
России
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 256/398
- 89. РС БР ИББС-2.2-2009
РС БР ИББС-2.2-2009 «Обеспечение
информационной безопасности организаций
банковской системы Российской Федерации.
Методика оценки рисков нарушения информационной
безопасности»
Настоящие рекомендации в области стандартизации
Банка России распространяются на организации БС
РФ, проводящие оценку рисков нарушения ИБ в
рамках построения/совершенствования системы
обеспечения информационной безопасности (СОИБ) в
соответствии с требованиями СТО БР ИББС-1.0
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 257/398
- 90. Рекомендательность стандарта
Положения настоящих рекомендаций в области
стандартизации Банка России применяются на
добровольной основе
В конкретной организации БС РФ для проведения
оценки рисков нарушения ИБ могут использоваться
прочие (другие) методики
Результаты использования настоящих рекомендаций
и прочих (других) методик оценки рисков нарушения
ИБ имеют равное значения при построении СОИБ
организации БС РФ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 258/398
- 91. Оценка вероятности и последствий
Оценка риска нарушения ИБ определяется на
основании качественных оценок
степени возможности реализации угроз ИБ выявленными
и(или) предполагаемыми источниками угроз ИБ в результате
их воздействия на объекты среды информационных активов
степени тяжести последствий от потери свойств ИБ для
рассматриваемых типов информационных активов
Оценка возможности реализации угроз ИБ и тяжести
последствий нарушения ИБ должны определяться на
основе экспертного оценивания
сотрудниками службы ИБ и ИТ
дополнительно необходимо привлекать сотрудников
профильных подразделений, использующих рассматриваемые
Threat Modeling
типы информационных активов
© 2008 Cisco Systems, Inc. All rights reserved. 259/398
- 92. Оценка возможности реализации
Предварительно необходимо
Оценить информационные активы
Оценить типы объектов среды
Оценить актуальные источники угроз
Учитывается
Мотивация нарушителя
Квалификация и ресурсы нарушителя
Статистика частоты реализации
Способы реализации угроз
Сложность обнаружения угрозы
Наличие защитных мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 260/398
- 93. Оценка возможности реализации
Качественная шкала возможности реализации
Нереализуемая
Минимальная
Средняя
Высокая
Критическая
Величина СВР угроз ИБ Величина СВРкол угроз ИБ
Нереализуемая 0%
Минимальная От 1% - до 20%
Средняя От 21% - до 50%
Высокая От 51% - до 100%
Критическая 100%
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 261/398
- 94. Оценка возможности реализации
В стандарте присутствует типовая форма
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 262/398
- 95. Оценка тяжести последствий
Учитывается
степень влияния на непрерывность деятельности организации
степень влияния на репутацию организации
объем финансовых и материальных потерь
объем финансовых и материальных затрат, необходимых для
восстановления
объем людских ресурсов, необходимых для восстановления
объем временных затрат, необходимых для восстановления
степень нарушения законодательных требований и(или)
договорных обязательств
степень нарушения требований регулирующих и
контролирующих (надзорных) органов в области ИБ, а также
требований нормативных актов Банка России
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 263/398
- 96. Оценка тяжести последствий
Учитывается
объем хранимой, передаваемой, обрабатываемой,
уничтожаемой информации
данные о наличии у рассматриваемых типов объектов среды
организационных, технических и прочих апостериорных
защитных мер
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 264/398
- 97. Оценка тяжести последствий
Качественная шкала тяжести последствий
Минимальная
Средняя
Высокая
Критическая
Величина СТП нарушения ИБ Величина СТПкол нарушения ИБ
минимальная До 0,5% от величины капитала организации БС РФ
средняя От 0,5% до 1,5% от величины капитала организации БС РФ
высокая От 1,5% до 3,0% от величины капитала организации БС РФ
критическая Более 3,0% от величины капитала организации БС РФ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 265/398
- 98. Оценка тяжести последствий
В стандарте присутствует типовая форма
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 266/398
- 99. Оценка риска
На основании тяжести последствий и возможности
реализации определяется допустимость риска
СТП нарушения ИБ
СВР угроз ИБ
минимальная средняя высокая критическая
нереализуемая допустимый допустимый допустимый допустимый
минимальная допустимый допустимый допустимый недопустимый
средняя допустимый допустимый недопустимый недопустимый
высокая допустимый недопустимый недопустимый недопустимый
критическая недопустимый недопустимый недопустимый недопустимый
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 267/398