Цифровая модель угроз: упрощаем и автоматизируем процесс создания05.12.2024 09:30

Привет, я Ильдар Исмагилов, руководитель направления аналитики и прикладных исследований ИБ Innostage. В этой статье я расскажу о вопросах и проблемах, которые возникают при моделировании угроз, и как их можно решить с помощью нашего сервиса «Цифровая модель угроз».

Моделирование угроз — это этап, на котором определяются актуальные угрозы ИБ для обоснованного выбора мер защиты информации для защищаемых систем. Этот процесс активно автоматизируется, и на это есть предпосылки.

  1. С каждым годом растёт запрос на повышение качества моделей угроз и их практической ценности.

  2. Увеличивается количество разрабатываемых моделей, из-за чего затратно разрабатывать их вручную.

  3. Из-за сложного погружения новых специалистов в методику растёт стоимость работ и порог входа.

Разработка модели угроз ИБ — процесс достаточно трудоемкий, который при этом осуществляется в строгих рамках регуляторных требований. Как к нему подступиться? Вот об этом мой материал.

Кратко о моделировании угроз

Для защиты информационной инфраструктуры (далее — объект защиты) от кибератак необходимо позаботиться о проектировании и внедрении системы обеспечения информационной безопасности (будем называть ее далее СОИБ). И здесь возникает обязательный этап моделирования угроз. Его результат — документ «Модель угроз безопасности информации», который будет:

  • представлять практическую пользу для ИБ-служб в повседневной работе,

  • поддерживать переход к результативной кибербезопасности,

  • соответствовать нормативным и методическим требованиям регуляторов.

Определение актуальных угроз позволяет выполнить принцип «разумной достаточности» — то есть рационально использовать существующие ресурсы, чтобы нейтрализовать те киберугрозы, которые могут привести к негативным последствиям и неприемлемому уровню ущерба.

Сейчас существует ряд нормативных требований (Приказы ФСТЭК №239, №31, №17 и № 21), в которых есть упоминание о необходимости разработки модели угроз. Разработка модели угроз должна быть основана на актуальных методических документах. Ключевой — «Методика оценки угроз безопасности информации», которым я и буду руководствоваться.

Построение модели

Чтобы определить перечень актуальных угроз для конкретного объекта защиты, нужно последовательно ответить на вопросы:

  • Какие негативные последствия могут произойти в результате кибератаки?

  • Какие информационные активы будут подвержены кибератаке?

  • Кому выгодно атаковать данную информационную систему?

  • По каким вероятным сценариям будет проходить кибератака?

Какие негативные последствия могут произойти в результате кибератаки?

Согласно Методике первый этап — это определение негативных последствий от киберугроз для конкретного объекта защиты.  

В идеале, чтобы получить подходящий перечень, собирают экспертную группу.

Топ-менеджмент. Они видят картину в целом и определяют риски и приемлемость ущерба независимо от информационной составляющей (что недопустимо ни при каких обстоятельствах, а чем можно пренебречь).

Линейные руководители (например, руководители подразделений по производству, финансам, бухгалтерии, HR, юридическим вопросам), которые отвечают за бизнес-процесс и могут определить, связан ли он с объектом защиты, для которого выполняется оценка угроз.

Ответственные за ИТ-инфраструктуру организации. Они знают состояние коммуникаций и ИТ-оборудования, перечня используемого ПО и границ информационных (автоматизированных) систем.

В Методике предусмотрена процедура экспертной оценки: перекрёстная проверка выводов сотрудников разной специализации и уровня иерархии. Это необходимо, чтобы максимально исключить субъективность.

Но реальность такова, что экспертная группа редко участвует в оценке киберугроз. Обычно эта задача ложится на плечи опытных (или не очень) сотрудников служб ИБ/ИТ или внешних подрядчиков. Им нужно поочерёдно побывать в шкуре руководителя, производственника, финансиста, юриста, кадровика и других, при этом учитывать назначение объекта защиты, специфику организации и здравый смысл.

В сервисе «Цифровой модели угроз» есть интерактивный помощник, который предлагает рекомендации по определению негативных последствий. В него встроен наш опыт с разными типами объектов защиты (объекты КИИ, АСУ ТП, ИСПДн, ГИС) и отраслевая специфика организаций (например, промышленный сектор или госсектор). Пользователь отвечает на вопросы в формате «да» или «нет» и по итогам получает рекомендуемый перечень негативных последствий.

С количеством негативных последствий чаще всего сотрудники используют принцип «лучше перебдеть, чем недобдеть», ведь нигде нет чётких критериев актуальности. Но каждое негативное последствие добавляет объём и без того увесистому документу, увеличивает трудозатраты и вероятность ошибок. Поэтому «Цифровая модель угроз» помогает чётче сформулировать запрос профильным подразделениям, чтобы принять решение по спорным моментам.

Какие информационные активы будут подвержены кибератаке?

Согласно Методике »граница оценки угроз безопасности информации — этосовокупность информационных ресурсов и компонентов систем и сетей, в пределах которой обеспечивается защита информации (безопасность) в соответствии с едиными правилами и процедурами, а также контроль за реализованными мерами защиты информации (обеспечения безопасности)».Другими словами, нужно правильно определить принадлежность информационных ресурсов к конкретным системам или сетям.

Неправильная или нечётко заданная граница оценки киберугроз часто приводит к долгим согласованиям, бессонным ночам разработчиков и, что самое важное, некорректному проектированию СОИБ. Обычно всё по классике: запутанные переплетения, вложенность, сложная иерархия и незафиксированные зоны ответственности.

Если система существует только на бумаге, состав будущих объектов воздействия можно обосновать с помощью проектной или рабочей документации. Проектирование СОИБ и моделирование угроз может запускаться до (или в процессе) её разработки, чтобы заранее учесть мероприятия по обеспечению ИБ. Это хорошая практика, и в таких случаях можно опираться на предполагаемую архитектуру из ТЗ. Но в этом случае страдает качество оценки: она поверхностна и требует актуализации после появления конкретики по реальной системе.

Если система действующая и эксплуатируется, для правильной расстановки границ необходима инвентаризация информационных активов и аудит ИБ, изучение актуальной документации (например, паспорт системы).

Чтобы правильно отнести информационный актив к объекту защиты, нужно учитывать следующие факторы:

  • Для целей и задач какого объекта защиты используется спорный информационный актив?

  • С каким объектом защиты связаны виды информации и режим их конфиденциальности, которые обрабатываются, хранятся или передаются с помощью информационного ресурса?

  • В сетевом сегменте какого объекта находится информационный ресурс?

В «Цифровой модели угроз» создан интерфейс, который позволяет гибко управлять параметрами объектами воздействия.

ed3d6c7cab4035fe9bfaebefa30de170.png

Для каждого типа объекта воздействия есть установленные параметры:

e0834304c4b6011fe9a361d1ad5b8636.png

  • интерфейсы,

c273438f5aca15e9c2c9dc90f1c622ba.png

  • уязвимости. 

95d4956c574273f6275033b9d2193892.png

Пользователь может их скорректировать с учётом характеристик конкретной системы.

Есть ещё ряд вопросов, которые возникают при работе с объектами воздействия.

Система — самостоятельный объект защиты или подсистема сложного объекта?

В сервисе «Цифровая модель угроз» мы предусмотрели возможность указать необходимые подсистемы, но для этого нужно определить, что нужно объединять в составной объект защиты, а что нет.

2ac47723ad57c08cc67506453b97f34b.png

Определяют такие критерии:

  • Одинаковы ли обеспечиваемый бизнес-процесс, назначение и выполняемые задачи систем?

  • Одинаковы ли виды информации и режим конфиденциальности, которые обрабатываются, хранятся или передаются в системах?

  • Находятся ли в одном/взаимодействующих сетевых сегментах информационные ресурсы систем физически или логически?

Если все ответы положительные, то системы целесообразно объединить в составной объект защиты.

До какого уровня включать в границу оценки угроз узлы и компоненты арендуемых (облачных) вычислительных ресурсов?

В «Цифровой модели угроз» есть выбор арендуемых уровней инфраструктуры, чтобы провести границу между оператором и поставщиком. При выборе типов объектов воздействия сервис подсказывает пользователю, к какой зоне ответственности он относится, исключая человеческий фактор при заполнении данных.

Если используется ИТ-инфраструктура центра обработки данных или облаков, появляются вопросы о распределении границ между оператором и поставщиком услуг.

Согласно п.4.8 Методики, арендуемые или используемые на ином законном основании программно-аппаратные средства и их интерфейсы, каналы связи, программное обеспечение (в том числе программное обеспечение виртуализации и построенных на его базе виртуальных машин, виртуальных серверов, систем управления виртуализацией, виртуальных каналов связи и т.д.) относятся к объектам воздействия, находящимся в границе оценки угроз безопасности информации оператора.

Нужно ли включать в состав объектов воздействия средства защиты информации?

Здесь важно зафиксировать два состояния системы: текущее и проектируемое. Текущее состояние содержит средства защиты информации, они должны быть включены в состав объектов воздействия, чтобы в том числе и для них моделировать угрозы. Например, обход средств защиты информации, использование уязвимостей и недостатков их конфигурации.

Проектируемые средства защиты информации, которыми будет дополняться объект защиты, в границы оценки угроз вносить не стоит, так как они и будут мерами нейтрализации актуальных угроз, выявленных в ходе моделирования. Иначе можно войти в рекурсию, и проектировать СОИБ на СОИБ.

Стоит ли разрабатывать модель угроз на каждую систему, если можно разработать общую модель угроз для похожих систем?

Методика (п.2.13) допускает подобный подход к моделированию угроз создаваемых систем и сетей. А вот для однотипных систем, находящихся в эксплуатации, правильнее разработать отдельные модели угроз, основанные на результатах инвентаризации и аудита реальной инфраструктуры.

Если систем много, чтобы упростить моделирование угроз, можно предварительно типизировать их по конкретным параметрам: назначению, структуре, внешним взаимосвязям, технологиям и другим. В «Цифровой модели угроз», например, можно редактировать уже заполненные опросные листы, чтобы заново не вносить одинаковые данные и заполнять только то, что отличается.

«Цифровая модель угроз» также позволяет быстро и просто вносить изменения в модели угроз. Это важно, если произошло:

  • развитие и модернизация систем и сетей,

  • изменение архитектуры и условий функционирования систем и сетей,

  • изменения режима обработки и правового режима информации.

Опросный лист с данными по объекту защиты выгружается в формате .DTM, который предусматривает шифрование информации и привязку к аккаунту. С помощью DTM-файла можно открыть информацию по объекту защиты и быстро отредактировать нужные данные. Функция в разы уменьшает трудозатраты на корректировку МУ в случае изменения данных по объекту защиты.

beac309ad547a99066f322ae6b261615.png

Кому выгодно атаковать данную информационную систему?

Для моделирования угроз нужно проанализировать, кто заинтересован в кибератаке на конкретную систему. По Методике нужно соотнести возможный ущерб от кибератак на конкретный объект защиты и цели известных нарушителей. Если ущерб и цели нарушителя друг с другом соотносятся по характеру и масштабу, значит, нарушитель актуальный.

Например, для владельца объекта защиты актуальное негативное последствие — это потеря конкурентного преимущества, а в объекте защиты обрабатывается и хранится коммерческая тайна. Цель нарушителей из конкурирующих организаций — это получение конкурентного преимущества. Значит, для рассматриваемого объекта защиты этот нарушитель актуален.

На практике этот этап вызывает много вопросов и сомнений. С одной стороны, нужно учесть наихудший вариант событий, а с другой — с более «квалифицированным и мотивированным» составом потенциальных нарушителей увеличивается количество актуальных угроз, что по логике потребует более сложной и дорогой СОИБ для их нейтрализации.

Чтобы разработчику было проще выбрать актуальных нарушителей, мы добавили в сервисе «Цифровая модель угроз» перечень уточняющих вопросов с ответом «да/нет». По результатам пользователь получает релевантный состав актуальных нарушителей.

По каким вероятным сценариям будет проходить кибератака?

Одно из важных отличий Методики 2021 г. от предыдущих — это переход на сценарный подход при определении актуальных угроз. Эта тема требует отдельного погружения, но пока отмечу, что уже сейчас в сервисе имеется функционал построения сценариев на базе тактик и техник ФСТЭК России, а также тактик и техник MITRE ATT&CK.

Сервис «Цифровая модель угроз» позволяет решить большую часть проблем, связанных с процессом разработки модели угроз. Он позволяет:

  1. Сократить ресурсы на создание и редактирование моделей угроз

  2. Снизить порог входа для специалистов, которые впервые сталкиваются с этой задачей.

  3. Гибко настраивать бизнес-логику для решения узких и нестандартных задач при моделировании угроз.

  4. Получать готовый документ, учитывающий рекомендации Методики оценки угроз безопасности информации ФСТЭК России

Протестировать сервис уже можно на сайте, а задать вопросы — в комментариях)

© Habrahabr.ru