Взломают или нет? Оцениваем риски вашей информационной системы и моделируем угрозы

Привет! Меня зовут Алексей Костянов, я архитектор по информационной безопасности в Selectel ^[1]. В этой статье я расскажу, как составить список потенциально уязвимых мест вашей информационной системы, и что делать с этим списком.

Важно уточнить, что эта статья предназначена по большей части для новичков. Я расскажу про самые простые способы реализовать оценку и моделирование для своей системы. Эти способы сильно отличаются от ситуаций, когда моделирование угроз выполняется в рамках стандартизированных регламентов, например требований законодательства или в процессе сертификации. О таких ситуациях мы тоже поговорим под катом.

Для начала определимся с терминами.

Оценка рисков — это анализ существующих рисков информационной безопасности и прогнозирование их влияния на систему. Цель — выявить недопустимые события, чтобы вовремя их предотвратить.

Моделирование угроз заключается в выявлении, описании и оценке актуальности потенциальных угроз информационной безопасности, которые могут оказать негативное влияние на информационную систему. Также оно зачастую включает в себя описание портрета потенциальных злоумышленников, которые способны реализовать эти угрозы.

Используйте навигацию, если не хотите читать текст целиком:
→ Почему оценка рисков и моделирование угроз — это важно ^[2]
→ Кто должен принимать участие в оценке рисков ^[3]
→ Порядок действий для защиты информации ^[4]
→ Моделирование угроз ^[5]
→ Выводы ^[6]

Почему оценка рисков и моделирование угроз — это важно

1. Оценка рисков и угроз помогает построить систему защиты. Если раньше иногда ею можно было пренебречь, то сейчас это недопустимо.

Даже если, на ваш взгляд, система неинтересна злоумышленникам — это не значит, что ее не нужно защищать. Развитие AI и инструментов автоматизации атак выводят на первый план угрозы, которые не требуют участия человека. Буквально через несколько минут после публикации ресурса в интернете вы сможете увидеть в логах информацию о попытках сканирования и сбора данных, которые осуществляются ботами круглосуточно.

2. Оценка рисков и моделирование угроз помогают оценить реальную защищенность системы. Взгляд со стороны злоумышленника позволяет увидеть свою систему под другим углом и устранить многие уязвимости.

3. Также с их помощью можно сформировать портрет злоумышленника, который потенциально заинтересован во взломе, и как можно усложнить ему эту задачу.

Кто должен принимать участие в оценке рисков

Специалисты по информационной безопасности
Идеальный сценарий. Эти специалисты обладают необходимыми знаниями, чтобы оценить основные угрозы IT-ландшафту организации и определить наиболее уязвимые точки, которыми могут воспользоваться злоумышленники.

Зачастую таких специалистов нет в штате, особенно когда речь идет о малом бизнесе. Но это не должно останавливать вас от оценки рисков и угроз. Лучше провести их не вполне идеально, чем проигнорировать совсем.

IT-специалисты
Они как никто другой знают состав информационных систем, их архитектуру, интерфейсы доступа и то, как реализованы (или не реализованы) механизмы резервного копирования и отказоустойчивости. По этой причине их участие в процессе оценки угроз крайне ценно.

Сотрудники юридического отдела
Специалисты этого профиля могут обратить внимание на риски, связанные с юридической плоскостью — лицензионной деятельностью, особенностями местного законодательства, правовыми последствиями, которые могут возникнуть в результате взлома. Поэтому их тоже стоит привлекать к оценке и моделированию угроз.

Представители бизнеса
Технический или ИБ-специалист может оценить угрозы с точки зрения технической составляющей, но только представители бизнеса принимают финальное решение о признании риска недопустимым или, наоборот, приемлемым.

Пользователи системы
Когда речь заходит о внутренних системах, очень полезно привлекать к процессу непосредственных пользователей. Они обладают наиболее полной информацией о типовых сценариях работы с системой, и это может сильно помочь в поиске нюансов, о которых могут не знать специалисты технического блока.

Порядок действий для защиты информации

Оценка рисков, моделирование угроз и построение системы защиты состоят из следующих шагов.

1. Инвентаризация активов. Необходимо определить область защиты — оценить свои ресурсы и найти среди них наиболее ценные.
2. Определение недопустимых событий. Такие события могут привести к серьезному ущербу для системы.
3. Выявление угроз и уязвимостей. Необходимо определить сценарии, которые могут привести к наступлению негативных событий
4. Разработка и внедрение мер по противодействию. Это план действий, в основе которого — информация, полученная при моделировании угроз.
5. Мониторинг и модернизация. Обеспечение информационной безопасности — это непрерывный процесс. Новые технологии, угрозы, риски появляются каждый день. Необходимо всегда держать руку на пульсе и быть готовыми принять меры по защите.

Инвентаризация активов

Прежде чем оценивать риски и угрозы, нужно понять, что именно следует защищать. На этом этапе необходимо на уровне бизнеса определить, чем мы на текущий момент обладаем — какие есть активы, системы, бизнес-процессы, сотрудники. Какие точки бизнеса являются наиболее критичными и что мы не хотим потерять в результате инцидентов ИБ. Этот процесс сильно поможет в дальнейшем на этапе инвентаризации систем и сетей.

Оценку рисков и моделирование угроз нужно проводить непрерывно. Добавление новых активов и их оценка неизбежны, но если вы выполняете первичную оценку угроз и никогда не делали этого раньше, нужно постараться уделить данному этапу максимальное внимание.

Определение недопустимых событий

После инвентаризации активов становится намного проще составить перечень недопустимых событий.

Недопустимые события — те, которые могут нанести серьезный ущерб или даже полностью остановить работу вашего бизнеса.

Такими событиями могут быть:

• безвозвратная потеря базы клиентов,
• утечка конфиденциальной информации,
• потеря или кража интеллектуальной собственности,
• получение крупных штрафов,
• шифрование вирусом базы 1С-бухгалтерии,
• отзыв лицензий на право ведения деятельности,
• возникновение судебных процессов,
• потеря некоторого процента выручки.

На этом этапе рекомендуется провести несколько итераций. Очень важно не упустить наиболее критичные события, ведь на них будет опираться будущая модель угроз.

На выходе у вас получится список недопустимых событий, но я рекомендую время от времени пересматривать его. Скорее всего, этот список все равно не охватит все события, которые могут серьезно навредить бизнесу. Однако он станет хорошей отправной точкой, а также подсветит те самые 20% событий, которые способны привести к 80% потенциального ущерба.

Моделирование угроз

Когда этот процесс является обязательным

Я уже упомянул ранее, что эта статья носит ознакомительный характер. Она вряд ли подойдет как руководство по моделированию угроз в случаях, когда эта процедура является строго регламентированной. Перечислю несколько таких случаев.

• Оператору необходимо выполнить требования по защите персональных данных (требование устанавливается частью 2 статьи 19 закона №152-ФЗ «О персональных данных»). Аналогичные требования применяются, например, при необходимости защиты информации государственных информационных систем. В этих случаях в обязательном порядке должна применяться методика оценки угроз безопасности ФСТЭК России.
• Необходимо соблюсти процедуры оценки соответствия стандартам финансового сектора — например, при сертификации по требованиям ГОСТ 57580.1 (стандарт ЦБ РФ) или PCI DSS (стандарт безопасности данных индустрии платежных карт).
• Проводится оценка соответствия системы ISO/IEC 27001 требованиям к системе менеджмента информационной безопасности.

Если вам требуется соответствие указанным стандартам и вы хотите разместить свою систему в инфраструктуре, которая уже прошла оценку соответствия, можете сделать это в Selectel. У нас есть решения, соответствующие указанным стандартам в нашей зоне ответственности.

Популярные методологии моделирования угроз

STRIDE

Это методология, разработанная Microsoft. Она заключается в моделировании DFD (Data Flow Diagrams — диаграммы потоков данных) и оценке угроз для каждого потока по следующим типам.

• Spoofing (подмена) — подмена участника взаимодействия. Например, выдача злоумышленника (себя) за легитимного пользователя.
• Tampering (модификация данных) — несанкционированное изменение данных. Например, когда злоумышленник меняет в базе данных поля, к которым у пользователя не должно быть доступа.
• Repudiation (отказ от действий) — угрозы, связанные с невозможностью отследить операции, совершенные пользователем. Например, модификация или уничтожение журналов действий.
• Information Disclosure (разглашение информации) — угрозы, связанные с утечкой информации. Примером может служить любая утечка конфиденциальной информации в открытый доступ, о которых мы слышим очень часто.
• Denial of Service (отказ в обслуживании) — уязвимости, которые могут привести к недоступности системы. Например, отсутствие защиты от DDoS.
• Elevation of Privilege (повышение привилегий) — уязвимости, связанные с возможностью получения злоумышленником повышенных привилегий в системе. Например, доступ к выполнению действий от имени служебной учетной записи с правами администратора.

DFD имеет понятную и легко читаемую структуру, поэтому подойдет для тех, кто пробует выполнить моделирование впервые.

Источник ^[7].

Но простота методологии и достаточно высокая степень свободы создают риск упустить что-то важное. Для первичного моделирования угроз лучше использовать комбинацию других методов.

В качестве дополнительного источника данных по методологии можно использовать OWASP Threat Modeling Process. Его часто определяют как отдельную методику, но он также основан на STRIDE. Описание процесса содержится на сайте проекта ^[8].

DREAD (Damage, Reproducibility, Exploitability, Affected users, Discoverability)

Эта методология помогает приоритизировать выявленные угрозы с помощью оценки каждой из них по десятибалльной шкале по пяти параметрам:

• damage potential — серьезность последствий угрозы,
• reproducibility — простота воспроизведения угрозы,
• exploitability — простота эксплуатации угрозы,
• affected users — количество пользователей, которых она затрагивает.
• discoverability — простота обнаружения угрозы злоумышленником

Итоговая оценка формируется по сумме всех параметров, которую затем делят на пять. Допустим, мы провели моделирование и получили следующие оценки:

Damage Potential = 9
Reproducibility = 8
Exploitability = 7
Affected Users = 9
Discoverability = 6

Общая оценка = (9+8+7+9+6)/5 = 7,8

При помощи оценок для всех угроз легко определить, какие из них следует устранить в первую очередь. Сейчас методология DREAD считается устаревшей из-за субъективности получаемых оценок. Однако это все еще очень хороший метод для первичной приоритизации угроз, и многие компании продолжают использовать его.

MITRE ATT&CK

Строго говоря, это не методика, а база знаний. Тем не менее она довольно самодостаточная и, на мой взгляд, на ее основе вполне реально провести качественное моделирование потенциальных угроз.

MITRE ATT&CK содержит:

• описание тактик и техник, которые могут применяться злоумышленниками;
• способы противодействия;
• профили различных хакерских групп ^[9].

А еще это удобный инструмент, который поможет с моделированием цепочек потенциальных атак ^[10].

Источник ^[10].

PASTA (Process for Attack Simulation and Threat Analysis)

Это методология, которая при оценке угроз ориентируется на бизнес-процессы организации. Она сложная и чаще всего используется в организациях среднего и крупного бизнеса. Методология включает в себя семь этапов.

1. Определение бизнес-целей, рисков, нормативных требований.
2. Анализ архитектуры системы.
3. Деление системы на модули, выявление доверенных зон, потоков данных и точек взаимодействия.
4. Выявление актуальных угроз. На этом этапе могут использоваться различные источники данных — STRIDE, OWASP, MITRE ATT&CK и другие.
5. Оценка уязвимостей с использованием автоматизированных средств (CVE, CWE).
6. Моделирование сценариев атак на основе угроз и уязвимостей.
7. Оценка воздействия угроз на систему, построение профиля бизнес-рисков, выработка мер.

PASTA является очень комплексной, всеобъемлющей методологией и может показаться идеальным выбором. Однако я не могу рекомендовать ее в качестве отправной точки, так как она требует много времени, знаний, инструментов и зачастую участия профильных специалистов по аудиту информационных систем.

Методика ФСТЭК

Как следует из названия, эта методика разработана ФСТЭК России — одним из государственных регуляторов в области информационной безопасности.

Моделирование в соответствии с этой методикой является обязательным процессом для многих информационных систем, защита которых регулируется законодательством — государственных информационных систем, систем критической информационной инфраструктуры и других.

Следование методике ФСТЭК позволяет полностью пройти путь от инвентаризации ресурсов до получения перечня актуальных угроз и модели нарушителя. Она помогает взглянуть на систему с разных ракурсов, однако соблюсти ее довольно сложно, особенно если ранее не было опыта моделирования угроз. Далее расскажу о том, как можно использовать ее в комбинации с MITRE ATT&CK и DREAD.

В дополнение к самой методике очень полезным может быть обновленный раздел угроз от ФСТЭК России ^[11]. Он уже довольно давно находится на этапе опытной эксплуатации, но хорошо структурирован и помогает лучше понять взаимосвязи между используемыми понятиями.

Какие методики можно применять при первичном моделировании угроз

В качестве ориентира для составления упрощенной модели угроз можно использовать три источника информации.

1. Методика оценки угроз безопасности информации ФСТЭК России ^[12]
2. База знаний MITRE ATT&CK ^[13]
3. Методология DREAD

Как я уже сказал выше, точно следовать методике ФСТЭК России довольно сложно. Но она представляет из себя очень детализированное руководство, на которое можно смело опираться в процессе моделирования. К тому же так вы упростите доработку модели до уровня соответствия требованиям регулятора, если такая необходимость возникнет.

Если посмотреть на схему процесса, которая отражена в самой методике, мы увидим, что он во многом совпадает с теми вещами, о которых мы уже говорили в рамках статьи.

Источник ^[12].

Этапы моделирования угроз

Основные задачи и этапы, которые необходимо решить в процессе моделирования, довольно точно определены в методике моделирования угроз ФСТЭК России.

1. Определение негативных последствий, которые могут наступить от реализации угроз безопасности информации.
2. Инвентаризация систем и сетей, а также определение возможных объектов воздействия угроз безопасности информации.
3. Определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации.
4. Оценка способов реализации угроз безопасности информации.
5. Оценка возможности реализации угроз безопасности информации и определение актуальности угроз безопасности информации.

Далее поговорим о процессе моделирования с привязкой к этим этапам.

1 шаг. Определите негативные последствия

Его мы выполнили на этапе оценки рисков. В рамках моделирования все следующие этапы необходимо рассматривать относительно ситуаций, в которых эти риски становятся реальностью.

2 шаг. Проведите инвентаризацию систем и сетей

Может опираться на общую инвентаризацию активов, но, в данном случае, рекомендуется сделать фокус на IT-активах — компонентах вашей системы, которые могут быть связаны с рисками для бизнес активов.

Например, бизнес-актив — это база клиентов, которую ни в коем случае нельзя потерять. IT-актив в данном случае — это СУБД PostgreSQL, с помощью которой осуществляется управление этой базой.

Такое разделение обеспечивает гибкость для дальнейшего сопровождения разработанных моделей. Может быть принято решение об использовании 1С вместо PostgreSQL, но это не повлияет на ранее определенный риск, касающийся базы клиентов.

3 шаг. Определите источники угроз безопасности

Теперь нужно понять, кто именно может стать причиной возникновения потенциально опасных событий. Отмечу, что в данном контексте следует рассматривать не только злоумышленников, но и тех, кто может спровоцировать негативные последствия непреднамеренно.

Чтобы получить отправную точку для определения потенциальных видов нарушителей, можно взять за ориентир виды нарушителей, приведенные в методике оценки ФСТЭК России. Основные среди них:

• специальные службы иностранных государств;
• террористические, экстремистские группировки;
• преступные группы (криминальные структуры);
• отдельные физические лица (хакеры);
• конкурирующие организации;
• разработчики программных, программно-аппаратных средств;
• лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем;
• поставщики услуг связи, вычислительных услуг;
• лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ;
• лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем оператора (администрация, охрана, клининг и др.);
• авторизованные пользователи систем и сетей;
• системные администраторы и администраторы безопасности;
• бывшие (уволенные) работники (пользователи).

Для подавляющего большинства систем не следует рассматривать угрозы, связанные с действиями спецслужб иностранных государств.

Если вы впервые осуществляете моделирование угроз, можно сфокусироваться на следующих категориях.

• Отдельные физические лица (хакеры)
  Наиболее вероятный портрет реального злоумышленника, который может предпринимать попытки атак на среднестатистическую систему. Также сюда можно отнести автоматизированные угрозы, так как они зачастую повторяют паттерн действий хакеров (особенно начинающих).
• Конкурирующие организации
  Вряд ли речь будет идти об организации сложной атаки. Таким занимаются довольно редко, поскольку риски уголовного преследования гораздо выше потенциальной выгоды. Однако стоит помнить, что ваши ресурсы должны быть защищены от получения конкурентами коммерчески значимой информации.
• Лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ
  В последнее время, все чаще появляются новости об атаках, связанных с цепочками поставок. По этой причине следует уделять большое внимание угрозам, связанным с доступом внешних лиц в ваши системы. Далеко не все они являются злоумышленниками, однако необходимо сохранять бдительность и предусматривать меры защиты.
• Авторизованные пользователи систем и сетей
  Эту группу стоит рассматривать с точки зрения непреднамеренных действий или атаки на авторизационные данные представителей группы. Например, такие угрозы могут быть реализованы из-за фишинговых атак — одного из самых распространенных способов взлома систем.
• Системные администраторы и администраторы безопасности
  Эти сотрудники тоже могут быть подвержены краже аутентификационных данных. Но потенциальные угрозы, связанные с такими пользователями, необходимо рассматривать еще внимательнее, поскольку они обладают повышенными правами.
• Бывшие (уволенные) работники или пользователи
  К сожалению, нередко сотрудники решают подпортить жизнь бывшему работодателю, особенно если расставание произошло не очень хорошо. Но еще чаще случается, что у бывших сотрудников возникает соблазн прихватить с собой какую-нибудь ценную информацию — например, базу клиентов.

Также сюда можно отнести угрозы, связанные с использованием авторизационных данных уволенных сотрудников, которые не были заблокированы после увольнения. К сожалению, такое тоже довольно часто происходит.

4 шаг. Оцените способы реализации угроз безопасности информации

Если вы никогда ранее не проводили оценку угроз и вам не нужно четко следовать методике ФСТЭК, на этом этапе можно упростить себе задачу и немного отойти от нее.

Дело в том, что эта методика предполагает обязательное использование банка данных угроз ФСТЭК. Он не всегда дает четкое представление о том, как именно реализуется угроза и на какие объекты может быть направлена атака.

Чтобы лучше понять, какие векторы развития атаки могут использоваться, рекомендую воспользоваться описанием техник и тактик для различных группировок в MITRE ATT&CK ^[9].

Да, немного ранее мы говорили о том, что преступные группировки скорее всего не выберут целью именно вашу систему. Однако эта информация позволит хорошо понять, какие техники и тактики используются злоумышленниками в реальном мире, на какие объекты осуществляется воздействие и как неочевидно порой атака может развиваться.

В то же время из методики ФСТЭК на данном шаге будет полезно взять понятие интерфейсов информационной системы. Так называют способы взаимодействия внешнего мира (других систем, пользователей, администраторов и пр.) с вашей системой. Наиболее продуктивным процесс будет, если стараться рассматривать потенциальные атаки применительно к ним.

5 шаг. Оцените возможности реализации угроз и определение актуальности угроз

Еще одно преимущество базы знаний ATT&CK — то, что для каждой угрозы описаны способы противодействия (Mitigations). Это позволяет оценить уже применяемые в системе меры защиты на способность противостоять угрозе.

Чтобы определить какие угрозы являются наиболее актуальными и требуют противодействия, в первую очередь можно воспользоваться методологией DREAD (Damage, Reproducibility, Exploitability, Affected users, Discoverability). Она позволит определить числовые оценки для каждого сценария. Это сделает более эффективной дальнейшую работу по проектированию системы защиты.

Выводы

Мы поговорили об оценке рисков, моделировании угроз информационной безопасности и о том, как запустить эти процессы уже сегодня. Они оказывают огромное влияние на защищенность системы, так как помогают увидеть потенциальные уязвимости. Но помните, что недостаточно проводить только один раз. Переоценка рисков и угроз должна осуществляться регулярно, чтобы оставаться актуальной.