Сценарии реализации угроз безопасности информации определяются

5. Оценка возможности реализации (возникновения) угроз
безопасности информации и определение их актуальности

5.1 Определение источников угроз безопасности информации

5.1.1. В ходе оценки угроз безопасности информации должны быть определены возможные антропогенные источники угроз безопасности информации, к которым относятся лица (группа лиц), осуществляющие реализацию угроз безопасности информации путем несанкционированного доступа и (или) воздействия на информационные ресурсы и (или) компоненты систем и сетей, — актуальные нарушители.

5.1.2. Исходными данными для определения возможных актуальных нарушителей являются:

а) общий перечень угроз безопасности информации, содержащийся в банке данных угроз безопасности информации ФСТЭК России (bdu.fstec.ru), модели угроз безопасности информации, разрабатываемые ФСТЭК России в соответствии с подпунктом 4 пункта 8 Положения о Федеральной службе по техническому и экспортному контролю, утвержденного Указом Президента Российской Федерации от 16 августа 2004 г. N 1085, а также отраслевые (ведомственные, корпоративные) модели угроз безопасности информации;

б) описания векторов компьютерных атак, содержащихся в базах данных и иных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);

в) нормативные правовые акты Российской Федерации, в соответствии с которыми создается и функционирует система или сеть, содержащие описание назначения, задач (функций) систем и сетей, состав обрабатываемой информации и ее правовой режим;

г) документация на сети и системы (в части сведений о назначении и функциях, составе и архитектуре систем и сетей, о группах пользователей и уровне их полномочий и типах доступа, о внешних и внутренних интерфейсах);

д) договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг (в части персонала поставщика услуг, имеющего доступ к этой инфраструктуре, его прав и обязанностей, уровня полномочий и типов доступа);

е) результаты оценки ущерба (рисков), проведенной обладателем информации или оператором;

ж) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой;

з) объекты воздействия угроз безопасности информации и виды воздействия на них, определенные в соответствии с настоящей Методикой.

Указанные исходные данные могут быть дополнены иными документами и сведениями с учетом особенностей области деятельности, в которой функционируют системы и сети.

5.1.3. На основе анализа исходных данных, а также результатов оценки возможных целей реализации нарушителями угроз безопасности информации определяются виды нарушителей, актуальных для систем и сетей.

Основными видами нарушителей, подлежащих оценке, являются:

специальные службы иностранных государств;

террористические, экстремистские группировки;

преступные группы (криминальные структуры);

отдельные физические лица (хакеры);

конкурирующие организации;

разработчики программных, программно-аппаратных средств;

лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем;

поставщики услуг связи, вычислительных услуг;

лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ;

лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем оператора (администрация, охрана, уборщики и др.);

авторизованные пользователи систем и сетей;

системные администраторы и администраторы безопасности;

бывшие (уволенные) работники (пользователи).

5.1.4. Нарушители признаются актуальными для систем и сетей, когда возможные цели реализации ими угроз безопасности информации могут привести к определенным для систем и сетей негативным последствиям и соответствующим рискам (видам ущерба). Возможные цели реализации угроз безопасности информации нарушителями приведены в приложении 6 к настоящей Методике.

Пример соответствия нарушителей, возможных целей реализации ими угроз безопасности информации и возможных негативных последствий и видов рисков (ущерба) от их реализации (возникновения) приведен в приложении 7 к настоящей Методике.

5.1.5. Нарушители имеют разные уровни компетентности, оснащенности ресурсами и мотивации для реализации угроз безопасности информации. Совокупность данных характеристик определяет уровень возможностей нарушителей по реализации угроз безопасности информации.

В зависимости от уровня возможностей нарушители подразделяются на нарушителей, обладающих:

базовыми возможностями по реализации угроз безопасности информации (Н1);

базовыми повышенными возможностями по реализации угроз безопасности информации (Н2);

средними возможностями по реализации угроз безопасности информации (Н3);

высокими возможностями по реализации угроз безопасности информации (Н4).

Для одной системы или сети актуальными могут являться нарушители, имеющие разные уровни возможностей.

Уровни возможностей нарушителей по реализации угроз безопасности информации приведены в приложении 8 к настоящей Методике.

5.1.6. Для актуальных нарушителей должны быть определены их категории в зависимости от имеющихся прав и условий по доступу к системам и сетям, обусловленных архитектурой и условиями функционирования этих систем и сетей, а также от установленных возможностей нарушителей. При этом нарушители подразделяются на две категории (рисунок 5, 6):

внешние нарушители — нарушители, не имеющие прав доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочий по доступу к информационным ресурсам и компонентам систем и сетей, требующим авторизации;

внутренние нарушители — нарушители, имеющие права доступа в контролируемую (охраняемую) зону (территорию) и (или) полномочия по автоматизированному доступу к информационным ресурсам и компонентам систем и сетей.

Рисунок 5. Внешний нарушитель при реализации угроз
безопасности информации

Рисунок 6. Внутренний нарушитель при реализации угроз
безопасности информации

Внутренние нарушители первоначально могут иметь разный уровень прав доступа к информационным ресурсам и компонентам систем и сетей (например, доступ в личный кабинет на сайте, исполнение обязанностей на автоматизированном рабочем месте, администрирование систем и сетей). К внутренним нарушителям относятся пользователи, имеющие как непривилегированные (пользовательские), так и привилегированные (административные) права доступа к информационным ресурсам и компонентам систем и сетей.

5.1.7. Внешние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых. Внутренние нарушители реализуют угрозы безопасности информации преднамеренно (преднамеренные угрозы безопасности информации) с использованием программных, программно-аппаратных средств или без использования таковых или непреднамеренно (непреднамеренные угрозы безопасности информации) без использования программных, программно-аппаратных средств.

Пример 4: к непреднамеренным угрозам безопасности информации могут относиться:

1) нарушение функционирования системы управления базы данных за счет ввода в поля данных информации, превышающей допустимый объем;

2) нарушение функционирования веб-ресурса за счет того, что системный <…>

5.1.8. В случае если к системам и сетям предъявлены требования к устойчивости и надежности функционирования (в части целостности и доступности информационных ресурсов и компонентов систем и сетей), дополнительно к антропогенным источникам угроз безопасности информации в качестве актуальных могут быть определены техногенные источники (физические явления, материальные объекты). Угрозы безопасности информации, связанные с техногенными источниками, включаются в модель угроз безопасности информации по решению обладателя информации или оператора систем и сетей.

Основными факторами возникновения угроз безопасности информации, связанными с техногенными источниками, могут являться:

а) недостатки качества, надежности программного обеспечения, программно-аппаратных средств, обеспечивающих обработку и хранение информации, их линий связи;

б) недостатки в работе обеспечивающих систем;

в) недоступность сервисов (услуг), предоставляемых сторонними организациями.

Возможность возникновения таких угроз определяется на основе статистики их возникновения за прошлые годы. В случае отсутствия указанной статистики возможно использование экспертной оценки.

Выявление техногенных источников должно осуществляться с учетом требований и правил, установленных уполномоченными федеральными органами исполнительной власти, национальными стандартами <1>, и не входит в область действия данной Методики.

———————————

<1> Например, такими стандартами являются:

ГОСТ Р 22.0.05-2020 Безопасность в чрезвычайных ситуациях. Техногенные чрезвычайные ситуации. Термины и определения;

ГОСТ Р 51901.1-2002 Менеджмент риска. Анализ риска технологических систем (с Поправкой).

5.1.9. По результатам определения источников угроз безопасности информации должны быть определены:

а) виды актуальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности;

б) категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы.

При определении источников угроз безопасности информации необходимо исходить из предположения о наличии повышенной мотивации внешних и внутренних нарушителей, преднамеренно реализующих угрозы безопасности информации. Кроме того, необходимо учитывать, что такие виды нарушителей как специальные службы иностранных государств и террористические, экстремистские группировки могут привлекать (входить в сговор) внутренних нарушителей, в том числе обладающих привилегированными правами доступа. В этом случае уровень возможностей актуальных нарушителей будет определяться совокупностью возможностей нарушителей, входящих в сговор.

Примеры определения актуальных нарушителей при реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности приведены в приложении 9 к настоящей Методике.

5.2 Оценка способов реализации (возникновения) угроз
безопасности информации

5.2.1. В ходе оценки угроз безопасности информации должны быть определены возможные способы реализации (возникновения) угроз безопасности информации, за счет использования которых актуальными нарушителями могут быть реализованы угрозы безопасности информации в системах и сетях, — актуальные способы реализации (возникновения) угроз безопасности информации.

5.2.2. Исходными данными для определения актуальных способов реализации (возникновения) угроз безопасности информации являются:

в) документация на системы и сети (в части сведений о составе и архитектуре, о группах пользователей и их типах доступа и уровней полномочий, о внешних и внутренних интерфейсах);

г) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой;

д) объекты воздействия угроз безопасности информации и соответствующие им виды воздействия, определенные в соответствии с настоящей Методикой;

е) виды и категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы, и их возможности, определенные в соответствии с настоящей Методикой.

5.2.3. На основе анализа исходных данных, а также возможностей нарушителей определяются способы реализации (возникновения) угроз безопасности информации, актуальные для систем и сетей.

Основными способами реализации (возникновения) угроз безопасности информации являются:

1) использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей);

2) внедрение вредоносного программного обеспечения;

3) использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств;

4) установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства;

5) формирование и использование скрытых каналов (по времени, по памяти) для передачи конфиденциальных данных;

6) перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;

7) инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;

нарушение безопасности при поставках программных, программно-аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию);

9) ошибочные действия в ходе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно-аппаратных средств.

Указанные способы реализации (возникновения) угроз безопасности информации могут быть дополнены иными способами с учетом особенностей архитектуры и условий функционирования систем и сетей.

Способы реализации (возникновения) угроз безопасности информации определяются применительно к объектам воздействия, определенным в соответствии с настоящей Методикой. Способы являются актуальными, когда возможности нарушителя позволяют их использовать для реализации угроз безопасности и имеются или созданы условия, при которых такая возможность может быть реализована в отношении объектов воздействия. Одна угроза безопасности информации может быть реализована несколькими способами.

5.2.4. Условием, позволяющим нарушителям использовать способы реализации угроз безопасности информации, является наличие у них возможности доступа к следующим типам интерфейсов объектов воздействия:

внешние сетевые интерфейсы, обеспечивающие взаимодействие с сетью «Интернет», смежными (взаимодействующими) системами или сетями (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);

внутренние сетевые интерфейсы, обеспечивающие взаимодействие (в том числе через промежуточные компоненты) с компонентами систем и сетей, имеющими внешние сетевые интерфейсы (проводные, беспроводные);

интерфейсы для пользователей (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);

интерфейсы для использования съемных машинных носителей информации и периферийного оборудования;

интерфейсы для установки, настройки, испытаний, пусконаладочных работ (в том числе администрирования, управления, обслуживания) обеспечения функционирования компонентов систем и сетей;

возможность доступа к поставляемым или находящимся на обслуживании, ремонте в сторонних организациях компонентам систем и сетей.

Наличие указанных интерфейсов определяется архитектурой, составом и условиями функционирования систем и сетей, группами пользователей, их типами доступа и уровнями полномочий. В ходе анализа должны быть определены как логические, так и физические интерфейсы объектов воздействия, в том числе требующие физического доступа к ним.

Интерфейсы определяются на аппаратном, системном и прикладном уровнях систем и сетей, а также для телекоммуникационного оборудования. Возможность их использования на указанных уровнях определяется возможностями актуальных нарушителей.

5.2.5. На этапе создания систем и сетей определение интерфейсов объектов воздействия, которые могут использоваться для реализации угроз безопасности, проводится на основе предполагаемой архитектуры и условий функционирования систем и сетей, определенных на основе изучения и анализа исходных данных о них.

На этапе эксплуатации систем и сетей для определения интерфейсов объектов воздействия, которые могут использоваться для реализации угроз безопасности, дополнительно к документации на сети и системы используются результаты инвентаризации систем и сетей, проведенной с использованием автоматизированных средств.

5.2.6. По результатам оценки возможных способов реализации угроз безопасности информации должны быть определены:

а) виды и категории нарушителей, которые имеют возможность использования актуальных способов;

б) актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.

Примеры определения актуальных способов реализации угроз безопасности информации и соответствующие им виды нарушителей и их возможности приведены в приложении 10 к настоящей Методике.

5.3 Оценка актуальности угроз безопасности информации

5.3.1. В ходе оценки угроз безопасности информации должны быть определены возможные угрозы безопасности информации и оценена их актуальность для систем и сетей — актуальные угрозы безопасности информации.

5.3.2. Исходными данными для оценки актуальности угроз безопасности информации являются:

б) описания векторов компьютерных атак, содержащихся в базах данных и иных информационных источниках, опубликованных в сети «Интернет» (CAPEC, ATT&CK, OWASP, STIX, WASC и др.);

в) негативные последствия от реализации (возникновения) угроз безопасности информации, определенные в соответствии с настоящей Методикой;

г) объекты воздействия угроз безопасности информации и виды воздействий на них, определенные в соответствии с настоящей Методикой;

д) виды и категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы, и их возможности, определенные в соответствии с настоящей Методикой;

е) актуальные способы реализации (возникновения) угроз безопасности информации.

5.3.3. На основе анализа исходных данных определяются возможные для систем и сетей угрозы безопасности информации, к которым относятся осуществляемые нарушителем воздействия на информационные ресурсы и компоненты систем и сетей (объекты воздействия), в результате которых возможно нарушение безопасности информации и (или) нарушение или прекращение функционирования систем и сетей.

Угроза безопасности информации возможна, если имеются нарушитель или иной источник угрозы, объект, на который осуществляются воздействия, способы реализации угрозы безопасности информации, а реализация угрозы может привести к негативным последствиям:

УБИi = [нарушитель (источник угрозы); объекты воздействия;
способы реализации угроз; негативные последствия].

5.3.4. Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации.

Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных в соответствии с настоящей Методикой, и применительно к объектам воздействия и видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.

Перечень основных тактик (тактических задач) и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности информации, приведен в приложении 11 к настоящей Методике.

5.3.5. На этапе создания систем и сетей должен быть определен хотя бы один сценарий каждого способа реализации возможной угрозы безопасности информации. Сценарий определяется для каждого актуального нарушителя и их уровней возможностей.

При наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для системы и сети и включается в модель угроз безопасности систем и сетей для обоснования выбора организационных и технических мер по защите информации (обеспечению безопасности), а также выбора средств защиты информации (рисунок 7).

Угроза несанкционированного доступа к базе данных,
содержащей защищаемую информацию

Рисунок 7. Пример сценария реализации угрозы
безопасности информации

На этапе эксплуатации систем и сетей для каждой возможной угрозы безопасности информации определяется множество возможных сценариев ее реализации в интересах оценки эффективности принятых технических мер по защите информации (обеспечению безопасности), в том числе средств защиты информации. При этом множество сценариев определяется для каждого актуального нарушителя и уровней его возможностей в соответствии с полученными результатами инвентаризации систем и сетей, анализа уязвимостей и (или) тестирования на проникновение, проведенных с использованием автоматизированных средств (рисунок 8).

5.3.6. На этапе эксплуатации определение сценариев реализации угрозы включает:

а) анализ исходных данных на систему или сеть, предусматривающий в том числе анализ документации, модели угроз безопасности информации, применяемых средств защиты информации, и определение планируемых к применению автоматизированных средств;

б) проведение инвентаризации информационных систем и сетей и определение объектов воздействия и их интерфейсов;

в) определение внешних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации;

г) определение внутренних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации;

д) выявление уязвимостей объектов воздействия, а также компонентов систем и сетей, имеющих внешние интерфейсы, с которыми посредством внутренних интерфейсов взаимодействуют объекты воздействия;

е) проведение тестирования на проникновение, подтверждающего возможность использования выявленных уязвимостей или выявления новых сценариев реализации угрозы безопасности информации;

ж) поиск последовательности тактик и техник, применение которых может привести к реализации угрозы безопасности информации, исходя из уровня возможностей актуальных нарушителей, а также результатов инвентаризации, анализа уязвимостей и тестирования на проникновение;

з) составление сценариев реализации угрозы безопасности информации применительно к объектам и видам воздействия, а также способам реализации угроз безопасности информации.

Рисунок 8. Пример сценариев реализации угроз
безопасности информации

Источник

Моделирование угроз на основе сценариев или Как Cyber Kill Chain и ATT&CK помогают анализировать угрозы ИБ

Введение

В последние годы ФСТЭК России последовательно отменяет устаревшие руководящие документы Гостехкомиссии России, в которых для обеспечения безопасности информационных систем требовалось выполнить фиксированный набор требований безопасности. Новые нормативные требования фактически обязывают операторов информационных систем самостоятельно формулировать требования безопасности с учетом специфики защищаемого объекта. Основным инструментом для этого является анализ угроз и, к сожалению, методики проведения такого анализа в нормативной базе описаны крайне скупо.

Одним из наиболее эффективных приемов анализа угроз является моделирование сценариев реализации угроз с построением графов атак, который в англоязычных источниках получил название «Cyber Kill Chain».

Регламентирование в российской нормативной базе деятельности по анализу угроз

На сегодняшний день в

нормативных документах ФСТЭК России

Приказ ФСТЭК России от 11.02.2013 N 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах».

Приказ ФСТЭК России от 18.02.2013 N 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».

Приказ ФСТЭК России от 14.03.2014 N 31 «Об утверждении Требований к обеспечению защиты информации в автоматизированных системах управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объектах, а также объектах, представляющих повышенную опасность для жизни и здоровья людей и для окружающей природной среды».

Приказ ФСТЭК России от 25.12.2017 N 239 «Об утверждении Требований по обеспечению безопасности значимых объектов критической информационной инфраструктуры Российской Федерации».

установлен единый порядок формирования требований безопасности, предъявляемых к информационным системам. Каждый нормативный документ определяет перечень базовых мер безопасности информации, которые являются обязательными для всех информационных систем одинакового класса защищенности или одинаковой категории значимости. В дополнение к нормативным документам выпускаются

методические документы,

Методический документ «Меры защиты информации в государственных информационных системах» для приказов ФСТЭК №17 и №21. Аналогичный документ разрабатывается для приказов ФСТЭК №31 и №239.

которые содержат требования к реализации базовых мер безопасности. При этом декларируется, что базовый набор мер безопасности является необходимым, но не достаточным, и на оператора информационной системы возлагается обязанность самостоятельно провести анализ угроз и сформулировать требования к дополнительным мерам безопасности. Кроме того, требования к базовым мерам безопасности вариабельны, и оператор информационной системы должен самостоятельно их интерпретировать с учетом как специфики защищаемого объекта, так и с учетом актуальных для него угроз безопасности.

Так, например, одной из мер безопасности, направленной на защиту от компьютерных атак, является мера безопасности СОВ.1

«Обнаружение вторжений»,

Определена как базовая мера защиты во всех четырех упомянутых выше приказах ФСТЭК.

которая предписывает применять средства обнаружения вторжений уровня сети в государственных информационных системах и информационных системах персональных данных второго и первого классов защищенности, а также значимых объектах КИИ второй и первой категорий значимости. При этом на основе анализа угроз оператору информационной системы необходимо самостоятельно решить, следует ли применять такие средства обнаружения вторжений в информационных системах третьего класса защищенности и на объектах КИИ третьей категории значимости, а также не следует ли дополнить их средствами обнаружения вторжений уровня узла.

Возникает вопрос: как именно следует проводить анализ угроз? Наиболее подробно процедура описана в приказе №239, но даже это описание не дает прямого ответа. Так, в соответствии с требованиями данного документа анализ угроз безопасности информации должен включать:

выявление источников угроз и оценку возможностей нарушителей;
анализ возможных уязвимостей информационной системы и отдельных ее компонентов;
определение возможных способов (сценариев) реализации угроз безопасности информации;
оценку возможных последствий от реализации угроз.

При этом в качестве исходных данных для анализа угроз следует использовать банк данных угроз безопасности ФСТЭК и руководствоваться методическими документами ФСТЭК России.

Раздел «Угрозы» Банка данных угроз и уязвимостей ФСТЭК России содержит описания более 200 видов угроз. Описания довольно краткие (см. пример на рисунке 1), и самое главное – большинство угроз сформулированы в терминах воздействия на отдельный компонент информационной системы. Без дополнительного анализа по такому описанию невозможно сделать вывод о последствиях воздействия для функционирования информационной системы и для безопасности обрабатываемой в ней информации.

Рисунок 1. Пример описания угрозы из БДУ ФСТЭК

В методических документах (например, в выписке из базовой модели угроз безопасности персональных данных

Аналогичный документ, рекомендованный для применения в критических информационной инфраструктуре, является документом ограниченного распространения и в настоящей статье не рассматривается.

) рассматривается значительно меньшее количество угроз, но при этом и возможности нарушителя, и способы реализации ими угроз безопасности рассмотрены значительно подробнее. Однако и в этом документе описания большинства угроз сформулированы в терминах воздействия на отдельный компонент информационной системы с невозможностью без дополнительного анализа сделать адекватные выводы о последствиях реализации угрозы. Так, в документе подробно описана атака ARP spoofing (подмена MAC-адреса взаимодействующего узла в ARP-таблице атакуемого узла), но из этого описания сложно сделать вывод о том, как именно данная атака используется для анализа сетевого трафика, и к каким последствиям для защищаемой информационной системы она может привести (см. рисунок 2).

Рисунок 2. Описание атаки ARP spoofing в методическом документе ФСТЭК

Подобная ориентированность описаний угроз не на информационную систему в целом, а на отдельные ее компоненты создает для операторов информационных систем определенные трудности при моделировании угроз и провоцирует ошибки моделирования.

«Угроза», «способ», «сценарий»

Основной задачей системы информационной безопасности, когда речь идет об организации, является обеспечение нормального функционирования организации. Это особенно хорошо видно в нормативных документах по обеспечению безопасности критической информационной инфраструктуры: нарушения критических процессов (информационных, технологических, управленческих и т.п.) организации и последствия этих нарушений определяют категорию значимости информационной системы, используемой в этих процессах, а категория значимости – состав мер защиты.

При этом угрозы функционированию организации и основным процессам ее деятельности могут быть реализованы воздействием на информацию в процессе ее обработки, хранения или передачи, то есть реализацией угроз безопасности информации. Таким образом, регулятор задал определенную последовательность действий, включающих в себя анализ угроз:

определяем угрозы критическим процессам и возможные последствия их реализации;
исходя из этого определяем класс защищенности или категорию значимости, на их основе определяем базовый набор мер безопасности;
проводим анализ угроз безопасности информации, реализация которых может привести к реализации угроз критическим процессам;
на основании результатов анализа определяем особенности реализации базового набора мер безопасности и включаем в него дополнительные меры.

На практике специалисты органов власти и субъекты критической информационной инфраструктуры часто декларируют иной подход, который кажется им более простым:

выбираем из БДУ и методических документов ФСТЭК все описанные угрозы безопасности информации и оцениваем, актуальны ли они для каких-либо компонентов информационной системы;
если угроза безопасности информации актуальна для какого-либо компонента информационной системы, оцениваем, к каким последствиям для критических процессов она может привести.

Подобный подход методически неверен. В указанных источниках угрозы описаны в терминах воздействия на отдельный элемент информационной системы или инфраструктуры, причем для этого воздействия нарушителю требуется обладать определенными возможностями. Так, для перехвата трафика методом ARP spoofing нарушителю необходимо контролировать один из узлов локальной сети. Поскольку изначально нарушитель может не обладать подобными возможностями, у исследователя появляется соблазн признать данную угрозу неактуальной. Но в реальной жизни угрозы, которые могут быть реализованы в одно действие, большая редкость. Каждый известный инцидент – многоходовка, набор последовательных действий нарушителя в рамках некоторого сценария. Целью всех этих действий является достижение нужных нарушителю последствий выполнения сценария, а каждая реализуемая в рамках этого сценария угроза безопасности информации – лишь способ приблизиться к достижению этой цели. Таким образом, концентрация на анализе отдельных угроз безопасности информации может привести к тому, что действительно серьезные и практически реализуемые угрозы критическим процессам так и не будут рассмотрены. Покажем это на примере реального инцидента.

16 августа 2015 года

Подробнее см. в постановлении девятого арбитражного апелляционного суда от 31 августа 2016 г. по делу №А40-209112/2015

была проведена массовая кража денежных средств из банкоматов банков, входящих в Объединенную Расчетную Систему. Преступники открыли карточные счета в одном из региональных банков и в течение суток провели 3135 операций снятия наличных с карт с последующей отменой платежа на общую сумму около 470 млн руб. Все операции отмены были выполнены с использованием учетных записей двух уполномоченных сотрудников банка-эмитента. Как моделируются такие угрозы?

Для кражи наличных средств из банкоматов часто применяется атака «отмена платежа» (payment reversal). Преступник открывает в банке счет и получает привязанную к нему платежную карту. На счет вносится сумма, которую можно за одну операцию снять наличными в банкомате (150-200 тыс. руб.), и эту сумму банк устанавливает в качестве текущего лимита операций с данной картой. Преступник снимает эту сумму в банкомате, лимит уменьшается до нуля, после чего в процессинговый центр поступает сообщение об отмене платежа и для лимита операций устанавливается прежнее значение. Это дает преступнику возможность снова снять ту же сумму наличными. Такой трюк может повторяться до тех пор, пока в кассетах банкомата не закончатся купюры или пока действия преступника не будут замечены.

Отменить операцию может только сотрудник банка, обладающий необходимыми полномочиями, который в данной схеме действует как соучастник преступления. При моделировании угроз безопасности информации такой сотрудник рассматривается как основной источник угрозы, а самой угрозе в БДУ ФСТЭК соответствует, например, «УБИ.063: Угроза некорректного использования функционала программного и аппаратного обеспечения». В качестве защиты от данной угрозы нормативные документы Банка России рекомендуют применять «метод двойного ввода», при котором действие, выполненное одним сотрудником, должно быть подтверждено вторым сотрудником. Анализ угроз, проведенный по «упрощенной схеме» подтвердит достаточность этой меры защиты.

В данном примере «двойной ввод» не способен был предотвратить кражу. Как установило следствие, преступники внедрялись в информационную инфраструктуру банка, рассылая сотрудникам банка сообщения электронной почты с внедренной вредоносной программой Trojan-Dropper.Win32.Metel. Данная троянская программа позволяет получать контроль над атакованными рабочими местами, устанавливает соединение с сервером управления и дает хакерам возможность удаленно применять стандартные методы атаки на внутреннюю инфраструктуру (поиск и эксплуатация известных уязвимостей, анализ сетевого трафика с перехватом паролей пользователей и т.п.). Получив контроль над рабочими местами уполномоченных пользователей, преступники получили возможность отправлять от их имени управляющие сообщения в процессинговый центр. При этом защита методом «двойного ввода» не является для атакующего препятствием: учетная запись второго сотрудника получается теми же способами, что и первая учетная запись.

Таким образом, при моделировании угроз предусмотреть возможность такого инцидента можно было только в форме последовательности действий:

внедрение вредоносной программы в атакуемую инфраструктуру с применением методов социальной инженерии («УБИ.186: Угроза внедрения вредоносного кода через рекламу, сервисы и контент» – наиболее близкая по смыслу к рассылке инфицированных сообщений электронной почты);
загрузка на контролируемые узлы инфраструктуры инструментальных средств, необходимых для расширения атаки («УБИ.006: Угроза внедрения кода или данных»);
анализ сетевого трафика, получение учетных записей и аутентификационных маркеров («УБИ.034: Угроза использования слабостей протоколов сетевого/локального обмена данными»);
повышение привилегий до получения необходимых прав доступа – чаще всего атакующие стремятся получить административный доступ к контроллеру домена («УБИ.031: Угроза использования механизмов авторизации для повышения привилегий»);
использование привилегированного доступа для выполнения нужных нарушителю действий («УБИ.063: Угроза некорректного использования функционала программного и аппаратного обеспечения»).

Подобная моделируемая последовательность действий называется сценарием реализации угрозы, причем выше описан только один из возможных сценариев, которые могли привести к подобному инциденту. Каждый элемент сценария описывает воздействие, приближающее нарушителя к достижению цели. При этом каждое из действий само по себе не представляет опасности для информационной системы, а большинство из них еще и нереализуемо без выполнения первых шагов сценария. Но, как мы видим, без рассмотрения таких сценариев очень легко недооценить возможности нарушителя, а тогда не будут приняты и необходимые меры защиты.

«Сценарный» подход к моделированию угроз имеет свое ограничение – он применим только для случая целенаправленных действий нарушителя. При этом, во избежание путаницы, приходится изменять понятийный аппарат, введенный в нормативных документах, используя следующие понятия:

угроза – возможность наступления неприемлемых негативных последствий для функционирования организации в результате целенаправленных действий нарушителя;
сценарий угрозы – последовательность действий нарушителя, способная привести к реализации угрозы;
угроза безопасности информации – способ выполнения нарушителем определенного действия в рамках сценария угрозы.

Таким образом, при «сценарном» моделировании угроз БДУ ФСТЭК становится источником информации не об угрозах, а о способах выполнения нарушителем действий, которые могут складываться в сценарий угрозы.

Сценарии Cyber Kill Chain

Чтобы упростить моделирование действий нарушителя, исследователи неоднократно пытались систематизировать известные сценарии атак и выделить основные их

фазы по аналогии с

фазами ведения боевых действий.

Само понятие «kill chain» (убийственная последовательность) заимствовано из сленга Корпуса морской пехоты США и означает типовую последовательность действий, приводящую к уничтожению противника (например, «find, fix, fight, finish» — «найти, обездвижить, атаковать, прикончить»), в более широком смысле – к достижению требуемого результата.

Одна из первых систематизированных моделей (The Cyber Kill Chain) была предложена компанией Lockheed-Martin в 2011 году. Согласно этой модели, успешная атака на информационную инфраструктуру организации состоит из семи фаз:

разведка (reconnaissance), то есть сбор общедоступной информации об объекте атаки;
подготовка инструментария, прежде всего – вредоносного ПО (weaponization), с учетом особенностей инфраструктуры объекта атаки;
доставка (delivery) вредоносного ПО на атакуемый объект;
внедрение вредоносного ПО с использованием уязвимостей (exploitation);
использование внедренного вредоносного ПО для развертывания дополнительных инструментальных средств (installation), необходимых для развития атаки;
использование внедренных инструментальных средств для удаленного доступа к инфраструктуре и получения контроля над ней (command and control);
достижение целей нарушителя (actions on objective).

Подобное разделение на фазы в целом соответствует большинству атак, связанных с использованием вредоносного ПО, но для моделирования угроз подобная модель практически непригодна, потому что:

она неплохо описывает проникновение нарушителя в инфраструктуру и закрепление в ней, но не позволяет прогнозировать действия нарушителя, направленные на получение контроля над инфраструктурой и достижение им конечных целей;
в этой модели применение вредоносного ПО является ключевой возможностью нарушителя, что провоцирует ошибочный вывод о том, что защита должна ориентироваться прежде всего на применение антивирусных средств.

Тем не менее, несмотря на свои недостатки, модель дала толчок к развитию сценарных методов моделирования атак, и на сегодняшний день основным инструментом моделирования является база знаний ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – тактики, техники и известные факты о противнике) компании MITRE. Ее создатели пошли по пути накопления базовых техник (techniques), то есть способов выполнения нарушителем атакующих действий. Техники группируются в тактики (tactics), направленных на достижение нарушителем некоторой цели, конечной или промежуточной. Всего выделяются двенадцать тактик:

Первичное проникновение (initial access) – получение нарушителем начального (хоть какого-то) доступа к информационной системе или сегменту сети, который в дальнейшем используется в качестве плацдарма для развития атаки.
Выполнение (execution) необходимого нарушителю программного кода (инструментальных средств) на узле, к которому получен первичный доступ. Эта тактика может использоваться для внедрения вредоносного ПО, но не ограничивается им.
Закрепление (persistance) – обеспечение инструментальным средствам нарушителя возможности постоянного присутствия на атакованном узле, в том числе – после принудительного завершения процесса, перезагрузки узла и т.п.
Повышение привилегий (privilege escalation) – название тактики говорит само за себя.
Противодействие защите (defense evasion) – защита инструментальных средств нарушителя от обнаружения или блокирования со стороны применяемых жертвой средств защиты.
Авторизованный доступ (credential access) – получение нарушителем учетных записей легитимных пользователей или иной информации, необходимой для получения доступа к компонентам информационной инфраструктуры от имени легитимных пользователей, а также создание нарушителем собственных учетных записей, обладающих необходимыми привилегиями.
Исследование (discovery) – сбор сведений об инфраструктуре, полезных для начала или развития атаки.
Распространение (lateral movement) – получение начального доступа к компонентам информационной инфраструктуры, смежным с атакованным узлом.
Сбор (collection) данных, которые могут как сами по себе являться целью действий нарушителя, так и способствовать дальнейшим действиям нарушителя (например, перехват клавиатурного ввода или изображения на экране компьютера).
Удаленное управление (command and control) инструментальными средствами нарушителя.
Эксфильтрация (exfiltration), то есть копирование данных за пределы атакованной информационной инфраструктуры, в том числе – с обходом средств противодействия.
Причинение вреда (impact), в том числе – на промежуточных стадиях сценария для сокрытия следов или затруднения противодействия.

В отличие от модели The Cyber Kill Chain, в ATT&CK тактики не образуют последовательность. В этой модели нарушитель может выполнить начальное проникновение в организацию, исследовать ее инфраструктуру и обнаружить незащищенный доступ в инфраструктуру дочерней компании, провести исследование и найти на серверах дочерней компании незащищенную целевую информацию, извлечь ее и совершить иные действия.

Для каждой тактики в базе знаний содержатся возможные способы ее реализации – техники. Так, в зависимости от конкретного программного инструмента, тактика «выполнение» для его внедрения может быть реализована через программный интерфейс API, с помощью утилит командной строки, через регистрацию компонента ActiveX утилитой regsvr32, с помощью расписания Scheduled Task и т.п. Для каждой техники в базе знаний содержится ее подробное описание и публично известные случаи применения этой техники в реальной жизни.

Таким образом, данная база знаний позволяет при моделировании угроз детально проработать возможные действия нарушителя.

Применение ATT&CK для моделирования угроз

Обратной стороной детального описания техник в модели ATT&CK является невозможность ее использования для абстрактной информационной системы на стадии ее создания. Моделирование угроз на основе этой модели возможно только после того, как будут выбраны основные технические решения, а также на стадии оценки защищенности информационной системы для ее последующей модернизации.
При моделировании угроз используется фиксированная модель нарушителя. Рассматриваемый нарушитель:

является высококлассным специалистом;
обладает знанием и навыками применения всех техник ATT&CK;
способен применять известные техники и их вариации;
способен использовать инструментальные средства, имеющиеся в свободном доступе или свободной продаже;
способен самостоятельно разрабатывать инструментальные средства, при условии, что принцип их действия известен;
знает архитектуру программных и аппаратных средств, особенности их реализации и использования их функциональных возможностей на уровне разработчика, но в объеме, соответствующем документации, имеющейся в свободном доступе или предоставляемой пользователям.

Прежде всего, определяются начальные возможности нарушителя:

для внешнего нарушителя – нахождение вне периметра защиты, но с возможностью доступа к общедоступным интерфейсам исследуемой информационной системы и к интерфейсам ограниченного доступа с правами непривилегированного пользователя;
для внутреннего нарушителя – нахождение в пользовательском сегменте локальной вычислительной сети с доступом только к интерфейсам исследуемой информационной системы, общедоступным для этого сегмента, в некоторых случаях – с возможностью доступа к компонентам информационной системы с правами непривилегированного пользователя.

Моделирование угроз проводится по тем же принципам, что и тестирование на проникновение, но без практического выполнения атакующих действий. Для начальной точки сценария оценивается, какие именно объекты будут доступны нарушителю и какими возможности нарушитель обладает при доступе к каждому такому объекту. Моделирование проводится итерационно:

Для каждого объекта определяются применимые для него техники атаки в условиях отсутствия противодействия (например, в случае отсутствия средств защиты, их некорректной настройки и т.п.).
Для каждой применимой техники определяются последствия ее успешного применения нарушителем, например, расширение возможностей доступа к рассматриваемым объектам или получение начального доступа к новым объектам. При этом новые объекты добавляются в область моделирования угроз, а для ранее рассмотренных объектов фиксируется получение нарушителем новых возможностей.
Для каждой применимой техники также определяются меры защиты, необходимые для противодействия ее применению, и формируются или уточняются требования к ее реализации.
Для каждой применимой техники также определяются следы, которые может оставить нарушитель при ее применении (сигнатуры применяемых инструментальных средств, характерные события или особенности сетевого трафика) – в дальнейшем они могут использоваться как индикаторы компрометации для регистрации атак.
Если очередная итерация моделирования привела к расширению перечня объектов, к которым нарушитель условно получил доступ в ходе моделирования, или изменились возможности нарушителя при доступе к отдельным объектам, итерация повторяется. Если итерация не привела к каким-либо изменениям модели, возможности нарушителя считаются исчерпанными и проводится оценка результатов, условно достигнутых нарушителем в ходе моделирования.

Описанный выше подход может оказаться очень трудоемким, поэтому на практике часто применяются различные способы оптимизации, например:

формулируются базовые меры защиты и типовые требования к их реализации, а применимость техник действий нарушителя оценивается исходя из предположения о корректной реализации этих мер защиты;
область моделирования ограничивается отдельной информационной системой или отдельными ее подсистемами и т.п.

Подобные способы оптимизации снижают трудозатраты моделирования, но создают риск переоценки эффективности защиты.

Результатом моделирования является ориентированный граф (иногда называемый графом атак), узлами которого являются объекты, попавшие в область моделирования (например, узлы корпоративной вычислительной сети или компоненты информационной системы), а дугами – применение отдельных техник. Характеристикой дуги являются возможности доступа к объекту, полученные нарушителем при применении соответствующей техники; характеристикой узла – совокупные возможности доступа к соответствующему объекту, полученные нарушителем в ходе моделирования. На основе совокупных возможностей доступа к узлам сети или компонентам информационной системы оцениваются результирующие возможности нарушителя по воздействию на функционирование информационной системы и негативные последствия такого воздействия.

В случае, если воздействие нарушителя на один или несколько узлов приводит к неприемлемым последствиям для функционирования информационной системы или организации в целом, такое воздействие характеризуется как угроза функционированию системы (или угроза процессу, в котором используется информационная система), а все возможные пути в графе атак, приводящие к такому воздействию признаются возможными сценариями реализации данной угрозы.

Заключение

Моделирование угроз на основе сценариев позволяет одновременно решить сразу несколько задач обеспечения информационной безопасности:

охватить максимально возможный спектр угроз, актуальных для данной информационной системы;
разработать детальные требования к мерам безопасности, препятствующим каждому возможному действию нарушителя;
определить индикаторы компрометации, которые позволят обнаружить применение сценария реализации угрозы;
заблаговременно разработать меры оперативного реагирования на каждый сценарий;
в ходе реагирования на атаку – прогнозировать возможные следующие действия нарушителя и оперативно противодействовать им.

При этом каждой технике из базы знаний ATT&CK соответствует некоторая угроза из БДУ ФСТЭК, что позволяет использовать БДУ как классификатор действий нарушителя и формализовывать сценарии в соответствии с требованиями нормативных документов ФСТЭК.

При этом следует учитывать, что база знаний ATT&CK имеет свои ограничения. Так, она содержит только примеры действий нарушителя, возможность выполнения которых подтверждена практикой или лабораторными исследованиями, и на ее основе невозможно в полном объеме смоделировать некоторые теоретически возможные угрозы, предусмотренные БДУ ФСТЭК. Таким образом, моделирование угроз на основе сценариев требует не только заимствования готовых знаний, но и самостоятельной оценки возможностей реализации перспективных угроз, особенно когда речь идет о применении мобильной связи, облачных технологий, Интернета вещей и т.п.

Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru

Другие материалы

Каждый из нас понимает очевидную вещь: перспективное планирование обеспечивает широкому кругу (специалистов) участие в формировании первоочередных требований..

Интернет-портал «Безопасность пользователей в сети Интернет»
admin@safe-surf.ru
https://safe-surf.ru

Источник

Дата: 20.09.2022.

Категории:
Блоги экспертов по информационной безопасности

Урок 2.2. Моделирование угроз. Актуальные угрозы

Добрый день коллеги! В прошлом уроке мы разобрали, как определить возможные угрозы. Это полдела. Теперь пришло время определить то, ради чего пишется модель угроз — угрозы актуальные. Предложу один из довольно простых способов.

Сценарии реализации угроз безопасности информации информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных в соответствии с настоящей Методикой, и применительно к объектам воздействия и видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.

Шаг 1. Привести табличное описание возможных техник и тактик для каждой категории нарушителя отдельно.

Пример. Техники и тактики для хакеров

N	Тактика	Основные техники
Т2	Получение первоначального доступа к компонентам систем и сетей	Т2.1. Использование внешних сервисов организации в сетях публичного доступа (Интернет)
Т2.7. Использование в системе внешних носителей информации, которые могли подключаться к другим системам и быть заражены вредоносным программным обеспечением. В том числе дарение, подмена или подлог носителей информации и внешних устройств, содержащих вредоносное программное обеспечение или предназначенных для реализации вредоносных функций.

Шаг 2. Примем допущение. Т.к. при наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для системы и сети и включается в модель угроз безопасности систем и сетей для обоснования выбора организационных и технических мер по защите информации (обеспечению безопасности), а также выбора средств защиты информации, то нам достаточно предложить для каждой возможной угрозы 1 сценарий. Если такой сценарий найти не можем, то принимаем, что сценария нет и угроза неактуальна.

Пример. Актуальные угрозы

Наименование УБИ	Сценарий	Актуальность угрозы
УБИ. 001. Угроза автоматического распространения вредоносного кода в грид-системе	Т 2.3; Т 3.4; Т 10.2	Актуальная

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

telegram: @KseniaShudrova

Источник — блог Ксении Шудровой «Защита персональных данных и не только — книга рецептов».

Источник

Для борьбы с разными типами внутренних
угроз информационной безопасности
используют различные технические
средства. Но только комплексное решение
поможет действительно решить проблему
защиты компьютерной инфраструктуры
предприятия.

Анализ [3-5] показывает, что в сфере
распространения средств ИБ среди
организаций за последний год не произошло
сколько-нибудь значительных изменений
(рис. 1.7).

Рис.
1.7. Средства обеспечения ИБ применяемые
организациями

Основными средствами, которые используют
современные компании для обеспечения
ИБ являются:

антивирусы (98,6%),
межсетевые экраны (73,9%),
средства контроля доступа (50,8%).

В качестве наиболее эффективных путей
защиты от утечек и решениях, которые
представляются организациям наиболее
адекватными и приемлемыми для решения
проблемы внутренней ИБ, но по ряду причин
не используемых респондентами на
практике респонденты назвали ряд мер
популярность которых изображена на
рис. 1.8.

Рис.
1.8. Наиболее эффективные средства
обеспечения ИБ

Как отмечено в исследованиях [2-5] наиболее
эффективным средством зашиты от угроз
ИБ являются комплексные информационные
продукты (44,8%). Далее следуют организационные
меры (25,3%), тренинги персонала (21,6%) и
ограничение связи с внешними сетями
(18,1%). При этом респонденты отметили, что
в соответствии с разработанными планами
обеспечения ИБ респонденты планирую у
себя внедрить ту или иную систему
обеспечения ИБ. Согласно распределению
ответов (рис. 1.9), девять из десяти (89,9%)
организаций планируют внедрить в
ближайшие три года ту или иную систему
защиту от утечек.

Рис.
1.9. Планы по внедрению систем защиты ИБ

Как видно из ответов респондентов
комплексные решения ИТ, а именно
комплексные системы мониторинга сетевых
ресурсов превалируют при выработке
решения о выборе средства обеспечения
ИБ, при этом они же являются наиболее
эффективными средствами обеспечения
ИБ (рис. 1.8).

Таким образом, российские компании
постепенно в полной мере осознают угрозы
и риски от халатного отношения к вопросам
информационной безопасности и начинают
проводить активную политику внедрения
комплексных средств ИБ с информационные
системы сопровождения бизнеса.

1.5. Сценарии реализации угроз информационной безопасности

Существует целый ряд сценариев, согласно
которым могут быть реализованы внутренние
угрозы. Каждый из этих сценариев учитывает
конкретную цель неправомерных действий
и технические средства ее достижения.

1.5.1. Разглашение конфиденциальной информации

Данный вид угроз подразумевает разглашение
информации, представляющей коммерческую
тайну, посредством отсылки ее по
электронной почте, через Интернет (чат,
форум и т. д.), с помощью средств обмена
мгновенными сообщениями, путем копирования
информации на переносные носители или
распечатки данных. Для обнаружения
факта разглашения конфиденциальной
информации разные компании предлагают
перехват почтового, внутрисетевого (на
уровне TCP/IP) и Web-трафика (протоколы HTTP,
FTP, IM и т. д.) с последующим анализом
различными методами фильтрации, в том
числе с помощью анализа контента.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

Источник

Урок 2.2. Моделирование угроз. Актуальные угрозы

25 сентября, 2022

Шаг 1. Привести табличное описание возможных техник и тактик для каждой категории нарушителя отдельно.

Пример. Техники и тактики для хакеров

N	Тактика	Основные техники
Т2	Получение первоначального доступа к компонентам систем и сетей	Т2.1. Использование внешних сервисов организации в сетях публичного доступа (Интернет)
Т2.7. Использование в системе внешних носителей информации, которые могли подключаться к другим системам и быть заражены вредоносным программным обеспечением. В том числе дарение, подмена или подлог носителей информации и внешних устройств, содержащих вредоносное программное обеспечение или предназначенных для реализации вредоносных функций.

Пример. Актуальные угрозы

Наименование УБИ	Сценарий	Актуальность угрозы
УБИ. 001. Угроза автоматического распространения вредоносного кода в грид-системе	Т 2.3; Т 3.4; Т 10.2	Актуальная

По вопросам сотрудничества и приобретения моих книг (электронных) обращайтесь:

telegram: @KseniaShudrova

Мир сходит с ума, но еще не поздно все исправить. Подпишись на канал SecLabnews и внеси свой вклад в предотвращение киберапокалипсиса!

Источник

Методический документ, определяющий методику оценки угроз безопасности информации, был подписан ФСТЭК России 5 февраля 2021г.

Давайте разберемся в изменениях, этапах проведения и других нюансах процесса оценки и моделирования угроз. Для удобства мы подготовили подробную Mindmap по моделирования угроз безопасности информации согласно новому методическому документу ФСТЭК.

Моделирование угроз безопасности информации — позволяет проводить упреждающую оценку, анализировать и определять приоритеты в работе по устранению угроз, обеспечивая эффективное распределение ресурсов.

Ключом к моделированию угроз является определение того, где следует прилагать наибольшие усилия для обеспечения безопасности системы. Эта переменная изменяется по мере того, как добавляются, удаляются или модернизируются информационные системы, приложения, а также изменяются пользовательские требования.

Моделирование угроз — это итеративный процесс, который состоит из определения активов предприятия, определения того, что каждая информационная система делает с этими активами, создания профиля безопасности для каждой ИС, определения потенциальных угроз, установления приоритетов. Моделирование угроз может помочь обеспечить соответствие защиты меняющимся угрозам. В противном случае новые угрозы могут оставаться незащищенными, оставляя системы и данные уязвимыми.

Что определяет методика оценки угроз безопасности информации?

Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях, информационно-телекоммуникационных инфраструктурах центров обработки данных и облачных инфраструктурах , а также по разработке моделей угроз безопасности информации систем и сетей.

Когда применяется методика?

Методика применяется для определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях, отнесенных к государственным и муниципальным информационным системам, информационным системам персональных данных, значимым объектам критической информационной инфраструктуры Российской Федерации, информационным системам управления производством, используемым организациями оборонно-промышленного комплекса автоматизированным системам управления производственными и технологическими процессами на критически важных объектах, потенциально опасных объекта, объектах, представляющих повышенную опасность для жизни и здоровья людей и окружающей природной среде.
В иных случаях решение о применении методики принимается обладателями или операторами систем и сетей.

По сути, данная методика необходима для большинства информационных систем и сетей.

Основные задачи оценки угроз безопасности информации:

• определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;
• инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;
• определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;
• оценка способов реализации (возникновения) угроз безопасности информации;
• оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;
• оценка сценариев реализации угроз безопасности информации в системах и сетях.

Ранее для определения потенциальных угроз безопасности информации использовались следующие методики:

• Методика определения актуальных угроз безопасности персональных данных при их обработке в информационных системах персональных данных (2008 года);
• Методика определения актуальных угроз безопасности информации в ключевых системах информационной инфраструктуры (2007 года).

Новая методика ФСТЭК по оценке угроз безопасности информации актуализирована и более универсальна.

Общая схема проведения моделирования угроз:

Этап 1. Определение негативных последствий от угроз безопасности информации.
— Анализ документации систем и сетей, и иных исходных данных;
— Определение негативных последствий от реализации угроз.

Этап 2. Определение объектов воздействия угроз безопасности информации.
— Анализ документации систем и сетей, и иных исходных данных;
— Инвентаризация систем и сетей;
— Определение групп информационных ресурсов и компонентов систем и сетей.

Этап 3. Оценка возможности реализации угроз и их актуальности.
— Определение источников угроз;
— Оценка способов реализации угроз;
— Оценка актуальности угроз.

1. Исходными данными для определения негативных последствий, объектов воздействия и источников угроз являются:
—

Банк данных угроз безопасности ФСТЭК;

— Модели угроз безопасности ФСТЭК;
— Отраслевые модели угроз;
— Нормативно-правовые акты;
— Результаты анализа рисков;
— Документация на системы и сети;
— Базы знаний (ATT&CK, OWASP, CAPEC и др.);
— Технологические, производственные карты или иные документы, содержащие описание основных бизнес-процессов;
— Договоры, соглашения или иные документы, содержащие условия использования информационно-телекоммуникационной инфраструктуры центра обработки данных или облачной инфраструктуры поставщика услуг.

2. На основе анализа исходных данных определяются событие или группа событий, наступление которых в результате реализации (возникновения) угроз безопасности информации может привести к:

— Нарушению прав граждан;
— Возникновению ущерба в области обеспечения обороны страны, безопасности государства и правопорядка, а также в социальной, экономической, политической, экологической сферах деятельности государства;
— Возникновению финансовых, производственных, репутационных или иных рисков (видов ущерба) для обладателя информации, оператора.

3. Далее должны быть определены информационные ресурсы и компоненты систем и сетей, несанкционированный доступ к которым или воздействие на которые в ходе реализации (возникновения) угроз безопасности информации может привести к негативным последствиям – объекты воздействия:

— информация (данные), содержащаяся в системах и сетях (в том числе защищаемая информация, персональные данные, информация о конфигурации систем и сетей, данные телеметрии, сведения о событиях безопасности и др.)
— программно-аппаратные средства обработки и хранения информации (в том числе автоматизированные рабочие места, серверы, включая промышленные, средства отображения информации, программируемые логические контроллеры, производственное, технологическое оборудование (исполнительные устройства));
— программные средства (в том числе системное и прикладное программное обеспечение, включая серверы приложений, веб-приложений, системы управления базами данных, системы виртуализации);
— машинные носители информации, содержащие как защищаемую информацию, так и аутентификационную информацию;
— телекоммуникационное оборудование (в том числе программное обеспечение для управления телекоммуникационным оборудованием);
— средства защиты информации (в том числе программное обеспечение для централизованного администрирования средств защиты информации);
— привилегированные и непривилегированные пользователи систем и сетей, а также интерфейсы взаимодействия с ними;
— обеспечивающие системы.

Совокупность объектов воздействия и их интерфейсов определяет границы процесса оценки угроз безопасности информации и разработки модели угроз безопасности информации.

К основным информационным ресурсам и компонентам систем и сетей могут относиться системы хранения данных (базы данных), системы управления базами данных, веб-сайт, почтовый сервер, почтовый клиент, автоматизированное рабочее место пользователя, система управления и администрирования, контроллер домена, сетевые службы, проводные и беспроводные каналы передачи данных, телекоммуникационное оборудование и т.д.

4. Для определенных информационных ресурсов и компонентов систем и сетей должны быть определены виды воздействия на них, которые могут привести к негативным последствиям. Основными видами таких воздействий являются:

— утечка (перехват) конфиденциальной информации или отдельных данных (нарушение конфиденциальности)
— несанкционированный доступ к компонентам, защищаемой информации, системным, конфигурационным, иным служебным данным;
— отказ в обслуживании компонентов (нарушение доступности);
— несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных (нарушение целостности);
— несанкционированное использование вычислительных ресурсов систем и сетей в интересах решения несвойственных им задач;
— нарушение функционирования (работоспособности) программно- аппаратных средств обработки, передачи и хранения информации.

5. На основе анализа исходных данных, а также результатов оценки возможных целей реализации нарушителями угроз безопасности информации определяются виды нарушителей, актуальных для систем и сетей.

Основными видами нарушителей, подлежащих оценке, являются:
— специальные службы иностранных государств;
— террористические, экстремистские группировки;
— преступные группы (криминальные структуры);
— отдельные физические лица (хакеры);
— конкурирующие организации;
— разработчики программных, программно-аппаратных средств;
— лица, обеспечивающие поставку программных, программно-аппаратных средств, обеспечивающих систем;
— поставщики услуг связи, вычислительных услуг;
— лица, привлекаемые для установки, настройки, испытаний, пусконаладочных и иных видов работ;
— лица, обеспечивающие функционирование систем и сетей или обеспечивающих систем оператора (администрация, охрана, уборщики и др.); авторизованные пользователи систем и сетей;
— системные администраторы и администраторы безопасности;
— бывшие (уволенные) работники (пользователи).

Указанные виды нарушителей могут быть дополнены иными нарушителями с учетом особенностей области деятельности, в которой функционируют системы и сети. Для одной системы и сети актуальными могут являться нарушители нескольких видов.Нарушители признаются актуальными для систем и сетей, когда возможные цели реализации ими угроз безопасности информации могут привести к определенным для систем и сетей негативным последствиям и соответствующим рискам (видам ущерба).

Нарушители имеют разные уровни компетентности, оснащенности ресурсами и мотивации для реализации угроз безопасности информации. Совокупность данных характеристик определяет уровень возможностей нарушителей по реализации угроз безопасности информации.
В зависимости от уровня возможностей нарушители подразделяются на нарушителей, обладающих:
— базовыми возможностями по реализации угроз безопасности информации (Н1);
— базовыми повышенными возможностями по реализации угроз безопасности информации (Н2);
— средними возможностями по реализации угроз безопасности информации (Н3);
— высокими возможностями по реализации угроз безопасности информации (Н4).
Для одной системы или сети актуальными могут являться нарушители, имеющие разные уровни возможностей.

По результатам определения источников угроз безопасности информации должны быть определены:

а) виды актуальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности;

б) категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы.

6. На основе анализа исходных данных, а также возможностей нарушителей определяются способы реализации (возникновения) угроз безопасности информации, актуальные для систем и сетей.

Основными способами реализации (возникновения) угроз безопасности информации являются:
— использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей);
— внедрение вредоносного программного обеспечения;
— использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств;
— установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства;
— формирование и использование скрытых каналов (по времени, по памяти) для передачи конфиденциальных данных;
— перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
— инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;
— нарушение безопасности при поставках программных, программно- аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию);
— ошибочные действия в ходе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно-аппаратных средств.

Условием, позволяющим нарушителям использовать способы реализации угроз безопасности информации, является наличие у них возможности доступа к следующим типам интерфейсов объектов воздействия:
— внешние сетевые интерфейсы, обеспечивающие взаимодействие с сетью «Интернет», смежными (взаимодействующими) системами или сетями (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);
— внутренние сетевые интерфейсы, обеспечивающие взаимодействие (в том числе через промежуточные компоненты) с компонентами систем и сетей, имеющими внешние сетевые интерфейсы (проводные, беспроводные);
— интерфейсы для пользователей (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);
— интерфейсы для использования съемных машинных носителей информации и периферийного оборудования;
— интерфейсы для установки, настройки, испытаний, пусконаладочных работ (в том числе администрирования, управления, обслуживания) обеспечения функционирования компонентов систем и сетей;
— возможность доступа к поставляемым или находящимся на обслуживании, ремонте в сторонних организациях компонентам систем и сетей.

По результатам оценки возможных способов реализации угроз безопасности информации должны быть определены:

а) виды и категории нарушителей, которые имеют возможность использования актуальных способов;

б) актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.

7. На основе анализа исходных данных определяются возможные для систем и сетей угрозы безопасности информации, к которым относятся осуществляемые нарушителем воздействия на информационные ресурсы и компоненты систем и сетей (объекты воздействия), в результате которых возможно нарушение безопасности информации и (или) нарушение или прекращение функционирования систем и сетей.

Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.

На этапе создания систем и сетей должен быть определен хотя бы один сценарий каждого способа реализации возможной угрозы безопасности информации. Сценарий определяется для каждого актуального нарушителя и их уровней возможностей.

На этапе эксплуатации определение сценариев реализации угрозы включает:
— анализ исходных данных на систему или сеть, предусматривающий в том числе анализ документации, модели угроз безопасности информации, применяемых средств защиты информации, и определение планируемых к применению автоматизированных средств;
— проведение инвентаризации информационных систем и сетей и определение объектов воздействия и их интерфейсов;
— определение внешних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации;
— определение внутренних интерфейсов, которые могут быть задействованы при реализации угроз безопасности информации;
— выявление уязвимостей объектов воздействия, а также компонентов систем и сетей, имеющих внешние интерфейсы, с которыми посредством внутренних интерфейсов взаимодействуют объекты воздействия;
— проведение тестирования на проникновение, подтверждающего возможность использования выявленных уязвимостей или выявления новых сценариев реализации угрозы безопасности информации;
— поиск последовательности тактик и техник, применение которых может привести к реализации угрозы безопасности информации, исходя из уровня возможностей актуальных нарушителей, а также результатов инвентаризации, анализа уязвимостей и тестирования на проникновение;
— составление сценариев реализации угрозы безопасности информации применительно к объектам и видам воздействия, а также способам реализации угроз безопасности информации.

Источник

Разбираемся в новой методике ФСТЭК в части анализа действующей БДУ ФСТЭК на предмет сценариев реализации угроз безопасности информации

05.02.2021 ФСТЭК выпустил новую методику оценки угроз «Методический документ. Методика оценки угроз безопасности информации» ( ссылка ) данная методика предполагает помимо прочего определение сценариев реализации угроз безопасности информации. В данном случае ФСТЭК использовал международный опыт в частности модели MITRE ATT&CK® .

Интересно было взять матрицу сценариев от MITRE ATT&CK®(Matrix for Enterprise) и попробовать разложить угрозы БДУ ФСТЭК в приведенные в матрице тактические задачи (назовем их так). Почти все угрозы удалось разложить по тактическим задачам упоминаемым в матрице. Всего в матрице 14 тактических задач злоумышленника при атаке на организацию, в моём вольном переводе это следующие тактические задачи:

Рекогносцировка
Разработка ресурсов
Первоначальный доступ
Внедрение и исполнение вредоносного кода
Закрепление
Повышение привилегий
Обход защиты
Получения учетных данных
Развертывание
Боковое перемещение
Сбор данных
Управление и контроль
Эксфильтрация
Воздействие

Угрозы ФСТЭК могут осуществляться на различных этапах реализации атаки. Поэтому одна угроза ФСТЭК могла быть использована для реализации различных тактических задач. Некоторые угрозы напрямую не относятся к данным задачам и не были классифицированы.

Рекогносцировка	Первоначальный доступ	Разработка ресурсов	Внедрение и исполнение вредоносного кода	Закрепление	Повышение привилегий	Обход защиты
Угроза получения предварительной информации об объекте защиты Угроза определения типов объектов защиты Угроза обнаружения хостов Угроза обнаружения открытых портов и идентификации привязанных к ним сетевых служб	Угроза «форсированного веб-браузинга» Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL Угроза получения сведений о владельце беспроводного устройства Угроза подмены субъекта сетевого доступа Угроза некорректного использования функционала программного и аппаратного обеспечения Угроза межсайтовой подделки запроса Угроза межсайтового скриптинга Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг Угроза заражения DNS-кеша Угроза внедрения вредоносного кода через рекламу, сервисы и контент Угроза «фишинга» Угроза «фарминга»	Угроза программного сброса пароля BIOS Угроза преодоления физической защиты Угроза подмены доверенного пользователя Угроза подключения к беспроводной сети в обход процедуры аутентификации Угроза подбора пароля BIOS Угроза несанкционированного использования привилегированных функций BIOS Угроза несанкционированного доступа к системе по беспроводным каналам Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением Угроза незащищённого администрирования облачных услуг Угроза исчерпания запаса ключей, необходимых для обновления BIOS Угроза использования слабых криптографических алгоритмов BIOS Угроза использования информации идентификации/аутентификации, заданной по умолчанию Угроза загрузки нештатной операционной системы Угроза доступа/перехвата/изменения HTTP cookies Угроза восстановления предыдущей уязвимой версии BIOS Угроза аппаратного сброса пароля BIOS Угроза получения несанкционированного доступа к приложениям, установленным на Smart-картах Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации Угроза перехвата управления информационной системой Угроза использования уязвимых версий программного обеспечения Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет Угроза несанкционированного воздействия на средство защиты информации Угроза наличия механизмов разработчика Угроза «кражи» учётной записи доступа к сетевым сервисам	Угроза автоматического распространения вредоносного кода в грид-системе Угроза установки уязвимых версий обновления программного обеспечения BIOS Угроза сбоя обработки специальным образом изменённых файлов Угроза пропуска проверки целостности программного обеспечения Угроза подмены резервной копии программного обеспечения BIOS Угроза несанкционированного управления указателями Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS Угроза непрерывной модернизации облачной инфраструктуры Угроза нарушения изоляции пользовательских данных внутри виртуальной машины Угроза межсайтовой подделки запроса Угроза межсайтового скриптинга Угроза использования поддельных цифровых подписей BIOS Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами Угроза искажения вводимой и выводимой на периферийные устройства информации Угроза избыточного выделения оперативной памяти Угроза деструктивного использования декларированного функционала BIOS Угроза выхода процесса за пределы виртуальной машины Угроза внедрения кода или данных Угроза внедрения вредоносного кода в BIOS Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации Угроза обхода многофакторной аутентификации Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров Угроза несанкционированной установки приложений на мобильные устройства Угроза скрытной регистрации вредоносной программой учетных записей администраторов Угроза контроля вредоносной программой списка приложений, запущенных на мобильном устройстве Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы Угроза внедрения вредоносного кода в дистрибутив программного обеспечения Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет Угроза подмены программного обеспечения Угроза распространения «почтовых червей» Угроза скрытного включения вычислительного устройства в состав бот-сети Угроза неправомерного шифрования информации Угроза заражения компьютера при посещении неблагонадёжных сайтов Угроза эксплуатации цифровой подписи программного кода Угроза использования скомпрометированного доверенного источника обновлений программного обеспеченияУгроза автоматического распространения вредоносного кода в грид-системе Угроза установки уязвимых версий обновления программного обеспечения BIOS Угроза сбоя обработки специальным образом изменённых файлов Угроза пропуска проверки целостности программного обеспечения Угроза подмены резервной копии программного обеспечения BIOS Угроза несанкционированного управления указателями Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к данным за пределами зарезервированного адресного пространства, в том числе выделенного под виртуальное аппаратное обеспечение Угроза несанкционированного доступа к активному и (или) пассивному виртуальному и (или) физическому сетевому оборудованию из физической и (или) виртуальной сети Угроза несанкционированного выключения или обхода механизма защиты от записи в BIOS Угроза непрерывной модернизации облачной инфраструктуры Угроза нарушения изоляции пользовательских данных внутри виртуальной машины Угроза межсайтовой подделки запроса Угроза межсайтового скриптинга Угроза использования поддельных цифровых подписей BIOS Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами Угроза искажения вводимой и выводимой на периферийные устройства информации Угроза избыточного выделения оперативной памяти Угроза деструктивного использования декларированного функционала BIOS Угроза выхода процесса за пределы виртуальной машины Угроза внедрения кода или данных Угроза внедрения вредоносного кода в BIOS Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации Угроза обхода многофакторной аутентификации Угроза нецелевого использования вычислительных ресурсов средства вычислительной техники Угроза несанкционированного изменения вредоносной программой значений параметров программируемых логических контроллеров Угроза несанкционированной установки приложений на мобильные устройства Угроза скрытной регистрации вредоносной программой учетных записей администраторов Угроза контроля вредоносной программой списка приложений, запущенных на мобильном устройстве Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы Угроза внедрения вредоносного кода в дистрибутив программного обеспечения Угроза внедрения вредоносного кода за счет посещения зараженных сайтов в сети Интернет Угроза подмены программного обеспечения Угроза распространения «почтовых червей» Угроза скрытного включения вычислительного устройства в состав бот-сети Угроза неправомерного шифрования информации Угроза заражения компьютера при посещении неблагонадёжных сайтов Угроза эксплуатации цифровой подписи программного кода Угроза использования скомпрометированного доверенного источника обновлений программного обеспечения	Угроза несанкционированного создания учётной записи пользователя Угроза несанкционированного редактирования реестра Угроза исследования механизмов работы программы Угроза несанкционированной установки приложений на мобильные устройства Угроза скрытной регистрации вредоносной программой учетных записей администраторов Угроза использования уязвимых версий программного обеспечения Угроза маскирования действий вредоносного кода Угроза эксплуатации цифровой подписи программного кода	Угроза удаления аутентификационной информации Угроза повышения привилегий Угроза перехвата управления средой виртуализации Угроза перехвата управления гипервизором Угроза перехвата привилегированного процесса Угроза перехвата привилегированного потока Угроза перебора всех настроек и параметров приложения Угроза ошибки обновления гипервизора Угроза обхода некорректно настроенных механизмов аутентификации Угроза несогласованности правил доступа к большим данным Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам Угроза несанкционированного редактирования реестра Угроза несанкционированного изменения аутентификационной информации Угроза незащищённого администрирования облачных услуг Угроза невозможности управления правами пользователей BIOS Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия Угроза использования механизмов авторизации для повышения привилегий Угроза воздействия на программы с высокими привилегиями Угроза скрытной регистрации вредоносной программой учетных записей администраторов Угроза несанкционированного использования привилегированных функций мобильного устройства Угроза перехвата исключения/сигнала из привилегированного блока функций	Угроза подделки записей журнала регистрации событий Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники Угроза передачи данных по скрытым каналам Угроза отключения контрольных датчиков Угроза использования альтернативных путей доступа к ресурсам Угроза анализа криптографических алгоритмов и их реализации Угроза утечки информации с неподключенных к сети Интернет компьютеров Угроза удаленного запуска вредоносного кода в обход механизмов защиты операционной системы Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика Угроза несанкционированного изменения параметров настройки средств защиты информации Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта Угроза подмены модели машинного обучения

Продолжение таблицы …

Получения учетных данных	Развертывание	Боковое перемещение	Сбор данных	Управление и контроль	Эксфильтрация	Воздействие
Угроза удаления аутентификационной информации Угроза сбоя автоматического управления системой разграничения доступа хранилища больших данных Угроза подмены субъекта сетевого доступа Угроза подмены беспроводного клиента или точки доступа Угроза несанкционированного изменения аутентификационной информации Угроза несанкционированного доступа к аутентификационной информации Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера Угроза доступа/перехвата/изменения HTTP cookies Угроза восстановления и/или повторного использования аутентификационной информации Угроза хищения аутентификационной информации из временных файлов cookie Угроза перехвата одноразовых паролей в режиме реального времени	Угроза «форсированного веб-браузинга» Угроза нарушения целостности данных кеша Угроза использования уязвимых версий программного обеспечения	Угроза автоматического распространения вредоносного кода в грид-системе Угроза сканирования веб-сервисов, разработанных на основе языка описания WSDL Угроза распространения несанкционированно повышенных прав на всю грид-систему Угроза определения топологии вычислительной сети Угроза обнаружения хостов Угроза обнаружения открытых портов и идентификации привязанных к ним сетевых служб Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением Угроза нарушения изоляции среды исполнения BIOS Угроза исследования приложения через отчёты об ошибках Угроза исследования механизмов работы программы Угроза использования информации идентификации/аутентификации, заданной по умолчанию Угроза заражения DNS-кеша Угроза доступа/перехвата/изменения HTTP cookies Угроза несвоевременного выявления и реагирования компонентами информационной (автоматизированной) системы (в том числе средствами защиты информации) на события безопасности информации Угроза перехвата управления информационной системой Угроза использования уязвимых версий программного обеспечения Угроза перехвата управления автоматизированной системой управления технологическими процессами Угроза несанкционированного использования системных и сетевых утилит Угроза наличия механизмов разработчика Угроза использования скомпрометированного доверенного источника обновлений программного обеспечения	Угроза прямого обращения к памяти вычислительного поля суперкомпьютера Угроза перехвата данных, передаваемых по вычислительной сети Угроза перехвата вводимой и выводимой на периферийные устройства информации Угроза общедоступности облачной инфраструктуры Угроза несанкционированного управления синхронизацией и состоянием Угроза несанкционированного управления буфером Угроза несанкционированного доступа к хранимой в виртуальном пространстве защищаемой информации Угроза несанкционированного доступа к сегментам вычислительного поля Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети Угроза несанкционированного доступа к виртуальным каналам передачи Угроза несанкционированного восстановления удалённой защищаемой информации Угроза неправомерных действий в каналах связи Угроза неправомерного ознакомления с защищаемой информацией Угроза некорректного использования прозрачного прокси-сервера за счёт плагинов браузера Угроза неконтролируемого копирования данных внутри хранилища больших данных Угроза недобросовестного исполнения обязательств поставщиками облачных услуг Угроза исследования приложения через отчёты об ошибках Угроза исследования механизмов работы программы Угроза использования слабостей протоколов сетевого/локального обмена данными Угроза изменения компонентов информационной (автоматизированной) системы Угроза доступа к локальным файлам сервера при помощи URL Угроза доступа к защищаемым файлам с использованием обходного пути Угроза агрегирования данных, передаваемых в грид-системе Угроза получения несанкционированного доступа к приложениям, установленным на Smart-картах Угроза перехвата управления информационной системой Угроза несанкционированного доступа к защищаемой памяти ядра процессора Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере Угроза хищения информации с мобильного устройства при использовании виртуальных голосовых ассистентов Угроза агрегирования данных, обрабатываемых с помощью мобильного устройства Угроза «кражи» учётной записи доступа к сетевым сервисам Угроза перехвата исключения/сигнала из привилегированного блока функций Угроза раскрытия информации о модели машинного обучения Угроза хищения обучающих данных	Угроза передачи данных по скрытым каналам Угроза несанкционированного удалённого внеполосного доступа к аппаратным средствам Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети Угроза использования альтернативных путей доступа к ресурсам Угроза утечки информации с неподключенных к сети Интернет компьютеров Угроза перехвата управления мобильного устройства при использовании виртуальных голосовых ассистентов Угроза перехвата управления автоматизированной системой управления технологическими процессами	Угроза хищения средств хранения, обработки и (или) ввода/вывода/передачи информации Угроза передачи данных по скрытым каналам Угроза несанкционированного копирования защищаемой информации Угроза использования альтернативных путей доступа к ресурсам Угроза утечки информации с неподключенных к сети Интернет компьютеров Угроза утечки пользовательских данных при использовании функций автоматического заполнения аутентификационной информации в браузере Угроза хищения информации с мобильного устройства при использовании виртуальных голосовых ассистентов Угроза утечки информации за счет применения вредоносным программным обеспечением алгоритмов шифрования трафика Угроза агрегирования данных, обрабатываемых с помощью мобильного устройства Угроза «кражи» учётной записи доступа к сетевым сервисам	Угроза усиления воздействия на вычислительные ресурсы пользователей при помощи сторонних серверов Угроза чрезмерного использования вычислительных ресурсов суперкомпьютера в ходе интенсивного обмена межпроцессорными сообщениями Угроза форматирования носителей информации Угроза физического выведения из строя средств хранения, обработки и (или) ввода/вывода/передачи информации Угроза утраты носителей информации Угроза утраты вычислительных ресурсов Угроза удаления аутентификационной информации Угроза сбоя процесса обновления BIOS Угроза сбоя обработки специальным образом изменённых файлов Угроза приостановки оказания облачных услуг вследствие технических сбоев Угроза привязки к поставщику облачных услуг Угроза приведения системы в состояние «отказ в обслуживании» Угроза повреждения системного реестра Угроза переполнения целочисленных переменных Угроза перезагрузки аппаратных и программно-аппаратных средств вычислительной техники Угроза передачи запрещённых команд на оборудование с числовым программным управлением Угроза перегрузки грид-системы вычислительными заданиями Угроза перебора всех настроек и параметров приложения Угроза ошибки обновления гипервизора Угроза отказа в обслуживании системой хранения данных суперкомпьютера Угроза отказа в загрузке входных данных неизвестного формата хранилищем больших данных Угроза опосредованного управления группой программ через совместно используемые данные Угроза несогласованности политик безопасности элементов облачной инфраструктуры Угроза несанкционированного управления указателями Угроза несанкционированного управления синхронизацией и состоянием Угроза несанкционированного управления буфером Угроза несанкционированного удаления защищаемой информации Угроза несанкционированного редактирования реестра Угроза несанкционированного использования привилегированных функций BIOS Угроза несанкционированного доступа к системе хранения данных из виртуальной и (или) физической сети Угроза несанкционированного доступа к сегментам вычислительного поля Угроза несанкционированного доступа к локальному компьютеру через клиента грид-системы Угроза несанкционированного доступа к защищаемым виртуальным устройствам из виртуальной и (или) физической сети Угроза несанкционированного доступа к защищаемым виртуальным машинам со стороны других виртуальных машин Угроза несанкционированного доступа к защищаемым виртуальным машинам из виртуальной и (или) физической сети Угроза несанкционированного доступа к гипервизору из виртуальной машины и (или) физической сети Угроза неправомерных действий в каналах связи Угроза неправомерного/некорректного использования интерфейса взаимодействия с приложением Угроза некорректного использования функционала программного и аппаратного обеспечения Угроза некорректного задания структуры данных транзакции Угроза неконтролируемого уничтожения информации хранилищем больших данных Угроза неконтролируемого роста числа зарезервированных вычислительных ресурсов Угроза неконтролируемого роста числа виртуальных машин Угроза незащищённого администрирования облачных услуг Угроза недобросовестного исполнения обязательств поставщиками облачных услуг Угроза невозможности восстановления сессии работы на ПЭВМ при выводе из промежуточных состояний питания Угроза неверного определения формата входных данных, поступающих в хранилище больших данных Угроза нарушения целостности данных кеша Угроза нарушения технологии обработки информации путём несанкционированного внесения изменений в образы виртуальных машин Угроза нарушения работоспособности грид-системы при нетипичной сетевой нагрузке Угроза нарушения процедуры аутентификации субъектов виртуального информационного взаимодействия Угроза нарушения изоляции среды исполнения BIOS Угроза нарушения доступности облачного сервера Угроза исчерпания вычислительных ресурсов хранилища больших данных Угроза использования слабостей протоколов сетевого/локального обмена данными Угроза использования слабостей кодирования входных данных Угроза использования вычислительных ресурсов суперкомпьютера «паразитными» процессами Угроза искажения XML-схемы Угроза изменения системных и глобальных переменных Угроза изменения режимов работы аппаратных элементов компьютера Угроза изменения компонентов информационной (автоматизированной) системы Угроза злоупотребления доверием потребителей облачных услуг Угроза злоупотребления возможностями, предоставленными потребителям облачных услуг Угроза длительного удержания вычислительных ресурсов пользователями Угроза деструктивного изменения конфигурации/среды окружения программ Угроза деавторизации санкционированного клиента беспроводной сети Угроза получения несанкционированного доступа к приложениям, установленным на Smart-картах Угроза несанкционированного доступа к системе при помощи сторонних сервисов Угроза перехвата управления информационной системой Угроза использования непроверенных пользовательских данных при формировании конфигурационного файла, используемого программным обеспечением администрирования информационных систем Угроза нарушения работы информационной системы, вызванного обновлением используемого в ней программного обеспечения Угроза несанкционированного доступа к параметрам настройки оборудования за счет использования «мастер-кодов» (инженерных паролей) Угроза отказа в работе оборудования из-за изменения геолокационной информации о нем Угроза нарушения работы компьютера и блокирования доступа к его данным из-за некорректной работы установленных на нем средств защиты Угроза использования уязвимых версий программного обеспечения Угроза несанкционированного воздействия на средство защиты информации Угроза перехвата управления автоматизированной системой управления технологическими процессами Угроза физического устаревания аппаратных компонентов Угроза отказа подсистемы обеспечения температурного режима Угроза несанкционированной модификации защищаемой информации Угроза несанкционированного использования системных и сетевых утилит Угроза неподтверждённого ввода данных оператором в систему, связанную с безопасностью Угроза нарушения технологического/производственного процесса из-за временны́х задержек, вносимых средством защиты Угроза «спама» веб-сервера Угроза неправомерного шифрования информации Угроза наличия механизмов разработчика Угроза внедрения системной избыточности Угроза включения в проект не достоверно испытанных компонентов Угроза распространения состояния «отказ в обслуживании» в облачной инфраструктуре Угроза нарушения функционирования («обхода») средств, реализующих технологии искусственного интеллекта Угроза модификации модели машинного обучения путем искажения («отравления») обучающих данных Угроза подмены модели машинного обучения

Такой подход позволит сформулировать сценарии реализации угроз из БДУ ФСТЭК при атаке на объекты воздействия. Попытка же сформулировать для каждой актуальной угрозы из БДУ ФСТЭК техник реализации данных угроз (как предполагает Методика ФСТЭК) является очень трудоёмкой и малоэффективной задачей.

В методике ФСТЭК принят следующий подход к определению актуальных угроз безопасности информации:

5.3.4. Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации. Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных в соответствии с настоящей Методикой, и применительно к объектам воздействияи видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующимуровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации. Перечень основных тактик (тактических задач) и соответствующих им типовых техник, используемых для построения сценариев реализации угроз безопасности информации, приведен в приложении 11 к настоящей Методике.

Посмотрим как ФСТЭК будет развивать свой подход и предложит ли он сформулированные техники реализации для всех угроз из БДУ ФСТЭК.

upd На праздниках развернул сервер с альтернативной формой БДУ ФСТЭК. Доступно по адресу реорганизованная БД ФСТЭК .

Источник