Модель угроз
Модель угроз — это формализованное описание текущих или потенциальных угроз безопасности информационной системы, актива или организации, составленное с учётом вероятных нарушителей, их целей, возможностей и используемых уязвимостей. Модель угроз служит основой для выбора и обоснования мер защиты, определения требований к безопасности и оценки рисков. Она является ключевым элементом методологий управления информационной безопасностью, таких как анализ рисков, разработка политик безопасности и аудит.
Цели и задачи построения модели угроз
Основная цель создания модели угроз — систематизация знаний о возможных атаках и уязвимостях для выработки эффективной стратегии защиты. Конкретные задачи включают:
- Идентификация активов: определение того, что именно подлежит защите (данные, оборудование, программное обеспечение, репутация, бизнес-процессы).
- Выявление угроз: перечисление всех возможных событий или действий, способных нанести ущерб активам.
- Определение нарушителей: описание потенциальных злоумышленников (внешние хакеры, инсайдеры, конкуренты, государственные структуры), их мотивации, ресурсов и уровня доступа.
- Анализ уязвимостей: выявление слабых мест в системе, которые могут быть использованы для реализации угроз.
- Оценка рисков: определение вероятности реализации угрозы и величины возможного ущерба.
- Приоритизация мер защиты: ранжирование угроз по степени опасности и выбор наиболее критичных для нейтрализации.
Классификация моделей угроз
Модели угроз классифицируются по различным признакам, в зависимости от подхода к построению и области применения.
По уровню абстракции
- Концептуальные модели: описывают угрозы на высоком уровне, без детализации технических деталей. Используются для стратегического планирования и обучения персонала.
- Логические модели: детализируют угрозы в терминах архитектуры системы, потоков данных и взаимодействия компонентов. Применяются при проектировании систем.
- Физические модели: учитывают конкретные технические характеристики оборудования, топологию сети, версии программного обеспечения. Используются для настройки средств защиты.
По методологии построения
- Модели на основе сценариев: описывают последовательность действий злоумышленника (например, атака на веб-приложение через SQL-инъекцию).
- Модели на основе активов: фокусируются на защите конкретных ресурсов (например, базы данных клиентов).
- Модели на основе нарушителей: строятся вокруг профиля потенциального злоумышленника (например, модель угроз от внутреннего нарушителя с административными привилегиями).
- Модели на основе уязвимостей: перечисляют известные уязвимости (CVE) и оценивают возможность их эксплуатации.
По масштабу
- Модели угроз для организации: охватывают всю информационную инфраструктуру предприятия, включая сети, серверы, рабочие станции, мобильные устройства и персонал.
- Модели угроз для системы: фокусируются на конкретной информационной системе (например, ERP-система, CRM, система управления базами данных).
- Модели угроз для приложения: детализируют угрозы для конкретного программного продукта (веб-сайт, мобильное приложение, десктопное приложение).
Основные методологии и стандарты
Существует несколько общепринятых методологий и стандартов, регламентирующих процесс построения модели угроз.
STRIDE
Методология STRIDE, разработанная корпорацией Microsoft, классифицирует угрозы по шести категориям:
- Spoofing (подмена): выдача себя за другого пользователя или систему.
- Tampering (вмешательство): несанкционированное изменение данных или кода.
- Repudiation (отказ): возможность отрицания совершённого действия.
- Information Disclosure (разглашение): несанкционированный доступ к конфиденциальной информации.
- Denial of Service (отказ в обслуживании): нарушение доступности системы.
- Elevation of Privilege (повышение привилегий): получение несанкционированных прав доступа.
STRIDE применяется для анализа угроз на уровне архитектуры системы и часто используется в паре с диаграммами потоков данных (DFD).
PASTA
Методология PASTA (Process for Attack Simulation and Threat Analysis) — это семиэтапный процесс, ориентированный на атаки. Он включает:
- Определение целей.
- Определение технического объёма.
- Декомпозиция приложения.
- Анализ угроз.
- Анализ уязвимостей.
- Моделирование атак.
- Анализ рисков и управление.
PASTA более формализована и требует глубокого технического анализа, чем STRIDE.
OCTAVE
Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) разработана Университетом Карнеги-Меллона и ориентирована на оценку рисков на уровне организации. Она включает три фазы:
- Построение профилей угроз на основе активов.
- Идентификация уязвимостей инфраструктуры.
- Разработка стратегии безопасности.
OCTAVE делает акцент на вовлечении бизнес-подразделений и не требует глубоких технических знаний на начальных этапах.
NIST SP 800-30
Стандарт Национального института стандартов и технологий США (NIST) SP 800-30 «Руководство по проведению оценки рисков» описывает процесс идентификации угроз, уязвимостей и оценки рисков. Он является одним из наиболее распространённых в государственных и коммерческих структурах.
ГОСТ Р 56545-2015
В Российской Федерации действует национальный стандарт ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей», который регламентирует форматы описания уязвимостей, но не является полноценной методологией построения модели угроз. Более комплексным является ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», который задаёт понятийный аппарат.
Процесс построения модели угроз
Построение модели угроз — итеративный процесс, который обычно включает следующие этапы:
- Определение границ анализа: устанавливается, что входит в модель (система, приложение, организация) и что исключается.
- Сбор информации: изучается архитектура системы, документация, бизнес-процессы, требования к безопасности.
- Декомпозиция системы: система разбивается на компоненты, определяются потоки данных, точки входа и доверенные границы.
- Идентификация угроз: с использованием выбранной методологии (STRIDE, PASTA и др.) перечисляются все возможные угрозы для каждого компонента.
- Оценка угроз: каждой угрозе присваивается уровень критичности на основе вероятности и потенциального ущерба.
- Разработка контрмер: для каждой критичной угрозы предлагаются меры защиты (технические, организационные, правовые).
- Документирование: результаты фиксируются в виде отчёта, диаграмм, таблиц.
- Актуализация: модель угроз регулярно пересматривается и обновляется с учётом изменений в системе, появления новых угроз и уязвимостей.
Примеры применения
- Разработка программного обеспечения: модель угроз используется на этапе проектирования для выявления уязвимостей до написания кода. Например, при разработке веб-приложения модель угроз STRIDE может выявить риск SQL-инъекций, что приведёт к использованию параметризованных запросов.
- Управление корпоративной сетью: модель угроз помогает определить, какие устройства и каналы связи наиболее уязвимы для атак, и расставить приоритеты при обновлении ПО и настройке межсетевых экранов.
- Аудит безопасности: при проведении аудита модель угроз служит референсным документом для проверки соответствия системы заявленным требованиям.
- Обучение персонала: модель угроз используется для обучения сотрудников основам информационной безопасности, демонстрируя реальные сценарии атак.
Критика и ограничения
Модель угроз не является панацеей и имеет ряд ограничений:
- Субъективность: результаты моделирования сильно зависят от квалификации и опыта специалиста, проводящего анализ.
- Неполнота: невозможно предсказать все возможные угрозы, особенно новые, ранее неизвестные (zero-day).
- Статичность: модель угроз, составленная в определённый момент времени, быстро устаревает при изменении системы или появлении новых уязвимостей.
- Сложность: для крупных и распределённых систем построение полной модели угроз может быть чрезвычайно трудоёмким и ресурсоёмким процессом.
- Игнорирование человеческого фактора: многие модели угроз слабо учитывают социальную инженерию и ошибки персонала, которые являются одними из наиболее частых причин инцидентов.
Источники
- ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».
- ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей».
- Методика оценки угроз безопасности информации (ФСТЭК России, 2021).
- Microsoft Threat Modeling Tool (STRIDE).
- NIST Special Publication 800-30 Rev. 1 «Guide for Conducting Risk Assessments».
- OCTAVE Method (Carnegie Mellon University).
- PASTA: Process for Attack Simulation and Threat Analysis (VerSprite).
BFOmetr — база данных и аналитика по компаниям России.
На главную BFOmetr →