Открыть сервис

Модель угроз

Модель угроз — это формализованное описание текущих или потенциальных угроз безопасности информационной системы, актива или организации, составленное с учётом вероятных нарушителей, их целей, возможностей и используемых уязвимостей. Модель угроз служит основой для выбора и обоснования мер защиты, определения требований к безопасности и оценки рисков. Она является ключевым элементом методологий управления информационной безопасностью, таких как анализ рисков, разработка политик безопасности и аудит.

Цели и задачи построения модели угроз

Основная цель создания модели угроз — систематизация знаний о возможных атаках и уязвимостях для выработки эффективной стратегии защиты. Конкретные задачи включают:

  • Идентификация активов: определение того, что именно подлежит защите (данные, оборудование, программное обеспечение, репутация, бизнес-процессы).
  • Выявление угроз: перечисление всех возможных событий или действий, способных нанести ущерб активам.
  • Определение нарушителей: описание потенциальных злоумышленников (внешние хакеры, инсайдеры, конкуренты, государственные структуры), их мотивации, ресурсов и уровня доступа.
  • Анализ уязвимостей: выявление слабых мест в системе, которые могут быть использованы для реализации угроз.
  • Оценка рисков: определение вероятности реализации угрозы и величины возможного ущерба.
  • Приоритизация мер защиты: ранжирование угроз по степени опасности и выбор наиболее критичных для нейтрализации.

Классификация моделей угроз

Модели угроз классифицируются по различным признакам, в зависимости от подхода к построению и области применения.

По уровню абстракции

  • Концептуальные модели: описывают угрозы на высоком уровне, без детализации технических деталей. Используются для стратегического планирования и обучения персонала.
  • Логические модели: детализируют угрозы в терминах архитектуры системы, потоков данных и взаимодействия компонентов. Применяются при проектировании систем.
  • Физические модели: учитывают конкретные технические характеристики оборудования, топологию сети, версии программного обеспечения. Используются для настройки средств защиты.

По методологии построения

  • Модели на основе сценариев: описывают последовательность действий злоумышленника (например, атака на веб-приложение через SQL-инъекцию).
  • Модели на основе активов: фокусируются на защите конкретных ресурсов (например, базы данных клиентов).
  • Модели на основе нарушителей: строятся вокруг профиля потенциального злоумышленника (например, модель угроз от внутреннего нарушителя с административными привилегиями).
  • Модели на основе уязвимостей: перечисляют известные уязвимости (CVE) и оценивают возможность их эксплуатации.

По масштабу

  • Модели угроз для организации: охватывают всю информационную инфраструктуру предприятия, включая сети, серверы, рабочие станции, мобильные устройства и персонал.
  • Модели угроз для системы: фокусируются на конкретной информационной системе (например, ERP-система, CRM, система управления базами данных).
  • Модели угроз для приложения: детализируют угрозы для конкретного программного продукта (веб-сайт, мобильное приложение, десктопное приложение).

Основные методологии и стандарты

Существует несколько общепринятых методологий и стандартов, регламентирующих процесс построения модели угроз.

STRIDE

Методология STRIDE, разработанная корпорацией Microsoft, классифицирует угрозы по шести категориям:

  • Spoofing (подмена): выдача себя за другого пользователя или систему.
  • Tampering (вмешательство): несанкционированное изменение данных или кода.
  • Repudiation (отказ): возможность отрицания совершённого действия.
  • Information Disclosure (разглашение): несанкционированный доступ к конфиденциальной информации.
  • Denial of Service (отказ в обслуживании): нарушение доступности системы.
  • Elevation of Privilege (повышение привилегий): получение несанкционированных прав доступа.

STRIDE применяется для анализа угроз на уровне архитектуры системы и часто используется в паре с диаграммами потоков данных (DFD).

PASTA

Методология PASTA (Process for Attack Simulation and Threat Analysis) — это семиэтапный процесс, ориентированный на атаки. Он включает:

  1. Определение целей.
  2. Определение технического объёма.
  3. Декомпозиция приложения.
  4. Анализ угроз.
  5. Анализ уязвимостей.
  6. Моделирование атак.
  7. Анализ рисков и управление.

PASTA более формализована и требует глубокого технического анализа, чем STRIDE.

OCTAVE

Методология OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) разработана Университетом Карнеги-Меллона и ориентирована на оценку рисков на уровне организации. Она включает три фазы:

  • Построение профилей угроз на основе активов.
  • Идентификация уязвимостей инфраструктуры.
  • Разработка стратегии безопасности.

OCTAVE делает акцент на вовлечении бизнес-подразделений и не требует глубоких технических знаний на начальных этапах.

NIST SP 800-30

Стандарт Национального института стандартов и технологий США (NIST) SP 800-30 «Руководство по проведению оценки рисков» описывает процесс идентификации угроз, уязвимостей и оценки рисков. Он является одним из наиболее распространённых в государственных и коммерческих структурах.

ГОСТ Р 56545-2015

В Российской Федерации действует национальный стандарт ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей», который регламентирует форматы описания уязвимостей, но не является полноценной методологией построения модели угроз. Более комплексным является ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения», который задаёт понятийный аппарат.

Процесс построения модели угроз

Построение модели угроз — итеративный процесс, который обычно включает следующие этапы:

  1. Определение границ анализа: устанавливается, что входит в модель (система, приложение, организация) и что исключается.
  2. Сбор информации: изучается архитектура системы, документация, бизнес-процессы, требования к безопасности.
  3. Декомпозиция системы: система разбивается на компоненты, определяются потоки данных, точки входа и доверенные границы.
  4. Идентификация угроз: с использованием выбранной методологии (STRIDE, PASTA и др.) перечисляются все возможные угрозы для каждого компонента.
  5. Оценка угроз: каждой угрозе присваивается уровень критичности на основе вероятности и потенциального ущерба.
  6. Разработка контрмер: для каждой критичной угрозы предлагаются меры защиты (технические, организационные, правовые).
  7. Документирование: результаты фиксируются в виде отчёта, диаграмм, таблиц.
  8. Актуализация: модель угроз регулярно пересматривается и обновляется с учётом изменений в системе, появления новых угроз и уязвимостей.

Примеры применения

  • Разработка программного обеспечения: модель угроз используется на этапе проектирования для выявления уязвимостей до написания кода. Например, при разработке веб-приложения модель угроз STRIDE может выявить риск SQL-инъекций, что приведёт к использованию параметризованных запросов.
  • Управление корпоративной сетью: модель угроз помогает определить, какие устройства и каналы связи наиболее уязвимы для атак, и расставить приоритеты при обновлении ПО и настройке межсетевых экранов.
  • Аудит безопасности: при проведении аудита модель угроз служит референсным документом для проверки соответствия системы заявленным требованиям.
  • Обучение персонала: модель угроз используется для обучения сотрудников основам информационной безопасности, демонстрируя реальные сценарии атак.

Критика и ограничения

Модель угроз не является панацеей и имеет ряд ограничений:

  • Субъективность: результаты моделирования сильно зависят от квалификации и опыта специалиста, проводящего анализ.
  • Неполнота: невозможно предсказать все возможные угрозы, особенно новые, ранее неизвестные (zero-day).
  • Статичность: модель угроз, составленная в определённый момент времени, быстро устаревает при изменении системы или появлении новых уязвимостей.
  • Сложность: для крупных и распределённых систем построение полной модели угроз может быть чрезвычайно трудоёмким и ресурсоёмким процессом.
  • Игнорирование человеческого фактора: многие модели угроз слабо учитывают социальную инженерию и ошибки персонала, которые являются одними из наиболее частых причин инцидентов.

Источники

  1. ГОСТ Р 53114-2008 «Защита информации. Обеспечение информационной безопасности в организации. Основные термины и определения».
  2. ГОСТ Р 56545-2015 «Защита информации. Уязвимости информационных систем. Правила описания уязвимостей».
  3. Методика оценки угроз безопасности информации (ФСТЭК России, 2021).
  4. Microsoft Threat Modeling Tool (STRIDE).
  5. NIST Special Publication 800-30 Rev. 1 «Guide for Conducting Risk Assessments».
  6. OCTAVE Method (Carnegie Mellon University).
  7. PASTA: Process for Attack Simulation and Threat Analysis (VerSprite).

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →