1. Построение модели
угроз
Версия 1.3
Алексей Лукацкий
Бизнес-консультант по безопасности
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 1/398

2. О курсе
 Цель: Понимание методов разработки модели угроз
как с практической точки зрения, так и для
выполнения требования регуляторов
 На сегодняшний день модель угроз обязательно
требуется только по линии защиты персональных
данных
 Структура
Ключевые понятия и термины
Общие подходы к моделированию угроз
Методики моделирования угроз (в т.ч. и для защиты ПДн)
Средства автоматизации
Оформление модели угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 2/398

3. О курсе
Преподаватель Консультант
• Рассматривает • Ищет пути
все решения для
альтернативы конкретной
компании
 Мы рассматриваем многие из существующих
моделей угроз и методов их разработки
 Применение их в конкретной организации зависит
от множества условий и целей
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 3/398

4. Точки зрения на модель угроз
Служба ИБ
Юрист Регуляторы
Модель
угроз
Надзорный
Нарушитель
орган
Интегратор Вендор
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 4/398

5. Содержание
 Для чего нужна модель угроз?
Необходимость или требование регулятора?
 Оценка вероятности и стоимости ущерба
 Процедура построения модели угроз
 Различные методы моделирования угроз
 Примеры моделей угроз
 Средства моделирования угроз
 Форма модели угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 5/398

6. Общий подход к
оценке угроз
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 6/398

7. “Анализ рисков, оценка их вероятности и
тяжести последствий похожа на
посещение игроками Лас-Вегаса – зал
общий, а система игры у каждого своя”
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 7/398

8. Взглянем с точки зрения заказчика
 Методики оценки рисков представляются
интеграторами и консультантами
…которые заинтересованы в продаже своих продуктов и услуг
 Признаки хорошей методики управления рисками
Она полезна для меня ? Соответствует моим требованиям к
принятию решений? Получаю ли я ответы на мои вопросы?
Она логична? Она измеряет именно риски или уязвимости или
меры защиты (controls)? Она оценивает частоту угроз и
размер ущерба и вероятность?
Она соответствует действительности? Интернет-банк очень
часто незащищен (высокий риск); но много ли мы знаем
фактов потерь вследствие этого?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 8/398

9. Управление рисками и шаманство
 Управление рисками сегодня это
больше искусство, чем наука
 Управление рисками похоже на
шаманство
Битье в бубен, бросание костей –
отсутствие рационального объяснения
своего выбора и «почему это работает»
Заветы предков – Best Practices
Интуиции и опыт хороши, но…
 А какой риск приемлем?..
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 9/398

10. Что такое угроза?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 10/398

11. Что такое угроза?
 Совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность, связанную с утечкой информации и(или)
несанкционированными и(или)
непреднамеренными воздействиями на нее
Рекомендации ФСТЭК по защите коммерческой тайны и
КСИИ
 Потенциальная причина инцидента, который может
нанести ущерб системе или организации
ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 11/398

12. Что такое угроза?
 Угрозы безопасности персональных данных -
совокупность условий и факторов, создающих
опасность несанкционированного, в том числе
случайного, доступа к персональным данным,
результатом которого может стать уничтожение,
изменение, блокирование, копирование,
распространение персональных данных, а также
иных несанкционированных действий при их
обработке в информационной системе
персональных данных
Требования ФСТЭК по защите персональных данных
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 12/398

13. Что такое угроза?
 Совокупность условий и факторов, создающих
потенциальную или реально существующую
опасность нарушения безопасности информации
ГОСТ 50.1.056-2005
 Возможная причина нежелательного инцидента,
который может закончиться ущербом для системы
или организации
ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 13/398

14. Что такое риск?
 Вероятная частота и вероятная величина будущих
потерь
Метод FAIR
 Сочетание вероятности события и его последствий
ГОСТ Р 51901.1-2002
 Комбинация вероятности события и его последствий
ГОСТ Р ИСО/МЭК 17799-2005
 Вероятность причинения ущерба вследствие того, что
определенная угроза реализуется в результате
наличия определенной уязвимости
ГОСТ Р 52448-2005
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 14/398

15. Что такое риск?
 Потенциальная опасность нанесения ущерба
организации в результате реализации некоторой
угрозы с использованием уязвимостей актива или
группы активов
ГОСТ Р ИСО/МЭК 13335-1-2006
ГОСТ Р ИСО/МЭК 13569 (проект)
 Риск – сочетание вероятности нанесения ущерба и
тяжести этого ущерба
ГОСТ Р 51898-2002
 Состояние неопределенности, в котором некоторые
возможности приводят к потерям, катастрофам или
иным нежелательным результатам
Даг Хаббард
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 15/398

16. Риск vs. угроза vs. другие термины
 Риск - это
способность
конкретной
угрозы
использовать
уязвимости
одного или
нескольких видов
активов для
нанесения
ущерба
организации
Источник: ГОСТ Р ИСО/МЭК 15408-1-2002
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 16/398

17. Элементы риска
 Риск описывается комбинацией следующих
элементов:
Тяжесть возможного ущерба (последствия)
Вероятность нанесения ущерба
Частота и продолжительность воздействия угрозы
Вероятность возникновения угрозы
Возможность избежать угрозы или ограничить ущерб от нее
 Эффективность управления рисками зависит от того,
сможем ли мы оценить эти элементы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 17/398

18. Характеристики угроз
 Также надо учитывать и другие характеристики
(например, согласно ISO 13335)
Источник – внутренний или внешний;
Мотивация, например финансовая выгода, конкурентное
преимущество
Частота возникновения
Правдоподобие
Вредоносное воздействие
 Нельзя забывать про длительность воздействия
угрозы
Разовая утечка информации vs. DDoS-атака в течение
квартала
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 18/398

19. Что такое модель
угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 19/398

20. Модель угроз
 Описание источников угроз ИБ; методов реализации
угроз ИБ; объектов, пригодных для реализации угроз
ИБ; уязвимостей, используемых источниками угроз
ИБ; типов возможных потерь (например, нарушение
доступности, целостности или конфиденциальности
информационных активов); масштабов
потенциального ущерба
РС БР ИББС-2.2-2009 «Обеспечение информационной
безопасности организаций банковской системы РФ. Методика
оценки рисков нарушения информационной безопасности»
 Физическое, математическое, описательное
представление свойств и характеристик угроз
безопасности информации
ГОСТ 50922-2006 «Защита информации. Основные термины и
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 20/398

21. Модель угроз (окончание)
 Модель нарушителя - предположения о
возможностях нарушителя, которые он может
использовать для разработки и проведения атак, а
также об ограничениях на эти возможности
 Модель угроз - перечень возможных угроз
Методические рекомендации ФСБ по обеспечению с
помощью криптосредств безопасности персональных
данных при их обработке в информационных системах
персональных данных с использованием средств
автоматизации
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 21/398

22. Зачем нужна
модель угроз?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 22/398

23. Зачем нужно моделирование угроз
 Систематическая идентификация потенциальных
опасностей
 Систематическая идентификация возможных видов
отказов
 Количественные оценки или ранжирование рисков
 Выявление факторов, обуславливающих риск, и
слабых звеньев в системе
 Более глубокое понимание устройства и
функционирование системы
 Сопоставление риска исследуемой системы с рисками
альтернативных систем или технологий
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 23/398

24. Зачем нужно моделирование угроз
(окончание)
 Идентификация и сопоставление рисков и
неопределенностей
 Возможность выбора мер и приемов по обеспечению
снижения риска
 ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ
риска технологических систем»
 Основная задача моделирования угроз – обоснование
решений, касающихся рисков
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 24/398

25. Вопросы для модели угроз
 Модель нарушителя должна ответить на
следующие вопросы
Какие угрозы могут быть реализованы?
Кем могут быть реализованы эти угрозы?
Модель нарушителя
С какой вероятностью могут быть реализованы эти угрозы?
Каков потенциальный ущерб от этих угроз?
Каким образом могут быть реализованы эти угрозы?
Средства и каналы реализации
Почему эти угрозы могут быть реализованы?
Уязвимости и мотивация
На что могут быть направлены эти угрозы?
Как можно отразить эти угрозы?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 25/398

26. Анализ угроз vs. анализ рисков
 Согласно РС БР ИББС-2.2-2009 моделирование угроз
предшествует оценке рисков
 Согласно другим стандартам и лучшим практикам
анализ угроз и анализ рисков очень тесно
переплетены
 Анализ рисков позволяет ответить на 3 вопроса
(согласно ГОСТ Р 51901.1-2002 «Менеджмент риска.
Анализ риска технологических систем»)
Что может выйти из строя (идентификация опасности)
С какой вероятностью это может произойти (анализ частоты)
Каковы последствия этого события (анализ последствий)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 26/398

27. Качественная или
количественная
оценка?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 27/398

28. Качество или количество?
 1954 г. - Paul Meehl – «Clinical Versus Statistical
Prediction: A Theoretical Analysis and Review of the
Evidence», 1954
Работа обновлена в 1996
 Количественная оценка работает лучше экспертной
(качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить
доказательства
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 28/398

29. Качество/количество: кому доверять?
Качественная
оценка Количественная
оценка
 Отсутствие количественной оценки не позволяет
Оценить адекватность затрат на снижение рисков
Оценить возможность перекладывания рисков
Продемонстрировать снижение рисков
Сравнить текущий уровень с предыдущими значениями
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 29/398

30. Когда нет цифр?
 Количественная оценка не всегда возможна из-за
Недостатка информации о системе
Недостатка информации о деятельности, подвергающейся
оценке
Отсутствии или недостатке данных об инцидентах
Влияния человеческого фактора
 Качественная оценка требует
Четкого разъяснения всех используемых терминов
Обоснования всех классификаций частот и последствий
Понимания всех плюсов и минусов качественной
(экспертной) оценки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 30/398

31. Метод: экспертная оценка
Достоинства Ограничения
Простота реализации Возможность влияния на экспертное
мнение заинтересованными лицами
При оценке случайных событий принцип
«здравого смысла» неприменим
Волюнтаризм экспертов
Отсутствие достаточного количества
экспертов
Балльные оценки экспертов не
позволяют судить о количественных
соотношениях между оцениваемыми
объектами
Зависимость от квалификации эксперта
Психология восприятия риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 31/398

32. Метод Дельфи
 Основной принцип: если опросить людей,
обладающих компетенцией в интересующем нас
вопросе, их усредненная оценка обычно будет
точна более чем на 80%
Если провести второй раунд, предварительно ознакомив
экспертов с результатам первого, то результативность
становится еще выше
 Модификация метода: брать среднюю оценку после
отбрасывания крайних значений
Данный метод рекомендуется применять, если эксперты не
могут подкрепить свое мнение серьезными аргументами
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 32/398

33. Метод Дельфи: пример
Эксперты Раунд 1 Раунд 2
Эксперт 1 50 55
Эксперт 2 65 60
Эксперт 3 100 80
Эксперт 4 30 50
Эксперт 5 60 60
Итого 61 / 58 61 / 58
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 33/398

34. Несколько
примеров
недооценки угроз
экспертами
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 34/398

35. Атаки на процессинг
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 35/398

36. Атаки на банкоматы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 36/398

37. Безопасность банковского ПО
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 37/398

38. Банковские трояны (пример)
 Троян Tofger
После посещения ряда Интернет-банков пересылает
введенные с клавиатуры данные и скриншоты экрана
 Троян Banker.chg
Перехватывает доступ к определенным банковским сайтам и
переправляет на подставные сайты (фарминг)
 Троян Bancos.pw
Перехват HTTPS-трафика
 Троян Zbot.ikh
Перехват данных HTTP для некоторых российских банков, а
также кража сертификатов, ключей ЭЦП и т.п.
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 38/398

39. DDoS-атаки на банки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 39/398

40. Безопасность клиентов
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 40/398

41. Контроль привилегированных
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 41/398

42. Атаки на Интернет-банкинг
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 42/398

43. Безопасность пластика
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 43/398

44. Подставные сайты (фишинг и фарминг)
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 44/398

45. Информационная война
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 45/398

46. Законодательство и ИБ
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 46/398

47. Психология
восприятия риска
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 47/398

48. Психология восприятия риска
 Даже при наличии фактов и достаточного объема
информации об анализируемой системе у экспертов
существует сложность с восприятием риска
 Безопасность основана не только на вероятности
различных рисков и эффективности различных
контрмер (реальность), но и на ощущениях
 Ощущения зависят от психологических реакций на
риски и контрмеры
Чего вы больше опасаетесь – попасть в авиакатастрофу или
автоаварию?
Что вероятнее – пасть жертвой террористов или погибнуть на
дороге?
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 48/398

49. Реальность и ощущения
 Реальность безопасности ≠ ощущения безопасности
 Система может быть безопасной, даже если мы не
чувствуем и не понимаем этого
Мы можем думать, что система в безопасности, когда это не
так
 Психология восприятия риска безопасности
Поведенческая экономика
Психология принятия решений
Психология риска
Неврология
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 49/398

50. Реальность и ощущение безопасности
 Число погибших в  Число жертв автоаварий в
авиакатастрофах в России – около 100
России в 2008 году – 139 человек ежедневно (!)
человек 1,2 млн. жертв в год, 20-50
1980 – 1989 гг. – в СССР 2624 млн. получают травмы
жертвы авиакатастроф
 Трагедия 11 сентября в  От отравления пищей в
США унесла жизни 2973 США ежегодно умирают
человек 5000 человек
Ощущение
Реальность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 50/398

51. Наше отношение к рискам и угрозам
 Мы преувеличиваем одни риски и преуменьшаем
другие
 Наше восприятие риска чаще всего «хромает» в пяти
направлениях
Степень серьезности риска
Вероятность риска
Объем затрат
Эффективность контрмер
Возможность адекватного сопоставления рисков и затрат
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 51/398

52. Основные ошибки восприятия
Люди преувеличивают риски, Люди преуменьшают риски,
которые которые
Производят глубокое впечатление Не привлекают внимание
Случаются редко Являются обычными
Персонифицированы Анонимны
Неподконтрольны или навязаны Контролируются в большей
извне степени или принимаются
добровольно
Обсуждаются Не обсуждаются
Преднамеренные или Естественные
спровоцированные человеком
Угрожают непосредственно Угрожают в будущем, или границы
которых размыты
Внезапны Развиваются медленно, со
временем
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 52/398

53. Основные ошибки восприятия (окончание)
Люди преувеличивают риски, Люди преуменьшают риски,
которые которые
Угрожают человеку лично Угрожают другим
Новые и незнакомые Знакомые
Неопределенные Понятные
Угрожающие их детям Угрожающие им самим
Оскорбительные с моральной Желательные с моральной точки
точки зрения зрения
Полностью лишенные выгод Связанные с дополнительными
выгодами
Выходят за рамки обычной Характерны для обычной ситуации
ситуации
Недоверенные источники Доверенные источники
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 53/398

54. Ошибки восприятия безопасности
 Мобильные вирусы  В моем антивирусе для
«Операторы сотовой связи смартфона всего 1000
готовятся к эпидемиями записей и ни одного
вирусов для мобильных предупреждения за 2 (!)
телефонов» года
«Мобильный апокалипсис
лишь вопрос времени»
 Западные производители  Отечественный
ПО специально вставляют разработчик несет
закладки, чтобы украсть большую угрозу
вашу информацию он пока не дорожит
репутацией
Более опасный
риски Реальность
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 54/398

55. Как мозг анализирует риски
 В человеческом мозгу 2
системы отвечают за
анализ рисков
Примитивная интуитивная –
работает быстро
Продвинутая аналитическая –
принимает решения
медленно
Продвинутая система
появилась только у высших
приматов – еще не
отшлифована
Обе системы работают
одновременно и конфликтуют
между собой
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 55/398

56. Как мозг анализирует риски
 Человек не анализирует
риски безопасности с
точки зрения математики
Мы не анализируем
вероятности событий
 Люди не могут
анализировать каждое
свое решение
Это попросту невозможно
 Человек использует
готовые рецепты, общие
установки, стереотипы,
предпочтения и привычки
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 56/398

57. Интересные следствия
 «Предубеждение оптимизма» -
мы считаем, что «с нами это не
случится», даже если это
случилось с другими
Несмотря на эпидемии и атаки
других компаний, сами мы считаем,
что нас это никак не коснется – мы
игнорируем или преуменьшаем
риски сетевой безопасности
 Человеческий мозг не умеет
работать с большими числами
1 шанс из 2-х против 1 шанса из 8-ми
гораздо понятнее, чем 1 шанс из
10000 против 1 шанса из 100000
Threat Modeling
1 шанс из 10000 = «почти никогда»
© 2008 Cisco Systems, Inc. All rights reserved. 57/398

58. Интересные следствия (продолжение)
 «Эвристика доступности» –
события, которые легче
вспоминаются, имеют
больший риск
Или произошли недавно
Или имели более серьезные
последствия (для эксперта)
Или преподносятся ярко
 Люди склонны игнорировать
действительные вероятности
в случаях, когда ситуация
эмоционально окрашена
Терроризм, авиакатастрофы
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 58/398

59. Интересные следствия (продолжение)
 Риски, имевшие место когда-
либо в жизни эксперта, имеют
больший вес, чем те, с
которыми он никогда не
встречался
Мы будем бороться с атаками, уже
произошедшими в прошлом,
игнорируя будущие угрозы
 Чем более выдающимся
кажется событие, тем выше
вероятность, что оно покажется
случайным
СМИ и вендоры часто вредят
адекватности восприятия эксперта
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 59/398

60. Интересные следствия (окончание)
 Очень важна
последовательность, в которой
представлены те или иные
альтернативы
 «Предубеждение подтверждения»
- люди склонны больше учитывать
данные, которые подтверждают
предварительно занимаемую ими
позицию, чем те, которые ее
опровергают
Ситуация еще хуже - люди, которые
занимают позицию A, иногда считают,
что свидетельство анти-A тоже
поддерживает их позицию
Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 60/398