Моделирование угроз

• 

Обновлено 20.06.2025 05:30

 

Охрану в кибербезопасности можно описать как охоту за угрозами, то есть актив­ный поиск признаков проникновения в журналах, данных расследований и других наблюдаемых источниках. Не многие организации занимаются охотой за угрозами, и даже там, где это делается, задача охотника - обнаруживать, а не охранять. 

Важно понимать, что в процессе охоты специалисты выходят за рамки обычных методов, постоянно придумывают новые способы атак на сети и информационные системы и внедряют необходимые средства защиты. Для этого защитники могут использовать моделирование угроз, позволяющее реализовать средства управления информационными потоками и разработать меры защиты от угроз, а не просто реагировать на них.

Моделирование угроз, как правило, выполняется только зрелыми организациями и реализуется в виде диаграммы потока данных (DFD), которая описывает потоки данных и процессы внутри систем. DFD обычно документируется в виде блок-схемы, но также может иметь вид подробной сетевой карты. DFD можно исполь­зовать в качестве инструмента для структурированного анализа плоскости атаки, который позволяет рассматривать сценарии атаки в рамках параметров задокумен­тированных информационных систем. В этом случае не требуется сканирования уязвимостей, подтверждения сценария атаки «красной командой» или проверки со стороны системы соответствия, и организациям не приходится ждать инцидента, чтобы модель угрозы и примененные меры считались оправданными.

Понимание того, где в современных системах находятся «утопленные углы замка, места для вывоза мусора, водопроводные трубы и близлежащие кусты», может по­мочь вам определить векторы атак, которым требуется повышенная защита.

Рассмотрим пример: во время ночного дежурства охранник дергает за каждую дверную ручку в офисе, чтобы убедиться, что двери заперты. Найдя незапертую дверь, он запирает ее, забирает ключи и пишет доклад об инциденте.

Позже выясняется, что инцидент безопасности произошел из-за того, что дверные ключи были скопированы или украдены, поэтому организация добавляет к дверям метод аутентификации второго уровня, например кнопочную клавиатуру или счи­тыватель бейджей, меняет замки и выдает новые ключи. Эти превентивные меры безопасности удовлетворяют аудиторов, отвечающих за соблюдение нормативных требований, и инцидент безопасности считается исчерпанным. Также директор по информационной безопасности (chief information security officer, CISO) на­нимает «красную команду» для проведения узкоспециализированного теста на физическое проникновение через новые механизмы запирания, и ее участники подтверждают, что благодаря новым мерам безопасности им не удалось войти в помещение.

Однако, смоделировав угрозы, мы выяснили, что можно отодвинуть незакреплен­ную потолочную плитку и перелезть через стену офиса, тем самым полностью игнорируя новые меры безопасности. Для предотвращения угрозы мы могли бы добавить элементы управления, такие как камеры видеонаблюдения или датчики движения в подвесном потолке, либо установить другие потолки и полы, не даю­щие возможности никуда пролезть. Можно даже нанять охранников и научить их определять места сдвига потолочной плитки, обнаруживать на потолке, стенах или полу следы преступников. При этом нужно, чтобы охранники находились внутри комнаты или вообще внутри потолка, и у них должны быть полномочия и средства для защиты помещения от злоумышленников.

Возможность реализации таких контрмер невелика - за одно лишь подобное предложение вас поднимут на смех. Нетрудно понять, почему организация скорее посчитает определенные угрозы допустимым риском, чем будет пытаться отразить их. Вероятно, именно поэтому NIST Cybersecurity Framework не включает этап охраны. Однако сам образ мышления, основанный на детальном моделировании угроз, и последующая вдумчивая и креативная реализация мер безопасности могут повысить безопасность информационных систем и сети.

В качестве примера сценария, подходящего для реализации охранной функции, рассмотрим блоки перехода. Блок перехода - это система, которая охватывает две границы сети или более, позволяя администраторам удаленно входить в систему в блоке перехода одной сети и переходить в другую сеть, получая к ней доступ. Традиционные меры кибербезопасности требуют повышения защищенности блоков перехода путем исправления всех известных уязвимостей, ограничения доступа с помощью правил брандмауэра и мониторинга журналов аудита на предмет ано­мальных событий, таких как несанкционированный доступ. Однако такие техниче­ские средства контроля часто атакуют или обходят. В то же время охранник может физически отсоединить внутренний сетевой кабель от другой сети и подключить его напрямую только после проверки того, что у пользователя есть разрешение на выполнение удаленных команд в данной системе. Охранник также может активно отслеживать действия на машине в режиме реального времени и принудительно завершать сеанс сразу же, как только обнаружит злонамеренные или несанкциони­рованные действия. Таким образом, реализация функции охраны может означать найм человека-охранника, который будет сидеть в дата-центре и предотвращать как физический, так и удаленный доступ к защищаемой системе.