30.5.11

Многоуровневость мотивации реализации угроз

На Positive Hack Days, в секции по кибервойнам, выступал Сергей Гриняев, который в своем выступлении подкинул мне интересную идею в части многоуровневости мотивации в реализации угроз.

Допустим, фиксируем мы DDoS-атаку на сайт компании. Какие выводы мы можем сделать из этого факта? На поверхности лежит первый вывод - атака носит случайный характер и мы попали "под раздачу" веерной атаки. Но единственный ли это вариант? Разумеется, нет. Вторым мотивом может быть направленная атака на организацию. Третьим - желание скрыть за DDoS-атакой другой инцидент; например, мошенничество с банковским счетом организации на момент недоступности Интернет-соединения организации. Конец? Опять нет. Четвертым мотивом может быть желание злоумышленников бросить тень на опытного (и тем самым опасного) руководителя службы ИТ или ИБ с целью его "вывода из игры", а это в свою очередь может привести к реализации в последствии еще более серьезных атак на организацию.

При этом от понимания правильного мотива зависит, какие мероприятия по защите мы предпримем - от ничегонеделанья до усиления роли руководителя ИТ/ИБ и наделения его новыми полномочиями. Как оценивать вероятность того или иного мотива? Да почти никак ;-( В военном деле, как упоминал Сергей Гриняев, сейчас стали использоваться специализированные системы анализа, которые позволяют на основе изучения разрозненных источников информации, "предсказывать" реальные мотивы совершения тех или иных "акций".

ЗЫ. К чему я это? А сам не знаю ;-) Просто в голову пришло ;-) На практике пока мало кто оценивает мотивацию совершения инцидентов, за исключением тех, что лежат на поверхности.

5 коммент.:

Алексей Краснов комментирует...

А почему многоуровневость?

Евгений комментирует...

Точно, скорее уж многовекторность.
Навскидку можно предположить, что эти данный аспект должен оцениваться при расследовании инцидентов. Вот только с методикой и инструментами этой оценки дела не очень. Алексей, будьте застрельщиком и реализуйте какой-нибудь подход в банковском стандарте?
А там уже и ФСТЭК с персданными подтянется. :)

В качестве инструмента навскидку можно предложить следующее - как минимум в модели угроз должно быть описание взаимосвязей угроз с целью предупреждающего описания возможного вектора распространения атаки.
Тогда при расследовании инцидента безопасник может отработать последствия не только от уже произошедшей угрозы, но и наметить перечень контрольных мероприятий по указанным направлениям атаки.

Алексей Лукацкий комментирует...

Точнее многослойность ;-) Вроде как у лука или капусты - снимаешь один слой, а там еще один. Снимаешь второй, а там третий. И т.д.

Многовекторность подразумевает разнонаправленность, но на одном уровне. А тут речь именно об иерархии мотивов.

Анонимный комментирует...

Название статьи читай как:
"мотивация греха в современном обществе"...
Предлагаю начать с Достоевского "Бесы" и ссылочка соответствующая...
http://goo.gl/ADozx

P.S. Неужели Алексей решил САМОГО посчитать ;)

-)гоист комментирует...

У ФСТЭКа это называется комбинированные угрозы =)