09.11.2016

Новые каталоги угроз

Недавно я писал, что за прошедших 9 месяцев в банке данных угроз ФСТЭК появилось всего 4 новых угрозы против обещанных 140. Поэтому, ожидая выхода методики моделирования угроз от ФСТЭК, я все-таки регулярно посматриваю по сторонам и смотрю, не появилось ли еще какого-нибудь интересного каталога или таксономии угроз. И вот, помимо уже описанной матрицы ATT&CK, я наткнулся на парочку ранее мной невстречаемых документов.

Первый - это open source проект по созданию открытой, поддерживаемой индустрией таксономии потенциальных угроз информационным системам. Проект еще находится в стадии развития и текущая версия, v1.1, документа содержит не так уж и много угроз:
  • 14 физических угрозы, влияющих на ИБ
  • 13 угроз ресурсам, которые влияют на информационные системы (водоснабжение, электричество и т.п.)
  • 7 угроз со стороны персонала
  • 41 техническая угроза.



Второй документ гораздо более серьезный. Он представляет собой результат 4-хлетней работы европейского агентства по информационной и сетевой безопасности ENISA (обновлен в сентябре 2016). Разработанная таксономия вобрала в себя свыше 30 других существующих проектов и документов в области создания таксономии угроз (ФСТЭК в списке нет).


Всего в текущей версии таксономии ENISA 177 угроз (почти столько же, сколько и у ФСТЭК) и они разделены на 8 высокоуровневых категорий:
  • физические атаки
  • потеря информации или ИТ-актива
  • природное явление
  • отказ
  • простой
  • перехват
  • злоупотребления (также называемые гнусной активностью, к которой отнесли вредоносное ПО, DDoS, спам, социальный инжиниринг и др.)
  • юридические угрозы.

Разделение весьма странное и местами спорное (особенно в части гнусной активности), но Европа теперь живет именно по нему и отталкивается в своих проектах, коих у ENISA большое множество.

Ну и чтобы не пропадало, еще пара ссылок на модели угроз, на которые я наткнулся чуть раньше, но не было возможности посвятить им отдельную заметку. Как всегда порадовал NIST, выпустивший в сентябре пока еще проект модели угроз мобильным устройствам и инфраструктуре. Очень недурной документ получается.


Другой документ подготовлен МинОбороны США и посвящен модели угроз беспилотным летательным аппаратам.


Финальной находкой стала модель угроз для Интернета вещей, подготовленная Beecham Research. Она носит скорее маркетинговый характер, чем полезный в работе документ (по сравнению с предыдущими упомянутыми моделями и таксономиями), но общее представление о проблеме дает.


ЗЫ. С доступом к первому описанному документу могут быть сложности. Похоже из России доступ к сайту ограничен - мне пришлось поднимать VPN, чтобы зайти на страницу проекта.



2 коммент.:

Alexander Polyakov комментирует...

Вы эту таксономию читали от Open Threat? Славабогу что доступ к этому документу закрыт, классификация угроз крайне странная, смешалось просто все. Если организационно еще логика неплохая, то технически какой смысл разделять угроз по тому каким образом они реализуются? Ну какая разница как произведен фингерпринт сети? есть угроза финрерпринта, это важно. Тогда уж давайте все пункты так раскроем. А когда начали перечислять еще способы атак типа SQL Injection итд, то тут вообще без комментариев. Сразу же напрашивается вопрос собственно а почему нету XML Injection и еще сотен других CVE... а последняя страница это вообще выше моего понимания.

Алексей Лукацкий комментирует...

Читал. Я не спорю, что документ далек от идеала и вызывает вопросы. Значит ли это, что его надо отбросить и вообще не учитывать? Оттуда можно кое-что взять и использовать. Разумеется, если нет уже своей модели/таксономии угроз.