На Positive Hack Days, в секции по кибервойнам, выступал Сергей Гриняев, который в своем выступлении подкинул мне интересную идею в части многоуровневости мотивации в реализации угроз.
Допустим, фиксируем мы DDoS-атаку на сайт компании. Какие выводы мы можем сделать из этого факта? На поверхности лежит первый вывод - атака носит случайный характер и мы попали "под раздачу" веерной атаки. Но единственный ли это вариант? Разумеется, нет. Вторым мотивом может быть направленная атака на организацию. Третьим - желание скрыть за DDoS-атакой другой инцидент; например, мошенничество с банковским счетом организации на момент недоступности Интернет-соединения организации. Конец? Опять нет. Четвертым мотивом может быть желание злоумышленников бросить тень на опытного (и тем самым опасного) руководителя службы ИТ или ИБ с целью его "вывода из игры", а это в свою очередь может привести к реализации в последствии еще более серьезных атак на организацию.
При этом от понимания правильного мотива зависит, какие мероприятия по защите мы предпримем - от ничегонеделанья до усиления роли руководителя ИТ/ИБ и наделения его новыми полномочиями. Как оценивать вероятность того или иного мотива? Да почти никак ;-( В военном деле, как упоминал Сергей Гриняев, сейчас стали использоваться специализированные системы анализа, которые позволяют на основе изучения разрозненных источников информации, "предсказывать" реальные мотивы совершения тех или иных "акций".
ЗЫ. К чему я это? А сам не знаю ;-) Просто в голову пришло ;-) На практике пока мало кто оценивает мотивацию совершения инцидентов, за исключением тех, что лежат на поверхности.
Допустим, фиксируем мы DDoS-атаку на сайт компании. Какие выводы мы можем сделать из этого факта? На поверхности лежит первый вывод - атака носит случайный характер и мы попали "под раздачу" веерной атаки. Но единственный ли это вариант? Разумеется, нет. Вторым мотивом может быть направленная атака на организацию. Третьим - желание скрыть за DDoS-атакой другой инцидент; например, мошенничество с банковским счетом организации на момент недоступности Интернет-соединения организации. Конец? Опять нет. Четвертым мотивом может быть желание злоумышленников бросить тень на опытного (и тем самым опасного) руководителя службы ИТ или ИБ с целью его "вывода из игры", а это в свою очередь может привести к реализации в последствии еще более серьезных атак на организацию.
При этом от понимания правильного мотива зависит, какие мероприятия по защите мы предпримем - от ничегонеделанья до усиления роли руководителя ИТ/ИБ и наделения его новыми полномочиями. Как оценивать вероятность того или иного мотива? Да почти никак ;-( В военном деле, как упоминал Сергей Гриняев, сейчас стали использоваться специализированные системы анализа, которые позволяют на основе изучения разрозненных источников информации, "предсказывать" реальные мотивы совершения тех или иных "акций".
ЗЫ. К чему я это? А сам не знаю ;-) Просто в голову пришло ;-) На практике пока мало кто оценивает мотивацию совершения инцидентов, за исключением тех, что лежат на поверхности.
А почему многоуровневость?
ОтветитьУдалитьТочно, скорее уж многовекторность.
ОтветитьУдалитьНавскидку можно предположить, что эти данный аспект должен оцениваться при расследовании инцидентов. Вот только с методикой и инструментами этой оценки дела не очень. Алексей, будьте застрельщиком и реализуйте какой-нибудь подход в банковском стандарте?
А там уже и ФСТЭК с персданными подтянется. :)
В качестве инструмента навскидку можно предложить следующее - как минимум в модели угроз должно быть описание взаимосвязей угроз с целью предупреждающего описания возможного вектора распространения атаки.
Тогда при расследовании инцидента безопасник может отработать последствия не только от уже произошедшей угрозы, но и наметить перечень контрольных мероприятий по указанным направлениям атаки.
Точнее многослойность ;-) Вроде как у лука или капусты - снимаешь один слой, а там еще один. Снимаешь второй, а там третий. И т.д.
ОтветитьУдалитьМноговекторность подразумевает разнонаправленность, но на одном уровне. А тут речь именно об иерархии мотивов.
Название статьи читай как:
ОтветитьУдалить"мотивация греха в современном обществе"...
Предлагаю начать с Достоевского "Бесы" и ссылочка соответствующая...
http://goo.gl/ADozx
P.S. Неужели Алексей решил САМОГО посчитать ;)
У ФСТЭКа это называется комбинированные угрозы =)
ОтветитьУдалить