Pages - Menu

Страницы

30.5.11

Многоуровневость мотивации реализации угроз

На Positive Hack Days, в секции по кибервойнам, выступал Сергей Гриняев, который в своем выступлении подкинул мне интересную идею в части многоуровневости мотивации в реализации угроз.

Допустим, фиксируем мы DDoS-атаку на сайт компании. Какие выводы мы можем сделать из этого факта? На поверхности лежит первый вывод - атака носит случайный характер и мы попали "под раздачу" веерной атаки. Но единственный ли это вариант? Разумеется, нет. Вторым мотивом может быть направленная атака на организацию. Третьим - желание скрыть за DDoS-атакой другой инцидент; например, мошенничество с банковским счетом организации на момент недоступности Интернет-соединения организации. Конец? Опять нет. Четвертым мотивом может быть желание злоумышленников бросить тень на опытного (и тем самым опасного) руководителя службы ИТ или ИБ с целью его "вывода из игры", а это в свою очередь может привести к реализации в последствии еще более серьезных атак на организацию.

При этом от понимания правильного мотива зависит, какие мероприятия по защите мы предпримем - от ничегонеделанья до усиления роли руководителя ИТ/ИБ и наделения его новыми полномочиями. Как оценивать вероятность того или иного мотива? Да почти никак ;-( В военном деле, как упоминал Сергей Гриняев, сейчас стали использоваться специализированные системы анализа, которые позволяют на основе изучения разрозненных источников информации, "предсказывать" реальные мотивы совершения тех или иных "акций".

ЗЫ. К чему я это? А сам не знаю ;-) Просто в голову пришло ;-) На практике пока мало кто оценивает мотивацию совершения инцидентов, за исключением тех, что лежат на поверхности.

5 комментариев:

  1. Точно, скорее уж многовекторность.
    Навскидку можно предположить, что эти данный аспект должен оцениваться при расследовании инцидентов. Вот только с методикой и инструментами этой оценки дела не очень. Алексей, будьте застрельщиком и реализуйте какой-нибудь подход в банковском стандарте?
    А там уже и ФСТЭК с персданными подтянется. :)

    В качестве инструмента навскидку можно предложить следующее - как минимум в модели угроз должно быть описание взаимосвязей угроз с целью предупреждающего описания возможного вектора распространения атаки.
    Тогда при расследовании инцидента безопасник может отработать последствия не только от уже произошедшей угрозы, но и наметить перечень контрольных мероприятий по указанным направлениям атаки.

    ОтветитьУдалить
  2. Точнее многослойность ;-) Вроде как у лука или капусты - снимаешь один слой, а там еще один. Снимаешь второй, а там третий. И т.д.

    Многовекторность подразумевает разнонаправленность, но на одном уровне. А тут речь именно об иерархии мотивов.

    ОтветитьУдалить
  3. Название статьи читай как:
    "мотивация греха в современном обществе"...
    Предлагаю начать с Достоевского "Бесы" и ссылочка соответствующая...
    http://goo.gl/ADozx

    P.S. Неужели Алексей решил САМОГО посчитать ;)

    ОтветитьУдалить
  4. У ФСТЭКа это называется комбинированные угрозы =)

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.