На сочинском "Код ИБ. Профи" я буду проводить практический мастер-класс по моделированию угроз. Но до него еще почти 10 дней и поэтому мне сейчас хотелось бы немного коснуться тех изменений и тенденций, которые происходят в этом вопросе. Так уж сложилось, что мы часто рассматриваем моделирование угроз как нечто незыблемое и редкое, что уже давно не соответствует действительности. Мир меняется, должны менять и мы свои взгляды. Что же поменялось за последнее время в области моделирования угроз? Попробую тезисно сформулировать ключевые изменения:
- Угрозы эволюционируют. Да вы что?! Вот это новость! Но как бы очевидно это не звучало, в моделях угроз этот факт не часто находит свое отражение. Такое впечатление (и что уж греха таить, так оно и бывает), что модель угроз делают только для галочки или для регулятора, а не для реальной работы. Вот возьмем, к примеру, утвержденную ЦБ модель угроз для биометрических ПДн. И вроде бы достаточно свежий документ, но в нем в принципе не рассмотрена угроза, которую для простоты можно именовать DeepFake, то есть создание фальшивых лиц, отпечатков пальцев, голосов и иных биометрических факторов. То есть в реальной жизни использовать такую модель нельзя - ее надо существенно дорабатывать.
- Инструментарий спецслужб утекает. И это тоже не новость. Но это меняет потенциальную модель нарушителя, который теперь по своим возможностям сравним с АНБ. Или не сравним? Или все-таки нарушитель определяется не сиюминутными возможностями, которые в определенный момент времени могут совпадать с обычными киберпреступными группировками, а мотивацией и целеполаганием? Но в любом случае, появление инструментария спецслужб в широком доступе требует пересмотра модели угроз.
- Supply Chain. Spectre, Meltdown... Только две уязвимости в процессорах Intel, которые показали всю слабость современной системы защиты, базирующейся на недоверенных элементах. Да, вы ничего с этим поделать не можете, так как взять и выбросить все свои процессоры вы не в состоянии - заменить их нечем. Но внести это в модель угроз надо, так как реализация угроз на аппаратном уровне сегодня уже не редкость и игнорировать эту проблему, закрывая на нее глаза нельзя. А надо ли эту угрозу включать в модель, если вы не в состоянии с ней ничего делать?
- Гибкая разработка. Вы внедрили SCRUM или Agile или иную методологию гибкой разработки или проектирования? А вы учли эту методологию с точки зрения методологии угроз? Ведь обычно угрозы моделируются в рамках каскадного проектирования ("Waterfall") - анализ требований, проектирование, реализация... Как моделировать угрозы при длительности спринта (в терминологии SCRUM) в 1-4 недели?
- Размытость границ. И это тоже не новость, но и она нечастно находит свое отражение при моделировании угроз. Хотя очерчивание границ для объекта защиты - это основа моделирования угроз. Но сегодня у нас активно внедряются технологии виртуализации, Zero Trust, облачные вычисления. Учитываются ли они при определении негативных сценариев развития событий? А если да, то как?
- Искусственный интеллект. 2018-й и 2019-й годы ознаменовались публикацией большого числа исследований про применение машинного обучения для обмана различных защитных технологий - от биометрии до антивирусов, от антифишинговых решений до систем обнаружения атак. И вновь вопрос, который я уже не раз задавал выше. Как учитывает модель угроз такие исследования? Насколько наши технологии безопасности способны выявлять атаки, созданные искусственным интеллектом?
- API. Мир становится все более открытым - продукты интегрируются между собой и разрешают доступ к своим ресурсам извне. Все это делается через API, которые часто становятся самым слабым звеном "защищенной" системы, в которой предусмотрено все, кроме контроля вызовов API.
Вот такой небольшой список того, что сегодня влияет на моделирование угроз и недооценка чего приводит к успешным проникновениями в корпоративные и ведомственные сети. Вот про это мы и будем говорить на сочинском "Коде ИБ. Профи" через 10 дней. И будем пробовать на практике учесть все эти нюансы, создавая модели угроз для одной из нескольких систем, которые будут предложены на выбор участникам.
ЗЫ. А чтобы у заметки была картинка, вставлю вот этот список акторов, реализующих угрозы, и атрибутов, с ними связанных.
Как моделировать угрозы при длительности спринта (в терминологии SCRUM) в 1-4 недели?
ОтветитьУдалитьОгонь тема. Очень интересно!
Отош
ОтветитьУдалить