В последнее время, либо готовясь к выступлению на различных мероприятиях, либо помогая нашим заказчикам в понимании методики оценки угроз ФСТЭК, я в очередной раз убеждаюсь, что регулятор сам так и не попробовал незамутненным взглядом пройтись по своему документу и никак не учитывал, что компании и производители средства защиты уже не первый год занимаются моделированием угроз немного не так, как это написал регулятор. Например, многие давно используют матрицу MITRE ATT&CK, которая стала стандартом де-факто в мире, но наш регулятор, позаимствовав идею с kill chain, не подумал (или не захотел, что еще хуже) синхронизировать свои техники с техниками ATT&CK. Например, когда я попробовал Топ10 техник ATT&CK, использованных шифровальщиками в 2020-м году, наложить на техники ФСТЭК, у меня получилось так, что совпадение между ними всего на 80%. Да, мы можем добавить к 145 техникам ФСТЭК техники ATT&CK (методика это позволяет), но в условиях их несовпадения придется потратить немало времени на сопоставление.
Но сегодня речь не об этом. Я бы хотел коснуться одного из этапов построения модели угроз - определение актуальных нарушителей. Согласно методики актуальными считаются те нарушители, когда их цели могут привести к негативным последствиям и рискам, которые (имеется ввиду риски) почему-то приравнены к понятию ущерба (при таком вольном трактовании термина "риск" становится понятно, почему по словам руководства ФСТЭК никто не следуют риск-ориентированному подходу). Вроде бы логично - цель есть, нарушитель актуален; цели нет - нарушитель неактуален. Но дальше начинаются нюансы.
Например, если посмотреть приложение 6, которое связывает нарушителей с их целями, то мы увидим среди целей "непреднамеренные, неосторожные или неквалифицированные действия". Вдумайтесь! Вы когда-либо видели нарушителя, который ставит перед собой цель "накосячить"? Когда среди целей есть "получение конкурентных преимуществ", "получение финансовой или иной материальной выгоды", "совершение террористических актов" или "нанесение ущерба государству", то это понятно и вопросов не вызывает. Но "непреднамеренные действия"? Даже не могу себе предположить, чем руководствовались авторы, когда включали эту цель в список возможных? Интересно, что страх среди целей не указан (а именно эту цель преследуют те же террористы). А deface сайта, выполняемый религиозно настроенными хакерами? Ну не будем же мы относить это к дестабилизации деятельности организации? Кстати, такое явление как хактивизм (Сноуден или Ассанж - яркие его представители) тоже не нашло своего отражения в методике (хотя их можно добавить - методика это допускает).
Но вернемся к перечню актуальных нарушителей. Если отбросить "непреднамеренные, неосторожные или неквалифицированные действия" в качестве цели, а мы можем это сделать без проблем, так как в здравом уме как цель мы это не укажем, то у нас остается в 95% случае всего 5 актуальных нарушителей:
- преступные группы
- хакеры-одиночки
- авторизованные пользователи
- системные администраторы
- бывшие работники.