Известно выражение, что когда готовишь какой-то курс и потом его преподаешь, то и сам начинаешь лучше разбираться в предмете. Так вот по просьбе одного учебного центра я разработал такой курс по новой методике оценки угроз ФСТЭК, в процессе которого я прохожу все этапы моделирования, наступая на все те грабли, которые, по идее, должны были отсутствовать, если бы регулятор сам бы прошел по своей же методике перед ее опубликованием хотя бы для одной из своих систем. У меня в процессе подготовки и чтения этого курса, накопилось уже много вопросов, часть из которых я бы и хотел подстветить в этой заметке:
- ФСТЭК обязывает использовать БДУ, как основной источник данных об угрозах, но он вообще никак не синхронизирован с текущей методикой оценки. Методика требует оценивать угрозы для 6 свойств информации, а БДУ описывает их только для трех (классической триады - КДЦ). БДУ использует понятие "потенциал", которое хоть и отличается от "уровень возможностей нарушителя" из методики, но все же идентично. Но в БДУ таких уровней 3, а в методике уже 4. Кстати, кто-то может объяснить отличие "базового" уровня от "базового повышенного" и "базового повышенного" от "среднего"? Если уж за год с лишним (а о новом подходе в моделировании угроз объявили еще в феврале 2020-го года и тогда же обещали, что в БДУ уже вносятся изменения) в БДУ так и не смогли внести изменения, то может выпустить письмо о неприменении БДУ на переходный период? А то на курсах один из самых популярных вопросов - как натянуть БДУ на новую методику.
- С источниками угроз тоже все непросто. В одном месте ФСТЭК пишет, что они рассматривают только антропогенные источники, то бишь людей. В другом, что техногенные тоже нужно, если к системам и сетям предъявляются требования к устойчивости и надежности. А вы вообще видели где-нибудь системы, к которым не предъявляются такие требования?
- Зачем ФСТЭК при классификации уровней возможностей нарушителей использовала букву Н, получив 4 уровня возможностей, - от Н1 до Н4? А то, что ФСБ использовала эту букву в своей классификации моделей нарушителей Н1-Н6, регулятора не волнует? И да, кому какое дело, что госорганы по 676-П обязаны согласовывать свою модель с двумя регуляторами и чтобы это сделать, они вынуждены писать 2 модели и согласовывать их по отдельности. Да-да, я помню, что проблемы индейцев шерифа не волнуют.
- Я бы вообще при определении уровней возможностей нарушителей вернулся к первоначально рассматриваемой идее с потенциалом нападения из ГОСТ 18045, который позволяет оценить все возможности по идентификации слабых мест и их использовании и разделить их именно на 4 уровня. Но в отличие от методики ФСТЭК в ГОСТе эти уровни вычисляются по элементарной и понятной формуле, которая не позволяет скатиться в волюнтаристскую экспертную оценку.
- Про категории нарушителей я уже писал и вновь повторюсь - смысла деления на внутренних и внешних нарушителей сегодня никакого нет. Эта грань уже давно канула в небытие и тратить время на то, чтобы понять, кем является китаец из Zoom (а он внутренний нарушитель по методике), смысла нет. Избыточное упражнение, которое не дает никакого эффекта с точки зрения защитных мероприятий, но отнимает время.
- С перечнем возможных нарушителей тоже не все просто. По сути вроде все верно - определили актуальных по их мотивации, а остальных отсекли. Но на практике все немного иначе. Согласно методике, если поставщик внешних услуг (например, облачный провайдер) отказывается предоставлять мне свою модель угрз (а кто ж ее предоставит-то?), то я должен исходить из предположения, что против меня действует нарушитель с максимальным уровнем возможностей, то есть спецслужба иностранного государства. А можете ли вы себе представить организацию, которую не использует внешних и обслуживающих себя систем? Например, DNS-сервера, которые можно прекрасно атаковать и подменить записи соответствия доменных имен и IP-адресов, перенаправив жертву с сайта, например, ФСТЭК на сайт клон. Получается, что те, кто завязан на сервисы Zoom, Google, Cloudflare, Box, Яндекс, Mail.ru, Ростелекома и т.п., должны всегда рассматривать спецслужбы в своей модели угроз со всеми вытекающими отсюда последствиями? Ну надо было так и прописать, что этот нарушитель для всех обязателен - сэкономили бы кучу времени.
- Кстати, о спецслужбах иностранных государств. КГБ Беларуси относится к таковым? А КНБ Казахстана? С АНБ и ЦРУ вроде вопросов нет, но вот что с остальными, менее известными обычному безопаснику спецслужбами или спецслужбами дружественных нам, а местами и союзных государств. У меня в ВУЗе был даже отдельный предмет (секретный), на котором нам рассказывали об оргструктуре разведывательных органов и иных спецслужб разных государств. А откуда этот список взять при моделировании? А террористы и экстремисты? С ними все понятно (хотя ФСТЭК могла бы и сослаться на реестр террористических и экстремистких организаций, которые ведут Минюст и ФСБ) и мы должны опасаться атак со стороны Свидетелей Иеговы и ФБК Навального.
- Кстати, рассматривать ли санкции в отношении меня как угрозу ИБ? Если мне, например, отключат обновления средств защиты или операционной системы и приложений, то это повлечет за собой негативные последствия. Очевидно. И более того, это будет сделано с умыслом. А что за источник угрозы, который будет реализовывать данную угрозу? Антропогенный ли он? Ну, допустим, что иностранное государство, которое и реализует эту угрозу, мы персонифицируем до ее Президента или госсекретаря (хотя это и очень условно). Но кто будет нарушителем в классификации ФСТЭК? Максимально возможный вариант - это спецслужба иностранного государства, но не они вводят санкции. Так кого же писать в этом случае в модель?
- Почему, взяв за основу MITRE ATT&CK при описании своих техник и тактик угроз, ФСТЭК решила придумать свои тактики и свои техники? Где-то они совпадают, а где-то нет. И ладно, если бы регулятор пошел бы по пути MITRE и описал бы субтехники для разных платформ, добавил бы еще соответствие техник и хакерских групп (у MITRE их почти 100 описано) или хотя бы хакерского инструментария (у MITRE их почти 400 описано), но нет. Все надо придумывать самим и даже опыт MITRE ATT&CK тут не сильно помогает - я пытался смаппировать одно в другое и у меня не очень-то и получилось. А что мешает регулятора заставить всех своих лицензиатов, которые имеют SOCи и выпускают бюллетени Threat Intelligence, описывать угрозы, используя ТТУ от ФСТЭК, а не от супостатной MITRE? У нас импортозамещение или где? Да, пусть они по-прежнему используют TTP от ATT&CK, раз уж у нас НКЦКИ ориентирован на американские стандарты Threat Intelligence (тот же TLP или ATT&CK). Но пусть маппят и в техники ФСТЭК, не перекладывая эту проблему на потребителей (это второй по популярности вопрос на курсе - как соотнести уже имеющиеся отчеты и описания угроз и инцидентов по MITRE ATT&CK в то, что делает ФСТЭК?).
- Последний момент связан с перечислением актуальных сценариев реализации угроз. Вы же в курсе, что сначала вы должны составить перечень всех угроз, потом оставить из них возможные, а потом уже определить актуальные? Вы же понимаете разницу между возможной угрозой и актуальной? Возможная становится актуальной, если есть хотя бы один сценарий реализации угрозы. А вы видели угрозы, для которых нет хотя бы одного сценария? Сценарий же это не последовательность из обязательно всех десяти тактик. Одна техника (например, сканирование) тоже может быть сценарием. Но проблема даже не в очередном ненужном этапе (выделении актуальных угроз из списка возможных), а в том, что какие бы сценарии у вас не были (а число их комбинаций из 145 имеющихся техник и 10 тактик измеряется даже не триллионами), все они все равно состоят из ограниченного числа техник. Их всего 145. Если я смогу определить и нейтрализовать эти 145 техник, то какая мне разница, сколько у меня сценариев их использующих? Ровно на этом построены почти все зарубежные подходы, базирующиеся на MITRE ATT&CK, и ровно эта идея заложена в зарубежные средства защиты, которые борются не со сценариями угроз, а с конкретными техниками. И сравнивают продукты по обнаруживаемым/блокируемым техникам. И пентесты и редтиминг по техникам выстраивают, а не по сценариям. Этап с определением сценариев надо убирать - он лишний. Все равно весь рынок ИБ (что консалтинговый, что продуктовый) заточен именно на техники.
Всего 10 вопросов я вынес в эту заметку, но даже они показывают, что регулятор сам не пропускал через свою методику ни свой сайт, ни свою ИС бухгалтерии или кадров, ни даже ИС своего подведомственного воронежского института. Если бы он это сделал, то сразу бы сам и наткнулся на явные косяки методики, с которыми сейчас сталкиваются, как минимум, все госорганы, которые обязаны согласовывать свои модели угроз по 676-му Постановлению Правительства. И то, что должно было облегчить им жизнь, сделало ее только хуже. Особенно тем, кто должен был ввести в эксплуатацию свои системы весной/летом этого года, но неожиданный выпуск новой методики и отсутствие переходного периода на ее внедрение спутал все карты и увеличил сроки на выполнение обязательных требований, сорвав ввод в эксплуатацию или, что чаще всего, заставив сделать процесс моделирования для галочки.
Вообще, методические документы обычно пишутся, чтобы снять вопросы или разъяснить неочевидные или поверхностно описанныые темы в документах более высокого уровня. Но с методикой ФСТЭК по оценке угроз получилось наоборот. Если бы в приказах регулятора осталась только одна фраза про необходимость моделирования угроз, то я бы мог использовать любую из нескольких десятков методик моделирования. Но нет, регулятор обязал всех использовать свой подход, который, если следовать буквально всем требованиям, результата достигнуть не даст. Увы...
ЗЫ. Решить описанные проблемы можно одним из двух вариантов - поменять методику или выпустить средство автоматизации, которое проведет "за ручку" своих адептов по шагам, не давая им думать, а просто выбирая нужные варианты из выпадающих меню или ставя нужные чекбоксы.