Моделирование угроз сетевой инфраструктуры

1/95 © 2008 Cisco Systems, Inc. All rights reserved. Threat Modeling

Построение модели угроз

Алексей Лукацкий

Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved. Threat Modeling 2/95

Общий подход к оценке угроз


“Анализ рисков, оценка их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя”


Что такое угроза?

Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации

ISO\IEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002

Потенциальная причина инцидента, который может нанести ущерб системе или организации

ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002


Что такое риск?

Вероятная частота и вероятная величина будущих потерь

Метод FAIR

Сочетание вероятности события и его последствий

ГОСТ Р 51901.1-2002

Комбинация вероятности события и его последствий

ГОСТ Р ИСО/МЭК 17799-2005

Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости

ГОСТ Р 52448-2005


Элементы риска / угрозы

Риск / угроза описывается комбинацией следующих элементов:

Тяжесть возможного ущерба (последствия)

Вероятность нанесения ущерба

Частота и продолжительность воздействия угрозы

Вероятность возникновения угрозы

Возможность избежать угрозы или ограничить ущерб от нее

Эффективность моделирования угроз зависит от того, сможем ли мы оценить эти элементы


Характеристики угроз

Также надо учитывать и другие характеристики (например, согласно ISO 13335)

Источник – внутренний или внешний;

Мотивация, например финансовая выгода, конкурентное преимущество

Частота возникновения

Правдоподобие

Вредоносное воздействие

Нельзя забывать про длительность воздействия угрозы

Разовая утечка информации vs. DDoS-атака в течение квартала


Модель угроз

Практически нигде не определено понятие «модели угроз»

Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба

РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности»


Анализ угроз vs. анализ рисков

Согласно ряду стандартов моделирование угроз предшествует оценке рисков

Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены

Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»)

Что может выйти из строя (идентификация опасности)

С какой вероятностью это может произойти (анализ частоты)

Каковы последствия этого события (анализ последствий)


Вопросы для модели угроз

Модель нарушителя должна ответить на следующие вопросы

Какие угрозы могут быть реализованы?

Кем могут быть реализованы эти угрозы?

Модель нарушителя

С какой вероятностью могут быть реализованы эти угрозы?

Каков потенциальный ущерб от этих угроз?

Каким образом могут быть реализованы эти угрозы?

Средства и каналы реализации

Почему эти угрозы могут быть реализованы?

Уязвимости и мотивация

На что могут быть направлены эти угрозы?

Как можно отразить эти угрозы?


Как моделировать быстро и просто?!


Cisco SAFE

Набор лучших практик по построению надежной и защищенной сети

Дизайны и конфигурации

354 страницы



Основные угрозы для сети

Отказ в обслуживании (DoS)

Распределенный отказ в обслуживании (DDoS)

Неавторизованный доступ

Перехват сессии

«Человек посередине»

Эскалация привилегий

Вторжения

Ботнеты

Атаки на протоколы маршрутизации

Атаки на протокол Spanning tree (STP)

Атаки второго уровня (L2)


00:0e:00:aa:aa:aa 00:0e:00:bb:bb:bb 00:0e:00:aa:aa:cc 00:0e:00:bb:bb:dd

etc 132 000 произв.

MAC-адресов

Коммутатор работает как концентратор

Сервер эл.

почты

“ Ващ пароль:

‘joecisco’ !”

DHCP- сервер

“Вот IP- адрес!”

X “DHCP

Request”

DHCP DoS

Атакующий = 10.1.1.25 Жертва = 10.1.1.50

Шлюз = 10.1.1.1 MAC=A SiSi

“Мой адрес 10.1.1.50 !”

Атаки «шторм MAC» Атаки на DHCP

Атаки типа «посредник» Атаки подмены IP-адреса

Атаки второго уровня


Угрозы = метод нейтрализации

Подмена IP-адреса отправ.

Ботнеты DoS/

DDoS

Атаки

L2 НСД

Шпион-ское ПО,

ВПО, реклама

Нару-шение

политик

Конт-роль

Управ-ление

Защита ПК

Фильтр. на пер.

IPS

Контроль доступа

Сетевая аутентификация

Защита инфраструктуры

Управление доступом (AAA)

Маршрутизация

Учет трафика


Угрозы тоже меняются

Угрозы носят заказной и криминальный характер

Угрозы и криминалитет становятся быстрее, умнее & неуловимее

Точечные (даже лучшие в своем классе) решения не справляются в одиночку с ростом угроз

Заказчики не могут защищать свои ресурсы в режиме 24х7


Старые методы уже не работают

Мотивация

Метод

Фокус

Средства

Результат

Тип

Цель

Агент

Известность

Дерзко

Все равно

Вручную

Подрыв

Уникальный код

Инфраструктура

Изнутри

Деньги

Незаметно

Мишень

Автомат

Катастрофа

Tool kit

Приложения

Третье лицо


Процесс моделирования угроз


Разные процессы моделирования

Существует различные описанные процессы моделирования угроз

Более детально рассмотрим ГОСТ Р 51901.1-2002

Источник: Ford Motor Company


Этапы моделирования угроз

Определение области применения

Идентификация опасности и предварительная оценка последствий

Оценка величины угрозы

Проверка результатов анализа

Документальное обоснование

Корректировка результатов анализа с учетом последних данных


Область применения

Область применения должна быть определена и задокументирована

Этапы определения области применения

Описание оснований для и/или проблем, повлекших моделирование угроз (анализ риска)

Описание исследуемой системы

Установление источников, содержащих информацию о всех технических, правовых, человеческих, организационных факторах, имеющих отношение к системе и проблемам

Описание предположения, ограничивающих анализ


Область применения - сеть

Для определения области достаточно высокоуровневой схемы


Не стоит детализировать до узла


На результат это не влияет


Область применения - сеть

Источники информации

Карты сети

Результаты работы сканеров безопасности или средств построения топологии

Общение с ИТшниками или интеграторами, построившими сеть

Предположения, ограничивающие анализ

Динамичность среды (например, IP-адресации или появление мобильных устройств)

Информация об арендуемых каналах связи

Сеть – это не только набор сетевых устройств и каналов связи

Это помещения, персонал (включая подрядчиков), электричество, неконтролируемый Интернет


Пример: атаки на банкоматы


Админы – это часть сети!


Идентификация опасности

Необходимо идентифицировать опасности

Известные опасности (происходившие ранее) должны быть четко и точно описаны

Неучтенные ранее опасности должны быть идентифицированы с помощью формальных методов анализа

Предварительная оценка должна основываться на анализе последствий и изучении их основных причин

Предварительная оценка позволяет сделать следующий шаг

Принятие немедленных мер с целью снижения или исключения опасностей

Прекращение анализа из-за несущественности опасности

Переход к детальной оценке рисков и угроз


Каталоги угроз

ГОСТы 51901 и 51275 позволяют сформировать высокоуровневый список возможных угроз, который может быть расширен за счет каталогов угроз

Каталоги угроз

BSI – Threats Catalogue Force majeur (370 угроз)

MAGERIT

BITS (70 категорий угроз, свыше 600 общих угроз)

ISF (49 угроз)

CRAMM (37 угроз)

MELANI (12 угроз)

MS Threat Model (36 атак)


Каталог угроз BSI


Анализ последствий

Анализ последствий используется для оценки вероятного воздействия, которое вызывается нежелательным событием

Анализ последствий должен

Основываться на выбранных нежелательных событиях

Описывать любые последствия, являющиеся результатом нежелательных событий

Учитывать меры, направленные на смягчение последствий, наряду с условиями, оказывающими влияние на последствия

Устанавливать критерии, используемые для полной идентификации последствий

Учитывать как немедленные последствия, так и те, которые могут проявиться по прошествии определенного времени

Учитывать вторичные последствия на смежные системы


Последствия и свойства информации

ГОСТ Р ИСО/МЭК ТО 13335-4-2007 «Методы и средства обеспечения безопасности. Выбор защитных мер» выделяет 6 свойств информации, для которых описываются последствия

Конфиденциальность

Целостность

Доступность

Подотчетность

Аутентичность

Достоверность

Такая классификация позволяет систематизировать последствия


Другие формы последствий

• Простои

• Ухудшение психологического климата Продуктивность

• Расследование инцидента

• PR-активность Реагирование

• Замена оборудования

• Повторный ввод информации Замена

• Судебные издержки, досудебное урегулирование

• Приостановление деятельности Штрафы

• Ноу-хау, государственная, коммерческая тайна

• Отток клиентов, обгон со стороны конкурента Конкуренты

• Гудвил

• Снижение капитализации, курса акций Репутация


Оценка риска

На практике идентификация опасностей может приводить к очень большому числу сценариев потенциальных инцидентов

Детальный количественный анализ частот и последствий в таком случае не всегда возможен и осуществим

Необходимо качественно ранжировать сценарии, поместив их в матрицы риска

Детальный количественный анализ осуществляется для сценариев с более высокими уровнями рисков

Не существует универсальной формы и содержания матрицы риска

Классификация частот и серьезности последствий (как и количество их категорий) могут меняться в зависимости от ситуации


Пример матрицы риска

Источник: ГОСТ Р 51901.1-2002 Классификация риска: • В – высокая величина риска • С – средняя величина риска • М – малая величина риска • Н – незначительная величина риска

Классификация серьезности последствий: • Катастрофическое – практически полная потеря анализируемого объекта • Значительное – крупный ущерб системе • Серьезное – серьезный ущерб системе • Незначительное – незначительное повреждение системы


Анализ неопределенностей

Для эффективной интерпретации значений риска и угроз очень важно понимание неопределенностей и вызывающих их причин

Анализ неопределенностей предусматривает определение изменений и неточностей в результатах моделирования, которые являются следствием отклонения параметров и предположений, применяемых при построении модели

С анализом неопределенностей тесно связан анализ чувствительности

Анализ чувствительности подразумевает определение изменений в реакции модели на отклонения отдельных параметров модели


Проверка анализа

Проверка анализа позволяет убедиться, что анализ проведен корректно и ничего не забыто

Для проверки анализа необходимо привлекать людей, не участвующих в анализе

Проверка анализа включает

Проверка соответствия области применения поставленным задачам

Проверка всех важных допущений

Подтверждение правильности использованных методов, моделей и данных

Проверка результатов на повторяемость


Как оформить модель угроз?


Содержание по ГОСТ Р 51344-99

Документация оценки и определения риска включает

Характеристика оборудования (техусловия, область применения, использование по назначению)

Любые относящиеся к делу предположения, которые были сделаны (например, факторы безопасности и т.д.)

Идентифицированные опасности

Информация, на основании которой сделана оценка и определение риска (использованные данные и источники)

Сомнения, связанные с использованными данными и источниками

Цели, которые должны быть достигнуты защитными мерами (например, конфиденциальность, целостность и т.д.)

Меры безопасности, принимаемые для устранения выявленных опасностей или уменьшения риска


Содержание по ГОСТ Р 51344-99 (окончание)

Документация оценки и определения риска включает

Остаточные риски


Содержание по ГОСТ Р 51901.1-2002

Отчет по анализу риска/угроз включает

Краткое изложение анализа

Выводы

Цели и область применения анализа

Ограничения, допущения и обоснование предположений

Описание соответствующих частей системы

Методология анализа

Результаты идентификации опасностей

Используемые модели, в т.ч. допущения и их обоснования

Используемые данные и их источники

Результаты оценки величины риска

Анализ чувствительности и неопределенности


Содержание по ГОСТ Р 51901.1-2002 (окончание)

Отчет по анализу риска/угроз включает

Рассмотрение и обсуждение результатов

Рассмотрение и обсуждение трудностей моделирования

Ссылки и рекомендации


Методики моделирования угроз


Методики анализа рисков

AS/NZS 4360

HB 167:200X

EBIOS

ISO 27005 (ISO/IEC IS 13335-2)

MAGERIT

MARION

MEHARI

CRISAM

OCTAVE

ISO 31000

NIST SP 800-3

SOMAP

Lanifex Risk Compass

Austrian IT Security Handbook

A&K Analysis

ISF IRAM (включая SARA, SPRINT)

OSSTMM RAV

BSI 100-3


Другие методики моделирования угроз

Trike

IT-Grundschutz Methodology от BSI (Германия)

AS/NZS 4360:2004 (Австралия)

MAGERIT: Risk Analysis and Management Methodology for Information Systems (Испания)

EBIOS - Expression of Needs and Identification of Security Objectives (Франция)

MEHARI (Франция)

OCTAVE

FRAP

NIST 800-30 (США)


Другие методики моделирования угроз

MG-2, MG-3 (Канада)

SOMAP

IRAM

MELANI


Ограничиться опасностью или пойти дальше?


Идентификация только ли опасности?

Нарушитель Мотивация Источник Угрозы

Определение нарушителей, их мотивация и источников угроз позволяет сузить спектр возможных угроз, из которых формируется список актуальных

Уязвимость Причина


Нарушители и их потенциал


Классификация нарушителей

ГОСТ Р 52448-2005 «Обеспечение безопасности сетей электросвязи. Общие положения»

Террористы и террористические организации

Конкурирующие организации и структуры

Спецслужбы иностранных государств и блоков государств

Криминальные структуры

Взломщики программных продуктов ИТ

Бывшие сотрудники организаций связи

Недобросовестные сотрудники и партнеры

Пользователи услугами связи


А оцениваем ли мы риски нарушителя?

Профиль (модель) нарушителя

Мотив (причина)

Цель

«Спонсор» (кто помогает ресурсами?)

Потенциальные возможности

Озабоченность косвенным ущербом

Приемлемый уровень риска


Потенциал нападения

ГОСТ Р ИСО/МЭК 18045 «Методы и средства обеспечения безопасности. Методология оценки безопасности информационных технологий» определяет в Приложении А (А.8.1) потенциал нападения, зависящий от

Мотивации нарушителя

Компетентности нарушителя

Ресурсов нарушителя


Вычисление потенциала нападения

2 аспекта - идентификация и использование

Время, затрачиваемое на идентификацию уязвимости

Техническая компетентность специалиста

Знание проекта и функционирования атакуемой системы

Доступ к атакуемой системе

Аппаратное обеспечение/ПО или другое оборудование, требуемое для анализа

Эти факторы не всегда независимы друг от друга и могут время от времени заменять друг друга

Компетентность время, доступные ресурсы время


Мотивация нарушителей


Месть

Достижение денежной выгоды

Хулиганство и любопытство

Профессиональное самоутверждение

Я бы еще добавил политику и идеологию


Деньги играют важную роль, но есть и другие мотивы

Отсутствие желания заработать не означает отсутствие бизнес-модели киберпреступности

Anonymous, Lulzsec демонстрируют это в полной мере

Кибер-

террористы

Кибер-

воины

Хактивисты Писатели

malware

Старая

школа

Фрикеры Самураи Script

kiddies

Warez

D00dz

Сложность + + + + +

Эго + + + +

Шпионаж + +

Идеология + + + + +

Шалость + + +

Деньги + + + + +

Месть + + + +

Источник: Furnell, S. M


Как понять мотивацию?!

Что он видит?

• На что похожа его среда?

• Кто его окружает?

• С кем он дружит?

• С чем он сталкивается ежедневно?

• С какими проблемами встречается?

Что он слышит?

• Что говорят его друзья?

• Кто и как реально воздействует на него?

• Какие медиаканалы на него влияют?

Что он чувствует/думает?

• Что для него реально важно?

• Что его трогает?

• Его мечты и стремления?

Что он говорит/делает?

• Как он себя держит?

• О чем он может рассказать окружающим?

Что его тревожит

• Каковы его разочарования?

• Какие препятствия между ним и его мечтами?

• Чего он боится?

К чему он стремится

• Чего он действительно хочет достичь?

• Что для него мерило успеха?

• Какие стратегии он мог бы использовать для достижения успеха?


Источники угроз


Источники угроз по ГОСТ 52448


Субъект

Материальный объект

Физическое явление


Источники угроз по РС БР ИББС-2.2

РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Методика оценки рисков нарушения информационной безопасности»

Неблагоприятные события природного, техногенного и социального характера

Террористы и криминальные элементы

Зависимость от поставщиков/провайдеров/партнеров/клиентов

Сбои, отказы, разрушения/повреждения ПО и техсредств

Внутренние нарушители ИБ

Внешние нарушители ИБ

Несоответствие требованиям надзорных и регулирующих органов


Факторы, воздействующие на информацию Источники, категории или причины угроз?


Категории опасностей

Природные опасности

Наводнения, землетрясения, ураганы, молнии и т.п.

Технические опасности

Социальные опасности

Войны, вооруженные нападения, диверсии, эпидемии и т.п.

Опасности, связанные с укладом жизни

Злоупотребление наркотиками, алкоголь, сектантство и т.п.

ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем»


ГОСТ Р 51275-2006

ГОСТ Р 51275-2006 «Объект информатизации. Факторы, воздействующие на информацию»

Стандарт устанавливает классификацию и перечень факторов, воздействующих на безопасность защищаемой информации, в целях обоснования угроз безопасности информации и требований по защите информации на объекте информатизации

Природа возникновения

Объективные Субъективные

Источник возникновения

Внутренние Внешние


Объективные факторы

Внутренние

Передача сигналов

Излучение сигналов, функционально присущие тех.средствам

Побочные электромагнитные излучения

Паразитное электромагнитное излучение

Наводка

Наличие акустоэлектрических преобразователей в элементах тех.средств

Дефекты, сбои и отказы, аварии тех.средств

Дефекты, сбои и отказы ПО


Объективные факторы

Внешние

Явления техногенного характера

Природные явления, стихийные бедствия


Субъективные факторы

Внутренние

Разглашение защищаемой информации лицами, имеющими к ней право доступа

Неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации

Несанкционированный доступ к информации

Недостатки организационного обеспечения защиты информации

Ошибки обслуживающего персонала


Субъективные факторы

Внешние

Доступ к защищаемой информации с применением тех.средств

Несанкционированный доступ к защищаемой информации

Блокирование доступа к защищаемой информации путем перегрузки тех.средств обработки информации запросами на ее обработку

Действия криминальных групп и отдельных преступных субъектов

Искажение, уничтожение или блокирование информации с применением тех.средств


Как систематизировать причины?

По статистике от 70 до 80% всех авиационных инцидентов в гражданской и военной авиации происходит по вине человека

Причины этих инцидентов никак не классифицированы

При возникновении инцидента сложно идентифицировать проблему, понять ее причины и предотвратить повтор неприятных событий

«Система классификации и анализа человеческого фактора» (The Human Factors Analysis and Classification System - HFACS)

4 уровня отказов/сбоев/ошибок/проблем, приводящих к инцидентам

Небезопасное действие, предпосылки к небезопасным действиям, плохой надзор и влияние организации


Пример

Влияние организации

Алкоголь

Наркотики

Плохой рекрутинг персонала

Давление времени

Урезание расходов

И т.д.


Думайте о психологии, а не только о технологии


Угрозы бывают не только технологические

ПРИЛОЖЕНИЯ

СЕТЬ

WEB MFG

ERP CRM

SCM

FIN

АНТИВИРУСЫ

VPN

СИСТЕМЫ ПРЕДОТВРАЩЕНИЯ

МЕЖСЕТЕВЫЕ ЭКРАНЫ

ЛОЯЛЬНОСТЬ КЛИЕНТОВ

СОВЕТ ДИРЕКТОРОВ

ПЕРСОНАЛ

M&A

БИЗНЕС, ЛЮДИ

ДОКУМЕНТООБОРОТ

ERP

XML

БИЗНЕС-ПРОЦЕСС

ИНФОРМАЦИЯ НОСИТЕЛИ

РЕЧЕВАЯ ИНФОРМАЦИЯ

ВИДЕОКОНФЕРЕНЦИИ

ФАЙЛЫ и ПОЧТА


Причины разрыва между ожидаемым и реальным

Юзабилити (удобство/неудобство) безопасности

Как систем, так и процедур и процессов

Отсутствие у сотрудников необходимых знаний в области ИБ

Отношение к безопасности

Отсутствие культуры безопасности

Например, сотрудники часто думают или говорят «почему я должен это делать, если мой коллега этого не делает?»

Конфликт целей

Классическая дилемма: что важнее - запустить продукт к сроку, но без серьезных проверок на безопасность, или досконально проверить защищенность, но сорвать сроки запуска проекта?


Куда девать токен или смарткарту?


Отключение средств защиты

При оценке риска необходимо принимать во внимание возможность отключения или расстройства защитных средств

Из ГОСТ Р 51344-99 «Безопасность машин. Принципы оценки и распределения риска»

Побуждение сделать это возникает когда

Средства защиты снижают выпуск продукции или мешают другим действиям и намерениям потребителя

Средства защиты трудно применить

Должны быть привлечены не операторы, а другой персонал

Средства защиты не признаются или неприемлемы для их назначения

Возможность отключения зависит как от их типа, так и от конструктивных особенностей


Человеческий фактор и ГОСТ Р 51344-99

При моделировании угроз необходимо принимать во внимание человеческий фактор

Взаимодействие человек – техническое средство

Взаимодействие между людьми

Психологические аспекты

Эргономические факторы

Способность осознавать риск в данной ситуации (зависит от обучения, опыта или способностей)


Психология восприятия риска


Психология восприятия риска

Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска

Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях

Ощущения зависят от психологических реакций на риски и контрмеры

Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию?

Что вероятнее – пасть жертвой террористов или погибнуть на дороге?


Реальность и ощущения

Реальность безопасности ≠ ощущения безопасности

Система может быть безопасной, даже если мы не чувствуем и не понимаем этого

Мы можем думать, что система в безопасности, когда это не так

Психология восприятия риска безопасности

Поведенческая экономика

Психология принятия решений

Психология риска

Неврология


Реальность и ощущение безопасности

Число погибших в авиакатастрофах в России в 2008 году – 139 человек

1980 – 1989 гг. – в СССР 2624 жертвы авиакатастроф

Трагедия 11 сентября в США унесла жизни 2973 человек

Число жертв автоаварий в России – около 100 человек ежедневно (!)

1,2 млн. жертв в год, 20-50 млн. получают травмы

От отравления пищей в США ежегодно умирают 5000 человек

Ощущение Реальность


Наше отношение к рискам и угрозам

Мы преувеличиваем одни риски и преуменьшаем другие

Наше восприятие риска чаще всего «хромает» в пяти направлениях

Степень серьезности риска

Вероятность риска

Объем затрат

Эффективность контрмер

Возможность адекватного сопоставления рисков и затрат


Основные ошибки восприятия

Люди преувеличивают риски,

которые

Люди преуменьшают риски,

которые

Производят глубокое впечатление Не привлекают внимание

Случаются редко Являются обычными

Персонифицированы Анонимны

Неподконтрольны или навязаны

извне

Контролируются в большей

степени или принимаются

добровольно

Обсуждаются Не обсуждаются

Преднамеренные или

спровоцированные человеком

Естественные

Угрожают непосредственно Угрожают в будущем, или границы

которых размыты

Внезапны Развиваются медленно, со

временем


Основные ошибки восприятия (окончание)

Люди преувеличивают риски,

которые

Люди преуменьшают риски,

которые

Угрожают человеку лично Угрожают другим

Новые и незнакомые Знакомые

Неопределенные Понятные

Угрожающие их детям Угрожающие им самим

Оскорбительные с моральной

точки зрения

Желательные с моральной точки

зрения

Полностью лишенные выгод Связанные с дополнительными

выгодами

Выходят за рамки обычной

ситуации

Характерны для обычной ситуации

Недоверенные источники Доверенные источники


Ошибки восприятия безопасности

Мобильные вирусы

«Операторы сотовой связи готовятся к эпидемиями вирусов для мобильных телефонов»

«Мобильный апокалипсис лишь вопрос времени»

Западные производители ПО специально вставляют закладки, чтобы украсть вашу информацию

В моем антивирусе для смартфона всего 1000 записей и ни одного предупреждения за 2 (!) года

Отечественный разработчик несет большую угрозу

он пока не дорожит репутацией

Более опасный риски Реальность


Как мозг анализирует риски

В человеческом мозгу 2 системы отвечают за анализ рисков

Примитивная интуитивная – работает быстро

Продвинутая аналитическая – принимает решения медленно

Продвинутая система появилась только у высших приматов – еще не отшлифована

Обе системы работают одновременно и конфликтуют между собой


Как мозг анализирует риски

Человек не анализирует риски безопасности с точки зрения математики

Мы не анализируем вероятности событий

Люди не могут анализировать каждое свое решение

Это попросту невозможно

Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычки


Интересные следствия

«Предубеждение оптимизма» - мы считаем, что «с нами это не случится», даже если это случилось с другими

Несмотря на эпидемии и атаки других компаний, сами мы считаем, что нас это никак не коснется – мы игнорируем или преуменьшаем риски сетевой безопасности

Человеческий мозг не умеет работать с большими числами

1 шанс из 2-х против 1 шанса из 8-ми гораздо понятнее, чем 1 шанс из 10000 против 1 шанса из 100000

1 шанс из 10000 = «почти никогда»


Могли ли мы представить, что нас будет атаковать РЖД?

Заражаются посещаемые и популярные сайты

По данным Лаборатории Касперского осенью 2011-го года оказались зараженными сайты

ОАО «РЖД» (180000 посетителей в день)

ИД «Комсомольская правда» (587000)

ИД «Свободная пресса» (276000)


Интересные следствия (продолжение)

«Эвристика доступности» – события, которые легче вспоминаются, имеют больший риск

Или произошли недавно

Или имели более серьезные последствия (для эксперта)

Или преподносятся ярко

Люди склонны игнорировать действительные вероятности в случаях, когда ситуация эмоционально окрашена

Терроризм, авиакатастрофы


Интересные следствия (продолжение)

Риски, имевшие место когда-либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался

Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы

Чем более выдающимся кажется событие, тем выше вероятность, что оно покажется случайным

СМИ и вендоры часто вредят адекватности восприятия эксперта


Заключение


“В настоящее время нельзя говорить о правильном или неправильном методе анализа риска. Важно, чтобы организация пользовалась наиболее удобным и внушающем доверие методом, приносящим воспроизводимые результаты.”

ГОСТ Р ИСО/МЭК ТО 13335-3-2007

© 2006 Cisco Systems, Inc. All rights reserved. Cisco Confidential Presentation_ID


Что дальше?

Избежание риска

Устранение источника угрозы…

Принятие риска

Бороться себе дороже

Передача риска

Аутсорсинг, страхование…

Снижение рисков

Реализация защитных мер…


Защитные мероприятия

В зависимости от выбранной методологии моделирования угроз (анализа рисков) перечень предлагаемых защитных мер может предлагаться тем же стандартом

ISO\IEC TR 13335-4

ISO 27002

IT-Grundschutz Methodology

И т.д.

В ряде случаев стандарты включают рекомендации по выбору, а не только их законченный список


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +38-044-391-3600


Self Improvement

Моделирование угроз сетевой инфраструктуры