Угроза (компьютер)

Доступность статьи под вопросом . Соответствующее обсуждение можно найти на странице обсуждения . Информацию о том, как сделать статьи более доступными, можно найти на сайте WikiProject Accessibility . ( 20161006 )

В компьютерной безопасности , угроза является потенциальным негативным действие или события облегчается уязвимостью , что приводит к нежелательному воздействию на компьютерную систему или приложение.

Угрозой может быть либо отрицательное « преднамеренное » событие (например, взлом: отдельный взломщик или преступная организация), либо « случайное » отрицательное событие (например, возможность сбоя в работе компьютера или возможность стихийного бедствия, такого как землетрясение , пожар или торнадо ) или иное обстоятельство, возможность, действие или событие. ^[1]

Это отличается от субъекта угрозы, который представляет собой отдельное лицо или группу, которые могут выполнить действие угрозы, например использовать уязвимость для реализации негативного воздействия.

Более полное определение, привязанный к информации обеспечения точки зрения, можно найти в « Federal Information Processing стандартам (ФИПС) 200, требования Минимальные безопасности для федеральных информационных систем информации и » по NIST из Соединенных Штатов Америки ^[2]

Любые обстоятельства или события, которые могут отрицательно повлиять на операции организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц через информационную систему посредством несанкционированного доступа, уничтожения, раскрытия, изменения информации и / или отказа в предоставлении информации. служба. Кроме того, потенциальная возможность источника угрозы успешно использовать определенную уязвимость информационной системы .

Национальный глоссарий по обеспечению безопасности информации определяет угрозу как:

Любые обстоятельства или события, которые могут отрицательно повлиять на ИБ посредством несанкционированного доступа, уничтожения, раскрытия, изменения данных и / или отказа в обслуживании.

ENISA дает аналогичное определение: ^[3]

Любые обстоятельства или события, которые могут отрицательно повлиять на актив [G.3] посредством несанкционированного доступа, уничтожения, раскрытия, изменения данных и / или отказа в обслуживании.

Open Group определяет угрозу как: ^[4]

Все, что способно действовать таким образом, чтобы нанести вред активу и / или организации; например, стихийные бедствия (погода, геологические события и т. д.); злоумышленники; ошибки; неудачи .

Факторный анализ информационного риска определяет угрозу как: ^[5]

Угрозы - это все (например, объект, вещество, человек и т. д.), способное действовать против актива таким образом, что может привести к причинению вреда. Торнадо - это угроза, как наводнение, так и хакер. Ключевое соображение заключается в том, что угрозы применяют силу (вода, ветер, код эксплойта и т. Д.) Против актива, что может вызвать событие убытка.

Национальный учебно-образовательный центр по обеспечению информационной безопасности дает более четкое определение угрозы : ^[6]^[7]

Средства, с помощью которых может проявляться способность или намерение агента угрозы отрицательно повлиять на автоматизированную систему, средство или операцию. Классифицируйте и классифицируйте угрозы следующим образом: Категории Классы Человеческое Преднамеренное Непреднамеренное Окружающая среда Естественное Сфабрикованное 2. Любое обстоятельство или событие, потенциально способное нанести вред системе в виде разрушения, раскрытия, модификации или данных и / или отказа в обслуживании. 3. Любые обстоятельства или события, которые могут нанести вред системе или деятельности ADP в форме уничтожения, раскрытия и изменения данных или отказа в обслуживании. Угроза - это возможность причинения вреда. Наличие угрозы не означает, что она обязательно нанесет реальный вред. Угрозы существуют из-за самого существования системы или деятельности, а не из-за какой-либо конкретной слабости. Например,угроза пожара существует на всех объектах, независимо от степени имеющейся противопожарной защиты. 4. Типы неблагоприятных событий (например, опасностей), связанных с компьютерными системами, которые могут привести к убыткам. Примеры: наводнение, саботаж и мошенничество. 5. Утверждение, касающееся прежде всего сущностей внешней среды (агентов); мы говорим, что агент (или класс агентов) представляет угрозу для одного или нескольких активов; мы пишем: T (e; i) где: e - внешняя сущность; i - внутренняя сущность или пустой набор. 6. Нежелательное происшествие, которое можно было ожидать, но не является результатом сознательного действия или решения. В анализе угроз угроза определяется как упорядоченная пара <опасность; категория активов>, предлагая природу этих событий, но не подробности (подробности относятся к событиям). 7. Возможное нарушение безопасности. 8.Набор свойств определенного внешнего объекта (который может быть отдельным лицом или классом объектов), который в сочетании с набором свойств определенного внутреннего объекта подразумевает риск (согласно совокупности знаний).грамм

Феноменология [ править ]

Термин «угроза» относится к некоторым другим основным терминам безопасности, как показано на следующей диаграмме: ^[1]

 + - - - - - - - - - - - - + + - - - - + + - - - - - - - - - - - + | Атака: | | Счетчик- | | Системный ресурс: | | т.е. действие угрозы | | мера | | Цель атаки | | + ---------- + | | | | + ----------------- + | | | Атакующий | <================== || <========= | | | | т.е. | Пассивный | | | | | Уязвимость | | | | Угроза | <=================> || <========> | | | | Агент | или Активный | | | | + ------- ||| ------- + | | + ---------- + Атака | | | | ВВВ | | | | | | Последствия угрозы | + - - - - - - - - - - - - + + - - - - + + - - - - - - - - - - - +

Ресурс (как физический, так и логический) может иметь одну или несколько уязвимостей, которые могут быть использованы агентом угрозы в действии угрозы. Результат может потенциально поставить под угрозу конфиденциальность , целостность или доступность ресурсов (потенциально отличных от уязвимых) организации и других вовлеченных сторон (клиентов, поставщиков).
Так называемая триада ЦРУ - основа информационной безопасности .

Атака может быть активным , когда он пытается изменить системные ресурсы или повлиять на их работу: так она ставит под угрозу целостность и доступность. « Пассивная атака » пытается изучить или использовать информацию из системы, но не затрагивает системные ресурсы: таким образом, она ставит под угрозу конфиденциальность. ^[1]

OWASP: взаимосвязь между агентом угрозы и влиянием на бизнес

OWASP (см. Рисунок) описывает то же явление в несколько иных терминах: агент угрозы через вектор атаки использует слабость (уязвимость) системы и соответствующие меры безопасности, оказывая техническое воздействие на ИТ-ресурс (актив), подключенный к бизнесу. влияние.

Набор политик, связанных с управлением информационной безопасностью, Системы управления информационной безопасностью (СМИБ), был разработан для управления, в соответствии с принципами управления рисками , контрмерами для выполнения стратегии безопасности, установленной в соответствии с правилами и положениями, применимыми страна. Контрмеры также называются мерами безопасности; применительно к передаче информации называются службами безопасности . ^[8]

Общая картина представляет факторы риска сценария риска. ^[9]

Широкое распространение компьютерных зависимостей и последующее усиление последствий успешной атаки привело к появлению нового термина кибервойна .

В настоящее время многие настоящие атаки используют психологию не меньше, чем технологии. Фишинг и под предлогом , что и другие методы называются социальной инженерии методов. ^[10] Приложения Web 2.0 , в частности службы социальных сетей , могут быть средством связи с людьми, отвечающими за системное администрирование или даже за безопасность системы, побуждая их раскрыть конфиденциальную информацию. ^[11] Один известный случай - Робин Сейдж . ^[12]

Самая распространенная документация по компьютерной незащищенности связана с техническими угрозами, такими как компьютерные вирусы , троянские программы и другие вредоносные программы , но серьезное исследование по применению экономически эффективных контрмер может быть проведено только после тщательного анализа ИТ-рисков в рамках СУИБ: технический подход позволит избавиться от психологических атак, которые являются нарастающими угрозами.

Классификация угроз [ править ]

Угрозы можно классифицировать по их типу и происхождению: ^[13]

Типы угроз:
- Физические повреждения: огонь, вода, загрязнение
- Природные явления: климатические, сейсмические, вулканические.
- Потеря основных услуг: электроэнергия, кондиционирование воздуха, телекоммуникации.
- Компрометация информации: подслушивание, кража СМИ, поиск выброшенных материалов
- Технические сбои: оборудование, ПО, насыщение мощностей,
- Компрометация функций: ошибка в использовании, злоупотребление правами, отказ в действиях

Обратите внимание, что тип угрозы может иметь несколько источников.

Преднамеренный: нацеленность на информационный актив
- шпионаж
- незаконная обработка данных
Случайный
- сбой оборудования
- сбой программного обеспечения
Относящийся к окружающей среде
- природное событие
- потеря питания
Небрежность: известные, но игнорируемые факторы, ставящие под угрозу безопасность и устойчивость сети.

Классификация угроз [ править ]

Microsoft предложила классификацию угроз под названием STRIDE , ^[14] из инициалов категорий угроз:

S Poofing идентичности пользователя
T ampering
Р епудиация
Я раскрытие нформации ( конфиденциальность нарушение или утечки данных )
D enial of Service (DoS) - отказ в обслуживании
E levation привилегии

Microsoft ранее оценивала риск угроз безопасности, используя пять категорий в классификации DREAD: модель оценки риска . Модель считается устаревшей в Microsoft. Категории были:

D amage - насколько серьезной будет атака?
R eproducibility - как легко воспроизвести атаку?
E xploitability - сколько работы нужно для запуска атаки?
Ffected пользователей - сколько людей будет затронута?
D iscoverability - как легко обнаружить угрозу?

Название DREAD происходит от инициалов пяти перечисленных категорий.

Распространение угроз по сети может привести к опасным ситуациям. В военной и гражданской областях уровень угрозы был определен: например, INFOCON - это уровень угрозы, используемый США. Ведущие поставщики антивирусного программного обеспечения публикуют на своих сайтах глобальный уровень угроз. ^[15]^[16]

Связанные условия [ править ]

Агенты или субъекты угроз [ править ]

Термин « агент угрозы» используется для обозначения лица или группы, которые могут проявить угрозу. Очень важно определить, кто захочет использовать активы компании и как они могут использовать их против компании. ^[17]

Лица в популяции угрозы; Практически любой и что угодно может при определенных обстоятельствах быть агентом угрозы - благонамеренный, но неумелый оператор компьютера, который портит ежедневное пакетное задание, набирая неправильную команду, регулирующий орган, выполняющий аудит, или белка, которая пережевывает кабель для передачи данных. ^[5]

Агенты угроз могут предпринять одно или несколько из следующих действий против актива: ^[5]

Доступ - простой несанкционированный доступ
Неправильное использование - нецелевое использование средств (например, кражи личных данных, создание службы распространения порно на скомпрометированный сервере и т.д.)
Раскрыть - агент угрозы незаконно раскрывает конфиденциальную информацию.
Изменить - несанкционированные изменения актива
Запретить доступ - включает уничтожение, кражу актива, не содержащего данных, и т. Д.

Важно понимать, что каждое из этих действий по-разному влияет на разные активы, что определяет степень и характер убытков. Например, вероятность потери производительности в результате уничтожения или кражи актива зависит от того, насколько критичным является этот актив для производительности организации. Если к критически важному активу получить доступ незаконно, прямой потери производительности не будет. Точно так же уничтожение высокочувствительного актива, который не играет критической роли в производительности, не приведет напрямую к значительному снижению производительности. Тем не менее, тот же актив, если он будет раскрыт, может привести к значительной потере конкурентного преимущества или репутации и повлечь судебные издержки. Дело в том, что именно сочетание актива и типа действий против актива определяет фундаментальный характер и степень убытков.Действия, предпринимаемые агентом угрозы, будут в первую очередь определяться мотивом этого агента (например, финансовая выгода, месть, отдых и т. Д.) И характером актива. Например, агент угрозы, стремящийся к финансовой выгоде, с меньшей вероятностью уничтожит критически важный сервер, чем украдет актив, который легко закладывается, например, ноутбук.^[5]

Важно разделить концепцию события, когда агент угрозы входит в контакт с активом (даже виртуально, то есть через сеть), и события, когда агент угрозы действует против актива. ^[5]

OWASP собирает список потенциальных агентов угроз, чтобы предотвратить создание систем, а программисты вставляют уязвимости в программное обеспечение. ^[17]

Агент угрозы = Возможности + Намерения + Прошлые действия

Эти люди и группы можно классифицировать следующим образом: ^[17]

Конкретные нецелевые: Агенты, не предназначенные для конкретных целей, представляют собой компьютерные вирусы, черви, трояны и логические бомбы.
Сотрудники: сотрудники, подрядчики, эксплуатационный / обслуживающий персонал или охранники, которых раздражает компания.
Организованная преступность и преступники. Преступники нацелены на информацию, которая имеет для них ценность, например на банковские счета, кредитные карты или интеллектуальную собственность, которая может быть конвертирована в деньги. Преступники часто прибегают к помощи инсайдеров.
Корпорации: корпорации участвуют в наступательной информационной войне или конкурентной разведке. Под эту категорию подпадают партнеры и конкуренты.
Человек, непреднамеренное: несчастные случаи, невнимательность.
Человек, намеренно: инсайдер, аутсайдер.
Естественные: наводнение, огонь, молния, метеор, землетрясения.

Источник угрозы [ править ]

Источниками угрозы являются те, кто желает компромисса. Это термин, используемый для того, чтобы отличить их от агентов / субъектов угрозы, которые осуществляют атаку и которые могут быть уполномочены или убеждены источником угрозы сознательно или неосознанно провести атаку. ^[18]

Сообщества угроз [ править ]

Сообщества угроз

Подмножества общей популяции агентов угрозы, которые имеют общие ключевые характеристики. Понятие сообществ угроз - мощный инструмент для понимания того, с кем и с чем мы сталкиваемся, пытаясь управлять рисками. Например, вероятность того, что организация подвергнется атаке со стороны сообщества террористической угрозы, будет в значительной степени зависеть от характеристик вашей организации относительно мотивов, намерений и возможностей террористов. Тесно ли связана эта организация с идеологией, которая конфликтует с известными активными террористическими группами? Представляет ли организация крупную цель с высокой отдачей? Является ли организация легкой мишенью? Как организация сравнивается с другими потенциальными целями? Если организация подвергнется атаке, какие компоненты организации станут вероятными целями? Например,насколько вероятно, что террористы нацелятся на информацию или системы компании?^[5]

Следующие сообщества угроз являются примерами ландшафта вредоносных угроз, с которыми сталкиваются многие организации:

Внутренний
- Сотрудники
- Подрядчики (и поставщики)
- Партнеры
Внешний
- Киберпреступники (профессиональные хакеры)
- Шпионы
- Непрофессиональные хакеры
- Активисты
- Национальные государственные разведывательные службы (например, партнеры ЦРУ и т. Д.)
- Авторы вредоносных программ (вирусов, червей и т. Д.)

Действие угрозы [ править ]

Действие угрозы - это нарушение безопасности системы.
Полная архитектура безопасности имеет дело как с преднамеренными действиями (например, атаками), так и со случайными событиями. ^[19]

Различные виды действий при угрозах определяются как подстатьи «последствия угрозы».

Анализ угроз [ править ]

Анализ угроз - это анализ вероятности возникновения и последствий повреждающих действий для системы. ^[1] Это основа анализа рисков .

Последствия угрозы [ править ]

Последствия угрозы - это нарушение безопасности в результате действия угрозы. ^[1]
Включает разоблачение, обман, подрыв и узурпацию.

Следующие подстатьи описывают четыре вида последствий угроз, а также перечисляют и описывают виды действий при угрозах, которые вызывают каждое последствие. ^[1] Действия угроз, которые являются случайными событиями, отмечены знаком «*».

«Несанкционированное раскрытие» (последствия угрозы)

Обстоятельство или событие, при котором организация получает доступ к данным, для которых организация не авторизована. (См .: конфиденциальность данных.) Следующие действия угроз могут вызвать несанкционированное раскрытие:

« Разоблачение »

Действие угрозы, при котором конфиденциальные данные напрямую передаются неавторизованному лицу. Это включает в себя:

«Умышленное воздействие»: Преднамеренная передача конфиденциальных данных неавторизованному лицу.
" Уборка мусора ": Поиск остатков данных в системе для получения несанкционированных сведений о конфиденциальных данных.
* « Человеческая ошибка »: Действия или бездействие человека, непреднамеренно приводящие к получению организацией несанкционированного доступа к конфиденциальным данным.
* «Аппаратная / программная ошибка»: Системный сбой, в результате которого объект получает несанкционированные сведения о конфиденциальных данных.

« Перехват »:

Действие угрозы, при котором неавторизованный объект напрямую получает доступ к конфиденциальным данным, передаваемым между авторизованными источниками и местами назначения. Это включает в себя:

« Кража »: Получение доступа к конфиденциальным данным путем кражи партии физического носителя, такого как магнитная лента или диск, на котором хранятся данные.
«Прослушивание телефонных разговоров (пассивное)»: Мониторинг и запись данных, которые проходят между двумя точками в системе связи. (См .: прослушка .)
«Анализ эманаций»: Получение непосредственных сведений о передаваемых данных путем мониторинга и разрешения сигнала, который излучается системой и который содержит данные, но не предназначен для передачи данных.

" Заключение "

Действие угрозы, при котором неавторизованный объект косвенно получает доступ к конфиденциальным данным (но не обязательно к данным, содержащимся в сообщении), исходя из характеристик или побочных продуктов связи. Это включает в себя:

« Анализ трафика »: Получение знаний о данных путем наблюдения за характеристиками коммуникаций, по которым они передаются.
«Анализ сигналов»: Получение косвенных сведений об передаваемых данных путем мониторинга и анализа сигнала, который излучается системой и который содержит данные, но не предназначен для передачи данных.

« Вторжение »

Действие при угрозе, при котором неавторизованный объект получает доступ к конфиденциальным данным, обходя средства защиты системы. Это включает в себя:

" Посягательство ": Получение несанкционированного физического доступа к конфиденциальным данным путем обхода защиты системы.
«Проникновение»: Получение несанкционированного логического доступа к конфиденциальным данным путем обхода защиты системы.
« Обратный инжиниринг »: Получение конфиденциальных данных путем разборки и анализа конструкции компонента системы.
« Криптоанализ »: Преобразование зашифрованных данных в простой текст без предварительного знания параметров или процессов шифрования.

« Обман » (последствие угрозы)

Обстоятельство или событие, которое может привести к тому, что уполномоченный орган получит ложные данные и сочтет их правдивыми. Следующие действия угрозы могут вызвать обман:

"Маскарад"

Действие угрозы, при котором неавторизованный объект получает доступ к системе или выполняет злонамеренное действие, выдавая себя за уполномоченный объект.

"Обманывать": Попытка неавторизованного объекта получить доступ к системе, выдав себя за авторизованного пользователя.
«Вредоносная логика»: В контексте маскарада любое оборудование, микропрограммное обеспечение или программное обеспечение (например, троянский конь), которое, кажется, выполняет полезную или желаемую функцию, но на самом деле получает несанкционированный доступ к системным ресурсам или обманом заставляет пользователя выполнить другую вредоносную логику.

« Фальсификация »

Действие угрозы, при котором ложные данные вводят в заблуждение уполномоченный орган. (См .: активное прослушивание телефонных разговоров.)

« Замена »: Изменение или замена достоверных данных ложными с целью обмана уполномоченного лица.
« Вставка »: Представление ложных данных с целью обмана уполномоченного лица.

"Отречение"

Действие угрозы, посредством которого субъект обманывает другого, ложно отрицая ответственность за действие.

«Ложное отрицание происхождения»: Действия, при которых создатель данных отрицает ответственность за их создание.
«Ложный отказ в получении»: Действие, при котором получатель данных отрицает получение и владение данными.

« Срыв » (последствия угрозы)

Обстоятельство или событие, которое прерывает или препятствует правильной работе системных служб и функций. (См .: отказ в обслуживании .) Следующие действия могут вызвать нарушение:

« Недееспособность »

Действие угрозы, которое предотвращает или прерывает работу системы, отключая ее компонент.

«Вредоносная логика»: В контексте вывода из строя любое оборудование, микропрограммное обеспечение или программное обеспечение (например, логическая бомба), намеренно введенное в систему для уничтожения системных функций или ресурсов.
«Физическое уничтожение»: Умышленное разрушение компонента системы с целью прерывания или предотвращения работы системы.
* "Человеческая ошибка": Действие или бездействие, непреднамеренно отключающее компонент системы.
* «Аппаратная или программная ошибка»: Ошибка, которая вызывает отказ какого-либо компонента системы и приводит к нарушению работы системы.
* "Природная катастрофа": Любое стихийное бедствие (например, пожар, наводнение, землетрясение, молния или ветер), которое выводит из строя компонент системы. ^[19]

« Коррупция »

Действие при угрозе, которое нежелательно изменяет работу системы, отрицательно изменяя системные функции или данные.

« Тампер »: В контексте коррупции - преднамеренное изменение системной логики, данных или управляющей информации с целью прерывания или предотвращения правильной работы системных функций.
«Вредоносная логика»: В контексте повреждения любое оборудование, микропрограммное обеспечение или программное обеспечение (например, компьютерный вирус), намеренно введенное в систему для изменения системных функций или данных.
* "Человеческая ошибка": Действия или бездействие человека, непреднамеренно приводящие к изменению функций или данных системы.
* «Аппаратная или программная ошибка»: Ошибка, приводящая к изменению системных функций или данных.
* "Природная катастрофа": Любое природное событие (например, скачок напряжения, вызванное молнией), изменяющее функции или данные системы. ^[19]

« Препятствие »

Действие угрозы, которое прерывает предоставление системных услуг, препятствуя работе системы.

« Вмешательство »: Нарушение работы системы из-за блокировки коммуникаций, пользовательских данных или управляющей информации.
« Перегрузка »: Помеха работе системы из-за чрезмерной нагрузки на производительность компонентов системы. (См .: наводнение .)

« Узурпация » (последствие угрозы)

Обстоятельство или событие, которое приводит к контролю системных служб или функций неавторизованным лицом. Следующие действия угрозы могут вызвать узурпацию:

« Незаконное присвоение »

Действие угрозы, при котором объект принимает на себя неавторизованный логический или физический контроль над системным ресурсом.

«Воровство услуги»: Несанкционированное использование услуги юридическим лицом.
«Кража функциональности»: Несанкционированное получение реального оборудования, программного обеспечения или прошивки компонента системы.
«Кража данных»: Несанкционированный сбор и использование данных.

" Неправильное использование "

Действие угрозы, которое заставляет компонент системы выполнять функцию или услугу, наносящую ущерб безопасности системы.

« Тампер »: В контексте неправомерного использования - преднамеренное изменение логики системы, данных или управляющей информации с целью заставить систему выполнять несанкционированные функции или услуги.
«Вредоносная логика»: В контексте неправомерного использования любое оборудование, программное обеспечение или микропрограммное обеспечение, намеренно введенное в систему для выполнения или контроля выполнения неавторизованной функции или услуги.
« Нарушение из разрешений »: Действие объекта, превышающее системные привилегии объекта, путем выполнения неавторизованной функции.

Угроза ландшафта или окружающей среды [ править ]

Набор угроз в определенной области или контексте с информацией об идентифицированных уязвимых активах, угрозах, рисках, субъектах угроз и наблюдаемых тенденциях. ^[20]^[21]

Управление угрозами [ править ]

Для управления угрозами необходимо использовать СМИБ, выполняя все действия по управлению ИТ-рисками, предусмотренные законами, стандартами и методологиями.

Очень крупные организации обычно принимают планы управления непрерывностью бизнеса , чтобы защищать, поддерживать и восстанавливать критически важные для бизнеса процессы и системы. Некоторые из этих планов предусматривают создание группы реагирования на инциденты компьютерной безопасности ( CSIRT ) или группы реагирования на компьютерные чрезвычайные ситуации ( CERT ).

Есть какая-то проверка процесса управления угрозами:

Аудит информационной безопасности
Тест на проникновение

Большинство организаций выполняют подмножество этих шагов, принимая контрмеры, основанные на несистематическом подходе: компьютерная незащищенность изучает поле битвы эксплойтов компьютерной безопасности и возникающих в результате средств защиты.

Осведомленность об информационной безопасности является важным рынком (см. Категорию: компании, занимающиеся компьютерной безопасностью ). Было разработано много программного обеспечения для борьбы с ИТ-угрозами, включая как программное обеспечение с открытым исходным кодом (см. Категорию: бесплатное программное обеспечение для обеспечения безопасности ), так и несвободное программное обеспечение (см. Категорию: компании, занимающиеся разработкой программного обеспечения для компьютерной безопасности, для получения неполного списка).

Управление киберугрозами [ править ]

Управление угрозами включает в себя широкий спектр угроз, включая физические угрозы, такие как наводнение и пожар. Хотя процесс оценки риска СМИБ включает управление угрозами для киберугроз, таких как удаленное переполнение буфера, процесс оценки риска не включает в себя такие процессы, как управление информацией об угрозах или процедуры реагирования.

Управление киберугрозами (CTM) становится передовой практикой управления киберугрозами, выходящей за рамки базовой оценки рисков в СМИБ. Он обеспечивает раннее выявление угроз, ситуационную осведомленность на основе данных, принятие точных решений и своевременные действия по снижению угроз. ^[22]

CTM включает:

Ручной и автоматический сбор информации и анализ угроз
Комплексная методология мониторинга в реальном времени, включая передовые методы, такие как поведенческое моделирование
Использование расширенной аналитики для оптимизации аналитики, генерации аналитики безопасности и обеспечения ситуационной осведомленности
Технологии и квалифицированные специалисты, использующие ситуационную осведомленность для принятия быстрых решений и автоматизированных или ручных действий

Охота на угрозы [ править ]

Охота на киберугроз - это «процесс упреждающего и итеративного поиска в сетях для обнаружения и изоляции сложных угроз, которые обходят существующие решения безопасности». ^[23] Это контрастирует с традиционными мерами управления угрозами, такими как системы обнаружения вторжений межсетевых экранов и SIEM , которые обычно включают расследование после того , как появилось предупреждение о потенциальной угрозе или произошел инцидент.

Поиск угроз может быть ручным процессом, в котором аналитик безопасности просматривает различную информацию данных, используя свои знания и знакомство с сетью, чтобы создать гипотезы о потенциальных угрозах. Однако, чтобы быть еще более эффективным и действенным, поиск угроз может быть частично автоматизирован или автоматизирован. В этом случае аналитик использует программное обеспечение, которое использует машинное обучение и аналитику поведения пользователей и объектов (UEBA), чтобы информировать аналитика о потенциальных рисках. Затем аналитик исследует эти потенциальные риски, отслеживая подозрительное поведение в сети. Таким образом, поиск - это итеративный процесс, а это означает, что он должен выполняться непрерывно в цикле, начиная с гипотезы. Есть три типа гипотез:

На основе аналитики: «Машинное обучение и UEBA, используемые для разработки агрегированных оценок риска, которые также могут служить в качестве охотничьих гипотез» ^[24]
На основе ситуационной осведомленности: «Анализ Crown Jewel, оценка рисков предприятия, тенденции на уровне компании или сотрудников» ^[24]
На основе аналитики: «Отчеты об угрозах, потоки аналитических данных об угрозах, анализ вредоносных программ, сканирование уязвимостей» ^[24]

Аналитик исследует свою гипотезу, просматривая огромные объемы данных о сети. Затем результаты сохраняются, чтобы их можно было использовать для улучшения автоматизированной части системы обнаружения и в качестве основы для будущих гипотез.

SANS Institute провел исследование и обзоры по эффективности угроз охоты для отслеживания и сорвать кибер противников уже в процессе их как можно скорее. Согласно опросу, опубликованному в 2016 году, «приверженцы этой модели сообщили о положительных результатах: 74 процента указали на уменьшение площади атак, 59 процентов - на более высокую скорость и точность ответов, а 52 процента - на обнаружение ранее необнаруженных угроз в своих сетях». ^[25]

См. Также [ править ]

Охота на киберугроз
Эксплойт (компьютерная безопасность)
IETF
Аудит безопасности информационных технологий
Информационная безопасность
Система обнаружения вторжений
IT риск
Физическая охрана
Управление уязвимостями

Ссылки [ править ]

^ a b c d e f Инженерная группа Интернета RFC 2828 Глоссарий по безопасности Интернета
^ «Федеральные стандарты обработки информации (FIPS) 200, минимальные требования безопасности для федеральной информации и информационных систем» (PDF) . Carc.nist.gov . Проверено 5 ноября 2013 года .
^ «Глоссарий - ENISA» . Enisa.europa.eu. 24 июля 2009 . Проверено 5 ноября 2013 года .
^ Техническая стандартная таксономия рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано Open Group, январь 2009 г.
^ a b c d e f "Введение в факторный анализ информационных рисков (FAIR)" (PDF) . Riskmanagementinsight.com . Ноябрь 2006. Архивировано из оригинального (PDF) 18 ноября 2014 года . Проверено 5 ноября 2013 года .
^ Скоу, Кори (1996). Справочник терминов INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и Организация по безопасности информационных систем)
^ «Глоссарий терминов» . Niatec.info . 12 декабря 2011 . Проверено 13 февраля 2012 года .
^ Райт, Джо; Джим Харменнинг (2009). «15». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. стр. 257. ISBN. 978-0-12-374354-1.
^ "ISACA ОСНОВА РИСКА" (PDF) . Isaca.org . Проверено 5 ноября 2013 года . ( требуется регистрация )
^ Разработка безопасности: руководство по созданию надежных распределенных систем, второе издание, Росс Андерсон, Вили, 2008 - 1040 страниц ISBN 978-0-470-06852-6 , Глава 2, страница 17
↑ Брайан Принс (7 апреля 2009 г.). «Использование Facebook для социального инженера - ваш путь к безопасности» . Eweek.com . Проверено 5 ноября 2013 года .
^ «Социальная инженерия через социальные сети» . Networkworld.com . Проверено 13 февраля 2012 года .
^ ISO / IEC, «Информационные технологии - Методы безопасности - Управление рисками информационной безопасности» ISO / IEC FIDIS 27005: 2008
^ "Модель угрозы STRIDE" . msdn.microsoft.com . Проверено 28 марта 2017 года .
^ «McAfee Threat Intelligence | McAfee, Inc.» . Mcafee.com . Проверено 13 февраля 2012 года .
^ «Threatcon - Symantec Corp.» . Symantec.com . 10 января 2012 . Проверено 13 февраля 2012 года .
^ a b c «Категория: Угроза» . OWASP. 9 декабря 2011 . Проверено 13 февраля 2012 года .
^ Стандарт HMG IA № 1 Оценка технических рисков
^ a b c «ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ FIPS PUB 31: ИЮНЬ 1974» (PDF) . Tricare.mil . Проверено 5 ноября 2013 года . ^{[ постоянная мертвая ссылка ]}
^ Руководство ENISA по ландшафту угроз и передовой практике для умного дома и конвергентных медиа (1 декабря 2014 г.)
^ Обзор угроз ENISA, 2013 г. - Обзор текущих и возникающих киберугроз (11 декабря 2013 г.)
^ «Что такое управление киберугрозами» . ioctm.org . Проверено 28 января 2015 .
^ «Охота на киберугроз: как эта стратегия обнаружения уязвимостей дает аналитикам преимущество - TechRepublic» . TechRepublic . Проверено 7 июня +2016 .
^ a b c «Охота на киберугроз - Sqrrl» . Sqrrl . Проверено 7 июня +2016 .
^ «Техника охоты за угрозами помогает отражать кибератаки» . BetaNews . 14 апреля 2016 . Проверено 7 июня +2016 .

Внешние ссылки [ править ]

Викискладе есть медиафайлы по теме « Угроза (компьютер)» .

Срок в FISMApedia
Система управления киберугрозами

[rfc2828-1] Инженерная группа Интернета RFC 2828 Глоссарий по безопасности Интернета

[2] «Федеральные стандарты обработки информации (FIPS) 200, минимальные требования безопасности для федеральной информации и информационных систем» (PDF) . Carc.nist.gov . Проверено 5 ноября 2013 года .

[3] «Глоссарий - ENISA» . Enisa.europa.eu. 24 июля 2009 . Проверено 5 ноября 2013 года .

[4] Техническая стандартная таксономия рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано Open Group, январь 2009 г.

[FAIRW-5] "Введение в факторный анализ информационных рисков (FAIR)" (PDF) . Riskmanagementinsight.com . Ноябрь 2006. Архивировано из оригинального (PDF) 18 ноября 2014 года . Проверено 5 ноября 2013 года .

[6] Скоу, Кори (1996). Справочник терминов INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и Организация по безопасности информационных систем)

[7] «Глоссарий терминов» . Niatec.info . 12 декабря 2011 . Проверено 13 февраля 2012 года .

[Vacca-8] Райт, Джо; Джим Харменнинг (2009). «15». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. стр. 257. ISBN. 978-0-12-374354-1.

[9] "ISACA ОСНОВА РИСКА" (PDF) . Isaca.org . Проверено 5 ноября 2013 года . ( требуется регистрация )

[10] ^ Разработка безопасности: руководство по созданию надежных распределенных систем, второе издание, Росс Андерсон, Вили, 2008 - 1040 страниц ISBN 978-0-470-06852-6 , Глава 2, страница 17

[11] Брайан Принс (7 апреля 2009 г.). «Использование Facebook для социального инженера - ваш путь к безопасности» . Eweek.com . Проверено 5 ноября 2013 года .

[12] «Социальная инженерия через социальные сети» . Networkworld.com . Проверено 13 февраля 2012 года .

[ISO27005-13] ISO / IEC, «Информационные технологии - Методы безопасности - Управление рисками информационной безопасности» ISO / IEC FIDIS 27005: 2008

[14] "Модель угрозы STRIDE" . msdn.microsoft.com . Проверено 28 марта 2017 года .

[15] «McAfee Threat Intelligence | McAfee, Inc.» . Mcafee.com . Проверено 13 февраля 2012 года .

[16] «Threatcon - Symantec Corp.» . Symantec.com . 10 января 2012 . Проверено 13 февраля 2012 года .

[OWASP-17] «Категория: Угроза» . OWASP. 9 декабря 2011 . Проверено 13 февраля 2012 года .

[18] Стандарт HMG IA № 1 Оценка технических рисков

[FIPS31-19] «ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ FIPS PUB 31: ИЮНЬ 1974» (PDF) . Tricare.mil . Проверено 5 ноября 2013 года . ^{[ постоянная мертвая ссылка ]}

[20] Руководство ENISA по ландшафту угроз и передовой практике для умного дома и конвергентных медиа (1 декабря 2014 г.)

[21] Обзор угроз ENISA, 2013 г. - Обзор текущих и возникающих киберугроз (11 декабря 2013 г.)

[22] «Что такое управление киберугрозами» . ioctm.org . Проверено 28 января 2015 .

[23] «Охота на киберугроз: как эта стратегия обнаружения уязвимостей дает аналитикам преимущество - TechRepublic» . TechRepublic . Проверено 7 июня +2016 .

[:0-24] «Охота на киберугроз - Sqrrl» . Sqrrl . Проверено 7 июня +2016 .

[25] «Техника охоты за угрозами помогает отражать кибератаки» . BetaNews . 14 апреля 2016 . Проверено 7 июня +2016 .

[1]