Из Википедии, свободной энциклопедии
Перейти к навигации Перейти к поиску

Моделирование угроз - это процесс, с помощью которого потенциальные угрозы, такие как структурные уязвимости или отсутствие соответствующих мер защиты, могут быть идентифицированы, перечислены, а меры по их устранению могут быть расставлены по приоритетам. Цель моделирования угроз - предоставить защитникам систематический анализ того, какие средства контроля или защиты необходимо включить, учитывая характер системы, профиль вероятного злоумышленника, наиболее вероятные векторы атаки и активы, наиболее востребованные злоумышленником. Моделирование угроз отвечает на вопросы типа «Где я наиболее уязвим для атак?» , «Какие угрозы наиболее актуальны?» и «Что мне нужно сделать, чтобы защититься от этих угроз?» .

Теоретически большинство людей включают в свою повседневную жизнь те или иные формы моделирования угроз и даже не осознают этого. Пассажиры используют моделирование угроз, чтобы рассмотреть, что может пойти не так во время утренней поездки на работу, и принять превентивные меры, чтобы избежать возможных несчастных случаев. Дети участвуют в моделировании угроз, определяя лучший путь к намеченной цели, избегая при этом хулиганов на игровой площадке. В более формальном смысле моделирование угроз использовалось для определения приоритетов военной оборонительной подготовки с древних времен.

Эволюция моделирования угроз на базе ИТ [ править ]

Вскоре после того, как в начале 1960-х годов дебютировали совместные вычисления, люди начали искать способы использовать уязвимости системы безопасности для личной выгоды. [1] В результате инженеры и ученые-информатики вскоре начали разрабатывать концепции моделирования угроз для систем информационных технологий.

Ранние методологии моделирования угроз на базе ИТ основывались на концепции архитектурных паттернов [2], впервые представленной Кристофером Александром в 1977 году. В 1988 году Роберт Барнард разработал и успешно применил первый профиль для атакующего на ИТ-систему.

В 1994 году Эдвард Аморосо выдвинул концепцию «дерева угроз» в своей книге «Основы технологии компьютерной безопасности. [3] »Концепция дерева угроз была основана на диаграммах дерева решений. Деревья угроз графически представляют, как можно использовать потенциальную угрозу ИТ-системе.

Независимо, аналогичная работа была проведена NSA и DARPA над структурированным графическим представлением того, как могут быть выполнены конкретные атаки на IT-системы. Получившееся представление было названо « деревьями атак ». В 1998 году Брюс Шнайер опубликовал свой анализ киберрисков с использованием деревьев атак в своей статье, озаглавленной «На пути к методологии проектирования безопасных систем. [4]«Работа оказалась плодотворным вкладом в эволюцию моделирования угроз для ИТ-систем. В анализе Шнайера цель атакующего представлена ​​как «корневой узел», а потенциальные средства достижения цели представлены как «конечные узлы». Использование дерева атак таким образом позволило профессионалам в области кибербезопасности систематически рассматривать несколько векторов атак против любой определенной цели.

В 1999 году специалисты Microsoft по кибербезопасности Лорен Конфельдер и Праэрит Гарг разработали модель для рассмотрения атак, относящихся к среде разработки Microsoft Windows. ( STRIDE [5] - это акростих для подделки личности, фальсификации данных, отказа от авторства, раскрытия информации, отказа в обслуживании, повышения привилегий) Полученная в результате мнемоника помогает специалистам по безопасности систематически определять, как потенциальный злоумышленник может использовать любую угрозу, включенную в STRIDE.

В 2003 году был представлен метод OCTAVE [6] (оценка критических угроз, активов и уязвимостей), методология моделирования угроз, ориентированная на операции, с акцентом на управление рисками организации.

В 2004 году Фрэнк Свидерски и Окно Снайдер написали «Моделирование угроз», выпущенное Microsoft Press. В нем они разработали концепцию использования моделей угроз для создания безопасных приложений.

В 2014 году Райан Стиллионс высказал идею о том, что киберугрозы должны выражаться на разных семантических уровнях, и предложил модель DML (уровень зрелости обнаружения). [7] Атака - это реализация сценария угрозы, который создается конкретным злоумышленником с определенной целью и стратегией ее достижения. Цель и стратегия представляют собой высшие семантические уровни модели DML. Далее следует TTP (Тактика, методы и процедуры), которые представляют промежуточные семантические уровни. Самые низкие семантические уровни модели DML - это инструменты, используемые злоумышленником, хостом и наблюдаемыми сетевыми артефактами, такими как пакеты и полезные данные, и, наконец, атомарные индикаторы, такие как IP-адреса на самом низком семантическом уровне. Текущий SIEMИнструменты (информация о безопасности и управление событиями) обычно предоставляют индикаторы только на самом низком семантическом уровне. Следовательно, существует необходимость в разработке инструментов SIEM, которые могут предоставлять индикаторы угроз на более высоких семантических уровнях. [8]

Методологии моделирования угроз для ИТ-целей [ править ]

Концептуально практика моделирования угроз вытекает из методологии. Для реализации доступны многочисленные методологии моделирования угроз. Как правило, моделирование угроз реализуется с использованием одного из четырех независимых подходов: ориентированного на ресурсы, ориентированного на злоумышленника и ориентированного на программное обеспечение. Основываясь на объеме опубликованного онлайн-контента, наиболее известны методики, обсуждаемые ниже.

Методология STRIDE [ править ]

STRIDE подход к моделированию угроз был введен в 1999 году в Microsoft, обеспечивая мнемоник для разработчиков , чтобы найти «угрозу для нашей продукции». [9] STRIDE, Patterns and Practices и Asset / entry point были среди подходов к моделированию угроз, разработанных и опубликованных Microsoft. Ссылки на «методологию Microsoft» обычно означают STRIDE и диаграммы потоков данных.

ПАСТА [ править ]

Процесс моделирования атак и анализа угроз (PASTA) представляет собой семиэтапную методологию, ориентированную на риски. [10] Он обеспечивает семиэтапный процесс согласования бизнес-целей и технических требований с учетом вопросов соответствия и бизнес-анализа. Назначение метода - обеспечить процесс динамической идентификации, перечисления и оценки угроз. После того, как модель угроз будет завершена, эксперты в области безопасности проводят подробный анализ выявленных угроз. Наконец, можно перечислить соответствующие меры безопасности. Эта методология предназначена для обеспечения ориентированного на злоумышленника представления о приложении и инфраструктуре, на основе которого защитники могут разработать стратегию смягчения последствий, ориентированную на ресурсы.

Трайк [ править ]

Основное внимание в методологии Trike [11] уделяется использованию моделей угроз в качестве инструмента управления рисками. В рамках этой структуры модели угроз используются для удовлетворения процесса аудита безопасности. Модели угроз основаны на «модели требований». Модель требований устанавливает определяемый заинтересованными сторонами «приемлемый» уровень риска, присваиваемый каждому классу активов. Анализ модели требований дает модель угроз, из которой перечисляются угрозы и присваиваются значения риска. Завершенная модель угроз используется для построения модели риска на основе актива, ролей, действий и расчетной подверженности риску.

Общепринятые процессы моделирования ИТ-угроз [ править ]

Все процессы моделирования ИТ-угроз начинаются с создания визуального представления анализируемого приложения и / или инфраструктуры. Приложение / инфраструктура разбита на различные элементы для облегчения анализа. После завершения визуальное представление используется для выявления и перечисления потенциальных угроз. Дальнейший анализ модели в отношении рисков, связанных с идентифицированными угрозами, приоритезация угроз и перечисление соответствующих средств смягчения последствий зависит от методологической основы для используемого процесса модели угроз. Идентификация и перечисление угроз (или целей смягчения) могут выполняться либо с ориентацией на атаку , либо с ориентацией на активы.путь. Первый фокусируется на типах возможных атак, которые необходимо предотвратить, тогда как второй фокусируется на активах, которые должны быть защищены.

Визуальные представления на основе диаграмм потоков данных [ править ]

Диаграмма потока данных - приложение для онлайн-банкинга

Методология Microsoft, PASTA и Trike разрабатывают визуальное представление инфраструктуры приложений с использованием диаграмм потоков данных (DFD). DFD были разработаны в 1970-х годах как инструмент, позволяющий системным инженерам сообщать на высоком уровне, как приложение заставляет данные передаваться, храниться и управляться инфраструктурой, на которой работает приложение. Традиционно в DFD используются только четыре уникальных символа: потоки данных, хранилища данных, процессы и взаимодействующие элементы. В начале 2000-х годов был добавлен дополнительный символ, границы доверия, чтобы позволить использовать DFD для моделирования угроз.

После того, как система инфраструктуры приложений разбита на пять элементов, эксперты по безопасности рассматривают каждую идентифицированную точку входа для всех известных категорий угроз. После выявления потенциальных угроз можно перечислить меры по снижению уровня безопасности или провести дополнительный анализ.

Инструменты моделирования угроз [ править ]

В настоящее время доступен ряд программных инструментов для моделирования угроз:

  • IriusRisk предлагает как версию для сообщества, так и коммерческую версию инструмента. Этот инструмент ориентирован на создание и поддержку действующей модели угроз на протяжении всего жизненного цикла разработки безопасности (SDLC). Он управляет процессом с помощью полностью настраиваемых анкет и библиотек шаблонов рисков, с блок-схемами и интеграцией с DevSecOps (OWASP ZAP, BDD-Security, Threadfix ...) для расширения возможностей автоматизации. [12]
  • Бесплатный инструмент Microsoft для моделирования угроз - Threat Modeling Tool (ранее SDL Threat Modeling Tool). [13] Этот инструмент также использует методологию моделирования угроз Microsoft, основан на DFD и выявляет угрозы на основе схемы классификации угроз STRIDE. Он предназначен в первую очередь для общего пользования.
  • MyAppSecurity предлагает коммерчески доступный инструмент моделирования угроз - ThreatModeler . [14] Он использует методологию VAST, основан на PFD и определяет угрозы на основе настраиваемой всеобъемлющей библиотеки угроз. [15] Он предназначен для совместного использования всеми заинтересованными сторонами в организации.
  • PyTM - это среда Pythonic с открытым исходным кодом для моделирования угроз. Он кодирует информацию об угрозах в коде Python и обрабатывает этот код в различных формах. [16]
  • securiCAD - это инструмент моделирования угроз и управления рисками от скандинавской компании Foreseeti. Он предназначен для управления кибербезопасностью компании, от директора по информационной безопасности до инженера по безопасности и технического специалиста. securiCAD выполняет автоматическое моделирование атак на текущие и будущие ИТ-архитектуры, выявляет и количественно оценивает риски в целом, включая структурные уязвимости, и обеспечивает поддержку принятия решений на основе полученных результатов. securiCAD предлагается как в коммерческой, так и в общественной версии. [17]
  • SD Elements от Security Compass - это платформа управления требованиями к безопасности программного обеспечения, которая включает в себя возможности автоматического моделирования угроз. Набор угроз создается путем заполнения короткой анкеты о технических деталях и драйверах соответствия приложения. Контрмеры включены в форму практических задач для разработчиков, которые можно отслеживать и управлять ими на протяжении всего SDLC. [18]
  • Tutamantic «Automated Design Analysis» - интересный инструмент, который предоставляет микросервисы для моделирования угроз. В отличие от интегрированных инструментов, пользователи загружают файл Visio и получают электронную таблицу угроз. [19]
  • OWASP Threat Dragon Project . Бесплатное онлайн-приложение для моделирования угроз с открытым исходным кодом, включая системные схемы и механизм правил для автоматического создания угроз / средств их устранения. [20]
  • Mozilla SeaSponge . Бесплатный доступный инструмент моделирования угроз с открытым исходным кодом от Mozilla. (Последнее обновление в 2015 г.) [21]
  • OVVL " Разработчик открытых слабостей и уязвимостей". Бесплатный инструмент моделирования угроз с открытым исходным кодом, основанный на STRIDE, с особым упором на обеспечение поддержки на более поздних этапах жизненного цикла безопасной разработки. [22]
  • TRADES Tool - это бесплатный инструмент моделирования угроз с открытым исходным кодом от Israel Aerospace Industries, основанный на методологии TRADES (оценка угроз и рисков для проектирования инженерных систем).

Другие области применения [ править ]

Моделирование угроз применяется не только к ИТ, но и к другим областям, таким как автомобили, [23] [24] здания и домашняя автоматизация . [25] В этом контексте моделируются угрозы безопасности и конфиденциальности, такие как информация о профилях передвижения жителей, рабочем времени и состоянии здоровья, а также физические или сетевые атаки. Последние могут использовать все больше и больше доступных функций интеллектуального здания, например, датчики (например, для слежки за жителями) и исполнительные механизмы (например, для открытия дверей). [25]

Ссылки [ править ]

  1. ^ Макмиллан, Роберт (2012). «Первый в мире компьютерный пароль? Он тоже был бесполезен» . Проводной бизнес.
  2. ^ Шостак, Адам (2014). «Моделирование угроз: проектирование для обеспечения безопасности» . John Wiley & Sons Inc: Индианаполис.
  3. Перейти ↑ Amoroso, Edward G (1994). «Основы технологии компьютерной безопасности» . AT&T Bell Labs. Прентис-Холл: Верхняя Седл-Ривер.
  4. ^ Шнайер, Брюс; и другие. (1998). «На пути к методологии проектирования безопасных систем» (PDF) . Агентство национальной безопасности: Вашингтон.
  5. ^ "Режим угрозы STRIDE" . Microsoft. 2016 г.
  6. ^ Альбертс, Кристофер (2003). «Введение в подход OCTAVE®» (PDF) . Институт программной инженерии, Карнеги-Меллон: Питтсбург.
  7. ^ Stillions, Ryan (2014). «Модель DML» . Блог о безопасности Райана Стиллиона . Райан Стиллионс.
  8. ^ Bromander, Siri (2016). «Семантическое моделирование киберугроз» (PDF) . Семантические технологии для разведки, обороны и безопасности (STIDS 2016).
  9. ^ Конфельдер, Лорен; Гарг, Праэрит. «Угрозы нашей продукции» . Microsoft . Проверено 20 сентября 2016 года .
  10. ^ Ucedavélez, Тони и Марко М. Морана (2015). «Риск-ориентированное моделирование угроз: процесс моделирования атак и анализа угроз» . Джон Вили и сыновья: Хобекин.
  11. ^ Эддингтон, Майкл, Бренд Larcom, и Элеонора Saitta (2005). «Методический документ Trike v1» . Octotrike.org .
  12. ^ «Irius Risk Threat Modeling Tool» . ИриусРиск. 2016 г.
  13. ^ «Что нового в Microsoft Threat Modeling Tool 2016» . Блог Microsoft Secure . Microsoft. 2015 г.
  14. ^ "ThreatModeler Home" . ThreatModeler .
  15. Агарвал, Анураг «Арчи» и др. Обширная библиотека угроз . Различные интервью. Возможности трансформации: Прескотт-Вэлли. 2016 г.
  16. ^ Тарандач. «Фреймворк Pythonic для моделирования угроз» . Проверено 12 марта 2019 .
  17. ^ "Моделирование киберугроз и управление рисками - securiCAD от foreseeti" . Foreseeti.
  18. ^ "Элементы SD по компасу безопасности" . www.securitycompass.com . Проверено 24 марта 2017 .
  19. ^ "Особенности Тутамена" . Тутамантик . Проверено 12 марта 2019 .
  20. ^ "Проект Угрожающего Дракона OWASP" . www.owasp.org . Проверено 11 марта 2019 .
  21. ^ «Инструмент моделирования угроз Mozilla SeaSponge» . www.mozilla.org . Проверено 11 марта 2019 .
  22. ^ Шаад, Андреас; Рески, Тобиас (2019). « » Открытая слабость и уязвимость Modeler «(OVVL): Обновленный подход к моделированию угроз» . Материалы 16-й Международной совместной конференции по электронному бизнесу и телекоммуникациям . Прага, Чешская Республика: SCITEPRESS - Научно-технические публикации: 417–424. DOI : 10.5220 / 0007919004170424 . ISBN 978-989-758-378-0.
  23. ^ http://publications.lib.chalmers.se/records/fulltext/252083/local_252083.pdf
  24. ^ Хамад, Мохаммад; Превелакис, Василис; Нольте, Маркус (ноябрь 2016 г.). «На пути к всестороннему моделированию угроз для транспортных средств» (PDF) . Публикации Институт компьютерной и сетевой инженерии. DOI : 10,24355 / dbbs.084-201806251532-0 . Проверено 11 марта 2019 . Цитировать журнал требует |journal=( помощь )
  25. ^ а б Мейер, Д .; Haase, J .; Eckert, M .; Клауэр, Б. (01.07.2016). «Модель угроз для автоматизации зданий и дома». 14-я Международная конференция по промышленной информатике (INDIN), 2016 г., IEEE : 860–866. DOI : 10.1109 / INDIN.2016.7819280 . ISBN 978-1-5090-2870-2.