В последнее время мне часто задают вопросы о том, когда ФСТЭК выпустит обещанную методику моделирования угроз? Я уже устал отвечать "вот-вот" и "скоро". Могу предположить, что проблема в сложности получающегося документа. При достаточно большом числе потенциальных угроз, которые могут быть признаны актуальными на предприятии, процедура их определения становится достаточно сложной и не всеми подъемной. Упрощать документ - значит сознательно идти на потенциальное снижение защищенности информационных систем, что в текущих условиях может быть и неразумно. Оставлять как есть - плодить число нареканий на ФСТЭК и число запросов регулятору с просьбой разъяснить те или иные моменты новой методики. А в условиях нехватки ресурсов задача эта очень непростая. Я не знаю, как выкрутится из нее ФСТЭК, но на мой взгляд одним из выходов (хотя может быть и не очень быстрым) стала бы автоматизация процесса моделирования угроз. Вот и средствах такой автоматизации я бы и хотел поговорить.
На самом деле я планирую сделать две заметки по средствам моделирования угроз. В одной рассмотреть ключевые возможности, которыми должно обладать средство моделирования атак, а в другой - посмотреть на рынок таких средств. Начну я с первой темы. Итак, что выделяет хорошее решение по моделированию угроз и позволяет существенно снизить время и сложность составления перечня актуальных угроз для организации, ее отдельных процессов, систем или программных продуктов? Я бы обратил внимание на следующие ключевые моменты:
На самом деле я планирую сделать две заметки по средствам моделирования угроз. В одной рассмотреть ключевые возможности, которыми должно обладать средство моделирования атак, а в другой - посмотреть на рынок таких средств. Начну я с первой темы. Итак, что выделяет хорошее решение по моделированию угроз и позволяет существенно снизить время и сложность составления перечня актуальных угроз для организации, ее отдельных процессов, систем или программных продуктов? Я бы обратил внимание на следующие ключевые моменты:
- Библиотека компонентов, из которых будет строиться анализируемая система или продукт. Базы данных, web-сервисы, коммутаторы, точки доступа, МСЭ, база пользователей, хранилище криптографических ключей... Перечень компонентов должен быть обновляемым, а, возможно, и самостоятельно расширяемым, чтобы пользователь мог самостоятельно создать свой собственный элемент анализируемой системы.
- Наличие системы визуализации как бы вытекает из предыдущего пункта, но лучше это выделить особо. Компоненты из библиотеки надо уметь соединять между собой, строить информационные потоки между ними, тем самым облегчая процесс анализа угроз.
- Безусловно в системе должна быть библиотека (банк данных) угроз, из которых мы будем выбирать актуальные для нас. Библиотека должна быть не только расширяемой, но и иметь возможность подгружать данные из внешних источников, например, из банка данных угроз ФСТЭК или из базы CAPEC .
- Без библиотеки (банка данных) защитных мер средство моделирования угроз будет неполным. Мы же должны не просто составить перечень угроз, но и оперативно начать их нейтрализовывать, а для этого нужно сопоставить угрозы с защитными мерами, знанием о которых и должно быть оснащено средство моделирования. Как минимум, должна быть просто библиотека защитных мер (опять же пополняемая). Как максимум - система помогающая сопоставлять угрозы с защитными мерами в автоматическом режиме. Но задача это очень непростая.
- Система генерации отчетов должна на выходе создавать два отчета - список актуальных угроз и список нейтрализующих их мер защиты.
Я перечислил этакий джентльменский набор, которым должно обладать средство моделирования угроз. Разумеется, можно помечтать и расширениях, среди которых я бы выделил:
- Привязку защитных мер к различным стандартам, требованиям и лучшим практикам в области ИБ
- Учет динамичности угроз и многоходовости при их реализации. Правда, это скорее уже системы типа RedSeal или Skybox, которые могут динамически строить и перестраивать карту угроз, исходя из информации об уязвимостях, настройках средств защиты и т.п.
- Корпоративные фишки типа удаленного Web-доступа, ведения репозитория моделей угроз, ролевого доступа, отказоустойчивости и т.п.
- Учет разных целевых аудитория для модели угроз и, как следствие, разные описания угроз.
- Автоматизацию "пересчета" модели опираясь на новые угрозы, заложенные в систему.
- Возможность сравнения разных моделей угроз и анализа тенденций.
Вот такие мечты. Если бы ФСТЭК финансировала разработку такого инструмента (да еще и запустила бы его на своем сайте в виде онлайн-инструмента), то проблема со сложностью моделирования угроз исчезла бы в течение короткого промежутка времени. В крайнем случае, хорошо, если бы какой-либо лицензиат подхватил эту идею и предложил рынку средство автоматизации, рекомендуемое регулятором. Пока же ничего этого нет и приходится рассматривать существующие, преимущественно зарубежные средства моделирования угроз, о которых речь пойдет в следующей заметке.
