Модель угроз: от статической к динамической

Модель угроз: от статической к динамической
Вернусь к теме, поднятой почти 5 лет назад, - к тому, что должна содержать модель угроз. Описанные в заметке ГОСТы очень неплохо отвечают на этот вопрос, но... Есть одно "но". Составленная таким образом модель угроз нужна и важна, но она высокоуровнева и описывает скорее плоскую модель того, что может угрожать компании. В упрощенном виде такая модель представляет собой перечень возможных угроз (с некоторой дополнительной информацией).

В таком виде модель угроз очень похожа на список конфиденциальной информации. Список нужный, но на практике работать с ним сложно - он не конкретен в конкретной организации :-) Допустим, в модели угроз упомянуто использование уязвимостей. Каких? Где? На каких узлах? А если у меня стоит IPS, препятствующая их использованию?

И вот тут возникает необходимость в динамической модели угроз, которая создается не один раз и потом не меняется годами, а пересматривается по мере изменения ситуации с защищенностью организации. В ручном режиме это, к сожалению, делать не получается. По крайней мере в средней и крупной сети с ее изменчивой инфраструктурой и постоянно появляющимися и устраняющимися уязвимостями, которые постоянно меняют ландшафт низкоуровневых угроз. Посмотрим на пример. Мы видим результат анализа защищенности демилитаризованной зоны, визуализируемый на карте сети. Красным отображается вектора возможных атак.


Но такую картинку можно нарисовать и руками, используя схематическое изображение сети в Visio и данные от сканера уязвимостей. Гораздо интереснее отрисовать не просто одношаговую схему использования дыр, а увидеть весь потенциальный путь движения злоумышленника - от одного уязвимого узла к другому и так до финальной цели. Очевидно, что при большом количестве узлов в сети число возможных путей проникновения (путей реализации угроз) становится неподвластным "ручному" анализу. Нужна система автоматизации. На иллюстрации ниже показан именно такой пример, когда мы видим маршруты возможного движения злоумышленника в части реализации угрозы. 


Согласно данной картине, отражающей реальную ситуацию (определение канала реализации угрозы осуществляется путем анализа правил на сетевом оборудовании и межсетевых экранах и их сопоставлении с информацией об уязвимостях), у нас всего один способ попасть из ДМЗ во внутреннюю сеть. Перекрыв его, мы снижаем число угроз, актуальных извне (угрозы изнутри по-прежнему могут быть актуальными).


В идеале, наша задача увидеть вот такую картину:


Но тут встает другая проблема. Сеть меняется очень активно. Бизнесу может потребоваться запустить новый сервис, открыть какие-то порты или разрешить протоколы на сетевом оборудовании или межсетевом экране. Мы должны заранее оценить, как изменится модель угроз в этом случае. Выглядеть это может так (опять без средства автоматизации не обойтись):


Результат, отображенный в нижней части данного снимка экрана, можно визуализировать и в виде потенциальных каналов реализации угрозы:


Эта модель угроз отличается от первоначально упомянутой - она динамическая и низкоуровневая. С ней работать гораздо эффективнее - она показывает реальные угрозы, для которых можно предложить вполне конкретные меры нейтрализации. Но это еще не все.

Ниже другой пример - моделирование угроз пост-фактум. В данном примере мы отслеживаем попадание угрозы внутрь сети и пытаемся проанализировать, какие узлы у нас попали "под раздачу"?


Более детально выглядит это следующим образом. На скриншоте мы видим, какой узел пострадал от низкоуровневой угрозы первым (и в какое время), кто и когда стал вторым в цепочке, третьим и так далее. Иными словами, мы можем отследить распространение угрозы по сети предприятия и своевременно локализовать ее, не давая превратиться в эпидемию.


Это уже по сути третий уровень модели угроз, также динамической, но опирающейся на информацию о том, что происходило совсем недавно. Такая информация позволяет сделать модель угроз более приземленной, а меры защиты более адекватными реальной ситуации, а не высосанными из пальца или только взятыми из документов регуляторов.

Правда на практике модель угроз обычно ограничивается только первым уровнем - простым перечнем угроз, который нередко делается "для галочки" или при построении системы защиты. Динамические модели угроз не так развиты. Отчасти из-за консервативного отношения к этому процессу, отчасти из-за отсутствия достаточного количества доступных средств автоматизации этого процесса. Кстати, о средствах автоматизации. Последние два скриншота принадлежат системе Cisco Advanced Malware Protection и ее функциональности File Trajectory, а первые шесть снимков экрана сняты с системы RedSeal.
Alt text
Комментарии для сайта Cackle