[перевод] Анализ рисков по OWASP

[перевод] Анализ рисков по OWASP
Подход OWASP направлен на анализ информационных рисков приложения. Он основан на факторном анализе и осуществляется в 6 этапов:

1) Идентификация рисков
2) Определение факторов, влияющих на вероятность
3) Определение факторов, влияющих на ущерб
4) Вычисления значения риска
5) Определение факторов, на которые мы будем воздействовать
6) Кастомизация модели

1. Идентификация рисков

На этом шаге необходимо составить перечень источников угроз, самих угроз, уязвимостей и типов ущерба, который реализация риска нанесет бизнесу. Возможно, в перечень попадет огромное множество сущностей. Но в данном вопросе лучше ошибиться в сторону преувеличения (хоть это и приведет к получению большего суммарного риска).

2. Факторы влияющие на вероятность

Идентифицировав риски, нам необходимо определить, насколько они велики. На данном этапе мы будем оценивать такую составляющую риска как "вероятность". В данном контексте ее можно определить как грубую оценку того, насколько вероятно, что данная уязвимость будет открыта и проэксплоатирована нарушителем. Нам не требуется высокая точность данной оценки, нам достаточно определить эту вероятность как "низкую", "среднюю" или "высокую".

Есть ряд факторов, которые помогут нам в этом. Первый набор факторов связан с источником угрозы. Цель - определить вероятность успешной атаки, исходящей от группы тех или иных источников. Отметим, что различные множества источников угроз могут эксплуатировать различные уязвимости.

Отметим также, что каждый из факторов имеет набор параметров (измеряемых в пределах от 0 до 9). Мы будем использовать их в дальнейшем при расчете уровня риска.

Факторы источников угроз

Определение, насколько вероятна успешная реализация угроз, для данной группы источников.

Уровень квалификации. Насколько высока техническая квалификация данной группы источников угроз:
(9) навыки взлома и проникновения
(6) навыки программирования и знание сетевого взаимодействия
(4) продвинутый пользователь
(3) низкие технические навыки
(1) отсутствуют технические навыки

Мотив. Насколько высок "профит" для представителя данной группы нарушителей, в случае реализации угрозы:
(1) отсутствие или низкий
(4) приемлемый
(9) высокий

Возможность. Какие ресурсы и права доступа необходимы для данной группы источников угроз, чтобы обнаружить и проэксплуатировать уязвимость:
(0) полный доступ или неоправданное количество ресурсов
(4) превилегированный доступ и высокое количество ресурсов
(7) любой доступ и некоторое количество ресурсов
(9) доступ и дополнительные ресурсы не требуется

Количество. Насколько широка группа источников угроз:
(2) Разработчики
(2) Системные администраторы
(4) Пользователи внутренней сети
(5) Партнеры
(6) Пользователи внутренней сети, имеющие легитимный доступ к приложению
(9) Интернет -пользователи

Факторы уязвимостей

Определение, насколько вероятна реализация угроз через конкретные уязвимости

Простота обнаружения
(1) Практически невозможно обнаружить
(3) Сложно
(7) Легко
(9) Обнаруживаются автоматизированным инструментарием

Простота эксплуатации
(1) Теоретически возможна
(3) Сложно
(5) Легко
(9) Эксплуатируется автоматизированным инструментарием

Известность уязвимостидля данной группы источников угроз
(1) Неизвестна
(4) Малоизвестна
(6) Очевидна
(9) Информация об уязвимости есть в открытом доступе

Обнаружение вторжений. Насколько вероятно, что процесс эксплуатирования уязвимости будет обнаружен:
(1) Активное обнаружение в самом приложение
(3) Журналирование и переодический мониторинг журналов
(8) Журналирование без периодического мониторинга
(9) Отсутствие журналирования

3. Факторы влияющие на ущерб

При рассмотрении ущерба от реализации атаки необходимо рассматривать два "типа" ущерба. Первый - "технический ущерб", нанесенный приложению, информации, с которой оно работает и функциям, которые оно обеспечивает. Второй - "бизнес-ущерб" - степень влияния на бизнес-процессы компании.

В конечном счете, "бизнес-ущерб" более значим. Но мы можем не владеть всей необходимой информацией для оценки последствий успешной атаки для бизнеса. В таком случае, необходимо предоставить все детали, касающиеся "технического ущерба" представителям бизнеса, для принятия решений в отношении бизнес-рисков.

Опять же каждый фактор имеет набор параметров, а каждый параметр оценивается по шкале от 0 до 9.

Факторы "технического ущерба"

"Технический ущерб" связан с обеспечением традиционных свойств безопасности: конфиденциальности, целостности, доступности и подотчетности.

Нарушение конфиденциальности. Как много информации будет раскрыто и насколько критична эта информация:
(2) Раскрытие незначительного количества некритичной информации
(6) Раскрытие небольшого количества критичных данных
(6) Раскрытие большого количества некритичных данных
(7) Раскрытие большого количества критичных данных
(9) Раскрытие всех данных

Нарушение целостности
(1) Минимальные повреждения "не значимых" данных
(3) Минимальные повреждения важных данных
(5) Высокие повреждения "не значимых" данных
(7) Высокие повреждения важных данных
(9) Потеря всех данных

Нарушение доступности
(1) Кратковременное отсутствие доступа ко вторичным сервисам
(5) Кратковременное отсутствие доступа к основным сервисам
(5) Длительное отсутствие доступа ко вторичным сервисам
(7) Длительное отсутствие доступа к основным сервисам
(9) Отсутствие доступа ко всем сервисам

Нарушение подотчетности
Сопоставимы ли действия источников угроз с конкретным лицом:
(1) Полностью сопоставимы
(7) Потенциально сопоставимы
(9) Полностью анонимны

Факторы "бизнес-ущерба"

"Бизнес-ущерб" - следствие "технического ущерба", но его оценка требуется глубокого понимания, насколько для компании важно данное приложение. Именно на основании бизнес рисков должно приниматься решение об инвестиции в те или иные средства защиты.

Во многих компаниях разработана методика классификации активов и/или активы сопоставляются с потенциальными потерями для бизнеса. Данные методики могут помочь нам расставить приоритеты в объектах защиты. Если же таких методик нет, то необходимо получать такую оценку от тех, кто хорошо знаком с бизнес-процессами в вашей компании.

Факторы ниже актуальны для большинства компаний, но во многих случаях их число необходимо расширить в соответствии с особенностями ваших бизнес-процессов.

Финансовый ущерб
(1) Ниже, чем стоимость закрытия уязвимостей
(3) Незначительное влияние на прибыль компании
(7) Значительное влияние на прибыль компании
(9) Банкротство

Репутационный ущерб
(1) Минимальный
(4) "Потеря основных счетов" (прим. переводчика: в оригинале "Loss of major accounts" - ума не приложу, что имели введу авторы. Если у кого есть идеи - поделитесь, пожалуйста).
(5) Снижение престижа компании
(9) Ущерб бренду

Несоблюдение требований
(2) Незначительные нарушения
(5) Явные нарушения
(7) Грубые нарушения

Нарушения в области персональных данных. Как много персональных данных будет раскрыто в случае нарушения:
(3) Одного субъекта
(5) Сотен субъектов
(7) Тысяч субъектов
(9) Миллионов субъектов

4. Определение уровня риска. 

На этом шаге нам необходимо связать оценки по вышеперечисленным факторам для подсчета риска. Предлагается использовать следующую шкалу:

Уровни вероятности и ущерба
от 0 до 3Низкий
от 3 до 6Средний
от 6 до 9Высокий

Неформальный подход

Во-многих случаях, нет ничего плохого в оценке факторов риска "на глаз". Далее необходимо определить, какие из факторов для нас наиболее значимы (оказывают наибольшее воздействие на результат). Рассматривая различные факторы, вы можете обнаружить, что ваше начальное представление о тех или иных рисках было ошибочным.

Подход, обеспечивающий повторяемость

Если вам необходимо сделать так, чтобы результат оценки был повторяем, необходимо прибегнуть к более формальному подходу. Напомним, что многие из наших оценок будут субъективны.

Нам понадобиться проставить такие оценки для всех перечисленных ранее факторов и затем усреднив эту оценку мы получим некоторое значение:

Факторы источников угрозФакторы уязвимостей
Уровень квалиф.lМотивВозмож
ность
Кол-воПростота обнаруж.Простота эксплуат.Известность уязвимостиОбнаружение вторжений
52713692
Вероятность=4.375 (Средняя)

"Технический ущерб""Бизнес-ущерб"
Наруш. конф-тиНаруш. цел-тиНаруш. дост-тиНаруш. подотчет-
ности
Фин. ущербРеп-ный ущербНесоблюд. требованийНарушение в области ПДн
97581215
Технический ущерб=7.25 (Высокий)"Бизнес-ущерб"=2.25 (Низкий)

Определение уровня риска

Теперь нам необходимо связать оцененные ранее факторы. Отметим, что если вы хорошо осведомлены в бизнес-процессах и уверены в оценке "бизнес-ущерба", то в таблице ниже необходимо использовать его значение. В противном случае, необходимо использовать значение "технического ущерба".
Уровень риска
УщербВысокийСреднийВысокийКритичный
СреднийНизкийСреднийВысокий
НизкийНе существенныйНизкийСредний
ВысокаяСредняяНизкая
Вероятность
В нашем примере, вероятность - Средняя, а "технический ущерб" - Высокий, таким образом, в отношении приложения (без привязки к бизнесу) можно говорить о том, что риск - Высокий. Тем не менее, учитывая значимость приложения для бизнеса (т.е., что "бизнес-ущерб" - Низкий), риск - Низкий. Поэтому столь важно понимание бизнес-процессов в контексте анализа рисков - это критически необходимо для принятия на его основе управленческих решений. Непонимание может вызвать недоверие топ-менеджмента к службе информационной безопасности.

5. Определение факторов, на которые мы будем воздействовать


После приоретизации рисков необходимо расставить приоритеты факторов, на которые мы будем влиять. Главным образом, нам необходимо снизить наиболее высокие риски, т.к. это окажет наибольшее влияние на суммарный риск (даже если менее приоритетные риски проще и дешевле снизить).

Следует помнить, что не все риски необходимо снижать, т.к. в ряде случаев, исходя из ожидаемых потерь, затраты на снижения рисков могут оказаться неоправданными.

6. Кастомизация модели

Возможность адаптации системы управления рисками критична для бизнеса. Модель становится куда эффективней, если с ее помощью получаются результаты, которые соответствуют представлению людей, о том, насколько велики те или иные риски. Есть несколько способов адаптировать модель под ваш бизнес.

Добавление факторов

Можно выбирать различные факторы, которые лучше отражают, что важнее для вашей организации. Например, программное обеспечение для оборонного комплекса должно среди факторов ущерба учитывать и количество людей, которые могут погибнуть в результате реализации риска, а также риск разглашения государственной тайны. Также можно добавить в факторы вероятности, например, стойкость криптоалгоритма.

Кастомизация параметров

Есть ряд параметров, связанных с каждым фактором, но модель будет более эффективной, если вы их измените под свою организацию. В том числе вы можете изменить шкалу оценок для каких-либо параметров.

Весовые коэффициенты

Представленная модель предполагает, что все вышеуказанные факторы равозначны. Вы можете назначить этим факторам веса для того, чтобы акцентировать внимание на наиболее значимых для вашего бизнеса. Это сделает модель сложнее, но принцип ее работы останется прежним. Опять же, благодаря весовым коэффициентам вы сможете настроить модель таким образом, чтобы сами могли согласится с результатами оценки рисков.

Источник: owasp.org
Alt text

Ваша приватность умирает красиво, но мы можем спасти её.

Присоединяйтесь к нам!