Моделирование угроз по новой методике ФСТЭК ч.1

Директор по методологии и стандартизации, Positive Technologies

Методолог, специализирующийся на практических аспектах обеспечения информационной безопасности. Руководитель научных исследований Positive Technologies по методологии анализа защищенности, выявления уязвимостей, анализа угроз, реагирования на инциденты, безопасной разработки. 

Эксперт по вопросам банковской безопасности и нормативной-правовой базы в области ИБ. Участвует в разработке нормативных документов ФСТЭК и ЦБ РФ, входит в качестве эксперта в три технических комитета по стандартизации — «Криптографическая защита информации» (ТК 26), «Стандарты финансовых операций» (ТК 122) и «Защита информации» (ТК 362).

• Участник рабочих групп по регулированию вопросов ИБ ФСТЭК, ФСБ, Банка России
• Принимал участие в создании стандартов по описанию и классификации уязвимостей ГОСТ Р 56545-2015 и ГОСТ Р 56546-2015, стандарта «Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем» (РС БР ИББС-2.6-2014)
• Участвует в разработке архитектуры Государственной системы обнаружения и предупреждения компьютерных атак (ГосСОПКА)

Разработка модели угроз традиционно рассматривается как некое ритуальное действие, призванное формально удовлетворить требования приказов ФСТЭК по безопасности государственных информационных систем, персональных данных и значимых объектов критической информационной инфраструктуры. Регулятор с таким отношением не согласен, и в феврале 2021 года, после почти двух лет работы, был выпущен методический документ «Методика оценки угроз безопасности информации». 

Методика направлена на детальное моделирование возможных действий нарушителя и основана на методологии MITRE Att&CK, к ее разработке в качестве экспертов привлекали специалистов Positive Technologies, Group-IB, Лаборатории Касперского. Несмотря на активный интерес к документу в блогосфере, в его обсуждении очень мало публикаций на тему “как ФСТЭК предлагает моделировать угрозы” и слишком много – о том, чем именно документ не нравится тому или иному блогеру. Этот перекос мы и постараемся исправить.

На мастер-классе мы разберем:
1. Что авторы методики называют моделью угроз и как она связана с основными требованиями регулятора

2. Как организован процесс моделирования угроз в компании с 1000+ сотрудников и как его масштабировать на более крупные структуры

3. Как “угрозы по ФСТЭК” связаны с бизнес-рисками компании

4. Как выбрать и описать адекватную модель нарушителя

5. Что такое техники и тактики, какие источники использовать для их описания и как это согласуется с требованием “использовать банк данных угроз и уязвимостей ФСТЭК”

6. Тестирование на проникновение как инструмент верификации модели угроз и системы защиты

7. Использование модели угроз как инструмента для планирования реагирования на инциденты

Зачем нужна модель угроз?

• Что требует регулятор?
• Откуда взялись эти требования?
• Как регулятор предлагает это использовать?
• Нужно-ли детальное моделирование всех угроз?
• Что в итоге нужно регулятору?

Формирование модели угроз

• Основные принципы
• Негативные последствия, примеры
• Определение негативных последствий
• Различие с менеджментом рисков
• Определение источников угроз и видов нарушителей
• Определение объектов воздействия
• Определение бизнес-процессов, целевых объектов, ключевых объектов
• Оценка результата
• Чек-лист по задачам, решаемым в ходе оценки угроз безопасности информации

Инвентаризация систем и сетей

• Информация о топологии и составе сетей
• Для чего проводить инвентаризацию?
• Оценка сетевой связности
• Анализ точек входа

Небольшое отступление

• Тактики и техники действий нарушителя
• Cyber Kill Chain
• MITRE Att&CK
• Другие источники

Анализ сценариев действия нарушителя

• Причина комбинаторного взрыва
• Концепция "Трубопровода"
• Меняем архитектуру

Документирование модели угроз

• Основные принципы, применяемые при документировании модели-угроз