Как защищать систему без моделирования угроз?

Сегодня совпало три события, которые и повлекли за собой написание этой заметки. Во-первых, я читал сегодня вебинар по концепции Zero Trust (если вдруг интересно, то вот ссылки на  материалы и видео). Во-вторых, а сейчас изучаю проект новой методики ФСТЭК по моделированию угроз, которая должна быть утверждена до конца года. Наконец, среди интересного проскочила новость, что исследователи нашли способ взламывать Siri, Alexa, Google Assistant с помощью лазера, который внедряет команды, заставляющие голосовых помощников открывать двери, заходить на сайты, запускать и разблокировать автомобили и т.п.

Вот интересно, включили бы вы такую угрозу в свою модель угроз? Предположу, что все-таки нет, так как врядли вы изначально рассматривали такой сценарий реализации угрозы. Понятно, что теперь, узнав о такой возможности, вы ее включите в свою модель угроз, если используете голосовые помощники. И так каждый раз, когда появляются сведения о какой-то новой угрозе, а это происходит слишком часто. Есть ли варианты решения этой «гонки вооружений»?

По сути мы являемся заложниками подхода, который заключается в том, что сначала мы моделируем угрозы, а потом разрабатываем меры их нейтрализации и никак иначе. Это даже в нормативной базе прописано. Но что делать, когда у вас не хватает квалификации для этого или система меняется достаточно оперативно, чтобы постоянно вносить правки в модель угроз? Именно в таких условиях и родилась концепция «нулевого доверия» или Zero Trust, появившаяся в 2010-м году у компании Forrester.

Позже к ней добавили еще ряд компонентов, направленных на более высокий уровень — приложения, пользователей и данные.

Концепция Zero Trust исходит из того, что мы предполагаем, что угроза может исходить откуда угодно и все их заранее мы никогда не опишем и не приоритезируем. А, следовательно, надо выстраивать принцип минимума привилегий на уровне сети, приложений и пользователей, при этом обеспечивая не статическую, а динамическую политику безопасности, стремясь к непрерывной верификации тех же сетей, приложений, пользователей и данных.

 Это краткое изложении концепции Zero Trust, которая сейчас реализуется многими компаниями, — Cisco, Illumio, Okta, Google, Intel, Akamai, MobileIron и т.п. Но этот, достаточно инновационный подход для многих российских компаний врядли так быстро займет свое место на нашем рынке. Требования регуляторов по моделированию угроз и от него никуда не деться. Поэтому придется совмещать первое со вторым.