Тенденции моделирования угроз

Тенденции
На сочинском «Код ИБ. Профи» я буду проводить практический мастер-класс по моделированию угроз. Но до него еще почти 10 дней и поэтому мне сейчас хотелось бы немного коснуться тех изменений и тенденций, которые происходят в этом вопросе. Так уж сложилось, что мы часто рассматриваем моделирование угроз как нечто незыблемое и редкое, что уже давно не соответствует действительности. Мир меняется, должны менять и мы свои взгляды. Что же поменялось за последнее время в области моделирования угроз? Попробую тезисно сформулировать ключевые изменения:
  • Угрозы эволюционируют. Да вы что?! Вот это новость! Но как бы очевидно это не звучало, в моделях угроз этот факт не часто находит свое отражение. Такое впечатление (и что уж греха таить, так оно и бывает), что модель угроз делают только для галочки или для регулятора, а не для реальной работы. Вот возьмем, к примеру, утвержденную ЦБ модель угроз для биометрических ПДн. И вроде бы достаточно свежий документ, но в нем в принципе не рассмотрена угроза, которую для простоты можно именовать DeepFake, то есть создание фальшивых лиц, отпечатков пальцев, голосов и иных биометрических факторов. То есть в реальной жизни использовать такую модель нельзя — ее надо существенно дорабатывать.
  • Инструментарий спецслужб утекает. И это тоже не новость. Но это меняет потенциальную модель нарушителя, который теперь по своим возможностям сравним с АНБ. Или не сравним? Или все-таки нарушитель определяется не сиюминутными возможностями, которые в определенный момент времени могут совпадать с обычными киберпреступными группировками, а мотивацией и целеполаганием? Но в любом случае, появление инструментария спецслужб в широком доступе требует пересмотра модели угроз.
  • Supply Chain. Spectre, Meltdown… Только две уязвимости в процессорах Intel, которые показали всю слабость современной системы защиты, базирующейся на недоверенных элементах. Да, вы ничего с этим поделать не можете, так как взять и выбросить все свои процессоры вы не в состоянии — заменить их нечем. Но внести это в модель угроз надо, так как реализация угроз на аппаратном уровне сегодня уже не редкость и игнорировать эту проблему, закрывая на нее глаза нельзя. А надо ли эту угрозу включать в модель, если вы не в состоянии с ней ничего делать? 
  • Гибкая разработка. Вы внедрили SCRUM или Agile или иную методологию гибкой разработки или проектирования? А вы учли эту методологию с точки зрения методологии угроз? Ведь обычно угрозы моделируются в рамках каскадного проектирования («Waterfall») — анализ требований, проектирование, реализация… Как моделировать угрозы при длительности спринта (в терминологии SCRUM) в 1-4 недели?  
  • Размытость границ. И это тоже не новость, но и она нечастно находит свое отражение при моделировании угроз. Хотя очерчивание границ для объекта защиты — это основа моделирования угроз. Но сегодня у нас активно внедряются технологии виртуализации, Zero Trust, облачные вычисления. Учитываются ли они при определении негативных сценариев развития событий? А если да, то как?
  • Искусственный интеллект. 2018-й и 2019-й годы ознаменовались публикацией большого числа исследований про применение машинного обучения для обмана различных защитных технологий — от биометрии до антивирусов, от антифишинговых решений до систем обнаружения атак. И вновь вопрос, который я уже не раз задавал выше. Как учитывает модель угроз такие исследования? Насколько наши технологии безопасности способны выявлять атаки, созданные искусственным интеллектом?
  • API. Мир становится все более открытым — продукты интегрируются между собой и разрешают доступ к своим ресурсам извне. Все это делается через API, которые часто становятся самым слабым звеном «защищенной» системы, в которой предусмотрено все, кроме контроля вызовов API.
Вот такой небольшой список того, что сегодня влияет на моделирование угроз и недооценка чего приводит к успешным проникновениями в корпоративные и ведомственные сети. Вот про это мы и будем говорить на сочинском «Коде ИБ. Профи» через 10 дней. И будем пробовать на практике учесть все эти нюансы, создавая модели угроз для одной из нескольких систем, которые будут предложены на выбор участникам. 
ЗЫ. А чтобы у заметки была картинка, вставлю вот этот список акторов, реализующих угрозы, и атрибутов, с ними связанных.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. SuvolveRR

    Как моделировать угрозы при длительности спринта (в терминологии SCRUM) в 1-4 недели?
    Огонь тема. Очень интересно!

    Ответить
  2. Алексей Лукацкий

    Отош

    Ответить