Модель угроз

Процесс выявления структурных уязвимостей

Моделирование угроз — это процесс, с помощью которого можно идентифицировать и перечислить потенциальные угрозы, такие как структурные уязвимости или отсутствие соответствующих мер защиты, а также определить приоритетность контрмер. ^[1] Цель моделирования угроз — предоставить защитникам систематический анализ того, какие средства контроля или защиты необходимо включить, учитывая характер системы, профиль вероятного злоумышленника, наиболее вероятные векторы атак и активы, наиболее желаемые для нападавший. Моделирование угроз отвечает на такие вопросы, как «Где я наиболее уязвим для атак?» , «Какие угрозы наиболее актуальны?» и «Что мне нужно сделать, чтобы защититься от этих угроз?» .

Концептуально большинство людей используют ту или иную форму моделирования угроз в своей повседневной жизни и даже не осознают этого. ^{[ нужна цитата ]} Пассажиры используют моделирование угроз, чтобы понять, что может пойти не так во время утренней поездки на работу, и принять упреждающие меры, чтобы избежать возможных несчастных случаев. Дети участвуют в моделировании угроз, когда определяют лучший путь к намеченной цели, избегая при этом хулиганов на игровой площадке. В более формальном смысле моделирование угроз использовалось для определения приоритетов военной оборонительной подготовки с древних времен.

Эволюция технологически ориентированного моделирования угроз

Вскоре после того, как в начале 1960-х годов дебютировали общие вычисления, люди начали искать способы использовать уязвимости безопасности для личной выгоды. ^[2] В результате инженеры и ученые-компьютерщики вскоре начали разрабатывать концепции моделирования угроз для систем информационных технологий.

Ранние методологии моделирования угроз, ориентированные на технологии, были основаны на концепции архитектурных шаблонов ^[3], впервые представленной Кристофером Александром в 1977 году. В 1988 году Роберт Барнард разработал и успешно применил первый профиль злоумышленника ИТ-системы.

В 1994 году Эдвард Аморосо выдвинул концепцию «дерева угроз» в своей книге «Основы технологий компьютерной безопасности». ^[4] «Концепция дерева угроз была основана на диаграммах дерева решений. Деревья угроз графически показывают, как можно использовать потенциальную угрозу ИТ-системе.

Независимо друг от друга аналогичная работа была проведена АНБ и DARPA по структурированному графическому представлению того, как могут быть выполнены конкретные атаки на ИТ-системы. Полученное представление получило название « деревья атак ». В 1998 году Брюс Шнайер опубликовал свой анализ киберрисков с использованием деревьев атак в своей статье, озаглавленной «К методологии безопасного системного проектирования». ^[5] Статья оказалась плодотворным вкладом в развитие моделирования угроз для ИТ-систем. В анализе Шнайера цель злоумышленника представлена ​​как «корневой узел», а потенциальные средства достижения цели представлены как «листовые узлы». Такое использование дерева атак позволило специалистам по кибербезопасности систематически рассматривать несколько векторов атак против любой определенной цели.

В 1999 году специалисты Microsoft по кибербезопасности Лорен Конфельдер и Праэрит Гарг разработали модель рассмотрения атак, применимых к среде разработки Microsoft Windows. ( STRIDE ^[1] — это акростих для: Подмена личности, Подделка данных, Отказ от ответственности, Раскрытие информации, Отказ в обслуживании, Повышение привилегий.) Получающаяся в результате мнемоника помогает специалистам по безопасности систематически определять, как потенциальный злоумышленник может использовать любую угрозу, включенную в STRIDE.

В 2003 году был представлен метод OCTAVE ^[6] (Оперативно-критическая оценка угроз, активов и уязвимостей), методология моделирования угроз, ориентированная на операции, с упором на управление организационными рисками.

В 2004 году Фрэнк Свидерски и Виндоу Снайдер написали «Моделирование угроз», опубликованное издательством Microsoft Press. В нем они разработали концепцию использования моделей угроз для создания безопасных приложений.

В 2014 году Райан Стиллионс высказал идею о том, что киберугрозы должны выражаться на разных семантических уровнях, и предложил модель DML (уровень зрелости обнаружения). ^[7] Атака — это реализация сценария угрозы, который вызывается конкретным злоумышленником с конкретной целью и стратегией достижения этой цели. Цель и стратегия представляют высшие семантические уровни модели DML. Далее следует ТТП (Тактика, Техника и Процедуры), которые представляют собой промежуточные семантические уровни. Самые низкие семантические уровни модели DML — это инструменты, используемые злоумышленником, хостом и наблюдаемыми сетевыми артефактами, такими как пакеты и полезные данные, и, наконец, атомарные индикаторы, такие как IP-адреса, на самом низком семантическом уровне. Текущие инструменты SIEM (информация о безопасности и управление событиями) обычно предоставляют индикаторы только на самых низких семантических уровнях. Поэтому существует необходимость в разработке инструментов SIEM, которые смогут предоставлять индикаторы угроз на более высоких семантических уровнях. ^[8]

Манифест моделирования угроз

Манифест моделирования угроз — это документ, опубликованный в 2022 году органами по моделированию угроз, чтобы четко изложить основные ценности и принципы, которые должен знать и соблюдать каждый разработчик моделей угроз. ^[9]

В 2024 году та же группа авторов дополнила Манифест документом «Возможности моделирования угроз», который «... предоставляет каталог возможностей, которые помогут вам извлечь пользу из вашей практики моделирования угроз». ^[10]

Фреймворки моделирования угроз

Концептуально практика моделирования угроз вытекает из методологии. Для реализации доступны многочисленные методологии моделирования угроз. Обычно моделирование угроз реализуется с использованием одного из пяти независимых подходов: ориентированного на активы, ориентированного на злоумышленника, ориентированного на программное обеспечение, ориентированного на ценность и заинтересованные стороны и гибридного. Судя по объему опубликованного онлайн-контента, методологии, обсуждаемые ниже, являются наиболее известными.

СТРАЙД

STRIDE был создан в 1999 году в Microsoft как мнемоника, позволяющая разработчикам находить «угрозы нашим продуктам». ^[11] STRIDE можно использовать в качестве простой подсказки или контрольного списка, а также в более структурированных подходах, таких как STRIDE для каждого элемента. STRIDE, «Шаблоны и практики» и «Актив/точка входа» были среди подходов к моделированию угроз, разработанных и опубликованных Microsoft. Ссылки на «методологию» Microsoft обычно означают STRIDE и диаграммы потоков данных.

МАКАРОННЫЕ ИЗДЕЛИЯ

Процесс моделирования атак и анализа угроз (PASTA) представляет собой семиэтапную методологию, ориентированную на риск. ^[12] Он обеспечивает семиэтапный процесс согласования бизнес-целей и технических требований с учетом вопросов соответствия и бизнес-анализа. Целью метода является обеспечение динамической идентификации, подсчета и оценки угроз. После завершения модели угроз эксперты в области безопасности проводят подробный анализ выявленных угроз. Наконец, можно перечислить соответствующие меры безопасности. Эта методология предназначена для обеспечения ориентированного на злоумышленника представления о приложении и инфраструктуре, на основе которого защитники могут разработать стратегию смягчения последствий, ориентированную на активы.

Трайк

В центре внимания методологии Trike ^[13] лежит использование моделей угроз в качестве инструмента управления рисками. В рамках этой структуры модели угроз используются для удовлетворения процесса аудита безопасности. Модели угроз основаны на «модели требований». Модель требований устанавливает определенный заинтересованными сторонами «приемлемый» уровень риска, присвоенный каждому классу активов. Анализ модели требований дает модель угроз, на основе которой угрозы перечисляются и присваиваются значения риска. Завершенная модель угроз используется для построения модели рисков на основе активов, ролей, действий и рассчитанной подверженности рискам.

ОГРОМНЫЙ

Методология Visual, Agile and Simple Threat (VAST) ^[14] основана на ThreatModeler, коммерческой автоматизированной платформе моделирования угроз. VAST требует создания двух типов моделей: модели угроз приложений и модели операционных угроз. В моделях угроз приложений используются диаграммы потоков процессов, представляющие архитектурную точку зрения. Модели операционных угроз создаются с точки зрения злоумышленника на основе DFD. Этот подход позволяет интегрировать VAST в жизненные циклы разработки и DevOps организации. ^[15]

«Гибридный» метод моделирования угроз

Исследователи создали этот метод, чтобы объединить положительные элементы разных методологий. ^{[16] [17] [18]} Эта методология сочетает в себе различные методологии, в том числе SQUARE ^[19] и «Карты безопасности» ^[20] и Personae Non Gratae. ^[21]

Общепринятые процессы моделирования технологических угроз

Все процессы моделирования угроз, связанные с ИТ, начинаются с создания визуального представления анализируемого приложения и/или инфраструктуры. Приложение/инфраструктура разбивается на различные элементы для облегчения анализа. После завершения визуальное представление используется для выявления и перечисления потенциальных угроз. Дальнейший анализ модели в отношении рисков, связанных с выявленными угрозами, определение приоритетности угроз и перечисление соответствующих мер по снижению рисков зависит от методологической основы для используемого процесса модели угроз. Подходы к моделированию угроз могут фокусироваться на используемой системе, злоумышленниках или активах.

Визуальные представления на основе диаграмм потоков данных

Большинство подходов к моделированию угроз используют диаграммы потоков данных (DFD). DFD были разработаны в 1970-х годах как инструмент, позволяющий системным инженерам сообщать на высоком уровне о том, как приложение заставляет данные передаваться, храниться и управляться инфраструктурой, в которой работает приложение. Традиционно в DFD используются только четыре уникальных символа: потоки данных, хранилища данных, процессы и интеракторы. В начале 2000-х годов был добавлен дополнительный символ — границы доверия, чтобы повысить эффективность DFD для моделирования угроз.

После того как система инфраструктуры приложений разложена на пять элементов, эксперты по безопасности рассматривают каждую выявленную точку входа угрозы со всеми известными категориями угроз. После того как потенциальные угрозы идентифицированы, можно перечислить меры по снижению уровня безопасности или выполнить дополнительный анализ.

Инструменты моделирования угроз

• Бесплатный инструмент моделирования угроз Microsoft (ранее SDL Threat Modeling Tool) ^[22] также использует методологию моделирования угроз Microsoft, основан на DFD и идентифицирует угрозы на основе системы классификации угроз STRIDE. В основном он предназначен для общего использования.
• IriusRisk предоставляет как общественную, так и коммерческую версию инструмента. Этот инструмент ориентирован на создание и поддержание модели живых угроз по всему SDLC . Он управляет процессом с помощью полностью настраиваемых анкет и библиотек моделей рисков, а также подключается к нескольким другим инструментам (OWASP ZAP, BDD-Security, Threadfix) для обеспечения автоматизации. ^[23]
• securiCAD — инструмент моделирования угроз и управления рисками от скандинавской компании Forseeti. ^[24] Он предназначен для управления кибербезопасностью предприятия, от директора по информационной безопасности до инженера по безопасности, включая технического специалиста. securiCAD выполняет автоматическое моделирование атак на текущие и будущие ИТ-архитектуры, выявляет и количественно оценивает глобальные риски, включая структурные уязвимости, и обеспечивает поддержку принятия решений на основе результатов. securiCAD доступен в коммерческой и общественной версиях. ^[25]
• SD Elements от Security Compass — это платформа управления требованиями к безопасности программного обеспечения, которая включает в себя возможности автоматического моделирования угроз. Набор угроз генерируется путем заполнения небольшой анкеты о технических деталях приложения и факторах соответствия. Контрмеры включены в виде практических задач для разработчиков, которые можно отслеживать и управлять ими через SDLC. ^[26]
• OWASP Threat Dragon — это инструмент моделирования, используемый для создания диаграмм моделей угроз в рамках жизненного цикла безопасной разработки. Threat Dragon следует ценностям и принципам манифеста моделирования угроз. Его можно использовать для регистрации возможных угроз и принятия решений по их снижению, а также для визуального указания компонентов модели угроз и поверхностей угроз. Threat Dragon работает либо как веб-приложение, либо как настольное приложение. Threat Dragon поддерживает STRIDE/LINDUN/CIA/DIE/PLOT4ai, предоставляет диаграммы моделирования и реализует механизм правил для автоматического создания угроз и их устранения. ^[27]
• OWASP pytm — это Pythonic-фреймворк для моделирования угроз и первый инструмент Threat-Model-as-Code: определите свою систему на Python, используя элементы и свойства, описанные в pytm framework, и на основе вашего определения pytm может создать диаграмму потока данных. (DFD), диаграмма последовательности и, самое главное, угрозы вашей системе. . ^[28]

Дальнейшие области применения

Моделирование угроз применяется не только к ИТ, но и к другим областям, таким как транспортные средства, ^{[29] [30]} строительство и домашняя автоматизация . ^[31] В этом контексте моделируются угрозы безопасности и конфиденциальности, такие как информация о профилях передвижения жителей, рабочем времени и состоянии здоровья, а также физические или сетевые атаки. Последний может использовать все больше и больше доступных функций умного здания, то есть датчиков (например, для слежки за жильцом) и исполнительных механизмов (например, для открытия дверей). ^[31]

Рекомендации

1. «Модель угроз STRIDE». Майкрософт. 2016.
2. Макмиллан, Роберт (2012). «Первый в мире компьютерный пароль? Он тоже был бесполезен». Проводной бизнес.
3. Шостак, Адам (2014). «Моделирование угроз: проектирование безопасности». John Wiley & Sons Inc: Индианаполис.
4. Аморосо, Эдвард Дж. (1994). Основы технологии компьютерной безопасности. Лаборатории Белла AT&T. Прентис-Холл: река Аппер-Седл. ISBN 9780131089297.
5. Шнайер, Брюс; и другие. (1998). «На пути к методологии безопасного системного проектирования» (PDF) . Агентство национальной безопасности: Вашингтон.
6. Альбертс, Кристофер (2003). «Введение в подход OCTAVE®» (PDF) . Институт программной инженерии, Карнеги-Меллон: Питтсбург.
7. Стиллионс, Райан (2014). «Модель DML». Блог Райана Стиллионса по безопасности . Райан Стиллионс.
8. Бромандер, Сири (2016). «Семантическое моделирование киберугроз» (PDF) . Семантические технологии для разведки, обороны и безопасности (STIDS 2016).
9. https://www.threatmodelingmanifesto.org//
10. https://www.threatmodelingmanifesto.org/capabilities/
11. Конфельдер, Лорен; Гарг, Прерит. «Угрозы нашим продуктам». Майкрософт . Проверено 4 февраля 2024 г.
12. Уседавелес, Тони и Марко М. Морана (2015). «Моделирование угроз, ориентированное на риск: процесс моделирования атак и анализа угроз». Джон Уайли и сыновья: Хобекин.
13. Эддингтон, Майкл, Бренда Ларком и Элеонора Сайтта (2005). «Методологический документ Trike v1». Octotrike.org .{{cite web}}: CS1 maint: несколько имен: список авторов ( ссылка )
14. Фрулингер, Джош (15 апреля 2020 г.). «Объяснение моделирования угроз: процесс прогнозирования кибератак». ЦСО онлайн . Проверено 3 февраля 2022 г.
15. «Моделирование угроз: 12 доступных методов». Блог СЭИ . Проверено 3 февраля 2022 г.
16. «Метод моделирования гибридных угроз».
17. «Метод моделирования гибридных угроз».
18. Тарандах, Изар; Коулз, Мэтью Дж. (24 ноября 2020 г.). Моделирование угроз: Практическое руководство для команд разработчиков . ISBN 978-1492056553.
19. «Технический отчет по требованиям к качеству безопасности» .
20. https://securitycards.cs.washington.edu/
21. "CSDL | Компьютерное общество IEEE" .
22. «Что нового в инструменте моделирования угроз Microsoft 2016» . Блог Microsoft по безопасности . Майкрософт. 2015.
23. «Инструмент управления рисками Irius». Континуум безопасности. 2016.
24. "foreseeti - securiCAD" . www.foreseeti.com . Проверено 27 ноября 2018 г.
25. «Моделирование киберугроз и управление рисками — securiCAD отforeseeti» . предвидеть.
26. «Элементы SD от Security Compass» . www.securitycompass.com . Проверено 24 марта 2017 г.
27. "Угроза Дракона OWASP" .
28. "OWASP pytm" .
29. http://publications.lib.chalmers.se/records/fulltext/252083/local_252083.pdf ^{[ пустой URL-адрес PDF ]}
30. Хамад, Мохаммед; Превелакис, Василис; Нолте, Маркус (ноябрь 2016 г.). «На пути к комплексному моделированию угроз для транспортных средств» (PDF) . «Институт техники управления» . Публикации Института компьютерной и сетевой инженерии. дои : 10.24355/dbbs.084-201806251532-0 . Проверено 11 марта 2019 г.
31. Мейер, Д.; Хаазе, Дж.; Экерт, М.; Клауэр, Б. (1 июля 2016 г.). «Модель угроз для автоматизации строительства и дома». 2016 IEEE 14-я Международная конференция по промышленной информатике (INDIN) . стр. 860–866. дои : 10.1109/INDIN.2016.7819280. ISBN 978-1-5090-2870-2. S2CID  12725362.