Моделирование угроз — это процесс, с помощью которого можно идентифицировать и перечислить потенциальные угрозы, такие как структурные уязвимости или отсутствие соответствующих мер защиты, а также определить приоритетность контрмер. [1] Цель моделирования угроз — предоставить защитникам систематический анализ того, какие средства контроля или защиты необходимо включить, учитывая характер системы, профиль вероятного злоумышленника, наиболее вероятные векторы атак и активы, наиболее желаемые для нападавший. Моделирование угроз отвечает на такие вопросы, как «Где я наиболее уязвим для атак?» , «Какие угрозы наиболее актуальны?» и «Что мне нужно сделать, чтобы защититься от этих угроз?» .
Концептуально большинство людей используют ту или иную форму моделирования угроз в своей повседневной жизни и даже не осознают этого. [ нужна цитата ] Пассажиры используют моделирование угроз, чтобы понять, что может пойти не так во время утренней поездки на работу, и принять упреждающие меры, чтобы избежать возможных несчастных случаев. Дети участвуют в моделировании угроз, когда определяют лучший путь к намеченной цели, избегая при этом хулиганов на игровой площадке. В более формальном смысле моделирование угроз использовалось для определения приоритетов военной оборонительной подготовки с древних времен.
Вскоре после того, как в начале 1960-х годов дебютировали общие вычисления, люди начали искать способы использовать уязвимости безопасности для личной выгоды. [2] В результате инженеры и ученые-компьютерщики вскоре начали разрабатывать концепции моделирования угроз для систем информационных технологий.
Ранние методологии моделирования угроз, ориентированные на технологии, были основаны на концепции архитектурных шаблонов [3], впервые представленной Кристофером Александром в 1977 году. В 1988 году Роберт Барнард разработал и успешно применил первый профиль злоумышленника ИТ-системы.
В 1994 году Эдвард Аморосо выдвинул концепцию «дерева угроз» в своей книге «Основы технологий компьютерной безопасности». [4] «Концепция дерева угроз была основана на диаграммах дерева решений. Деревья угроз графически показывают, как можно использовать потенциальную угрозу ИТ-системе.
Независимо друг от друга аналогичная работа была проведена АНБ и DARPA по структурированному графическому представлению того, как могут быть выполнены конкретные атаки на ИТ-системы. Полученное представление получило название « деревья атак ». В 1998 году Брюс Шнайер опубликовал свой анализ киберрисков с использованием деревьев атак в своей статье, озаглавленной «К методологии безопасного системного проектирования». [5] Статья оказалась плодотворным вкладом в развитие моделирования угроз для ИТ-систем. В анализе Шнайера цель злоумышленника представлена как «корневой узел», а потенциальные средства достижения цели представлены как «листовые узлы». Такое использование дерева атак позволило специалистам по кибербезопасности систематически рассматривать несколько векторов атак против любой определенной цели.
В 1999 году специалисты Microsoft по кибербезопасности Лорен Конфельдер и Праэрит Гарг разработали модель рассмотрения атак, применимых к среде разработки Microsoft Windows. ( STRIDE [1] — это акростих для: Подмена личности, Подделка данных, Отказ от ответственности, Раскрытие информации, Отказ в обслуживании, Повышение привилегий.) Получающаяся в результате мнемоника помогает специалистам по безопасности систематически определять, как потенциальный злоумышленник может использовать любую угрозу, включенную в STRIDE.
В 2003 году был представлен метод OCTAVE [6] (Оперативно-критическая оценка угроз, активов и уязвимостей), методология моделирования угроз, ориентированная на операции, с упором на управление организационными рисками.
В 2004 году Фрэнк Свидерски и Виндоу Снайдер написали «Моделирование угроз», опубликованное издательством Microsoft Press. В нем они разработали концепцию использования моделей угроз для создания безопасных приложений.
В 2014 году Райан Стиллионс высказал идею о том, что киберугрозы должны выражаться на разных семантических уровнях, и предложил модель DML (уровень зрелости обнаружения). [7] Атака — это реализация сценария угрозы, который вызывается конкретным злоумышленником с конкретной целью и стратегией достижения этой цели. Цель и стратегия представляют высшие семантические уровни модели DML. Далее следует ТТП (Тактика, Техника и Процедуры), которые представляют собой промежуточные семантические уровни. Самые низкие семантические уровни модели DML — это инструменты, используемые злоумышленником, хостом и наблюдаемыми сетевыми артефактами, такими как пакеты и полезные данные, и, наконец, атомарные индикаторы, такие как IP-адреса, на самом низком семантическом уровне. Текущие инструменты SIEM (информация о безопасности и управление событиями) обычно предоставляют индикаторы только на самых низких семантических уровнях. Поэтому существует необходимость в разработке инструментов SIEM, которые смогут предоставлять индикаторы угроз на более высоких семантических уровнях. [8]
Манифест моделирования угроз — это документ, опубликованный в 2022 году органами по моделированию угроз, чтобы четко изложить основные ценности и принципы, которые должен знать и соблюдать каждый разработчик моделей угроз. [9]
В 2024 году та же группа авторов дополнила Манифест документом «Возможности моделирования угроз», который «... предоставляет каталог возможностей, которые помогут вам извлечь пользу из вашей практики моделирования угроз». [10]
Концептуально практика моделирования угроз вытекает из методологии. Для реализации доступны многочисленные методологии моделирования угроз. Обычно моделирование угроз реализуется с использованием одного из пяти независимых подходов: ориентированного на активы, ориентированного на злоумышленника, ориентированного на программное обеспечение, ориентированного на ценность и заинтересованные стороны и гибридного. Судя по объему опубликованного онлайн-контента, методологии, обсуждаемые ниже, являются наиболее известными.
STRIDE был создан в 1999 году в Microsoft как мнемоника, позволяющая разработчикам находить «угрозы нашим продуктам». [11] STRIDE можно использовать в качестве простой подсказки или контрольного списка, а также в более структурированных подходах, таких как STRIDE для каждого элемента. STRIDE, «Шаблоны и практики» и «Актив/точка входа» были среди подходов к моделированию угроз, разработанных и опубликованных Microsoft. Ссылки на «методологию» Microsoft обычно означают STRIDE и диаграммы потоков данных.
Процесс моделирования атак и анализа угроз (PASTA) представляет собой семиэтапную методологию, ориентированную на риск. [12] Он обеспечивает семиэтапный процесс согласования бизнес-целей и технических требований с учетом вопросов соответствия и бизнес-анализа. Целью метода является обеспечение динамической идентификации, подсчета и оценки угроз. После завершения модели угроз эксперты в области безопасности проводят подробный анализ выявленных угроз. Наконец, можно перечислить соответствующие меры безопасности. Эта методология предназначена для обеспечения ориентированного на злоумышленника представления о приложении и инфраструктуре, на основе которого защитники могут разработать стратегию смягчения последствий, ориентированную на активы.
В центре внимания методологии Trike [13] лежит использование моделей угроз в качестве инструмента управления рисками. В рамках этой структуры модели угроз используются для удовлетворения процесса аудита безопасности. Модели угроз основаны на «модели требований». Модель требований устанавливает определенный заинтересованными сторонами «приемлемый» уровень риска, присвоенный каждому классу активов. Анализ модели требований дает модель угроз, на основе которой угрозы перечисляются и присваиваются значения риска. Завершенная модель угроз используется для построения модели рисков на основе активов, ролей, действий и рассчитанной подверженности рискам.
Методология Visual, Agile and Simple Threat (VAST) [14] основана на ThreatModeler, коммерческой автоматизированной платформе моделирования угроз. VAST требует создания двух типов моделей: модели угроз приложений и модели операционных угроз. В моделях угроз приложений используются диаграммы потоков процессов, представляющие архитектурную точку зрения. Модели операционных угроз создаются с точки зрения злоумышленника на основе DFD. Этот подход позволяет интегрировать VAST в жизненные циклы разработки и DevOps организации. [15]
Исследователи создали этот метод, чтобы объединить положительные элементы разных методологий. [16] [17] [18] Эта методология сочетает в себе различные методологии, в том числе SQUARE [19] и «Карты безопасности» [20] и Personae Non Gratae. [21]
Все процессы моделирования угроз, связанные с ИТ, начинаются с создания визуального представления анализируемого приложения и/или инфраструктуры. Приложение/инфраструктура разбивается на различные элементы для облегчения анализа. После завершения визуальное представление используется для выявления и перечисления потенциальных угроз. Дальнейший анализ модели в отношении рисков, связанных с выявленными угрозами, определение приоритетности угроз и перечисление соответствующих мер по снижению рисков зависит от методологической основы для используемого процесса модели угроз. Подходы к моделированию угроз могут фокусироваться на используемой системе, злоумышленниках или активах.
Большинство подходов к моделированию угроз используют диаграммы потоков данных (DFD). DFD были разработаны в 1970-х годах как инструмент, позволяющий системным инженерам сообщать на высоком уровне о том, как приложение заставляет данные передаваться, храниться и управляться инфраструктурой, в которой работает приложение. Традиционно в DFD используются только четыре уникальных символа: потоки данных, хранилища данных, процессы и интеракторы. В начале 2000-х годов был добавлен дополнительный символ — границы доверия, чтобы повысить эффективность DFD для моделирования угроз.
После того как система инфраструктуры приложений разложена на пять элементов, эксперты по безопасности рассматривают каждую выявленную точку входа угрозы со всеми известными категориями угроз. После того как потенциальные угрозы идентифицированы, можно перечислить меры по снижению уровня безопасности или выполнить дополнительный анализ.
Моделирование угроз применяется не только к ИТ, но и к другим областям, таким как транспортные средства, [29] [30] строительство и домашняя автоматизация . [31] В этом контексте моделируются угрозы безопасности и конфиденциальности, такие как информация о профилях передвижения жителей, рабочем времени и состоянии здоровья, а также физические или сетевые атаки. Последний может использовать все больше и больше доступных функций умного здания, то есть датчиков (например, для слежки за жильцом) и исполнительных механизмов (например, для открытия дверей). [31]
{{cite web}}
: CS1 maint: несколько имен: список авторов ( ссылка )