Zip File, мамкины хаЦкеры. В прошлом видео мы с вами подробно разобрали теоретические основы процесса моделирования угроз. Но теория, это сами понимаете, лишь теория. Без практики, что называется, никуда. Именно поэтому сегодня мы подробно рассмотрим каждый этап создания первоклассной модели угроз подкрепив каждый из них реальными кейсами. Если вы, как и 99% спецов по ИБ вечно мучаетесь с этим вопросом, тогда это видео будет вам максимально полезно. Традиционно не будем терять не минуты на праздную болтовню. Устраивайтесь по удобней и погнали душнить.

Определение негативных последствий

Первый этап в создании любой рабочей модели угроз – это определение негативных последствий. Для этого прежде всего необходимо перелопатить огромный массив различных данных.

Поглядеть базу данных ФСТЭКа, заглянуть в свою локальную нормативную документацию, провести аудит критических процессов в вашей компании. Короче ударненько поработать головушкой, а не опой.

После того, как исходные данные тщательно проанализированы, можно сделать вывод касательно определённых последствий. Как правило они выражаются в нарушении прав.

В возникновении ущерба в области обороны или в финансовых, производственных и репутационных потерях разных масштабов.

Главное помнить, что определяемые в ходе оценки угроз безопасности информации негативные последствия должны быть конкретизированы применительно к областям и особенностям деятельности обладателя информации или оператора.

Т.е. универсальных кейсов для этой истории никто не изобретёт. Всё всегда пляшет от особенностей деятельности работодателя. Так в крупном бизнесе критичные процессы бывают, как правило, управленческие, технологические и производственные.

Поэтому если всё управление командами у вас происходит через Atlassian’овскую Jirу, то будьте готовы в случае падения данной системе к тому, что вся история взаимодействия и все задачи будут утеряны.

В банковском секторе есть ещё финансово-экономические процессы. Например, выдача и обслуживание кредитов для банков – это типичный критический бизнес-процесс.

И тут, как вы понимаете, интровертом быть уже не получится. Нужно активно взаимодействовать с сотрудниками смежных подразделений, которые так или иначе участвуют в этом процессе.

Без командной работы специалистов всех вовлечённых в работу служб оценить риски ущерба у вас вряд ли получится. А если и получится, то такую оценку вряд ли можно назвать адекватной и объективной.

В идеале вообще оценивать ущерб максимально наглядно и с привязкой к валюте. Допустим вирусное заражение одного компьютера, и его последующая переустановка займёт столько-то часов, а это равно стольким-то тысячам долларов потерь для компании.

Зарплата системного администратора делится на количество дней, затем вычисляется стоимость часа, и она умножается скажем на 3 часа. Среднее время переустановки винды.

Получится как раз минимальная сумма возможных потерь. Плюс к этому можно докинуть зарплату непосредственного сотрудника, чей ПК оказался заражён вирусом и тогда уже сумма получается совсем безрадостная.

А наш бизнес, как правило, понимает разговор только касательно материальных потерь и сразу же находит необходимые ресурсы, позволяющие этих потерь избежать.

Одно из таких решений - внедрение программного обеспечения 1С для автоматизации бизнес-процессов.

Софт может меняться под запросы компаний, а чтобы эти изменения осуществлять нужны 1с-программисты, способные разрабатывать различные интерфейсы и создавать контроллеры.

Самое классное, что им не нужно знать никакой иностранный язык. Весь код и документация 1С написаны на русском. Так что это, пожалуй, самый лёгкий способ войти в IT.

Если вы научитесь лихо прогать на 1Ске - с трудоустройством проблем не будет, так на hh.ru на 4 вакансии приходится только одно резюме!

Это больше, чем у любого другого языка программирования. А еще - потом сможете вырасти до архитектора, бизнес-аналитика или руководящего программиста. 

Обучиться профессии, рекомендую в онлайн школе SkillFactory. Ее фишка в том, что студенты получают рабочий практический опыт прямо во время учёбы.

Это решение кейсов реальных заказчиков, участие в тренировочных сессиях и стажировках. А в конце - готовое портфолио, которое не стыдно продемонстрировать не собеседовании. 

Через 6 месяцев обучения вы забудете про душные опен-спейсы с коллегами и сможете устроиться на первую работу программистом 1С, а поможет с этим центр карьеры.

Если же трудоустроиться по какой-то причине у вас не получится, школа вернет деньги. Кстати, купив данный курс в октябре вам подарят бесплатный Мини - курс по нейросетям, чтобы вы смогли работать меньше, а зарабатывать больше. «»

Переходите по ссылочке в описании, оставляйте заявку на персональную консультацию по курсу и осваивайте профессию.

И да, не забудьте заюзать мой фирменный промокод (КУРЕЦ), чтоб получить 45% скидку. Skillfactory учит тех, кого берут на работу.

Определение объектов воздействия

Первый этап в создании модели угроз – это определение объектов воздействия. У нас уже есть угрозы, есть последствия, осталось понять на что, собственно, надо воздействовать.

Для лучшего понимания дальнейшего повествования напомню про базовые термины сетевиков. АРМ – оно же автоматизированное рабочее место. Говоря простыми словами – комп пользователя.

Сервер - выделенный компьютер с сервисами в сети, которые постоянно доступны. И сеть с сетевым оборудованием, состоящим из коммутаторов, маршрутизаторов и линий связи.

В качестве объектов воздействия могут выступать такие ресурсы, как информация, программно-аппаратные и сугубо программные средства, носители информации, сетевое оборудование, средства защиты и даже пользователи.

К слову, о средствах защиты. Многие почему-то думают, что к этой категории относятся и VPNы. Так вот. Наверняка если вы работаете или работали когда-нибудь в корпорации с адекватным бюджетом на айтишку – то пользовались таким VPN клиентом, как Cisco Any Connect.

Дело в том, что данная прога, точнее её старая версия, в момент запуска обращалась к файлу по имени. И никак по-другому это дело не проверялось. Поэтому если злоумышленник удалял файл и заменял его скриптом, пользователь даже не понимал, что происходит атака.

Ладно. Я чёт как старикан уже придаюсь каким-то левым воспоминаниям из жизни и гружу вас ненужными кейсами. Давайте поговорим о том, что касается видов воздействия на ресурсы.

В первую очередь это конечно утечка информации или перехват данных. Несанкционированный доступ. В том числе в служебные помещения. Ибо многие очень халатно относятся к ключ-картам и запросто оставляют их на столе в кипе бумаг.

Подошёл к столу, взял ключ-карту, бумажками также припорошил и потихоньку пошёл в серверную натянув капюшон. Классический рашен-пентестинг.

К этой же категории негодяев относятся те, кто, эксплуатируя нарушения целостности изменяют цифры в своём ипотечном кредите в базе данных своего банка.

Ну и моё любимое – это несанкционированное использование вычислительных ресурсов. Обычно происходит, когда хорошие и умные админы начинают майнить от скуки на процах в вашем ЦОДе и параллельно создают в SAP’е заявку на закуп пары-тройки граф-станций.

С архитектурной точки зрения уровни объектов воздействия выглядят следующим образом. Физический, тут на картинке в виде двух серверов в ЦОДе, сетевой в виде устройств, протоколов и служб.

Системный, тут думаю из названия и так всё понятно, влияние происходит на компоненты операционной системы путём искажения файлов библиотек, веток регистра или дописыванием скриптом Хрона, если речь заходит о Linux.

Прикладной, это внутрянка софта аля плагин в браузере или уже упомянутые ранее базы данных, в которых злоумышленник правит цифры в кредите.

Ну и уровень пользователя, т.е. то, с чем юзверята обычно работают и на что у них прав хватает. На этом уровне, хаЦкеры, как правило, юзают фишинг надеясь на невнимательность сотрудников вашей фирмы.

Понятно дело, рано или поздно вы придёте к логичному выводу, который заключается в том, что на практике невозможно самому отвечать за всё вышеупомянутое хозяйство.

Именно поэтому преобладающее число компаний сейчас пользуются услугами аренды серверов в крупных ЦОДах и частично закрывают вопрос безопасности хотя бы по этой части.

Фактически разграничение зон ответственности может быть разным. На слайде представлены наиболее типовые примеры, которые вы можете опытным путём подогнать под специфику своего предприятия.

Вариант первый – когда IT инфраструктура целиком ваша и соответственно вы сами за неё ответственность и несёте. Круто работает, когда компания реально большая и дешевле, и безопаснее всё держать у себя.

Второй вариант подразумевает, что за сеть, хранение данных, аппаратную платформу и виртуализацию ответственность несёт поставщик, а у вас есть лишь веб-морда с доступом к гипервизору.

Третий случай, когда есть всё тоже, что во втором случае, но виртуалки самим разворачивать не надо, за вас уже всё установлено и пролицензировано. С вас только дополнительные приложения и данные. Подходит для маленьких команд разработчиков.

Ну и 4 случай, когда вы всё отдаёте на аутсорс и просто работаете в своё удовольствие. Зашёл в софтину, клацнул по кнопкам, получил результат в виде кэша – заплатил за эту историю. Разницу оставил себе. И так по кругу.

Определение источников угроз

Мы определились, что может произойти и, почему это может произойти. Теперь самое время определиться с тем со стороны кого это может произойти. То бишь определить источник угрозы.

Сам список угроз можно составить путём коммуникации с сотрудниками, задав вопрос что раньше было и кто в этом был виноват. Именно поэтому если вы начинающий безопасник – курилка должна стать вашим основным местом работы, после удобного места у МФУхи.

Ну а если вы интроверт и любитель хардкора, можно проанализировать банк данных угроз от ФСТЭКа, который мы рассматривали в предыдущем уроке. Тема тоже рабочая, но более мозгодельная.

Самая вышка – это если вы понимаете все типовые процессы в вашей компании. Но для этого нужно иметь за плечами огромный опыт работы, который вряд ли на данный момент есть у тех, кто смотрит данное видео.

К нарушителям могут относиться любые субъекты, случайно или преднамеренно совершившие действия, следствием которых является нарушение безопасности информации.

Причём это могут быть как скрипт-кидди, обученные по старым роликам Денчика на ютубе, так и конкурирующие организации нанявшие хаЦкерскую группировку, чтобы положить серваки в вашем ЦОДе.

Вообще список возможных нарушителей весьма и весьма внушительный, но все эти ребята, так или иначе, имеют разные уровни компетентности и мотивации, исходя из чего, собственно, и определяется уровень их
возможностей.

По типу бывают внешними и внутренними и признаются актуальными, только когда возможные цели реализации ими угроз могут привести к определенным негативным последствиям и соответствующим рискам.

В качестве внутренних нарушителей рассматриваются пользователи, имеющие полномочия по доступу к информационным ресурсам и компонентам систем и сетей, а также персонал, обеспечивающий их функционирование.

Внутренние нарушители первоначально могут иметь разный уровень прав доступа (например, банальный доступ в личный кабинет на сайте или исполнение обязанностей на автоматизированном рабочем месте, ну а самое лютое это когда в плохие руку попадают права на администрирование систем и сетей).

Некоторые «проблемы» порой обусловлены случайными действиями пользователей или сотрудников. Так в одном известном банке программист «случайно» ввёл команду, которая «стёрла» данные клиентов прямо на сервере.

На восстановление данных, согласно отчёту, потребовалось 3 суток. Представляете какой ущерб был понесён за время простоя? Примерно столько же, сколько было потрачено за последние годы на вставание с колен в Россиянии.

Кроме того, когда вы составите полный перечень нарушителей, можно задуматься о создании такого же списка исключений. Ну например вы точно знаете, что ряд топ-менеджеров прошли у вас полиграф или вот этот и этот админ сто пудово нормальные пацыки.

Шучу. Конечно, последнее является исключительно субъективным мнением и в исключения добавлять, руководствуясь только им точно не следует. Лучше проверьте полиграфом и этих задротов, чтобы не расслаблялись.

По итогу для каждого вида ущерба вы должны определить:
● виды нарушителей;

● возможные цели;

● возможности гипотетических нарушителей;

● и категории нарушителей, которые могут реализовывать угрозы в том числе и непреднамеренные.

Определение способов реализации угроз

Прежде всего нужно разобраться с тем, есть в нашей сети и в наших системах какие-то очевидные уязвимости на данный момент. Если таковые имеются – их нужно срочно закрыть.

Вторым шагом необходимо разобраться с тем, может ли у нас случиться такая неприятная вещь, как внедрение вредоносного программного обеспечения. Нет ли в установленном софте незадекларированных возможностей.

Далее нужно проанализировать действующие каналы передачи и убрать все левые. Например, если сотрудник помимо корпоративной сети периодически втыкает йотовский свисток 4G себе в комп и сидит на всяческих пошлых сайтах или того хуже сливает куда-то на лево данные из внутрикорпоративных систем – нужно его немедленно наказать, примотав парочку электродов к детородному органу.

Помимо этого, есть ещё инвазивные способы. Это когда левые чел приходит в офис и тырит флеху или рутокен. Нарушение безопасности при поставках ПО. Тут вроде и так всё понятно.

Ну и ошибочные действия в ходе создания и эксплуатации систем и сетей. Мне как сотруднику управления эксплуатации это, пожалуй, наиболее знакомо и близко.

Помимо прочего, стоит запомнить понятия уязвимости. В наших ГОСТах его трактуют, как уязвимость в широком смысле, так и уязвимости внутри информационной системы.

Теперь самое интересное. Уязвимости по типам недостатков информационных систем. И первая по списку, это неполнота проверки вводимых данных. Например, если в банковском приложении отсутствует проверка суммы перевода: можно ввести отрицательную сумму, скажем -10000рублей и эти деньги прилетят к вам на карту.

Вторая идиотская уязвимость — это утечка и раскрытие информации ограниченного доступа. Например, лишняя информация в сообщении об ошибке, когда вы пару раз ввели неверный логин пароль, но система подтвердила, что такая учётка есть и даже вывела вам подсказку о пассе.

С привилегиями понятно. Рута лучше всегда выключать и создавать отдельную учётку с аналогичными правами, но совсем не очевидным именем и супер-надёжным паролем.

Ну и ограничения на попытки логина в систему, тоже само собой нужно всегда выставлять. А то найдётся упоротый брутер из Индии и спустя пол-года таки подберёт нужный пассворд к вашему Admin/admin.

Обобщённо эта картина выглядит следующим образом. Всё, как обычно, делится на уровни по принципу слоёного пирога. В данном случае, системный, аппаратный и прикладной.

Кстати, в примере про банк с вводом отрицательной суммы, я не шутил. Это реальный кейс, который правда очень быстро прикрыли. Можете погуглить на досуге, если кому интересно.

Оценка актуальности угроз

Окей. Нам осталось только разобраться с последним этапом, который заключается в определении актуальности угрозы. Официальное определение гласит, что возможность реализации риска или ущерба – определяется наличием хотя бы одного сценария её реализации.

Причём сценарии следует рассматривать на всех «уровнях абстракции»: аппаратном, системном, сетевом, прикладном и т.д. Вот для примера раскладка сценария по TTP. Базирующаяся на уже знакомой нам методологии MITRE ATT&CK.

Определять сценарии тоже достаточно просто. Во-первых, у вас уже есть исходные данные, которые мы запрашивали ещё на первом этапе. Во-вторых, нужно определить внешние и внутренние интрефейсы. Это тоже достаточно просто.

В-третьих, необходимо выявить уязвимости. Лучше всего это сделать посредством пентеста. Ну а дальше, останется только разобраться с последовательностью применяемых тактик и техник.

Да даже, если хоть что-то из этого списка выгорело, то у вас уже практически есть готовый сценарий. Останется только всё это дело оформить в виде какой-нибудь наглядной mind-карты и дело в шляпе.

Разумеется белой. Мы ж как-никак специалисты по безопасности. Ну и не забывайте про то, что угроза является актуальной, только если есть реальные риски, объекты воздействия, источник угрозы, способ реализации и хотя бы один сценарий.

Как итог мы с вами получим вполне конкретную, рабочую модель угроз, построенную в соответствии с профессиональной методологией. И да, не забудьте, что эту модель лучше всего визуализировать с помощью специализированных инструментов, специально заточенных под эту историю.

Ну или хотя бы наглядно запилите в Visio или xMind. Главное не приносите это просто начиркав ручкой вашим топ-менеджерам. Нужно ж хоть как-то оправдывать ЗПшку в 300к в месяц. Помните, вкусная картинка с пугалками – наше всё.

Окей, друзья. Какие выводы можно сделать в заключении нашего сегодняшнего урока. Первое, это, пожалуй, понимание того, что моделирование угроз однозначно необходимо.

Однако, т.к. от всех угроз защититься никогда не получится, нужно выбрать наиболее актуальные. Так сказать, расставить приоритеты.

Предложенная мною методика не является эталонной и идеальной, но она, как минимум, позволяет получить общее представление.

Да и в целом, моделирование угроз — это не та задача, которую можно решить
за час, день или даже год. Для этого необходим хороший технический
бэкграунд и понимание того, какие ещё методики и мировые подходы в принципе применяются.

Напоминаю, что практика по теме урока бесплатно выложена на сайте академии матёрых IT-спецов. Переходите, регистрируетесь и получаете доступ к курсу «Информационная безопасность с нуля до джуна».

Ну а дальше проваливаетесь в интересующие уроки и после просмотра выполняете практические домашки, которые, между прочим, проверяю я лично в индивидуальном порядке.

Надо бы уже начинать за это и денежку брать. Так что спешите, пока я не решил на вас наживаться. Если понравилось видео – то, как обычно, самой лучшей благодарностью для меня будет поставленный лайк и развёрнутый комментарий.

Ну и это. Про подписку не забывайте, если наткнулись на это видео в реках ютуба. Новым камрадам мы всегда рады. На сим всё. С вами, как обычно, был Денчик. До новых встреч, мои кайфные друже. Всем пока.