Zip File, мамкины хаЦкеры. В прошлых видео мы подробно рассмотрели вопросы касающиеся процедур лицензирования, аттестации и сертификации. А это значит, что нынче, самое время, поговорить о подходах к моделированию угроз. Досмотрев это видео до конца вы узнаете про самую передовую методику оценки угроз. Разберётесь, как заранее прогнозировать негативные последствия и определять возможные объекты воздействия. Научитесь определять источники угроз и оценивать их актуальность. Ну и конечно, поговорим о способах реализации этих самых угроз. Куда же без этого. Если вам интересна данная тема, тогда, устройтесь по удобней перед экраном. Позаботьтесь о вкусной еде под рукой. И будем постепенно погружаться в одну из самых сложных, но интересных тем из сферы реального инфобеза. Погнали.

Прежде всего, нужно ответить на извечный вопрос, что же представляет из себя модель угроз. По сути это некий перечень актуальных угроз для вашей системы, который составляется для определения слабых мест и подбора приоритетных инструментов защиты.

Если переходить от слов к делу, то можно рассмотреть кейс, когда сотрудник вашей организации скачивает с левого торрента фильм «Чебурашка» с названием Cheburashka_full_hd.exe и запускает его на компьютере с выключенным или вообще отсутствующим антивирусом.

Ведь сраный касперский жрёт так много оперативы. Проще ж его отключить или вообще снести, правда? И пофиг, что после запуска подобного файла, пользователь получит в лучшем случае sms-порнобанер, а в худшем вообще все его рабочие файлы будут зашифрованы безвозвратно.

Так вот. В нашем примере источником угрозы является доступный сайт, угрозой ИБ – загруженный файл, а нарушением – его запуск. Уязвимость соответственно заключается в отсутствии антивируса и групповой политике, позволившей в принципе скачать и запустить подобную дрянь.

Ну а потренироваться с образами в безопасной среде и протестировать составляющие модели можно на проверенных VDS-серверах самого топового сервиса SptintBox, о котором я уже не раз упоминал в своих роликах.

На нём вы легко сможете поднять свой собственный VDS-бокс и накатить популярный образ Линухи, или установить специализированную стороннюю сборку.

А при желании можно вообще установить полноценный VPN для личного пользования в благих целях. Отличие СпринтБокс от обычного хостинга в том, что ресурсы не распределяются поровну между всеми аккаунтами на сервере.

Каждому пользователю тут выделяют индивидуальный набор ресурсов. Благодаря этому, вы не будете зависеть от соседей по серверу и сможете делать со своими боксами, буквально, что захотите.

Так что, если вам нужно создать какой-то сложный и необычный тестовый стенд для апробации вашей модели угроз, который не вписывается в критерии для обычного хостинга, боксы это идеальнейший вариант.

На сервисе можно настраивать резервное копирование и снапшоты, подключаться к создаваемым серверам по SSH и FTP, а также добавлять к ним доп. хранилище до 1 Тб.

Ну и само собой никто не запрещает поиграться с настройками файрвола и подключить защиту от внешних DDoS-атак. Короче для сетевой практики это прямо мастхэв.

Можно деплоить ботов для Телеграма, ВК и Дискорда. Поднять сервер Майнкрафт для игр с друзьями. И вообще сотворить много всего интересного. Вы ограничены исключительно собственными умениями и фантазией.

Управлять созданными боксами можно через удобную Панель управления или в Telegram-боте. Он может вывести вам нужную информацию, перезапустить бокс и даже создать новый буквально в несколько кликов.

Ну а если вдруг тупанёте и не сможете разобраться, вам на помощь прийдёт техподдержка. Там ребята всегда на связи. И днём, и ночью. Кроме того, можно воспользоваться Базой знаний, в которой есть куча полезных статей.

В общем, если намерены изучать безопасность систем и сетей не только в теории, а действительно погрузиться в эту историю с головой – велком. Ссылка на KVM VDS от SprintBox будет в описании.

Там же будет мой авторский промокод, по которому ещё и 50% кешбек получите. Короче переходите скорее и регайтесь. Тема зачётная.

Окей, друзья. Созданная вами модель угроз в идеале должна коррелироваться с обязательными требованиями регуляторов, с лучшими практиками и с опытом других спецов по ИБ.

Только с таким подходом получится подобрать актуальные меры защиты и построить комплексную, устойчивую к атакам, систему обороны вашей сети.

Соответственно к каждой актуальной угрозе применяются нужные защитные меры. Например, ограничение допуска лиц в помещения, разграничение прав доступа к защищаемой информации, шифрование при передаче инфы и т.д.

Помните, что модель угроз призвана защитить не только компы сотрдуников, но и их эмоциональное состояние. Если вы заблочите всё и вся, то люди будут грустить и увольняться. 

Это повлечёт за собой текучку, увеличит нагрузку на коллег и бизнес не сможет эффективно работать. Так что всегда нужно искать разумный баланс в мерах защиты, ибо универсальной модели угроз для всех сфер пока не придумали.

Однако подходов к этому делу разработали великое множество. Например, можно сгруппировать угрозы по классификаторам, исходя из типа потенциального нарушителя (самый простой вариант), источника угрозы (это как правило сами люди) и перечня имеющегося оборудования и софта.

Помимо этого можно построить граф угроз исходя из нарушения определённых свойств информации. Помним да, что к таким свойствам относится конфиденциальность, целостность и доступность.

Более-менее опытные ИБшники, уже строят свои модели на основе реальных кейсов исходя из типичных действий злоумышленников, атаке со стороны которых их компания уже ранее подвергалась.

Например, злоумышленник хочет ломануть нашу сеть. Первое что он делает – это занимается разведкой. Собирает из открытых источников почты сотрудников, находит профили в соц. сетях, рыщит на hh.ru шаблоны корпоративных email’ов и создаёт злостный словарик из этой базы.

Далее через какой-нибудь сервис аля Shodan этот злоумышленник смотрит торчат ли из нашей организации IP-адреса в глобальную сеть и точно также формурует из найденных данных отдельную базу.

Затем наступает этап вооружения или говоря простым языком подбора эксплоита. Раз уж заговорили о корпорации, то пусть это будет фишинг. Под это дело поднимается или арендуется сервак в облаке и затем через почтовик происходит массовая рассылка с доставкой, что называется «на лоха».

В момент когда лох нашёлся, а точнее в момент когда жертва запустила таки вшитую в вордовский или иксэлевский файл VBAшечку процесс переходит на стадию проникновения.

Кстати, тренды последних лет – пароль эти самые VBA. Так что спецам по ИБ теперь всё сложнее ковырять пойманных буквально за хвост негодяев. Так что если уж перейдёте на тёмную стороны – слёзно прошу. Не парольте. Их порой так весело разбирать вечерами. Не забирайте отдушину.

Далее после успешной инсталяции проваливаемся на тачку и устанавливает пакет для дальнейшего пеотинга в инфраструктуре, либо закрепляемся и ищем дальнейшие варианты куда пойти.

Т.е. после того, как жертва перешла по зловредной ссылке, у злоумышленника появляется возможность поискать в сетке серверы и как минимум оставить закладки на будущее.

А если звёзды сойдутся, то хаЦкер вообще найдёт контроллер домена и создаст себе вагон учёток, либо вытащит пароль от доменной админки и с золотым тикетом за пазухой сольёт из сетки всё что душе угодно.

Напоследок почистит после себя все логи и с ехидной улыбкой уйдёт в закат, похихикивая над криворукими айтишниками, которых набрали по объявлению на авито.

Если абстрагироваться от практики, можно подойти к моделированию угроз и с сугубо бюрократической стороны. Методик этих существует великое множество. На слайде вывел пару примеров.

Рекомендую юзать только последнюю, т.к. остальные напрочь утратили свою актуальность. Но это опять же ИМХО. Для общего развития можно и полистать на досуге, чтобы иметь представление с чего начиналась движуха.

Если планируете работать на позиции безопасника где-то подальше от своей родной хацепетовки, к примеру на тёплом берегу пендостана, рекомендую изучить NIST, STRIDE, DREAD и майкрософтовскую SDLC. Лишним точно не будет.

Особенно тем, кто помимо прочего занимается разработкой. Ибо модель мелкомягких идеальнейшим образом накладывается на типичный цикл разработки ПО.

Есть также мястячковые методики по типу октавы, оваспа и трайки, которые с переменным успехом применялись в разные годы с учётом специфики тех и иных IT-отраслей.

Про OWASP, а точнее про уязвимости в нём упомянутые, спрашивают примерно на всех собеседованиях куда меня приглашали. Так что вот эта вещь к ознакомлению прям обязательно.

К тому же в последние годы она даже до мобил добралась. Но по факту стандартом за рубежом считают модель моделирования MITRE ATTACK. В ней действия злоумышленники описаны шаг за шагом.

Какой же промежуточный вывод можно сделать исходя из услышанного в этом блоке нашего сегодняшнего урока. Ну во-первых, стало понятно, что моделей угроз существует достаточно много.

А во-вторых, они бывают различных видов. В частности высокоуровневые, отраслевые, подзаконные, технологические, процессные и шаблонные.

Но самую ненавистную буквально всеми безопасниками РФ методику оценки моделирования угроз мы с вами рассмотрим в ближайшие 5 минут. Не переключайтесь.

Методика оценки угроз ФСТЭК

В 2021 году ФСТЭК в кои то веки выпустила обновление методик оценки угроз безопасности. Этот документ уже уже дефакто стал официальной базой, в соответствии с которой нужно выполнять моделирование угроз для всех информационных систем находящихся на слуху.

Да ещё не вся нормативно-правовая документация под него перестоилась. Кое где ещё встречаются отсылки на ИСПДн 2008 года. Но таких доков с каждым днём остаётся всё меньше. И это не может не радовать

В новой методике впервые вводится понятие УБИ. Угрозы безопасности информации, под которыми подразумевают совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации. Это определение очень важно запомнить.

Как я уже говорил ранее, задач у моделирования довольно много. Тут и определение негативных последствий от реализации угроз и инвентаризация сетей для обнаружения возможных объектов воздействий

И определение источников этих самых угроз. Оценка способов реализации, возможность реализации. Ну и конечно проработка всех наиболее и наименее вероятных сценариев вторжения в ваши системы.

За исходную точку входа обычно берут банк данных самого ФСТЭКа, сайт bdu.fstek.ru в помощь. Также не пренебрегайте описаниями компьютерных атак из различных источников. В том числе отечественных.

Бюллетени от Каспера наше всё. Помимо этого можно на досуге изучать официальную документацию на системы и сети, читать различные соглашения, НПАшечки, ОРД и прочие интересные вещи.

Как минимум, не пренебрегайте договорами и соглашениями для того чтобы знать, какие риски вы можете делегировать на контр-агентов, а какие будете вынуждены оставить в своей юрисдикции.

Лично я, ввиду достаточного большого количества связей в комьюнити обычно использую ускоренный способ сбора данных заключающийся в создании экспертной группы из спецов шарящих в своих направлениях.

Кроме этого, важно понимать, что моделирование угроз это не просто бумажка, которую вы один раз написали и благополучно убрали в стол. Модель нужно систематически актуализировать.

В ходе внедрения новых систем, при построении новых сегментов сети, ну и само собой в ходе эксплуатации этих историй. Как показывает практика, всё на свете нормально допиливается только в следствии длительной профессиональной эксплуатации и наша модель тут не исключение.

Ладно. Это всё лирика. Главное помнить, что модель угроз, это не просто список угроз перечисленный через запятую. Угроза это своего рода вектор, который даже и названия толком может и не иметь.

Да и оформление этой истории все безопасники представляют по разному. Кто-то пишет огромную вордовскую партяну, кто-то насилует строки в иксэле или рисует всем отделом на огромной белой доске.

Лично я предпочитаю подобные вещи делать в виде интеллект карт в x-mind’е. Дёшево и сердито. А главное – очень наглядно и всегда можно оперативно внести изменения. Так что рекомендую, если не юзали.

Перебивка

Окей, друзья. Нынче мы с вами разобрали общие понятия моделирования угроз. В следующем ролике я хочу непосредственно рассказать вам о каждом этапе создания реальной модели.

Про определение негативных последствий, про объекты воздействия, само собой про оценку рисков и другие дико интересные вещи, только уже с упором на практику.

Если хотите не пропустить это видео, а он, сто процентов выйдет также внезапно, как новые изменения в конституции, подписывайтесь на этот канал и обязательно оставляйте комментарии с пожеланиями по будущему контенту.

Только вместе у нас получится создать самое лучшее и ламповое компьюнити безопасников в ру сегменте. Во всяком случае конкуренции я особо пока не вижу. Клоуны с кали ликунсами за щёчкой не в счёт разумеется.

Ладненько. Избавлю вас от моих тупых шуток. А то опять будете писать, что это же серьёзный контент. Убери вставочки со смешнявками, не шути. Не ёрничай. Будь сдержан.

Буду ребятушки. Раз уж вы так хотите видеть исключительно душного Денчика. Пусть так и будет. Админь.