Привет!
Нарисовать портрет потенциального злоумышленника – это далеко не самый простой процесс как в методическом, так и в психологическом плане.
Защищая ИТ-инфраструктуру, любой специалист должен противостоять не абстрактному злу, а четко понимать, кто его потенциальный противник и какие инструменты этот противник может использовать. Ранее мы уже рассказывали о моделировании атак , сегодня же поговорим о моделировании нарушителя.
ДИСКЛЕЙМЕР
Данная статья представлена исключительно в ознакомительных целях и не несет призыва к действию. Вся информация направлена на то, чтобы уберечь читателей от противозаконных действий.
Нарисовать портрет потенциального злоумышленника – это далеко не самый простой процесс как в методическом, так и в психологическом плане. Все усугубляется еще и тем, что ИБ-специалист, скорее всего, никогда не видел и не увидит этого нарушителя своими глазами в реальной жизни. Как следствие, противостоять приходится «невидимому врагу», и здесь могут возникнуть самые разные иллюзии. Кроме того, человеку свойственно бояться в первую очередь того, что страшно, а не опасно, поэтому возникают определенные сложности с объективной и здравой оценкой нарушителя.
Посмотрите на фото ниже и оцените, кто из этих двух людей, по вашему мнению, потенциально более опасен и выглядит страшнее. А потом прочитайте подписи под фотографиями.
BLACK SIDE ®
Психологические аспекты можно обсуждать бесконечно, поэтому последняя ремарка и перейдем к методической части. А ремарка простая: оценивая потенциального нарушителя, ИБ-специалисты могут приуменьшать значимость подконтрольных им активов («да кому я нужен …»), то есть выбирать минимальный уровень возможностей оппонента и, как следствие, защитных мер; или наоборот – переоценивать эту значимость («да у меня же тут, ого-го!») и необоснованно выстраивать «забор с колючей проволокой».
Откуда придет нарушитель?
Идея данной статьи возникла, когда ФСТЭК России опубликовала проект «Методики моделирования угроз безопасности информации», и в повестке дня вновь возник вопрос моделирования нарушителя.
В документе вводятся две категории нарушителей:
- внешние нарушители – субъекты, не имеющие полномочий доступа к информационным ресурсам и компонентам систем и сетей;
- внутренние нарушители – субъекты, имеющие полномочия доступа к информационным ресурсам и компонентам систем и сетей.
Но данные определения явно не отвечают на вопрос: а если работник (то есть субъект, имеющий полномочия по доступу к информационным ресурсам) атакует систему из дома или интернет-кафе (то есть в этот момент не имеет полномочий по такому доступу), то какой это нарушитель?
Как говорится, критикуя – предлагай. Поэтому я бы немного уточнил эти определения:
- внешние нарушители – субъекты, не имеющие полномочий по доступу к информационным ресурсам и компонентам систем и сетей и реализующие угрозы безопасности информации из-за пределов данных информационных ресурсов, систем и сетей;
- внутренние нарушители – субъекты, имеющие полномочия по доступу к информационным ресурсам и компонентам систем и сетей и реализующие угрозы безопасности информации, находясь как внутри, так и за пределами данных информационных ресурсов, систем и сетей.
Но важно понимать, что это деление достаточно условное, т.к. после преодоления внешнего периметра, скомпрометировав легитимную пользовательскую или сервисную учетную запись, внешний нарушитель «переодевается» во внутреннего (используя «угнанную» учетную запись, имеющую полномочия по доступу к информационным ресурсам и компонентам систем и сетей).
Обратите внимание: Простой анализ спроса на товары и услуги. Как узнать сколько людей хотят купить ваш товар..
И в данном случае, с практической точки зрения, на первое место выходит вопрос: а какими возможностями обладает нарушитель, т.е. что он умеет делать?Что умеет нарушитель?
Итак, теперь самое интересное: проект методики предполагает, что «для каждой из категорий нарушителей, актуальных для систем и сетей, должны быть определены виды нарушителей и их возможности по реализации угроз безопасности информации». Поговорим подробнее про эти виды и возможности.
Хотелось бы, чтобы эти понятия были «развязаны» между собой. Поясню на альтернативном примере. Выбирая варианты самозащиты, вы оцениваете потенциального противника в первую очередь по его возможностям:
‑ вес и габариты,
‑ вооружен ли подручными средствами (палки, камни и т.п.),
- вооружен ли холодным оружием,
- вооружен ли огнестрельным оружием и т.п.
Другими словами, вас мало интересует будет ли оппонент гастарбайтером, представителем отдельной субкультуры или соседом. Главное – как и с помощью чего он будет нападать, т.е. какими обладает возможностями. Вид нарушителя – понятие очень условное, и не хотелось бы, чтобы оно сбивало моделирующего с толку или выводило на определенные (ложные, с точки зрения реальности) ассоциативные цепочки.
Теперь вернемся к проекту методики. Раз для определения возможности нам нужно понять вид нарушителя, давайте разбираться, как это сделать.
В проекте методики виды нарушителей «определяются на основе предположений о возможных целях реализации этими нарушителями угроз безопасности информации, которые зависят от назначения систем и сетей, выполняемых ими функций и решаемых с их использованием задач, а также значимости обрабатываемой информации».
Какую угрозу несет нарушитель
В проекте методики недостаточно очевидно обозначена связь угроз (сценариев их реализации) и модели нарушителя: в описании тактик и техник ни вид, ни уровень возможностей нарушителя в явном виде уже не фигурируют.
Заключение
Говорят, что врага надо знать в лицо. С этим трудно поспорить, но я бы все-таки рекомендовал моделировать и оценивать в первую очередь его возможности и сразу увязывать их с потенциальными актуальными угрозами, чтобы получить наибольшую отдачу с практической точки зрения.
Больше интересных статей здесь: Финансы.
Источник статьи: Как узнать своего врага в лицо..