Моделювання загроз — це процес визначення потреб, загроз і вразливостей організації в кібербезпеці, та пошук шляхів задоволення цих потреб і усунення вразливостей.
У своїй класичній праці про військову стратегію «Мистецтво війни» Сунь Цзи писав: «Якщо ви добре знаєте свого ворога і так само добре знаєте себе, вам не потрібно боятися результатів сотні битв». Тобто, чим більше інформації ви зможете зібрати про своїх супротивників і те, як вони діють, тим краще ви будете готові відбивати їхні атаки.
Це прислів’я є досить влучним особливо в галузі кібербезпеки, адже організаціям доступно багато контрзаходів, як проактивних, так і реактивних, щоб захистити себе від кібератак і відновитися після них.
Зокрема, процес моделювання загроз спрямований на виявлення й краще розуміння можливих загроз, з якими стикається ІТ-екосистема організації. Нижче ми розглянемо, що таке моделювання загроз, різні способи моделювання загроз і переваги моделювання загроз для галузей і компаній будь-якого розміру.
Що таке моделювання загроз?
Як випливає з назви, моделювання загроз передбачає створення моделі різних дій зловмисників і вразливостей, які потенційно загрожують кібербезпеці організації.
Моделювання загроз зазвичай включає такі компоненти, як:
Опис різних активів і ресурсів у вашому ІТ-середовищі (кінцеві точки, програмне забезпечення, мережі, сервери, бази даних тощо);
Список потенційних загроз для системи та їх серйозність;
Перелік потенційних дій зловмисників і рекомендацій щодо усунення кожної загрози;
Пропозиції щодо перевірки правильності моделі та перевірки успішності виправлень;
Будь-які базові припущення та умови, яких вимагає моделювання загроз.
Моделювання загроз може мати різні форми та включати в себе різні документи та візуалізації, залежно від найбільш ефективного способу передачі інформації. Наприклад:
Які є типи моделювання загроз?
Існує низка моделей загроз, які стали домінуючими у сфері кібербезпеки, і кожна з них забезпечує структуру, яка допомагає підприємствам продумати небезпеки, з якими вони можуть стикнутися. Нижче наведено короткий огляд найпоширеніших типів моделювання загроз.
STRIDE
Вперше розроблена в Microsoft у 1990-х роках модель загроз STRIDE використовується й сьогодні. Акронім STRIDE представляє шість найпоширеніших загроз кібербезпеці:
Підробка ідентифікаційної інформації (Spoofing identity): отримання доступу до обмежених мереж або даних, шляхом видавання себе за авторизовану особу чи ресурс;
Втручання в дані (Tampering with data): зловмисна зміна даних (наприклад, шифрування файлів за допомогою програм-вимагачів або зміна файлу конфігурації для отримання доступу адміністратора);
Відмова (Repudiation): заперечення відповідальності за атаку без доказів протилежного;
Розголошення інформації (Information disclosure): витік конфіденційних даних та файлів;
Відмова в обслуговуванні (Denial of service): закриття ресурсу (наприклад, веб-сайту або служби), шляхом заповнення його зайвими запитами;
Підвищення привілеїв (Elevation of privilege): доступ до файлів або даних несанкціонованим способом, на основі рівня привілеїв користувача в системі.
PASTA
PASTA (Process of Attack Simulation and Threat Analysis) — це структура моделювання загроз, створена в 2015 році консалтинговою компанією VerSprite. Структура PASTA окреслює 7 етапів розробки надійної моделі загроз кібербезпеці:
Визначення цілей: включає в себе, як внутрішні цілі, так і будь-які питання зовнішнього управління чи відповідності.
Визначення технічного обсягу: поверхня атаки організації може складатися з кінцевих систем, мереж, серверів, мобільних пристроїв, програм, баз даних, веб-сайтів тощо.
Декомпозиція додатків: діаграми потоку даних допомагають користувачам візуалізувати, як додатки працюють з даними, щоб підготуватися до глибшого аналізу.
Аналіз загроз: використовуючи численні джерела інформації про загрози та активи, визначені кроком 2, організаціям необхідно визначити найбільш актуальні загрози для цих активів.
Аналіз вразливостей: перевірка додатків на наявність проблем із безпекою, недоліків дизайну та інших слабких місць.
Аналіз атак: дерева атак моделюють те, як зловмисник може проникнути в ІТ-екосистему, використовуючи вразливості, визначені кроком 5.
Аналіз ризиків і впливу: розробка організаціями контрзаходів для усунення або пом’якшення вищевказаних проблем.
TRIKE
TRIKE — це методологія моделювання загроз з відкритим вихідним кодом для аудиту безпеки та управління ризиками. TRIKE надає електронну таблицю, яка дозволяє користувачам визначати зв’язки між різними користувачами, діями та активами в ІТ-середовищі. Грунтуючись на цих визначеннях, користувачі можуть запроваджувати відповідні засоби контролю безпеки або превентивні заходи для запобігання будь-яким загрозам.
Які переваги моделювання загроз?
Моделювання загроз є одним із найважливіших методів, які мають організації для захисту від кібератак. Деякі з переваг моделювання загроз включають в себе:
Покращення співпраці: перш за все, моделювання загроз допомагає об’єднати всі відділи організації. Визначаючи ваші ІТ-ресурси та проблеми, з якими вони стикаються, моделювання загроз гарантує, що всі — від вашої ІТ-команди до керівників і ключових зацікавлених сторін — працюють на основі однакових інструкцій.
Зменшення поверхні атаки: моделювання загроз може виявити бекдори та інші вразливості у вашій ІТ-екосистемі, щоб їх можна було швидко й ефективно виправити. Крім того, моделювання загроз допомагає зменшити складність ІТ, шляхом виявлення непотрібних кінцевих точок, програмного забезпечення або ресурсів, які можна усунути.
Пріоритезація потреб у кібербезпеці: моделювання загроз допомагає організаціям зрозуміти, які загрози потребують найбільшої уваги та ресурсів з точки зору зусиль або бюджету. Наприклад, враховуючи численні вразливості в ІТ-середовищі, які слід усунути в першу чергу?
Посилення відповідності: моделювання загроз допомагає компаніям дотримуватися законів і норм щодо конфіденційності та безпеки даних, які вимагають від організацій розуміння того, як вони можуть наражати конфіденційні дані на небезпеку. Наприклад, GDPR (Загальний регламент захисту даних) зобов’язує організації проводити оцінку впливу на захист даних (DPIA), коли вони починають нові проекти, де обробляють персональні дані.
За матеріалами EC-Council https://www.eccouncil.org/cybersecurity-exchange/incident-handling/what-is-threat-modeling-what-are-its-advantages-ecih-ec-council/
29-31 травня 2024р. відбудеться офіційний курс від EC-Council ECIH | Certified Incident Handler в ISSP Training Center.