Что такое модель нарушителя
Модель нарушителя — это, по сути, описание потенциального злоумышленника: кто он, что знает, какие у него цели, возможности и способы действий. Это не портрет конкретного хакера, а формализованный ( или не формализованный ) образ того, кто может попытаться нарушить безопасность системы.
Проще говоря: прежде чем защищаться, нужно понять, от кого именно ты защищаешься.
Что включает модель нарушителя
Даже в упрощённом виде она должна содержать:
- Категории нарушителей — внутренние и внешние.
- Цели — чего добивается злоумышленник: кража данных, саботаж, получение прибыли и т. д.
- Количество — действует один человек или группа.
- Инструменты — чем пользуется: фишинг, вредоносные программы, уязвимости в системе.
- Типовые сценарии действий — последовательность шагов, которые предпринимает нарушитель.
Это требования, установленные регуляторами — ФСТЭК и ФСБ РФ. Даже если модель простая, эти компоненты должны быть в ней обязательно.
Классификация нарушителей
Внутренние
Это сотрудники организации, имеющие доступ к системе: обычные пользователи, системные администраторы, специалисты по ИБ, руководители и т. д. Они уже находятся внутри контура безопасности и потому особенно опасны — знают систему, имеют легитимный доступ.
Внешние
Сюда входят:
- разведслужбы и государственные структуры;
- криминальные или хакерские группировки;
- конкуренты, стремящиеся получить данные компании;
- недобросовестные партнёры;
- случайные посторонние лица, получившие доступ извне.
Как классифицируют нарушителей дополнительно
- По уровню знаний — насколько хорошо злоумышленник понимает устройство системы, ёё технологии и слабые места.
- По возможностям — какими средствами и ресурсами располагает: от фишинга до дорогостоящих DDoS-атак.
- По времени действия — когда атакует: во время работы системы, в простое или в любой момент.
- По месту действия — с физическим доступом к инфраструктуре ( например, к серверной ) или без него.
Что такое модель угроз
Модель угроз — это описание того, какие угрозы вообще могут существовать для конкретной информационной системы. Это не про людей, а про сами уязвимости, сценарии атак и возможные последствия.
Регламентируется она, как и модель нарушителя, требованиями ФСТЭК — то есть должна иметь определённую структуру.
Основные компоненты модели угроз
- Описание системы — её структура, компоненты, сети, взаимосвязи.
- Описание угроз безопасности, включающее:
- модель нарушителя;
- возможные уязвимости;
- способы реализации атак;
- последствия для конфиденциальности, целостности и доступности информации.
Этапы построения модели угроз
- Анализ исходных данных. Изучаются документация, архитектура сети, технические описания, уже реализованные инциденты.
- Определение негативных последствий. Формулируется, что может произойть при компрометации данных — утечка, сбой работы, финансовый ущерб и т. д.
- Выделение объектов воздействия. Определяются элементы системы, на которые может быть направлена атака — серверы, базы данных, пользовательские учётки и т. д.
- Инвентаризация ресурсов. Составляется список всех компонентов и активов, чтобы понимать, что именно подлежит защите.
- Определение и анализ угроз. Собираются все возможные угрозы — из нормативных документов, банков данных угроз ( БДУ ФСТЭК ) и реальных кейсов.
- Оценка актуальности. Проверяется, какие угрозы действительно могут быть реализованы. Если у нарушителя есть хотя бы одна реальная возможность — угроза считается актуальной.
- Приоритизация. Угрозы ранжируются по степени критичности. Наиболее опасные анализируются подробнее и становятся предметом защиты.
В итоге модель угроз помогает понять: что именно нужно защищать, от кого и каким образом. Без неё построить грамотную систему безопасности невозможно — она та база, на которой держится вся последующая защита.
Добавить комментарий