Старые методики оценки и моделирования угроз ФСТЭК (2007-2009 г.) постепенно утрачивали свою актуальность. Они были слишком схематичны, условны и не учитывали стремительно накапливаемого мирового опыта реализации атак на компьютерные системы. В нынешнем 2021 году им на смену пришла новая Методика оценки угроз, кардинально отличающаяся от предыдущих. Но и с ней не все так гладко, как хотелось бы.
Действительно, новая Методика оценки угроз ФСТЭК от 5 февраля 2021 г. кардинально отличается от прежней Методики определения актуальных угроз безопасности ПДн от 16 ноября 2009 г., а также от Методики определения актуальных угроз безопасности информации в КСИИ от 18 мая 2007 г. и заменяет собой эти методики. Она теперь используется, в частности, для моделирования угроз в ИСПДн, ГИС, ОКИИ и других типах систем. Никакой переемственности со старыми методиками в ней не прослеживается.
Данная методика опирается на Банк данных угроз безопасности информации (УБИ) ФСТЭК, который ведется ФСТЭК с 2015 г. и размещается в общем доступе по адресу: www.bdu.fstec.ru (далее — БДУ). В дополнение к этому для оценки УБИ рекомендуется использовать описание векторов атак, содержащихся в сторонних базах знаний, таких как CAPEC, ATT&CK, OWASP, STIX, WASC и др.
Все казалось бы очень даже прогрессивно, но что же с ней не так? Что сдерживает проявления нашей радости и получение удовольствия от ее использования? Все по прежнему очень сильно запутано. К тому же мы пока не видели никакой базовой или эталонной модели угроз ФСТЭК, сделанной по новой методике, чтобы можно было судить о том, как она должна применяться на практике по замыслу ее разработчиков. Порассуждаем об этом чисто теоретически, на конкретных примерах.
Для примера рассмотрим УБИ.088 «несанкционированного копирования защищаемой информации» из БДУ ФСТЭК. Данная угроза «заключается в возможности неправомерного получения нарушителем копии защищаемой информации путём проведения последовательности неправомерных действий, включающих: несанкционированный доступ к защищаемой информации, копирование найденной информации на съёмный носитель (или в другое место, доступное нарушителю вне системы)».
Как же можно интерпретировать «последовательность неправомерных действий» в рамках существующих методик анализа угроз? Опишу своими словами. Существует потенциальная возможность причинения ущерба организации путем компрометации информационного актива — это называется УБИ. УБИ представляет собой последовательность действий (и/или событий). Данная последовательность действий, образующая «жизненный цикл» УБИ, может быть разбита на основные этапы — это Тактики. На каждом этапе злоумышленник выполняет определенный набор действий, используя определенные технические приемы для реализации атаки — это называется Техники. Количество этих техник исчисляется сотнями тысяч, т.к. любая уязвимость порождает свои Техники, используемые для ее эксплуатации. Поэтому в базах знаний информация о техниках обобщается в формате типовых Техник, которые потенциально могут исчисляться тысячами. Сценарий реализации УБИ — это последовательность конкретных Тактик и Техник, применяемых злоумышленником для ее реализации. Типовых Сценариев, представляющих собой различные комбинации типовых Техник, во много раз больше, чем Техник. В различных методиках терминология и подход могут слегка отличаться, УБИ и их составляющие могут по разному классифицироваться и определяться с разным уровнем детализации, но смысл анализа угроз, либо сводится к описанному выше, либо является профанацией.
Реализация УБИ.088 (как и большинства умышленных антропогенных угроз), как правило, начинается с формирования у злоумышленника замысла и мотивации, далее осуществляется сбор информации о системе, рекогносцировка, получение к ней первоначального доступа тем или иным неправомерным способом, эскалация привилегий (при необходимости), поиск и получение доступа к защищаемой информации, копирование информации на носитель или в другое место с использованием различных техник, далее возможно заметание следов и т.п.
Это типовой Сценарий реализации УБИ на Тактическом уровне. Если мы спускаемся дальше на уровень Техник, то для каждой из упомянутых Тактик (этапов реализации УБИ), необходимо рассмотреть варианты действий нарушителя (Техники). В условных цифрах для каждой из примерно 200 УБИ надо проанализировать по 10 типовых Тактик для каждой и по 20 Техник в рамках каждой Тактики. Это даст порядка 40 000 типовых Сценариев, из которых надо решить, какие применимы в данной ситуации. Далее для применимых типовых Сценариев, надо разобрать их варианты, т.к. применяемые Техники могут различным образом комбинироваться в рамках одной Тактики. Это увеличит количество анализируемых Сценариев примерно до 400 000, если ограничиться Методикой ФСТЭК. Если использовать базу знаний mitre, в которой описано в разы больше Техник, то для 200 УБИ из БДУ это даст больше 1 млн. типовых Сценариев. Если теперь от типовых сценариев переходить к реальным Сценариям, учитывающим все особенности конкретной ИС, то эта цифра еще в несколько раз возрастает. (С цифрами фантазирую. Важен порядок величины).
Теперь возьмем для наглядности матрицу, сделанную Артемием Пономаревым, в которой он сопоставил УБИ БДУ соответствующим тактикам из Методики оценки угроз ФСТЭК и техникам из базы знаний MITRE ATT&CK: https://threat.riskon.xyz/phases/.
Эта таблица иллюстрирует в том числе и то, что, к сожалению, в БДУ перемешаны понятия Угроз и Техник их реализации, т.е. ряд описанных там УБИ являются по смыслу Техниками, т.к. они не несут основного смыслового признака угрозы — нарушение безопасности защищаемой информации, а являются лишь приемами (техниками), используемыми для осуществления атак на систему. Например, какой ущерб может нанести УБИ.098 (идентификация открытых портов) или УБИ.018 (загрузка нештатной ОС)? В результате сценарии реализации одних угроз начинают определяться через другие и закручивается лента Мебиуса. Из данной таблицы УБИ получаем сценарии, которые представляют собой упорядоченные по тактикам группы угроз, каждая из которых состоит из техник. В дополнение к этому согласно Методики ФСТЭК каждая УБИ может быть реализована несколькими Способами, среди которых перечисляются перехват информации (УБИ.212), использование скрытых каналов (УБИ.111), внедрение вредоносного кода (УБИ.006) и т.п., что еще больше запутывает дело, т.к. эти Способы реализации УБИ являются отдельными УБИ согласно БДУ.
Т.е. смотрите какая кривизна получается при применении Методике ФСТЭК совместно с БДУ: берется набор УБИ из БДУ, для каждой УБИ определяются Способы реализации, которые сами являются УБИ из БДУ, для каждого Способа реализации УБИ определяются Сценарии реализации УБИ, которые представляют собой группы УБИ из БДУ, упорядоченные по тактикам, далее для каждой УБИ определяются Тактики и соответствующие им наборы Техник, часть которых также является УБИ из БДУ.
Причину такой кривизны, помимо того, что в БДУ перемешаны угрозы, техники и способы и реализации, я вижу также в невнятном определении УБИ, данном в ГОСТ Р 53114-2008, согласно которому УБИ — это «совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации«.
Под это определение можно подогнать все, что угодно, отсюда такая путаница с производными понятиями и вложенностью угроз. Такой совокупностью факторов может являться, например, уязвимость, т.е. любую из десятков тысяч известных уязвимостей можно инвертировать в соответствующую ей угрозу эксплуатации данной уязвимости, также под это понятие угрозы подходит любое действие или набор действий, которые непосредственно не компрометируют информации, но создают для этого определенные предпосылки, также под понятие угрозы подходит и законченный набор действий (и сопутствующих им условий), заканчивающихся не созданием предпосылок, а компрометацией информации. Вот только это последнее, на мой взгляд, и является угрозой.
Такая же и еще большая путаница наблюдается и с понятием риска. Например, в обсуждаемой Методике риск приравнивается к ущербу. В других методиках угроза приравнивается к риску. У некоторых пентестеров уязвимости приравниваются к угрозам, а те приравниваются к рискам. Читая все это, порой ощущаешь себя плавающем к какой то каше из неопределенных понятий.
Другими словами, моделирование угроз следует начинать, с четкого определения данного понятия, не допускающего двусмысленного толкования, исключающего вложенность угроз и смешивания данного понятия с образующими его частями. Вторым шагом следует ввести понятную иерархическую классификацию УБИ (хотя бы даже для начала можно опереться на базовую МУ ПДн ФСТЭК 2009 г., содержащую один из вариантов такой классификации). Без этих двух фундаментальных составляющих упомянутая матрица УБИ, похоже, является тем максимумом, который можно выжать из такого подхода. Все производные из данной матрицы будут являться перемешиванием угроз, тактик, техник, способов и сценариев, ничего нового по сравнению с первоисточником не открывающие, но выглядящие более громоздко и порождающие больше вопросов, чем ответов.