Юрий Подгорбунский, Security Vision

Итак, начнем с основных определений

Объекты КИИ – информационные системы, автоматизированные системы управления, информационно-телекоммуникационные сети.

Значимый объект КИИ – объект, которому присвоена одна из категорий значимости.

Угроза безопасности информации – совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации.

Уязвимость – недостаток (слабость) программного (программно-технического) средства или системы и сети в целом, который может быть использован для реализации угроз безопасности информации.

Основания проведения оценки (моделирование) угроз

В соответствии с информационным сообщением ФСТЭК России от 15 февраля 2021 г. №240/22/690, ФСТЭК России разработала и утвердила «Методику оценки угроз безопасности информации» (далее – Методика) от 5 февраля 2021 г.

В общем, Методика определяет порядок и содержание работ по определению угроз безопасности информации, реализация (возникновение) которых возможна в информационных системах, автоматизированных системах управления, информационно-телекоммуникационных сетях (далее – объекты КИИ).

Зачем нужна оценка угроз?

Оценка угроз безопасности информации проводится в целях определения угроз безопасности информации, реализация (возникновение) которых возможна в системах и сетях (это тоже об объектах КИИ) с заданной архитектурой и в условиях их функционирования. Результатом этой работы является перечень актуальных угроз безопасности информации.

На основании приказа ФСТЭК России №239 для значимых объектов КИИ должна быть разработана модель угроз с соответствующим анализом угроз или оценкой угроз безопасности информации (может звучать по-разному об одном и том же).

 А сейчас плавно переходим к Методике

Предлагается кратко рассмотреть подход Методики, т.к., для оценки угроз в части КИИ ФСТЭК России предлагает рекомендации по оценке угроз (даже в некотором смысле требования), и ориентироваться необходимо именно на нее.

Важно отметить, что Методика ориентирована на оценку антропогенных угроз безопасности информации, возникновение которых обусловлено действиями нарушителей!

А также для оценки угроз безопасности информации необходимо ориентироваться на:

  • общий перечень угроз безопасности информации (в количестве 227), содержащийся в банке данных угроз безопасности информации на сайте ФСТЭК России;

  • документацию по объекту КИИ (техническое задание на создание, программная (конструкторская) и эксплуатационная (руководства, инструкции) документация, содержащая сведения о назначении и функциях, составе и архитектуре объекта КИИ, а также о внешних и внутренних интерфейсах);

  • описания векторов компьютерных атак, опубликованные в сети Интернет, такие как: 

    • общедоступная база знаний о тактиках, техниках и процедурах злоумышленников (MITRE ATT&CK);\

    • перечисление и классификация распространенных шаблонов атак (MITRE CAPEC).

Реализовать оценку угроз безопасности информации по Методике можно как в ручном режиме, так и с помощью автоматизации, Security Vision КИИ.

Порядок оценки угроз безопасности информации

По Методике основными задачами, решаемыми в ходе оценки угроз безопасности информации, являются:

  • определение негативных последствий, которые могут наступить от реализации (возникновения) угроз безопасности информации;

  • инвентаризация систем и сетей и определение возможных объектов воздействия угроз безопасности информации;

  • определение источников угроз безопасности информации и оценка возможностей нарушителей по реализации угроз безопасности информации;

  • оценка способов реализации (возникновения) угроз безопасности информации;

  • оценка возможности реализации (возникновения) угроз безопасности информации и определение актуальности угроз безопасности информации;

  • оценка сценариев реализации угроз безопасности информации в системах и сетях.

Определение негативных последствий

Первым шагом в Методике необходимо определить негативные последствия в случае компьютерной атаки, которые могут наступить от реализации (возникновения) угроз безопасности информации.

Исходными данными в большинстве случаев является документация на объект КИИ (а также, интервьюирование сотрудников эксплуатирующего подразделения), исходя из этого можно ответить на следующие вопросы:

  • что будет в случае нарушения процессов работы объекта КИИ?

  • что будет в случае прекращения функционирования объекта КИИ?

  • что будет в случае раскрытия информации, которую обрабатывает объект КИИ?

Например, возьмем объект КИИ – информационно-телекоммуникационную сеть (далее – ИТКС), и рассмотрим в части вышеуказанных вопросов.

Последствия нарушения передачи данных в ИТКС (конфиденциальная информация или управляющие сигналы в реальном режиме времени) полностью зависят от того, для чего именно используется эта сеть.

А если ИТКС прекращает функционировать? Какое может быть время простоя, или это не допустимо?

По раскрытию – смотря какая информация или данные передаются в ИТКС.

Ответы на эти вопросы позволят определить негативные последствия, которые могут привести к:

  • ущербу физическому лицу;

  • ущербу юридическому лицу;

  • ущербу государству.

Таким образом, реализация угрозы приводит к негативным последствиям, которые в свою очередь влекут наступление какого-либо ущерба.

Инвентаризация систем и сетей

Инвентаризация систем и сетей (объектов КИИ) – очень важный процесс, нужно понимать архитектуру, что входит в состав объекта КИИ, и даже связанные процессы работы, которыми могут поделиться специалисты эксплуатирующего подразделения (для получения максимального эффекта рекомендуется найти общий язык, из личного опыта).

Определение объектов воздействия

Объекты воздействия — это элементы, входящие в состав объекта КИИ, на которые в частности направлены угрозы безопасности информации и в целом на сам объект КИИ.

Что может являться объектами воздействия:

  • информация (данные), содержащаяся в объекте КИИ (защищаемая информация, персональные данные, информация о конфигурации, данные телеметрии, сведения о событиях безопасности и др.);

  • программно-аппаратные средства обработки и хранения информации (в том числе автоматизированные рабочие места, мобильные устройства, серверы, включая промышленные, средства отображения информации, программируемые логические контроллеры, производственное, технологическое оборудование);

  • периферийное оборудование;

  • устройства интернета вещей;

  • телефония (VoIP, GSM);

  • программные средства (в том числе системное и прикладное программное обеспечение, включая серверы приложений, веб-приложений, системы управления базами данных, системы виртуализации);

  • машинные носители информации, содержащие как защищаемую информацию, так и аутентификационную информацию;

  • телекоммуникационное оборудование (в том числе программное обеспечение для управления телекоммуникационным оборудованием);

  • средства защиты информации (в том числе программное обеспечение для централизованного администрирования средств защиты информации);

  • привилегированные и непривилегированные пользователи объекта КИИ, а также интерфейсы взаимодействия с ним;

  • физические линии связи;

  • обеспечивающие системы (кондиционирование, вентиляция и т.д.).

Поскольку объектов воздействия много, а в некоторых случаях сбор информации производиться в ручном режиме (ресурсоемко!), рекомендуется проводить инвентаризацию с использованием автоматизированных средств, которые позволяют определять объекты воздействия, а также их внешние и внутренние интерфейсы.

Автоматизировать инвентаризацию можно с помощью Security Vision AM полностью в автономном режиме за счет встроенных механизмов, либо с подключением сторонних решений, которые используются в организации.

Также должны быть определены виды воздействия на объекты. К основным относятся:

  • утечка (перехват) конфиденциальной информации или другой чувствительной информации;

  • несанкционированный доступ к компонентам объекта КИИ, защищаемой информации, системным, конфигурационным, иным служебным данным;

  • отказ в обслуживании компонентов;

  • несанкционированная модификация, подмена, искажение защищаемой информации, системных, конфигурационных, иных служебных данных;

  • несанкционированное использование вычислительных ресурсов объекта КИИ в интересах решения несвойственных им задач;

  • нарушение функционирования (работоспособности) программно-аппаратных средств обработки, передачи и хранения информации.

Объекты воздействия определяются на аппаратном, системном и прикладном уровнях, на уровне сетевой модели взаимодействия, а также на уровне пользователей.

В результате складывается такая картина:

  • определяем все объекты воздействия входящие в состав объекта КИИ;

  • объекты воздействия разбиваем по вышеуказанным уровням;

  • сопоставляем объекты воздействия с видами воздействия;

  • добавляем негативные последствия, определенные на первом шаге.

Объект воздействия и его уровень, плюс виды воздействия и негативные последствия!

Определение источников угроз безопасности информации

В ходе оценки угроз безопасности информации должны быть определены возможные антропогенные источники угроз безопасности информации, к которым относятся лица (группа лиц), осуществляющие реализацию угроз безопасности информации путем несанкционированного доступа и (или) воздействия на объекты воздействия, т.е. актуальные нарушители.

Нарушители подразделяются на две категории:

  • внутренние – имеют физический доступ в контролируемую зону и автоматизированный доступ к объекту КИИ;

  • внешние – не имеют физического доступа, действуют удаленно, реализуют угрозы преднамеренно.

  • В зависимости от уровня возможностей нарушители подразделяются на нарушителей, обладающих:

  • базовыми возможностями по реализации угроз безопасности информации (Н1);

  • базовыми повышенными возможностями по реализации угроз безопасности информации (Н2);

  • средними возможностями по реализации угроз безопасности информации (Н3);

  • высокими возможностями по реализации угроз безопасности информации (Н4).

А также нарушители делятся на виды (с учетом их целей) и распределены по четырем уровням возможностей (от Н1 по Н4), представленные выше.

Например, к нарушителям с высокими возможностями (Н4) относится только один вид — специальные службы иностранных государств. Остальные 12 видов распределены между уровнями Н1–Н3.

По результатам определения источников угроз безопасности информации должны быть определены:

  • категории актуальных нарушителей, которые могут реализовывать угрозы безопасности информации, в том числе непреднамеренные угрозы;

  • виды актуальных нарушителей и возможные цели реализации ими угроз безопасности информации, а также их возможности.

Оценка способов реализации угроз

В ходе оценки угроз безопасности информации должны быть определены возможные способы реализации (возникновения) угроз безопасности информации, за счет использования которых актуальными нарушителями могут быть реализованы угрозы безопасности информации на объекте КИИ, – актуальные способы реализации (возникновения) угроз безопасности информации.

Основными способами реализации угроз безопасности информации являются:

  • использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей);

  • внедрение вредоносного программного обеспечения;

  • использование недекларированных возможностей программного обеспечения и (или) программно-аппаратных средств;

  • установка программных и (или) программно-аппаратных закладок в программное обеспечение и (или) программно-аппаратные средства;

  • формирование и использование скрытых каналов (по времени, по памяти) для передачи конфиденциальных данных;

  • перехват (измерение) побочных электромагнитных излучений и наводок (других физических полей) для доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;

  • инвазивные способы доступа к конфиденциальной информации, содержащейся в аппаратных средствах аутентификации;

  • нарушение безопасности при поставках программных, программно-аппаратных средств и (или) услуг по установке, настройке, испытаниям, пусконаладочным работам (в том числе администрированию, обслуживанию);

  • ошибочные действия в ходе создания и эксплуатации систем и сетей, в том числе при установке, настройке программных и программно-аппаратных средств.

Способы реализации угроз безопасности информации определяются применительно к объектам воздействия. Способы являются актуальными, когда возможности нарушителя позволяют их использовать для реализации угроз безопасности. Одна угроза безопасности информации может быть реализована несколькими способами.

Важно подчеркнуть, что условием, позволяющим нарушителям использовать способы реализации угроз безопасности информации, является наличие у них возможности доступа к интерфейсам объектов воздействия!

Типы интерфейсов объектов воздействия:

  • внешние сетевые интерфейсы, обеспечивающие взаимодействие с сетью «Интернет», смежными (взаимодействующими) системами или сетями (проводные, беспроводные, веб-интерфейсы, интерфейсы удаленного доступа и др.);

  • внутренние сетевые интерфейсы, обеспечивающие взаимодействие (в том числе через промежуточные компоненты) с компонентами систем и сетей, имеющими внешние сетевые интерфейсы (проводные, беспроводные);

  • интерфейсы для использования съемных машинных носителей информации и периферийного оборудования;

  • интерфейсы для установки, настройки, испытаний, пусконаладочных работ (в том числе администрирования, управления, обслуживания), обеспечения функционирования компонентов систем и сетей;

  • возможность физического доступа к поставляемым или находящимся на обслуживании, ремонте в сторонних организациях компонентам (объектам воздействия).

В ходе анализа должны быть определены как логические, так и физические интерфейсы объектов воздействия, в том числе требующие физического доступа к ним. Интерфейсы определяются на аппаратном, системном и прикладном уровнях систем и сетей, а также для телекоммуникационного оборудования.

По результатам оценки возможных способов реализации угроз безопасности информации должны быть определены:

  • виды и категории нарушителей, которые имеют возможность использования актуальных способов;

  • актуальные способы реализации угроз безопасности информации и типы интерфейсов объектов воздействия, за счет которых они могут быть реализованы.

Объекты воздействия и их интерфейсы, актуальные нарушители и способы реализации угроз!

Оценка актуальности угроз

В ходе оценки угроз безопасности информации должны быть определены возможные угрозы безопасности информации и оценена их актуальность для объекта КИИ – актуальные угрозы безопасности информации.

Угроза безопасности информации ((УБИi) считается возможной, если для нее определены следующие взаимосвязанные компоненты:

  • источник угрозы (нарушитель);

  • объекты воздействия;

  • способы реализации угроз;

  • негативные последствия.

Важно отметить, что для объектов воздействия необходимо выявлять уязвимости, за счет которых могут быть реализованы угрозы.

Актуальность возможных угроз безопасности информации определяется наличием сценариев их реализации.

Сценарии реализации угроз безопасности информации должны быть определены для соответствующих способов реализации угроз безопасности информации, определенных выше, и применительно к объектам воздействия и видам воздействия на них. Определение сценариев предусматривает установление последовательности возможных тактик и соответствующих им техник, применение которых возможно актуальным нарушителем с соответствующим уровнем возможностей, а также доступности интерфейсов для использования соответствующих способов реализации угроз безопасности информации.

При наличии хотя бы одного сценария угрозы безопасности информации такая угроза признается актуальной для объекта КИИ и включается в модель угроз безопасности информации объекта КИИ.

Оценка сценариев реализации угроз

Для построения сценария необходимо использовать тактики (условно, группы), в которые входят соответствующие техники:

  • Т1 – Сбор информации о системах и сетях (например, в эту группу входят 20 техник).

  • Т2 – Получение первоначального доступа к компонентам систем и сетей.

  • Т3 – Внедрение и исполнение вредоносного программного обеспечения в системах и сетях.

  • Т4 – Закрепление (сохранение доступа) в системе или сети.

  • Т5 – Управление вредоносным программным обеспечением и (или) компонентами, к которым ранее был получен доступ.

  • Т6 – Повышение привилегий по доступу к компонентам систем и сетей.

  • Т7 – Сокрытие действий и применяемых при этом средств от обнаружения.

  • Т8 – Получение доступа (распространение доступа) к другим компонентам систем и сетей или смежным системам и сетям.

  • Т9 – Сбор и вывод из системы или сети информации, необходимой для дальнейших действий при реализации угроз безопасности информации или реализации новых угроз.

  • Т10 – Несанкционированный доступ и (или) воздействие на информационные ресурсы или компоненты систем и сетей, приводящие к негативным последствиям.

Как правило, все начинается с техник из групп Т1, Т2, а негативные последствия наступают после реализации техник из групп Т9 и Т10.

Оценка сценариев реализации угроз заключается в определении последовательности действий нарушителя, состоящих из тактик и соответствующих техник при реализации угрозы безопасности информации.

Автоматизировать моделирование угроз можно с помощью Security Vision КИИ, в котором уже заложена экспертиза, значительно сокращающая трудозатраты на оценку угроз.

Состав актуальной угрозы следующий:

  • Наименование угрозы: угроза доступа к защищаемым файлам с использованием обходного пути.

  • Наименование угрозы: угроза доступа к защищаемым файлам с использованием обходного пути.

  • Источник угрозы: Н.1 нарушитель, обладающий базовыми возможностями.

  • Вид нарушителя: авторизованные пользователи систем и сетей.

  • Категория нарушителя: внутренний.

  • Объект воздействия: сервер, информация.

  • Интерфейс: сетевой.

  • Уязвимость: CVE-2020-17103: эксплуатация уязвимостей для повышения привилегий (протестирована на актуальной версии Windows Server 2025, эксплуатируется, и следует рассматривать как актуальную).

  • Способ реализации угрозы: использование уязвимостей (уязвимостей кода (программного обеспечения), уязвимостей архитектуры и конфигурации систем и сетей, а также организационных и многофакторных уязвимостей).

  • Основные техники: Т3.1., Т6.3., Т8.2., Т9.2., Т9.3.

  • Негативное последствие: потеря конкурентного преимущества.

  • Ущерб юридическому лицу.

В завершение

Кстати, ФСТЭК России еще в 2022 году планировала завершить разработку новой редакции Методики, и исходными данными служил бы новый раздел угроз безопасности информации, который размещен на сайте в БДУ ФСТЭК России, но что-то видимо не сложилось, а новый раздел (ну, как новый, уже четыре года) все еще находится в опытной эксплуатации. Информационное сообщение ФСТЭК России от 4 мая 2022 г. №240/22/2432 «О разработке нового раздела банка данных угроз безопасности информации, содержащего сведения об угрозах безопасности информации».

Комментарии (0)