Контакты
Подписка 2025
Статьи по информационной безопасности

Подходы и проблематика моделирования угроз для объектов КИИ

Александр Пуха, 15/11/23

Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.

Автор: Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП

Согласно Правилам категорирования (утв. постановлением Правительства РФ № 127) анализ угроз в определенном объеме проводится уже на этапе категорирования. Формирование моделей угроз должно выполняться при разработке мер по обеспечению безопасности значимых ОКИИ по требованиям, установленным приказами ФСТЭК России № 239 и № 235.

С точки зрения практической значимости анализ угроз на стадии создания ОКИИ позволяет еще на начальном этапе избежать архитектурных уязвимостей и адаптировать состав предъявляемых требований безопасности.

На стадии эксплуатации ОКИИ анализ позволяет принимать оперативные решения по модернизации системы безопасности для эффективной защиты от изменяющихся угроз.

Оценка угроз осуществляется по методике, утвержденной ФСТЭК России в 2021 г. Установленный процесс оценки на практике достаточно сложно и трудоемко выполнить буквально. Методика не является пошаговой инструкцией, описывая перечень основных этапов и операций моделирования без подробной детализации. Способы выполнения операций отдаются на откуп экспертам. При этом определенные подходы позволяют оптимизировать выполнение анализа на отдельных этапах, получив результат, который будет иметь практическую ценность. Рассмотрим некоторые этапы более детально.

Определение негативных последствий

Анализ начинается с определения негативных последствий, к которым может привести реализация угроз. С точки зрения формального выполнения достаточно определить их на установленном в методике уровне детализации ("угроза жизни и здоровью", "нарушение законодательства" и др.), но такой упрощенный подход непрактичен.

В методике прослеживается риск-ориентированный подход: последствия определяются с учетом результатов оценки рисков. То есть оценка отдается на откуп субъекту КИИ: если отдельные события, по оценке экспертов организации, не несут негативных последствий, то соответствующие угрозы могут исключаться. Важно, чтобы оценка проводилась не только специалистами по безопасности, но к ней привлекались и профильные подразделения, обладающие более полной информацией о возможных рисках. Кроме того, целесообразно использовать уже существующие материалы по комплексной безопасности (например, декларации промышленной безопасности, оценку операционных рисков).

Уже на текущем этапе необходимо детально подойти к анализу, что позволит исключить отдельные угрозы, которые не приводят к негативным последствиям, и снизить объем различных комбинаций для оценки во время дальнейших действий.

ris1-Nov-15-2023-10-25-09-2391-AM

Если последствия связаны с ущербом физическим лицам или государству, то риск-ориентированный подход малоприменим. Но на практике для большинства систем характерен только ущерб для самой организации, поэтому при оценке есть больше возможностей для маневра.

Формирование перечня групп риска

По результатам инвентаризации систем и сетей и определения возможных объектов воздействия угроз формируется перечень групп информационных ресурсов и компонентов, которые могут являться объектами воздействия со стороны нарушителя. Отсутствие отдельных типов объектов позволяет исключить соответствующие угрозы из анализа (из характерных примеров: грид-системы, технологии больших данных и др.).

Определение источников угроз и оценка возможностей нарушителей

Определение источников угроз и оценка возможностей нарушителей осуществляются в связке с возможными негативными последствиями. Соответствие последствий целям нарушителей определяется экспертами, и нормативных требований, обязывающих считать того или иного нарушителя актуальным, нет. Как правило, для многих систем часть нарушителей может быть исключена, поскольку атаки на эти системы не приведут к реализации определенных для них целей, что опять же позволяет снизить количество рассматриваемых далее угроз (например, для систем, атаки на которые не приведут к ущербу государству, целесообразно признать неактуальными угрозы со стороны спецслужб).

Способы реализации угроз

При оценке способов реализации угроз часть из них могут быть исключены с учетом определенных ранее нарушителей и особенностей ОКИИ, например использование недекларированных возможностей ПО или установка закладок, характерных только для нарушителей с высоким потенциалом.

Исключение угроз из разряда актуальных и возможных

В ходе оценки возможности реализации угроз и определения их актуальности из общего перечня исключаются те, которые не являются актуальными, с учетом результатов анализа на предыдущих этапах (неприменимые к объектам воздействия и др.), а также те, которые требуют условий, не соответствующих процедурам эксплуатации ОКИИ (например, отсутствие доступа к сети "Интернет"). Из общего перечня угроз порядка 40–50% может быть исключено из рассмотрения к текущему моменту.

Оценка сценариев реализации угроз

Этот этап предусматривает установление последовательности возможных тактик и соответствующих им техник, которые могут быть применены нарушителем с соответствующим уровнем возможностей и интерфейсов. Данный шаг является самым масштабным. Возможное количество комбинаций достаточно обширно: методика описывает 10 тактик и 145 соответствующих им техник.

Если идти по формальному пути и пытаться перебрать все комбинации, то математическое решение задачи крайне трудоемко за обозримое время. Поскольку формирование сценариев осуществляется экспертами и методика не ограничивает их количество, для получения практически ценного результата за приемлемое время можно пойти по пути рассмотрения сценариев, исходя из имеющейся информации внутри организации и в экспертном сообществе – результатов ранее проведенных аудитов, пентестов, общедоступных отчетов отраслевых компаний и экспертных организаций по инцидентам и деятельности хакерских группировок. На основании этих материалов можно получить большое количество информации о реальных инцидентах, используемых хакерами техниках реализации атак и наложить это на отдельные угрозы. Где информации будет недостаточно, сценарии могут быть дополнены экспертно. Другими словами, задачу перебора всех теоретически возможных комбинаций целесообразно заменить анализом тех, которые могут быть реализованы на практике, а в дальнейшем, при необходимости, дополнять их с учетом изменяющихся обстоятельств.

В контексте данного этапа важно отметить, что описанные методикой техники на практике не учитывают многие реальные шаги, которые встречаются в атаках. Методика предусматривает возможность дополнять техники собственными. Распространенной практикой является использование базы данных MITRE ATT&CK и других зарубежных каталогов. В общем доступе можно найти переводы баз MITRE ATT&CK, а также мапинги техник методики с ними. Несмотря на то что это неофициальные редакции переводов, их вполне можно использовать в работе, что гораздо проще, чем готовить с нуля.

Помимо вопросов, возникающих на отдельных этапах, целесообразно учитывать некоторые общие подходы, позволяющие оптимизировать процесс анализа:

  • Приказ ФСТЭК России № 239 допускает разработку модели угроз для нескольких значимых ОКИИ. Если ОКИИ схожи по архитектуре и применяемым технологиям, есть смысл группировать результаты моделирования в едином документе, что позволит оптимизировать работу по формированию и дальнейшему сопровождению.
  • Методика допускает ведение моделей угроз в электронном виде, что подтверждает ФСТЭК России в своих докладах. Объем документов достаточно большой, они должны регулярно актуализироваться в ходе эксплуатации ОКИИ. Ведение документов в электронном виде сделает процесс более гибким, а бумажные версии можно формировать по необходимости.
  • Методика предусматривает анализ множества комбинаций различных параметров, что является крайне трудоемкой задачей без автоматизации. ФСТЭК России разрабатывает собственное решение для автоматизации, текущая версия которого доступна в режиме опытной эксплуатации на сайте службы, но не соответствует актуальной версии банка данных угроз, что ограничивает возможность его применения. Для автоматизации анализа лучше рассмотреть возможность применения решений класса Security GRC, а также отдельных зарубежных продуктов, позволяющих выполнить часть шагов анализа, в частности формирование сценариев (например, MITRE ATT&CK Navigator).
  • Нередко моделирование угроз проводится для всех ОКИИ, что обусловлено в том числе задачей применения результатов для выбора дополнительных мер безопасности. В то же время по требованиям законодательства моделирование необходимо только для значимых ОКИИ (приказы ФСТЭК России № 235 и № 239). Если ОКИИ много и нет эффективных средств автоматизации, то необходимо проводить моделирование полноценно по всем шагам только для значимых ОКИИ, а для объектов без категории – в упрощенной форме. Это позволит оптимизировать работы по анализу, не нарушая установленных требований.

Методика имеет свои достоинства и недостатки. Основой для моделирования угроз являются негативные последствия, определенные профильными подразделениями, что в некоторой степени упрощает взаимодействие с бизнесом при обосновании мер безопасности. Использование сценарного подхода позволяет сократить отставание между защищающейся и атакующей сторонами, ведь, как известно, хакеры всегда на шаг впереди. В то же время сценарный подход требует высокого объема трудозатрат и хорошего знания экспертами способов проведения компьютерных атак (техник, тактик). Отчасти задачу может облегчить автоматизация процесса, но, как правило, только в части построения возможных сценариев.

В целом законченных альтернатив сценарному подходу на текущий день нет. Именно сценарный подход позволяет построить эффективную систему безопасности, выбирать и настраивать средства защиты так, чтобы обеспечить мониторинг и предотвращение реализации атак на отдельных этапах. Развитие и правильное применение подхода будет способствовать повышению защищенности систем и сетей в условиях постоянно изменяющихся угроз, технологий и существенного роста компьютерных атак, который мы наблюдаем последние годы.
Темы:АМТ-ГРУПКИИЖурнал "Информационная безопасность" №4, 2023

Программа мероприятий
для руководителей и специалистов
по защите информации
Посетить
Кибербезопасность
Форум ITSEC 2025 (июнь) для AppSec, Security Champions, DevOps-инженеров, тестировщиков, специалистов по ИБ
Участвуйте 17-18 июня →
Статьи по той же темеСтатьи по той же теме

  • Особенности защиты данных в медицинских организациях
    Дмитрий Вощуков, GR-специалист "СёрчИнформ"
    Отрасль здравоохранения является одной из самых зарегулированных. Однако, число инцидентов ИБ растет, и цена нарушения в медучреждении высока. Разберем, с какими типовыми нарушениями сталкиваются медицинские организации и как на практике реализуются меры информационной безопасности в здравоохранении.
  • Изоляция как стратегия: однонаправленные шлюзы для промышленного сегмента сети
    Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
    Обеспечение безопасности АСУ ТП является комплексной задачей часть из направлений которой так или иначе связана с мерами по сегментации сетевой инфраструктуры и выбором решений по изоляции АСУ ТП от внешних воздействий и несанкционированного доступа. Решением по сегментации являются однонаправленные шлюзы, они же диоды данных или инфодиоды.
  • Частые ошибки при проектировании системы защиты ОКИИ
    В 2025 году объекты КИИ, по-видимому, будут переживать этап значительных преобразований и модернизации, с фокусом на отечественные разработки и повышение уровня защиты. Вместе с экспертами рассмотрим основные риски для объектов КИИ, а также ошибки, которые часто допускаются при проектировании систем безопасности.
  • "Находка" для критической информационной инфраструктуры
    Евгений Пугач, руководитель отдела по информационной безопасности ООО “ИТЭК”
    Cубъекты КИИ постоянно сталкиваются с необходимостью учитывать широкий спектр факторов: от изменений в законодательстве до анализа актуальных угроз. Эти данные необходимо не только собрать, но и структурировать, обрабатывать и постоянно обновлять, чтобы поддерживать соответствие требованиям и обеспечить надежную защиту – частью этой работы является ведение так называемой "бумажной" составляющей информационной безопасности.
  • Защита КИИ: уроки 2023 года
    Дмитрий Беляев, директор управления безопасности ООО “АБТ”
    2023 год стал годом значительных испытаний для российской критической инфраструктуры. Два крупных инцидента, произошедших в этот период, продемонстрировали уязвимость даже самых подготовленных организаций перед изощренными кибератаками. Эти случаи дают нам ценные уроки, которые помогут улучшить защиту КИИ в будущем.
  • Актуальные вопросы защиты КИИ в 2025 году
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В 2025 г. защита критической информационной инфраструктуры по-прежнему останется одной из приоритетных задач для организаций, работающих в ключевых отраслях экономики. Основные вызовы связаны с усилением требований регуляторов, необходимостью соблюдения новых нормативно-правовых требований, внедрением мер по импортозамещению в условиях ограниченного доступа к зарубежным технологиям и защитой от постоянно совершенствующихся компьютерных атак.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2025
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
Защиту СУБД и данных обсудим на ITSEC 2025
Посетите 17-18 июня →

More...
ТБ Форум 2025
18 июня | Форум ITSEC Доверенные корпоративные репозитории
Жми, чтобы участвовать

More...
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2025, ООО "ГРОТЕК"
Политики конфиденциальности