Александр Пуха, 15/11/23
Необходимость анализа угроз для ОКИИ обусловлена как требованиями законодательства, так и практической значимостью для построения системы безопасности.
Автор: Александр Пуха, начальник отдела аудита и консалтинга АМТ-ГРУП
Согласно Правилам категорирования (утв. постановлением Правительства РФ № 127) анализ угроз в определенном объеме проводится уже на этапе категорирования. Формирование моделей угроз должно выполняться при разработке мер по обеспечению безопасности значимых ОКИИ по требованиям, установленным приказами ФСТЭК России № 239 и № 235.
С точки зрения практической значимости анализ угроз на стадии создания ОКИИ позволяет еще на начальном этапе избежать архитектурных уязвимостей и адаптировать состав предъявляемых требований безопасности.
На стадии эксплуатации ОКИИ анализ позволяет принимать оперативные решения по модернизации системы безопасности для эффективной защиты от изменяющихся угроз.
Оценка угроз осуществляется по методике, утвержденной ФСТЭК России в 2021 г. Установленный процесс оценки на практике достаточно сложно и трудоемко выполнить буквально. Методика не является пошаговой инструкцией, описывая перечень основных этапов и операций моделирования без подробной детализации. Способы выполнения операций отдаются на откуп экспертам. При этом определенные подходы позволяют оптимизировать выполнение анализа на отдельных этапах, получив результат, который будет иметь практическую ценность. Рассмотрим некоторые этапы более детально.
Определение негативных последствий
Анализ начинается с определения негативных последствий, к которым может привести реализация угроз. С точки зрения формального выполнения достаточно определить их на установленном в методике уровне детализации ("угроза жизни и здоровью", "нарушение законодательства" и др.), но такой упрощенный подход непрактичен.
В методике прослеживается риск-ориентированный подход: последствия определяются с учетом результатов оценки рисков. То есть оценка отдается на откуп субъекту КИИ: если отдельные события, по оценке экспертов организации, не несут негативных последствий, то соответствующие угрозы могут исключаться. Важно, чтобы оценка проводилась не только специалистами по безопасности, но к ней привлекались и профильные подразделения, обладающие более полной информацией о возможных рисках. Кроме того, целесообразно использовать уже существующие материалы по комплексной безопасности (например, декларации промышленной безопасности, оценку операционных рисков).
Уже на текущем этапе необходимо детально подойти к анализу, что позволит исключить отдельные угрозы, которые не приводят к негативным последствиям, и снизить объем различных комбинаций для оценки во время дальнейших действий.
Если последствия связаны с ущербом физическим лицам или государству, то риск-ориентированный подход малоприменим. Но на практике для большинства систем характерен только ущерб для самой организации, поэтому при оценке есть больше возможностей для маневра.
Формирование перечня групп риска
По результатам инвентаризации систем и сетей и определения возможных объектов воздействия угроз формируется перечень групп информационных ресурсов и компонентов, которые могут являться объектами воздействия со стороны нарушителя. Отсутствие отдельных типов объектов позволяет исключить соответствующие угрозы из анализа (из характерных примеров: грид-системы, технологии больших данных и др.).
Определение источников угроз и оценка возможностей нарушителей
Определение источников угроз и оценка возможностей нарушителей осуществляются в связке с возможными негативными последствиями. Соответствие последствий целям нарушителей определяется экспертами, и нормативных требований, обязывающих считать того или иного нарушителя актуальным, нет. Как правило, для многих систем часть нарушителей может быть исключена, поскольку атаки на эти системы не приведут к реализации определенных для них целей, что опять же позволяет снизить количество рассматриваемых далее угроз (например, для систем, атаки на которые не приведут к ущербу государству, целесообразно признать неактуальными угрозы со стороны спецслужб).
Способы реализации угроз
При оценке способов реализации угроз часть из них могут быть исключены с учетом определенных ранее нарушителей и особенностей ОКИИ, например использование недекларированных возможностей ПО или установка закладок, характерных только для нарушителей с высоким потенциалом.
Исключение угроз из разряда актуальных и возможных
В ходе оценки возможности реализации угроз и определения их актуальности из общего перечня исключаются те, которые не являются актуальными, с учетом результатов анализа на предыдущих этапах (неприменимые к объектам воздействия и др.), а также те, которые требуют условий, не соответствующих процедурам эксплуатации ОКИИ (например, отсутствие доступа к сети "Интернет"). Из общего перечня угроз порядка 40–50% может быть исключено из рассмотрения к текущему моменту.
Оценка сценариев реализации угроз
Этот этап предусматривает установление последовательности возможных тактик и соответствующих им техник, которые могут быть применены нарушителем с соответствующим уровнем возможностей и интерфейсов. Данный шаг является самым масштабным. Возможное количество комбинаций достаточно обширно: методика описывает 10 тактик и 145 соответствующих им техник.
Если идти по формальному пути и пытаться перебрать все комбинации, то математическое решение задачи крайне трудоемко за обозримое время. Поскольку формирование сценариев осуществляется экспертами и методика не ограничивает их количество, для получения практически ценного результата за приемлемое время можно пойти по пути рассмотрения сценариев, исходя из имеющейся информации внутри организации и в экспертном сообществе – результатов ранее проведенных аудитов, пентестов, общедоступных отчетов отраслевых компаний и экспертных организаций по инцидентам и деятельности хакерских группировок. На основании этих материалов можно получить большое количество информации о реальных инцидентах, используемых хакерами техниках реализации атак и наложить это на отдельные угрозы. Где информации будет недостаточно, сценарии могут быть дополнены экспертно. Другими словами, задачу перебора всех теоретически возможных комбинаций целесообразно заменить анализом тех, которые могут быть реализованы на практике, а в дальнейшем, при необходимости, дополнять их с учетом изменяющихся обстоятельств.
В контексте данного этапа важно отметить, что описанные методикой техники на практике не учитывают многие реальные шаги, которые встречаются в атаках. Методика предусматривает возможность дополнять техники собственными. Распространенной практикой является использование базы данных MITRE ATT&CK и других зарубежных каталогов. В общем доступе можно найти переводы баз MITRE ATT&CK, а также мапинги техник методики с ними. Несмотря на то что это неофициальные редакции переводов, их вполне можно использовать в работе, что гораздо проще, чем готовить с нуля.
Помимо вопросов, возникающих на отдельных этапах, целесообразно учитывать некоторые общие подходы, позволяющие оптимизировать процесс анализа:
- Приказ ФСТЭК России № 239 допускает разработку модели угроз для нескольких значимых ОКИИ. Если ОКИИ схожи по архитектуре и применяемым технологиям, есть смысл группировать результаты моделирования в едином документе, что позволит оптимизировать работу по формированию и дальнейшему сопровождению.
- Методика допускает ведение моделей угроз в электронном виде, что подтверждает ФСТЭК России в своих докладах. Объем документов достаточно большой, они должны регулярно актуализироваться в ходе эксплуатации ОКИИ. Ведение документов в электронном виде сделает процесс более гибким, а бумажные версии можно формировать по необходимости.
- Методика предусматривает анализ множества комбинаций различных параметров, что является крайне трудоемкой задачей без автоматизации. ФСТЭК России разрабатывает собственное решение для автоматизации, текущая версия которого доступна в режиме опытной эксплуатации на сайте службы, но не соответствует актуальной версии банка данных угроз, что ограничивает возможность его применения. Для автоматизации анализа лучше рассмотреть возможность применения решений класса Security GRC, а также отдельных зарубежных продуктов, позволяющих выполнить часть шагов анализа, в частности формирование сценариев (например, MITRE ATT&CK Navigator).
- Нередко моделирование угроз проводится для всех ОКИИ, что обусловлено в том числе задачей применения результатов для выбора дополнительных мер безопасности. В то же время по требованиям законодательства моделирование необходимо только для значимых ОКИИ (приказы ФСТЭК России № 235 и № 239). Если ОКИИ много и нет эффективных средств автоматизации, то необходимо проводить моделирование полноценно по всем шагам только для значимых ОКИИ, а для объектов без категории – в упрощенной форме. Это позволит оптимизировать работы по анализу, не нарушая установленных требований.
Методика имеет свои достоинства и недостатки. Основой для моделирования угроз являются негативные последствия, определенные профильными подразделениями, что в некоторой степени упрощает взаимодействие с бизнесом при обосновании мер безопасности. Использование сценарного подхода позволяет сократить отставание между защищающейся и атакующей сторонами, ведь, как известно, хакеры всегда на шаг впереди. В то же время сценарный подход требует высокого объема трудозатрат и хорошего знания экспертами способов проведения компьютерных атак (техник, тактик). Отчасти задачу может облегчить автоматизация процесса, но, как правило, только в части построения возможных сценариев.
В целом законченных альтернатив сценарному подходу на текущий день нет. Именно сценарный подход позволяет построить эффективную систему безопасности, выбирать и настраивать средства защиты так, чтобы обеспечить мониторинг и предотвращение реализации атак на отдельных этапах. Развитие и правильное применение подхода будет способствовать повышению защищенности систем и сетей в условиях постоянно изменяющихся угроз, технологий и существенного роста компьютерных атак, который мы наблюдаем последние годы.
