Geekly articles weekly

Menulis Model Ancaman



Halo semuanya, kami melanjutkan seri artikel kami tentang "keamanan kertas". Hari ini kita akan berbicara tentang mengembangkan model ancaman. Jika tujuan membaca artikel ini adalah untuk memperoleh keterampilan praktis, maka lebih baik untuk segera mengunduh template dokumen kami, yang juga berisi template model ancaman. Tetapi bahkan tanpa template di tangan, artikel itu juga dapat ditemukan untuk tujuan pendidikan.



Mengapa kita membutuhkan model ancaman?



Kebutuhan untuk mengembangkan model ancaman diatur oleh sejumlah dokumen peraturan. Ini beberapa di antaranya.

Bagian 2 dari Pasal 19 UU No. 152-FZ “Tentang Data Pribadi”:

2. Keamanan data pribadi tercapai, khususnya:

1) penentuan ancaman terhadap keamanan data pribadi selama pemrosesan dalam sistem informasi data pribadi;


Komposisi dan konten tindakan organisasi dan teknis untuk memastikan keamanan data pribadi selama pemrosesan dalam sistem informasi data pribadi (disetujui oleh urutan FSTEC Rusia tanggal 18 Februari 2013 No. 21):

4. Langkah-langkah untuk memastikan keamanan data pribadi diterapkan, antara lain, melalui penggunaan alat perlindungan informasi dalam sistem informasi yang telah melewati prosedur penilaian kesesuaian dengan cara yang ditentukan, dalam kasus di mana penggunaan alat tersebut diperlukan untuk menetralisir ancaman saat ini terhadap keamanan data pribadi.


Persyaratan untuk perlindungan informasi yang bukan merupakan rahasia negara yang terkandung dalam sistem informasi negara (disetujui oleh FSTEC Rusia tanggal 11 Februari 2013 No. 17)

Pembentukan persyaratan keamanan informasi ... termasuk:
...
identifikasi ancaman keamanan informasi , yang implementasinya dapat mengarah pada pelanggaran keamanan informasi dalam sistem informasi, dan pengembangan berdasarkan model ancaman keamanan informasi;
...


Persyaratan untuk perlindungan informasi dalam sistem kontrol otomatis untuk proses produksi dan teknologi di fasilitas penting, fasilitas yang berpotensi berbahaya, serta fasilitas yang meningkatkan bahaya bagi kehidupan manusia dan kesehatan dan lingkungan (disetujui oleh urutan FSTEC Rusia tanggal 14 Maret 2014 No. 31):

Pembentukan persyaratan untuk keamanan informasi dalam sistem kontrol otomatis ... termasuk termasuk:
...
identifikasi ancaman keamanan informasi, yang implementasinya dapat mengarah pada pelanggaran fungsi normal sistem kontrol otomatis, dan pengembangan model ancaman keamanan informasi atas dasar mereka;


Persyaratan untuk memastikan keamanan objek signifikan infrastruktur informasi kritis Federasi Rusia (disetujui oleh FSTEC Rusia tertanggal 25 Desember 2017 No. 239):

11. Pengembangan langkah-langkah organisasi dan teknis untuk memastikan keamanan objek yang signifikan dilakukan oleh subjek infrastruktur informasi kritis ... dan harus mencakup:

a) analisis ancaman keamanan informasi dan pengembangan model ancaman keamanan informasi atau penyempurnaannya (jika ada);


Jadi, kesimpulan dari ini sederhana: untuk setiap sistem informasi yang entah bagaimana harus dilindungi sesuai dengan undang-undang, perlu untuk mengembangkan model ancaman.

Konten Model Ancaman



Kami telah menemukan kebutuhan untuk membuat dokumen, mari kita lihat apa yang diatur undang-undang untuk kontennya. Di sini, anehnya, semuanya agak langka.

Sebagai contoh buku teks yang menggambarkan konten model ancaman, kami dapat mengutip 17 pesanan FSTEC:

Model ancaman keamanan informasi harus berisi deskripsi sistem informasi dan karakteristik struktural dan fungsionalnya, serta deskripsi ancaman keamanan informasi, termasuk deskripsi kemampuan pelanggar (model pelanggar), kemungkinan kerentanan sistem informasi, cara untuk menerapkan ancaman keamanan informasi, dan konsekuensi dari pelanggaran sifat keamanan informasi.


Anda tidak akan percaya, tapi hanya itu. Tetapi di sisi lain, meskipun tidak ada banyak teks, itu cukup informatif. Mari kita baca kembali dan tulis apa yang seharusnya ada dalam model ancaman kita:

  • deskripsi sistem informasi;
  • karakteristik struktural dan fungsional;
  • Deskripsi ancaman keamanan
  • model penyusup;
  • kemungkinan kerentanan;
  • cara untuk mengimplementasikan ancaman;
  • konsekuensi pelanggaran sifat keamanan informasi.


Ini berdasarkan hukum, yang mensyaratkan FSTEC. Ada juga persyaratan tambahan FSB (tentang mereka sedikit kemudian) dan beberapa persyaratan dan harapan tidak resmi dari FSTEC yang kami temui dalam proses menyepakati model ancaman sistem informasi negara.

Bagian pengantar model ancaman



Baiklah, mari kita turun ke isi dokumen.

Saya berpikir tentang halaman judul, daftar singkatan, istilah dan definisi, semuanya jelas. Meskipun, mungkin, ada baiknya untuk menguraikan ... tiba-tiba halaman judul.

Dalam templat itu ditandatangani oleh kepala pemilik sistem informasi. Bukan hanya itu saja.

Keputusan Pemerintah Federasi Rusia 11 Mei 2017 No. 555:

4. Kerangka acuan untuk pembuatan sistem dan model ancaman keamanan informasi disetujui oleh pejabat otoritas eksekutif, yang dipercayakan dengan wewenang yang sesuai.


Secara alami, jika sistem informasi bukan milik negara dan operator sistem bukan otoritas eksekutif, maka siapa pun dapat menandatangani model ancaman. Hanya saja kami telah berulang kali bertemu ketika, dengan tunduk pada kondisi di atas (sistem informasi negara dari otoritas eksekutif), pelanggan meminta kami untuk mengganti halaman sampul sehingga hanya perwakilan dari perusahaan berlisensi (yaitu, milik kami) yang menandatangani di sana. Saya harus menjelaskan mengapa FSTEC akan mengembalikan model ancaman seperti itu untuk revisi.

Bagian "Dukungan normatif dan metodologis"



Di sini saya ingin mengingat bahwa model ancaman dapat dikembangkan untuk sistem yang sangat berbeda - dari ISDN ke KII. Oleh karena itu, daftar dokumen peraturan dapat bervariasi. Misalnya, jika kita mengembangkan model ancaman untuk sistem kontrol proses otomatis, maka 21 dan 17 pesanan FSTEC harus dihapus dari template dan yang ke-31 harus ditambahkan.

Dokumen yang ditandai dengan singkatan "SKZI" adalah dokumen peraturan FSB yang mengatur penanganan alat enkripsi. Jika cryptocurrency tidak digunakan dalam sistem informasi (sekarang jarang, tapi tetap saja), maka dokumen peraturan ini harus dihapus dari daftar.

Kesalahan umum di sini adalah penambahan berbagai GOST dan dokumen peraturan lainnya (mereka sangat suka masuk STR-K), yang tidak ada hubungannya dengan pemodelan ancaman. Atau dokumen yang dibatalkan. Misalnya, sering dalam model ancaman, seseorang dapat menemukan dalam daftar dokumen peraturan FSB yang disebut "Rekomendasi Metodologi ..." dan "Persyaratan Khas ...", yang tidak relevan untuk waktu yang lama.

Ketentuan Umum



Di sini, templat menyajikan air standar - mengapa kita memerlukan model ancaman, dll. Apa yang perlu kita fokuskan di sini adalah komentar tentang jenis informasi yang sedang dipertimbangkan. Secara default, opsi yang paling umum disajikan dalam templat - data pribadi (PD). Tetapi sistem mungkin tidak memiliki data pribadi, tetapi mungkin ada informasi rahasia lainnya (CI), dan informasi mungkin tidak rahasia, tetapi dilindungi (CI) sesuai dengan karakteristik lain - integritas dan ketersediaan.

Deskripsi Sistem Informasi



Di sini Anda dapat menemukan informasi umum tentang sistem informasi - di mana ia berada, sebagaimana disebut, data apa dan kelas mana (tingkat keamanan, kategori) yang diproses. Di sini, tentu saja, banyak yang tertarik pada betapa perlunya untuk menggambarkan sistem informasi.

Dalam proses beberapa persetujuan model ancaman untuk sistem informasi negara, kami telah mengembangkan solusi mengenai hal ini - harus ada jalan tengah. Ini tidak boleh berupa salinan dari paspor teknis yang menunjukkan nomor seri peralatan teknis. Tetapi di sisi lain, seseorang yang tidak terbiasa dengan sistem, yang membaca deskripsinya dalam model ancaman, harus secara kasar memahami cara kerja sistem ini.

Contoh:

Bagian server dari sistem informasi Nipel adalah sekelompok server fisik tempat ESXi 6.x hypervisor digunakan. Bagian server dari layanan utama sistem informasi disediakan oleh server virtual (nama server) di bawah kendali sistem operasi (daftar OS). Perangkat lunak utama yang mengimplementasikan proses pemrosesan adalah (nama perangkat lunak). Perangkat lunak aplikasi adalah aplikasi client-server. Bagian klien berfungsi sebagai klien tebal pada workstation pengguna yang menjalankan sistem operasi (daftar OS). Pengguna mendapatkan akses ke sistem informasi, baik dari jaringan lokal dan melalui Internet menggunakan saluran komunikasi yang aman. Secara umum, fungsi sistem informasi seperti yang ditunjukkan pada diagram.

Skema fungsional (bukan topologi!) Dari sistem informasi diterapkan.


Seperti itulah biasanya. Gaya dan detail lainnya, tentu saja, bisa sangat berbeda, yang utama adalah informasi yang bisa diambil dari deskripsi.

Ada juga bagian "Keamanan tempat". Di sini kami menjelaskan bagaimana tempat itu dilindungi selama jam kerja dan tidak bekerja - pengawasan video, ACS, penjaga keamanan, penjaga, alarm dan hanya itu.

Bagian FSB “Menentukan relevansi penggunaan perlindungan informasi kriptografi untuk memastikan keamanan data pribadi” dan “Objek perlindungan tambahan” juga dimasukkan dalam templat model ancaman. Jika kriptografi tidak digunakan, maka bagian ini hanya dihapus, jika digunakan, maka tidak ada yang istimewa untuk diubah, secara umum, dan Anda tidak perlu memasukkan nama sistem informasi.

Bagian "Prinsip-prinsip model ancaman" juga tidak dapat diubah. Perhatikan bahwa ada opsi untuk kasus-kasus ketika cryptocurrency digunakan dalam sistem, dan ketika tidak. Pilih yang Anda butuhkan dan lanjutkan.

Model Penyusup



Di sini Anda dapat membagi bagian ini menjadi klasik dan baru. Klasik adalah di mana pelanggar potensial kategori 1, 2 dan seterusnya dijelaskan. Pada kenyataannya, bagian dari model penyusup ini dibiarkan di templat hanya karena regulator menyukainya ketika itu. Nilai praktis diwakili oleh bagian "Pelanggar sesuai dengan bank data ancaman FSTEC Rusia".

Bagian ini memiliki nilai praktis karena ancaman itu sendiri dari bank data ancaman FSTEC (selanjutnya disebut BDU) terkait dengan pelanggar dengan potensi rendah, sedang, dan tinggi. Bagian itu sendiri adalah copy-paste deskripsi dari karakteristik pelanggar dengan potensi rendah, sedang dan tinggi. Berikut ini adalah kesimpulan dari cara "ahli" favorit kami - pelaku yang relevan bagi kami. Faktanya, kompiler memilih penyusup “dengan mata”, karena tidak ada metode untuk memilih pelaku.
Kami tidak akan memberikan uraian ini secara lengkap di sini, kami akan mencoba merumuskan secara singkat bagaimana potensi pelanggar berbeda. Selain membedakan potensi, pelanggar masih eksternal dan internal.

Peretas paling berbakat di dunia yang dengan sempurna menggunakan alat yang ada dan dapat membuat alat sendiri tiba-tiba seorang pengganggu dengan potensi rendah. Seorang penyusup dengan kemampuan yang sama, tetapi memiliki beberapa informasi orang dalam tentang sistem sudah merupakan potensi rata-rata. Ungkapan utama yang membedakan potensi menengah dari yang rendah: "Mereka memiliki akses ke informasi tentang karakteristik struktural dan fungsional dan fitur fungsi sistem informasi." Di sini Anda perlu berpikir dengan hati-hati tentang kemungkinan informasi tersebut bocor. Singkatnya, pelaku berpotensi besar adalah agen intelijen. Di sini kami memiliki kesempatan untuk menarik organisasi ilmiah khusus dan mendapatkan informasi dari bidang fisik, dan itu saja.

Dalam situasi yang realistis, potensi pengganggu adalah rendah atau sedang.

Bagian "FSB"



Berikutnya adalah bagian "Kemampuan umum sumber serangan" dan "Implementasi ancaman keamanan informasi yang diidentifikasi oleh kemampuan sumber serangan". Bagian ini tidak diperlukan jika cryptocurrency tidak digunakan. Jika mereka tetap digunakan, maka data awal, dan umumnya tabel untuk bagian ini tidak perlu ditemukan, mereka diambil dari dokumen normatif FSB “Rekomendasi metodologis tentang pengembangan tindakan hukum pengaturan yang menetapkan ancaman terhadap keamanan data pribadi yang relevan dengan pemrosesan data pribadi dalam informasi sistem data pribadi dioperasikan dalam kegiatan masing-masing ”(disetujui oleh manajemen Pusat ke-8 dari Layanan Keamanan Federal Rusia pada 31 Maret 2015, No. 149/7/2 / 6-432).

Kebenaran kami dalam template, hasilnya agak berbeda dari default, yang diberikan dalam dokumen FSB yang disebutkan di atas.

Tujuan akhir dari bagian ini adalah untuk menetapkan kelas alat perlindungan informasi kriptografi (CPSI), yang dapat digunakan dalam sistem yang sedang dipertimbangkan. Kelas ini secara langsung tergantung pada kemampuan pelanggar dan diatur sesuai dengan urutan 378 FSB (untuk data pribadi, tetapi untuk jenis informasi lainnya tidak ada persyaratan seperti itu).

Paling sering, kelas cryptocurrency yang berlaku adalah KC3. Sekarang mari kita beri tahu alasannya.

Secara umum, dalam dokumen "Komposisi dan konten tindakan organisasi dan teknis untuk memastikan keamanan data pribadi ketika mereka diproses dalam sistem informasi data pribadi menggunakan alat perlindungan informasi kriptografi yang diperlukan untuk memenuhi persyaratan untuk perlindungan data pribadi yang ditetapkan oleh Pemerintah Federasi Rusia untuk masing-masing tingkat keamanan" ( disetujui oleh perintah Layanan Keamanan Federal Rusia tertanggal 10 Juli 2014 No. 378) kelas perlindungan informasi kriptografi untuk sistem yang dimaksud didirikan, pertama, berdasarkan dan ancaman, dan kedua atas dasar mungkin pelanggar.

Kami tidak akan membahas jenis ancaman secara rinci, ada banyak informasi di Internet. Mari kita memikirkan fakta bahwa ada 3 jenis ancaman dan dengan cara apa pun, jika Anda berencana untuk menggunakan kriptografi, Anda perlu melakukan jenis ancaman ketiga (ancaman yang tidak relevan terkait dengan kemampuan yang tidak diumumkan dalam aplikasi dan perangkat lunak sistem). Mengapa

Karena pesanan 378 FSB:

  • CPS class KA dalam kasus ketika ancaman tipe 1 relevan dengan sistem informasi;
  • CIPF kelas KV dan lebih tinggi dalam kasus di mana ancaman tipe 2 relevan dengan sistem informasi;
  • CIPF kelas KS1 dan lebih tinggi dalam kasus di mana ancaman tipe 3 relevan dengan sistem informasi.


Tampaknya jelas, tetapi apa masalahnya? Masalahnya adalah Anda tidak dapat membeli CPS kelas KA1, KV1 dan KV2 begitu saja, bahkan jika Anda memiliki banyak uang yang harganya.

Kami akan melakukan "penyelidikan" kecil. Unduh registri baru alat perlindungan informasi kriptografi , kami sedang mencari kelas perlindungan informasi kriptografi KA1. Pencarian pertama menemukan "Hardware-software encoder M-543K." Kami pergi ke Google, kami menulis "Beli encoder hardware-software M-543K" - sebuah kegagalan. Mencoba "membeli" mata uang digital berikutnya - lagi-lagi, gagal. Kami hanya mengemudi di "KA1 cryptocurrency to buy" - sebuah kegagalan. Kami hanya mendapatkan tautan ke kelas cryptocurrency lainnya KS1-KC3 atau ke forum tempat kriptografi dibahas. Tetapi kenyataannya adalah bahwa, sebagaimana telah disebutkan, Anda tidak dapat membeli kelas pesawat ruang angkasa dan pesawat ruang angkasa SCZI, hanya melalui unit militer khusus. Mengapa cryptocurrency ini umumnya disebutkan dalam dokumen tentang data pribadi masih belum jelas. Oleh karena itu, dalam ISDN biasa, ini hanya jenis ancaman ketiga.

Dengan KA dan KV tahu, tapi mengapa KC3, dan bukan KS2 dan KS1? Di sini kondisi kedua sudah harus disalahkan - pelaku.

378 pesanan FSB:

12. Sistem perlindungan informasi kriptografi kelas CKS3 digunakan untuk menetralisir serangan, saat membuat metode, persiapan dan pelaksanaan yang menggunakan peluang dari nomor yang tercantum dalam paragraf 10 dan 11 dokumen ini dan setidaknya satu dari fitur tambahan berikut:

a) akses fisik ke CBT, di mana CIPF dan SF diimplementasikan ;
b) kemampuan untuk menemukan komponen perangkat keras dari sistem perlindungan informasi kriptografi dan SF, dibatasi oleh langkah-langkah yang diterapkan dalam sistem informasi di mana sistem perlindungan informasi kriptografi digunakan, dan ditujukan untuk mencegah dan menekan tindakan yang tidak sah.


Di sini logikanya adalah ini:

  • alat perlindungan informasi kriptografi umum seperti, misalnya, ViPNet Client atau CryptoPRO CSP diimplementasikan di workstation pengguna;
  • pengguna adalah pelanggar potensial;
  • seorang pengganggu potensial memiliki akses fisik ke fasilitas komputer di mana perlindungan informasi kriptografi dan lingkungan operasi mereka diimplementasikan.


Dengan demikian, dimungkinkan untuk membenarkan kelas yang lebih rendah dari sistem perlindungan informasi kriptografi yang membenarkan bahwa pengguna kami bukan pelanggar potensial (sulit), atau hanya menggunakan crypto-gateway yang terletak di ruang server, yang, pada gilirannya, hanya dapat diakses oleh pengguna istimewa, yang kami kecualikan. dari daftar pelanggar potensial.

Kerentanan



Seperti yang kita ingat, model kerentanan harus ditunjukkan dalam model ancaman. Model ancaman yang dapat diunduh belum memiliki bagian ini, jadi kami akan menjelaskan secara singkat cara menangani hal ini.

Penyusun model ancaman harus segera mengajukan pertanyaan: apakah daftar kerentanan yang diidentifikasi oleh pemindai perlu diterapkan pada dokumen? Pertanyaannya bagus dan jawabannya tidak unik. Kami tahu rekan kerja yang melakukan hal itu, tetapi kami pikir pendekatan ini salah dan itulah sebabnya.

Pertama, model ancaman terhadap keamanan informasi adalah dokumen, meskipun dapat berubah, tetapi masih kurang lebih statis. Dikembangkan sekali dan lupa akan perubahan infrastruktur yang signifikan dalam sistem.

Daftar kerentanan yang dihasilkan oleh scanner adalah informasi yang sangat dinamis. Hari ini kami mengidentifikasi kerentanan, besok mereka diperbaiki dan dipindai lagi - kami menerima laporan baru. Lusa tanda tangan baru muncul, pemindai diperbarui dan menemukan kerentanan baru, dan seterusnya dalam lingkaran. Apa gunanya menerapkan laporan pemindai kerentanan yang dibuat pada saat model ancaman dikembangkan? Tidak ada

Kedua, model ancaman dapat dibuat untuk sistem informasi yang secara fisik tidak ada (dirancang, tetapi tidak dibangun). Dalam hal ini, kami bahkan tidak dapat memindai apa pun.

Jalan keluar dari situasi ini sederhana. Tentukan dalam model ancaman bukan kerentanan spesifik dengan pengenal CVE dan peringkat CVSS, tetapi cantumkan kemungkinan kelas kerentanan untuk sistem informasi tertentu. Dan untuk memberikan soliditas daftar ini, kami akan mengambil daftar ini bukan dari kepala, tetapi dari GOST R 56546-2015 “Perlindungan informasi. Kerentanan dalam sistem informasi. Klasifikasi kerentanan dalam sistem informasi. " Daftar di bawah spoiler. Kami mengambilnya dan menghapus yang tidak perlu yang tidak kompatibel dengan karakteristik struktural dan fungsional sistem kami. Bagian sudah siap!

Kelas kerentanan menurut GOST
Kerentanan asal:

  • kerentanan kode;
  • ;
  • ;
  • .


:

  • , ;
  • , ;
  • , ;
  • , ;
  • , ( );
  • , ;
  • , ;
  • , , / ;
  • , ( );
  • , , ;
  • , ;
  • , ;
  • , ;
  • , .

():

  • () ;
  • ;
  • ;
  • ;
  • ;
  • (, ) ;
  • .





.
2008 . , – , . , , .

. 213 .

. – , , . – .

. . , , - . , , BIOS/UEFI - , . , , , , -.

, -, , 213 , , , .

– . , - . , , .

.



, – . , .

( Y1) , .

.

1. :
, , ,--+
, (, )--+
,-+-
() ,-+-
,+--
2. :
,--+
,-+-
,+--
3. () :
,+--
, ,-+-
,--+
4. :
, , ,-+-
, ,--+
--+
5. :
() , )--+
, , —+--
6. () :
, ( , , , . .)+--
,-+-
, (. . , )--+
7. ,
,--+
,-+-
,+--



, . . – , . «» «» 70% , (Y1 = 5), , – (Y1 = 10).



« ( )». , , , , , , « » – .

, , , , .

— – . , . – , .

, . , - , – SQL- ( - !). « », , . , . , .

«»



, – .

:

  • , -, ;
  • , ;
  • , ;
  • , ;
  • ;
  • , ;
  • , .


:

  • , , ;
  • , ;
  • , .




, . , , « », . , .

– . « » « » — . « ...». – . , « ». .



. , 1, 2 3. , .

« » — .

« » — , , , – , .

– «» « ». – Y2, , .

() , , . :

– (, , , );

– , (, );

— , ;

— .

, :

0 – ;
2 – ;
5 – ;
10 – .



, . . , , , , .

, - . , . , , . - , .



, . , , , , .

:

  • Y1 – , ;
  • – , , .


. – .

« » — «» , (, — «», ). : ; , ; (+, +-, — ).

, (Y2), – .

– Y. Y = (Y1+Y2)/20.

– Y. :



– , . .

– . :

gambar

Hore! .

Source: https://habr.com/ru/post/id457516/

More articles:


All Articles