编写威胁模型

大家好，我们继续“纸质安全性”系列文章。 今天我们将讨论开发威胁模型。 如果阅读本文的目的是为了获得实践技能，则最好立即下载我们的文档模板 ，该模板还包含威胁模型模板。 但是即使手头没有模板，也可以出于教育目的而找到该文章。

为什么我们需要一个威胁模型？

许多法规文件规定了开发威胁模型的需求。 这里有一些。

第152-FZ号法律“关于个人数据”第19条第2部分：

2.实现了个人数据的安全性，尤其是：

1） 确定在个人数据信息系统中对个人数据的安全威胁 ；

确保在个人数据信息系统中处理个人数据期间的安全性的组织和技术措施的组成和内容（由俄罗斯FSTEC于2013年2月18日发布的第21号令批准）：

4.采取措施确保个人数据的安全，除其他外，在有必要以使用这种工具来消除当前对个人数据安全的威胁的情况下，通过在信息系统中使用按照规定方式通过了合格评定程序的信息保护工具来实施 。

保护国家信息系统中所包含的不构成国家机密的信息的要求（由俄罗斯FSTEC于2013年2月11日批准，第17号）

形成信息安全要求...包括：
...
识别信息安全威胁 ，其实施可能导致违反信息系统信息安全的行为，并在此基础上发展信息安全威胁模型；
...

关键设施，潜在危险设施以及对人类生命，健康和环境构成日益严重危险的设施的生产和工艺流程自动控制系统中信息保护的要求（由俄罗斯FSTEC于2014年3月14日批准。 31）：

在自动控制系统中信息安全要求的形成……包括：
...
识别信息安全威胁，执行这些信息可能会导致违反自动控制系统的正常功能，并在此基础上开发 信息安全威胁模型 ；

确保俄罗斯联邦关键信息基础设施重要对象安全的要求（由FSTEC于2017年12月25日发布的第239号命令批准）：

11.关键信息基础设施的主题是制定组织和技术措施以确保重要物体的安全……这应包括：

a）信息安全威胁的分析和信息安全威胁模型的开发或完善（如果有）；

因此，由此得出的结论很简单：对于以某种方式受到法律保护的任何信息系统，都有必要建立一个威胁模型。

威胁模型内容

我们已经确定了创建文档的必要性，让我们看看该法规对内容的规定。 奇怪的是，这里的一切都很稀缺。

作为描述威胁模型内容的教科书示例，我们可以列举FSTEC的17个命令：

信

您不会相信的，仅此而已。 但是，另一方面，尽管文本不多，但内容丰富。 让我们重新阅读并写下威胁模型中的内容：

• 信息系统的描述；
• 结构和功能特征；
• 安全威胁的描述
• 入侵者模型
• 可能的漏洞；
• 实施威胁的方式；
• 违反信息安全属性的后果。

这是根据法律要求的，该法律要求FSTEC。 FSB还存在其他要求（稍后会介绍）以及FSTEC的一些非官方要求，这是我们在协调状态信息系统的威胁模型的过程中遇到的。

威胁模型的入门部分

好吧，让我们开始研究文档的内容。

我考虑标题页，缩写，术语和定义列表，一切都很清楚。 虽然，也许值得详细介绍……突然标题页。

在模板中，它由信息系统所有者的负责人签名。 不仅如此。

俄罗斯联邦政府法令，2017年5月11日 555号：

4.建立系统和信息安全威胁模型的职权范围由行政机关的官员批准，行政机关被赋予相应的权力。

自然，如果信息系统不是国有的，并且系统操作员不是执行机构，那么任何人都可以签署威胁模型。 只是我们反复遇到了以下情况：在上述条件（执行机构的州信息系统）的约束下，客户要求我们更改封面，以便仅许可公司（即我们公司）的代表在此处签名。 我必须解释为什么FSTEC会返回这种威胁模型以进行修订。

“规范和方法支持”部分

在这里，我想回顾一下，可以为非常不同的系统（从ISDN到KII）开发威胁模型。 因此，法规文件清单可能会有所不同。 例如，如果我们正在为自动化过程控制系统开发威胁模型，则应从模板中删除FSTEC的21和17个命令，并添加第31个命令。

标有缩写“ SKZI”的文件是FSB管制加密工具处理的法规文件。 如果信息系统中未使用加密货币（虽然现在很少，但仍然很少），则应将这些监管文件从清单中删除。

这里的常见错误是添加了各种GOST和其他监管文档（它们非常喜欢在此处输入STR-K），而这些文档与威胁建模无关。 或取消文件。 例如，通常在威胁模型中，人们可以在监管文件列表中找到FSB所谓的“方法学建议...”和“典型要求...”，它们之间的关系已经很久了。

一般规定

在这里，模板展示了标准的水-我们为什么需要威胁模型等。我们在这里需要重点关注的是有关所考虑信息类型的评论。 默认情况下，最常见的选项显示在模板中-个人数据（PD）。 但是系统可能没有个人数据，但是可能还有其他机密信息（CI），信息可能不是机密的，而是根据其他特性-完整性和可访问性受到保护（CI）。

信息系统说明

在这里，您可以找到有关信息系统的一般信息-信息系统位于哪里，即所谓的信息，处理了哪些数据和哪个类别（安全级别，类别）。 当然，在这里，许多人对描述信息系统的必要性有充分的兴趣。

在多次批准状态信息系统的威胁模型的过程中，我们已针对此问题开发了一种解决方案-必须有一个中间立场。 这不应是技术护照上的复制粘贴，指明技术设备的序列号。 但是，另一方面，不熟悉该系统的人在威胁模型中阅读其描述后，应该大致了解该系统的工作方式。

一个例子：

Nipel信息系统的服务器部分是物理服务器集群，在其上部署了ESXi 6.x虚拟机管理程序。 信息系统主要服务的服务器部分由操作系统（操作系统列表）控制下的虚拟服务器（服务器名称）提供。 实现处理过程的主要软件是（软件名称）。 应用程序软件是客户端-服务器应用程序。 客户端部分在运行操作系统（OS列表）的用户工作站上充当胖客户端。 用户可以使用安全的通信通道从本地网络和Internet访问信息系统。 通常，信息系统的功能如图所示。

应用信息系统的功能（不是拓扑！）方案。

那就是通常的样子。 样式和其他细节当然可以大不相同，主要是可以从描述中得出的信息。

还有一个“房舍安全”部分。 在这里，我们描述了在工作和非工作时间如何保护房屋-视频监控，ACS，安全卫士，值班人员，警报等等。

威胁模型模板中还包括FSB部分“确定使用加密信息保护的相关性以确保个人数据的安全性”和“其他保护对象”。 如果不使用密码，则只要删除这些部分（如果使用），通常就没有什么特别的更改，并且您无需输入信息系统的名称。

也无法更改“威胁模型的原理”部分。 只需注意，对于在系统中使用加密货币的情况，以及何时不使用加密货币的情况，有一个选项。 选择您需要的一个，然后继续。

入侵者模型

在这里，您可以将这一部分分为经典部分和新部分。 古典是描述了第1、2类及以上类别的潜在违规者的一种。 实际上，入侵者模型的这一部分只留在模板中是因为监管机构喜欢它的时候。 实际价值由“根据俄罗斯FSTEC威胁数据库的违反者”部分表示。

本节具有实用价值，因为来自FSTEC威胁数据库（以下称为BDU）的威胁本身与具有低，中和高潜力的违规者相关。 本节本身是对具有低，中和高电势的违规者特性的描述的复制粘贴。 以下是我们最喜欢的“专家”方式的结论-犯罪者与我们有关。 也就是说，实际上，编译器是“肉眼”选择入侵者的，因为根本没有选择犯罪者的方法。
我们不会在此处提供完整的描述，我们将尝试简要阐述违规者的潜能如何。 除了区分电位外，违反者还处于内部和外部。

完美使用现有工具并可以创建自己的工具的世界上最有才华的黑客突然变成了潜力很小的入侵者。 具有相同功能但拥有一些有关系统内部人员信息的入侵者，已经具有中等的潜力。 区分中等潜力和较低潜力的主要短语是：“他们可以获取有关信息系统功能的结构和功能特征以及特征的信息。” 在这里，您需要仔细考虑此类信息泄漏的可能性。 简而言之，高潜伏罪犯主要是情报机构。 在这里，我们有机会吸引专业的科学组织，并从物理领域获取信息，仅此而已。

在现实情况下，入侵者的潜力可能很小或中等。

“ FSB”部分

接下来是“攻击源的通用功能”和“由攻击源的功能标识的信息安全威胁的实施”部分。 如果不使用加密货币，则不需要这些部分。 如果仍然使用它们，则不需要发明这些部分的初始数据和一般的表格，它们取自FSB规范性文件“关于制定监管法律行为的方法学建议，这些法律定义了与处理信息中的个人数据有关的个人数据安全威胁个人数据系统在相应的活动中进行操作”（由俄罗斯联邦安全局第八中心的管理层于2015年3月31日批准，编号149/7/2 / 6-432）。

我们在模板中的真实情况是，结果与上述FSB文档中给出的默认值有所不同。

这些部分的最终目标是建立一类密码信息保护（CPSI），可以在所考虑的系统中使用。 此类直接取决于违反者的能力，并根据FSB的378顺序设置（对于个人数据，但对于其他类型的信息，则完全没有此类要求）。

通常，适用的加密货币类别为KC3。 现在让我们告诉你为什么。

一般而言，在文件“为确保个人数据在使用密码信息保护的个人数据信息系统中进行处理而确保个人数据安全的组织和技术措施的组成和内容，满足俄罗斯联邦政府针对每种安全级别建立的个人数据保护要求所必需的”（根据俄罗斯联邦安全局2014年7月10日第378号命令的批准），首先，基于 和威胁，其次可能侵权的基础上。

我们不会详细讨论威胁的类型； Internet上有很多信息。 让我们详细说明存在3种威胁的类型，如果您打算使用加密技术，则需要进行第3种类型的威胁（与应用程序和系统级软件中未声明的功能相关的不相关威胁）。 怎么了

由于378 FSB订单：

• 如果类型1的威胁与信息系统相关，则CPS为KA类；
• 如果类型2的威胁与信息系统相关，则为KV级或更高的CIPF；
• 如果类型3的威胁与信息系统相关，则为KS1类或更高的CIPF。

看起来很清楚，但是出什么问题了？ 问题在于，即使您花了很多钱，也不能像这样购买KA1，KV1和KV2类的CPS。

我们将进行一次小的“调查”。 下载最新的加密信息保护工具注册表 ，我们正在寻找加密信息保护类KA1。 首次搜索是“硬件-软件编码器M-543K”。 我们去Google，写“购买硬件-软件编码器M-543K”-失败。 试图“购买”下一个加密货币-再次失败。 我们只是开车“购买KA1加密货币”-失败。 我们仅获得到其他加密货币类KS1-KC3或讨论密码学的论坛的链接。 但是事实是，如上所述，您只能通过专门的军事部门购买SCZI类航天器和航天器。 为什么尚不清楚这些加密货币在个人数据文档中被普遍提及。 因此，在普通的ISDN中，它只是第三种威胁。

有了KA和KV，但是为什么要KC3，而不是KS2和KS1？ 在这里，第二个条件就是罪魁祸首。

378 FSB订单：

12.密码信息保护等级KS3用于在创建方法，准备和实施使用本文档第10段和第11段中列出的功能以及以下至少一项附加功能的方法时，抵消攻击：

a） 对实施了CIPF和SF的CBT的物理访问 ；
b）定位密码信息保护系统和SF的硬件组件的能力，受使用密码信息保护系统的信息系统中实施的措施的限制，旨在防止和抑制未经授权的行为。

这里的逻辑是这样的：

• 在用户工作站上实现了诸如ViPNet Client或CryptoPRO CSP之类的通用密码信息保护工具；
• 用户是潜在的违规者；
• 潜在的入侵者可以物理访问计算机设施，在计算机设施上实施了加密信息保护和操作环境。

因此，有可能证明较低级别的密码信息保护系统有理由证明我们的用户不是潜在的违规者（困难的），或者仅使用位于服务器机房中的加密网关，反过来，只有特权用户才能访问它们，而我们将其排除在外从潜在违规者列表中。

漏洞

我们记得，应该在威胁模型中指出漏洞模型。 威胁模型的可下载模型尚无此部分，因此我们将简要描述如何处理。

威胁模型的编译者应立即提出一个问题：由扫描程序识别出的漏洞的直接列表需要应用到文档中吗？ 问题是好的，答案不是唯一的。 我们知道这样做的同事，但是我们认为这种方法是错误的，这就是原因。

首先，对信息安全构成威胁的模型是一个文档，尽管可能会发生变化，但仍或多或少是静态的。 一次开发就忘记了系统中重大的基础架构更改。

扫描程序生成的漏洞列表是非常动态的信息。 今天我们确定了漏洞，明天我们修复了漏洞并再次进行了扫描-我们收到了新报告。 后天出现新的签名，扫描器被更新并发现新的漏洞，依此类推。 应用在开发威胁模型时制作的漏洞扫描程序报告有什么意义？ 没事

其次，可以为物理上不存在（设计但未构建）的信息系统创建威胁模型。 在这种情况下，我们甚至无法扫描任何内容。

解决这种情况的方法很简单。 在威胁模型中指定不具有CVE标识符和CVSS等级的特定漏洞，但列出特定信息系统的可能漏洞类别。 为了确保清单的可靠性，我们将不从头开始列出该清单，而是从GOST R 56546-2015“信息保护。 信息系统中的漏洞。 信息系统中漏洞的分类。” 列出扰流板。 我们将其删除，并删除了与我们系统的结构和功能特性不兼容的不必要的内容。 该部分准备好了！

.
2008 . , – , . , , .

. 213 .

. – , , . – .

. . , , - . , , BIOS/UEFI - , . , , , , -.

, -, , 213 , , , .

– . , - . , , .

.

, – . , .

( Y1) , .

.



, . . – , . «» «» 70% , (Y1 = 5), , – (Y1 = 10).

« ( )». , , , , , , « » – .

, , , , .

— – . , . – , .

, . , - , – SQL- ( - !). « », , . , . , .

«»

, – .

:

• , -, ;
• , ;
• , ;
• , ;
• ;
• , ;
• , .

:

• , , ;
• , ;
• , .

, . , , « », . , .

– . « » « » — . « ...». – . , « ». .



. , 1, 2 3. , .

« » — .

« » — , , , – , .

– «» « ». – Y2, , .



, . . , , , , .

, - . , . , , . - , .

, . , , , , .

:

• Y1 – , ;
• – , , .

. – .

« » — «» , (, — «», ). : ; , ; (+, +-, — ).

, (Y2), – .

– Y. Y = (Y1+Y2)/20.

– Y. :



– , . .

– . :



万岁！ .