4月9日,俄罗斯FSTEC网站发布了“确定信息系统中信息安全威胁的方法”草案。该方法可能成为过去12年中第一个正式采用的文档,描述了建模和确定信息安全威胁的相关性的过程。考虑到识别安全威胁是构建任何保护系统的基本措施这一事实,该方法的重要性很难高估。
在我们的文章中,我们要考虑和评估监管机构针对威胁建模的新方法,并回答下一个问题-这种方法在多大程度上满足了信息安全领域的当前现实。
现在如何规范威胁建模?
各种各样的对象需要识别对信息安全的实际威胁:ISPDN,GIS,APCS,CII的重要对象,金融组织的IS(以下称为“信息系统”)。因此,使用此类对象处理信息需要清楚地了解谁(或什么)以及如何导致信息安全受到破坏。
同时,当前在安全威胁建模领域中唯一有效的文档是“在个人数据信息系统中处理个人数据期间确定对个人数据安全的实际威胁的方法”。发行于2008年。除了过时,该文档还具有许多要点,这表明,很遗憾,它早已失去其相关性,并且仅由于没有任何替代而继续使用。与个人数据的严格链接,使用初始系统安全性指标作为影响确定威胁相关性的因素,使用外部托管时在对安全威胁进行建模方面没有任何责任划分只是信息安全社区继续讨论的一些缺陷。
在这种情况下,信息所有者(运营商)必须根据自己的需要独立地“最终确定”即兴创作的文档。首先,这种方法不是绝对合法的(根据其命令,FSTEC坚持使用由他们制定的方法学文档来确定安全威胁),其次,这是一项非常重要的任务,尤其是在执行者缺乏相关经验的情况下。在这方面,即使不是万能药,新的方法论也应该成为一种工具,可以大大简化信息安全威胁建模过程。
新技术的主要特点
方法论的范围新方法论的
第一个也是最重要的区别特征是其应用范围,现在不仅限于ISPD。该文件应用于确定在使用任何对象处理信息过程中对信息安全的威胁,这些对象的保护要求已获得FSTEC的批准。如前所述,这些对象包括CII,ISPD,GIS和其他类型系统的重要对象。
此外,该文件直接提供了开发和使用行业/部门/公司方法的可能性,考虑到对象功能的特殊性。没有开发和批准“子公司”方法的程序,唯一的要求是它们不得与方法学的规定相抵触。
FSTEC BDU在安全威胁建模中的使用
有关威胁的信息的主要来源将是FSTEC BDU以及安全威胁的基本模型和标准模型。如果对于CII和GIS的重要对象而言,早先采用了这种方法,那么相对于ISPD使用(或不使用)NDU的问题现在已经得到了明确的答案。
这种方法看起来很合乎逻辑,即使不是一个“但是”。事实是,如今各种各样的“基本和典型威胁模型”仍然有很多不足之处-在公共领域仅公开了一份属于该描述的文档,甚至只是摘录,并且针对所有相同的ISPD。
这是否意味着在方法论获得批准后不久,我们应该期望在基本和典型威胁模型中得到补充?问题仍然悬而未决。
安全威胁建模顺序
更新后的顺序按特定顺序包括五个步骤。在方法中示出的总处理方案如下:
对于确定威胁与信息安全的相关性符合从第一阶段到第四阶段的阶段。根据该方法,如果存在至少一种实施方案的威胁,并且实施方案会对信息所有者(运营商)或国家造成负面影响,则安全威胁将是相关的。
第五阶段的目标是确定每种当前威胁的危险。实际上,此特性仅用于提供信息。并且不会直接影响模拟结果生成的最终文档,也不会直接影响消除威胁的可能选项。可以假定应使用此参数确定关闭威胁的顺序,但是指标的少量可能值-``低'',``中'',``高''-不允许进行足够详细的操作。而且,归结到这一步的任何威胁都必须以某种方式关闭,因此忘记“非危险”威胁根本行不通。因此,该参数的真正目的仍然没有完全公开。
应该注意的是,建模安全威胁的工作应由信息所有者(运营商)独立进行,或由FSTEC许可证持有者参与。目前,根据监管机构的监管文件,采用了这种方法。
确定信息安全威胁的相关性
更详细地讲,我想直接介绍确定安全威胁的相关性的过程。
因此,在第一阶段,建议确定由实施安全威胁引起的所有可能的负面影响。尽早评估损坏(风险)应该有助于违反主要关键流程(专家评估或从运行信息系统的部门收到的信息)的行为。
使用任何选择的方法,都必须确定确保执行关键过程(信息本身,软件和硬件,信息安全工具等)的信息资源以及与每种资源有关的非法访问的主要类型。该手册列出了主要资源类型和非法获取资源的列表,以及识别可能的负面影响的示例。
2.在第二阶段,有必要确定潜在漏洞及其类型的存在,信息系统中未声明的功能的存在,以及需要访问系统以实施每种安全威胁。
渗透测试是在信息系统运行阶段识别信息系统中潜在漏洞的主要方法,其中包括考虑保护工具的功能和设置。
3.下一步,第三步是确定安全违规者并评估其能力。建议将人为威胁和技术威胁都视为威胁来源:前者绝对适用于所有信息系统,而后者仅适用于对功能的稳定性和可靠性有要求的系统。
识别可能的人为威胁源(违规者)的方法是标准的,其方法是识别特定类型的违规者,其潜力以及对受保护信息系统实施威胁的能力。值得注意的是,如果信息系统和Internet之间存在连接,则始终将潜力不大的外部入侵者视为威胁的实际来源。
还需要注意的是,根据新方法,入侵者可以具有四个级别(基本,基本增加,中等和高)之一,而NDU在描述威胁的来源时仅使用三个级别(低,中,基本)。在这种情况下,如何正确提供相关性仍然是一个尚未解决的问题。
4.在最后阶段,对实施威胁的可能策略和技术进行了分析。为了确定可能的攻击情形,该方法论建议使用其中给出的策略和技术,以及来自FSTEC数据库或其他计算机攻击数据库的其他信息(最有可能的是,这指的是ATT&CK矩阵和类似方法)。
关于NOS还有一点值得注意。迄今为止,此资源尚未包含有关实施威胁的可能方式的任何结构化信息,因此,指向该资源的链接似乎不合适。
摘录自文档中提供的策略和方法论矩阵:
总体而言,拟议的方法在其积极方面方面表现突出,尤其是在当前方法论提出的顺序背景下。在“加号”中,至少可以区分以下内容:
- 拒绝使用不便,而且信息系统的初始安全性和总是在2008年方法中使用威胁的可能性的正确参数远非总是正确的;
- , ;
- , , – , , ;
- , , ;
- , .
因此,确定安全威胁的相关性的措施是一个完整且结构化的过程,可以考虑各种信息系统功能的特殊性。
同时,值得注意的事实是,确定威胁相关性的方法的现代化使它变得更加费力。执行者(或更可能是一组执行者)需要对系统基础架构和信息安全的各个领域都有深入的了解,从立法规范到理解(最好是具有实践技能)以实施各种类型的攻击。
识别对托管在外部托管上的基础结构的安全威胁特别
关注该问题在建模对位于外部数据中心和云服务中的信息系统的威胁时的责任分离。
信息的所有者和所使用的托管服务器应在考虑中的情况下确定当前的安全威胁。通常,托管确定对其提供的基础结构的当前安全威胁,并将此信息带给其客户端(信息的所有者(运营商))。
例如,在租用虚拟基础架构时对安全威胁进行建模的边界如下:
如果托管所有者不执行威胁建模,则“方法论”建议不要使用其服务。鉴于并非总是会遵循这种推荐措施,因此,如果他决定使用此类托管服务,则如何成为信息的所有者仍然是一个问题。
使威胁模型保持最新状态
威胁建模的结果以文档的形式草拟,该方法以《方法学》附录中的形式提供,并得到信息所有者(运营商)负责人的批准。应该注意的是,提议使用的文件格式具有相当标准的结构,重复了《方法论》的主要部分,而其中没有任何部分表明结论。或任何其他说明下一步如何处理这些威胁的信息。不幸的是,这种方法给人的印象是未完成的描述该事件的文档是从一般上下文中取出的。
但是,让我们继续进行威胁模型生命周期的其他阶段。可以理解,在信息系统的整个运行期间,应更新威胁模型考虑到立法要求的变化,系统的体系结构和操作条件的变化,对信息安全的新威胁的识别。因此,FSTEC BDU的更新还应该更新所有已开发和使用的信息安全威胁模型。考虑到对NDU的更改相对频繁(根据数据库中提供的信息,每年更改1至3次)这一事实,有必要回到定期更新威胁模型的问题上。
同时应注意,威胁模型可以电子文档的形式保持最新。在这种情况下,是否有必要抬头批准这样的文件,如果需要,究竟如何仍不清楚。
新方法论是否成功?
已发布的文件草案表明,在确保信息系统安全方面,监管机构试图与时俱进,同时考虑到此类系统所有者的意愿。
在更新的方法论的明显优势中,值得注意的是:
- 它的多功能性,因此有可能用于各种类型的信息系统;
- 确定安全威胁的相关性的结构化且易于理解的方法;
- 威胁的相关性取决于真正重要的因素-威胁的实施存在潜在的负面后果,以及威胁的实施方案。
同时,在阅读《方法论》时,很明显这只是一个草稿,而不是《方法论》文件的最终版本:
- 在当前未实现的功能范围内重复提及NOS;
- ;
- , .
?
该方法论的新版本与当前版本有很大不同。如果该文件获得批准(到目前为止,没有任何可能发生这种情况的真正重要原因),信息系统所有者将面临以下问题:他们是否需要更新现有威胁模型,以及是否需要更新以及何时需要更新做吧。
而且,如果第一个问题的可能性很高,答案是肯定的,那么就没有地方可以获取有关后续问题的信息。显然,当新方法论生效时,需要一些延迟。在威胁建模方面进行详尽而高质量的工作是一个需要大量时间和人力的过程。
要了解对安全威胁建模的实际问题,包括使用新的方法论,请继续关注我们的信息源。
弗拉季斯拉夫·巴甫洛夫
审计和咨询专家, Acribia