Что это и зачем?

Анализ угроз нужен, чтобы определить аспекты атаки и ответить на вопросы:

• Активы – информацию, которую следует защищать
• Сценарии ущерба – как использование активов наносит вред
• Воздействие – насколько тяжелым будет нанесенный таким образом вред
• Пути атаки – что делает злоумышленник, как нарушает нормальную работу
• Осуществимость – вероятность успеха атаки
• Уровень риска – комбинация воздействия и осуществимости
• Обработка рисков (митигация) – что делать разработчикам и владельцам устройства

Рассказать все тонкости анализа угроз в одной статье не получится, но постараемся дать обзор.

Шаги анализа

Активы и свойства кибербезопасности

Актив (англ. asset) – объект, представляющий ценность сам по себе или косвенно влияющий на ценность другого объекта или свойства.
Активом это информация; данные без интерпретации – не актив. Например, у пары чисел (55,76594; 27,68562) нет никакой ценности, если не знать, что это – географические координаты объекта. (Впрочем, это координаты главного здания МГТУ им. Баумана, так что и в этом случае ценность актива сомнительна).
Активом может быть также и свойство объекта. Речь идет о свойствах кибербезопасности. Традиционно выделяют шесть свойств, объединяемых в две «тройки».
Первая тройка – главные свойства: целостность, конфиденциальность, полезность.
Вторая тройка и чуть менее важные свойства: подлинность, владение, полезность.

Определения свойств выглядят примерно так:

• Целостность – актив не подвергался несанкционированным изменениям
• Конфиденциальность – актив доставляется тому, для кого предназначался, и никому другому
• Доступность – актив доступен по запросу в течение заданного времени
• Подлинность – уверенность, что актив создан конкретным автором (будь то человек или программа)
• Владение – право изменять свойство или уничтожить объект
• Полезность – другие условия, связанные с жизненным циклом объекта (например, время жизни: если объект представляет собой результат измерений в системе автоматического управления, его полезность падает со временем)

Сценарий ущерба

На этом этапе выбирают свойства активов, нарушив которые, злоумышленник причинит вред. Например, если нарушится доступность (свойство кибербезопасности) данных с датчика педали тормоза (актив), перестанет работать торможение; а если нарушится конфиденциальность данных о местоположении автомобиля, злоумышленник узнает, когда водителя нет дома и нанесет тому визит с недобрыми намерениями.

Воздействие

Воздействие – мера вреда, наносимая нарушением свойства безопасности актива. Анализ кибербезопасности, кроме «традиционного» вреда здоровью (как в ИСО 26262) рассматривает финансовые потери, невозможность эксплуатации оборудования и утечку данных.
Все эти виды вреда оцениваются по шкале от «0» — нет вреда, до «3» — максимальный вред.

Пути атаки

Анализ путей атаки похож на анализ системы: тоже делится на индуктивный и дедуктивный. Если рассматривать нарушения работы отдельных компонентов, и на этом основании определить сценарий компрометации актива – это индуктивный путь. Если начать со сценария компрометации актива и рассматривать варианты реализации атаки применительно к отдельным компонентам – это дедуктивный путь.
Эта часть специфична для анализа TARA, ее доверяют людям, знающим о распространенных методах атак и методах их предотвращения.

Осуществимость

Так как мы говорим об атаке – сознательных действиях людей или организаций, вероятностный подход с каталогами а-ля ИСО 26262 здесь неприменим. Осуществимость атаки оценивают по-другому. Здесь мы расскажем о методе CVSS.

Метод CVSS опирается на такие параметры:

• Степень возможной удаленности злоумышленника: атака происходит через глобальную сеть, открытый интерфейс, локальную сеть, или требует физического доступа
• Сложность атаки: низкая (не требует специальных знаний, основана на опубликованном сценарии) или высокая.
• Степень доступа, необходимая для атаки: отсутствует (атака не требует авторизации нарушителя), низкая (требуется авторизация нарушителя как непривилегированного пользователя) или высокая (ничего не получится, если у нарушителя не будет авторизации на уровень привилегированного пользователя или администратора)
• Взаимодействие с пользователем, необходимое для атаки: требуется или нет

Каждому из возможных значений параметров соответствует некоторое число. Финальный результат определяется произведением чисел, полученных на каждом этапе, на 8,22. Почему на 8,22 – неизвестно.

Риск

Уровень риска определяется по таблице (графу риска) на основании оценок воздействия и осуществимости.

Митигация (обработка рисков)

В зависимости от уровня риска выбирают ответные меры или меры митигации. Все возможные ответные меры попадают в одну из групп:

• Избегание (устранение источников риска, решение не начинать или не продолжать работу)
• Технические меры снижения риска – то, к чему мы привыкли в функциональной безопасности
• Разделение риска (при помощи контрактов или страхования)
• Принятие риска

Роль SafetyConsult

SafetyConsult может провести анализ HARA и TARA, чтобы сэкономить вашим специалистам время и силы. Для вашей стороны анализ сведется к нескольким интервью.

• Проведение анализа по методологиям различных стандартов
  • Функциональная безопасность: ИСО 26262, МЭК 61508, ИСО 13849 и др.
  • Кибербезопасность: ИСО 21434, ФСТЭК, Common Criteria
• Систематическая проработка и документация
• Выполнение требования тех. регламентов (по КИИ, безопасности машинного оборудования и др.)
• Опыт проведения анализа – обеспечим достижение целей, не позволим «зайти не туда».