Průvodce modelováním hrozeb
Co je modelování hrozeb?
Kybernetické útoky mají mnoho podob a obrana proti těmto útokům může být někdy náročná. Staráme se o národní bezpečnost kyberprostoru, zabezpečení sítě, zabezpečení aplikací, zabezpečení dat a vše mezi tím. Pro bezpečnostního profesionála je obtížné, že se útočník může dostat tisíci a jedním způsobem a každý potenciální vstupní bod musí být zabezpečen. Útočníci mohou udeřit kdekoli a obránci se musí všude bránit. Než bude možné zabezpečit každý možný vstupní bod a adresovat vektor útoku, musí být nejprve identifikován, a zde vstupuje do hry modelování vláken.
Modelování hrozeb je způsob, jak lze identifikovat, vyjmenovat, klasifikovat a zmírnit potenciální hrozby. Je to proaktivní přístup používaný k pochopení toho, jak lze realizovat různé hrozby a útoky. Účelem modelování hrozeb je poskytnout bezpečnostním týmům systematickou analýzu toho, jaká protiopatření je třeba provést s ohledem na povahu aktiva, nejpravděpodobnější vektory útoku a aktiva, o která útočník nejvíce usiluje. Modelování hrozeb odpovídá na otázky jako „Kde jsem nejzranitelnější vůči útoku?“, „Jaké hrozby, pokud budou provedeny, mohou mít větší dopad?“ a „Jaká protiopatření jsou potřebná k ochraně proti těmto hrozbám?“.
Proč je modelování hrozeb důležité?
Vzhledem k dynamické povaze kybernetických útoků je modelování hrozeb základem bezpečnosti. Útočná a obranná stránka bezpečnosti se neustále mění. Aby organizace na tuto změnu náležitě reagovaly, musí neustále přehodnocovat a vyvíjet svou obranu. Kromě toho musí být aplikace nebo systémy navrženy tak, aby byly odolné vůči útokům. Zavedení vhodných bezpečnostních kontrol potřebných k dosažení odolnosti však přináší určité finanční důsledky.
Základním principem modelování hrozeb je, že zdroje pro zabezpečení jsou vždy omezené, takže je obtížné zmírnit každou hrozbu v systému. Je proto nutné určit, jak tyto omezené zdroje efektivně využívat. Organizace musí upřednostňovat rizika a podle toho s nimi zacházet. Kritickým faktorem při určování rizika je hrozba. Modelování hrozeb pomáhá organizacím systematicky identifikovat scénáře hrozeb relevantní pro systém za účelem implementace účinných protiopatření k jejich ochraně. Proto je modelování hrozeb zásadní. Pomáhá bezpečnostním týmům porozumět tomu, jak mohou být systémy zranitelné a jaké kontrolní opravy jsou potřeba k upřednostnění oprav podle závažnosti a dopadu očekávaných hrozeb.
Jak modelování hrozeb zapadá do hodnocení rizik
Hodnocení rizik identifikuje bezpečnostní rizika analýzou aktiv, hrozeb a zranitelností, včetně jejich závažnosti a pravděpodobnosti výskytu. Na druhou stranu modelování hrozeb umožňuje větší zaměření na aktiva a identifikaci potenciálních hrozeb a vektorů útoků, které by mohly zneužít zranitelnosti nalezená na těchto aktivech a jejich součástech během hodnocení rizik. Kromě toho se zaměřuje na to, kdo by s největší pravděpodobností chtěl na aktivum zaútočit a jak by to mohl úspěšně provést.
Modelování hrozeb je ve skutečnosti forma hodnocení rizik, která modeluje aspekty útočné a obranné strany systému nebo jeho součástí. Rozšiřuje proces hodnocení rizik generováním kontextualizovaných událostí hrozeb s dobře popsanou sekvencí akcí, aktivit a scénářů, které může útočník podniknout, aby ohrozil aktivum nebo systém. To pomáhá bezpečnostním týmům přicházet s cílenějšími kontrolami a protiopatřeními. Níže uvedený diagram ukazuje, jak se k sobě hodí modelování hrozeb a hodnocení rizik.
Komponenty procesu modelování hrozeb
Pro modelování hrozeb se používají různé přístupy nebo metodiky; to probereme v další části. Všechny tyto metodiky však mají některé procesy nebo logický tok, které sdílejí. Podívejme se nyní na tyto základní logické toky:
Sestavte projektový tým a rozsah : Tým pro modelování hrozeb by měl být co nejheterogenní, aby byl zaručen obsáhlejší model hrozeb. Měl by zahrnovat klíčové zainteresované strany, jako jsou vedoucí pracovníci na úrovni C, síťoví inženýři, vývojáři a manažeři zabezpečení. Dále definujte a popište rozsah práce, včetně technického rozsahu, architektury systému, systémových komponent, bezpečnostních perimetrů a datových toků, před provedením modelování hrozeb pro cílový systém. To zahrnuje shromažďování informací a vymezování obvodových hranic.
Rozložte systém nebo aplikaci : Dekompozice systému je rozdělení systému na jeho různé součásti. To zahrnuje identifikaci systémových komponent, zakreslení způsobu toku dat a rozdělení hranic důvěryhodnosti. Jednou z technik dekompozice systému je vytvoření diagramu toku dat (DFD). DFD pomáhají uživatelům získat lepší přehled o systému tím, že poskytují vizuální reprezentaci, která ilustruje toky dat v systému a akce, které mohou uživatelé provádět v rámci stavu systému. Některé modely spoléhají na procesní vývojové diagramy (PFD) namísto DFD. Po dokončení se vizuální reprezentace používá k identifikaci a výčtu potenciálních hrozeb.
Identifikujte pravděpodobné hrozby: Identifikace hrozeb zahrnuje identifikaci a dokumentaci vektorů hrozeb a událostí. Poté u všech potenciálních cílů určete, kde existují nebezpečí, a použijte scénáře hrozeb a stromy útoků k identifikaci možných zranitelností, které by mohly být zneužity. K automatizaci tohoto kroku lze také použít nástroje pro modelování hrozeb.
Modelování útoků : Modelování útoků popisuje přístup útočníka k narušení, takže uživatelé mohou identifikovat kontrolní mechanismy potřebné k obraně systému a stanovit priority jeho implementace. Po umístění událostí hrozeb relevantních pro systém je spojte s možnou posloupností útoků. To zahrnuje mapování sledu útoků, popis taktiky, technik a postupů a vytváření scénářů hrozeb. K modelování útoku lze použít útočné frameworky jako MITER ATT&CK nebo Lockheed Martin Kill Chain.
Implementujte zmírnění . Když porozumíte vektorům útoků a bezpečnostním rizikům v různých fázích, můžete použít vhodné kontroly a protiopatření ke zmírnění hrozeb nebo možných útoků nebo k minimalizaci jejich dopadu. Vypracujte strategie, jak tyto hrozby omezit. To obvykle zahrnuje vyhnutí se nebezpečí, snížení negativního účinku nebo pravděpodobnosti hrozby, přenesení celé hrozby nebo její části na jinou stranu a dokonce přijetí některých nebo všech potenciálních nebo skutečných důsledků konkrétní hrozby. Opakem těchto strategií lze reagovat na příležitosti.
Rámce a metodiky modelování hrozeb
Existuje několik dostupných metodologií a rámců, které můžete použít k modelování hrozeb. Metodiky modelování hrozeb lze kategorizovat podle zaměření přístupů. Tyto přístupy zahrnují ty, které se zaměřují na aktiva systému, který je modelován na hrozby (asset-centric), ty, které se zaměřují na útočníky (attack-centric hrozba modelování) a přístupy, které se zaměřují na software nebo systém (software-centric nebo systémově zaměřené modelování hrozeb). Rozhodnutí, které metody nasadit, závisí na systému nebo typech modelovaných hrozeb a za jakým účelem. Níže jsou uvedeny některé z dnes běžně používaných metodologií modelování hrozeb:
KROK : Inženýři společnosti Microsoft vyvinuli metodologii STRIDE v roce 1999, aby vedla odhalování hrozeb v systému. Používá se ve spojení s modelem cílového systému, který lze konstruovat paralelně. To zahrnuje úplný rozpis procesů, datových úložišť, datových toků a hranic důvěryhodnosti. STRIDE je zkratka pro typy hrozeb, které řeší. Níže uvedená tabulka obsahuje rozpis různých hrozeb spravovaných STRIDE a souvisejících porušených vlastností:
Spoofing | Pravost | Předstírat, že jste něco nebo někdo, kým nejste |
Manipulace | Integrita | Změna dat v systému za účelem dosažení škodlivého cíle. |
Odmítnutí | Neodmítnutelný | Tvrzení, že nenese odpovědnost za jednání |
Zveřejňování informací | Důvěrnost | Únik chráněných informací neoprávněným subjektům. |
Denial of service (DoS) | Dostupnost | Vyčerpání nebo odepření přístupu ke zdrojům potřebným k poskytování služby |
Povýšení privilegia | Oprávnění | Dovolit někomu dělat něco, k čemu nemá oprávnění |
Tabulka 1.0 | Hrozby STRIDE a související vlastnosti byly narušeny
OKTÁVA: Operačně kritické hodnocení hrozeb, aktiv a zranitelnosti (OCTAVE) je metodika modelování hrozeb zaměřená na aktiva a operace, vyvinutá v roce 2003 na Carnegie Mellon University, aby pomohla organizacím vyhodnotit netechnická rizika, která mohou vyplynout z úniku dat. OCTAVE se skládá z následujících fází:
- Vytváření profilů hrozeb na základě aktiv – hodnocení organizace.
- Identifikace zranitelností infrastruktury – vyhodnocení informační infrastruktury
- Vývoj a plánování bezpečnostní strategie – vyhodnocování rizik pro kritická aktiva organizace a rozhodování.
S OCTAVE se identifikují informační aktiva organizace a datové sady obsahují atributy založené na typu uložených dat. OCTAVE je nejužitečnější při vytváření firemní kultury, která si uvědomuje rizika. Chybí mu však škálovatelnost.
tříkolka: Trike je open-source framework zaměřený na aktiva pro modelování hrozeb a hodnocení rizik.
Projekt začal v roce 2006 s cílem zlepšit efektivitu a efektivitu stávajících metodologií modelování hrozeb. Trike se zaměřuje na uspokojení procesu bezpečnostního auditu z pohledu řízení kybernetických rizik. Základem metodologie modelování hrozeb Trike je „model požadavků“ – který zajišťuje, že přiřazená úroveň rizika pro každé aktivum je „přijatelná“ pro různé zúčastněné strany.
Hrozby jsou identifikovány iterací pomocí diagramu toku dat (DFD). Identifikované hrozby jsou seskupeny do dvou kategorií: odmítnutí služby nebo zvýšení oprávnění. Implementační model je poté analyzován za účelem vytvoření modelu hrozby Trike.
TĚSTOVINY : Process for Attack Simulation and Threat Analysis (PASTA) je sedmikroková metodika zaměřená na útoky navržená v roce 2015, aby pomohla organizacím sladit technické požadavky s obchodními cíli při zohlednění analýzy dopadu na podnikání a požadavků na shodu. Cílem této metodiky je poskytnout dynamickou identifikaci hrozeb, jejich výčet a proces hodnocení. PASTA se zaměřuje na vedení týmů k dynamické identifikaci, počítání a upřednostňování hrozeb. Celkové pořadí je následující:
- Definujte obchodní cíle
- Definujte technický rozsah
- Dekompozice aplikace
- Analýza hrozeb
- Analýza zranitelnosti a slabých stránek
- Výčet útoků a modelování
- Analýza rizik a protiopatření
Jakmile je model hrozeb dokončen, lze vyvinout podrobnou analýzu identifikovaných hrozeb a vhodné bezpečnostní kontroly. Modelování hrozeb PASTA je ideální pro organizace, které se chtějí sladit se strategickými cíli, protože zahrnuje analýzu dopadu na podnikání jako nedílnou součást procesu.
Průvodce modelováním hrozeb NIST: Americký Národní institut pro standardy a technologie (NIST) v roce 2016 zveřejnil své vlastní metodologie modelování hrozeb zaměřených na data která se zaměřuje na ochranu dat s vysokou hodnotou v systémech. Modeluje aspekty útoku a obrany pro vybraná data. V tomto modelu se analýza rizik provádí pomocí následujících čtyř důležitých kroků:
- Identifikujte a charakterizujte systém a data, která vás zajímají
- Identifikujte a vyberte vektory útoku, které mají být zahrnuty do modelu
- Charakterizujte bezpečnostní kontroly pro zmírnění útočných vektorů
- Analyzujte model hrozby
Příručka je zaměřena na bezpečnostní manažery, bezpečnostní inženýry/architekty, systémové administrátory, auditory a další osoby odpovědné za bezpečnost systémů a dat. Podle autorů „záměrem není nahradit stávající metodiky, ale spíše definovat základní principy, které by měly být součástí jakékoli zdravé metodologie modelování systémových hrozeb zaměřených na data.
VAST: Vizuální, agilní a jednoduchá hrozba (VAST) je vysoce škálovatelná metodologie modelování, která jedinečně řeší obavy vývojářů i týmů infrastruktury. Automatizace, integrace a spolupráce jsou základem modelování hrozeb VAST. VAST je postaven kolem ThreatModeler —automatizovaný nástroj pro modelování hrozeb navržený pro integraci do celého životního cyklu vývoje softwaru (SDLC). Tato metodika využívá dva modely hrozeb: modely hrozeb aplikací pro vývojové týmy a modely provozních hrozeb pro týmy infrastruktury.
Modely aplikačních hrozeb pro vývojové týmy jsou vytvářeny pomocí diagramů toku procesů (PFD) – vývojového diagramu, který pomáhá popsat obecný tok obchodního procesu a způsob interakce uživatele se systémem. VAST používá PFD místo DFD, aby poskytl hlubší kontextové vhledy a pohled podobný pohledu útočníka. Na druhou stranu modely operačních hrozeb využívají tradiční DFD také prezentované z pohledu útočníka.
Výběr správné metodiky modelování hrozeb
Díky různým metodologiím modelování hrozeb může být výběr té správné pro vaši firmu a prostředí náročný. Ne všechny metodiky modelování hrozeb jsou vytvořeny se stejným přístupem. Některé se zaměřují na modelování hrozeb pro aktiva systému, jiné na útočníky a jiné na modelování hrozeb systému nebo softwaru.
Zatímco všechny metodiky modelování hrozeb mohou identifikovat potenciální hrozby, počet a typ identifikovaných hrozeb se bude výrazně lišit, včetně kvality, konzistence a hodnoty získané z těchto modelů hrozeb. Co se dokonale hodí z hlediska funkce a přístupu k modelování pro jednu organizaci, nemusí vyhovovat jiné. Aby bylo zajištěno, že informace o hrozbách budou použitelné, musí bezpečnostní týmy rozluštit, která metoda je v souladu s jejich konkrétními obchodními cíli a záměry.
Musíte vzít v úvahu různé faktory, jako je systém nebo typ hrozeb, které jsou modelovány, a za jakým účelem, přístup k modelování (zaměřený na majetek, útok nebo software), který nejlépe vyhovuje vašim potřebám, požadovaný výsledek, schopnost škálování, schopnost generovat zprávy a schopnost měřit efektivitu modelování hrozeb, mimo jiné.
Nástroje pro modelování hrozeb
Modelování hrozeb může být složitý a časově náročný proces. Některé nástroje však dokážou proces automatizovat a snížit s tím související čas a náklady. Dobrý nástroj pro modelování hrozeb umožňuje uživatelům vizualizovat, navrhovat, plánovat a předvídat všechny druhy potenciálních hrozeb. Microsoft Visio, Excel a PowerPoint patří mezi nejběžnější nástroje používané pro modelování hrozeb. Mezi další běžně používané komerční a open source nástroje pro modelování hrozeb patří:
1. Microsoft Threat Modeling Tool
Nástroj pro modelování hrozeb společnosti Microsoft byl navržen s ohledem na jiné než bezpečnostní odborníky a je k dispozici zdarma. Nástroj lze zapojit do jakéhokoli systému sledování problémů, díky čemuž je proces modelování hrozeb součástí standardního procesu vývoje. Kromě toho poskytuje jasné pokyny pro vytváření a analýzu modelů hrozeb a umožňuje vývojářům nebo softwarovým architektům:
- Komunikovat o bezpečnostním návrhu jejich systémů.
- Analyzujte tyto návrhy z hlediska potenciálních bezpečnostních problémů pomocí osvědčené metodologie.
- Navrhujte a spravujte zmírnění bezpečnostních problémů.
2. OWASP Threat Dragon
OWASP Threat Dragon je open-source nástroj pro modelování hrozeb používaný k vytváření modelů hrozeb v rámci bezpečného životního cyklu vývoje. Threat Dragon se řídí hodnotami a principy manifest modelování hrozeb .
Klady:
- Zcela open source a transparentní platforma
- Podporuje oblíbené metodiky jako STRIDE
- Má silnou podporu komunity
- Podporuje širokou škálu integrací
Nevýhody:
- Vhodnější pro nepodniková prostředí
Threat Dragon podporuje STRIDE a další metodiky a dokáže zdokumentovat možné hrozby a rozhodnout o jejich zmírnění.
3. ThreatModeler
ThreatModeler je automatizovaný moderní nástroj pro modelování hrozeb, který implementuje metodiku VAST. Tento nástroj je navržen tak, aby se integroval do agilního prostředí pro vývoj softwaru a poskytoval vývojářům a bezpečnostním týmům použitelné výstupy k identifikaci, předvídání a definování hrozeb.
Klady:
- Snadno použitelné modelování hrozeb
- Může přizpůsobit knihovny hrozeb na základě projektu
- Integruje se s oblíbenými nástroji, jako je JIRA nebo Jenkins
Nevýhody:
- Rozhraní může občas působit primitivně
ThreatModeler navíc poskytuje holistický pohled na celý povrch útoku, což podnikům umožňuje minimalizovat jejich celkové riziko.
4. securiCAD Professional
securiCAD Professional by Foreseeti umožňuje bezpečnostním týmům navrhovat virtuální modely stávajících a budoucích IT infrastruktur. Simulace útoků na virtuálním modelu a testování zmírnění poskytují podrobné informace o úspěšných cestách útoku a pravděpodobně řetězcích zabíjení.
Klady:
- Navrženo s ohledem na bezpečnostní týmy
- Poskytuje různé možnosti simulace útoku
- Nabízí jednoduchý, ale výkonný způsob přístupu k různým možnostem zmírnění
Nevýhody:
- Ideální pro střední až velké bezpečnostní týmy
Kromě toho mohou uživatelé virtuálně hodnotit bezpečnostní zmírnění nasazená v securiCAD, aby našli nejúčinnější způsob, jak eliminovat kybernetické hrozby.
5. IriusRisk
Iriusrisk je nástroj pro modelování hrozeb, který provádí analýzu rizik a generuje model hrozeb softwarové aplikace ve fázi návrhu s doporučeními, jak riziko řešit.
Klady:
- Snadno použitelné nástroje pro modelování
- Verze Enterprise obsahuje přístup k API pro velké projekty
- Zahrnuje bezplatnou verzi
Nevýhody:
- Vhodnější pro plánování a modelování hrozeb
Jedná se o nástroj přetahování založený na průvodci, který můžete použít ke generování map hrozeb s informacemi o tom, co hledat.
6. Prvky SD
SD prvky by Security Compass je integrovaná platforma pro hodnocení rizik, bezpečné kódování a modelování hrozeb, která umožňuje automatizaci celého procesu zabezpečení a zároveň využívá vyváženou automatizaci vývoje (BDA). To pomáhá maximalizovat čas a hodnotu.
Klady:
- Zahrnuje nástroj pro hodnocení rizik kombinovaný s pokročilými nástroji pro modelování hrozeb
- Může automatizovat mnoho skenů, testů a hodnocení
- Poskytuje skvělou kombinaci času a hodnoty
- Nejlepší pro větší prostředí
Nevýhody:
- Plné prozkoumání všech možností a funkcí může chvíli trvat
7. Bezpečnost
The Bezpečnostní Threat Modeling Automator je nástroj založený na SaaS podporovaný STRIDE navržený tak, aby umožňoval zabezpečení ve fázi architektury. Jejich přístup je jednoduchý: nahrajte diagram vašeho systému (s jeho anotovanými daty) ve formátu draw.io, Visio nebo Excel a vygeneruje váš model hrozby. Vyvinutý model hrozeb identifikuje prvky, tok dat a hrozby a doporučí zmírnění.
Klady:
- Zaměřuje se především na automatizaci analýzy hrozeb
- Vysoce flexibilní nástroj SaaS
- Dokáže generovat podrobné modely hrozeb na základě síťových diagramů
- Podporuje rámec STRIDE
Nevýhody:
- Vyžaduje slušnou úroveň technických znalostí k provozu