среда, 9 ноября 2011 г.

Практика ИБ \ FAIR - методология анализа рисков (Часть 4)

В этой части рассмотрены следующие вопросы:
  • Разложение риска на составляющие элементы
  • Декомпозиция риска
    • Частота событий, приводящих к потерям
    • Частота событий реализации угрозы
    • Контакт
    • Воздействие
    • Уязвимость
    • Возможности угрозы
    • Сила защитных мер


В этом разделе мы приступаем к определению и разработке классификации факторов, из которых состоит информационный риск, раскладывая его на основные составляющие элементы. Полученная в результате схема даст нам прочную и эффективную основу для анализа рисков и объяснения результатов анализа.

Обратите внимание, что в рамках этого документа мы не будем углубляться в детали по каждому из факторов. Вопросы измерений различных факторов будут рассмотрены в следующих разделах.


Ранее в этом документе было дано определение риска. Риск – это вероятная частота и вероятная величина будущих потерь. Отталкиваясь от этого определения, можно сделать вывод, что первыми двумя очевидными элементами риска являются частота потерь и величина потерь. В FAIR они называются Частота событий, приводящих к потерям (LEF) и Вероятная величина потерь (PLM), соответственно (рис. 1).

Рис. 1

Сначала мы проведем декомпозицию факторов, которые влияют на частоту событий, приводящих к потерям, а затем изучим факторы, влияющие на величину потерь.


Частота событий, приводящих к потерям (LEF – Loss Event Frequency) – это вероятная частота воздействий источника угрозы на актив, причиняющих вред активу и происходящих в пределах определенного периода времени.

Чтобы произошло событие, приводящее к потерям, источник угрозы должен воздействовать на актив, и это воздействие должно приводить к потерям. Здесь мы сразу видим еще два фактора: Частота событий реализации угрозы (TEF) и Уязвимость (рис. 2).


Рис. 2

Обратите внимание на ограничение временных рамок. Это имеет ключевое значение для понимания различия между возможностью и вероятностью, поскольку при достаточном количестве времени возможным становится почти любое событие. Ограничение периода времени заставляет нас рассматривать вопрос именно с точки зрения вероятности.


Частота событий реализации угрозы (TEF – Threat Event Frequency) – вероятная частота воздействий источника угрозы на актив в пределах определенного периода времени.

Вы наверняка заметили сходство между этим определением и определением LEF. Разница состоит только в том, что определение Частоты событий, приводящих к потерям, включает в себя только успешные действия источника угрозы. Иными словами, источник угрозы может попытаться воздействовать на актив, но потерпеть при этом неудачу. Простым примером является хакер, который безуспешно атаковал веб-сервер. Такая атака будет считаться событием реализации угрозы, но не событием, приводящим к потерям, т.к. атака не нанесла ущерба веб-серверу.

Это определение также дает нам два фактора, определяющие Частоту событий реализации угрозы: Контакт и Воздействие. Обратите внимание, что Воздействие невозможно без Контакта. На рисунке 3 мы добавляем эти два фактора на нашу схему.


Рис. 3


Контакт (Contact) – вероятная частота вступления источника угрозы в контакт с активом в пределах определенного периода времени. Контакт может быть физическим или «логическим» (например, через сеть). Существует три вида контактов: случайный, регулярный и преднамеренный.
  • Случайный (random) – источник угрозы случайно «находит» актив в процессе иной, не связанной с этим активом, деятельности
  • Регулярный (regular) – контакт происходит в связи с регулярными действиями источника угрозы. Например, если ежедневно в 19:00 в кабинете убирается уборщица, оставленный в этот период времени ключ в замке сейфа с деньгами создает условия для контакта
  • Преднамеренный (intentional) – источник угрозы специально ищет конкретную цель (актив)
Каждый из этих видов контакта обусловлен различными факторами. Поскольку данный документ является только введением, мы не будем глубоко вдаваться в подробности. Но для лучшего понимания рассмотрим следующую аналогию. Представьте себе емкость с жидкостью, содержащую взвешенные частицы двух типов: частицы «угроза» и частицы «актив». Вероятность контакта между отдельными частицами различных типов обусловлена множеством факторов, в том числе:
  • Размер (площадь поверхности) частиц
  • Количество частиц
  • Объем емкости
  • Насколько активны частицы
  • Вязкость жидкости
  • Действует ли какая-либо сила притяжения между частицами
  • И т.д.

Воздействие (Action) – вероятность того, что источник угрозы будет воздействовать на актив, когда произойдет контакт.

Как только происходит контакт между источником угрозы и активом, источник угрозы может начать оказывать воздействие на актив, а может и не начать. Для некоторых типов источников угроз воздействие происходит всегда. Например, если торнадо вступает в контакт с домом, воздействие неминуемо. Неоднозначное возникновение воздействия может быть связано только с «думающим» источником угрозы, например, человеком, животным или источником угрозы, имеющим искусственный интеллект, в частности – вредоносная программа, являющаяся в какой-то степени продолжением своего человеческого создателя.

Вероятность того, что преднамеренные злоумышленные действия все же произойдут, определяется тремя основными факторами:
  • Ценность актива – с точки зрения источника угрозы
  • Уровень усилий – ожидания источника угрозы в отношении того, сколько усилий потребуется ему для получения контроля над активом (или нанесения вреда)
  • Риск – вероятность негативных последствий для источника угрозы, т.е. вероятность попасться и/или столкнуться с неприемлемыми последствиями

Рассмотрев высокоуровневые факторы, которые ведут к реализации угрозы, теперь мы перейдем к факторам, которые обеспечивают способность актива противостоять действиям источника угрозы.


Уязвимость (vulnerability) определяется как вероятность того, что актив будет неспособен противостоять действиям источника угрозы.

Как уже говорилось ранее, уязвимость возникает в том случае, если сила, прикладываемая источником угрозы, превышает способность объекта (актива) противостоять этой силе. Это в свою очередь дает нам два основных фактора, которые ведут к возникновению уязвимости: Возможности угрозы и Сила защитных мер. Добавляем эти факторы к нашей схеме (рис. 4).

Рис. 4

Уязвимость всегда зависит от типа применяемой силы. Иными словами, прочность веревки на разрыв имеет значение только в том случае, если источником угрозы является некий груз, висящий на веревке. Если источником угрозы является огонь, химическая коррозия и т.п., прочность веревки на разрыв не имеет никакого значения. Аналогично, антивирусная программа не обеспечит защиты от внутреннего сотрудника, собравшегося выполнить мошенническую операцию. Поэтому оценку уязвимостей необходимо проводить в контексте конкретных типов угроз и конкретных типов защитных мер.

И еще один момент в отношении уязвимости. Нет ничего, что могло бы быть уязвимо более чем на 100% к какой-либо комбинации источника угрозы и вектора атаки. Конечно, возможно существование уязвимости, которая может стать причиной нанесения вреда более чем от одного источника угрозы и более чем через один вектор атаки, однако каждое такое сочетание представляет собой различные потенциальные события реализации угрозы. Например, если вы гуляете ночью по улице в самой опасной части города, вы уязвимы к нескольким различным возможным событиям реализации угрозы, например, вы можете попасть под колеса автомобиля, стать жертвой ограбления и т.п. Но при этом ваша уязвимость к любой из этих угроз не может превышать 100%, хотя совокупный риск от нескольких сценариев угроз, очевидно, будет выше.


Возможности угрозы (threat capability) – вероятный уровень силы, который источник угрозы способен применить против актива.

Не все источники угрозы равны. На самом деле, источники угрозы даже в пределах одного сообщества угроз обладают неравными возможностями. Это говорит нам, что вероятность того, что против актива будет действовать источник угрозы, обладающий наибольшими возможностями, составляет менее 100%. В реальности, вероятность столкнуться с источником угрозы, имеющим максимальные возможности, может быть небольшой. Это зависит от анализируемого сообщества угроз и других условий сценария.

Как специалисты по ИБ, мы не часто рассматриваем возможности источника угрозы с точки зрения вероятности. Скорее мы склонны рассматривать только худший случай. Но если мы внимательно посмотрим на этот вопрос, нам станет ясно, что рассматривать только худший случай, это то же самое, что ориентироваться только на возможности, а не вероятности.

Еще одним важным аспектом является тот факт, что некоторые источники угрозы могут быть очень опытны в применении силы одного типа, но абсолютно некомпетентны в применении других. Например, сетевой инженер, вероятно, будет обладать значительными способностями в части проведения технических атак, но вряд ли он будет способен на реализацию сложных мошеннических схем, связанных с бухгалтерским учетом.


Сила защитных мер (control strength) – сила защитных мер по сравнению с базовой мерой (baseline measure) силы. 

Не очень понятно? Давайте рассмотрим пример. Предел прочности веревки говорит о том, какое усилие способна выдержать веревка, т.е. какой силе она способна противостоять. Базовая мера (CS) - предел прочности веревки - в данном случае измеряется в килограммах на квадратный миллиметр и определяется материалом и конструкцией веревки. Значение CS не меняется, оно постоянно как для новой веревки, так и для бывшей в использовании. Точно также, значение CS не изменится ни в случае, если на веревке, выдерживающей максимальный вес в 500 килограмм, висит 10 килограммовый груз,  ни в случае, если на той же веревке висит груз весом в 2 тонны. Значение CS всегда остается постоянным.

К сожалению, в области информационных рисков нет базовой меры силы, которая могла бы быть определена аналогичным образом. Позднее, мы более детально мы обсудим вопрос, как нам быть в этой ситуации. Пока же ограничимся еще одним простым примером. Рассмотрим стойкость (силу) пароля. Мы можем оценить, что пароль, состоящий из восьми символов, включающий в себя буквы в верхнем и нижнем регистрах, цифры и специальные символы, сможет успешно противостоять попыткам взлома определенного процента источников угроз от полного сообщества источников угроз. Сила защитной меры «пароль» (CS) может быть представлена в виде этого процента (вспомним, что CS связан с определенным типом силы – в данном случае взлома). Уязвимость определяется сравнением CS с конкретным анализируемым сообществом угроз. Например, CS пароля может быть оценена равной 80% (т.е. 80% источников угроз от полного сообщества источников угроз не могут взломать такой пароль, а оставшиеся 20% - могут). Однако рассматриваемое сообщество угроз в рамках анализируемого сценария может быть шире - например, 90% от полного сообщества источников угроз. Разница между этими значениями (10%) и представляет собой уязвимость.

Очевидно, что реальность намного сложнее рассмотренного примера, но пока мы постараемся оставаться в рамках относительно простых вещей.

<<< Предыдущий раздел  Содержание • Следующий раздел >>>

Комментариев нет: