Журнал "Information Security/ Информационная безопасность" #4, 2023

дыдущих этапах (неприменимые к объ- ектам воздействия и др.), а также те, которые требуют условий, не соответ- ствующих процедурам эксплуатации ОКИИ (например, отсутствие доступа к сети "Интернет"). Из общего перечня угроз порядка 40–50% может быть исключено из рассмотрения к текущему моменту. Оценка сценариев реализации угроз Этот этап предусматривает уста- новление последовательности воз- можных тактик и соответствующих им техник, которые могут быть применены нарушителем с соответствующим уровнем возможностей и интерфей- сов. Данный шаг является самым мас- штабным. Возможное количество ком- бинаций достаточно обширно: мето- дика описывает 10 тактик и 145 соот- ветствующих им техник. Если идти по формальному пути и пытаться перебрать все комбинации, то математическое решение задачи крайне трудоемко за обозримое время. Поскольку формирование сценариев осуществляется экспертами и методика не ограничивает их количество, для получения практически ценного резуль- тата за приемлемое время можно пойти по пути рассмотрения сценариев, исхо- дя из имеющейся информации внутри организации и в экспертном сообще- стве – результатов ранее проведенных аудитов, пентестов, общедоступных отчетов отраслевых компаний и экс- пертных организаций по инцидентам и деятельности хакерских группировок. На основании этих материалов можно получить большое количество инфор- мации о реальных инцидентах, исполь- зуемых хакерами техниках реализации атак и наложить это на отдельные угрозы. Где информации будет недо- статочно, сценарии могут быть допол- нены экспертно. Другими словами, задачу перебора всех теоретически возможных комбинаций целесообразно заменить анализом тех, которые могут быть реализованы на практике, а в дальнейшем, при необходимости, дополнять их с учетом изменяющихся обстоятельств. В контексте данного этапа важно отме- тить, что описанные методикой техники на практике не учитывают многие реаль- ные шаги, которые встречаются в атаках. Методика предусматривает возможность дополнять техники собственными. Рас- пространенной практикой является использование базы данных MITRE ATT&CK и других зарубежных каталогов. В общем доступе можно найти переводы баз MITRE ATT&CK, а также мапинги техник методики с ними. Несмотря на то что это неофициальные редакции пере- водов, их вполне можно использовать в работе, что гораздо проще, чем гото- вить с нуля. Помимо вопросов, возникающих на отдельных этапах, целесообразно учи- тывать некоторые общие подходы, поз- воляющие оптимизировать процесс ана- лиза: l Приказ ФСТЭК России № 239 допус- кает разработку модели угроз для нескольких значимых ОКИИ. Если ОКИИ схожи по архитектуре и применяемым технологиям, есть смысл группировать результаты моделирования в едином документе, что позволит оптимизировать работу по формированию и дальнейше- му сопровождению. l Методика допускает ведение моделей угроз в электронном виде, что подтвер- ждает ФСТЭК России в своих докладах. Объем документов достаточно большой, они должны регулярно актуализировать- ся в ходе эксплуатации ОКИИ. Ведение документов в электронном виде сделает процесс более гибким, а бумажные вер- сии можно формировать по необходи- мости. l Методика предусматривает анализ множества комбинаций различных параметров, что является крайне тру- доемкой задачей без автоматизации. ФСТЭК России разрабатывает собст- венное решение для автоматизации, текущая версия которого доступна в режиме опытной эксплуатации на сайте службы, но не соответствует актуальной версии банка данных угроз, что ограничивает возможность его приме- нения. Для автоматизации анализа лучше рассмотреть возможность при- менения решений класса Security GRC, а также отдельных зарубежных про- дуктов, позволяющих выполнить часть шагов анализа, в частности формиро- вание сценариев (например, MITRE ATT&CK Navigator). l Нередко моделирование угроз прово- дится для всех ОКИИ, что обусловлено в том числе задачей применения резуль- татов для выбора допол- нительных мер безопас- ности. В то же время по требованиям законода- тельства моделирование необходимо только для значимых ОКИИ (приказы ФСТЭК Рос- сии № 235 и № 239). Если ОКИИ много и нет эффективных средств автомати- зации, то необходимо проводить моде- лирование полноценно по всем шагам только для значимых ОКИИ, а для объ- ектов без категории – в упрощенной форме. Это позволит оптимизировать работы по анализу, не нарушая уста- новленных требований. Методика имеет свои достоинства и недостатки. Основой для моделиро- вания угроз являются негативные последствия, определенные профиль- ными подразделениями, что в некото- рой степени упрощает взаимодействие с бизнесом при обосновании мер без- опасности. Использование сценарного подхода позволяет сократить отстава- ние между защищающейся и атакую- щей сторонами, ведь, как известно, хакеры всегда на шаг впереди. В то же время сценарный подход требует высо- кого объема трудозатрат и хорошего знания экспертами способов проведе- ния компьютерных атак (техник, тактик). Отчасти задачу может облегчить авто- матизация процесса, но, как правило, только в части построения возможных сценариев. В целом законченных альтернатив сценарному подходу на текущий день нет. Именно сценарный подход позво- ляет построить эффективную систему безопасности, выбирать и настраивать средства защиты так, чтобы обеспечить мониторинг и предотвращение реали- зации атак на отдельных этапах. Разви- тие и правильное применение подхода будет способствовать повышению защи- щенности систем и сетей в условиях постоянно изменяющихся угроз, техно- логий и существенного роста компью- терных атак, который мы наблюдаем последние годы. l • 5 КИИ www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ АМТ ГРУП см. стр. 70 NM Реклама