На рынке коммерческих сервисов часто происходят кризисные ситуации, которые приводят к существенным потерям для бизнеса. В 2024 году были совершены атаки на сервисы РЖД и авиакомпаний, на УЦ ФНС и сервисы компании СДЭК. В результате произошла утечка данных, а обслуживание пользователей сервисов было парализовано на неделю. Помимо этого, на крупные сервисы производится бесчисленное количество DDoS-атак.
Важно понимать, что для бизнеса практически любой сбой в системе безопасности сервисов и данных имеет самый высокий приоритет, так как он может привести к значительным репутационным и финансовым последствиям.
В этом уроке мы поговорим о классификации угроз, чтобы дальше вам было легче приоритизировать выявленные угрозы и подготовить проект архитектуры безопасности системы.
Виды угроз
✏️ Угроза в сфере информационной безопасности — это возможное негативное воздействие на информационную систему, её отдельные части, процессы, которые в системе выполняются, а также данные, которые обрабатываются и хранятся в системе.
Вы можете встретить употребление терминов «угроза» и «уязвимость» как взаимозаменяемые. Но в этом курсе мы придерживаемся концепции разделения этих терминов и под уязвимостями понимаем дефекты в самой системе, которыми может воспользоваться злоумышленник.
Результатом реализации угрозы является ущерб, наносимый владельцу информационной системы. Главные виды ущерба — финансовые и репутационные потери компании.
Угрозы по месту
Внутренние — это уже заложенные уязвимости в программных и аппаратных компонентах, которые используются в информационной системе. Существуют без участия человека.
Пример: Вредоносный код, который заранее или изнутри встраивается в информационную систему (например, сотрудниками компании).
Внешние — наиболее распространённый вид угроз, это атаки, которые выполняются из внешней относительно атакуемой информационной системы среды. Зачастую такие атаки происходят через каналы связи.
Примеры: атаки хакеров и попытки взлома, фишинг или социальная инженерия.
Угрозы по видимости
Активные — такой вид угрозы предполагает явное внедрение вредоносного кода, изменение конфигурации системы, повреждение данных. Реализация угрозы явно видима, её реализуют открыто и активно, поэтому и обнаруживается она достаточно быстро.
Пример: Повреждение данных или заражение вредоносным ПО извне, что достаточно быстро замечается в операционных процессах информационной системы.
Пассивные — в этом виде угроз нет явного внедрения злоумышленником извне. А главная опасность заключается в том, что отследить его по журналам или аудиту сложно или даже невозможно, так как видимых изменений в информационной системе не происходит.
Пример: Скрытый мониторинг трафика — это вариант утечки данных или поиска интересующей информации в потоке трафика через заранее установленные средства.
Угрозы по доступу
С несанкционированным доступом. Доступ к информационной системе выполняется в обход штатных средств аутентификации, без разрешения или авторизации. Способов реализации данного вида угрозы много, но результат один — атакующий пользователь получает доступ к информационной системе с полномочиями, достаточными для нанесения вреда.
Пример: Использование чужих учётных данных для получения доступа к данным системы. Основное средство борьбы — выявление подозрительной активности и дальнейшая автоматическая блокировка учётной записи. Это можно реализовать с помощью мониторинга или готовых решений.
С утечкой или нарушением целостности данных. Данные компрометируются или пропадают в результате неправомерных или ошибочных действий с доступом сотрудника компании. Когда сотрудник преднамеренно или нет нарушает правила ИБ и вызывает утечку или повреждение данных либо всей системы.
Пример: Сотрудник компании случайно удаляет важные данные, что приводит к их потере и нарушению работы системы.
Угрозы по цели
Угрозы данным возникают в результате несанкционированного доступа. Целью является кража данных, нарушение их целостности, включая удаление.
Угрозы компонентам, информационным сервисам. В этом случае цель — программные компоненты информационной системы, попытки внедрения вредоносного ПО или изменения программных компонентов системы.
Угрозы аппаратному обеспечению — физическое повреждение оборудования, кража или неправомерный доступ к аппаратным компонентам.
Угрозы обеспечивающей инфраструктуре — атаки на сетевую инфраструктуру, серверы, кластеры оркестрации сервисов (Kubernetes), базы данных и так далее.
Угрозы по объективности
Объективные — эти угрозы связаны с реальными и конкретными факторами, они не зависят от действий пользователя или случайных событий, их можно предсказать или учесть заранее:
активируемые угрозы — вредоносное ПО и бэкдоры, программные «закладки» и закладки аппаратуры;
особенности объекта — его расположение, наличие контролируемой зоны, каналов обмена информацией (например, выход ЦОДа из строя при размещении инфраструктуры в облаке).
Субъективные — угрозы, связанные с человеческим фактором, неправильной эксплуатацией или ошибками в процессе работы с системой:
ошибки при установке ПО и в процессе эксплуатации: например, процесс установки ПО не был завершён, порт остался открытым, это создаёт угрозу безопасности;
повреждение данных или ненадлежащая работа с ними — неправильная работа с личными данными, нарушение режима защищённости, преобразование или уничтожение данных (например, хранение личных данных в открытой базе).
Случайные — эти угрозы не зависят от человеческого фактора и могут быть вызваны случайными сбоями или неисправностями в работе системы или инфраструктуры:
сбои и отказы в работе корпоративной инфраструктуры;
неисправность, повреждения сетевых коммуникаций или систем киберзащиты.
💡 Рекомендуем оценивать безопасность IT-ландшафта (информационных систем предприятия) по всем перечисленным классификациям. Каждая из них представляет собой отдельный аспект потенциальных рисков, которые важно учитывать для разработки эффективной стратегии кибербезопасности.
Сохраните себе подсказку с классификациями видов угроз, чтобы лучше усвоить материал.
Для упрощения оценки угроз, применимых к конкретной информационной системе, удобно пользоваться описаниями векторов.
Векторы угроз
Пути или способы, с помощью которых злоумышленники могут проникнуть в систему, нанести ей вред или извлечь выгоду, назвали векторами или шаблонами атак. Они могут включать использование уязвимостей в программном обеспечении, социальной инженерии, фишинга и другие техники.
✏️ Векторы атак описывают, как именно возможна реализация угрозы, и помогают компаниям систематизировать знания об угрозах, оценивать угрозы, выявлять уязвимости и строить эффективные системы защиты от киберугроз.
Компании создают и пополняют список наиболее популярных шаблонов атак и базы данных на основе анализа глобальных инцидентов безопасности. В них содержатся сведения о том, какие угрозы существуют, какие тактики и техники использует злоумышленник и как можно защититься:
ATT&CK (MITRE) — фреймворк для описания тактик и техник атакующих на разных стадиях кибератак.
OWASP Top Ten — список десяти наиболее распространённых уязвимостей в веб-приложениях.
CAPEC — база данных с описанием типичных шаблонов атак, таких как DDoS и инъекции кода.
STIX — стандарт обмена информацией об угрозах для координации между организациями.
CWE (Common Weakness Enumeration) — список известных уязвимостей в программном обеспечении.
NVD (National Vulnerability Database) — национальная база уязвимостей с классификацией и описаниями.
Из представленных шаблонов атак вы можете выбрать, какие применимы конкретно к вашей информационной системе, чтобы оценить её безопасность.
Разработчикам рекомендовано использовать OWASP Top Ten, так как в нём доступны шаблоны внедрения в код.
Специалистам, которые занимаются разработкой архитектуры сервиса, больше подойдёт ATT&CK. Этот шаблон включает больше типовых блоков, которые требуют внимания при проектировании.
Что почитать про шаблоны атак
MITRE ATT&CK — база знаний тактик, техник и процедур кибератак, полезная для анализа и защиты корпоративных систем.
OWASP Top Ten — топ-10 уязвимостей веб-приложений для безопасной разработки.
Нарушение целостности данных, их компрометация или утечка могут привести не только к финансовым и репутационным последствиям, но и к сбоям в бизнес-процессах, юридическим санкциям и затратам на восстановление инфраструктуры. И при этом данные — довольно уязвимый актив, который часто становится целью злоумышленников.
Чтобы правильно выстраивать линию защиты, компании изучают реализацию угроз и анализируют возможные сценарии атак и уязвимости в своих системах.
SQL-инъекции — одна из самых распространённых и самых критичных уязвимостей. С её помощью можно украсть пользовательские данные или вовсе их уничтожить.
XSS-уязвимости, илиXSS (Cross-Site Scripting), — ошибка валидации пользовательских данных, которая позволяет передать JavaScript-код на исполнение в браузер пользователя. Уязвимости типа XSS схожи с SQL-инъекциями. Но, в отличие от SQL-инъекций, внедряемый код исполняется в браузере пользователя. Это идеально подходит, например, мошенникам, отправляющим фишинговые ссылки.
DDoS-атаки (Distributed Denial of Service — распределённый отказ в обслуживании) — это атаки, когда много распределённых устройств (например, компьютеров) делают веб-сайт недоступным.
Ботнет — сеть заражённых компьютеров, используемых для выполнения вредоносных действий без ведома их владельцев.
Advanced Persistent Threat, или APT, — продолжительная подготовленная целенаправленная кибератака. В отличие от DDoS, APT — комплексная киберугроза, которая сочетает различные способы атак на корпоративную инфраструктуру.
Эксплойты — уязвимости в ПО и аппаратной части, которые могут использовать для взлома. К эксплойтам относятся программные и аппаратные бэкдоры.
Перехват паролей — процесс получения доступа к чужому аккаунту путём кражи учётных данных.
Вирусы — вредоносные программы, которые проникают в компьютер или сеть и наносят различный вред.
Сергей
Что делать?
Оценка угроз
Чтобы определить, какие угрозы могут затронуть ключевые компоненты системы, насколько вероятно их возникновение и какое влияние они могут оказать на бизнес, важно проводить оценку угроз. Она состоит из нескольких шагов, каждый из которых играет важную роль в построении стратегии защиты:
1. Выявление ресурсов и компонентов информационной системы
При оценке вероятных угроз безопасности в первую очередь нужно определить активы IT-ландшафта — информационные ресурсы и компоненты информационной системы, которые имеют ценность и могут подвергаться рискам. Это данные, оборудование, сотрудники или даже бизнес-процессы — реализация угрозы безопасности для них может привести к негативным последствиям.
Возможные типы объектов воздействия:
сервер;
прикладное ПО (все сервисы/микросервисы);
сетевое оборудование;
средства защиты информации;
средства хранения данных (базы данных, брокеры, кеши и так далее);
обеспечивающие системы (коробочные компоненты, готовые программно-аппаратные модели и прочее).
Данный список может расширяться в зависимости от специфики конкретного бизнеса.
2. Соотнесение объектов воздействия с вероятными векторами угроз
После определения объектов воздействия их следует соотнести с вероятными векторами угроз. Это соответствие лучше представлять в табличной форме или с помощью MindMap, где объекты и угрозы будут связаны в логической последовательности.
Представьте, что у вас есть интернет-магазин с ботом-помощником, который обрабатывает заказы и собирает данные о покупателях. Чтобы составить MindMap первым делом вам нужно определить объекты воздействия:
Уязвимости в сервисах идентификации: магазин использует внешние сервисы для авторизации пользователей.
Уязвимости в базах данных: содержит информацию о клиентах, их заказах и предпочтениях.
Уязвимости в облачном оборудовании: магазин работает на облачной инфраструктуре для обработки и хранения данных.
Затем вы должны выявить вероятные реализации угроз, то есть векторы угроз:
Для уязвимостей в сервисах идентификации: возможна атака с целью получения несанкционированного доступа к учетным записям клиентов.
Для уязвимостей в базе данных: потенциальная утечка или нарушение целостности данных.
Для уязвимостей в облачном оборудовании: атаки на инфраструктуру (например, DDoS-атака), которые могут привести к сбоям в работе магазина.
Все перечисленные выше угрозы относятся к безопасности системы, поскольку они нацелены на получение доступа к критическим компонентам магазина. Дальше определяете тип угроз, которые вы выявили, по месту:
Внешние угрозы: уязвимости в базе данных и в сервисах идентификации.
Внутренние угрозы: уязвимости в облачном оборудовании.
Построенная диаграмма или MindMap поможет визуализировать возможные уязвимости и сформировать план мер по обеспечению безопасности системы.
3. Оценка вероятности угрозы
После оценки видов угроз и связывания их с объектами воздействия хорошо поставить себя на место источника угрозы и оценить, возможно ли фактически реализовать данную угрозу. Для этого нужно определить сценарий, который может реализовать злоумышленник. Например, кража данных или выполнение финансовых транзакций по чужому лицевому счёту. Представьте, сможет ли злоумышленник списать средства с лицевого счёта путём получения доступа к системе с правами технологической учётной записи от сервиса платежей.
4. Анализ влияния угрозы и принятие решения
После выявления конкретного сценария необходимо провести анализ влияния данного сценария на архитектуру информационных систем. В результате готовится документ, в котором отражены:
категория угрозы, источники и условия её возникновения;
факторы в текущей архитектуре, которые приводят к возможности реализации угрозы;
варианты изменений в архитектуре, которые позволят устранить или избежать выявленной угрозы.
В качестве документа, в котором отражается решение, рекомендуется ADR — Architecture Decision Records. В нём фиксируются ключевые архитектурные решения, принятые в процессе разработки ПО, какие были рассмотрены альтернативы, обоснование принятого решения и его возможные последствия. Основная цель ADR — обеспечить прозрачность и отслеживаемость архитектурных решений, чтобы все участники проекта могли понимать логику, стоящую за важными выборами в архитектуре системы.
Более подробно вы познакомитесь с этим инструментом далее в курсе, а сейчас взгляните, как может выглядеть подобный документ.
ADR ID: ADR.24.10.001
Title: Обеспечение безопасности данных для онлайн-сервисов PropDevelopment
Date: 15.10.2024
Status: Принято к реализации
Контекст
Компания PropDevelopment готовится к комплексному аудиту информационной безопасности. В ходе анализа были выявлены угрозы, такие как отсутствие контроля внутренних потоков данных между системами, незащищённые API для партнеров, а также риски, связанные с интенсивным накоплением и обработкой данных.
Компания стремится разработать единый план безопасности, учитывающий конфиденциальность, целостность и доступность данных.
Решение
Внедрить централизованный API Gateway для контроля доступа к внутренним и внешним API, мониторинга и аудита передаваемых данных.
Разработать и внедрить единую политику безопасности для всех партнерских API, ограничив доступ к определённым категориям данных.
Классифицировать данные и внедрить ролевую модель доступа для ограничения прав пользователей и систем на основе категории данных.
Обоснование
API Gateway обеспечит централизованный контроль и мониторинг доступа, предотвращая несанкционированный доступ к данным.
Политики безопасности для партнеров ограничат и регламентируют их доступ к данным и таким образом повысят защиту от внешних угроз.
Классификация данных и ролевая модель доступа помогут минимизировать риски утечки данных, соблюдая принцип минимальных привилегий.
Последствия
Потребуется разработка и настройка API Gateway.
Необходим анализ текущих договоров и интеграций для внедрения политики безопасности API партнеров.
Классификация данных и внедрение ролевого доступа потребуют пересмотра процессов обработки данных.
Статус
Принято к реализации. Планируется поэтапная реализация с последующим мониторингом и проверкой эффективности мер.
Итоги
Угроза в сфере информационной безопасности — потенциальное событие или действие, которое может нанести вред информационным системам, данным или IT-инфраструктуре компании. Такие угрозы способны нарушить конфиденциальность или целостность информации, что способно привести к финансовым потерям, репутационным рискам и сбоям в работе бизнес-процессов.
Угрозы классифицируются по различным критериям: в зависимости от места возникновения (внутренние и внешние), по видимости угрозы (активные и пассивные), в зависимости от доступа (с несанкционированным доступом и с утечкой данных), по объективности (угрозы могут быть вызваны как внешними факторами, так и человеческими ошибками). Для правильной оценки безопасности IT-ландшафта стоит учитывать угрозы по всем перечисленным классификациям.
Для понимания того, как может быть реализована атака, и более эффективного планирования защиты создаются векторы угроз — способы и пути, через которые злоумышленники могут осуществить атаку на систему. Знание векторов помогает организациям прогнозировать возможные действия атакующих и разрабатывать стратегии для предотвращения угроз.
Процесс оценки угроз включает четыре ключевых шага. Сначала необходимо выявить компоненты IT-инфраструктуры, которые могут подвергаться атаке. Далее эти компоненты соотносятся с вероятными угрозами, что помогает понять, какие именно риски связаны с каждым из них. Затем оценивается вероятность реализации каждой угрозы на основе условий и частоты возникновения. На последнем этапе проводится анализ возможного влияния угрозы на систему и принимаются решения о необходимых мерах защиты для минимизации рисков.