Использование деревьев атак для обнаружения угроз

Если вы хотите выявить новые угрозы или смоделировать существу- ющие для дальнейшего анализа, можете использовать дерево атак (attack tree). Это визуальная карта, которая начинается с определе- ния общей цели атаки, а затем становится более конкретной по мере расширения дерева.Например,на рис.2.5 показано дерево атак,цель которого – открытие доступа к службе доставки препаратов.

Рис.2.5.Дерево атак с целью вмешательства,направленных на службу доставки лекарств

Моделирование угроз  57

Оценка угроз с помощью схемы классификации

DREAD

Угроза – это не всегда реальная опасность. Значимость угрозы мож- но оценить по ее воздействию. А истинное влияние обнаруженных нами угроз не получится определить,пока мы не рассмотрим резуль- таты оценки уязвимости. Итак, в какой-то момент вам понадобится просчитать риски, связанные с каждой угрозой. Мы покажем, как это сделатьс помощью DREAD,системы оценки рисков.DREAD–это абб­ ревиатура по названиям оцениваемых показателей:

zzDamage (ущерб) – насколько опасна реализация этой угрозы;

zzReproducibility (воспроизводимость) – насколько легко воспро- извести эксплойт;

zzExploitability (эксплуатация)–наскольколегко воспользоваться угрозой;

zzAffected users (затронутые пользователи) – скольким пользова- телям повредит атака;

zzDiscoverability (обнаруживаемость) – насколько легко иденти- фицировать угрозу.

Назначим, что каждый из этих показателей оценивается по шкале от 0 до 10, и на этой основе мы производим общую оценку рисков.

В качестве примера давайте воспользуемся DREAD для оценки угрозы, вызванной задействованным в RUI слабым методом аутен- тификации с помощью четырехзначного пин-кода. Во-первых, если злоумышленники могут угадать чей-то пин-код, они смогут полу- читьдоступ к данным актуального пользователя.Поскольку атака за- тронет только одного пациента, показатели «Ущерб» и «Затронутые пользователи» мы оценим в половину от максимума, т. е. в пять бал- лов.Затем,поскольку даже неквалифицированный противник может легко идентифицировать, использовать и воспроизвести эту угрозу,

1Доставкой препарата медики называют введение препарата в организм тем или иным способом.– Прим.ред.

58  Глава 2

Таблица 2.1.Матрица оценки DREAD

Аналогичным образом вы можете классифицировать остальные выявленные угрозы и ранжировать их в порядке значимости.

Другие типы моделирования угроз,структуры и инструменты

Досихпорвэтойглавемыпредставляливашемувниманиюоднувоз- можную структуру для моделирования угроз: программно-ориенти- рованный подход, нацеленный на уязвимости каждого компонента приложения. Но есть и другие возможные схемы, которым вы могли бы следовать, например подходы, ориентированные на ресурсы и на злоумышленника. Вы можете использовать один из этих альтерна- тивных методов в зависимости от конкретных потребностей.

В модели угроз, ориентированной на ресурсы, вы сначала должны определить важную информацию системы. Ресурсы для инфузион- ной помпы могут включать данные пациентов, учетные данные для аутентификации сервера управления, настройки конфигурации ин- фузионной помпы и версии программного обеспечения. Затем вы проанализируете эти ресурсы на основе их атрибутов безопасности­ : другими словами, что нужно каждому ресурсу для сохранения кон- фиденциальности, целостности и доступности. Обратите внимание, что вы, вероятно, не создадите полный список ресурсов, потому что то,что считается ценным,зависитотточки зрения каждого человека.

Подход, ориентированный на злоумышленника, направлен на выяв-

ление потенциальных злоумышленников.После этого вы должны ис- пользоватьих атрибутыдля разработки базового профиля угрозыдля каждого ресурса.У этого подхода есть некоторые минусы: он требует от вас сбора обширной информации о современных субъектах угроз, ихнедавнейактивностиииххарактеристиках.Крометого,возможно, чтовасуведутвсторонувашисубъективныепредставленияотом,кто такие злоумышленники и чего они хотят. Во избежание заблуждений

Моделирование угроз  59