Fenyegetési modell

A számítógépes biztonság területén a fenyegetésmodell egy olyan folyamat, amely révén a lehetséges fenyegetéseket , például a strukturális sebezhetőségeket azonosítani, felsorolni és fontossági sorrendbe állítani - a hipotetikus támadó szempontjából. Vagyis ez a potenciális fenyegetések azonosításának, számlálásának és rangsorolásának folyamata megterheli a védőt és eszközeit (adatok, rendszerek stb.).

Elméletileg a legtöbb ember beépít valamilyen fenyegetési modellt a mindennapjaiba, és nem veszi észre. A felhasználók fenyegetésmodellezéssel vizsgálják meg, mi romolhat el reggel a munkavégzés során, hogy megelőző intézkedéseket hozzanak bizonyos balesetek elkerülése érdekében. A gyermekek fenyegetésmodellezéssel foglalkoznak, amikor meghatározzák a cél elérésének legjobb módját, miközben elkerülik a játszótéren elkövetett zaklatásokat. Formálisabban a fenyegetésmodellezést alkalmazták a katonai védelem előkészítésének előtérbe helyezésére az ókortól kezdve.

Ezenkívül a fenyegetési modell mindig eseti és soha nem végleges, paraméterei folyamatosan fejlődnek, akár a védők eszközeinek kitettsége és kiszolgáltatottsága, akár potenciális ellenfeleik jellege és erőforrásai tekintetében.

A fenyegetésmodellezés ötlete csatlakozik a kockázatkezelés elvéhez .

A számítógépes fenyegetés modellezésének alakulása

Röviddel a megosztott számítástechnika kezdete után, az 1960-as évek elején, az emberek a biztonsági rés kihasználásának módját keresték személyes haszonszerzés céljából. Ez arra késztette a mérnököket és az informatikusokat, hogy gyorsan kidolgozzák a számítógépes rendszereket fenyegető veszélyek modellezésének koncepcióit.

Az első fenyegetésmodellezési módszerek az építészeti modellek koncepcióján alapulnak, amelyet Christopher Alexander mutatott be először 1977-ben. 1988-ban Robert Banard sikeresen kifejlesztette és alkalmazta az első profilt egy számítógépes rendszer támadójára.

1994-ben Edward Amoroso „A számítástechnikai biztonság alapjai” című könyvében előterjesztette a fenyegetés fa fogalmát. A fenyegetésfa koncepciója döntési fa diagramokon alapult. A fenyegetõ fákat grafikusan ábrázolják, mint potenciális veszélyt a kihasználható számítógépes rendszerre.

Az NSA és a DARPA egymástól függetlenül hasonló munkát végeztek a számítógépes rendszerek elleni konkrét támadások végrehajtásának strukturált grafikus ábrázolásán. A végső ábrázolást „támadási fáknak” hívták. 1998-ban Bruce Schneier a támadási fák felhasználásával elemezte a kiberkockázatokat „A biztonságos rendszerek mérnöki módszertanának felé” című írásában. Ez a dokumentum döntőnek bizonyult a számítógépes rendszerek fenyegetésmodellezésének fejlődésében. Schneier elemzésében a támadó célja „gyökércsomópontként” jelenik meg, a cél elérésének lehetséges eszközeit „levélcsomópontként” ábrázolják. A fenyegetésfa ilyen módon történő felhasználása lehetővé tette a biztonsági szakemberek számára, hogy szisztematikusan vegyék figyelembe több támadásvektort egy meghatározott célpont ellen.

1999-ben a Microsoft Loren Kohnfelder és a Praerit Gard biztonsági szakemberei Schneier fenyegetésfájának elemzésével olyan módszeres módszert dolgoztak ki, amelynek célja a környezet fejlesztése szempontjából releváns lehetséges támadások megfontolása a Microsoft Windows-tól. Az így kapott STRIDE fenyegetésmodell (a STRIDE a személyazonosság-lopás, az adatmeghamisítás, az elutasítás, az információk nyilvánosságra hozatala, a szolgáltatás megtagadása, a privilégium emelése rövidítése) arra kényszerítette a biztonsági szakembereket, hogy szisztematikusan meghatározzák, hogyan használhatja a potenciális támadó a STRIDE minősítésű fenyegetéseket a egy Schneier típusú fa.

2003-ban vezették be először az OCTAVE módszert (Operationally Critical Threat, Asset and Vulnerability Evaluation), a kockázatértékelésen alapuló fenyegetésmodellezési módszert, különös hangsúlyt fektetve a szervezeti kockázatkezelésre. 2004-ben Frank Swiderski és Window Snyder megírta a „fenyegetés modellezését” a Microsoft Press számára, ahol kidolgozták a fenyegetésmodellek biztonságos alkalmazás létrehozására vonatkozó koncepcióját.

2014-ben Ryan Stillions kifejezi azt az elképzelést, hogy a kiberfenyegetések különböző szemantikai szintekkel fejezhetők ki, javasolta a DML (Detection Maturity Level) modellt. A támadás egy fenyegetés forgatókönyvének egy példánya, amelyet egy adott támadó hoz létre, konkrét célokat szem előtt tartva és stratégiát a cél elérésére. A cél és a stratégia a DML modell legmagasabb szemantikai szintjét képviseli. Ezután jön a TPP (taktika, technikák és eljárások), amelyek a köztes szemantikai szinteket képviselik. A DML-modell leggyengébb szemantikai szintje a támadó, a gazdagép és a megfigyelt hálózati artefaktumok, például az IP-címek által használt eszközök a legalacsonyabb szemantikai szinten. A jelenlegi SIEM eszközök általában csak a legalacsonyabb szemantikai szinteken nyújtanak mutatókat. Ezért olyan SIEM eszközöket kell kifejleszteni, amelyek képesek magasabb szemantikai szinteken megjeleníteni a fenyegetési mutatókat.

Veszély modellezési módszerek

Elméletileg a fenyegetési modell gyakorlati alkalmazása egy módszertan alkalmazásából ered. Számos modellezési módszer létezik ehhez a megvalósításhoz. Az alábbiakban bemutatjuk a legnépszerűbb módszereket.

A STRIDE módszertan

A fenyegetésmodellezés STRIDE megközelítését 1999-ben vezették be a Microsoftnál, amely lehetővé tette a fejlesztők számára, hogy „fenyegetéseket találjanak termékeinkre”. A Microsoft által kifejlesztett és közzétett, konkrétabban a STRIDE módszertanra vonatkozó fenyegetési modell magában foglalja a módok és gyakorlatok, az erőforrások és a kiindulási pontok témaköreit. Továbbá, amikor a „Microsoft” módszertanra hivatkozunk, általában STRIDE.

PASTA (Támadásszimulációs és fenyegetéselemzési folyamat)

Az Attack Simulation and Threat Analysis folyamat egy kockázatalapú módszertan, amely hét lépésre oszlik. Ez a módszertan segíti az operatív célok és a műszaki követelmények összehangolását, figyelembe véve a megfelelőségi kérdéseket és az operatív elemzéseket. A módszer célja a fenyegetések azonosításának, számlálásának és pontozásának dinamikus folyamatának biztosítása. Amikor a fenyegetési modell elkészült, a biztonsági szakértők elkészíthetik az azonosított fenyegetések részletes elemzését, majd felsorolhatják a megfelelő biztonsági ellenőrzéseket. Ennek a módszertannak az a célja, hogy támadóközpontú képet adjon az alkalmazásról és az infrastruktúráról, amelyből a védők eszközközpontú mérséklési stratégiát dolgozhatnak ki.

TRIKE

A TRIKE módszertana a fenyegetésmodellek kockázatkezelési eszközként való használatát hangsúlyozza. Ebben az esetben a fenyegetési modellek „követelménymodellen” alapulnak. A követelménymodell meghatározza az érintettek által meghatározott, elfogadható kockázati szintet, amelyet az egyes eszközosztályokhoz rendelnek. A követelménymodell elemzését követően egy fenyegetési modell eredményezi, amelyben felsorolják a fenyegetéseket és hozzárendelik a kockázati értékeket. Az elkészült fenyegetési modell felhasználásával kockázati modell készül, amely az eszközön, szerepeken, cselekvéseken és a kiszámított kockázati kitettségen alapul.


ISO / IEC 27005

A 27005 ISO szabvány egy nemzetközi szabvány, amely kifejezetten a kockázatkezeléssel foglalkozik a számítógépes biztonsággal összefüggésben. Ezt a módszert 6 szakaszra bontják: a kontextus létrehozása, a kockázatok értékelése, a kockázat kezelése, a kockázat elfogadása, a kockázat kommunikálása, majd a kockázat figyelemmel kísérése és újbóli vizsgálata.

Általánosan elfogadott számítógépes fenyegetés modellezési folyamat

Minden számítógépes fenyegetésmodellezési folyamat az elemzett alkalmazás és / vagy infrastruktúra vizuális ábrázolásával kezdődik. Az elemzés megkönnyítése érdekében az alkalmazást / infrastruktúrát különböző elemekre bontják. Miután elkészült, a vizuális ábrázolást a potenciális fenyegetések azonosítására és felsorolására használják. A modell további elemzése az azonosított fenyegetésekhez kapcsolódó kockázatok tekintetében, a fenyegetések rangsorolása és a megfelelő mérséklési intézkedések felsorolása a fenyegetési modellhez alkalmazott folyamat módszertani alapjától függ.

Vizuális ábrázolások adatfolyam-diagramok alapján

A Microsoft, a PASTA és a Trike módszertan mindegyike kidolgozza az alkalmazás infrastruktúrájának vizuális ábrázolását az adatfolyam- diagramok (DFD) segítségével. A DFD-ket először az 1970-es években fejlesztették ki, a mérnökök eszközeként, hogy magas szinten kommunikálhassanak arról, hogy egy alkalmazás milyen módon kering, tárolódik és manipulálható az infrastruktúra alatt, amelyen fut. A DFD-k csak négy egyedi szimbólumot használnak: adatfolyamok, adatok tárol, folyamatokat és kölcsönhatásokat. A 2000-es évek elején egy további szimbólum, a Trust Limits került hozzáadásra, hogy lehetővé tegye a DFD-k fenyegetésmodellezését.

Miután az alkalmazás infrastrukturális rendszerét öt részre bontották, a biztonsági szakértők minden egyes azonosított fenyegetés belépési pontot megvizsgálnak az összes ismert fenyegetési kategóriához képest. A potenciális fenyegetések azonosítása után fel lehet sorolni a biztonsági ellenőrzések mérséklő intézkedéseit, vagy további vizsgálatokat lehet végrehajtani.

Vizuális ábrázolások folyamat folyamatábrák alapján

A VAST módszertan megkülönbözteti az alkalmazásfenyegetési modelleket (ATM) az operatív vagy az infrastrukturális fenyegetési modellektől (OTM).

Az ATM-ek folyamatfolyamat-diagramokkal készülnek. Ezeket a diagramokat 2011-ben dolgozták ki az Agile szoftverfejlesztő csapatok eszközeként az alkalmazás-tervezési folyamaton alapuló fenyegetési modellek létrehozására.Az alkalmazásokat különböző jellemzőikre vagy felhasználási esetekre bontják. Minden funkció leírása a szolgáltatás felépítéséhez szükséges modulokkal vagy kódblokkokkal történik. Ezután a funkciókat kommunikációs protokollok kapcsolják össze. Az így kapott vizualizáció egy térkép, amely megmutatja, hogyan mozog a felhasználó az alkalmazás különböző jellemzőin.

Az OTM-ek végpontok közötti adatfolyam-diagramokkal készülnek, amelyek nagyon hasonlítanak a hagyományos DFD-kre. A végpontok közötti adatfolyam-diagramok a számítógépes rendszert különálló, csoportosított és megosztott összetevőkre bontják.

Az ATM vagy OTM elkészítése után a módszertan meghatározza, hogy miként lehet azonosítani, felsorolni, fontossági sorrendbe állítani a potenciális fenyegetéseket és társítani azokat a releváns kockázatokkal és a biztonsági ellenőrzések mérséklésével.

Veszély modellezési eszközök

Jelenleg öt szervezeti fenyegetésmodellező eszköz létezik:

Egyéb alkalmazási területek

A fenyegetés modellezése nemcsak az informatikára vonatkozik, hanem más területekre is, mint például az autóipar, az építőipar és az otthoni automatizálás; ebben az összefüggésben modellezik a biztonságot és a magánéletet fenyegető veszélyeket, például az utazási profilokra, a munkaidőre és a lakók egészségi állapotára vonatkozó információkat, valamint a fizikai vagy hálózati támadásokat. Utóbbi egyre intelligensebb épületelemeket, érzékelőket (például a lakó kémleléséhez) és működtető elemeket (például az ajtók kinyitásához) használhat.

Megjegyzések és hivatkozások

  1. Snyder, Ablak. , Fenyegetés modellezése , Microsoft Press,2004( ISBN  0735619913 , OCLC  54974565 , online olvasás )
  2. Electronic Frontier Foundation, „  Bevezetés a fenyegetési modellbe  ”, Digitális önvédelem a megfigyelés ellen ,1 st augusztus 2014( online olvasás , konzultáció 2017. június 13-án )
  3. (in) McMillan, Robert, "  " A világ első számítógépes jelszó? Ez már túl haszontalan "  " , Wired Business ,2012( online olvasás )
  4. Shostack, Adam (2014). Msgstr "Fenyegetés modellezése: Tervezés a biztonság érdekében" . John Wiley & Sons Inc.: Indianapolis.
  5. Amoroso, Edward G. (1994). "A számítógépes biztonsági technológia alapjai" . AT&T Bell Labs. Prentice-Hall: Felső-nyereg folyó.
  6. Schneier, Bruce; et al. (1998). "A biztonságos rendszertechnikai módszer felé" (PDF). Nemzetbiztonsági Ügynökség: Washington.
  7. "A STRIDE fenyegetés mód" . Microsoft. 2016.
  8. Alberts, Christopher (2003). "Bevezetés az OCTAVE® megközelítésbe" (PDF). Szoftvertechnikai Intézet, Carnegie Mellon: Pitsburg.
  9. Stillions, Ryan (2014). "A DML modell" . Ryan Stillions biztonsági blog . Ryan Stillions.
  10. Bromander, Siri (2016). "Szemantikus kiberveszély modellezése" (PDF). Szemantikai technológia az intelligencia, a védelem és a biztonság számára (STIDS 2016).
  11. Kohnfelder, Loren; Garg, Praerit. "Termékeinket fenyegető veszélyek" . Microsoft. Letöltve: 2016. szeptember 20.
  12. Ucedavélez, Tony és Marco M. Morana (2015). "Kockázatközpontú fenyegetésmodellezés: A támadásszimuláció és a fenyegetéselemzés folyamata ". John Wiley & Sons: Hobekin.
  13. Eddington, Michael, Brenda Larcom és Eleanor Saitta (2005). "Trike v1 módszertani dokumentum" . Octotrike.org .
  14. Agarwal, Anurag "Archie" (2016). Msgstr "Alkalmazásveszély modellezése vs operatív fenyegetésmodellezés" . ThreatModeler.com .
  15. "A Microsoft Threat Modeling Tool 2016 újdonságai" . Microsoft Secure Blog . Microsoft. 2015.
  16. "Irius kockázatkezelési eszköz" . Continuum Security. 2016.
  17. "  foreseeti - securiCAD  " , a foreseeti.com (elérhető november 27, 2018 )
  18. "Cyber ​​Threat Modeling and Risk Management - securiCAD by foreseeti" . foreseeti.
  19. "SD elemek a biztonsági iránytű segítségével" . www.securitycompass.com . Letöltve: 2017-03-24.
  20. http://publications.lib.chalmers.se/records/fulltext/252083/local_252083.pdf
  21. „  A kockázati szint felmérése  ”, az ssd.eff.org oldalon (hozzáférés : 2018. november 27. )
  22. https://www.djan-gicquel.fr/IMG/pdf/modele_menaces.pdf "Bevezetés a fenyegetésmodellekbe", DJAN Gicquel (hozzáférés: 2018. november 27.)
  23. Meyer, D.; Haase, J.; Eckert, M.; Klauer, B. (2016-07-01). "Az épület- és otthoni automatizálás fenyegetési modellje". 2016