Enviar pesquisa
Carregar
Threat Modeling (Part 1)
•
24 gostaram
•
4,585 visualizações
Aleksey Lukatskiy
Seguir
Aperfeiçoamento pessoal
Denunciar
Compartilhar
Denunciar
Compartilhar
1 de 60
Baixar agora
Baixar para ler offline
Recomendados
Threat Modeling (Part 5)
Threat Modeling (Part 5)
Aleksey Lukatskiy
Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
Aleksey Lukatskiy
Мастер класс по моделированию угроз
Мастер класс по моделированию угроз
Aleksey Lukatskiy
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
Vladislav Chernish
7 cases of risk probality measurement
7 cases of risk probality measurement
Aleksey Lukatskiy
Recomendados
Threat Modeling (Part 5)
Threat Modeling (Part 5)
Aleksey Lukatskiy
Threat Modeling (Part 3)
Threat Modeling (Part 3)
Aleksey Lukatskiy
Threat Modeling (Part 2)
Threat Modeling (Part 2)
Aleksey Lukatskiy
Threat Modeling (Part 4)
Threat Modeling (Part 4)
Aleksey Lukatskiy
Моделирование угроз сетевой инфраструктуры
Моделирование угроз сетевой инфраструктуры
Aleksey Lukatskiy
Мастер класс по моделированию угроз
Мастер класс по моделированию угроз
Aleksey Lukatskiy
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
МЕТОД СТРУКТУРИРОВАННОЙ ОЦЕНКИ ИНФОРМАЦИОННЫХ РИСКОВ
Vladislav Chernish
7 cases of risk probality measurement
7 cases of risk probality measurement
Aleksey Lukatskiy
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
a_a_a
Measurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
Presentation IS criteria
Presentation IS criteria
a_a_a
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
Моделирование угроз 2.0
Моделирование угроз 2.0
Aleksey Lukatskiy
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
Security Measurement.pdf
Security Measurement.pdf
Aleksey Lukatskiy
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
Метрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Positive Hack Days
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
imbasoft ru
4.про soc от пм
4.про soc от пм
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"
Aleksey Lukatskiy
Security as a Service = JSOC
Security as a Service = JSOC
Solar Security
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
Aleksey Lukatskiy
пр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
mm Рекомендации по МУ от ФСБ России
mm Рекомендации по МУ от ФСБ России
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
4. курс лекций афу
4. курс лекций афу
GKarina707
Mais conteúdo relacionado
Mais procurados
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
a_a_a
Measurement of security efficiency
Measurement of security efficiency
Aleksey Lukatskiy
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Александр Лысяк
Presentation IS criteria
Presentation IS criteria
a_a_a
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
Моделирование угроз 2.0
Моделирование угроз 2.0
Aleksey Lukatskiy
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Cisco Russia
Security Measurement.pdf
Security Measurement.pdf
Aleksey Lukatskiy
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Vladimir Matviychuk
Метрики информационной безопасности
Метрики информационной безопасности
Александр Лысяк
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Positive Hack Days
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
imbasoft ru
4.про soc от пм
4.про soc от пм
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"
Aleksey Lukatskiy
Security as a Service = JSOC
Security as a Service = JSOC
Solar Security
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Компания УЦСБ
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Aleksey Lukatskiy
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
Aleksey Lukatskiy
пр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
SQALab
Mais procurados
(20)
суиб как способ поддержки бизнес целей предприятия
суиб как способ поддержки бизнес целей предприятия
Measurement of security efficiency
Measurement of security efficiency
Модель угроз и модель нарушителя. Основы.
Модель угроз и модель нарушителя. Основы.
Presentation IS criteria
Presentation IS criteria
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Моделирование угроз 2.0
Моделирование угроз 2.0
Решения Cisco в области информационной безопасности
Решения Cisco в области информационной безопасности
Security Measurement.pdf
Security Measurement.pdf
Yalta_10 _ey-cio_forum
Yalta_10 _ey-cio_forum
Метрики информационной безопасности
Метрики информационной безопасности
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Вычисление, визуализация и анализ метрик защищенности защищенности для монито...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
Информационная безопасность банковских безналичных платежей. Часть 4 — Обзор ...
4.про soc от пм
4.про soc от пм
Программа курса "Стратегия ИБ АСУ ТП"
Программа курса "Стратегия ИБ АСУ ТП"
Security as a Service = JSOC
Security as a Service = JSOC
4. ePlat4m Security GRC
4. ePlat4m Security GRC
Программа курса "Моделирование угроз"
Программа курса "Моделирование угроз"
Программа курса "Управление инцидентами"
Программа курса "Управление инцидентами"
пр 03.JSOC inside
пр 03.JSOC inside
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Внедрение СУИБ, соответствующей ИСО 27001 в ИТ компании
Destaque
mm Рекомендации по МУ от ФСБ России
mm Рекомендации по МУ от ФСБ России
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
4. курс лекций афу
4. курс лекций афу
GKarina707
374164
374164
tomik1044
Риск менеджмент
Риск менеджмент
ProfiMarkets - Центр подготовки трейдеров и инвесторов
4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc
tomik1044
Операционный риск в коммерческом банке
Операционный риск в коммерческом банке
Veronica Narozhnaya
Модели смешанного обучения
Модели смешанного обучения
Elena Tikhomirova
Повышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рисками
Alexei Sidorenko, CRMP
Lecture 9 chi_t_f
Lecture 9 chi_t_f
Kurbatskiy Alexey
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Infor-media
Управление рисками. Когда и как?
Управление рисками. Когда и как?
Infor-media
Поиск статистических данных
Поиск статистических данных
libusue
риск. управление рисками(основа)
риск. управление рисками(основа)
TerminalGaz
FRM Lecture 3
FRM Lecture 3
alexandersurkov
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Aleksey Lukatskiy
Анатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
Лаборатория риск менеджмента
Лаборатория риск менеджмента
Евгений Пикулев
Destaque
(18)
mm Рекомендации по МУ от ФСБ России
mm Рекомендации по МУ от ФСБ России
4. курс лекций афу
4. курс лекций афу
374164
374164
Риск менеджмент
Риск менеджмент
4d7841ffadc185c66a334ae6ace1abfc
4d7841ffadc185c66a334ae6ace1abfc
Операционный риск в коммерческом банке
Операционный риск в коммерческом банке
Модели смешанного обучения
Модели смешанного обучения
Повышение эффективности инвестиционной деятельности через управление рисками
Повышение эффективности инвестиционной деятельности через управление рисками
Lecture 9 chi_t_f
Lecture 9 chi_t_f
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Опыт реализации крупных инвестиционных проектов в ОАО «Северсталь»
Управление рисками. Когда и как?
Управление рисками. Когда и как?
Поиск статистических данных
Поиск статистических данных
риск. управление рисками(основа)
риск. управление рисками(основа)
FRM Lecture 3
FRM Lecture 3
Управление рисками ИБ: отдельные практические аспекты
Управление рисками ИБ: отдельные практические аспекты
Анатомия внешней атаки
Анатомия внешней атаки
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Лаборатория риск менеджмента
Лаборатория риск менеджмента
Semelhante a Threat Modeling (Part 1)
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
Александр Лысяк
Information security risk management presentation
Information security risk management presentation
Вячеслав Аксёнов
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdf
trenders
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
UISGCON
Новые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБ
Aleksey Lukatskiy
Моделирование угроз для приложений
Моделирование угроз для приложений
SQALab
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
Вячеслав Аксёнов
Анализ и управление рисками
Анализ и управление рисками
Александр Лысяк
Будущие исследования ИБ
Будущие исследования ИБ
Aleksey Lukatskiy
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Expolink
Об угрозах информационной безопасности, актуальных для разработчиков средств...
Об угрозах информационной безопасности, актуальных для разработчиков средств...
Maxim Avdyunin
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
SelectedPresentations
EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018
Oleg Glebov
Incident management (part 1)
Incident management (part 1)
Aleksey Lukatskiy
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Банковское обозрение
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Cisco Russia
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Александр Лысяк
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
Aleksey Lukatskiy
Vulnerability Management
Vulnerability Management
Aleksey Lukatskiy
Возможно ли обеспечить 100% гарантию безопасности организации
Возможно ли обеспечить 100% гарантию безопасности организации
Дмитрий Пшиченко
Semelhante a Threat Modeling (Part 1)
(20)
Информационная безопасность. Лекция 3.
Информационная безопасность. Лекция 3.
Information security risk management presentation
Information security risk management presentation
Управление риском в СМИБ.pdf
Управление риском в СМИБ.pdf
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Алексей Лукацкий - Как сформировать правильную модель сетевых угроз
Новые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБ
Моделирование угроз для приложений
Моделирование угроз для приложений
Курс: Основы информационной безопасности.
Курс: Основы информационной безопасности.
Анализ и управление рисками
Анализ и управление рисками
Будущие исследования ИБ
Будущие исследования ИБ
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
Об угрозах информационной безопасности, актуальных для разработчиков средств...
Об угрозах информационной безопасности, актуальных для разработчиков средств...
Кадровое агентство отрасли информационной безопасности
Кадровое агентство отрасли информационной безопасности
EDR investment guide for Enterprise 2017-2018
EDR investment guide for Enterprise 2017-2018
Incident management (part 1)
Incident management (part 1)
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Презентация Игоря Писаренко с конференции «SIEM в банковской сфере: автоматиз...
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Программы-вымогатели: многоуровневая защита для блокирования хакерских атак
Построение модели угроз и модели нарушителя
Построение модели угроз и модели нарушителя
Как создать в России свою систему Threat intelligence?
Как создать в России свою систему Threat intelligence?
Vulnerability Management
Vulnerability Management
Возможно ли обеспечить 100% гарантию безопасности организации
Возможно ли обеспечить 100% гарантию безопасности организации
Mais de Aleksey Lukatskiy
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Aleksey Lukatskiy
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Aleksey Lukatskiy
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Aleksey Lukatskiy
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Aleksey Lukatskiy
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
Aleksey Lukatskiy
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
Aleksey Lukatskiy
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Aleksey Lukatskiy
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Aleksey Lukatskiy
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Aleksey Lukatskiy
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Aleksey Lukatskiy
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Aleksey Lukatskiy
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Aleksey Lukatskiy
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Aleksey Lukatskiy
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Aleksey Lukatskiy
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Aleksey Lukatskiy
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
Aleksey Lukatskiy
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Aleksey Lukatskiy
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Aleksey Lukatskiy
Mais de Aleksey Lukatskiy
(20)
4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
Threat Modeling (Part 1)
1.
Построение модели
угроз Версия 1.3 Алексей Лукацкий Бизнес-консультант по безопасности Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 1/398
2.
О курсе
Цель: Понимание методов разработки модели угроз как с практической точки зрения, так и для выполнения требования регуляторов На сегодняшний день модель угроз обязательно требуется только по линии защиты персональных данных Структура Ключевые понятия и термины Общие подходы к моделированию угроз Методики моделирования угроз (в т.ч. и для защиты ПДн) Средства автоматизации Оформление модели угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 2/398
3.
О курсе
Преподаватель Консультант • Рассматривает • Ищет пути все решения для альтернативы конкретной компании Мы рассматриваем многие из существующих моделей угроз и методов их разработки Применение их в конкретной организации зависит от множества условий и целей Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 3/398
4.
Точки зрения на
модель угроз Служба ИБ Юрист Регуляторы Модель угроз Надзорный Нарушитель орган Интегратор Вендор Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 4/398
5.
Содержание
Для чего нужна модель угроз? Необходимость или требование регулятора? Оценка вероятности и стоимости ущерба Процедура построения модели угроз Различные методы моделирования угроз Примеры моделей угроз Средства моделирования угроз Форма модели угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 5/398
6.
Общий подход к
оценке угроз Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 6/398
7.
“Анализ рисков, оценка
их вероятности и тяжести последствий похожа на посещение игроками Лас-Вегаса – зал общий, а система игры у каждого своя” Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 7/398
8.
Взглянем с точки
зрения заказчика Методики оценки рисков представляются интеграторами и консультантами …которые заинтересованы в продаже своих продуктов и услуг Признаки хорошей методики управления рисками Она полезна для меня ? Соответствует моим требованиям к принятию решений? Получаю ли я ответы на мои вопросы? Она логична? Она измеряет именно риски или уязвимости или меры защиты (controls)? Она оценивает частоту угроз и размер ущерба и вероятность? Она соответствует действительности? Интернет-банк очень часто незащищен (высокий риск); но много ли мы знаем фактов потерь вследствие этого? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 8/398
9.
Управление рисками и
шаманство Управление рисками сегодня это больше искусство, чем наука Управление рисками похоже на шаманство Битье в бубен, бросание костей – отсутствие рационального объяснения своего выбора и «почему это работает» Заветы предков – Best Practices Интуиции и опыт хороши, но… А какой риск приемлем?.. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 9/398
10.
Что такое угроза? Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 10/398
11.
Что такое угроза?
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность, связанную с утечкой информации и(или) несанкционированными и(или) непреднамеренными воздействиями на нее Рекомендации ФСТЭК по защите коммерческой тайны и КСИИ Потенциальная причина инцидента, который может нанести ущерб системе или организации ГОСТ Р ИСО/МЭК 13355-1:2006, ГОСТ Р ИСО/МЭК 27002 Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 11/398
12.
Что такое угроза?
Угрозы безопасности персональных данных - совокупность условий и факторов, создающих опасность несанкционированного, в том числе случайного, доступа к персональным данным, результатом которого может стать уничтожение, изменение, блокирование, копирование, распространение персональных данных, а также иных несанкционированных действий при их обработке в информационной системе персональных данных Требования ФСТЭК по защите персональных данных Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 12/398
13.
Что такое угроза?
Совокупность условий и факторов, создающих потенциальную или реально существующую опасность нарушения безопасности информации ГОСТ 50.1.056-2005 Возможная причина нежелательного инцидента, который может закончиться ущербом для системы или организации ISOIEC 13355-1:2004, ГОСТ Р ИСО/МЭК 27002 Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 13/398
14.
Что такое риск?
Вероятная частота и вероятная величина будущих потерь Метод FAIR Сочетание вероятности события и его последствий ГОСТ Р 51901.1-2002 Комбинация вероятности события и его последствий ГОСТ Р ИСО/МЭК 17799-2005 Вероятность причинения ущерба вследствие того, что определенная угроза реализуется в результате наличия определенной уязвимости ГОСТ Р 52448-2005 Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 14/398
15.
Что такое риск?
Потенциальная опасность нанесения ущерба организации в результате реализации некоторой угрозы с использованием уязвимостей актива или группы активов ГОСТ Р ИСО/МЭК 13335-1-2006 ГОСТ Р ИСО/МЭК 13569 (проект) Риск – сочетание вероятности нанесения ущерба и тяжести этого ущерба ГОСТ Р 51898-2002 Состояние неопределенности, в котором некоторые возможности приводят к потерям, катастрофам или иным нежелательным результатам Даг Хаббард Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 15/398
16.
Риск vs. угроза
vs. другие термины Риск - это способность конкретной угрозы использовать уязвимости одного или нескольких видов активов для нанесения ущерба организации Источник: ГОСТ Р ИСО/МЭК 15408-1-2002 Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 16/398
17.
Элементы риска
Риск описывается комбинацией следующих элементов: Тяжесть возможного ущерба (последствия) Вероятность нанесения ущерба Частота и продолжительность воздействия угрозы Вероятность возникновения угрозы Возможность избежать угрозы или ограничить ущерб от нее Эффективность управления рисками зависит от того, сможем ли мы оценить эти элементы Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 17/398
18.
Характеристики угроз
Также надо учитывать и другие характеристики (например, согласно ISO 13335) Источник – внутренний или внешний; Мотивация, например финансовая выгода, конкурентное преимущество Частота возникновения Правдоподобие Вредоносное воздействие Нельзя забывать про длительность воздействия угрозы Разовая утечка информации vs. DDoS-атака в течение квартала Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 18/398
19.
Что такое модель
угроз? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 19/398
20.
Модель угроз
Описание источников угроз ИБ; методов реализации угроз ИБ; объектов, пригодных для реализации угроз ИБ; уязвимостей, используемых источниками угроз ИБ; типов возможных потерь (например, нарушение доступности, целостности или конфиденциальности информационных активов); масштабов потенциального ущерба РС БР ИББС-2.2-2009 «Обеспечение информационной безопасности организаций банковской системы РФ. Методика оценки рисков нарушения информационной безопасности» Физическое, математическое, описательное представление свойств и характеристик угроз безопасности информации ГОСТ 50922-2006 «Защита информации. Основные термины и Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 20/398
21.
Модель угроз (окончание)
Модель нарушителя - предположения о возможностях нарушителя, которые он может использовать для разработки и проведения атак, а также об ограничениях на эти возможности Модель угроз - перечень возможных угроз Методические рекомендации ФСБ по обеспечению с помощью криптосредств безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств автоматизации Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 21/398
22.
Зачем нужна
модель угроз? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 22/398
23.
Зачем нужно моделирование
угроз Систематическая идентификация потенциальных опасностей Систематическая идентификация возможных видов отказов Количественные оценки или ранжирование рисков Выявление факторов, обуславливающих риск, и слабых звеньев в системе Более глубокое понимание устройства и функционирование системы Сопоставление риска исследуемой системы с рисками альтернативных систем или технологий Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 23/398
24.
Зачем нужно моделирование
угроз (окончание) Идентификация и сопоставление рисков и неопределенностей Возможность выбора мер и приемов по обеспечению снижения риска ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем» Основная задача моделирования угроз – обоснование решений, касающихся рисков Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 24/398
25.
Вопросы для модели
угроз Модель нарушителя должна ответить на следующие вопросы Какие угрозы могут быть реализованы? Кем могут быть реализованы эти угрозы? Модель нарушителя С какой вероятностью могут быть реализованы эти угрозы? Каков потенциальный ущерб от этих угроз? Каким образом могут быть реализованы эти угрозы? Средства и каналы реализации Почему эти угрозы могут быть реализованы? Уязвимости и мотивация На что могут быть направлены эти угрозы? Как можно отразить эти угрозы? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 25/398
26.
Анализ угроз vs.
анализ рисков Согласно РС БР ИББС-2.2-2009 моделирование угроз предшествует оценке рисков Согласно другим стандартам и лучшим практикам анализ угроз и анализ рисков очень тесно переплетены Анализ рисков позволяет ответить на 3 вопроса (согласно ГОСТ Р 51901.1-2002 «Менеджмент риска. Анализ риска технологических систем») Что может выйти из строя (идентификация опасности) С какой вероятностью это может произойти (анализ частоты) Каковы последствия этого события (анализ последствий) Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 26/398
27.
Качественная или
количественная оценка? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 27/398
28.
Качество или количество?
1954 г. - Paul Meehl – «Clinical Versus Statistical Prediction: A Theoretical Analysis and Review of the Evidence», 1954 Работа обновлена в 1996 Количественная оценка работает лучше экспертной (качественной) В 136-ти случаев из 144-х Качественная оценка необъективна по своей сути При качественной оценке сложно предъявить доказательства Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 28/398
29.
Качество/количество: кому доверять?
Качественная оценка Количественная оценка Отсутствие количественной оценки не позволяет Оценить адекватность затрат на снижение рисков Оценить возможность перекладывания рисков Продемонстрировать снижение рисков Сравнить текущий уровень с предыдущими значениями Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 29/398
30.
Когда нет цифр?
Количественная оценка не всегда возможна из-за Недостатка информации о системе Недостатка информации о деятельности, подвергающейся оценке Отсутствии или недостатке данных об инцидентах Влияния человеческого фактора Качественная оценка требует Четкого разъяснения всех используемых терминов Обоснования всех классификаций частот и последствий Понимания всех плюсов и минусов качественной (экспертной) оценки Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 30/398
31.
Метод: экспертная оценка
Достоинства Ограничения Простота реализации Возможность влияния на экспертное мнение заинтересованными лицами При оценке случайных событий принцип «здравого смысла» неприменим Волюнтаризм экспертов Отсутствие достаточного количества экспертов Балльные оценки экспертов не позволяют судить о количественных соотношениях между оцениваемыми объектами Зависимость от квалификации эксперта Психология восприятия риска Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 31/398
32.
Метод Дельфи
Основной принцип: если опросить людей, обладающих компетенцией в интересующем нас вопросе, их усредненная оценка обычно будет точна более чем на 80% Если провести второй раунд, предварительно ознакомив экспертов с результатам первого, то результативность становится еще выше Модификация метода: брать среднюю оценку после отбрасывания крайних значений Данный метод рекомендуется применять, если эксперты не могут подкрепить свое мнение серьезными аргументами Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 32/398
33.
Метод Дельфи: пример
Эксперты Раунд 1 Раунд 2 Эксперт 1 50 55 Эксперт 2 65 60 Эксперт 3 100 80 Эксперт 4 30 50 Эксперт 5 60 60 Итого 61 / 58 61 / 58 Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 33/398
34.
Несколько
примеров недооценки угроз экспертами Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 34/398
35.
Атаки на процессинг Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 35/398
36.
Атаки на банкоматы Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 36/398
37.
Безопасность банковского ПО Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 37/398
38.
Банковские трояны (пример)
Троян Tofger После посещения ряда Интернет-банков пересылает введенные с клавиатуры данные и скриншоты экрана Троян Banker.chg Перехватывает доступ к определенным банковским сайтам и переправляет на подставные сайты (фарминг) Троян Bancos.pw Перехват HTTPS-трафика Троян Zbot.ikh Перехват данных HTTP для некоторых российских банков, а также кража сертификатов, ключей ЭЦП и т.п. Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 38/398
39.
DDoS-атаки на банки Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 39/398
40.
Безопасность клиентов Threat Modeling
© 2008 Cisco Systems, Inc. All rights reserved. 40/398
41.
Контроль привилегированных Threat Modeling
© 2008 Cisco Systems, Inc. All rights reserved. 41/398
42.
Атаки на Интернет-банкинг Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 42/398
43.
Безопасность пластика Threat Modeling
© 2008 Cisco Systems, Inc. All rights reserved. 43/398
44.
Подставные сайты (фишинг
и фарминг) Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 44/398
45.
Информационная война Threat Modeling
© 2008 Cisco Systems, Inc. All rights reserved. 45/398
46.
Законодательство и ИБ Threat
Modeling © 2008 Cisco Systems, Inc. All rights reserved. 46/398
47.
Психология
восприятия риска Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 47/398
48.
Психология восприятия риска
Даже при наличии фактов и достаточного объема информации об анализируемой системе у экспертов существует сложность с восприятием риска Безопасность основана не только на вероятности различных рисков и эффективности различных контрмер (реальность), но и на ощущениях Ощущения зависят от психологических реакций на риски и контрмеры Чего вы больше опасаетесь – попасть в авиакатастрофу или автоаварию? Что вероятнее – пасть жертвой террористов или погибнуть на дороге? Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 48/398
49.
Реальность и ощущения
Реальность безопасности ≠ ощущения безопасности Система может быть безопасной, даже если мы не чувствуем и не понимаем этого Мы можем думать, что система в безопасности, когда это не так Психология восприятия риска безопасности Поведенческая экономика Психология принятия решений Психология риска Неврология Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 49/398
50.
Реальность и ощущение
безопасности Число погибших в Число жертв автоаварий в авиакатастрофах в России – около 100 России в 2008 году – 139 человек ежедневно (!) человек 1,2 млн. жертв в год, 20-50 1980 – 1989 гг. – в СССР 2624 млн. получают травмы жертвы авиакатастроф Трагедия 11 сентября в От отравления пищей в США унесла жизни 2973 США ежегодно умирают человек 5000 человек Ощущение Реальность Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 50/398
51.
Наше отношение к
рискам и угрозам Мы преувеличиваем одни риски и преуменьшаем другие Наше восприятие риска чаще всего «хромает» в пяти направлениях Степень серьезности риска Вероятность риска Объем затрат Эффективность контрмер Возможность адекватного сопоставления рисков и затрат Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 51/398
52.
Основные ошибки восприятия
Люди преувеличивают риски, Люди преуменьшают риски, которые которые Производят глубокое впечатление Не привлекают внимание Случаются редко Являются обычными Персонифицированы Анонимны Неподконтрольны или навязаны Контролируются в большей извне степени или принимаются добровольно Обсуждаются Не обсуждаются Преднамеренные или Естественные спровоцированные человеком Угрожают непосредственно Угрожают в будущем, или границы которых размыты Внезапны Развиваются медленно, со временем Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 52/398
53.
Основные ошибки восприятия
(окончание) Люди преувеличивают риски, Люди преуменьшают риски, которые которые Угрожают человеку лично Угрожают другим Новые и незнакомые Знакомые Неопределенные Понятные Угрожающие их детям Угрожающие им самим Оскорбительные с моральной Желательные с моральной точки точки зрения зрения Полностью лишенные выгод Связанные с дополнительными выгодами Выходят за рамки обычной Характерны для обычной ситуации ситуации Недоверенные источники Доверенные источники Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 53/398
54.
Ошибки восприятия безопасности
Мобильные вирусы В моем антивирусе для «Операторы сотовой связи смартфона всего 1000 готовятся к эпидемиями записей и ни одного вирусов для мобильных предупреждения за 2 (!) телефонов» года «Мобильный апокалипсис лишь вопрос времени» Западные производители Отечественный ПО специально вставляют разработчик несет закладки, чтобы украсть большую угрозу вашу информацию он пока не дорожит репутацией Более опасный риски Реальность Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 54/398
55.
Как мозг анализирует
риски В человеческом мозгу 2 системы отвечают за анализ рисков Примитивная интуитивная – работает быстро Продвинутая аналитическая – принимает решения медленно Продвинутая система появилась только у высших приматов – еще не отшлифована Обе системы работают одновременно и конфликтуют между собой Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 55/398
56.
Как мозг анализирует
риски Человек не анализирует риски безопасности с точки зрения математики Мы не анализируем вероятности событий Люди не могут анализировать каждое свое решение Это попросту невозможно Человек использует готовые рецепты, общие установки, стереотипы, предпочтения и привычки Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 56/398
57.
Интересные следствия
«Предубеждение оптимизма» - мы считаем, что «с нами это не случится», даже если это случилось с другими Несмотря на эпидемии и атаки других компаний, сами мы считаем, что нас это никак не коснется – мы игнорируем или преуменьшаем риски сетевой безопасности Человеческий мозг не умеет работать с большими числами 1 шанс из 2-х против 1 шанса из 8-ми гораздо понятнее, чем 1 шанс из 10000 против 1 шанса из 100000 Threat Modeling 1 шанс из 10000 = «почти никогда» © 2008 Cisco Systems, Inc. All rights reserved. 57/398
58.
Интересные следствия (продолжение)
«Эвристика доступности» – события, которые легче вспоминаются, имеют больший риск Или произошли недавно Или имели более серьезные последствия (для эксперта) Или преподносятся ярко Люди склонны игнорировать действительные вероятности в случаях, когда ситуация эмоционально окрашена Терроризм, авиакатастрофы Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 58/398
59.
Интересные следствия (продолжение)
Риски, имевшие место когда- либо в жизни эксперта, имеют больший вес, чем те, с которыми он никогда не встречался Мы будем бороться с атаками, уже произошедшими в прошлом, игнорируя будущие угрозы Чем более выдающимся кажется событие, тем выше вероятность, что оно покажется случайным СМИ и вендоры часто вредят адекватности восприятия эксперта Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 59/398
60.
Интересные следствия (окончание)
Очень важна последовательность, в которой представлены те или иные альтернативы «Предубеждение подтверждения» - люди склонны больше учитывать данные, которые подтверждают предварительно занимаемую ими позицию, чем те, которые ее опровергают Ситуация еще хуже - люди, которые занимают позицию A, иногда считают, что свидетельство анти-A тоже поддерживает их позицию Threat Modeling © 2008 Cisco Systems, Inc. All rights reserved. 60/398
Baixar agora