БДУ будет переделываться:
- Нынешние "угрозы" из него уйдут - они, скорее, не угрозы, а уязвимости.
- Появится каталог техник, аналогичный техникам Mitre Att&CK. Собственно, пока такого каталога нет, можно использовать Att&CK
- Угрозы каждый формулирует для себя сам, потому что и сами угрозы, и их последствия очень специфичны для разных видов деятельности. Но по мере накопления опыта "передовиками" отдельных отраслей могут появляться перечни типовых угроз и даже типовые модели угроз для отраслей. Но я бы не советовал на это рассчитывать :)

Опубликую :) А пока можно эти недосказанности здесь обсудить

Завтра если будет достаточно времени попробую затестить методику, угрозы уж придется брать из нынешней БДУ

Из нынешней - бессмысленно, пустая трата времени.

Методика предполагает вполне определенную последовательность действий при моделировании угроз. Они очень похожи на последовательность действий при категорировании.

1. Вы определяете негативное последствие, неприемлемое для вашей организации (гибель людей, финансовый ущерб выше какого-то минимально приемлемого уровня, остановку производства и т.п.)

2. Вы определяете системы, получив доступ к которым нарушитель может вызвать такое последствие)

3. Для каждой такой системы вы определяете действие нарушителя, которое может привести к этому последствию (нажать на вот такую кнопку в GUI, изменить вот такие настройки, залить изменённую прошивку и т.п.). Каждое такое действие - это и есть угроза.

4. Смоделировать цепочку "подготовительных" действий нарушителя (техник), которые позволят ему дотянуться до системы из того места, где он физически находится, и исполнить угрозу.

Так вот, для п. 3 ничего полезного вы в нынешней БДУ не найдете. Формулировка  "УБИ.06 Угроза внедрения вредоносного кода" никак не поможет понять, может ли такая угроза привести а краже денег.

Наоборот, вы сперва понимаете, что с помощью трояна можно сформировать фальшивую платёжку, и только потом делаете вывод, что это та самая УБИ.06.

А сделать наоборот? взять угрозу и попытаться выстроить для нее цепочку

А что тут наоборот? П. 3 - формулируется угроза, п. 4 - раскручивается цепочка "как именно это можно сделать"

Согласен, прочитал в неправильной последовательности

Пробовал я выстроить цепочку для угроз из бду. По существенно более простой модели атаки. Там скорее получается, что каждая конкретная угроза бду описывает часть стадий атаки. Где-то одну стадию, где-то почти все. Некоторые угрозы невозможны без реализации других, то есть их сами в цепочки надо ставить.

Как правильно Дмитрий говорит, текущие угрозы в бду - они скорее про уязвимости, но не только в ПО, но и в конфигурации, процессах, персонале и правовых мерах - в широком смысле. Он нужен, чтобы на них тоже обращать внимание при моделировании. Я проводил структуризацию бду в разрезе таких уязвимостей, стадий атаки (изучение, проникновение, распространение, воздействие) , уровней ит, преднамеренности и др. Но это было больше похоже на упражнение, которое должен сделать каждый, кто хочет разобратьсч. При том никакой системы данная структуризация в итоге не выявила, дав только некотрую статистику.  Могу прислать, если интересно.  В новой модели с техниками уже есть систематизация.

Добрый день! Пришлите, если не сложно.

Имеете ввиду типа такой таблицы?

Цепочки я не делал. А определял, какие стадии атаки описаны в угрозе.

Хм. Интересно, если не затруднит можете поделиться работой?

Вот, это очень хорошая иллюстрация непригодности нынешней БДУ для моделирования атак.

Для меня вариантами первого шага атаки со стороны внешнего нарушителя будут:
— проникновение через скрипты, исполняемые браузером пользователя
—  эксплуатация типовых уязвимостей веб-интерфейсов
— эксплуатация известных уязвимостей внешних сетевых служб
— подбор словарных PSK для Wi-Fi сетей организации
— подбор словарных идентификаторов и паролей пользователей к внешним интерфейсам системы
— использование ставших известными ранее идентификаторов и паролей пользователей к внешним интерфейсам системы
— инфицирование АРМ через отчуждаемые носители
— инфицирование АРМ с помощью социалки
— проникновение через инфраструктуру и  ресурсы, используемые совместно с материнской/дочерней/партнерской организацей
— инфицирование личных  устройств пользователей, которые они используют для удаленной/мобильной работы
— rogue access point для атак на беспроводные устройства

За основу взяты техники из Mitre Att&CK для тактики Initial Access https://attack.mitre.org/tactics/TA0001/

Для каждой из перечисленных техник требуются свои нюансы мер защиты и мониторинг специфических для них событий. При этом понятно, и какие нюансы защиты нужны, и какие события мониторить, чтобы обнаружить это действие.

А теперь попробуйте описать то же самое перечислением угроз из БДУ:
- для некоторых техник (особенно для техник продвижения по инфраструктуре) вы ничего не найдете
- техники, описывающие разные способы инфицирования (тактика Execution), превратятся в одну совершенно абстрактную "угрозу внедрения кода".

ФСТЭК не может прямым текстом сказать "пока мы не перепишем БДУ, используйте Att&CK или CAPEC", поэтому они сформулировали это обтекаемо ("могут использоваться иные источники, в том числе опубликованные в общедоступных источниках данные об уязвимостях, компьютерных атаках, вредоносном программном обеспечении"). Но подразумевается, что сценарий атаки - это описание именно последовательности возможных действий нарушителя.  помощью которых он может добиться нужного ему негативного последствия

Присоединяюсь. Именно такой подход и применяется на практике уже не первый год.. именно практическая, а не бумажная защита.

Такое моделирование не возможно без опыта проведения тестирования на проникновение. А такой опыт отсутствует у 99% целевой аудитории методики.

У меня тоже нет опыта тестирования на проникновение - для этого руки не к тому месту приделаны :)

А вот понимать, как именно пентестеры и реальные нарушители выполняют те или иные действия, для моделирования угроз нужно. На основе отчетов по тестированию на проникновение разобраться в этом проще, чем по чистой теории. Но и чистой теории на уровне все того же Att&CK для этого вполне достаточно. Нужно учиться.

"Мы не утописты. Мы знаем, что любой чернорабочий и любая кухарка не способны сейчас же вступить в управление государством. ... Но ... мы требуем, чтобы обучение делу государственного управления велось сознательными рабочими и солдатами и чтобы начато было оно немедленно, то есть к обучению этому немедленно начали привлекать всех трудящихся, всю бедноту." :)

Именинник был неглупым человеком.

Да. Только начинал он с создания школ, институтов и библиотек, а не со штрафов и надзора прокуратуры :)

Требованию "дополнять базовые меры защиты на основе моделирования угроз" уже седьмой год пошел, но пока за его выполнение никого не оштрафовали :)

Учить - не проблема, проблема в готовности учиться у самих учителей :)