АС
МУ - не кирпич, а прямое руководство к действию
Size: a a a
2021 February 27
АС
Угрозы - меры - СЗИ
АС
Не?
АС
ПМИ содержит методики проверки, как функционируют СЗИ при реализации угроз безопасности. Не?
DK
Андрей Степанов
Не?
Нет.
Сейчас, если модель угроз и разрабатывается, она выглядит примерно так: "Угроза - НСД с помощью вредоносного ПО, мера защиты - IDS, антивирусная защита."
Это не МУ, это чушь полнейшая. Поэтому и ФСТЭК и занялась методикой моделирования угроз.
Сейчас, если модель угроз и разрабатывается, она выглядит примерно так: "Угроза - НСД с помощью вредоносного ПО, мера защиты - IDS, антивирусная защита."
Это не МУ, это чушь полнейшая. Поэтому и ФСТЭК и занялась методикой моделирования угроз.
АС
Нормально же там всё выглядит. Не лучшая, но нормальная методика оценки угроз
АС
По методике угроза, это те то, что в БДУ, угроза - это источник, объект, способ, последствие
АС
Не?
DK
Андрей Степанов
По методике угроза, это те то, что в БДУ, угроза - это источник, объект, способ, последствие
Для начала - "те, что в БДУ" для моделирования угроз не годятся. Поэтому наполнение этого раздела БДУ будет переделано. Когда переделают - да, будет нормально. Хотя и сейчас методика позволяет пользоваться и другими источниками.
Но некоторые коллеги в принципе рассматривают МУ только как кирпич для проверяющего. Такая МУ действительно никому не нужна, независимо от того, по какой методике она сделана
Но некоторые коллеги в принципе рассматривают МУ только как кирпич для проверяющего. Такая МУ действительно никому не нужна, независимо от того, по какой методике она сделана
АБ
Вы обсуждаете две бессмысленные крайности. Модель угроз "шоб було", это никому не нужный кирпич. Но и IDS "шоб було" - такой же никому не нужный кирпич. Чтобы грамотно применять IDS, нужно понимать, от чего именно вы собираетесь с её помощью защищаться.
Один заказчик как-то решил провести эксперимент: мы проводим пентест, они пытаются обнаружить действия. Пентест закончен, действия пентестеров не обнаружили. Стали разбираться - оказалось, в частности, что на IDS не были включены сигнатуры на техники перехвата трафика.
Заказчик: ОК, а давайте мы IDS донастроим и вы еще раз трафик перехватить попробовали. Попробовали еще раз: IDS на ARP Spoofing cреагировала, на STP Spoofing - нет, а Rogue DHCP они в принципе обнаруживать не умели.
Так что деньги, потраченные на IDS без понимания деталей того, как атакуют - это деньги, тупо потраченные на IDS. Никто не предлагает вам писать кирпич модели угроз "шоб ФСТЭКу понравилось" - но стоит хотя бы самим для себя определить, от чего вы защититься можете, а от чего 0 нет.
Один заказчик как-то решил провести эксперимент: мы проводим пентест, они пытаются обнаружить действия. Пентест закончен, действия пентестеров не обнаружили. Стали разбираться - оказалось, в частности, что на IDS не были включены сигнатуры на техники перехвата трафика.
Заказчик: ОК, а давайте мы IDS донастроим и вы еще раз трафик перехватить попробовали. Попробовали еще раз: IDS на ARP Spoofing cреагировала, на STP Spoofing - нет, а Rogue DHCP они в принципе обнаруживать не умели.
Так что деньги, потраченные на IDS без понимания деталей того, как атакуют - это деньги, тупо потраченные на IDS. Никто не предлагает вам писать кирпич модели угроз "шоб ФСТЭКу понравилось" - но стоит хотя бы самим для себя определить, от чего вы защититься можете, а от чего 0 нет.
Дмитрий, давайте с Вами определимся. Вы про МУ для выполнения требований говорите или про МУ в своих интересах для реальной безопасности?
На МУ угроз в своих интересах в подавляющем большинстве СКИИ нет ресурсов.
На МУ угроз в своих интересах в подавляющем большинстве СКИИ нет ресурсов.
M
Вы обсуждаете две бессмысленные крайности. Модель угроз "шоб було", это никому не нужный кирпич. Но и IDS "шоб було" - такой же никому не нужный кирпич. Чтобы грамотно применять IDS, нужно понимать, от чего именно вы собираетесь с её помощью защищаться.
Один заказчик как-то решил провести эксперимент: мы проводим пентест, они пытаются обнаружить действия. Пентест закончен, действия пентестеров не обнаружили. Стали разбираться - оказалось, в частности, что на IDS не были включены сигнатуры на техники перехвата трафика.
Заказчик: ОК, а давайте мы IDS донастроим и вы еще раз трафик перехватить попробовали. Попробовали еще раз: IDS на ARP Spoofing cреагировала, на STP Spoofing - нет, а Rogue DHCP они в принципе обнаруживать не умели.
Так что деньги, потраченные на IDS без понимания деталей того, как атакуют - это деньги, тупо потраченные на IDS. Никто не предлагает вам писать кирпич модели угроз "шоб ФСТЭКу понравилось" - но стоит хотя бы самим для себя определить, от чего вы защититься можете, а от чего 0 нет.
Один заказчик как-то решил провести эксперимент: мы проводим пентест, они пытаются обнаружить действия. Пентест закончен, действия пентестеров не обнаружили. Стали разбираться - оказалось, в частности, что на IDS не были включены сигнатуры на техники перехвата трафика.
Заказчик: ОК, а давайте мы IDS донастроим и вы еще раз трафик перехватить попробовали. Попробовали еще раз: IDS на ARP Spoofing cреагировала, на STP Spoofing - нет, а Rogue DHCP они в принципе обнаруживать не умели.
Так что деньги, потраченные на IDS без понимания деталей того, как атакуют - это деньги, тупо потраченные на IDS. Никто не предлагает вам писать кирпич модели угроз "шоб ФСТЭКу понравилось" - но стоит хотя бы самим для себя определить, от чего вы защититься можете, а от чего 0 нет.
То есть нужна не модель угроз или СЗИ, а нужно понимание.
К сожалению в требование это не прописать (
К сожалению в требование это не прописать (
DK
На то, чтобы заказать прям вот готовую нормальную МУ у тех полутора контор, которые действительно умет их разрабатывать, - да, нет ресурсов.
А вот взять на работу толкового пацана с горящими глазами, только получившего "диплом поибе" - есть. Особенно если учесть, что таких пацанов сейчас готовят даже в сельскохозяйственных институтах :)
Да, толковый пацан полноценную модель угроз не нарисует. Но порывшись пару месяцев на хабре, в MITRE и куче других открытых источников 3-4 самых очевидных вектора он обозначит и самые очевидные решения от них предложит.
Учитывая, что сейчас у этих СУКИИ нет представления даже об этих очевидных векторах, это уже будет всяко лучше плача Ярославны про #денегнет
А вот взять на работу толкового пацана с горящими глазами, только получившего "диплом поибе" - есть. Особенно если учесть, что таких пацанов сейчас готовят даже в сельскохозяйственных институтах :)
Да, толковый пацан полноценную модель угроз не нарисует. Но порывшись пару месяцев на хабре, в MITRE и куче других открытых источников 3-4 самых очевидных вектора он обозначит и самые очевидные решения от них предложит.
Учитывая, что сейчас у этих СУКИИ нет представления даже об этих очевидных векторах, это уже будет всяко лучше плача Ярославны про #денегнет
M
На то, чтобы заказать прям вот готовую нормальную МУ у тех полутора контор, которые действительно умет их разрабатывать, - да, нет ресурсов.
А вот взять на работу толкового пацана с горящими глазами, только получившего "диплом поибе" - есть. Особенно если учесть, что таких пацанов сейчас готовят даже в сельскохозяйственных институтах :)
Да, толковый пацан полноценную модель угроз не нарисует. Но порывшись пару месяцев на хабре, в MITRE и куче других открытых источников 3-4 самых очевидных вектора он обозначит и самые очевидные решения от них предложит.
Учитывая, что сейчас у этих СУКИИ нет представления даже об этих очевидных векторах, это уже будет всяко лучше плача Ярославны про #денегнет
А вот взять на работу толкового пацана с горящими глазами, только получившего "диплом поибе" - есть. Особенно если учесть, что таких пацанов сейчас готовят даже в сельскохозяйственных институтах :)
Да, толковый пацан полноценную модель угроз не нарисует. Но порывшись пару месяцев на хабре, в MITRE и куче других открытых источников 3-4 самых очевидных вектора он обозначит и самые очевидные решения от них предложит.
Учитывая, что сейчас у этих СУКИИ нет представления даже об этих очевидных векторах, это уже будет всяко лучше плача Ярославны про #денегнет
Это вы про новую модель угроз?
DK
Это вы про новую модель угроз?
Про "МУ в своих интересах"
V
На то, чтобы заказать прям вот готовую нормальную МУ у тех полутора контор, которые действительно умет их разрабатывать, - да, нет ресурсов.
А вот взять на работу толкового пацана с горящими глазами, только получившего "диплом поибе" - есть. Особенно если учесть, что таких пацанов сейчас готовят даже в сельскохозяйственных институтах :)
Да, толковый пацан полноценную модель угроз не нарисует. Но порывшись пару месяцев на хабре, в MITRE и куче других открытых источников 3-4 самых очевидных вектора он обозначит и самые очевидные решения от них предложит.
Учитывая, что сейчас у этих СУКИИ нет представления даже об этих очевидных векторах, это уже будет всяко лучше плача Ярославны про #денегнет
А вот взять на работу толкового пацана с горящими глазами, только получившего "диплом поибе" - есть. Особенно если учесть, что таких пацанов сейчас готовят даже в сельскохозяйственных институтах :)
Да, толковый пацан полноценную модель угроз не нарисует. Но порывшись пару месяцев на хабре, в MITRE и куче других открытых источников 3-4 самых очевидных вектора он обозначит и самые очевидные решения от них предложит.
Учитывая, что сейчас у этих СУКИИ нет представления даже об этих очевидных векторах, это уже будет всяко лучше плача Ярославны про #денегнет
Для оценки угроз безопасности информации рекомендуется привлекать
специалистов, обладающих следующими знаниями и умениями:
а) основ оценки рисков, а также основных рисков от нарушения
функционирования систем и сетей и нарушения безопасности обрабатываемой
информации (далее – информационные риски);
б) угроз безопасности информации и способов их реализации
(возникновения);
в) тактик и техник проведения компьютерных атак (реализации угроз
безопасности информации);
г) основных типов компьютерных инцидентов и причин их
возникновения;
д) основных уязвимостей систем и сетей;
е) нормативных правовых актов по созданию и функционированию
систем и сетей, защите информации (обеспечению безопасности) в них,
основных (критических) процессов (бизнес-процессов) обладателя информации
и (или) оператора;
ж) оценивать информационные риски;
з) классифицировать и оценивать угрозы безопасности информации;
и) определять сценарии (тактики, техники) реализации угроз безопасности
информации;
к) определять источники и причины возникновения компьютерных
инцидентов;
9
л) проводить инвентаризацию систем и сетей, анализ уязвимостей,
тестирование на проникновение систем и сетей с использованием
соответствующих автоматизированных средств;
м) оценку уровня защищенности (аудит) систем и сетей и содержащейся в
них информации.
специалистов, обладающих следующими знаниями и умениями:
а) основ оценки рисков, а также основных рисков от нарушения
функционирования систем и сетей и нарушения безопасности обрабатываемой
информации (далее – информационные риски);
б) угроз безопасности информации и способов их реализации
(возникновения);
в) тактик и техник проведения компьютерных атак (реализации угроз
безопасности информации);
г) основных типов компьютерных инцидентов и причин их
возникновения;
д) основных уязвимостей систем и сетей;
е) нормативных правовых актов по созданию и функционированию
систем и сетей, защите информации (обеспечению безопасности) в них,
основных (критических) процессов (бизнес-процессов) обладателя информации
и (или) оператора;
ж) оценивать информационные риски;
з) классифицировать и оценивать угрозы безопасности информации;
и) определять сценарии (тактики, техники) реализации угроз безопасности
информации;
к) определять источники и причины возникновения компьютерных
инцидентов;
9
л) проводить инвентаризацию систем и сетей, анализ уязвимостей,
тестирование на проникновение систем и сетей с использованием
соответствующих автоматизированных средств;
м) оценку уровня защищенности (аудит) систем и сетей и содержащейся в
них информации.
DK
Для оценки угроз безопасности информации рекомендуется привлекать
специалистов, обладающих следующими знаниями и умениями:
а) основ оценки рисков, а также основных рисков от нарушения
функционирования систем и сетей и нарушения безопасности обрабатываемой
информации (далее – информационные риски);
б) угроз безопасности информации и способов их реализации
(возникновения);
в) тактик и техник проведения компьютерных атак (реализации угроз
безопасности информации);
г) основных типов компьютерных инцидентов и причин их
возникновения;
д) основных уязвимостей систем и сетей;
е) нормативных правовых актов по созданию и функционированию
систем и сетей, защите информации (обеспечению безопасности) в них,
основных (критических) процессов (бизнес-процессов) обладателя информации
и (или) оператора;
ж) оценивать информационные риски;
з) классифицировать и оценивать угрозы безопасности информации;
и) определять сценарии (тактики, техники) реализации угроз безопасности
информации;
к) определять источники и причины возникновения компьютерных
инцидентов;
9
л) проводить инвентаризацию систем и сетей, анализ уязвимостей,
тестирование на проникновение систем и сетей с использованием
соответствующих автоматизированных средств;
м) оценку уровня защищенности (аудит) систем и сетей и содержащейся в
них информации.
специалистов, обладающих следующими знаниями и умениями:
а) основ оценки рисков, а также основных рисков от нарушения
функционирования систем и сетей и нарушения безопасности обрабатываемой
информации (далее – информационные риски);
б) угроз безопасности информации и способов их реализации
(возникновения);
в) тактик и техник проведения компьютерных атак (реализации угроз
безопасности информации);
г) основных типов компьютерных инцидентов и причин их
возникновения;
д) основных уязвимостей систем и сетей;
е) нормативных правовых актов по созданию и функционированию
систем и сетей, защите информации (обеспечению безопасности) в них,
основных (критических) процессов (бизнес-процессов) обладателя информации
и (или) оператора;
ж) оценивать информационные риски;
з) классифицировать и оценивать угрозы безопасности информации;
и) определять сценарии (тактики, техники) реализации угроз безопасности
информации;
к) определять источники и причины возникновения компьютерных
инцидентов;
9
л) проводить инвентаризацию систем и сетей, анализ уязвимостей,
тестирование на проникновение систем и сетей с использованием
соответствующих автоматизированных средств;
м) оценку уровня защищенности (аудит) систем и сетей и содержащейся в
них информации.
И?
АП
😂 наверно по такому принципу и работают законодатели "плохой закон лучше чем никакой", к тому же поручение есть.
Зачем писать четкие понятные термины, прислушиваться к общественным обсуждениям, расчитывать затраты на выполнение, прогнозировать его эффект. И так сойдет 😕
Зачем писать четкие понятные термины, прислушиваться к общественным обсуждениям, расчитывать затраты на выполнение, прогнозировать его эффект. И так сойдет 😕
😂😂 люто плюсую
V
Для организации работы экспертной группы рекомендуется определять
специалиста по защите информации (обеспечению информационной
безопасности), имеющего стаж работ не менее трех лет и практический опыт
оценки информационных рисков. В экспертную группу для оценки угроз
безопасности информации рекомендуется включать специалистов, имеющих
опыт работы не менее одного года по соответствующему направлению
деятельности, в котором проводится оценка угроз безопасности информации.
специалиста по защите информации (обеспечению информационной
безопасности), имеющего стаж работ не менее трех лет и практический опыт
оценки информационных рисков. В экспертную группу для оценки угроз
безопасности информации рекомендуется включать специалистов, имеющих
опыт работы не менее одного года по соответствующему направлению
деятельности, в котором проводится оценка угроз безопасности информации.
S
На то, чтобы заказать прям вот готовую нормальную МУ у тех полутора контор, которые действительно умет их разрабатывать, - да, нет ресурсов.
А вот взять на работу толкового пацана с горящими глазами, только получившего "диплом поибе" - есть. Особенно если учесть, что таких пацанов сейчас готовят даже в сельскохозяйственных институтах :)
Да, толковый пацан полноценную модель угроз не нарисует. Но порывшись пару месяцев на хабре, в MITRE и куче других открытых источников 3-4 самых очевидных вектора он обозначит и самые очевидные решения от них предложит.
Учитывая, что сейчас у этих СУКИИ нет представления даже об этих очевидных векторах, это уже будет всяко лучше плача Ярославны про #денегнет
А вот взять на работу толкового пацана с горящими глазами, только получившего "диплом поибе" - есть. Особенно если учесть, что таких пацанов сейчас готовят даже в сельскохозяйственных институтах :)
Да, толковый пацан полноценную модель угроз не нарисует. Но порывшись пару месяцев на хабре, в MITRE и куче других открытых источников 3-4 самых очевидных вектора он обозначит и самые очевидные решения от них предложит.
Учитывая, что сейчас у этих СУКИИ нет представления даже об этих очевидных векторах, это уже будет всяко лучше плача Ярославны про #денегнет
Насчёт плача это да, но вы тоже не все процессы в стране и отдельном предприятии видите. Слишком много разных процессов на деньги завязано. Поставьте себя на место ГД крупного промышленного предприятия и поймёте, что ИБ это совсем не самое главное. Но вы же не ставите себя на их место, вы их взламываете)
V
Дмитрий, вот серьезно про выпускника кафедры ИБ с сельховуза?