понедельник, 7 апреля 2014 г.

Природа риска. Часть 3. Факторы риска


Абстагируемся немного от шкал и математики риска ИБ, о которых я начал размышлять в Частях 1 2 (соответственно). И, вангую, их тьма будет в следующих частях. Поговорим о тех существенных компонентах (факторах), которые собственно и составляют риск. В свое время был крайне впечатлен методикой факторного анализа информационных рисков Джека Джонса, но в то же время мне на давал покоя тот факт, что в разные "ветки" декомпозиции попадали сильно (на мой взгляд) связанные компоненты.

Другой "срез" - графовое представление перечня рисков - рассматривает совокупность факторов всех рисков и для системной идентификации подходит отлично... но "вычлененные" отдельные риски было очень сложно оценить по одной простой причине: я начал оценивать не то, что нужно. Оценка "частоты проявления угрозы", "величины уязвимости", "величины сообщества нарушителей" и "последствий реализации угрозы" - как по стандартам давало хорошие результаты на небольших перечнях рисков. На больших же происходила потеря взаимосвязи...

Постараюсь пояснить. Предположим у нас был риск "хищение денег из систем ДБО вследствие внедрения банковского трояна загруженного через другую ОС (live-cd) администратором домена". Разложили по полочкам:

Актив: деньги в ДБО
1. Последствия: хищение
2. Угроза: внедрение банковского трояна
3. Уязвимости: возможность загрузки с другой ОС, отсутствие контроля за действиями сисадминов, низкая лояльность, недостаточный уровень ответственности...
4. Нарушитель: системный администратор

Оценивая данные параметры, что последствия - это результат реализации этой конкретной угрозы на этот конкретный актив. Уязвимость - свойства этого актива (вернее так должно быть, но в результате непонимания "чего оценивать" мы вынуждены записывать в категорию уязвимости все предпосылки), которые может использовать этот нарушитель, а угроза - способ воздействия, который может осуществить этот нарушитель, проэксплуатировав эту уязвимость.

Таким образом мы на самом деле оцениваем не "угрозы", "уязвимости", "активы" и "нарушителей", а связи между ними. Отсутствие одной связи порождает отсутствие риска. Но что характеризуют данные связи? Размышления привели к такой вот таблице:


Над названиями конечно еще нужно поработать. Но идея следующая:

1. Мотивация (связь актива и нарушителя) – насколько нарушитель заинтересован в воздействии на указанный актив
2. Подверженность (связь актива и угрозы) – насколько актив подвержен данной угрозе
3. Принадлежность (связь актива и уязвимости) – насколько уязвимость характерна для данного актива
4. Возможности (связь угрозы и нарушителя) – насколько широкими ресурсами (правами доступа) необходимо обладать нарушителю для реализации угрозы
5. Квалификация (связь уязвимости и нарушителя) – насколько высокой квалификацией необходимо обладать нарушителю для эксплуатации уязвимости
6. Характер (связь угрозы и уязвимости) – насколько вероятна реализация данной угрозы через данную уязвимость

(Кстати, кое-что позаимствовано из методики OWASP). В этом случае всякие "нелояльности" и "отсутствия ответственности" плавно перейдут в оценку мотивации нарушителя, а "возможности" в оценку возможности... а в уязвимостях останется то, что там и должно быть 0-дэйз, несвоевременность обновления, некорректность настроек и ошибки вендоров АВ. 

На первый взгляд проводя такую оценку мы увеличиваем объем работы по оценке рисков. Ответ как в том анекдоте про автомат для бритья: "В первый раз - да...". Но управление рисками это процесс - а такая система гораздо эффективнее по трудозатратам при переоценке рисков и, к тому же, менее субъективна.