Приветствую!
Создание психологического и методического портрета потенциального злоумышленника — задача комплексная и нетривиальная. Она требует не только технических знаний, но и понимания человеческой природы.
Почему так сложно представить противника?
Эффективная защита информационной инфраструктуры невозможна без четкого понимания, кто является вашим оппонентом и каким арсеналом он располагает. В отличие от моделирования атак, о котором мы говорили ранее, моделирование нарушителя сталкивается с уникальной проблемой: специалист по информационной безопасности, как правило, никогда не встречал и, вероятно, не встретит своего противника в реальной жизни. Мы вынуждены противостоять «невидимому врагу», что часто порождает иллюзии и искажения в оценке рисков.
Кроме того, человеческая психика склонна бояться того, что выглядит страшным, а не того, что представляет реальную опасность. Это мешает объективной и взвешенной оценке возможностей нарушителя.
ВАЖНО: Данный материал носит исключительно ознакомительный характер и призван помочь читателям избежать противоправных действий, а не поощрить к ним.
Психологическая ловушка для ИБ-специалиста
При оценке угроз специалисты часто впадают в одну из двух крайностей: либо недооценивают ценность защищаемых активов (мысль «да кому мы нужны?»), что ведет к выбору минимального уровня защиты, либо, наоборот, переоценивают их значимость, возводя избыточные и неоправданно сложные защитные барьеры. Осознание этих когнитивных искажений — первый шаг к построению адекватной модели угроз.
Внутренний или внешний: откуда ждать атаки?
Актуальность темы возросла с публикацией проекта методики ФСТЭК России. В документе нарушители делятся на две категории: внешние (не имеющие легитимного доступа) и внутренние (имеющие такие полномочия). Однако эти определения не покрывают все сценарии. Например, как классифицировать сотрудника, который атакует корпоративную сеть из дома, используя свои учетные данные?
Для большей точности предлагается уточнить формулировки:
- Внешний нарушитель — субъект без легитимных прав доступа, осуществляющий атаку извне защищаемого периметра систем и сетей.
- Внутренний нарушитель — субъект, обладающий правами доступа, который может реализовывать угрозы как изнутри, так и извне периметра.
Важно понимать, что это деление условно. Внешний злоумышленник, скомпрометировав учетную запись легитимного пользователя, моментально «превращается» во внутреннего, получая его права. Поэтому с практической точки зрения ключевым становится вопрос не происхождения, а возможностей нарушителя.
Ключевой вопрос: что он умеет?
Методика предлагает для каждой категории определять виды нарушителей и их возможности. Однако логичнее было бы разделить эти понятия. Проведем аналогию: выбирая способ самообороны, вы в первую очередь оцениваете возможности нападающего — его физическую силу, наличие подручных средств, холодного или огнестрельного оружия. Его социальный статус или принадлежность к субкультуре в этот момент вторичны.
Так и в ИБ: важно понять, какими инструментами и навыками обладает оппонент, а не к какому условному «виду» его можно отнести. Вид нарушителя, определяемый на основе предположений о его целях, — понятие слишком абстрактное и может увести моделирование в сторону от реальных практических рисков.
Связь модели нарушителя с угрозами
В проекте методики прослеживается еще один пробел: недостаточно четко обозначена связь между смоделированным нарушителем (его видом и возможностями) и конкретными сценариями реализации угроз (тактиками и техниками атак). В описании последних модель нарушителя часто уже не фигурирует, что разрывает логическую цепочку анализа.
Вывод: знайте не лицо, а возможности
Классическая мудрость гласит, что врага нужно знать в лицо. В мире кибербезопасности это не всегда применимо. Гораздо продуктивнее и практичнее моделировать и оценивать в первую очередь возможности потенциального нарушителя и напрямую увязывать их с актуальными для вашей инфраструктуры угрозами. Такой подход позволяет выстроить наиболее эффективную и адекватную систему защиты.
Рекомендуем к прочтению: Простой анализ спроса на товары и услуги. Как узнать сколько людей хотят купить ваш товар.
Больше интересных статей здесь: Финансы.
Источник статьи: Как узнать своего врага в лицо.
