Model de amenințare

În domeniul securității computerelor , modelul amenințărilor este un proces prin care pot fi identificate, enumerate și prioritizate amenințările potențiale , cum ar fi vulnerabilitățile structurale - din perspectiva atacatorului ipotetic. Aceasta înseamnă că acest proces de identificare, numărare și prioritizare a amenințărilor potențiale cântărește un apărător și activele sale (date, sisteme etc.).

Teoretic, majoritatea oamenilor încorporează o formă de model de amenințare în viața lor de zi cu zi și nu își dau seama. Utilizatorii folosesc modelarea amenințărilor pentru a examina ce ar putea merge prost pe drumul spre serviciu dimineața pentru a lua măsuri preventive pentru a evita anumite accidente. Copiii sunt implicați în modelarea amenințărilor atunci când vine vorba de a determina cea mai bună modalitate de a atinge un obiectiv, evitând în același timp agresivitatea locului de joacă. Mai formal, modelarea amenințărilor a fost utilizată pentru a prioritiza pregătirea apărării militare încă din Antichitate.

În plus, un model de amenințare este întotdeauna ad hoc și niciodată definitiv, parametrii săi sunt în continuă evoluție, fie în ceea ce privește expunerea și vulnerabilitatea activelor apărătorilor, fie natura și resursele potențialilor lor adversari.

Ideea modelării amenințărilor se alătură principiului gestionării riscurilor .

Evoluția modelării amenințărilor computerizate

La scurt timp după începuturile de calcul partajat la începutul anilor 1960, oamenii au căutat modalități de a exploata vulnerabilitatea de securitate în scopuri personale. Acest lucru i-a determinat pe ingineri și informaticieni să dezvolte rapid concepte pentru modelarea amenințărilor la adresa sistemelor informatice.

Primele metodologii de modelare a amenințărilor se bazează pe conceptul de modele arhitecturale prezentat pentru prima dată de Christopher Alexander în 1977. În 1988, Robert Banard a dezvoltat și a aplicat cu succes primul profil pentru un atacator de sisteme informatice.

În 1994, Edward Amoroso a prezentat conceptul arborelui amenințărilor în cartea sa „Fundamentals of Computer Technological Security”. Conceptul arborelui amenințărilor s-a bazat pe diagrame ale arborelui decizional. Arborii amenințării sunt reprezentați grafic ca o amenințare potențială pentru un sistem informatic care poate fi exploatat.

NSA și DARPA au efectuat în mod independent , de lucru similare pe o reprezentare grafică structurată a modului de atacuri specifice împotriva sistemelor informatice pot fi executate. Reprezentarea finală a fost numită „copaci de atac”. În 1998, Bruce Schneier și-a publicat analiza riscurilor cibernetice folosind copaci de atac în scrierea sa intitulată „Către o metodologie pentru ingineria sistemelor sigure”. Acest document s-a dovedit a fi o contribuție decisivă la evoluția modelării amenințărilor pentru sistemele informatice. În analiza lui Schneier, obiectivul atacatorului este reprezentat ca un „nod rădăcină” cu mijloacele potențiale de atingere a obiectivului reprezentat ca un „nod frunză”. Utilizarea arborelui amenințărilor în acest mod a permis profesioniștilor în securitate să ia în considerare în mod sistematic mai mulți vectori de atac împotriva unei ținte definite.

În 1999, profesioniștii în securitate de la Microsoft Loren Kohnfelder și Praerit Gard au aplicat analiza arborelui amenințărilor Schneier pentru a dezvolta un mod metodic care urmărește să ia în considerare potențialele atacuri relevante pentru dezvoltarea mediului înconjurător de la Microsoft Windows. Modelul de amenințare STRIDE rezultat (STRIDE este un acronim pentru furt de identitate, manipulare a datelor, repudierea, divulgarea informațiilor, refuzul de serviciu, ridicarea privilegiului) a forțat profesioniștii din securitate să determine în mod sistematic cum un potențial atacator poate utiliza orice amenințare clasificată STRIDE la fiecare nod un arbore de tip Schneier.

În 2003, a fost introdusă pentru prima dată metoda OCTAVE (evaluarea operațională a amenințării critice, a activelor și a vulnerabilității), o metodă de modelare a amenințărilor bazată pe evaluarea riscurilor, cu accent special pe gestionarea riscurilor organizaționale. În 2004, Frank Swiderski și Window Snyder au scris „Threat Modeling” pentru Microsoft Press, unde au dezvoltat conceptul de utilizare a modelelor de amenințare pentru a crea aplicații sigure.

În 2014, Ryan Stillions își exprimă ideea că amenințările cibernetice pot fi exprimate cu diferite niveluri semantice, a propus modelul DML (Detection Maturity Level). Un atac este o instanțiere a unui scenariu de amenințare cauzat de un atacator specific cu un obiectiv specific în minte și o strategie pentru atingerea acestui obiectiv. Scopul și strategia reprezintă cele mai înalte niveluri semantice ale modelului DML. Apoi vine TPP (Tactica, Tehnicile și Procedurile) care reprezintă nivelurile semantice intermediare. Cel mai slab nivel semantic al modelului DML este instrumentele utilizate de atacatori, gazde și artefacte de rețea observate, cum ar fi adresele IP la cel mai scăzut nivel semantic. Instrumentele SIEM actuale furnizează în general numai indicatori la cele mai scăzute niveluri semantice. Prin urmare, este necesar să se dezvolte instrumente SIEM capabile să furnizeze indicatori de amenințare la niveluri semantice superioare.

Metode de modelare a amenințărilor

Teoretic, aplicarea practică a modelului de amenințare rezultă din aplicarea unei metodologii. Există multe metodologii de modelare pentru această implementare. Mai jos sunt câteva dintre cele mai populare metodologii.

Metodologia STRIDE

Abordarea STRIDE a modelării amenințărilor a fost introdusă în 1999 la Microsoft, ceea ce a permis dezvoltatorilor să găsească „amenințări la adresa produselor noastre”. Modelul de amenințare dezvoltat și publicat de Microsoft și mai concret referitor la metodologia STRIDE, include subiecte despre moduri și practici, resurse și puncte de plecare. De asemenea, atunci când se referă la „metodologia” Microsoft, este de obicei STRIDE.

PASTA (Proces pentru simularea atacurilor și analiza amenințărilor)

Procesul de simulare a atacurilor și analiza amenințărilor este o metodologie bazată pe risc care este împărțită în șapte etape. Această metodologie ajută la alinierea obiectivelor operaționale și a cerințelor tehnice, luând în considerare în același timp problemele de conformitate și analizele operaționale. Obiectivul metodei este de a oferi un proces dinamic de identificare, numărare și notare a amenințărilor. Când modelul de amenințări este complet, experții în securitate pot construi o analiză detaliată a amenințărilor identificate și apoi pot enumera controalele de securitate corespunzătoare. Această metodologie este destinată să ofere o viziune centrată pe atacator asupra aplicației și infrastructurii din care apărătorii să poată dezvolta o strategie de atenuare centrată pe active.

TRIKE

Metodologia TRIKE subliniază utilizarea modelelor de amenințare ca instrument de gestionare a riscurilor. În acest caz, modelele de amenințare se bazează pe un „model de cerință”. Modelul de cerințe stabilește nivelul de risc „acceptabil”, definit de părțile interesate, care este atribuit fiecărei clase de active. În urma analizei modelului de cerințe, rezultă un model de amenințare în care sunt enumerate amenințările și sunt atribuite valorile de risc. Modelul de amenințare completat este utilizat pentru a construi un model de risc bazat pe activ, roluri, acțiuni și expunerea la risc calculată.

ISO / IEC 27005

Standardul 27005 ISO este un standard internațional care abordează în mod specific gestionarea riscurilor în contextul securității computerului. Această metodă este împărțită în 6 etape: stabilirea contextului, evaluarea riscurilor, gestionarea riscului, acceptarea riscului, comunicarea riscului și apoi monitorizarea și reexaminarea riscului.

Procesul general acceptat de modelare a amenințărilor computerizate

Toate procesele de modelare a amenințărilor computerizate încep cu crearea unei reprezentări vizuale a aplicației și / sau a infrastructurii analizate. Aplicația / infrastructura este împărțită în diferite elemente pentru a facilita analiza. Odată finalizată, reprezentarea vizuală este utilizată pentru a identifica și enumera potențialele amenințări. O analiză suplimentară a modelului în ceea ce privește riscurile asociate cu amenințările identificate, stabilirea priorității amenințărilor și enumerarea măsurilor adecvate de atenuare depinde de baza metodologică a procesului utilizat pentru modelul de amenințare.

Reprezentări vizuale bazate pe diagrame de flux de date

Metodologia Microsoft, PASTA și Trike dezvoltă fiecare o reprezentare vizuală a infrastructurii aplicației utilizând Diagrame de flux de date (DFD). DFD-urile au fost dezvoltate pentru prima dată în anii 1970 ca un instrument pentru ingineri pentru a comunica, la un nivel înalt, despre modul în care circula o aplicație, a fost stocată și manipulată de infrastructura pe care rulează. DFD-urile folosesc doar patru simboluri unice: fluxuri de date, date magazine, procese și interacțiuni. La începutul anilor 2000, a fost adăugat un simbol suplimentar, Trust Limits, pentru a permite utilizarea DFD-urilor pentru modelarea amenințărilor.

Odată ce sistemul de infrastructură a aplicațiilor este împărțit în cinci componente, experții în securitate examinează fiecare punct de intrare a amenințărilor identificate împotriva tuturor categoriilor de amenințări cunoscute. Odată identificate potențialele amenințări, este posibil să se enumere măsurile de atenuare a controalelor de securitate sau să se efectueze scanări suplimentare.

Reprezentări vizuale bazate pe diagrame de flux de proces

Metodologia VAST distinge modelele de amenințare a aplicațiilor (ATM) de modelele operaționale sau de amenințare a infrastructurii (OTM).

Bancomatele sunt construite cu diagrame de flux de proces. Aceste diagrame au fost dezvoltate în 2011 ca un instrument pentru echipele de dezvoltare software Agile pentru a crea modele de amenințări bazate pe procesul de proiectare a aplicațiilor. Aplicațiile sunt împărțite în diferite caracteristici sau cazuri de utilizare. Fiecare caracteristică este descrisă în termeni de widget-uri sau blocuri de cod necesare pentru a construi acea caracteristică. Funcționalitățile sunt apoi conectate prin protocoale de comunicații. Vizualizarea rezultată este o hartă a modului în care un utilizator se deplasează prin diferitele caracteristici ale unei aplicații.

OTM-urile sunt construite cu diagrame de flux de date end-to-end foarte asemănătoare cu DFD-urile tradiționale. Diagramele fluxului de date de la un capăt la altul descompun un sistem computerizat în diferitele sale componente independente, grupate și partajate.

Odată ce ATM-ul sau OTM-ul este construit, metodologia specifică modul în care sunt identificate potențialele amenințări, listate, stabilite cu prioritate și asociate cu riscurile relevante și cu atenuarea controalelor de securitate.

Instrumente de modelare a amenințărilor

În prezent, există cinci instrumente de modelare a amenințărilor organizaționale:

• Instrumentul gratuit de modelare a amenințărilor Microsoft, Threat Modeling Tool (fostul instrument de modelare a amenințărilor SDL), folosește și metodologia de modelare a amenințărilor Microsoft, este bazat pe DFD și identifică amenințările pe baza sistemului de clasificare a amenințărilor. Este destinat în principal utilizării generale.
• IriusRisk oferă atât o versiune comunitară, cât și o versiune comercială a instrumentului. Acest instrument se concentrează pe crearea și menținerea unui model de amenințare vie în SDLC . Conduce procesul folosind chestionare complet personalizabile și biblioteci de modele de risc și se conectează la alte câteva instrumente diferite (OWASP ZAP, BDD-Security, Threadfix ...) pentru a permite automatizarea.
• securiCAD este un instrument de modelare a amenințărilor și de gestionare a riscurilor de la previziunea companiei scandinave. Este destinat gestionării securității cibernetice corporative, de la CISO la inginerul de securitate, inclusiv la tehnician. securiCAD efectuează simulări de atac automatizate asupra arhitecturilor IT actuale și viitoare, identifică și cuantifică riscurile la nivel global, inclusiv vulnerabilitățile structurale, și oferă suport pentru decizii bazate pe rezultate. securiCAD este disponibil în ediții comerciale și comunitare.
• SD Elements by Security Compass este o platformă de gestionare a cerințelor de securitate software care include capacități de modelare automată a amenințărilor. Un set de amenințări sunt generate prin completarea unui scurt chestionar cu privire la detaliile tehnice și factorii de conformitate ai aplicației. Contramăsurile sunt incluse ca sarcini realizabile pentru dezvoltatori care pot fi urmărite și gestionate pe tot parcursul SDLC.

Alte domenii de aplicare

Modelarea amenințărilor se aplică nu numai IT-ului, ci și altor domenii precum automobilele, construcțiile și automatizarea casei; în acest context, sunt modelate amenințările la adresa securității și confidențialității, cum ar fi informații despre profilurile de călătorie, timpii de lucru și condițiile de sănătate ale rezidenților, precum și atacurile fizice sau de rețea. Acesta din urmă ar putea folosi din ce în ce mai multe elemente de construcție inteligente, senzori (de exemplu, pentru a spiona locuitorul) și dispozitive de acționare (de exemplu, pentru deblocarea ușilor) disponibile.

Note și referințe

• (fr) Acest articol este preluat parțial sau în totalitate din articolul Wikipedia în limba engleză intitulat „  Modelul amenințării  ” ( vezi lista autorilor ) .

1. Snyder, Window. , Modelarea amenințărilor , Microsoft Press,2004( ISBN  0735619913 , OCLC  54974565 , citit online )
2. Electronic Frontier Foundation, „  O introducere în modelul amenințării  ”, Auto-protecție digitală împotriva supravegherii ,1 st august 2014( citiți online , consultat la 13 iunie 2017 )
3. (în) McMillan, Robert, „  „ Prima parolă computerizată din lume? A fost prea inutilă ”  ” , Wired Business ,2012( citește online )
4. Shostack, Adam (2014). „Modelarea amenințărilor: proiectarea pentru securitate” . John Wiley & Sons Inc: Indianapolis.
5. Amoroso, Edward G (1994). „Bazele tehnologiei securității computerelor” . AT&T Bell Labs. Prentice-Hall: Upper Saddle River.
6. Schneier, Bruce; și colab. (1998). „Către o metodologie de inginerie a unui sistem sigur” (PDF). Agenția Națională de Securitate: Washington.
7. „Modul de amenințare STRIDE” . Microsoft. 2016.
8. Alberts, Christopher (2003). „Introducere în abordarea OCTAVE®” (PDF). Institutul de inginerie software, Carnegie Mellon: Pitsburg.
9. Stillions, Ryan (2014). „Modelul DML” . Blogul de securitate Ryan Stillions . Ryan Stillions.
10. Bromander, Siri (2016). „Modelarea semantică a ciberneticii” (PDF). Tehnologie semantică pentru informații, apărare și securitate (STIDS 2016).
11. Kohnfelder, Loren; Garg, laudă. „Amenințări pentru produsele noastre” . Microsoft. Adus la 20 septembrie 2016.
12. Ucedavélez, Tony și Marco M. Morana (2015). „Modelarea amenințărilor centrate pe risc: proces pentru simularea atacurilor și analiza amenințărilor ”. John Wiley & Sons: Hobekin.
13. Eddington, Michael, Brenda Larcom și Eleanor Saitta (2005). „Document metodologic Trike v1” . Octotrike.org .
14. Agarwal, Anurag "Archie" (2016). „Modelarea amenințării aplicației față de modelarea operațională a amenințărilor” . ThreatModeler.com .
15. „Ce este nou cu Microsoft Threat Modeling Tool 2016” . Blog securizat Microsoft . Microsoft. 2015.
16. „Instrumentul de gestionare a riscurilor Irius” . Securitate continuă. 2016.
17. „  foreseeti - securiCAD  ” , pe foreseeti.com (accesat la 27 noiembrie 2018 )
18. "Cyber ​​Threat Modeling and Risk Management - securiCAD by foreseeti" . foreseeti.
19. „SD Elements by Security Compass” . www.securitycompass.com . Adus 24/03/2017.
20. http://publications.lib.chalmers.se/records/fulltext/252083/local_252083.pdf
21. „  Evaluarea nivelului de risc  ” , la ssd.eff.org (accesat la 27 noiembrie 2018 )
22. https://www.djan-gicquel.fr/IMG/pdf/modele_menaces.pdf „Introducere în modelele de amenințare”, DJAN Gicquel (accesat la 27 noiembrie 2018)
23. Meyer, D.; Haase, J; Eckert, M.; Klauer, B. (01.07.2016). „Un model de amenințare pentru construcții și automatizarea locuințelor”. 2016