Угроза (компьютерная безопасность)

В компьютерной безопасности угроза — это потенциальное негативное действие или событие, вызванное уязвимостью , которое приводит к нежелательному воздействию на компьютерную систему или приложение.

Угроза может представлять собой либо негативное « преднамеренное » событие (т. е. взлом: отдельный взломщик или преступная организация), либо « случайное » негативное событие (например, возможность неисправности компьютера или возможность стихийного бедствия , такого как землетрясение , пожар или торнадо ) или иное обстоятельство, возможность, действие или событие ( инцидент часто используется как общий термин). ^[1] Субъект угрозы , который представляет собой отдельное лицо или группу, которые могут выполнить угрожающее действие, например, использовать уязвимость для реализации негативного воздействия. Эксплойт — это уязвимость, которую злоумышленник использовал для возникновения инцидента.

Стандартные определения

Более полное определение, связанное с точкой зрения обеспечения информации , можно найти в « Федеральных стандартах обработки информации (FIPS) 200, Минимальные требования безопасности для федеральной информации и информационных систем » Национального института стандартов и технологий Соединенных Штатов Америки. ^[2]

Любое обстоятельство или событие, которое потенциально может отрицательно повлиять на деятельность организации (включая миссию, функции, имидж или репутацию), активы организации или отдельных лиц через информационную систему посредством несанкционированного доступа, уничтожения, раскрытия, изменения информации и/или отказа в ее предоставлении. услуга. Кроме того, вероятность того, что источник угрозы успешно воспользуется определенной уязвимостью информационной системы .

Национальный глоссарий по обеспечению информации определяет угрозу как:

Любое обстоятельство или событие, которое может оказать негативное влияние на ИС посредством несанкционированного доступа, уничтожения, раскрытия, изменения данных и/или отказа в обслуживании.

ENISA дает аналогичное определение: ^[3]

Любое обстоятельство или событие, которое может оказать негативное влияние на актив [G.3] посредством несанкционированного доступа, уничтожения, раскрытия, изменения данных и/или отказа в обслуживании.

Открытая группа определяет угрозу как: ^[4]

Все, что способно действовать таким образом, что может причинить вред активу и/или организации; например, стихийные бедствия (погода, геологические события и т. д.); злоумышленники; ошибки; неудачи .

Факторный анализ информационного риска определяет угрозу как: ^[5]

угрозы – это все (например, объект, вещество, человек и т. д.), способное воздействовать на актив таким образом, что это может привести к причинению вреда. Торнадо — это угроза, как и наводнение, как и хакер. Ключевым соображением является то, что угрозы применяют силу (воду, ветер, код эксплойта и т. д.) к активу, что может привести к возникновению события потери.

Национальный центр обучения и образования по обеспечению информации дает более четкое определение угрозы : ^[6]^[7]

Средства, с помощью которых может проявиться способность или намерение агента угрозы отрицательно повлиять на автоматизированную систему, объект или операцию. Классифицируйте угрозы следующим образом: Категории Классы Человеческие Намеренные Ненамеренные Экологические Природные Вымышленные 2. Любое обстоятельство или событие, потенциально способное причинить вред системе в форме уничтожения, раскрытия, изменения или данных и/или отказа в обслуживании. 3. Любое обстоятельство или событие, которое может нанести вред системе или деятельности ADP в форме уничтожения, раскрытия и изменения данных или отказа в обслуживании. Угроза – это потенциальный вред. Наличие угрозы не означает, что она обязательно причинит реальный вред. Угрозы существуют из-за самого существования системы или деятельности, а не из-за какой-либо конкретной слабости. Например, угроза пожара существует на всех объектах независимо от степени противопожарной защиты. 4. Типы неблагоприятных событий, связанных с компьютерными системами (т. е. опасностей), которые могут привести к убыткам. Примерами являются наводнения, саботаж и мошенничество. 5. Утверждение, касающееся прежде всего субъектов внешней среды (агентов); мы говорим, что агент (или класс агентов) представляет угрозу одному или нескольким активам; пишем: T(e;i) где: e — внешняя сущность; i — внутренняя сущность или пустой набор. 6. Нежелательное событие, которое можно было предвидеть, но которое не является результатом сознательного действия или решения. При анализе угроз угроза определяется как упорядоченная пара <peril; категория активов>, указывающая на характер этих событий, но не на детали (детали специфичны для событий). 7. Потенциальное нарушение безопасности. 8. Набор свойств конкретного внешнего объекта (который может быть как отдельным лицом, так и классом объектов), который в сочетании с набором свойств конкретного внутреннего объекта предполагает риск (согласно совокупности знаний).

Феноменология

Термин «угроза» относится к некоторым другим основным терминам безопасности, как показано на следующей диаграмме: ^[1]
Ресурс (как физический, так и логический) может иметь одну или несколько уязвимостей, которые могут быть использованы агентом угрозы в ходе действия по угрозе. Результат потенциально может поставить под угрозу конфиденциальность , целостность или доступность ресурсов (потенциально отличных от уязвимых) организации и других вовлеченных сторон (клиентов, поставщиков).
является так называемая триада ЦРУ Основой информационной безопасности .

Атака , может быть активной когда она пытается изменить системные ресурсы или повлиять на их работу: таким образом, она ставит под угрозу целостность или доступность. « Пассивная атака » пытается получить или использовать информацию из системы, но не затрагивает системные ресурсы: таким образом, она ставит под угрозу конфиденциальность. ^[1]

OWASP: взаимосвязь между агентом угрозы и влиянием на бизнес

OWASP (см. рисунок) описывает то же явление в несколько иных терминах: агент угрозы посредством вектора атаки использует слабое место (уязвимость) системы и соответствующие меры безопасности, вызывая техническое воздействие на ИТ-ресурс (актив), связанный с бизнесом. влияние.

Набор политик, связанных с управлением информационной безопасностью, системы управления информационной безопасностью (СУИБ), был разработан для управления, в соответствии с принципами управления рисками , контрмерами для реализации стратегии безопасности, установленной в соответствии с правилами и положениями, применимыми в страна. Контрмеры также называются мерами безопасности; Применительно к передаче информации они называются службами безопасности . ^[8]

Общая картина представляет факторы риска сценария риска. ^[9]

Широкое распространение компьютерных зависимостей и последующее усиление последствий успешной атаки привели к появлению нового термина «кибервойна» .

Сегодня во многих реальных атаках психология используется не меньше, чем технологии. Фишинг , предтекст и другие методы называются методами социальной инженерии . ^[10] Приложения Web 2.0 , в частности службы социальных сетей , могут быть средством установления связи с людьми, отвечающими за системное администрирование или даже безопасность системы, побуждая их раскрывать конфиденциальную информацию. ^[11] Один известный случай — Робин Сейдж . ^[12]

Самая распространенная документация по компьютерной безопасности касается технических угроз, таких как компьютерные вирусы , трояны и другие вредоносные программы , но серьезное исследование по применению экономически эффективных мер противодействия может быть проведено только после тщательного анализа ИТ-рисков в рамках СМИБ: технический подход позволит выпустить психологические атаки, которые увеличивают угрозу.

Классификация угроз

Угрозы можно классифицировать по типу и происхождению: ^[13]

Виды угроз:
- Физический ущерб: огонь, вода, загрязнение.
- Природные явления: климатические, сейсмические, вулканические.
- Потеря основных услуг: электроэнергии, кондиционирования воздуха, телекоммуникаций.
- Компрометация информации: подслушивание, кража носителей, извлечение выброшенных материалов.
- Технические сбои: оборудование, программное обеспечение, перенасыщение мощностей.
- Компрометация функций: ошибка в использовании, злоупотребление правами, отказ в действиях.

Обратите внимание, что тип угрозы может иметь несколько источников.

Умышленное: нацеленность на информационный актив
- шпионаж
- незаконная обработка данных
Случайный
- отказ оборудования
- сбой программного обеспечения
Относящийся к окружающей среде
- естественное событие
- потеря электропитания
Небрежность: известные, но игнорируемые факторы, ставящие под угрозу безопасность и устойчивость сети.

Тенденции угроз

Последние тенденции компьютерных угроз показывают рост атак программ-вымогателей, атак на цепочки поставок и бесфайловых вредоносных программ. Атаки программ-вымогателей включают в себя шифрование файлов жертвы и требование оплаты за восстановление доступа. Атаки в цепочке поставок нацелены на самые слабые звенья в цепочке поставок, чтобы получить доступ к ценным объектам. В атаках безфайлового вредоносного ПО используются методы, которые позволяют вредоносному ПО работать в памяти, что затрудняет его обнаружение. ^[14]

Распространенные угрозы

Ниже приведены несколько распространенных новых угроз:

● Компьютерные вирусы

● Троянские кони .

● Черви

● Руткиты

● Шпионское ПО

● Рекламное ПО

● Программы-вымогатели

● Бесфайловое вредоносное ПО .

Классификация угроз

Microsoft опубликовала мнемонику STRIDE . ^[15] из инициалов групп угроз:

Подмена личности пользователя
вмешательство
от ответственности Отказ
нарушение Раскрытие информации ( конфиденциальности или утечка данных )
Отказ в обслуживании (DoS)
Повышение привилегий

Ранее Microsoft оценивала риск угроз безопасности, используя пять категорий в классификации под названием DREAD: Модель оценки риска . Microsoft считает эту модель устаревшей.Категории были:

D повреждение – насколько серьезной будет атака?
Воспроизводимость – насколько легко воспроизвести атаку?
Эксплуатируемость – сколько работы нужно, чтобы начать атаку?
Затронутые пользователи – сколько людей пострадает?
Обнаруживаемость – насколько легко обнаружить угрозу?

Название DREAD происходит от инициалов пяти перечисленных категорий.

Распространение угроз по сети может привести к опасным ситуациям. В военной и гражданской сферах определен уровень угрозы: например, INFOCON — это уровень угрозы, используемый США. Ведущие производители антивирусного ПО публикуют на своих сайтах глобальный уровень угроз. ^[16]^[17]

Сопутствующие термины

Агенты или субъекты угроз

Термин «Агент угрозы» используется для обозначения человека или группы, которые могут проявить угрозу. Крайне важно определить, кто захочет эксплуатировать активы компании и как они могут использовать их против компании. ^[18]

Лица, входящие в состав угрожаемой популяции; Практически кто угодно и что угодно при определенных обстоятельствах может быть агентом угрозы: благонамеренный, но неумелый компьютерный оператор, который разрушает ежедневную пакетную работу, набрав неправильную команду, регулятор, проводящий аудит, или белка, которая пережевывает кабель для передачи данных. ^[5]

Агенты угроз могут предпринять одно или несколько из следующих действий против актива: ^[5]

Доступ – простой несанкционированный доступ
Неправомерное использование – несанкционированное использование активов (например, кража личных данных, установка службы распространения порно на скомпрометированном сервере и т. д.)
Раскрыть – агент угрозы незаконно раскрывает конфиденциальную информацию.
Модификация – несанкционированные изменения актива.
Запретить доступ – включает уничтожение, кражу активов, не являющихся данными, и т. д.

Каждое из этих действий по-разному влияет на разные активы, что определяет степень и характер потерь. Например, вероятность потери производительности в результате уничтожения или кражи актива зависит от того, насколько важен этот актив для производительности организации. Если к критически важному активу просто осуществляется незаконный доступ, прямой потери производительности не происходит. Аналогичным образом, уничтожение высокочувствительного актива, который не играет решающей роли в производительности, не приведет напрямую к значительному снижению производительности. Однако тот же самый актив, если он будет раскрыт, может привести к значительной потере конкурентного преимущества или репутации, а также повлечет за собой судебные издержки. Дело в том, что именно сочетание актива и вида действия в отношении актива определяет фундаментальный характер и степень убытков. Какое действие(я) предпримет агент угрозы, будет зависеть в первую очередь от мотива этого агента (например, финансовая выгода, месть, отдых и т. д.) и характера актива. Например, агент угрозы, стремящийся к финансовой выгоде, с меньшей вероятностью уничтожит критически важный сервер, чем легко украдет заложенный актив, такой как ноутбук. ^[5]

Важно разделить концепцию события, когда агент угрозы вступает в контакт с активом (даже виртуально, т.е. через сеть), и события, когда агент угрозы действует против актива. ^[5]

OWASP собирает список потенциальных агентов угроз, чтобы помешать разработчикам систем и программистам вставлять уязвимости в программное обеспечение. ^[18]

Агент угрозы = Возможности + Намерения + Прошлые действия

Этих лиц и группы можно классифицировать следующим образом: ^[18]

Нецелевые агенты угроз: Нецелевые агенты угроз — это компьютерные вирусы, черви, трояны и логические бомбы.
Сотрудники: персонал, подрядчики, эксплуатационный/обслуживающий персонал или охранники, которых раздражает компания.
Организованная преступность и преступники. Преступники охотятся за ценной для них информацией, такой как банковские счета, кредитные карты или интеллектуальная собственность, которую можно конвертировать в деньги. Преступники часто прибегают к помощи инсайдеров.
Корпорации: Корпорации занимаются наступательной информационной войной или конкурентной разведкой. Партнеры и конкуренты подпадают под эту категорию.
Человеческое, Непреднамеренное: Несчастные случаи, неосторожность.
Человеческий, намеренный: инсайдер, аутсайдер.
Природные: наводнение, пожар, молния, метеорит, землетрясения.

Источник угрозы

Источники угрозы – это те, кто желает достижения компромисса. Этот термин используется для того, чтобы отличить их от агентов/субъектов угроз, которые являются теми, кто осуществляет атаку и которых источник угрозы может поручить или убедить сознательно или неосознанно осуществить атаку. ^[19]

Сообщества угроз

Сообщества угроз

Подмножества общей популяции агентов угроз, которые имеют общие ключевые характеристики. Понятие «сообщества угроз» — мощный инструмент для понимания того, с кем и с чем мы сталкиваемся, пытаясь управлять рисками. Например, вероятность того, что организация подвергнется нападению со стороны террористического сообщества, будет во многом зависеть от характеристик вашей организации относительно мотивов, намерений и возможностей террористов. Связана ли организация с идеологией, которая противоречит известным активным террористическим группам? Представляет ли организация значимую и высокоэффективную цель? Является ли организация легкой мишенью? Как организация соотносится с другими потенциальными целями? Если организация подвергнется нападению, какие ее компоненты станут вероятной целью? Например, насколько вероятно, что террористы нападут на информацию или системы компании? ^[5]

Следующие сообщества угроз являются примерами ландшафта угроз со стороны человека, с которыми сталкиваются многие организации:

Внутренний
- Сотрудники
- Подрядчики (и поставщики)
- Партнеры
Внешний
- Киберпреступники (профессиональные хакеры)
- Шпионы
- Непрофессиональные хакеры
- Активисты
- Национальные разведывательные службы (например, аналоги ЦРУ и т. д.)
- Авторы вредоносных программ (вирусов, червей и т. д.)

Действия по угрозе

Угроза — это посягательство на безопасность системы.
Полная архитектура безопасности касается как преднамеренных действий (например, атак), так и случайных событий. ^[20]

Различные виды действий, связанных с угрозой, определяются как подстатьи раздела «Последствия угрозы».

Анализ угроз

Анализ угроз — это анализ вероятности возникновения и последствий действий, наносящих ущерб системе. ^[1] Это основа анализа рисков .

Моделирование угроз

Моделирование угроз — это процесс, который помогает организациям выявлять потенциальные угрозы для их систем и определять их приоритетность. Он включает в себя анализ архитектуры системы, выявление потенциальных угроз и определение их приоритетности на основе их воздействия и вероятности. Используя моделирование угроз, организации могут разработать упреждающий подход к безопасности и расставить приоритеты своих ресурсов для устранения наиболее значимых рисков. ^[21]

Разведка угроз

Анализ угроз — это практика сбора и анализа информации о потенциальных и текущих угрозах для организации. Эта информация может включать индикаторы компрометации, методы атак и профили субъектов угроз. Используя аналитику угроз, организации могут лучше понять ландшафт угроз и улучшить свои возможности по обнаружению угроз и реагированию на них. ^[22]

Последствия угрозы

Последствие угрозы — это нарушение безопасности, возникающее в результате действия угрозы. ^[1]
Включает раскрытие, обман, подрыв и узурпацию.

Следующие подстатьи описывают четыре вида последствий угроз, а также перечисляют и описывают виды угроз, которые вызывают каждое последствие. ^[1]Угрожающие действия, являющиеся случайными событиями, отмечены знаком «*».

«Несанкционированное раскрытие» (последствие угрозы)

Обстоятельство или событие, при котором организация получает доступ к данным, к которым у организации нет полномочий. (См.: конфиденциальность данных.). Следующие действия угрозы могут привести к несанкционированному раскрытию информации:

" Контакт "

Угроза, при которой конфиденциальные данные передаются непосредственно неавторизованному лицу. Это включает в себя:

«Преднамеренное разоблачение»: Преднамеренная передача конфиденциальных данных неавторизованному лицу.
« Мусорщица »: Поиск остатков данных в системе для получения несанкционированного доступа к конфиденциальным данным.
* « Человеческая ошибка »: Человеческое действие или бездействие, которое непреднамеренно приводит к тому, что организация получает несанкционированное знание конфиденциальных данных.
* «Аппаратная/программная ошибка»: Сбой системы, в результате которого субъект получает несанкционированное знание конфиденциальных данных.

« Перехват »:

Действие по угрозе, при котором неавторизованный объект получает прямой доступ к конфиденциальным данным, перемещающимся между авторизованными источниками и пунктами назначения. Это включает в себя:

" Кража ": Получение доступа к конфиденциальным данным путем кражи партии физического носителя, например магнитной ленты или диска, на котором хранятся данные.
«Прослушивание телефонных разговоров (пассивное)»: Мониторинг и запись данных, передаваемых между двумя точками в системе связи. (См.: прослушка .)
«Анализ излучений»: Получение прямых знаний о передаваемых данных путем мониторинга и разрешения сигнала, излучаемого системой и содержащего данные, но не предназначенного для передачи данных.

« Вывод »

Угрожающее действие, при котором неавторизованный объект косвенно получает доступ к конфиденциальным данным (но не обязательно к данным, содержащимся в сообщении), исходя из характеристик или побочных продуктов общения. Это включает в себя:

« Анализ трафика »: Получение знаний о данных путем наблюдения за характеристиками коммуникаций, по которым передаются данные.
«Анализ сигналов»: Получение косвенных знаний о передаваемых данных путем мониторинга и анализа сигнала, излучаемого системой и содержащего данные, но не предназначенного для передачи данных.

« Вторжение »

Угрожающее действие, при котором неавторизованный объект получает доступ к конфиденциальным данным, обходя средства защиты системы. Это включает в себя:

" Нарушение границ ": Получение несанкционированного физического доступа к конфиденциальным данным путем обхода средств защиты системы.
«Проникновение»: Получение несанкционированного логического доступа к конфиденциальным данным путем обхода средств защиты системы.
« Реверс-инжиниринг »: Получение конфиденциальных данных путем разборки и анализа конструкции компонента системы.
« Криптоанализ »: Преобразование зашифрованных данных в обычный текст без предварительного знания параметров или процессов шифрования.

« Обман » (последствие угрозы)

Обстоятельство или событие, которое может привести к тому, что уполномоченный орган получит ложные данные и поверит в их истинность. Следующие угрожающие действия могут стать причиной обмана:

"Маскарад"

Угрожающее действие, при котором неавторизованное лицо получает доступ к системе или совершает злонамеренное действие, выдавая себя за уполномоченное лицо.

"Обман": Попытка неавторизованного лица получить доступ к системе, выдавая себя за авторизованного пользователя.
«Злонамеренная логика»: В контексте маскарада — любое оборудование, встроенное или программное обеспечение (например, троянский конь), которое, по видимости, выполняет полезную или желательную функцию, но на самом деле получает несанкционированный доступ к системным ресурсам или обманом заставляет пользователя выполнить другую вредоносную логику.

« Фальсификация »

Угрожающее действие, при котором ложные данные вводят в заблуждение уполномоченный орган. (См.: активное прослушивание телефонных разговоров.)

« Замена »: Изменение или замена действительных данных ложными данными, которые служат для обмана уполномоченного лица.
« Вставка »: Внесение ложных данных, способствующих обману уполномоченного лица.

«Отказ»

Угрожающее действие, при котором одно лицо обманывает другое, ложно отказываясь от ответственности за действие.

«Ложное отрицание происхождения»: Действие, при котором создатель данных отказывается от ответственности за их создание.
«Ложный отказ в получении»: Действие, при котором получатель данных отказывается от получения и владения данными.

« Нарушение » (последствие угрозы)

Обстоятельство или событие, которое прерывает или препятствует правильной работе системных служб и функций. (См.: отказ в обслуживании .) Следующие действия по угрозе могут привести к сбоям в работе:

« Инвалидизация »

Угрожающее действие, которое предотвращает или прерывает работу системы путем отключения компонента системы.

«Злонамеренная логика»: В контексте вывода из строя любое оборудование, встроенное или программное обеспечение (например, логическая бомба), намеренно введенное в систему с целью разрушения системных функций или ресурсов.
«Физическое разрушение»: Умышленное разрушение компонента системы с целью прерывания или предотвращения работы системы.
* «Человеческая ошибка»: Действие или бездействие, приводящее к непреднамеренному отключению компонента системы.
* «Аппаратная или программная ошибка»: Ошибка, вызывающая выход из строя компонента системы и приводящая к нарушению работы системы.
* «Стихийное бедствие»: Любое стихийное бедствие (например, пожар, наводнение, землетрясение, молния или ветер), которое выводит из строя компонент системы. ^[20]

« Коррупция »

Угрожающее действие, которое нежелательным образом изменяет работу системы путем неблагоприятного изменения функций или данных системы.

« Тампер »: В контексте коррупции – преднамеренное изменение логики, данных или управляющей информации системы с целью прерывания или предотвращения правильной работы системных функций.
«Злонамеренная логика»: В контексте повреждения любое оборудование, встроенное или программное обеспечение (например, компьютерный вирус), намеренно внедренное в систему с целью изменения системных функций или данных.
* «Человеческая ошибка»: Человеческое действие или бездействие, которое непреднамеренно приводит к изменению функций системы или данных.
* «Аппаратная или программная ошибка»: Ошибка, которая приводит к изменению системных функций или данных.
* «Стихийное бедствие»: Любое природное событие (например, скачок напряжения, вызванный молнией), которое изменяет функции системы или данные. ^[20]

« Обструкция »

Угрожающее действие, которое прерывает предоставление системных служб, затрудняя работу системы.

« Вмешательство »: Нарушение работы системы путем блокировки коммуникаций или пользовательских данных или управляющей информации.
« Перегрузка »: Помехи в работе системы из-за чрезмерной нагрузки на производительность компонента системы. (См.: наводнение .)

« Узурпация » (последствие угрозы)

Обстоятельство или событие, которое приводит к контролю над системными службами или функциями неавторизованным лицом. Следующие действия угрозы могут стать причиной узурпации:

« Незаконное присвоение »

Угрожающее действие, при котором объект берет на себя несанкционированный логический или физический контроль над системным ресурсом.

«Кража услуги»: Несанкционированное использование услуги организацией.
«Кража функциональности»: Несанкционированное приобретение фактического оборудования, программного обеспечения или встроенного ПО компонента системы.
«Кража данных»: Несанкционированное получение и использование данных.

« Неправильное использование »

Угрожающее действие, которое заставляет системный компонент выполнять функцию или услугу, наносящую ущерб безопасности системы.

« Тампер »: В контексте неправильного использования — преднамеренное изменение логики, данных или управляющей информации системы, приводящее к выполнению системой несанкционированных функций или услуг.
«Злонамеренная логика»: В контексте неправильного использования любое оборудование, программное обеспечение или встроенное ПО, намеренно внедренное в систему для выполнения или контроля выполнения несанкционированной функции или услуги.
« Нарушение разрешений »: Действие объекта, которое превышает системные привилегии объекта путем выполнения неавторизованной функции.

Угрожающий ландшафт или окружающая среда

Коллекция угроз в определенном домене или контексте с информацией об выявленных уязвимых активах, угрозах, рисках, субъектах угроз и наблюдаемых тенденциях. ^[23]^[24]

Управление угрозами

Угрозами следует управлять путем использования СМИБ, выполняя все действия по управлению ИТ-рисками, предусмотренные законами, стандартами и методологиями.

Очень крупные организации, как правило, принимают планы управления непрерывностью бизнеса , чтобы защитить, поддерживать и восстанавливать критически важные бизнес-процессы и системы. Некоторые из этих планов реализуются группой реагирования на инциденты компьютерной безопасности (CSIRT).

Управление угрозами должно идентифицировать, оценивать и классифицировать угрозы. Существует два основных метода оценки угроз :

Многие организации применяют только часть этих методов, принимая контрмеры на основе несистематического подхода, что приводит к снижению компьютерной безопасности .

об информационной Осведомленность безопасности является важным рынком. Для борьбы с ИТ-угрозами было разработано множество программного обеспечения, включая как программное обеспечение с открытым исходным кодом, так и проприетарное программное обеспечение . ^[25]

Управление киберугрозами

Управление угрозами включает в себя широкий спектр угроз, включая физические угрозы, такие как наводнение и пожар. Хотя процесс оценки рисков СМИБ включает управление киберугрозами, такими как переполнение удаленного буфера, процесс оценки рисков не включает в себя такие процессы, как управление аналитикой угроз или процедуры реагирования.

Управление киберугрозами (CTM) становится лучшей практикой управления киберугрозами, выходящими за рамки базовой оценки рисков, присутствующей в СМИБ. Это обеспечивает раннее выявление угроз, осведомленность о ситуации на основе данных, точное принятие решений и своевременные действия по снижению угроз. ^[26]

СТМ включает в себя:

Ручной и автоматизированный сбор разведданных и анализ угроз
Комплексная методология мониторинга в реальном времени, включая передовые методы, такие как поведенческое моделирование.
Использование расширенной аналитики для оптимизации аналитики, создания информации о безопасности и обеспечения ситуационной осведомленности.
Технологии и квалифицированные специалисты, использующие ситуационную осведомленность для быстрого принятия решений и выполнения автоматических или ручных действий.

Охота за угрозами

Охота за киберугрозами — это «процесс упреждающего и итеративного поиска в сетях с целью обнаружения и изоляции сложных угроз, которые обходят существующие решения безопасности». ^[27] Это отличается от традиционных мер управления угрозами, таких как брандмауэры , системы обнаружения вторжений и SIEM , которые обычно включают расследование после того, как было получено предупреждение о потенциальной угрозе или произошел инцидент.

Поиск угроз может представлять собой ручной процесс, в ходе которого аналитик безопасности анализирует различную информацию о данных, используя свои знания и знакомство с сетью, для создания гипотез о потенциальных угрозах. Однако, чтобы быть еще более эффективным и действенным, поиск угроз можно также частично автоматизировать или использовать с помощью машин. В этом случае аналитик использует программное обеспечение, которое использует машинное обучение и аналитику поведения пользователей и объектов (UEBA), чтобы информировать аналитика о потенциальных рисках. Затем аналитик исследует эти потенциальные риски, отслеживая подозрительное поведение в сети. Таким образом, поиск — это итеративный процесс, а это означает, что он должен выполняться непрерывно в цикле, начиная с гипотезы. Существует три типа гипотез:

На основе аналитики: «Машинное обучение и UEBA используются для разработки агрегированных оценок рисков, которые также могут служить в качестве гипотез поиска». ^[28]
Ситуационная осведомленность: «Анализ драгоценности короны, оценка корпоративных рисков, тенденции на уровне компании или сотрудников» ^[28]
На основе аналитики: «Отчеты об угрозах, каналы данных об угрозах, анализ вредоносных программ, сканирование уязвимостей». ^[28]

Аналитик исследует свою гипотезу, просматривая огромные объемы данных о сети. Затем результаты сохраняются, чтобы их можно было использовать для улучшения автоматизированной части системы обнаружения и послужить основой для будущих гипотез.

Институт SANS провел исследования и опросы по эффективности поиска угроз, чтобы отслеживать и блокировать действия киберпреступников как можно раньше. Согласно опросу, проведенному в 2019 году, «61% [респондентов] сообщают об измеримом улучшении общего состояния безопасности как минимум на 11%», а 23,6% респондентов ощутили «значительное улучшение» в сокращении времени ожидания . ^[29]

Уменьшение угроз

Чтобы защитить себя от компьютерных угроз, важно регулярно обновлять программное обеспечение, использовать надежные и уникальные пароли и соблюдать осторожность при переходе по ссылкам или загрузке вложений. Кроме того, использование антивирусного программного обеспечения и регулярное резервное копирование данных могут помочь смягчить воздействие угрозы.

См. также

Охота за киберугрозами
Управление чрезвычайными ситуациями – решение всех гуманитарных аспектов чрезвычайных ситуаций, то есть социальных угроз.
Целевая группа по интернет-инжинирингу (IETF)
Аудит информационной безопасности
Информационная безопасность
Система обнаружения вторжений
ИТ-риск
Физическая безопасность
Управление уязвимостями

Ссылки

^ Перейти обратно: ^а ^б ^с ^д ^и ^ж Ширей, Р. (май 2000 г.). Глоссарий по интернет-безопасности . IETF . дои : 10.17487/RFC2828 . РФК 2828 . Информационный. Устарело РФК 4949 .
^ «Федеральные стандарты обработки информации (FIPS) 200, Минимальные требования безопасности для федеральной информации и информационных систем» (PDF) . Carc.nist.gov . Проверено 5 ноября 2013 г.
^ «Глоссарий – ЭНИСА» . Enisa.europa.eu. 24 июля 2009 года . Проверено 5 ноября 2013 г.
^ Таксономия технических стандартов рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.
^ Перейти обратно: ^а ^б ^с ^д ^и ^ж «Введение в факторный анализ информационного риска (FAIR)» (PDF) . Riskmanagementinsight.com . Ноябрь 2006 г. Архивировано из оригинала (PDF) 18 ноября 2014 г. . Проверено 5 ноября 2013 г.
^ Шу, Кори (1996). Справочник терминов INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и информацияОрганизация системной безопасности)
^ «Словарь терминов» . Niatec.info . 12 декабря 2011 года . Проверено 13 февраля 2012 г.
^ Райт, Джо; Джим Харменинг (2009). «15». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 257. ИСБН 978-0-12-374354-1 .
^ «ISACA: РИСКИ ИТ-СТРУКТУРЫ» (PDF) . Исака.орг . Проверено 5 ноября 2013 г. ( требуется регистрация )
^ Проектирование безопасности: руководство по созданию надежных распределенных систем, второе издание, Росс Андерсон, Wiley, 2008 г. - 1040 страниц. ISBN 978-0-470-06852-6 , глава 2, стр. 17.
^ Брайан Принс (7 апреля 2009 г.). «Использование Facebook для социальной инженерии для обеспечения безопасности» . Eweek.com . Проверено 5 ноября 2013 г.
^ «Социальная инженерия через социальные сети» . Networkworld.com . 4 октября 2010 г. Проверено 13 февраля 2012 г.
^ ISO/IEC, «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности». ISO/IEC FIDIS 27005:2008.
^ «Тенденции, статистика и факты в отношении программ-вымогателей в 2023 году» . Безопасность . Проверено 9 мая 2023 г.
^ «Модель угроз STRIDE» . msdn.microsoft.com . 12 ноября 2009 года . Проверено 28 марта 2017 г.
^ «McAfee Threat Intelligence | McAfee, Inc» . Mcafee.com . Проверено 13 февраля 2012 г.
^ «Threatcon – Symantec Corp» . Symantec.com . 10 января 2012 года. Архивировано из оригинала 9 марта 2007 года . Проверено 13 февраля 2012 г.
^ Перейти обратно: ^а ^б ^с «Категория: Агент угроз» . ОВАСП. 9 декабря 2011 года . Проверено 13 февраля 2012 г.
^ Стандарт HMG IA № 1. Оценка технических рисков.
^ Перейти обратно: ^а ^б ^с «FIPS PUB 31 ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ: ИЮНЬ 1974 ГОДА» (PDF) . Tricare.mil . Проверено 5 ноября 2013 г. ^{[ постоянная мертвая ссылка ]}
^ «Моделирование угроз | Фонд OWASP» . owasp.org . Проверено 9 мая 2023 г.
^ «Что такое анализ угроз? | IBM» . www.ibm.com . 2 ноября 2022 г. Проверено 9 мая 2023 г.
^ Ландшафт угроз ENISA и руководство по передовой практике для умного дома и конвергентных медиа (1 декабря 2014 г.)
^ Ландшафт угроз ENISA, 2013 г. - Обзор текущих и новых киберугроз (11 декабря 2013 г.)
^ см . в разделе «Категории: Компании, занимающиеся компьютерной безопасностью» , «Категория: Бесплатное программное обеспечение для обеспечения безопасности » и «Категория: Компании, занимающиеся программным обеспечением для компьютерной безопасности» . Частичные списки
^ «Что такое управление киберугрозами» . ioctm.org . Проверено 28 января 2015 г.
^ «Охота на киберугрозы: как эта стратегия обнаружения уязвимостей дает аналитикам преимущество – TechRepublic» . Техреспублика . Проверено 7 июня 2016 г.
^ Перейти обратно: ^а ^б ^с «Охота на киберугрозы – Sqrrl» . Скррл . Проверено 7 июня 2016 г.
^ Фукс, Матиас; Лемон, Джошуа. «Опрос SANS 2019 по поиску угроз: разные потребности новых и опытных охотников» (PDF) . Институт САНС . стр. 2, 16. Архивировано (PDF) из оригинала 1 марта 2022 года . Проверено 11 мая 2022 г.

Внешние ссылки

[rfc2828-1] Перейти обратно: ^а ^б ^с ^д ^и ^ж Ширей, Р. (май 2000 г.). Глоссарий по интернет-безопасности . IETF . дои : 10.17487/RFC2828 . РФК 2828 . Информационный. Устарело РФК 4949 .

[2] «Федеральные стандарты обработки информации (FIPS) 200, Минимальные требования безопасности для федеральной информации и информационных систем» (PDF) . Carc.nist.gov . Проверено 5 ноября 2013 г.

[3] «Глоссарий – ЭНИСА» . Enisa.europa.eu. 24 июля 2009 года . Проверено 5 ноября 2013 г.

[4] Таксономия технических стандартов рисков ISBN 1-931624-77-1 Номер документа: C081 Опубликовано The Open Group, январь 2009 г.

[FAIRW-5] Перейти обратно: ^а ^б ^с ^д ^и ^ж «Введение в факторный анализ информационного риска (FAIR)» (PDF) . Riskmanagementinsight.com . Ноябрь 2006 г. Архивировано из оригинала (PDF) 18 ноября 2014 г. . Проверено 5 ноября 2013 г.

[6] Шу, Кори (1996). Справочник терминов INFOSEC, версия 2.0. CD-ROM (Университет штата Айдахо и информацияОрганизация системной безопасности)

[7] «Словарь терминов» . Niatec.info . 12 декабря 2011 года . Проверено 13 февраля 2012 г.

[Vacca-8] Райт, Джо; Джим Харменинг (2009). «15». В Вакке, Джон (ред.). Справочник по компьютерной и информационной безопасности . Публикации Моргана Кауфмана. Elsevier Inc. с. 257. ИСБН 978-0-12-374354-1 .

[9] «ISACA: РИСКИ ИТ-СТРУКТУРЫ» (PDF) . Исака.орг . Проверено 5 ноября 2013 г. ( требуется регистрация )

[10] Проектирование безопасности: руководство по созданию надежных распределенных систем, второе издание, Росс Андерсон, Wiley, 2008 г. - 1040 страниц. ISBN 978-0-470-06852-6 , глава 2, стр. 17.

[11] Брайан Принс (7 апреля 2009 г.). «Использование Facebook для социальной инженерии для обеспечения безопасности» . Eweek.com . Проверено 5 ноября 2013 г.

[12] «Социальная инженерия через социальные сети» . Networkworld.com . 4 октября 2010 г. Проверено 13 февраля 2012 г.

[ISO27005-13] ISO/IEC, «Информационные технологии. Методы обеспечения безопасности. Управление рисками информационной безопасности». ISO/IEC FIDIS 27005:2008.

[14] «Тенденции, статистика и факты в отношении программ-вымогателей в 2023 году» . Безопасность . Проверено 9 мая 2023 г.

[15] «Модель угроз STRIDE» . msdn.microsoft.com . 12 ноября 2009 года . Проверено 28 марта 2017 г.

[16] «McAfee Threat Intelligence | McAfee, Inc» . Mcafee.com . Проверено 13 февраля 2012 г.

[17] «Threatcon – Symantec Corp» . Symantec.com . 10 января 2012 года. Архивировано из оригинала 9 марта 2007 года . Проверено 13 февраля 2012 г.

[OWASP-18] Перейти обратно: ^а ^б ^с «Категория: Агент угроз» . ОВАСП. 9 декабря 2011 года . Проверено 13 февраля 2012 г.

[19] Стандарт HMG IA № 1. Оценка технических рисков.

[FIPS31-20] Перейти обратно: ^а ^б ^с «FIPS PUB 31 ПУБЛИКАЦИЯ ФЕДЕРАЛЬНЫХ СТАНДАРТОВ ОБРАБОТКИ ИНФОРМАЦИИ: ИЮНЬ 1974 ГОДА» (PDF) . Tricare.mil . Проверено 5 ноября 2013 г. ^{[ постоянная мертвая ссылка ]}

[21] «Моделирование угроз | Фонд OWASP» . owasp.org . Проверено 9 мая 2023 г.

[22] «Что такое анализ угроз? | IBM» . www.ibm.com . 2 ноября 2022 г. Проверено 9 мая 2023 г.

[23] Ландшафт угроз ENISA и руководство по передовой практике для умного дома и конвергентных медиа (1 декабря 2014 г.)

[24] Ландшафт угроз ENISA, 2013 г. - Обзор текущих и новых киберугроз (11 декабря 2013 г.)

[25] см . в разделе «Категории: Компании, занимающиеся компьютерной безопасностью» , «Категория: Бесплатное программное обеспечение для обеспечения безопасности » и «Категория: Компании, занимающиеся программным обеспечением для компьютерной безопасности» . Частичные списки

[26] «Что такое управление киберугрозами» . ioctm.org . Проверено 28 января 2015 г.

[27] «Охота на киберугрозы: как эта стратегия обнаружения уязвимостей дает аналитикам преимущество – TechRepublic» . Техреспублика . Проверено 7 июня 2016 г.

[:0-28] Перейти обратно: ^а ^б ^с «Охота на киберугрозы – Sqrrl» . Скррл . Проверено 7 июня 2016 г.

[29] Фукс, Матиас; Лемон, Джошуа. «Опрос SANS 2019 по поиску угроз: разные потребности новых и опытных охотников» (PDF) . Институт САНС . стр. 2, 16. Архивировано (PDF) из оригинала 1 марта 2022 года . Проверено 11 мая 2022 г.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]

[11]

[12]

[13]

[14]

[15]

[16]

[17]

[18]

[19]

[20]

[21]

[22]

[23]

[24]

[25]

[26]

[27]

[28]

[29]

v т и Информационная безопасность
Related security categories	Computer security Automotive security Cybercrime Cybersex trafficking Computer fraud Cybergeddon Cyberterrorism Cyberwarfare Electromagnetic warfare Information warfare Internet security Mobile security Network security Copy protection Digital rights management	vectorial version
Threats	Adware Advanced persistent threat Arbitrary code execution Backdoors Bombs Fork Logic Time Zip Hardware backdoors Code injection Crimeware Cross-site scripting Cross-site leaks DOM clobbering History sniffing Cryptojacking Botnets Data breach Drive-by download Browser Helper Objects Viruses Data scraping Denial-of-service attack Eavesdropping Email fraud Email spoofing Exploits Fraudulent dialers Hacktivism Infostealer Insecure direct object reference Keystroke loggers Malware Payload Phishing Voice Polymorphic engine Privilege escalation Ransomware Rootkits Scareware Shellcode Spamming Social engineering Spyware Software bugs Trojan horses Hardware Trojans Remote access trojans Vulnerability Web shells Wiper Worms SQL injection Rogue security software Zombie
Defenses	Application security Secure coding Secure by default Secure by design Misuse case Computer access control Authentication Multi-factor authentication Authorization Computer security software Antivirus software Security-focused operating system Data-centric security Obfuscation (software) Data masking Encryption Firewall Intrusion detection system Host-based intrusion detection system (HIDS) Anomaly detection Information security management Information risk management Security information and event management (SIEM) Runtime application self-protection Site isolation