Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как правильно читать угрозы безопасности банка данных угроз (УБИ ФСТЭК)? - Форум по вопросам информационной безопасности

Как правильно читать угрозы безопасности банка данных угроз (УБИ ФСТЭК)? - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Автор: Gdsf | 93006 12.05.2018 20:30
Вот пример угрозы из БДУ ФСТЭК:

УБИ №8: Угроза восстановления аутентификационной информации
Угроза заключается в возможности подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе.
Источник: Внешний нарушитель с низким потенциалом
Объект воздействия №1: Системное программное обеспечение
Объект воздействия №2: микропрограммное обеспечение
Объект воздействия №3: учётные данные пользователя

Как ее прочесть для каждого объекта воздействия?
Я предполагаю что читать надо как-то так:
если на объект воздействия 1 совершить атаку в соответствии с угрозой 1, то у защищаемой информации нарушатся следующие свойства: конфа, целостность, доступность

Если учесть, что защищаемая информация в нашем случае это аутентификационная информация, то получаются следующие варианты прочтения данной угрозы:

для 1 объекта: если на "системное программное обеспечение" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации нарушатся следующие свойства: конфа, целостность, доступность

для 2 объекта: если на "микропрограммное обеспечение" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации нарушатся следующие свойства: конфа, целостность, доступность

для 3 объекта: если на "учётные данные пользователя" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации (учетных данных) нарушатся следующие свойства: конфа, целостность, доступность

В третьем случае получается какой-то бред. Что я не правильно делаю: может я не правильно понимаю что есть защищаемые данные?

Автор: malotavr | 93007 13.05.2018 01:41
Вы прям заставляете прокачивать скилл чтения мыслей, ибо что именно имели в виду авторы, ведомо только им одним.

Судя по формулировкам ("время подбора ... определяется ... объёмом ... хеш-кода", "могут быть получены одинаковые результаты – хеш-коды"), они имели в виду восстановлении пароля по его хеш-значению. Восстановление может быть интерактивным (последовательными попытками аутентификации, тогда объект воздействия - программа, точнее - вычислительный процесс на ее основе) или поиском уже рассчитанного хеш-значения в Радужных таблицах (тогда объекта воздействия, строго говоря, нет, но можно считать им само восстанавливаемое хеш-значение, то бишь "учетные данные").

В любом случае, читать угрозы нужно следующим образом:
1. Просматриваем перечень угроз и выкидываем те, что заведомо не подходят
2. Берем угрозу, которая, судя по названию, потенциально может быть актуальной и пытаемся понять, какой способ ее реализации авторы имели в виду. Если ваша субъективная оценка описания варьируется от "непонятно" до "лютый бред", угрозу выкидываем.
3. Угрозы, описание которых вам понятны и которые вы считаете актуальными, включаем в моель угроз.
4. Самостоятельно формулируем недостающие угрозы, придерживаясь того стиля описания, который использован в БДУ.

Автор: oko | 93015 13.05.2018 11:13
*в сторону*
При брут-форсе (по словарю, по хэш, иначе) "доступность" и "целостность" не могут нарушаться! Потому что не оказывается воздействий на конечный объект (нарушитель только узнает требуемую ИОД, т.е. нарушает "конфиденциальность", а не искажает ее и не блокирует доступ к ней)...
Другой вопрос, если подобная атака влечет за собой срабатывание защитного механизма (например, блокировка доступа после N неверных попыток). Но авторами БДУ такая ситуация вряд ли рассматривалась (судя по формулировке), ага...

Автор: Gdsf | 93016 13.05.2018 11:21
to malotavr

"Судя по формулировкам ("время подбора ... определяется ... объёмом ... хеш-кода", "могут быть получены одинаковые результаты – хеш-коды"), они имели в виду восстановлении пароля по его хеш-значению. Восстановление может быть интерактивным (последовательными попытками аутентификации, тогда объект воздействия - программа, точнее - вычислительный процесс на ее основе) или поиском уже рассчитанного хеш-значения в Радужных таблицах (тогда объекта воздействия, строго говоря, нет, но можно считать им само восстанавливаемое хеш-значение, то бишь "учетные данные")."

Хм, а что же в таком случае будет выступать защищаемой информацией: учетные данные?

Автор: Dfg | 93022 13.05.2018 14:29
To oko
Там и написано , нарушение конфиденциальности .

https://bdu.fstec.ru/threat/ubi.008

Автор: oko | 93026 13.05.2018 18:13
to Dfg
А я по части конфиденциальности апеллировал не к БДУ. К БДУ был опус про доступность и целостность при блокировке атаки, ага...

Автор: malotavr | 93447 16.05.2018 23:10
> Хм, а что же в таком случае будет выступать защищаемой информацией: учетные данные?

В своих моделях угроз я пишу "получение несанкционированного доступа к информационной системе от имени зарегистрированного пользователя путем подбора его идентификатора и пароля" :)

Т.е. защищаемая информация - та, что в ИС, а учетные данные - это атрибуты безопасности, слабость которых позволяет реализовать угрозу. Т.е. то, что в УБИ.8 названо угрозой, с моей точки зрения - один из способов реализации совсем другой угрозы.

Автор: Gdsf | 93479 18.05.2018 00:06
to malotavr

Я тоже так решил делать, цель - защищаемая информация, та, что обрабатывается в ИС, а то что для нее используется другая информация (учетные данные), так это просто вектор реализации угрозы, перевалочный пункт, посредством которого достигают цели.

Автор: oko | 93480 18.05.2018 01:59
to Gdsf
Верно лишь отчасти. Никто никогда идентификаторы (аутентификаторы) наравне с полноценной ИОД не ставил, но... Если дверь банковского сейфа - единственный рубеж для грабителя, то ключ от этой двери должен стоить весьма дорого...

*в сторону*
С другой стороны, такие нюанс - чистой воды перфекционизм. Эх, когда-нибудь у меня дойдут руки до подобной четко выверенной и идеальной модели. Когда-нибудь, ага...

Просмотров темы: 5762

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*