Charakterystyka zagrożeń związanych z zasobami stanowi jedno z głównych zastosowań teorii charakteryzacji teoretycznej. Krótko mówiąc, charakterystyka zagrożeń związanych z zasobami służy dwóm celom. Po pierwsze, pozwala nam określić, czy dany typ przeciwnika rzeczywiście stanowi zagrożenie dla danego celu. Być może organizacja jest zaniepokojona, że grozi jej „dziecko skryptów” zaatakujące ich zastrzeżoną aplikację internetową; proces charakterystyki zagrożenia związanego z aktywami pozwala nam sprawdzić zasadność takiego przekonania, a jeśli okaże się ono fałszywe, ta sama teoria pozwala określić, skąd pochodzą rzeczywiste zagrożenia. Drugim celem procesu charakteryzowania zagrożeń związanych z aktywami jest: scharakteryzować zdolności i motywacje przeciwników, którzy naszym zdaniem stanowią realne zagrożenie dla celu. Zanim to się stanie, musimy przygotować się do charakteryzacji, badając „kogo” staramy się scharakteryzować.
Przygotowanie do charakteryzacji
Cytowana w poprzednim rozdziale analogia przyrównała kwestie związane z próbami scharakteryzowania każdego typu cyberprzestępców i ich zachowań podczas ataku na dany cel do fizyka jądrowego, który próbował wyliczyć każdą strukturę molekularną, charakteryzując ich zachowania względem siebie. Rozwiązanie, które przedstawiliśmy dla tego porównania, nie polegało na próbie wyliczenia wszystkich możliwych przeciwstawnych zachowań, ale zamiast tego, aby opracować teorię wyjaśniającą, dlaczego występują pewne zachowania – podobnie jak fizycy jądrowi teoretycznie wyjaśniają, dlaczego powstają określone struktury molekularne. Nawet teraz, gdy ustaliliśmy kilka kluczowych zasad, które poprowadzą nas przez charakterystykę zdolności, jakie posiada przeciwnik przeciw danemu celowi, ponownie stajemy przed tym samym problemem. Czy powinniśmy skorzystać z ustalonych przez nas zasad i skrupulatnie wyliczyć każdy możliwy profil przeciwnika, aby określić, jakie możliwości każdy stawia w stosunku do danego celu? W kontekście charakterystyki zagrożeń związanych z zasobami klucz do praktyczności zastosowane przedstawionych dotychczas zasad polega na określeniu tego, co jest dla Ciebie istotne. Istnieją dwa szerokie sposoby spojrzenia na teoretyczną charakterystykę zagrożeń dla aktywów:
* „Stąd może pochodzić nasze zagrożenie: chcę teraz zrozumieć zdolności i motywacje przeciwników w celu wprowadzenia środków odstraszających ataki ”
„To są moje docelowe właściwości. Jakie typy przeciwników przyciągnę? Jakie są ich możliwości i motywacja? ”
W obu przypadkach zakres charakterystyki można znacznie zawęzić z „wszystkich cyberprzestępców” po prostu patrząc na typy przeciwników, którzy będą zainteresowani Tobą jako celem.
UWAGA: Poniższe terminy są często używane w tym rozdziale i należy je rozumieć we właściwym kontekście:
- Cyber przeciwnik Zbiór zmiennych przechowywanych w środowisku i własność atakującego.
- Cel Zbiór zmiennych przechowywanych w ramach właściwości docelowej, a nie indywidualnego systemu informacyjnego
Określenie, co jest dla Ciebie istotne
W odniesieniu do charakterystyki zagrożenia związanego z zasobami; istnieje czteroetapowy proces myślowy, przez który musimy przejść, aby upewnić się, że przeciwnik, którego charakteryzujemy, stanowi realne zagrożenie, a nie tylko fałszywy alarm.
- Dla jakich cyberprzestępców moje aktywa stają się atrakcyjnym celem?
- Jaka jest motywacja cyberprzestępców?
- Jakie są ich możliwości?
- W jaki sposób możemy sprawić, aby inhibitory związane z atakiem były nie do przyjęcia dla przeciwnika?
Różne cele oznaczają różnych przeciwników
Dokonując charakterystyki zagrożenia, jakie przeciwnik stwarza dla określonego zasobu, należy wziąć pod uwagę realizm charakteryzowanego zagrożenia. Nie w sensie pytania, czy scharakteryzowane zagrożenie może rzeczywiście istnieć w świecie rzeczywistym, ale w sensie pytania, czy scharakteryzowane zagrożenie byłoby w pierwszej kolejności zainteresowane atakowaniem celu w określonym zakresie. Pamiętaj, że kiedy mówimy o celu, nie odnosimy się do indywidualnego systemu informacyjnego, ale odnosimy się do właściwości celu, składającej się z grupy elementów, które mogą składać się z wielu setek systemów informacyjnych, ale co ważniejsze, składa się z Ciebie ( właściciel). Więc kim jesteś? Czy jesteś bankiem? Czy jesteś agencją rządową? A może jesteś dostawcą usług internetowych (ISP). Nie jesteśmy tutaj, aby powiedzieć Ci, kim jesteś, ani pomóc Ci zrozumieć, jak wygląda Twój model biznesowy; powinieneś to wiedzieć lepiej niż ktokolwiek inny. Ponadto, jeśli twoja organizacja jest dużą, być może już wiesz, kim jest twój przeciwnik. Chcemy Ci powiedzieć, w jaki sposób możesz potwierdzić swoje podejrzenia co do tego, kim naprawdę są Twoi cyberprzestępcy, co ich motywuje i jakie mają możliwości zaatakowania Ciebie.
Różne cele oznaczają różne motywacje
Jak ustaliliśmy, analizując wpływ, jaki obiekt docelowy może mieć na czynniki motywujące (lub kierujące) atakiem przeciwnika, zmienne właściwości docelowej, takie jak właściciel celu, mogą zapewnić adwersarzowi wystarczającą motywację do zainicjowania ataku. Oczywiste jest, że różni cyberprzestępcy mają różne poziomy motywacji do angażowania się w ataki na różne cele, a zatem identyfikacja czynników motywujących wymaganych do zmuszenia przeciwnika do zaangażowania celu jest ważnym krokiem w zawężeniu liczby przeciwników, których należy scharakteryzować.
Różne zasoby oznaczają różne zestawy umiejętności
Choć może to być oczywiste, chociaż wielu cyberprzestępców posiada szeroki zakres umiejętności technicznych, z powodu stromych krzywych uczenia się, z którymi wiąże się to, prawie wszyscy przeciwnicy mają techniczne skłonności do tej czy innej technologii. Z tego powodu przeciwnicy często preferują cele ataku, które czują, że są bardziej zdolni do pójścia na kompromis poprzez zwiększone postrzegane prawdopodobieństwo sukcesu. Z punktu widzenia obrońcy jest to po prostu przypomnienie, że powinniśmy dalej ograniczać nasze poszukiwania przeciwnika do tych, którzy mają wystarczające zdolności, aby w pierwszej kolejności stanowić zagrożenie dla ataków. Weźmy pod uwagę dużego (fikcyjnego) licytatora internetowego, którego kierownictwo chciałoby spróbować scharakteryzować przeciwników, którzy stanowią największe zagrożenie dla obecności firmy w Internecie. Ze względu na ustalenia firmy z ubezpieczycielami, z biznesowego punktu widzenia nie ma rzeczywistych obaw dotyczących pojedynczych przypadków nieuczciwych zakupów dokonywanych za pośrednictwem witryny lub kradzieży danych uwierzytelniających poszczególnych użytkowników prowadzących do oszukańczych zakupów. Jednak firma obawia się, że przeciwnik może być w stanie zebrać lub zmodyfikować dane klientów przechowywane w systemach firmy, wykorzystując luki, które mogą istnieć w aplikacji aukcyjnej witryny sieci Web. Ponadto firma obawia się, że w podobny sposób przeciwnik może spowodować znaczne przestoje w witrynie sieci Web, skutkujące utratą zaufania klientów do firmy. Chociaż firma w tym scenariuszu jest codziennie atakowana, to, czego tak naprawdę szukają, to scharakteryzowanie nie przeciwników, którzy zawodzą w ich codziennych atakach, ale tych, którzy mają odpowiednie umiejętności techniczne, aby osiągnąć sukces podczas ataku na swój cel. Analizując, jakie zasoby techniczne (część obiektu zasobu atakującego) muszą być obecne, aby przeciwnik stał się realnym zagrożeniem dla organizacji, jesteśmy w stanie dodatkowo wyeliminować z charakterystyki przeciwników, którzy nie mają realnego znaczenia. Taka analiza zasobów technicznych wymaganych do tego, aby przeciwnik stał się przedmiotem poważnych obaw (biorąc pod uwagę parametry akceptacji ryzyka przez firmę), opierałaby się na właściwościach technicznych celu, takich jak wszelkie systemy operacyjne i oprogramowanie zastrzeżone lub strony trzeciej, z którego korzysta. Po zidentyfikowaniu technicznych właściwości celu może wejść do gry metryka techniki ataku wprowadzona w rozdziale 4. Na potrzeby tego przykładu załóżmy, że aktualnie rozważaną docelową właściwością techniczną jest publiczna aplikacja internetowa organizacji, napisana w Microsoft Active Server Pages (ASP) i obsługiwana przez bazę danych Microsoft SQL Server 2000.
UWAGA
Poniżej znajduje się podsumowanie kroków związanych z celem scharakteryzowania zagrożenia związanego z zasobami (do tej pory!):
- Ustal wspólny zestaw zmiennych posiadanych przez cyberprzestępców, którzy uważają dany cel za atrakcyjny.
- Zidentyfikuj zmienne (poza tym, że cel jest atrakcyjny), które mogą zmotywować przeciwnika do ataku.
- Dalsze udoskonalanie potencjalnych przeciwników poprzez identyfikację zmiennych ataku, które mogą spowodować, że przeciwnik będzie w stanie odnieść sukces w ataku na cel.
Zgodnie z tabelą wyników ataku błędów aplikacji sieci, przewidywany wynik ataku dla przeciwnika, który pomyślnie przejął cel za pośrednictwem bieżącej właściwości target (aplikacji ASP), wyniesie sześć, w przeciwieństwie do cztery osoby, które wiedziały o usterce w domenie publicznej. Celem tego ćwiczenia nie było przeprowadzenie teoretycznego ataku, ale wykazanie, że jeśli chodzi o biznes w naszym przykładowym scenariuszu, aby przeciwnik był realnym zagrożeniem, lub wymagałaby dość specyficznego zasobu technicznego – w tym przypadku Microsoft ASP i Microsoft SQL Server 2000. To pokazuje, że biorąc pod uwagę umiejętności wymagane do złamania zabezpieczeń celu, jesteśmy w stanie dalej eliminować pewne zmienne przeciwnika, pomagając nam zawęzić w dół listy cyberprzestępców do tych, którzy mają największe znaczenie.
Wady aplikacji internetowej Publiczne Prywatne
Zastrzeżona penetracja aplikacji: 3 5
Wstrzyknięcie SQL
Penetracja aplikacji typu open source: 3 5
Wstrzyknięcie SQL
Zastrzeżona penetracja aplikacji: 2 4
Wstrzyknięcie dowolnego kodu
Penetracja aplikacji typu open source: 2 4
Wstrzyknięcie dowolnego kodu
Zastrzeżona penetracja aplikacji: 3 5
Wykonywanie poleceń systemu operacyjnego przy użyciu wtrysku SQL (MS SQL)
Zastrzeżona penetracja aplikacji: 3 5
Wykonywanie poleceń systemu operacyjnego przy użyciu SQL Injection (Sybase)
Zastrzeżona penetracja aplikacji: 4 6
Tylko SQL Injection (MS SQL)
Zastrzeżona penetracja aplikacji: 6 8
Tylko wtrysk SQL (IBM DB2)
Zastrzeżona penetracja aplikacji: 6 8
Tylko wstrzyknięcie SQL (Oracle)
Pokazuje to, że biorąc pod uwagę umiejętności wymagane do skompromitowania celu, jesteśmy w stanie dalej eliminować pewne zmienne przeciwnika, pomagając nam zawęzić listę cyber przeciwników do tych, którzy mają największe znaczenie.