Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Новости проекта

Отраслевые новости

Угрозы

Преступления

Наказания

Партнеры


Журнал "Information Security"

Каталог "IT-Security"

Рекламодателям

Сотрудничество


Материалы

Форум

ITSec Weekly

Календарь

Публикации

Подписка

Контакты

Ссылки

Партнеры

Мероприятия

 
    Как правильно читать угрозы безопасности банка данных угроз (УБИ ФСТЭК)? - Форум по вопросам информационной безопасности

Форум по вопросам информационной безопасности

Как правильно читать угрозы безопасности банка данных угроз (УБИ ФСТЭК)?

К списку тем | Добавить сообщение


Автор: Gdsf | 93006 12.05.2018 20:30
Вот пример угрозы из БДУ ФСТЭК:

УБИ №8: Угроза восстановления аутентификационной информации
Угроза заключается в возможности подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе.
Источник: Внешний нарушитель с низким потенциалом
Объект воздействия №1: Системное программное обеспечение
Объект воздействия №2: микропрограммное обеспечение
Объект воздействия №3: учётные данные пользователя

Как ее прочесть для каждого объекта воздействия?
Я предполагаю что читать надо как-то так:
если на объект воздействия 1 совершить атаку в соответствии с угрозой 1, то у защищаемой информации нарушатся следующие свойства: конфа, целостность, доступность

Если учесть, что защищаемая информация в нашем случае это аутентификационная информация, то получаются следующие варианты прочтения данной угрозы:

для 1 объекта: если на "системное программное обеспечение" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации нарушатся следующие свойства: конфа, целостность, доступность

для 2 объекта: если на "микропрограммное обеспечение" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации нарушатся следующие свойства: конфа, целостность, доступность

для 3 объекта: если на "учётные данные пользователя" совершить атаку в соответствии с угрозой "подбора (например, путём полного перебора или перебора по словарю) аутентификационной информации дискредитируемой учётной записи пользователя в системе", то у аутентификационной информации (учетных данных) нарушатся следующие свойства: конфа, целостность, доступность

В третьем случае получается какой-то бред. Что я не правильно делаю: может я не правильно понимаю что есть защищаемые данные?

Автор: malotavr | 93007 13.05.2018 01:41
Вы прям заставляете прокачивать скилл чтения мыслей, ибо что именно имели в виду авторы, ведомо только им одним.

Судя по формулировкам ("время подбора ... определяется ... объёмом ... хеш-кода", "могут быть получены одинаковые результаты – хеш-коды"), они имели в виду восстановлении пароля по его хеш-значению. Восстановление может быть интерактивным (последовательными попытками аутентификации, тогда объект воздействия - программа, точнее - вычислительный процесс на ее основе) или поиском уже рассчитанного хеш-значения в Радужных таблицах (тогда объекта воздействия, строго говоря, нет, но можно считать им само восстанавливаемое хеш-значение, то бишь "учетные данные").

В любом случае, читать угрозы нужно следующим образом:
1. Просматриваем перечень угроз и выкидываем те, что заведомо не подходят
2. Берем угрозу, которая, судя по названию, потенциально может быть актуальной и пытаемся понять, какой способ ее реализации авторы имели в виду. Если ваша субъективная оценка описания варьируется от "непонятно" до "лютый бред", угрозу выкидываем.
3. Угрозы, описание которых вам понятны и которые вы считаете актуальными, включаем в моель угроз.
4. Самостоятельно формулируем недостающие угрозы, придерживаясь того стиля описания, который использован в БДУ.

Автор: oko | 93015 13.05.2018 11:13
*в сторону*
При брут-форсе (по словарю, по хэш, иначе) "доступность" и "целостность" не могут нарушаться! Потому что не оказывается воздействий на конечный объект (нарушитель только узнает требуемую ИОД, т.е. нарушает "конфиденциальность", а не искажает ее и не блокирует доступ к ней)...
Другой вопрос, если подобная атака влечет за собой срабатывание защитного механизма (например, блокировка доступа после N неверных попыток). Но авторами БДУ такая ситуация вряд ли рассматривалась (судя по формулировке), ага...

Автор: Gdsf | 93016 13.05.2018 11:21
to malotavr

"Судя по формулировкам ("время подбора ... определяется ... объёмом ... хеш-кода", "могут быть получены одинаковые результаты – хеш-коды"), они имели в виду восстановлении пароля по его хеш-значению. Восстановление может быть интерактивным (последовательными попытками аутентификации, тогда объект воздействия - программа, точнее - вычислительный процесс на ее основе) или поиском уже рассчитанного хеш-значения в Радужных таблицах (тогда объекта воздействия, строго говоря, нет, но можно считать им само восстанавливаемое хеш-значение, то бишь "учетные данные")."

Хм, а что же в таком случае будет выступать защищаемой информацией: учетные данные?

Автор: Dfg | 93022 13.05.2018 14:29
To oko
Там и написано , нарушение конфиденциальности .

https://bdu.fstec.ru/threat/ubi.008

Автор: oko | 93026 13.05.2018 18:13
to Dfg
А я по части конфиденциальности апеллировал не к БДУ. К БДУ был опус про доступность и целостность при блокировке атаки, ага...

Автор: malotavr | 93447 16.05.2018 23:10
> Хм, а что же в таком случае будет выступать защищаемой информацией: учетные данные?

В своих моделях угроз я пишу "получение несанкционированного доступа к информационной системе от имени зарегистрированного пользователя путем подбора его идентификатора и пароля" :)

Т.е. защищаемая информация - та, что в ИС, а учетные данные - это атрибуты безопасности, слабость которых позволяет реализовать угрозу. Т.е. то, что в УБИ.8 названо угрозой, с моей точки зрения - один из способов реализации совсем другой угрозы.

Автор: Gdsf | 93479 18.05.2018 00:06
to malotavr

Я тоже так решил делать, цель - защищаемая информация, та, что обрабатывается в ИС, а то что для нее используется другая информация (учетные данные), так это просто вектор реализации угрозы, перевалочный пункт, посредством которого достигают цели.

Автор: oko | 93480 18.05.2018 01:59
to Gdsf
Верно лишь отчасти. Никто никогда идентификаторы (аутентификаторы) наравне с полноценной ИОД не ставил, но... Если дверь банковского сейфа - единственный рубеж для грабителя, то ключ от этой двери должен стоить весьма дорого...

*в сторону*
С другой стороны, такие нюанс - чистой воды перфекционизм. Эх, когда-нибудь у меня дойдут руки до подобной четко выверенной и идеальной модели. Когда-нибудь, ага...

Просмотров темы: 637

К списку тем | Добавить сообщение



Добавить сообщение

Автор:
Компания:
E-mail:
Уведомлять о новых сообщениях в этой теме да
нет
Текст сообщения:
Введите код:









Реклама на сайте

ПОИСК

СВЕЖИЙ НОМЕР
ПОДПИСКА НА НОВОСТИ

 

 

 

 

Рейтинг@Mail.ru

Яндекс цитирования

Форум | Новинки | Объявления | iMag | Подписка | Публикации журнала | Материалы

Бесплатная подписка | Форум | Контакты | Ссылки | О чем этот сайт

Copyright © 2003-2013, ООО "Гротек"
Использование материалов сайта возможно при указании активной гиперссылки на главную страницу этого сайта. Ссылка должна выглядеть так: Itsec.Ru.