Комментарии 6
К сожалению в приведённых формулировках понятия угроза и уязвимость эквивалентно, это всегда сбивает с толку.
На мой взгляд - угроза это возможность использования уязвимости, в том числе нарушителями, внутренним или внешним.
А вот уязвимость - это архитектурная особенность (допущение) системы, которая может привести к сбоям (ускорение, снижение энергопотребление и т.п), однако для многих уязвимостей нет релевантных угроз в силу криптографической и, или физической обертки.
Формула верна, если угрозу мерять в вероятности возможности использования уязвимости, а это не просто - померяй вероятность доступа хакера к руту.
И вот тут возникает самый большой фейл - как считать риски зависимых угроз. Маленькая угроза может повлечь каскад других, или наоборот. Какие риски получатся в результате?
Ну и оценка активов под угрозой та ещё катавасия.
Борьба с этими проблемами ведётся по разным направлениям, но об этом в другой раз.
Согласен с вами, угрозы и уязвимости часто путают. Взять ту же БДУ ФСТЭК, в которой половина угроз это по сути уязвимости. Сюда же можно добавить ментальную ошибку, приучившую нас под уязвимостью понимать какую-нибудь CVE, которую надо устранить сканером уязвимостей и патчами. Хотя в широком смысле уязвимость это, как вы сказали, архитектурная особенность системы, т.е. любое ее свойство.
Честно говоря, я запутался в том, что Вы хотели довести. Из приведённых цитат я вижу, что риск - это, в первую очередь, вероятность [реализации угрозы (частный случай - реализация уязвимости)]. То есть вероятностная величина. По логике, я бы её измерял в % реализации за период. Дополнительно многие определения добавляют к риску ущерб. То есть величина должна измеряться в (процент*рубль)/год. Но, поскольку измерять таким методом - дело гиблое, то риск переводится в термины "приемлемо-неприемлемо" и чаще всего считается в баллах с учётом компенсирующих мер.
Отступление для пошутить. В ряде организаций риск измеряется по двухбалльной шкале: "риск высокий - риск очень высокий".
Так вот. Прочитал я статью и вижу: "Тут мы ведем community реестр рисков по такой 3х-звенной схеме, за основу берем MITRE ATT&CK, БДУ ФСТЭК...". Вы ведёте реестр ВЕРОЯТНОСТЕЙ, а в основе Банк данных УГРОЗ? Сложно =(
Собственно, я к чему это всё. Не является ли переусложнением считать риски как произведение угроза-уязвимость-актив? Разве это не ведёт к комбинаторному взрыву и избыточному числу рисков, которые нужно анализировать? Разве не будет проще считать, что угроза уже включает узявимость? Можно пример расчётов с использованием вашей базы? Можно отдельной статьёй.
В статье не идет речь про расчет рисков, это действительно отдельная большая тема, заслуживающая отдельного внимания. Хотел статьей навести резкость именно в формулировании рисков (возможно "плюсы" в формуле ввели в заблуждение).
Как вы предлагаете (включать уязвимость в угрозу) сделано в БДУ ФСТЭК, когда у нас под угрозой скрывается несколько абзацев описывающих как она может быть реализована и к чему привести. Поэтому такой подход не то что имеет место, но в каком то роде "узаконен" нашими регуляторами. Но в нем вижу проблему, ведь угроза может реализовываться множеством способов (через различные уязвимости) и каждая из этих уязвимостей может приводить к разным угрозам, так зачем копипастить уязвимости в карточках различных угроз если можно на техническом уровне разбить понятие риск на 3 составляющие (угроза, уязвимость и актив).
Насколько я понимаю, основная идея при включении уязвимости в угрозу в том, что уязвимости включаются предельно обобщённо, большей частью - как пример, а вообще говоря конкретные уязвимости нас не очень интересуют. Какая при выборе противодействия практическая разница, через какую именно уязвимость будет реализовываться угроза? Никакой же.
Когда нас интересуют конкретные уязвимости, мы читаем гайды по противодействию именно уязвимостям, типа OWASP, но там совершенно не про риски.
Практическим выхлопом из работы с терминологией всегда является применение выбранного термина. Что-то в Вашей идее интуитивно любопытное есть, но никак не могу сформулировать, что именно. В общем, очень жду от Вас прикладную статью и сравнение Вашего метода/термина со стандартным.
Нам важно понимать как будет реализовываться угроза (через какую уязвимость), потому что один из вариантов снижения риска это влияние на уязвимость, а не на угрозу.
Тут речь не про программные уязвимости типа CVE/NVD а про свойства активов, позволяющие угрозе реализоваться. Например:
Заражение ВПО из-за реагирования на фишинговые письма пользователем
Заражение ВПО из-за неработоспособности АВЗ на ОС Windows
Угроза одна, а уязвимости в разных активах, воздействие в каждом случае будет свое. При этом мы можем (если чутка касаться темы с расчетом рисков) смотреть как на атомарные риски так и, например, совокупную величину рисков связанных с угрозой Заражения ВПО.
Условно говоря угрозы - это короткие (и желательно понятные руководству) проблемы, а уязвимости в активах это то, почему эти проблемы могут произойти.
... и мы тут еще не касаемся темы с сценариями (цепочками угроз), это вообще вырви мозг =)
Базу и сервис на которые ссылался мы используем как раз на практике, для построения реестра рисков и расчетов, в том числе оценки влияния защитных мер, постараюсь описать поподробнее в новых статьях, спасибо за интерес.
Риски VS Угрозы