Un modello di minaccia è totalmente soggettivo o può essere basato su linee guida obiettive?

2

Sappiamo tutti che nel campo della sicurezza tutto dipende dal modello della minaccia, che in pratica significa che è necessario definire chi o cosa si sta proteggendo. Ma chi dovrebbe decidere questo e su quali basi oggettive? Poiché non puoi proteggere tutto da tutto , devi scegliere le minacce più probabili e concentrarti su quelle. Ma penso che sia difficile valutare la probabilità di una minaccia senza prendere decisioni soggettive, e non so se esiste un metodo o una raccolta di buone pratiche che possano aiutare.

Sto facendo questa domanda perché mi sono reso conto che non posso decidere da cosa proteggere. È facile dire "non aprire allegati da mittenti sospetti", ma chi decide chi è sospetto e in che modo esattamente? Potrebbe essere definito come "chiunque non sia nella tua lista di contatti", o "chiunque fintanto che non provenga da [inserisci qui il tuo paese canaglia preferito]", ma mi sembra molto soggettivo. Se non mi fido del mio browser potrei usarlo all'interno di una VM, se non mi fido della VM potrei usarla in una macchina con aria compressa, se non mi fido della macchina ... beh, non è mai finisce, quindi di nuovo, chi decide di cosa dovrei fidarmi e su quali basi? O per esempio, come faccio a sapere se dovrei proteggere dal governo, se sono probabilmente un obiettivo? Potrebbe sembrare che ci sia solo una linea sottile tra un modello di minaccia e la paranoia, ma almeno la vera paranoia può essere diagnosticata. Il medico controlla alcuni sintomi in un libro ufficiale e prende decisioni basate su questo (o almeno dovrebbe). Per analogia, se esistesse un metodo obiettivo per definire i modelli di minaccia, il dottore aprirà il suo libro e sarà come, "Sì, la Cina è ufficialmente considerata un paese canaglia per quanto riguarda l'infosec, quindi in questo caso devi assolutamente rifiutare l'e-mail venendo da lì ", o" No, nella tua situazione dovresti semplicemente fidarti del software nel repository ufficiale della tua distribuzione, se non ti fidi di questo, potresti essere paranoico e potrebbe dover prendere queste pillole ".

    
posta reed 23.04.2018 - 00:48
fonte

3 risposte

3

"non aprire allegati da mittenti sospetti" non è il tipo di cosa che inseriresti in un modello di minaccia. La minaccia è ciò che potrebbe essere nell'attaccamento. È una minaccia, non importa chi l'ha inviata (e non dare per scontato che provenga dall'indirizzo email specificato).

Inoltre, c'è una differenza tra l'identificazione delle minacce e la mitigazione delle minacce. Sì, l'hardware potrebbe essere compromesso e puoi identificarlo nel tuo modello di minaccia, il che non significa che tu faccia effettivamente qualcosa a riguardo. gestione dei rischi di base: evitare, mitigare, accettare o trasferire. Ad un certo livello, tutti accettano il rischio. È inevitabile. Identifica le tue minacce più probabili, calcola il tuo budget. Per ogni minaccia, calcolare il costo da evitare, mitigare e trasferire e quindi determinare se il costo è in linea con il rischio. Se lo fa, se non lo è, accetta il rischio o ottieni un budget maggiore.

Infine, il budget non è sempre una questione di soldi, è spesso tempo. Se il tuo rischio # 1 richiede dieci volte più tempo per mitigare, allora i tuoi n. 2 e n. 3 sono combinati, ma il tuo rischio n. 1 è leggermente più rischioso del n. 2, che è leggermente più rischioso del n. 3, quindi accetta il n. e # 3.

Non esiste una formula per questo, riguarda il giudizio.

    
risposta data 23.04.2018 - 05:30
fonte
2

Per rispondere alla domanda del titolo, puoi creare un modello di minaccia in modo obiettivo, prevedibile e ripetibile.

Uso un framework di 4 domande per la modellazione delle minacce:

  1. A cosa stiamo lavorando?
  2. cosa può andare storto?
  3. cosa faremo a riguardo?
  4. Abbiamo fatto un buon lavoro?

Gli elementi costitutivi specifici che utilizzi per ogni passaggio dipendono da chi sei, da dove ti trovi nella catena di approvvigionamento (i produttori di chip utilizzano tecniche diverse rispetto agli utenti finali).

Le tue domande sulla verosimiglianza fanno parte della risposta n. 3 e chiedi "ci preoccupiamo di questo?"

Vorrei suggerire che il luogo in cui la cornice crea problemi è l'ipotesi che è necessario concentrarsi sulle minacce più probabili. Questo suona come la maternità e la torta di mele, ma ci sono altri modi per risolvere la domanda, come per prima cosa le semplici correzioni.

Ad esempio, se si sta creando un sistema, è necessario correggere le autorizzazioni del bucket S3 senza tentare di valutare la probabilità di una violazione del bucket o della sua importanza. Dovresti, generalmente, TLS tutte le connessioni di rete.

Come utente finale, dovresti usare un gestore delle password e 2FA i tuoi account dove puoi, perché ci sono molte violazioni che perdono le tue password e il loro riutilizzo attraverso i siti ti mette a rischio. Dovresti attivare gli aggiornamenti automatici perché i produttori ti dicono che ci sono dei difetti e le correzioni sono piuttosto affidabili. Quindi questi sono modi a basso costo, a basso sforzo per far fronte a minacce obiettivamente comuni. Dovresti chiedere se hai bisogno di flash, java e office, che sono tre grandi client, spesso sfruttati, e ci sono dati in giro in vari report sulle minacce come quelli di Microsoft o Symantec per dirti questo. Ma non è necessario andare né alla ricerca originale né ai primi principi per decidere su quelli.

    
risposta data 23.04.2018 - 16:35
fonte
1

Bene, ci sono linee guida obiettive che possono aiutare, anche se non con tutto. E questo viene anche con la diagnosi della paranoia, ci sono alcune check-box di base, ma per alcune cose il medico deve usare la sua opinione e la sua esperienza.

Quindi, nel caso di informazioni-sec, hai due parametri importanti. Costo dell'attacco e guadagno dall'attacco. Quindi non devi difendere da un supercomputer da 10 milioni di dollari se stai proteggendo $ 100 di bitcoin. Non è redditizio per l'attaccante, quindi non attaccherà.

E costo annuo di difesa contro la perdita annuale causata da hack. Quindi non dovresti comprare $ 10.000 di firewall HW e altri strumenti per proteggere i tuoi $ 100 di bitcoin.

Questi due sono perlopiù obiettivi, tuttavia devi decidere da solo quanto apprezzi cose come le foto di famiglia o la tua privacy. Devi anche indovinare cosa valga la pena di queste cose per un aggressore. Idealmente non provocare mai aggressori, ad esempio affermando che il tuo sistema è impenetrabile. Questa è solo una ricetta per attirare tutti gli hacker con risorse e risorse quasi illimitate per infrangerlo.

    
risposta data 23.04.2018 - 01:03
fonte

Leggi altre domande sui tag