Threat Modeling для APT: почему процессы важнее уязвимостей

от

“Забыть о стандартном threat modeling для всех, это не просто совет, а необходимость. Когда вы имеете дело с APT, вы анализируете не технические уязвимости, а цепочки решений, доверие между людьми и внутреннюю культуру компании. Моделирование угроз для APT, это постоянное переосмысление не того, что вы защищаете, а того, кто, как и зачем к этому может прийти.”

От классического threat modeling к моделированию угроз APT

Традиционный threat modeling сосредоточен на приложениях и системах. Он работает с известными векторами атак, уязвимостями и использует методики вроде STRIDE. В фокуре — потенциальные уязвимости, которые может найти злоумышленник. Но APT-группа, это не злоумышленник, это команда. Их цель — не эксплойт, а результат: доступ к определённым данным, срыв критического процесса, долгосрочное влияние. Их действия системны, а не эпизодичны.

Обычный анализ угроз смотрит на «активы» как на серверы или базы данных. Для APT главным активом становится сама возможность организации работать: доверительные связи между отделами, схемы утверждения документов, доступ к системам технической поддержки. Угроза, это не SQL-инъекция, а внедрённый сотрудник или подделанная служебная записка, меняющая права доступа.

Значит, и threat modeling должен смещаться с технического уровня на операционный и человеческий. Это не отменяет проверку систем, но добавляет новый слой — анализ бизнес-процессов и социальных связей внутри организации.

Исходные допущения: мир, в котором живёт APT

Перед тем как строить модель, нужно принять несколько ключевых допущений. Они противоречат интуиции классической безопасности, но без них анализ будет неполным.

  • Оборона не идеальна. APT найдут способ проникнуть в периметр. Вопрос не в том, смогут ли они это сделать, а в том, как быстро вы это обнаружите и какую цену они заплатят.
  • Атака, это проект. У APT есть этапы: разведка, первоначальное проникновение, закрепление, горизонтальное перемещение, достижение цели, сокрытие следов. Ваша модель должна учитывать каждый этап как возможную точку обнаружения или срыва.
  • Цель не всегда — кража данных. Это может быть изменение данных (например, в системах учёта), саботаж производственного процесса, компрометация системы управления для будущего воздействия.

Новая система координат: активы, которые не видны в консоли

Первый шаг — переопределить активы. Вместо списка серверов и приложений, составьте карту критически важных процессов компании.

  • Процессные активы: Как принимается решение о крупной сделке? Какие инстанции проходит внутренний документ? Где и кем подписывается финансовый платёж?
  • Коммуникационные активы: Какие каналы связи используются для обсуждения конфиденциальных вопросов? Корпоративная почта, мессенджеры, личные встречи? Кто имеет доступ к архивам переписки?
  • Люди как активы и уязвимости: Кто является носителем уникальных знаний или полномочий? Кто имеет исключительные права доступа в обход стандартных процедур? Эти люди — и ключевой актив, и потенциальная цель для социальной инженерии.

Нанесите эти активы на схему, но не техническую, а организационную. Покажите связи между отделами, потоки информации, точки принятия решений. Эта карта станет основой для поиска уязвимостей.

Следующий уровень: уязвимости процесса, а не кода

Теперь наложите на карту процессов возможные уязвимости. Они редко имеют CVE-идентификатор.

  1. Уязвимости делегирования: Ситуация, когда сотрудник может временно передать свои полномочия другому лицу без должного контроля. APT могут использовать эту временную цепочку доверия.
  2. Уязвимости утверждения: Процедура, при которой решение считается принятым после автоматического согласования несколькими лицами. Если APT компрометируют одного из них, они могут влиять на исход.
  3. Уязвимости изоляции знаний: Когда критически важная информация известна слишком узкому кругу лиц. Их компрометация или ошибка парализует процесс. И наоборот, когда информация размазана по многим, что усложняет контроль за её целостностью.

Пример: процесс закупки дорогостоящего оборудования. Уязвимость может заключаться в том, что единственный человек из технического отдела проводит экспертизу, а финансисты подписывают платёж, не вникая в суть. APT, внедрившиеся в технический отдел, могут инициировать закупку ненужного или вредоносного оборудования.

Моделирование сценариев: от абстрактного «злоумышленника» к конкретной тактике

Классический threat modeling предлагает думать в категориях Spoofing, Tampering и других. Для APT это слишком общо. Вместо этого смоделируйте конкретные сценарии, основанные на известных техниках групп.

Возьмите за основу не абстрактные угрозы, а конкретные тактики из ATT&CK-матрицы, адаптировав их под ваш контекст. Например:

  • Сценарий «Внутренний агент»: Как сотрудник с легитимным доступом может незаметно скопировать или изменить критичные данные? Какие системы логирования отследят его аномальные действия, если он действует в рамках своих обычных полномочий, но с злым умыслом?
  • Сценарий «Цепочка доверия»: Как можно скомпрометировать не ключевую систему, а вспомогательную (например, систему управления пропусками или корпоративным порталом), чтобы через неё повлиять на доступ к главному активу?
  • Сценарий «Подмена процесса»: Как можно изменить утверждённый регламент работы, внедрив в него уязвимый шаг? Например, добавить обязательную отправку отчёта на внешний почтовый ящик для «резервного копирования».

Инструменты и фреймворки: что использовать кроме карточек и досок

Моделирование угроз для APT, это больше аналитическая работа, чем инструментальная. Тем не менее, структурировать её помогут:

  • Модифицированные диаграммы потоков данных (DFD): На классическую DFD наносятся не только данные, но и потоки ответственности, точки принятия решений и границы доверия между отделами.
  • Таблицы пересечения активов и сценариев: Простая таблица, где по вертикали — ваши ключевые процессные активы, а по горизонтали — смоделированные сценарии атак. На пересечении оценивается вероятность и потенциальный ущерб. Это помогает расставить приоритеты.
  • Карты кибер-убийства (Cyber Kill Chain): Полезны для визуализации этапов атаки и определения, на каком этапе какие меры защиты и обнаружения наиболее эффективны. Для APT цепочку нужно расширять, добавляя этапы долгосрочного планирования и разведки.

Главный инструмент, это сессии мозгового штурма с участием не только специалистов ИБ, но и руководителей бизнес-направлений, юристов, специалистов по внутренним процессам. Их взгляд на уязвимости процессов часто оказывается самым ценным.

Внедрение результатов: от модели к реальным контрмерам

Результат threat modeling — не отчёт, а план изменений. Модель должна напрямую влиять на три области:

  1. Архитектура безопасности и контроля доступа: Внедрение принципа наименьших привилегий на уровне бизнес-процессов. Например, разделение ролей так, чтобы для критического действия требовалось участие двух независимых сотрудников из разных отделов.
  2. Мониторинг и реагирование: Настройка SIEM и других систем на обнаружение аномалий, выявленных в сценариях. Если сценарий предполагает подмену документа на этапе согласования, нужны правила, отслеживающие изменения файлов в папках утверждения.
  3. Организационные меры и осведомлённость: Обновление регламентов, введение дополнительных проверок для ключевых процессов, обучение сотрудников распознаванию неочевидных признаков целевой атаки (например, запросы на уточнение деталей процессов от якобы коллег из других филиалов).

Важно, чтобы контрмеры были пропорциональны. Нельзя парализовать бизнес излишними проверками. Цель — не сделать атаку невозможной (это недостижимо), а значительно повысить её стоимость и сложность для APT, а также сократить время до обнаружения.

Жизненный цикл модели: почему это не разовое мероприятие

Компания меняется, меняются и APT. Threat modeling для целевых атак, это непрерывный процесс. Его нужно пересматривать в нескольких случаях:

  • После существенных изменений в бизнес-процессах или организационной структуре.
  • При внедрении новых критически важных систем.
  • После инцидентов безопасности, даже если они не были связаны с APT — они могут выявить ранее неучтённые уязвимости процессов.
  • При появлении новых тактик в отчётах об угрозах, актуальных для вашей отрасли.

Заведите практику регулярных (например, раз в квартал) сокращённых сессий по актуализации модели. Это держит команду в тонусе и позволяет своевременно реагировать на изменения как внутри, так и снаружи.

В конечном счёте, регулярное моделирование угроз для APT меняет саму культуру безопасности в компании. Оно переводит её из реактивного состояния в проактивное, заставляя думать не о дырах в брандмауэре, а о целостности и устойчивости бизнеса в условиях постоянной угрозы целевого воздействия.

Оставьте комментарий