Cyber Monday — framework DREAD, kolejny przykład modelowania zagrożeń
Mamy drugi poniedziałek czerwca i czwartą, przed ostatnią publikację z obszaru modelowania zagrożeń.
Dzisiaj naszym bohaterem będzie framework DREAD.
DREAD to framework, który opracowany został przez firmę Microsoft i opublikowany po raz pierwszy w 2002 roku przez Davida LeBlanca i Michaela Howarda.
Jest świetnym uzupełnieniem modelu STRIDE, którego opis znajdziesz tutaj: STRIDE Framework
Co kryje się pod nazwą DREAD?
DREAD dzieli się na 5 następujących kategorii:
Damage Potential (Potencjalne szkody)
Jak duże szkody może wyrządzić zagrożenie, jeśli zostanie wykorzystane?
Przykłady:
Wysokie (10) — utrata wszystkich danych klientów, co może prowadzić do strat finansowych i reputacyjnych.
Średnie (5) — ujawnienie danych osobowych użytkowników, które mogą być wykorzystane do kradzieży tożsamości.
Niskie (1) — ujawnienie informacji, które są publicznie dostępne i nie stanowią zagrożenia dla prywatności ani bezpieczeństwa.
Reproducibility (Reprodukcyjność)
Jak łatwo można powtórzyć atak lub wykorzystać podatności?
Przykłady:
Wysoka (10) — każdy, kto ma dostęp do przeglądarki internetowej, może powtórzyć atak bez specjalistycznej wiedzy.
Średnia (5) — atak wymaga pewnej wiedzy technicznej, ale jest możliwy do powtórzenia przez osoby z dostępem do odpowiednich narzędzi.
Niska (1) — atak wymaga zaawansowanej wiedzy technicznej i specjalistycznego sprzętu, co utrudnia jego powtórzenie.
Exploitability (Łatwość wykorzystania)
Jak łatwo jest przeprowadzić atak? Jakie zasoby i umiejętności są potrzebne?
Przykłady:
Wysoka (10) — atak może zostać przeprowadzony przez osoby bez specjalistycznej wiedzy przy użyciu powszechnie dostępnych narzędzi.
Średnia (5) — atak wymaga pewnych umiejętności technicznych i dostępu do narzędzi, które nie są ogólnie dostępne.
Niska (1) — atak wymaga zaawansowanej wiedzy i dostępu do specjalistycznych narzędzi, które są trudne do zdobycia.
Affected Users (Liczba dotkniętych użytkowników):
Ile osób lub systemów zostanie dotkniętych, jeśli zagrożenie zostanie wykorzystane?
Przykłady:
Wysoka 10 — zagrożenie dotyczy wszystkich użytkowników systemu, np. atak na centralny serwer przechowujący dane wszystkich klientów.
Średnia 5 — zagrożenie dotyczy grupy użytkowników, np. klientów korzystających z konkretnej usługi.
Niska (1) — zagrożenie dotyczy jedynie niewielkiej grupy użytkowników lub jednego użytkownika.
Discoverability (Wykrywalność):
Jak łatwo jest odkryć podatność lub zagrożenie?
Przykłady:
Wysoka (10) — podatność jest łatwa do wykrycia i dostępna publicznie, np. na stronach z bazą znanych podatności.
Średnia (5) — podatność jest znana, ale wymaga pewnej wiedzy do jej wykrycia.
Niska (1) — podatność jest trudna do wykrycia bez specjalistycznej wiedzy i narzędzi.
Zalety i wady
Zalety:
Prostota — framework jest stosunkowo prosty w implementacji i zrozumiały dla różnych interesariuszy;
Systematyczność — pomaga w systematycznym podejściu do oceny ryzyka;
Kontekst biznesowy — uwzględnia zarówno techniczne, jak i biznesowe aspekty ryzyka.
Wady:
Subiektywność — oceny mogą być subiektywne i zależne od osoby oceniającej;
Brak standaryzacji — nie ma jednolitych wytycznych, co może prowadzić do różnic w ocenie ryzyka w różnych organizacjach;
Nadmierne uproszczenie — może nie uwzględniać wszystkich aspektów bardziej złożonych zagrożeń.
Przykłady zastosowania DREAD
Rozważmy teraz kilka scenariuszy, w których możemy zastosować framework DREAD. Wszystkie poniższe dane są przykładowe i służą jedynie celom edukacyjnym.
Szczegółowy opis scenariuszy
Atak SQL Injection na aplikację webową — tego typu ataki mogą skutkować np. wyciekiem danych, co z kolei może doprowadzić do poważnych szkód. Są stosunkowo łatwe do powtórzenia, jeśli nie podejmiemy odpowiednich kroków i podatność nie zostanie załatana.
Kradzież hasła z pomocą socjotechniki — phishing jest powszechną metodą wyłudzania haseł i może dotknąć dużą liczbę użytkowników, jeśli atak jest dobrze zaplanowany.
Ransomware w sieci korporacyjnej — ransomware może zaszyfrować krytyczne dane, powodując poważne szkody organizacji. Należy również pamiętać że ataki tego typu mogą być trudne do wykrycia.
Podsłuchanie komunikacji przez Wi-Fi — tego typu ataki mogą prowadzić do przechwytywania wrażliwych danych, a ich powtarzalność jest wysoka, jeśli nie zastosuje się odpowiednich zabezpieczeń.
Nieaktualizowana aplikacja mobilna — może zawierać liczne podatności, które mogą być wykorzystane przez atakujących. Brak aktualizacji zwiększa ryzyko ataku.
Atak DDoS na stronę e-commerce — tego typu ataki mogą zakłócić działalność firmy, poprzez niedostępność usług, wpływając na dużą liczbę użytkowników i powodując znaczne straty finansowe.
Luka w oprogramowaniu do zarządzania zasobami — może prowadzić do poważnych problemów, jeśli podatność zostanie wykorzystana, ale wymaga specyficznej wiedzy do jej odkrycia i wykorzystania.
EPILOG
Framework DREAD może być bardzo skutecznym narzędziem w ocenie ryzyka, jednak ważne jest, aby jego użycie było odpowiednio dostosowane do specyfiki danej organizacji. Co prawda Microsoft w 2008 roku porzucił podejście do bezpieczeństwa DREAD, między innymi ze względu na jego subiektywność, ale uważam, że może on być świetnym uzupełnieniem szerszego procesu zarządzania ryzykiem, pomagając w identyfikacji i priorytetyzacji zagrożeń.
