Целевая система — это объект в информационной инфраструктуре, в результате воздействия злоумышленника на который может непосредственно произойти недопустимое для организации событие. Эти системы являются конечной целью злоумышленника при реализации недопустимого события.
Целевые системы определяются для того, чтобы ограничить круг ресурсов, требующих усиленной защиты и мониторинга событий кибербезопасности в контексте недопустимого события. Выяснив, воздействие на какие системы может повлечь реализацию недопустимого события, и понимая, что это за воздействие, можно обеспечить более узконаправленную защиту вместо того, чтобы защищать все системы от всевозможных угроз на одинаковом уровне.
Для каждой целевой системы должны быть определены:
- наименование;
- IP-адрес и доменное имя (при наличии);
- действие в системе или воздействие на систему, которое приводит к реализации недопустимого события (оно должно быть конкретизировано применительно к целевой системе).
К работе по определению целевых систем рекомендуется привлекать:
- владельцев бизнес-процессов, в рамках которых возможна реализация недопустимых событий (целевых бизнес-процессов);
- специалистов подразделения информационных технологий;
- специалистов по кибербезопасности и тестированию на проникновение;
- представителей профильных подразделений, участвующих в целевых бизнес-процессах;
- других специалистов, чьи компетенции могут быть полезны рабочей группе для решения задач в рамках данной методологии.
Исходными данными для определения целевых систем являются:
- информация о недопустимых событиях и сценариях их реализации;
- описание бизнес-процессов организации;
- результаты инвентаризации информационных ресурсов;
- документация на сети и системы (включая схемы сетей);
- результаты тестирования на проникновение или верификации недопустимых событий;
- другая информация об объектах информационной инфраструктуры.
На этапе создания IT-инфраструктур целевые системы определяются на основе предполагаемых архитектуры и условий функционирования. В ходе эксплуатации IT-инфраструктур, в том числе при их модернизации, целевые системы определяются для реальных архитектуры и условий функционирования.
Определение целевых систем проводится в два этапа:
Этап 1
Основой для определения целевых систем служат . Так как каждый из сценариев связан с одним или несколькими целевыми бизнес-процессами, к определению целевых систем обязательно должны быть привлечены владельцы таких бизнес-процессов. Как правило, это функциональные (операционные) руководители ключевых подразделений.
Определить целевые бизнес-процессы можно еще на этапе формирования сценариев, но, если это не было сделано, необходимо выбрать те направления деятельности организации, в которых определены недопустимые события, провести интервью с руководителями ключевых функциональных подразделений в этих направлениях и выяснить, в чьей зоне ответственности находятся утвержденные сценарии реализации недопустимых событий.
Если сценарий реализуется в рамках бизнес-процесса проведения платежей контрагентам, то владельцем бизнес-процесса может быть директор финансово-экономического департамента. Если сценарий связан с выводом из строя производственного конвейера в цехе, то владельцем бизнес-процесса может быть главный инженер или главный технолог предприятия.
Определение целевых систем проводится в рамках рабочего совещания (или серии совещаний) с каждым владельцем целевых бизнес-процессов в отдельности. На таком совещании формируются гипотезы о целевых системах, которые впоследствии проверяются на практике. Гипотезы формулируются на основе определения конечной точки кибератаки — той системы и того действия злоумышленника в системе, которые вызывают наступление недопустимого события (реализацию соответствующего сценария). Как основу для подготовки плана совещания можно использовать примеры вопросов, приведенные в конце статьи в приложении А.
Для эффективного проведения совещания воспользуйтесь следующими рекомендациями:
| Шаг | Описание |
|---|
| 1. Предварительно подготовьте план встречи | - План проведения совещания должен однозначно отражать цели и предполагаемые результаты обсуждения.
- Встреча может включать презентационную часть для тех руководителей функциональных направлений, которые не осведомлены о подходе результативной кибербезопасности. Презентационная часть представляет собой вступительную беседу, в которой разъясняется суть предлагаемого подхода и образ результата решения задачи по определению целевых систем.
- Основой встречи должна стать совещательная часть. Она предполагает интервью с владельцами целевых бизнес-процессов. В рамках интервью важно задать вопросы, которые помогут определить перечень систем, на которых может быть реализовано недопустимое событие, а также те действия нарушителя в системе, которые повлекут за собой такое событие. |
| 2. Подготовьте презентационные материалы | Материалы должны отражать вводную информацию, описывающую концепцию определения целевых систем, их место в обеспечении кибербезопасности организации и подготовленные общие примеры с гипотезами о целевых системах. |
| 3. В ходе проведения совещания | - Важно получить информацию о том, какие системы задействованы в обеспечении целевого бизнес-процесса и определить те системы, которые являются конечной точкой в векторе атаки злоумышленника (целевые системы).
- Также важно понять, какое действие должен выполнить нарушитель в таких системах (или какое воздействие должен на них оказать), чтобы наступило недопустимое событие. При необходимости к совещанию могут привлекаться представители профильных подразделений, участвующих в целевом бизнес-процессе.
- К совещанию рекомендуется привлекать специалистов по кибербезопасности и тестированию на проникновение, которые обладают опытом взлома систем: они помогут дополнить перечень целевых систем теми, которые не могут быть определены без опыта тестирования на проникновение, а также сформулируют способы воздействия нарушителя на целевые системы. |
| 4. Подведение итогов и дальнейшие шаги | Итоги обсуждения закрепляются в протоколе совещания и на их основе формируется предварительный перечень целевых систем, в котором указывается их наименование и соответствующие действия нарушителя для реализации недопустимого события. Его проверка и уточнение будут выполняться позднее в рамках
практической проверки реализуемости недопустимых событий
. |
Этап 2
Для целевых систем, наименования которых сформулированы руководителями функциональных направлений на первом этапе, необходимо указать адреса и доменные имена (при наличии). Такая информация может быть получена в подразделении информационных технологий.
По результатам выполнения двух шагов составляется перечень целевых систем, в котором указываются:
- недопустимое событие;
- сценарии реализации недопустимого события;
- целевые системы (с привязкой к соответствующим сценариям);
- IP-адреса и доменные имена целевых систем;
- действия в целевой системе (или воздействие на систему), которые приведут к реализации недопустимого события.
Пример того, как может быть оформлен перечень целевых систем, приведен в конце статьи в приложении Б.
Количество целевых систем зависит от:
- количества недопустимых событий;
- количества сценариев реализации недопустимых событий;
- сложности целевых-бизнес-процессов.
Для каждого сценария реализации недопустимого события должна быть определена как минимум одна целевая система. Чем больше недопустимых событий и сценариев их реализации, тем больше целевых систем потребуется определить.
Сложность целевого бизнес-процесса может приводить к увеличению числа целевых систем: чем сложнее процесс, тем больше в нем может быть точек отказа.
Убедиться в правильности выбора целевых систем можно по результатам или . При организации таких работ одной из задач исполнителя должно стать выявление возможных неучтенных ранее сценариев реализации недопустимых событий и целевых систем, не вошедших в перечень недопустимых событий. При выявлении новых целевых систем и (или) сценариев реализации недопустимых событий, соответствующие перечни должны быть актуализированы.
До проведения практической верификации или киберучений определить правильность выбора целевых систем можно оценочно, используя критерии. Целевой может быть признана система, отвечающая следующим критериям:
- система задействована в целевом бизнес-процессе;
- существует такое действие в системе или воздействие на систему, которое приводит к реализации недопустимого события (непосредственно либо при условии связанной цепочки воздействий на другие системы).
Как использовать перечень целевых систем
Наименования целевых систем добавляются в перечень (реестр) недопустимых событий.
На этапе «приземления» недопустимых событий на IT-инфраструктуру .
На этапе целевые системы указываются в качестве конечных целей кибератаки для исполнителя работ.
При составлении программы кибертрансформации целевые системы становятся приоритетными точками приложения усилий по защите IT-инфраструктуры от кибератак.
В итоге перечень целевых систем позволяет перейти от недопустимых событий, сформулированных на языке бизнеса, к конкретным объектам в информационной инфраструктуре организации, сузить круг тех систем, которые требуют усиленной защиты и мониторинга в контексте реализации недопустимых событий.
| № | Вопрос | Ответ | Комментарий |
|---|
| 1 | Какие сценарии реализации недопустимых событий (из перечня недопустимых событий, утвержденного руководством организации), могут произойти в рамках тех направлений деятельности, которые входят в вашу зону ответственности? | Перечисление сценариев недопустимых событий. | Если не было выбрано ни одного сценария, вероятно, кандидат для интервью был выбран неверно и следует задать вопрос 6 |
| 2 | В рамках каких бизнес-процессов могут быть реализованы такие сценарии? Эти бизнес-процессы являются целевыми. | Перечисление целевых бизнес-процессов с привязкой к сценариям реализации недопустимых событий | В рамках одного сценария могут быть указаны несколько целевых бизнес-процессов. Для каждого сценария должен быть назван как минимум один целевой бизнес-процесс |
| 3 | Выделите самые значимые системы в рамках целевых бизнес-процессов и укажите, какие задачи они решают. | Перечисление наименований систем и задач, которые они решают в рамках соответствующего целевого бизнес-процесса | Для каждого целевого бизнес-процесса должна быть указана как минимум одна значимая система |
| 4 | На каких из перечисленных значимых систем может быть непосредственно реализовано недопустимое событие? | Перечисление наименований целевых систем | Для каждого сценария реализации недопустимого события должна быть определена как минимум одна целевая система. При этом система может оказаться целевой одновременно для нескольких сценариев (в том числе для разных недопустимых событий) |
| 5 | Поясните, в результате каких действий в целевой системе или какого воздействия на нее нарушитель сможет реализовать недопустимое событие? | Описание действий нарушителя в целевой системе или воздействия на нее с привязкой к конкретному сценарию реализации недопустимого события | Для каждой целевой системы и соответствующего сценария реализации недопустимого события должны быть обозначены соответствующие действия в системе (воздействие на нее). К ответу на этот вопрос рекомендуется привлекать сотрудников профильных подразделений, участвующих в целевом бизнес-процессе, и специалистов по тестированию на проникновение |
| 6 | В чьей еще зоне ответственности (из числа руководителей организации) могут быть сценарии недопустимых событий из перечня недопустимых событий (в том числе те сценарии, которые обсуждались в рамках данного интервью)? | Перечисление имен и должностей руководителей с привязкой к сценариям реализации недопустимых событий | С указанными в ответе руководителями рекомендуется провести аналогичное совещание |
| 7 | Есть ли еще системы, которые, по вашему мнению, должны быть также определены как целевые, но которые не были упомянуты в рамках совещания, и какое действие (воздействие) нарушителя может повлечь наступление недопустимого события? | Перечисление наименований целевых систем и соответствующих действий (типов воздействия) нарушителя в контексте конкретного недопустимого события | Если такие системы будут перечислены, их следует добавить в перечень целевых систем |
| Недопустимое событие | Сценарий реализации недопустимого события | Целевой бизнес-процесс | Целевая система (наименование) | IP-адрес и доменное имя целевой системы | Действие (воздействие) |
|---|
| Кража денежных средств со счета организации в размере более 10% чистой прибыли | Создание и отправка в банк платежного поручения с измененными суммой и реквизитами получателя | Проведение платежей контрагентам | Система «банк —клиент» | 10.7.10.17 (Server17)
10.7.10.18 (Server18)
10.7.10.19 (Server19) | Изменение реквизитов и суммы в платежном поручении, подтверждение и отправка поручения в банк |
| Остановка производственного конвейера на срок более 5 часов | Вывод из строя программируемого логического контроллера, управляющего механизмом конвейера | Производство продукции | Программируемый логический контроллер | 10.0.5.34 (plc34) | Модификация прошивки программируемого логического контроллера. Эксплуатация уязвимости программируемого логического контроллера, приводящей к отказу в обслуживании без возможности оперативного восстановления штатной работы устройства |
| Невозможность оказания цифровой услуги в течение более 8 часов | Распределенная атака типа «отказ в обслуживании», направленная на веб-сайт для предоставления услуги | Оказание цифровой услуги через веб-сайт организации | Веб-сайт для оказания услуги | ххх.ххх.ххх.ххх (example.com) | DDoS-атака на сайт интенсивностью, достаточной для нарушения работы сайта, и длительностью более 8 часов |
| Публикация платежной информации более чем 100 VIP-клиентов на сайтах с утечками данных | Кража базы данных VIP-клиентов, содержащей платежные данные | Обработка платежных данных VIP-клиентов | База данных VIP-клиентов, содержащая информацию об остатках на счетах, номерах платежных карт и финансовых операциях | 10.14.7.132
(serv-vipdb-01)
10.14.7.135
(serv-vipdb-02) | Несанкционированное копирование базы данных |
Евгений Гнедин