Снижение рисков для конфиденциальности и безопасности начинается с понимания того, каковы эти угрозы на самом деле.
У меня здоровый уровень паранойи, учитывая мою «среду обитания». Когда вы пишете что-то о хакерах, правительственных агентствах и прочем подобном, у вас неизбежно повышается уровень здорового скептицизма и осторожности в отношении того, что именно попадает в ваш почтовый ящик или появляется в ваших личных сообщениях в Twitter. Но моя паранойя также основана на рациональной оценке тех опасностей, с которыми я могу столкнуться каждый день: она основана на моей личной «модели угроз».
В самом базовом смысле «модель угроз» — это способ анализа рисков с целью выявления наиболее вероятных угроз вашей безопасности. И искусство моделирования угроз сегодня широко распространено. Независимо от того, являетесь ли вы человеком, организацией, приложением или сетью, вы, скорее всего, проходите какой-то аналитический процесс для оценки рисков.
Моделирование угроз является ключевой частью практики, которую специалисты по безопасности часто называют "OPSEC". OPSEC (аббревиатура от Operations Security — операционная или процедурная безопасность) — это процесс выявления и защиты критически важной информации. Первоначально означавший "безопасность операции", OPSEC первоначально ссылался на идею предотвращения того, чтобы противник собирал разведданные из кусочков конфиденциальной, но несекретной информации, как предупреждали плакаты военного времени лозунгами, вроде "Длинные языки могут потопить корабли". В эпоху Интернета OPSEC стала гораздо более широко применяемой практикой—это способ мышления о безопасности и конфиденциальности, который выходит за рамки любой конкретной технологии, инструмента или услуги. Используя моделирование угроз для определения вашей собственной конкретной группы рисков, вы можете затем перейти к противодействию наиболее вероятным и опасным.
Моделирование угроз не обязательно сложным, как, к примеру, ракетные технологии. У большинства людей уже (сознательно или подсознательно) есть «модель угроз» для окружающего их физического мира – будь то смена замков на входной двери после того, как сосед по комнате съезжает, или проверка замков на окнах после кражи со взломом по соседству. Проблема в том, что очень немногие люди уделяют какое-либо регулярное внимание рискам конфиденциальности и безопасности в Интернете, если только что-то плохое уже не произошло.
Это не из-за недостатка усилий со стороны работодателей и промышленности. В совокупности общество тратит миллиарды долларов на информационную безопасность каждый год, и в наши дни для всех сотрудников стало обычным делом проходить какое-то обучение по цифровой безопасности. Но ни индустрия безопасности, ни средства массовой информации не помогли внедрить в общество моделирование угроз до приемлемого уровня. Общественность регулярно подвергается бомбардировке различными секретами (или, что еще хуже, "народными путями" безопасности) каждый день—каждый раз, когда появляется новая вредоносная угроза, очередной телевизионный журналист неизбежно скажет зрителям, что их лучшая защита - "сложный пароль".
И хотя легко найти советы о том, как "оставаться в безопасности" в цифровом мире, большая часть полезных советов, похоже, на самом деле не работает. Возможно, это потому, что этот совет не всегда соответствует реальным потребностям людей, которые его ищут.
«Изменения происходят так быстро, и мы, как инженеры, склонны переходить к советам, таким как «использовать Tor», не спрашивая: «Что для вас важно?» говорит Адам Шостак (Adam Shostack), специалист по внедрению инструментов и методологий для разработчиков, чтобы сделать моделирование угроз для их программного обеспечения в компании Microsoft. Шостак помог разработать стандарт CVE для отслеживания уязвимостей программного обеспечения и в настоящее время является независимым автором, консультантом и членом наблюдательного совета Black Hat.
Демистификация модели угроз
Недавно Шостак работал с Коалицией по защите конфиденциальности в Сиэтле (SPC) над моделью угроз конфиденциальности для жителей Сиэтла, построенном на подходе Shostack к моделированию угроз для разработчиков программного обеспечения. Предназначенный для демистификации моделирования угроз для обычных людей, обобщенный подход Шостака сводится к четверке вопросов:
Что ты делаешь? (То, что вы пытаетесь сделать, и какая информация задействована.)
Что может пойти не так? (Как то, что вы делаете, может привести к раскрытию личной информации плохими способами.)
Что ты собираешься с этим делать? (Определение изменений, которые могут быть внесены в технологии и поведение, чтобы предотвратить ошибки.)
Вы хорошо поработали? (Повторная оценка, чтобы увидеть, насколько снизился риск.)
То, к чему подход Шостака напрямую не затрагивает, — это специфические источники угроз конфиденциальности и безопасности. Это то, что Шостак не считает особенно полезным, поскольку эта часть моделирования угроз не обязательно является чем-то, с чем может справиться обычный человек. "От того, что люди все время беспокоятся, мало пользы", - сказал он.
Но другие эксперты по безопасности, наоборот считают, что понимание максимального количества типа угроз человек, с которыми человек скорее всего, столкнется, является ключевой частью построения и модели личных угроз—в соответствии со структурой из пяти вопросов Фонда Electronic Frontier Foundation:
Что вы хотите защитить? (Данные, средства связи и другие вещи, которые могут вызвать у вас проблемы при неправильном использовании.)
От кого вы хотите его защитить? (Люди, организации и преступные субъекты, которые могут получить доступ к этому материалу.)
Насколько вероятно, что вам понадобится его защитить? (Ваш личный уровень подверженности этим угрозам.)
Насколько негативны последствия, если вы потерпите неудачу?
Сколько неприятностей вы готовы пережить, чтобы попытаться предотвратить это? (Деньги, время и удобства, от которых вы готовы отказаться, чтобы защитить эти вещи.)
Я попытался объединить два вышеприведенных подхода в набор усредненных подходов —подходящей максимально большому количеству обычных людей. Моя модель оценки угроз сжимает все вышеперечисленное в три вопроса и инструкцию к флакону шампуня:
Кто я и что я здесь делаю?
Кто или что может попытаться испортить мне жизнь и как?
Как я могу защититься?
Смыть и повторить заново.
В более развернутом виде, можно было бы добавить вопрос "Как долго я смогу делать это?" Но поскольку угрозы постоянно меняются и развиваются, помощь людям в понимании того, как правильно оценивать риски, приводит к повышению безопасности в долгосрочной перспективе по сравнению с простым следованием быстрому набору советов. Это подход "научи человека ловить рыбу", и он начинается с простого вопроса.
Кто я и что я здесь делаю?
Кто вы, что вы делаете и где вы это делаете — все это основные факторы, определяющие, с какими угрозами вы сталкиваетесь. Например, статистика показывает, что ваш риск погибнуть в автокатастрофе значительно ниже, когда вы сидите в своей гостиной. Электронные угрозы вашей конфиденциальности, личности и сокровищам будут отличаться в зависимости от того, кто вы и что вы делаете — и что вы делали в прошлом.
Где вы работаете, ваша социальная и политическая деятельность, ваша известность, социальные и профессиональные связи, путешествия и другие факторы — все это также играет роль в вашей модели угроз. Такие характеристики создают различные наборы потенциальных рисков для вашей безопасности и конфиденциальности, и эти черты могут привлечь разного рода потенциальных противников.
Конечно, некоторые виды деятельности сами по себе сопряжены с риском, основанным на типе раскрываемой информации. В системе моделирования угроз их часто называют «активами» — важными фрагментами информации, которые вы используете в своей деятельности, но одновременно хотите защитить.
Например:
Фрагменты информации, которые могут быть использованы для раскрытия ваших активов, так же важны для защиты, как и сами активы. Личные биографические и справочные данные могут быть использованы для социальной инженерии против вас, ваших друзей. Ключи, пароли и ПИН-коды также следует считать такими же ценными, как и те вещи, к которым они предоставляют доступ.
Следует также учитывать другую "оперативную" информацию о вашей деятельности, которая может быть использована, включая название вашего банка или другого поставщика финансовых услуг. Например, в ходе фишинговой атаки на Пентагон было использовано поддельное электронное письмо от USAA, банка и страховой компании, которая обслуживает многих военнослужащих и их семьи.
Что может пойти не так?
Всякое случается. Иногда это происходит случайно, например, в тот раз, когда аналитик Департамента по делам ветеранов забрал домой мои личные данные о состоянии здоровья (и данные 26,5 миллионов других ветеранов) на внешнем носителе, и эти данные были украдены.
В нашей повседневной жизни мы оцениваем угрозы на основе (надеюсь) реальных данных. Если по соседству в последнее время были кражи со взломом, мы повышаем бдительность. В некоторых районах повышенного риска мы принимаем меры предосторожности. Если мы видим, что навстречу идет человек, встречи с которым мы бы хотели избежать, мы переходим на другую сторону улицы. Анализ же угроз в цифровом мире немного сложнее, но, по сути, это тот же принцип. Мы определяем возможные угрозы на основе мотивов, ресурсов и возможностей.
В этой части моделирования важно сосредоточиться на наиболее вероятных угрозах вашим активам и не увлекаться защитой от «единорогов». Большинство из нас не являются врагами государства (по крайней мере, пока) или вряд ли представляют интерес для какой-либо иностранной державы. Вероятно, нам следует больше беспокоиться о преступниках, пытающихся украсть информацию, которую они могут превратить в свою финансовую выгоду или использовать для принуждения или обмана нас, чтобы бы мы добровольно передали наши деньги.
Но есть и другие виды угроз, которыми должны заниматься отдельные лица и организации при моделировании угроз. На самом базовом уровне каждый человек, использующий Интернет и мобильные приложения, сталкивается с общим набором угроз безопасности и конфиденциальности. Некоторые из этих угроз очевидны и непосредственны; другие менее интуитивны, но потенциально более разрушительны в долгосрочной перспективе:
Другие злоумышленники могут сосредоточиться на вас как на средстве получения доступа к более крупной цели. Если вы работаете в сфере финансов или в бухгалтерии почти любой компании, вы можете стать личной мишенью преступников, в конечном счете нацеленных на системы вашей компании. Если вы системный администратор, кто-то может преследовать вас, чтобы получить доступ к системам, которыми вы управляете. Если вы журналист, сотрудник неправительственной организации, государственный служащий или государственный подрядчик, у кого-то может быть интерес к вашей работе для сбора разведданных. Ваш работодатель или правительство могут захотеть следить за вашей деятельностью и мнениями и по другим причинам (хотя мы сохраним эти особые случаи для будущих статей).
Каждый из этих типов "субъектов угроз" имеет различные уровни квалификации и доступные ресурсы. У них также есть разные мотивы для получения ваших вещей и степень приверженности им. Как правило, злоумышленники, мотивированные деньгами, не будут тратить больше ресурсов, чем стоимость того, что они собираются получить. Довольно странно преступнику, тратить время и сотни тысяч долларов только на то, чтобы заработать несколько сотен, и они, скорее всего, не будут специально нацеливаться на отдельных лиц, если только они не являются «воротами» к большой добыче.
Конечно, есть еще одна серьезная угроза, с которой сталкивается каждый: это мы сами. Случайное раскрытие или случайная утечка информации по электронной почте, социальным сетям или другим каналам может быть такой же опасной, как и взлом. Такие ошибки могут позволить другим получить дальнейший доступ к частной информации тем, кто ее случайно обнаружит.
И как?
Следующая часть ответа на вопрос "что может пойти не так" — это рассмотрение того, как злоумышленники или случайное раскрытие могут нарушить вашу безопасность или конфиденциальность. Существует шесть основных типов атак, как определено в STRIDE—модели угроз, разработанной Microsoft для разработчиков программного обеспечения:
Подделка личности: использование какого-либо токена или учетных данных, чтобы притвориться авторизованным пользователем или надежным программным обеспечением, или кто-то, выдающий себя за кого-то другого в электронном письме или в социальных сетях, чтобы завоевать ваше доверие.
Степень, в которой вы уязвимы для любого из этих видов атак, будет зависеть от используемого вами программного обеспечения, оборудования и операционных систем, сетей, к которым вы подключены, и от того, насколько они доступны потенциальным злоумышленникам. Все это охватывает вашу "поверхность атаки", как ее называют профессионалы в области безопасности. Но вы сами также являетесь частью поверхности атаки. Если неправильное программное обеспечение, веб-сайт или человек попадают в ваши границы доверия – фишинговая атака, вредоносное мобильное приложение, загруженное вами из "альтернативного" магазина приложений, или человек на другом конце телефонного звонка или электронной почты – это может быть привести к последствиям сопоставимым с любым другим "сложным" нарушением.
Это может быть распространено на то, как именно вы используете электронную почту, веб-сервисы и социальные сети – с кем и в каком объеме вы делитесь информацией, а также на то, кому и чему вы доверяете доступ к вашей информации, будь то на вашем смартфоне, компьютере или в облаке.
Как я могу защититься?
Разработчики могут исправить ошибки в своем программном обеспечении. Но конечный пользователь этой технологии обычно справляется с этими угрозами несколько хуже.
"Проблема заключается в том, что потребители технологий находятся в самом конце цепочки потребления этих самым технологий", - сказал Шостак. "Их выбор, по сути, заключается в выборе между вычислительными продуктами. Возникает вопрос о моделировании угроз: "Что я могу сделать по разумной цене для решения этих проблем?"
Для тех, кто ищет быстрый ответ, все довольно просто:
"Если выполнить три эти инструкции, вы будете защищены куда лучше большинства", - говорит Шостак.
Обновление программного обеспечения и операционных систем, как только будут доступны обновления, имеет решающее значение для уменьшения вашей «поверхности атаки», потому что в тот момент, когда исправленные ошибки станут широко известны, они с большей вероятностью будут использованы. Менеджеры паролей помогут устранить риск повторного использования паролей на нескольких сайтах. А резервные копии, хранящиеся отдельно от вашего компьютера или мобильного устройства, сведут к минимуму объем потерянных данных, если вы столкнетесь с вымогателями или чем-то еще разрушительным. Эти три вещи вместе значительно сократят «площадь атаки», доступную для наиболее распространенных угроз.
К сожалению, этих шагов не всегда достаточно, и они не всегда возможны для широкого круга. Не все поставщики программного обеспечения автоматически оповещают пользователей об обновлениях. Многие производители потребительских маршрутизаторов Wi-Fi не обновляют свои прошивки для старых моделей, а владельцы других могут пропустить обновления, поскольку они редко используют (или не умеют использовать) административную веб-консоль для своих маршрутизаторов. И хотя некоторые обновления операционной системы бесплатны, новое оборудование и программное обеспечение, необходимые для их поддержки, как правило, отсутствуют.
Исправления, решения для резервного копирования данных и менеджеры паролей также не смогут предотвратить другие угрозы, такие как фишинг или попытки использовать человеческие слабости. Менеджер паролей может блокировать поддельные сайты, пытающиеся украсть учетные данные, но он не защитит от атак, таких как червь OAuth учетной записи Google, или от других атак, которые основаны на сайтах, для которых вы уже предоставили учетные данные (например, вредоносные ссылки в Twitter или Facebook).
Вот где пригодятся лучшие практики OPSEC. Это шаги, которые каждый может предпринять лично, чтобы уменьшить возможности для атаки:
Не используйте телефоны или планшеты с установленными джейлбрейками, если возможно, используйте для авторизации на них пароль, а не пин-код.
По возможности установится запрет на просмотр своего кредитного счета в банке для отчета в основные агентства по предоставлению кредитной отчетности, чтобы предотвратить несанкционированное использование кредитных заявок с использованием ваших персональных данных.
Используйте отдельные учетные записи электронной почты для каждой кредитной карты или банковского счета – и используйте "одноразовые" учетные записи электронной почты для регистрации на других веб-сайтах в качестве логина пользователя. Благодаря веб-почте у вас, может быть, столько бесплатных учетных записей электронной почты, сколько вы хотите. Наличие определенных учетных записей для каждого финансового счета означает, что вы можете безопасно удалять все, что поступает на другие учетные записи, если это кажется из другого банка – такие электронные письма, вероятно, являются фишинговыми атаками. Это также снижает угрозу того, что кто-то использует учетную запись и пароль, украденные с другого сайта, чтобы попытаться получить доступ к вашим более важным учетным записям.
Агрессивно используйте настройки конфиденциальности в социальных сетях, чтобы ограничить просмотр сообщений, которые могут содержать информацию, которую кто-то другой может использовать, чтобы убедить других в том, что они – это вы.
Если вы не можете обновить какое-либо оборудование, то в некоторых случаях вам, возможно, придется просто отказаться от него и заменить на новое, или найти другие способы подключения. Например, моя мама, заядлый цифровой фотограф, много вложила в старый фотопринтер, который поддерживается только в старых версиях Mac OS X через разъем Firewire. Но драйверы для этого принтера больше не поддерживаются в последних версиях macOS, и принтер не работает через адаптер Thunderbolt-Firewire. Поэтому, чтобы снизить риски дальнейшего использования более старого iMac Mac OS X для печати своих фотографий, она не подключает этот компьютер к домашнему Wi-Fi. Вместо этого она перемещает фотографии с другого компьютера на него с помощью USB-накопителя.
Смойте и повторите.
Модели угроз постоянно меняются, и то, что вы делаете сегодня, может не сработать завтра. И часто бывает трудно сказать, защищены ли вы от всех возможных угроз. Именно для этого компании нанимают тестировщиков на проникновение – чтобы найти пробелы в том, что организация сделала для своей безопасности. Корпорации могут выделять "красные команды" для регулярного поиска пробелов в безопасности и определения того, что необходимо исправить, но у большинства из нас, конечно, нет ресурсов для нашей личной «красной команды».
К счастью, такие организации, как Google Project Zero, постоянно ищут для нас ошибки, и многие производители быстро исправляют ошибки, когда они обнаруживаются. Но работа по отслеживанию обновлений программного обеспечения и устройств, которые мы используем, в основном лежит на нас. Регулярные проверки обновлений являются ключом к нашей повышенной боеготовности.
Также ключевым является регулярная переоценка того, как изменилась ваша подверженность риску. Повторная проверка настроек конфиденциальности, прошивки маршрутизатора Wi-Fi и других вещей, которые не обязательно предупреждают вас о необходимости регулярного обновления, является частью контроля рисков.
Ничто из этого не является гарантией. Но если вы разработали свою «модель угроз» и сделали все возможное, чтобы свести к минимуму риск для безопасности и конфиденциальности, по крайней мере, последствия того, что произойдет что-то плохое, будут (надеюсь) управляемыми. Модели угроз не предлагают совершенства, но они довольно хороши для того, чтобы избежать полномасштабной катастрофы.