Agents de menace ou acteurSdit
Le terme Agent de menace est utilisé pour indiquer un individu ou un groupe qui peut manifester une menace. Il est fondamental d’identifier qui voudrait exploiter les actifs d’une entreprise et comment ils pourraient les utiliser contre l’entreprise.
Individus au sein d’une population menacée; Pratiquement n’importe qui et n’importe quoi peut, dans les bonnes circonstances, être un agent de menace – l’opérateur informatique bien intentionné, mais inepte, qui saccage un travail quotidien par lots en tapant la mauvaise commande, le régulateur effectuant un audit ou l’écureuil qui mâche un câble de données.
Les agents de menace peuvent prendre une ou plusieurs des actions suivantes contre un actif :
- Accès – accès non autorisé simple
- Utilisation abusive – utilisation non autorisée des actifs (par exemple, vol d’identité, mise en place d’un service de distribution de pornographie sur un serveur compromis, etc.)
- Divulguer – l’agent de menace divulgue illicitement des informations sensibles
- Modifier – les modifications non autorisées à un actif
- Refuser l’accès – comprend la destruction, le vol d’un actif non lié aux données, etc.
Il est important de reconnaître que chacune de ces actions affecte différents actifs différemment, ce qui détermine le degré et la nature de la perte. Par exemple, le potentiel de perte de productivité résultant d’un actif détruit ou volé dépend de l’importance de cet actif pour la productivité de l’organisation. Si un actif critique est simplement accessible de manière illicite, il n’y a pas de perte de productivité directe. De même, la destruction d’un actif hautement sensible qui ne joue pas un rôle critique dans la productivité n’entraînerait pas directement une perte de productivité importante. Pourtant, ce même actif, s’il est divulgué, peut entraîner une perte importante d’avantage concurrentiel ou de réputation et générer des coûts juridiques. Le fait est que c’est la combinaison de l’actif et du type d’action contre l’actif qui détermine la nature fondamentale et le degré de perte. Les mesures prises par un agent menaçant seront principalement motivées par le motif de cet agent (p. ex., gain financier, vengeance, loisirs, etc.) et la nature de l’actif. Par exemple, un agent de menace déterminé à un gain financier est moins susceptible de détruire un serveur critique que de voler un actif facilement mis en gage comme un ordinateur portable.
Il est important de séparer le concept de l’événement où un agent de menace entre en contact avec l’actif (même virtuellement, c’est-à-dire via le réseau) et l’événement où un agent de menace agit contre l’actif.
OWASP recueille une liste d’agents de menace potentiels pour empêcher les concepteurs de systèmes, et les programmeurs insèrent des vulnérabilités dans le logiciel.
Agent de menace =Capacités + Intentions +Activités passées
Ces individus et groupes peuvent être classés comme suit:
- Non Spécifique à la cible: Les Agents de menace Non spécifiques à la Cible sont des virus informatiques, des vers, des chevaux de Troie et des bombes logiques.
- Employés: Personnel, sous-traitants, personnel d’exploitation / de maintenance ou agents de sécurité qui sont ennuyés par l’entreprise.
- Crime organisé et criminels: Les criminels ciblent les informations qui leur sont utiles, comme les comptes bancaires, les cartes de crédit ou la propriété intellectuelle qui peuvent être converties en argent. Les criminels font souvent appel à des initiés pour les aider.
- Sociétés: Les sociétés sont engagées dans une guerre de l’information offensive ou une veille concurrentielle. Les partenaires et les concurrents relèvent de cette catégorie.
- Humain, involontaire: Accidents, négligence.
- Humain, Intentionnel: Initié, étranger.
- Naturel: Inondation, feu, foudre, météorite, tremblements de terre.
Source de menaceEdit
Les sources de menaces sont celles qui souhaitent qu’un compromis se produise. C’est un terme utilisé pour les distinguer des agents / acteurs de la menace qui sont ceux qui mènent l’attaque et qui peuvent être mandatés ou persuadés par la source de la menace de mener sciemment ou inconsciemment l’attaque.
Communautés de menacesmodiFier
Communautés de menaces Sous-ensembles de la population globale d’agents de menaces qui partagent des caractéristiques clés. La notion de communautés de menaces est un outil puissant pour comprendre à qui et à quoi nous sommes confrontés lorsque nous essayons de gérer les risques. Par exemple, la probabilité qu’une organisation subisse une attaque de la part de la communauté de la menace terroriste dépend en grande partie des caractéristiques de votre organisation par rapport aux motivations, aux intentions et aux capacités des terroristes. L’organisation est-elle étroitement liée à une idéologie qui entre en conflit avec des groupes terroristes connus et actifs? L’organisation représente-t-elle une cible très médiatisée et à fort impact? L’organisation est-elle une cible souple? Comment l’organisation se compare-t-elle à d’autres cibles potentielles? Si l’organisation devait être attaquée, quelles composantes de l’organisation seraient des cibles probables? Par exemple, quelle est la probabilité que des terroristes ciblent les informations ou les systèmes de l’entreprise? Les communautés de menaces suivantes sont des exemples de menaces humaines malveillantes auxquelles de nombreuses organisations sont confrontées :
- Interne
- Employés
- Sous-traitants (et fournisseurs)
- Partenaires
- Externe
- Cybercriminels (pirates professionnels)
- Espions
- Pirates non professionnels
- Activistes
- Services de renseignement de l’État-Nation (p. ex., homologues de la CIA, etc.)
- Malware (virus/ver/etc.)auteurs
Threat actionEdit
L’action contre la menace est une atteinte à la sécurité du système.
Une architecture de sécurité complète traite à la fois des actes intentionnels (c’est-à-dire des attaques) et des événements accidentels.
Divers types d’actions de menace sont définis comme des sous-centrales sous « conséquence de la menace « .
Analyse de la menacedit
L’analyse de la menace est l’analyse de la probabilité d’événements et des conséquences d’actions dommageables à un système. C’est la base de l’analyse des risques.
Conséquence de la menaceedit
La conséquence de la menace est une violation de la sécurité résultant d’une action de menace.
Comprend la divulgation, la tromperie, la perturbation et l’usurpation.
Les sous-grilles suivantes décrivent quatre types de conséquences de la menace, et énumèrent et décrivent également les types d’actions de menace qui causent chaque conséquence.Les actions de menace qui sont des événements accidentels sont marquées par « * ».
» Divulgation non autorisée » (conséquence d’une menace) Une circonstance ou un événement par lequel une entité accède à des données pour lesquelles l’entité n’est pas autorisée. (Voir : confidentialité des données.). Les actions de menace suivantes peuvent entraîner une divulgation non autorisée : « Exposition » Une action de menace par laquelle des données sensibles sont directement divulguées à une entité non autorisée. Cela inclut: « Exposition délibérée » Diffusion intentionnelle de données sensibles à une entité non autorisée. Recherche de résidus de données dans un système pour acquérir une connaissance non autorisée des données sensibles. * « Erreur humaine » Action ou inaction humaine qui entraîne involontairement une entité à acquérir une connaissance non autorisée de données sensibles. * Défaillance du système » Erreur matérielle/logicielle » qui entraîne l’acquisition par une entité d’une connaissance non autorisée de données sensibles. « Interception » : Une action de menace par laquelle une entité non autorisée accède directement à des données sensibles voyageant entre des sources et des destinations autorisées. Cela inclut: Le « vol » D’accéder à des données sensibles en volant une cargaison d’un support physique, tel qu’une bande magnétique ou un disque, qui contient les données. « Écoute électronique (passive) » Surveillance et enregistrement des données circulant entre deux points d’un système de communication. (Voir : écoute électronique.) « Analyse des émanations » Acquérir une connaissance directe des données communiquées en surveillant et en résolvant un signal émis par un système qui contient les données mais qui n’est pas destiné à communiquer les données. « Inférence » Action de menace par laquelle une entité non autorisée accède indirectement à des données sensibles (mais pas nécessairement aux données contenues dans la communication) en raisonnant à partir de caractéristiques ou de sous-produits des communications. Cela comprend: « Analyse du trafic » Acquérir une connaissance des données en observant les caractéristiques des communications qui transportent les données. « Analyse des signaux » Acquérir une connaissance indirecte des données communiquées en surveillant et en analysant un signal émis par un système qui contient les données mais qui n’est pas destiné à communiquer les données. « Intrusion » Une action de menace par laquelle une entité non autorisée accède à des données sensibles en contournant les protections de sécurité d’un système. Cela inclut: « Intrusion » Obtenir un accès physique non autorisé à des données sensibles en contournant les protections d’un système. « Pénétration » Obtenant un accès logique non autorisé à des données sensibles en contournant les protections d’un système. « Reverse engineering » Acquisition de données sensibles en désassemblant et en analysant la conception d’un composant système. » Cryptanalyse » Transformant des données chiffrées en texte brut sans connaissance préalable des paramètres ou des processus de chiffrement. « Tromperie » (conséquence d’une menace) Circonstance ou événement pouvant amener une entité autorisée à recevoir de fausses données et à les croire vraies. Les actions de menace suivantes peuvent provoquer une tromperie: « Mascarade » Une action de menace par laquelle une entité non autorisée accède à un système ou effectue un acte malveillant en se faisant passer pour une entité autorisée. Tentative de « parodie » par une entité non autorisée d’accéder à un système en se faisant passer pour un utilisateur autorisé. « Logique malveillante » Dans le contexte de mascarade, tout matériel, micrologiciel ou logiciel (par exemple, cheval de Troie) qui semble remplir une fonction utile ou souhaitable, mais qui obtient en fait un accès non autorisé aux ressources système ou incite un utilisateur à exécuter une autre logique malveillante. « Falsification » Une action de menace par laquelle de fausses données trompent une entité autorisée. (Voir : écoute électronique active.) « Substitution » Modifiant ou remplaçant des données valides par de fausses données qui servent à tromper une entité autorisée. « Insertion » Introduisant de fausses données qui servent à tromper une entité autorisée. « Répudiation » Une action de menace par laquelle une entité trompe une autre en niant faussement la responsabilité d’un acte. Action de « faux déni d’origine » par laquelle l’auteur des données rejette la responsabilité de leur génération. Action de « faux refus de réception » par laquelle le destinataire des données refuse de recevoir et de posséder les données. « Perturbation » (conséquence d’une menace) Circonstance ou événement qui interrompt ou empêche le bon fonctionnement des services et des fonctions du système. (Voir : déni de service.) Les actions de menace suivantes peuvent provoquer des perturbations : « Incapacité » Une action de menace qui empêche ou interrompt le fonctionnement du système en désactivant un composant du système. « Logique malveillante » Dans le contexte de l’incapacité, tout matériel, micrologiciel ou logiciel (par exemple, bombe logique) introduit intentionnellement dans un système pour détruire des fonctions ou des ressources du système. « Destruction physique » Destruction délibérée d’un composant du système pour interrompre ou empêcher le fonctionnement du système. * Action ou inaction » d’erreur humaine » qui désactive involontairement un composant du système. * Erreur « Erreur matérielle ou logicielle » qui provoque une défaillance d’un composant du système et entraîne une interruption du fonctionnement du système. * » Catastrophe naturelle » Toute catastrophe naturelle (par exemple, incendie, inondation, tremblement de terre, foudre ou vent) qui désactive un composant du système. « Corruption » Une action de menace qui modifie de manière indésirable le fonctionnement du système en modifiant négativement les fonctions ou les données du système. » Falsification » Dans le contexte d’une corruption, d’une altération délibérée de la logique, des données ou des informations de contrôle d’un système pour interrompre ou empêcher le bon fonctionnement des fonctions du système. « Logique malveillante » Dans le contexte de la corruption, tout matériel, micrologiciel ou logiciel (par exemple, un virus informatique) introduit intentionnellement dans un système pour modifier les fonctions ou les données du système. * « Erreur humaine » Action ou inaction humaine qui entraîne involontairement l’altération des fonctions ou des données du système. * Erreur « Erreur matérielle ou logicielle » qui entraîne la modification des fonctions ou des données du système. * « Catastrophe naturelle » Tout événement naturel (par exemple, surtension causée par la foudre) qui modifie les fonctions ou les données du système. « Obstruction » Une action de menace qui interrompt la prestation des services du système en entravant les opérations du système. « Interférence » Perturbation des opérations du système en bloquant les communications ou les données de l’utilisateur ou les informations de contrôle. La « surcharge » Entrave le fonctionnement du système en imposant une charge excessive sur les capacités de performance d’un composant du système. (Voir : inondations.) « Usurpation » (une conséquence de menace) Une circonstance ou un événement qui entraîne le contrôle des services ou des fonctions du système par une entité non autorisée. Les actions de menace suivantes peuvent provoquer une usurpation: « Détournement » Une action de menace par laquelle une entité assume un contrôle logique ou physique non autorisé d’une ressource système. « Vol de service » Utilisation non autorisée du service par une entité. » Vol de fonctionnalité » Acquisition non autorisée de matériel, de logiciel ou de micrologiciel d’un composant système. « Vol de données » Acquisition et utilisation non autorisées de données. « Mauvaise utilisation » Une action de menace qui amène un composant du système à exécuter une fonction ou un service préjudiciable à la sécurité du système. » Falsification » Dans le contexte d’une mauvaise utilisation, d’une modification délibérée de la logique, des données ou des informations de contrôle d’un système pour amener le système à exécuter des fonctions ou des services non autorisés. « Logique malveillante » Dans le contexte d’une mauvaise utilisation, tout matériel, logiciel ou micrologiciel introduit intentionnellement dans un système pour exécuter ou contrôler l’exécution d’une fonction ou d’un service non autorisé. Action » Violation des autorisations » par une entité qui dépasse les privilèges système de l’entité en exécutant une fonction non autorisée.
Paysage ou environnement des menacesdit
Un ensemble de menaces dans un domaine ou un contexte particulier, avec des informations sur les actifs vulnérables identifiés, les menaces, les risques, les acteurs des menaces et les tendances observées.