Threat agent o actorsEdit
Il termine Threat Agent viene utilizzato per indicare un individuo o un gruppo che può manifestare una minaccia. È fondamentale identificare chi vorrebbe sfruttare i beni di un’azienda e come potrebbero usarli contro l’azienda.
Individui all’interno di una popolazione di minacce; Praticamente chiunque e qualsiasi cosa può, nelle giuste circostanze, essere un agente di minaccia – l’operatore di computer ben intenzionato, ma inetto, che cestina un lavoro quotidiano in batch digitando il comando sbagliato, il regolatore che esegue un audit o lo scoiattolo che mastica attraverso un cavo dati.
Gli agenti delle minacce possono intraprendere una o più delle seguenti azioni contro una risorsa:
- Accesso – accesso non autorizzato semplice
- Uso improprio – uso non autorizzato di risorse (ad esempio, furto di identità, creazione di un servizio di distribuzione porno su un server compromesso, ecc.)
- Divulga-l’agente di minaccia rivela illecitamente informazioni sensibili
- Modifica-modifiche non autorizzate a un asset
- Nega l’accesso-include la distruzione, il furto di un asset non dati, ecc.
È importante riconoscere che ciascuna di queste azioni influisce in modo diverso su beni diversi, il che determina il grado e la natura della perdita. Ad esempio, il potenziale di perdita di produttività derivante da una risorsa distrutta o rubata dipende da quanto sia fondamentale tale risorsa per la produttività dell’organizzazione. Se un asset critico è semplicemente accesso illecito, non vi è alcuna perdita di produttività diretta. Allo stesso modo, la distruzione di un bene altamente sensibile che non svolge un ruolo critico nella produttività non comporterebbe direttamente una significativa perdita di produttività. Tuttavia, lo stesso asset, se divulgato, può comportare una significativa perdita di vantaggio competitivo o reputazione e generare costi legali. Il punto è che è la combinazione del bene e del tipo di azione contro il bene che determina la natura fondamentale e il grado di perdita. Quali azioni intraprende un agente di minaccia saranno guidate principalmente dal motivo di quell’agente (ad esempio, guadagno finanziario, vendetta, ricreazione, ecc.) e la natura del bene. Ad esempio, un agente di minaccia piegato sul guadagno finanziario ha meno probabilità di distruggere un server critico di quanto non lo siano per rubare un bene facilmente impegnato come un laptop.
È importante separare il concetto dell’evento in cui un agente di minaccia entra in contatto con l’asset (anche virtualmente, cioè attraverso la rete) e l’evento in cui un agente di minaccia agisce contro l’asset.
OWASP raccoglie un elenco di potenziali agenti di minaccia per impedire ai progettisti di sistemi e ai programmatori di inserire vulnerabilità nel software.
Threat Agent = Capabilities + Intentions + Past Activities
Questi individui e gruppi possono essere classificati come segue:
- Non-Target Specific: gli agenti di minaccia specifici non-Target sono virus informatici, worm, trojan e bombe logiche.
- Dipendenti: personale, appaltatori, personale operativo / manutenzione o guardie di sicurezza che sono infastiditi dall’azienda.
- Criminalità organizzata e criminali: I criminali prendono di mira le informazioni che sono di valore per loro, come conti bancari, carte di credito o proprietà intellettuale che possono essere convertiti in denaro. I criminali spesso fanno uso di addetti ai lavori per aiutarli.
- Corporazioni: Le corporazioni sono impegnate in offensive information warfare o competitive intelligence. Partner e concorrenti rientrano in questa categoria.
- Umano, involontario: incidenti, disattenzione.
- Umano, Intenzionale: Insider, outsider.
- Naturale: inondazioni, incendi, fulmini, meteore, terremoti.
Fonte delle minaccieedit
Le fonti delle minacce sono quelle che desiderano che si verifichi un compromesso. È un termine usato per distinguerli dagli agenti/attori della minaccia che sono coloro che effettuano l’attacco e che possono essere incaricati o persuasi dalla fonte della minaccia di eseguire consapevolmente o inconsapevolmente l’attacco.
Comunità di minacciamodifica
Comunità di minacce Sottoinsiemi della popolazione complessiva di agenti di minaccia che condividono caratteristiche chiave. La nozione di comunità di minacce è un potente strumento per capire chi e cosa affrontiamo mentre cerchiamo di gestire il rischio. Ad esempio, la probabilità che un’organizzazione sia soggetta a un attacco da parte della comunità delle minacce terroristiche dipenderebbe in gran parte dalle caratteristiche della tua organizzazione rispetto ai motivi, agli intenti e alle capacità dei terroristi. L’organizzazione è strettamente affiliata all’ideologia che è in conflitto con gruppi terroristici noti e attivi? L’organizzazione rappresenta un obiettivo di alto profilo e ad alto impatto? L’organizzazione è un obiettivo morbido? Come si confronta l’organizzazione con altri potenziali obiettivi? Se l’organizzazione dovesse venire sotto attacco, quali componenti dell’organizzazione sarebbero probabilmente bersagli? Ad esempio, quanto è probabile che i terroristi avrebbero preso di mira le informazioni aziendali o sistemi? La seguente minaccia per la comunità, sono esempi di come l’uomo minaccia maligno paesaggio che molte aziende devono affrontare:
- Interno
- Dipendenti
- Appaltatori (e fornitori)
- Partners
- Esterno
- Cyber-criminali (gli hacker professionisti)
- Spie
- Non professionali hacker
- Attivisti
- stato-Nazione dei servizi di intelligence (ad es., controparti della CIA, ecc.)
- Malware (virus / worm / ecc.) autori
Threat actionEdit
Threat action è un assalto alla sicurezza del sistema.
Un’architettura di sicurezza completa riguarda sia gli atti intenzionali (cioè gli attacchi) che gli eventi accidentali.
Vari tipi di azioni di minaccia sono definiti come sottogruppi sotto “conseguenza minaccia”.
Threat analysisEdit
Threat analysis è l’analisi della probabilità di eventi e conseguenze di azioni dannose per un sistema. È la base dell’analisi del rischio.
Threat consequenceEdit
Threat consequenceEdit è una violazione della sicurezza derivante da un’azione di minaccia.
Include divulgazione, inganno, interruzione e usurpazione.
I seguenti sottogruppi descrivono quattro tipi di conseguenze delle minacce e elencano e descrivono anche i tipi di azioni di minaccia che causano ciascuna conseguenza.Le azioni di minaccia che sono eventi accidentali sono contrassegnate da”*”.
“Divulgazione non autorizzata” (una conseguenza della minaccia) Una circostanza o evento in cui un’entità ottiene l’accesso ai dati per i quali l’entità non è autorizzata. (Vedi: riservatezza dei dati.). Le seguenti azioni di minaccia possono causare la divulgazione non autorizzata: “Esposizione” Un’azione di minaccia per cui i dati sensibili vengono rilasciati direttamente a un’entità non autorizzata. Ciò include:” Esposizione deliberata ” Rilascio intenzionale di dati sensibili a un’entità non autorizzata. “Scavenging” Ricerca attraverso residui di dati in un sistema per ottenere la conoscenza non autorizzata di dati sensibili. * “Errore umano” Azione umana o inazione che si traduce involontariamente in un’entità che acquisisce conoscenza non autorizzata di dati sensibili. * “Errore hardware/software” Errore di sistema che si traduce in un’entità che acquisisce conoscenza non autorizzata di dati sensibili. “Intercettazione”: un’azione di minaccia per cui un’entità non autorizzata accede direttamente ai dati sensibili che viaggiano tra fonti e destinazioni autorizzate. Ciò include: “Furto” Ottenere l’accesso a dati sensibili rubando una spedizione di un supporto fisico, come un nastro magnetico o un disco, che contiene i dati. “Intercettazioni (passive)” Monitoraggio e registrazione dei dati che scorre tra due punti in un sistema di comunicazione. (Vedi: intercettazioni.) “Analisi delle emanazioni” Acquisire la conoscenza diretta dei dati comunicati monitorando e risolvendo un segnale emesso da un sistema e che contiene i dati ma non è destinato a comunicare i dati. “Inferenza” Un’azione di minaccia per cui un’entità non autorizzata accede indirettamente ai dati sensibili (ma non necessariamente ai dati contenuti nella comunicazione) ragionando da caratteristiche o sottoprodotti delle comunicazioni. Ciò include: “Analisi del traffico” Acquisire conoscenza dei dati osservando le caratteristiche delle comunicazioni che trasportano i dati. “Analisi dei segnali” Acquisire conoscenza indiretta dei dati comunicati monitorando e analizzando un segnale emesso da un sistema e che contiene i dati ma non è destinato a comunicare i dati. “Intrusione” Un’azione di minaccia per cui un’entità non autorizzata ottiene l’accesso ai dati sensibili eludendo le protezioni di sicurezza di un sistema. Ciò include: “Violazione” Ottenere l’accesso fisico non autorizzato ai dati sensibili eludendo le protezioni di un sistema. “Penetrazione” Ottenere l’accesso logico non autorizzato ai dati sensibili eludendo le protezioni di un sistema. “Reverse engineering” Acquisizione di dati sensibili smontando e analizzando la progettazione di un componente di sistema. “Crittoanalisi” Che trasforma i dati crittografati in testo normale senza avere una conoscenza preliminare dei parametri o dei processi di crittografia. “Inganno” (una conseguenza della minaccia) Una circostanza o un evento che può comportare che un’entità autorizzata riceva dati falsi e creda che siano veri. Le seguenti azioni di minaccia possono causare l’inganno: “Masquerade” Un’azione di minaccia con cui un’entità non autorizzata ottiene l’accesso a un sistema o esegue un atto dannoso fingendosi un’entità autorizzata. Tentativo di “spoof” da parte di un’entità non autorizzata di accedere a un sistema fingendosi un utente autorizzato. “Logica malevola” Nel contesto di masquerade, qualsiasi hardware, firmware o software (ad esempio, cavallo di Troia) che sembra svolgere una funzione utile o desiderabile, ma in realtà guadagna l’accesso non autorizzato alle risorse di sistema o trucchi un utente in esecuzione altra logica malevola. “Falsificazione” Un’azione di minaccia per cui i dati falsi inganna un’entità autorizzata. (Vedi: intercettazioni attive.) “Sostituzione” Alterando o sostituendo dati validi con dati falsi che servono a ingannare un’entità autorizzata. “Inserimento” Introduzione di dati falsi che servono a ingannare un’entità autorizzata. “Ripudio” Un’azione di minaccia per cui un’entità inganna un altro negando falsamente la responsabilità di un atto. “Falsa negazione dell’origine” Azione per cui l’originatore dei dati nega la responsabilità per la sua generazione. “Falso diniego di ricezione” Azione per cui il destinatario dei dati nega di ricevere e possedere i dati. “Interruzione” (una conseguenza della minaccia) Una circostanza o un evento che interrompe o impedisce il corretto funzionamento dei servizi e delle funzioni del sistema. (Vedi: denial of service.) Le seguenti azioni di minaccia possono causare interruzioni: “Incapacità” Un’azione di minaccia che impedisce o interrompe il funzionamento del sistema disabilitando un componente del sistema. “Logica malevola” Nel contesto dell’incapacità, qualsiasi hardware, firmware o software (ad esempio, bomba logica) introdotto intenzionalmente in un sistema per distruggere le funzioni o le risorse del sistema. “Distruzione fisica” Distruzione deliberata di un componente del sistema per interrompere o impedire il funzionamento del sistema. * Azione” Errore umano ” o inazione che disabilita involontariamente un componente di sistema. * Errore” Hardware o software error ” che causa il fallimento di un componente del sistema e porta all’interruzione del funzionamento del sistema. * “Disastro naturale” Qualsiasi disastro naturale (ad esempio, incendi, inondazioni, terremoti, fulmini o vento) che disabilita un componente del sistema. “Corruzione” Un’azione di minaccia che altera indesiderabilmente il funzionamento del sistema modificando negativamente le funzioni o i dati del sistema. “Manomissione” Nel contesto di corruzione, alterazione deliberata della logica, dei dati o delle informazioni di controllo di un sistema per interrompere o impedire il corretto funzionamento delle funzioni del sistema. “Logica dannosa” Nel contesto della corruzione, qualsiasi hardware, firmware o software (ad esempio, un virus informatico) introdotto intenzionalmente in un sistema per modificare le funzioni o i dati del sistema. * “Errore umano” Azione umana o inazione che provoca involontariamente l’alterazione delle funzioni o dei dati del sistema. * Errore” Hardware o software error ” che comporta l’alterazione delle funzioni o dei dati del sistema. * “Disastro naturale” Qualsiasi evento naturale (ad es. sbalzo di tensione causato da un fulmine) che altera le funzioni o i dati del sistema. “Ostruzione” Un’azione di minaccia che interrompe la consegna dei servizi di sistema ostacolando le operazioni del sistema. “Interferenza” Interruzione delle operazioni del sistema bloccando le comunicazioni o i dati dell’utente o le informazioni di controllo. “Sovraccarico” Ostacolo di funzionamento del sistema ponendo l’onere in eccesso sulle capacità di prestazione di un componente del sistema. (Vedi: inondazioni.) “Usurpazione” (una conseguenza della minaccia) Una circostanza o un evento che si traduce nel controllo di servizi o funzioni di sistema da parte di un’entità non autorizzata. Le seguenti azioni di minaccia possono causare usurpazione: “Appropriazione indebita” Un’azione di minaccia per cui un’entità assume il controllo logico o fisico non autorizzato di una risorsa di sistema. “Furto del servizio” Uso non autorizzato del servizio da parte di un’entità. “Furto di funzionalità” Acquisizione non autorizzata di hardware, software o firmware effettivi di un componente di sistema. “Furto dei dati” Acquisizione e utilizzo non autorizzati dei dati. “Uso improprio” Un’azione di minaccia che fa sì che un componente di sistema esegua una funzione o un servizio dannoso per la sicurezza del sistema. “Manomissione” Nel contesto di abuso, alterazione deliberata della logica, dei dati o delle informazioni di controllo di un sistema per indurre il sistema a eseguire funzioni o servizi non autorizzati. “Logica malevola” Nel contesto di un uso improprio, qualsiasi hardware, software o firmware intenzionalmente introdotto in un sistema per eseguire o controllare l’esecuzione di una funzione o servizio non autorizzato. Azione “Violazione delle autorizzazioni” da parte di un’entità che supera i privilegi di sistema dell’entità eseguendo una funzione non autorizzata.
Panorama o ambiente delle minacciemodifica
Una raccolta di minacce in un particolare dominio o contesto, con informazioni su risorse vulnerabili identificate, minacce, rischi, attori delle minacce e tendenze osservate.