SafetyConsult: Инженерия безопасности
Анализ опасностей и оценка рисков (HARA) это индуктивный или дедуктивный анализ?
Во время HARA система рассматривается как единое целое, поэтому "классические" критерии индуктивности/дедуктивности не работают — мы не движемся внутри системы ни от сбоев элементов к отказу на системном уровне, ни в обратном направлении.
Однако, HARA рассматривает каждый вид отказного поведения (каждый способ, которым функция может не выполняться) отдельно, поэтому я проголосовал за вариант "индуктивный" 😊
Однако, HARA рассматривает каждый вид отказного поведения (каждый способ, которым функция может не выполняться) отдельно, поэтому я проголосовал за вариант "индуктивный" 😊
Вот что бывает, когда не делаешь FMEA. Иначе бы разработчики предусмотрели более разумное поведение системы при выходе из строя одного из датчиков (тем более что тот не использовался в момент аварии)
Forwarded from Эксплойт
This media is not supported in your browser
VIEW IN TELEGRAM
Сбиваем дроны с помощью лазерной указки
Это видео появилось на фоне протестов в Чили, где правительство пыталось использовать дронов для слежки за митингующими.
Скрестив лучи лазерных указок, им удалось «сбить» назойливый дрон. Из наиболее вероятных причин жёсткого приземления выделяют две: по словам специалистов, сфокусированный луч вывел из строя инфракрасные датчики посадки и лишившись их, дрон начал неконтролируемое снижение.
Пользователи Reddit же считают, что лазеры — не только свет, но и тепло, а значит высокая их концентрация могла «сжечь» электронику или вывести из строя батарейку.
@exploitex
Это видео появилось на фоне протестов в Чили, где правительство пыталось использовать дронов для слежки за митингующими.
Скрестив лучи лазерных указок, им удалось «сбить» назойливый дрон. Из наиболее вероятных причин жёсткого приземления выделяют две: по словам специалистов, сфокусированный луч вывел из строя инфракрасные датчики посадки и лишившись их, дрон начал неконтролируемое снижение.
Пользователи Reddit же считают, что лазеры — не только свет, но и тепло, а значит высокая их концентрация могла «сжечь» электронику или вывести из строя батарейку.
@exploitex
"Особый" анализ: HARA и TARA
В последних записях много говорили о видах анализа и об их проведении. Но при этом ни разу не упомянули анализ опасностей и оценку рисков (Hazard Analysis and Risk Assessment, HARA) и его “коллегу” из мира кибербезопасности – анализ угроз и оценку рисков (Threat Analysis and Risk Assessment, TARA). Исправляем это упущение.
HARA и TARA не относятся ни к дедуктивным, ни к индуктивным. В них рассматриваемое устройство представляется неделимым, так что в процессе анализа нет «движения»: ни от сбоя компонента к отказу функции, ни в обратном направлении.
В последних записях много говорили о видах анализа и об их проведении. Но при этом ни разу не упомянули анализ опасностей и оценку рисков (Hazard Analysis and Risk Assessment, HARA) и его “коллегу” из мира кибербезопасности – анализ угроз и оценку рисков (Threat Analysis and Risk Assessment, TARA). Исправляем это упущение.
HARA и TARA не относятся ни к дедуктивным, ни к индуктивным. В них рассматриваемое устройство представляется неделимым, так что в процессе анализа нет «движения»: ни от сбоя компонента к отказу функции, ни в обратном направлении.
Вспомним определения
В отличие от повседневного языка, где опасность, угроза и риск — синонимы, в «языке безопасности» их различают:
* Опасность – вероятный источник вреда, который реализуется при отказах компонентов или неправильном использовании устройства без злого умысла.
* Угроза – особенность, пользуясь которой злоумышленник наносит вред.
* Риск – величина воздействия вреда, комбинирующая тяжесть и вероятность возникновения.
В отличие от повседневного языка, где опасность, угроза и риск — синонимы, в «языке безопасности» их различают:
* Опасность – вероятный источник вреда, который реализуется при отказах компонентов или неправильном использовании устройства без злого умысла.
* Угроза – особенность, пользуясь которой злоумышленник наносит вред.
* Риск – величина воздействия вреда, комбинирующая тяжесть и вероятность возникновения.
Анализ опасностей
Анализ опасностей помогает определить:
* Опасности, приводящие к наибольшему риску при нарушении работоспособности для каждой функции устройства
* Уровень риска, связанный с этими опасностями (в формате уровней полноты безопасности)
* Функциональные требования, исполнение которых позволит снизить риск – такие требования называют целями безопасности
* Нефункциональные требования, дополняющие цели безопасности
Анализ опасностей помогает определить:
* Опасности, приводящие к наибольшему риску при нарушении работоспособности для каждой функции устройства
* Уровень риска, связанный с этими опасностями (в формате уровней полноты безопасности)
* Функциональные требования, исполнение которых позволит снизить риск – такие требования называют целями безопасности
* Нефункциональные требования, дополняющие цели безопасности
How to?
1. Сначала определяют возможные отказные состояния – по какому сценарию ломается функция. По-английски отказные состояния – malfunctions. Здесь используется анализ HAZOP, о котором речь пойдет в другой статье.
2. Затем для каждого варианта использования устройства выбирают ситуации, в которых возможен отказ. Отсюда определяют опасное событие – что произойдет, если в этой ситуации произойдет переход в это отказное состояние.
3. Зная опасное событие, получают параметры риска. Тяжесть классифицируется дискретно (например, по такой шкале: травмы, не совместимые с жизнью – тяжелые травмы – легкие травмы – отсутствие травм). Вероятность оценивают числом, дискретными классами, или оценку вероятности для упрощения разбивают на параметры, которые проще оценить. Например, ИСО 26262 вместо оценки вероятности требует оценки двух параметров: экспозиции – вероятности нахождения в угрожаемом состоянии, и управляемости – вероятности снизить риск собственными действиями. На основании этих параметров определяется уровень полноты безопасности.
4. Описание опасностей позволяет требования, направленные на минимизацию риска. Этим требованиям присваивается тот же уровень полноты безопасности, что и рассматриваемой ситуации.
1. Сначала определяют возможные отказные состояния – по какому сценарию ломается функция. По-английски отказные состояния – malfunctions. Здесь используется анализ HAZOP, о котором речь пойдет в другой статье.
2. Затем для каждого варианта использования устройства выбирают ситуации, в которых возможен отказ. Отсюда определяют опасное событие – что произойдет, если в этой ситуации произойдет переход в это отказное состояние.
3. Зная опасное событие, получают параметры риска. Тяжесть классифицируется дискретно (например, по такой шкале: травмы, не совместимые с жизнью – тяжелые травмы – легкие травмы – отсутствие травм). Вероятность оценивают числом, дискретными классами, или оценку вероятности для упрощения разбивают на параметры, которые проще оценить. Например, ИСО 26262 вместо оценки вероятности требует оценки двух параметров: экспозиции – вероятности нахождения в угрожаемом состоянии, и управляемости – вероятности снизить риск собственными действиями. На основании этих параметров определяется уровень полноты безопасности.
4. Описание опасностей позволяет требования, направленные на минимизацию риска. Этим требованиям присваивается тот же уровень полноты безопасности, что и рассматриваемой ситуации.
Кибербезопасность: анализ угроз
Что это и зачем?
Анализ угроз нужен, чтобы определить аспекты атаки и ответить на вопросы:
* Активы – информацию, которую следует защищать
* Сценарии ущерба – как использование активов наносит вред
* Воздействие – насколько тяжелым будет нанесенный таким образом вред
* Пути атаки – что делает злоумышленник, как нарушает нормальную работу
* Осуществимость – вероятность успеха атаки
* Уровень риска – комбинация воздействия и осуществимости
* Обработка рисков (митигация) – что делать разработчикам и владельцам устройства
Рассказать все тонкости анализа угроз в одной статье не получится, но постараемся дать обзор.
Что это и зачем?
Анализ угроз нужен, чтобы определить аспекты атаки и ответить на вопросы:
* Активы – информацию, которую следует защищать
* Сценарии ущерба – как использование активов наносит вред
* Воздействие – насколько тяжелым будет нанесенный таким образом вред
* Пути атаки – что делает злоумышленник, как нарушает нормальную работу
* Осуществимость – вероятность успеха атаки
* Уровень риска – комбинация воздействия и осуществимости
* Обработка рисков (митигация) – что делать разработчикам и владельцам устройства
Рассказать все тонкости анализа угроз в одной статье не получится, но постараемся дать обзор.
Шаги анализа
Активы и свойства кибербезопасности
* Актив (англ. asset) – объект, представляющий ценность сам по себе или косвенно влияющий на ценность другого объекта или свойства.
Актив это информация; данные без интерпретации – не актив. Например, у пары чисел (55,76594; 27,68562) нет никакой ценности, если не знать, что это – географические координаты объекта. (Впрочем, это координаты главного здания МГТУ им. Баумана, так что и в этом случае ценность актива сомнительна).
Активом может быть также и свойство объекта. Речь идет о свойствах кибербезопасности. Традиционно выделяют шесть свойств, объединяемых в две «тройки».
Первая тройка – главные свойства: целостность, конфиденциальность, полезность.
Вторая тройка и чуть менее важные свойства: подлинность, владение, полезность.
Определения свойств выглядят примерно так:
* Целостность – актив не подвергался несанкционированным изменениям
* Конфиденциальность – актив доставляется тому, для кого предназначался, и никому другому
* Доступность – актив доступен по запросу в течение заданного времени
* Подлинность – уверенность, что актив создан конкретным автором (будь то человек или программа)
* Владение – право изменять свойство или уничтожить объект
* Полезность – другие условия, связанные с жизненным циклом объекта (например, время жизни: если объект представляет собой результат измерений в системе автоматического управления, его полезность падает со временем)
Активы и свойства кибербезопасности
* Актив (англ. asset) – объект, представляющий ценность сам по себе или косвенно влияющий на ценность другого объекта или свойства.
Актив это информация; данные без интерпретации – не актив. Например, у пары чисел (55,76594; 27,68562) нет никакой ценности, если не знать, что это – географические координаты объекта. (Впрочем, это координаты главного здания МГТУ им. Баумана, так что и в этом случае ценность актива сомнительна).
Активом может быть также и свойство объекта. Речь идет о свойствах кибербезопасности. Традиционно выделяют шесть свойств, объединяемых в две «тройки».
Первая тройка – главные свойства: целостность, конфиденциальность, полезность.
Вторая тройка и чуть менее важные свойства: подлинность, владение, полезность.
Определения свойств выглядят примерно так:
* Целостность – актив не подвергался несанкционированным изменениям
* Конфиденциальность – актив доставляется тому, для кого предназначался, и никому другому
* Доступность – актив доступен по запросу в течение заданного времени
* Подлинность – уверенность, что актив создан конкретным автором (будь то человек или программа)
* Владение – право изменять свойство или уничтожить объект
* Полезность – другие условия, связанные с жизненным циклом объекта (например, время жизни: если объект представляет собой результат измерений в системе автоматического управления, его полезность падает со временем)
Сценарий ущерба
На этом этапе выбирают свойства активов, нарушив которые, злоумышленник причинит вред. Например, если нарушится доступность (свойство кибербезопасности) данных с датчика педали тормоза (актив), перестанет работать торможение; а если нарушится конфиденциальность данных о местоположении автомобиля, злоумышленник узнает, когда водителя нет дома и нанесет тому визит с недобрыми намерениями.
На этом этапе выбирают свойства активов, нарушив которые, злоумышленник причинит вред. Например, если нарушится доступность (свойство кибербезопасности) данных с датчика педали тормоза (актив), перестанет работать торможение; а если нарушится конфиденциальность данных о местоположении автомобиля, злоумышленник узнает, когда водителя нет дома и нанесет тому визит с недобрыми намерениями.
Воздействие
Воздействие – мера вреда, наносимая нарушением свойства безопасности актива. Анализ кибербезопасности, кроме «традиционного» вреда здоровью (как в ИСО 26262) рассматривает финансовые потери, невозможность эксплуатации оборудования и утечку данных.
Все эти виды вреда оцениваются по шкале от «0» — нет вреда, до «3» — максимальный вред.
Воздействие – мера вреда, наносимая нарушением свойства безопасности актива. Анализ кибербезопасности, кроме «традиционного» вреда здоровью (как в ИСО 26262) рассматривает финансовые потери, невозможность эксплуатации оборудования и утечку данных.
Все эти виды вреда оцениваются по шкале от «0» — нет вреда, до «3» — максимальный вред.
Пути атаки
Анализ путей атаки похож на анализ системы: тоже делится на индуктивный и дедуктивный. Если рассматривать нарушения работы отдельных компонентов, и на этом основании определить сценарий компрометации актива – это индуктивный путь. Если начать со сценария компрометации актива и рассматривать варианты реализации атаки применительно к отдельным компонентам – это дедуктивный путь.
Эта часть специфична для анализа TARA, ее доверяют людям, знающим о распространенных методах атак и методах их предотвращения.
Анализ путей атаки похож на анализ системы: тоже делится на индуктивный и дедуктивный. Если рассматривать нарушения работы отдельных компонентов, и на этом основании определить сценарий компрометации актива – это индуктивный путь. Если начать со сценария компрометации актива и рассматривать варианты реализации атаки применительно к отдельным компонентам – это дедуктивный путь.
Эта часть специфична для анализа TARA, ее доверяют людям, знающим о распространенных методах атак и методах их предотвращения.
Осуществимость
Так как мы говорим об атаке – сознательных действиях людей или организаций, вероятностный подход с каталогами а-ля ИСО 26262 здесь неприменим. Осуществимость атаки оценивают по-другому. Здесь мы расскажем о методе CVSS.
Метод CVSS опирается на такие параметры:
* Степень возможной удаленности злоумышленника: атака происходит через глобальную сеть, открытый интерфейс, локальную сеть, или требует физического доступа
* Сложность атаки: низкая (не требует специальных знаний, основана на опубликованном сценарии) или высокая.
* Степень доступа, необходимая для атаки: отсутствует (атака не требует авторизации нарушителя), низкая (требуется авторизация нарушителя как непривилегированного пользователя) или высокая (ничего не получится, если у нарушителя не будет авторизации на уровень привилегированного пользователя или администратора)
* Взаимодействие с пользователем, необходимое для атаки: требуется или нет
* Каждому из возможных значений параметров соответствует некоторое число. Финальный результат определяется произведением чисел, полученных на каждом этапе, на 8,22. Почему на 8,22 – неизвестно.
Так как мы говорим об атаке – сознательных действиях людей или организаций, вероятностный подход с каталогами а-ля ИСО 26262 здесь неприменим. Осуществимость атаки оценивают по-другому. Здесь мы расскажем о методе CVSS.
Метод CVSS опирается на такие параметры:
* Степень возможной удаленности злоумышленника: атака происходит через глобальную сеть, открытый интерфейс, локальную сеть, или требует физического доступа
* Сложность атаки: низкая (не требует специальных знаний, основана на опубликованном сценарии) или высокая.
* Степень доступа, необходимая для атаки: отсутствует (атака не требует авторизации нарушителя), низкая (требуется авторизация нарушителя как непривилегированного пользователя) или высокая (ничего не получится, если у нарушителя не будет авторизации на уровень привилегированного пользователя или администратора)
* Взаимодействие с пользователем, необходимое для атаки: требуется или нет
* Каждому из возможных значений параметров соответствует некоторое число. Финальный результат определяется произведением чисел, полученных на каждом этапе, на 8,22. Почему на 8,22 – неизвестно.
Риск
Уровень риска определяется по таблице (графу риска) на основании оценок воздействия и осуществимости.
Уровень риска определяется по таблице (графу риска) на основании оценок воздействия и осуществимости.
Митигация (обработка рисков)
В зависимости от уровня риска выбирают ответные меры или меры митигации. Все возможные ответные меры попадают в одну из групп:
* Избегание (устранение источников риска, решение не начинать или не продолжать работу)
* Технические меры снижения риска – то, к чему мы привыкли в функциональной безопасности
* Разделение риска (при помощи контрактов или страхования)
* Принятие риска
В зависимости от уровня риска выбирают ответные меры или меры митигации. Все возможные ответные меры попадают в одну из групп:
* Избегание (устранение источников риска, решение не начинать или не продолжать работу)
* Технические меры снижения риска – то, к чему мы привыкли в функциональной безопасности
* Разделение риска (при помощи контрактов или страхования)
* Принятие риска
Роль SafetyConsult
SafetyConsult может провести анализ HARA и TARA, чтобы сэкономить вашим специалистам время и силы. Для вашей стороны анализ сведется к нескольким интервью.
* Проведение анализа по методологиям различных стандартов
— Функциональная безопасность: ИСО 26262, МЭК 61508, ИСО 13849 и др.
— Кибербезопасность: ИСО 21434, ФСТЭК, Common Criteria
* Систематическая проработка и документация
* Выполнение требования тех. регламентов (по КИИ, безопасности машинного оборудования и др.)
* Опыт проведения анализа – обеспечим достижение целей, не позволим «зайти не туда».
SafetyConsult может провести анализ HARA и TARA, чтобы сэкономить вашим специалистам время и силы. Для вашей стороны анализ сведется к нескольким интервью.
* Проведение анализа по методологиям различных стандартов
— Функциональная безопасность: ИСО 26262, МЭК 61508, ИСО 13849 и др.
— Кибербезопасность: ИСО 21434, ФСТЭК, Common Criteria
* Систематическая проработка и документация
* Выполнение требования тех. регламентов (по КИИ, безопасности машинного оборудования и др.)
* Опыт проведения анализа – обеспечим достижение целей, не позволим «зайти не туда».
Это не совсем то, для чего предназначен этот канал, но прочтите, очень прошу
Forwarded from Oleg K
Коллеги!
Мы тут вроде не обсуждаем политику, но это не совсем политика.
В России, в Псковской области находятся тысячи жителей Мариуполя. Они потеряли вообще все что у них было, включая личные вещи.
Вот ссылка на сбор: https://www.tinkoff.ru/collectmoney/crowd/matskevich.ekaterina4/JaOrd64976/?short_link=8ZxLWMvFLxb&httpMethod=GET
А если хотите пожертвовать вещи, то вот список нужного:
https://docs.google.com/spreadsheets/d/1lLsYh00gCLo7H_WZpFRvv6tsvdq3r3pwmY7CI8E-BoQ/htmlview#gid=0
Все вещи принимаются в Москве, люди, которые этим занимаются, сами отвезут и распределят
Мы тут вроде не обсуждаем политику, но это не совсем политика.
В России, в Псковской области находятся тысячи жителей Мариуполя. Они потеряли вообще все что у них было, включая личные вещи.
Вот ссылка на сбор: https://www.tinkoff.ru/collectmoney/crowd/matskevich.ekaterina4/JaOrd64976/?short_link=8ZxLWMvFLxb&httpMethod=GET
А если хотите пожертвовать вещи, то вот список нужного:
https://docs.google.com/spreadsheets/d/1lLsYh00gCLo7H_WZpFRvv6tsvdq3r3pwmY7CI8E-BoQ/htmlview#gid=0
Все вещи принимаются в Москве, люди, которые этим занимаются, сами отвезут и распределят
Тинькофф Банк
Сбор на другое
Деньги собирает Екатерина Мацкевич.
Forwarded from Oleg K
Если надо ознакомиться с предысторией, то вот, инста человека, который все это коордирирует:
https://instagram.com/motion_through_emotion?igshid=NWRhNmQxMjQ=
https://instagram.com/motion_through_emotion?igshid=NWRhNmQxMjQ=