От тушения пожаров к системе: ИБ-директор «Авито» – о важности модели угроз

Модель угроз становится все более важным инструментом для руководителей по информационной безопасности, которые не хотят метаться от одного «пожара» к другому и предпочитают перейти к системному управлению рисками. В условиях постоянно меняющегося ландшафта и необходимости эффективно распределять ресурсы, приоритизация определяет эффективность всей системы ИБ.

Грамотно построенная модель позволяет команде фокусироваться на действительно критических рисках, а не тратить время на второстепенные. Она помогает обосновывать инвестиции в безопасность перед руководством конкретными экспертными оценками, с опорой на опыт и практику индустрии, дополняя их количественными данными. Однако на практике потенциал инструмента не всегда полностью реализуется – случается, что компании разрабатывают модель для формального соответствия требованиям, но затем недостаточно активно её используют.

Суть модели угроз

Понять суть модели угроз проще всего через простую аналогию. Представьте план тренировок, который персональный тренер составил под ваши цели и физические возможности. Без практического применения даже хорошо проработанный документ теряет свою реальную ценность для бизнеса. Точно также модель угроз полезна только тогда, когда реально используется для принятия решений, а не только демонстрируется аудиторам для отчета.

В основе концепции лежит оптимизация: как эффективно использовать бюджет ИБ с максимальной отдачей. Методология базируется на систематическом анализе релевантных угроз с учетом того, как реально устроены бизнес-процессы и технологическая архитектура компании.

В России создание модели угроз начинается с банка данных ФСТЭК – централизованного каталога, который содержит 222 систематизированных угрозы и 58 тысяч уязвимостей. Из этого банка организации выбирают релевантные угрозы, применимые к их инфраструктуре и бизнес-процессам. Универсальная база дает хорошую отправную точку, но каждой компании необходимо адаптировать общие угрозы под свою специфику. При использовании типового списка важно адаптировать его под особенности конкретного бизнеса, технологический стек и текущие приоритеты компании. Задача компаний – выбрать актуальные угрозы для конкретного бизнеса, оценить вероятность их реализации и потенциальный ущерб, построить приоритизированную дорожную карту для команды ИБ.

ФСТЭК (Федеральная служба по техническому и экспортному контролю) – определяет государственную политику в области информационной безопасности и устанавливает обязательные требования к наличию моделей угроз в различных секторах экономики.

Конкретные угрозы зависят от отраслевой специфики, размера компании и бизнес-модели, например:

• Финансовые организации сосредоточены на защите от мошенничества и DDoS-атак на платежные системы.
• Ритейлеры выделяют угрозы компрометации данных клиентов и сбоев онлайн-магазинов: остановился сайт = остановились продажи.
• Промышленные предприятия акцентируют внимание на промышленном шпионаже и атаках на системы управления производством.
• Медицинские учреждения озабочены рисками утечки персональных медицинских данных и нарушения работы критических систем жизнеобеспечения. Здесь речь идёт уже о сохранении человеческих жизней.

Как создать модель угроз

Технически модель угроз может выглядеть по-разному: от формального документа с печатями и подписями для регуляторных целей до интерактивной доски в Miro, где команды разработки фиксируют, что может пойти не так с новой функцией. Главное – не формат, а содержание и последующее использование.

Создание модели угроз начинается с поддержки топ-менеджмента. Без поддержки руководства проект рискует остаться на уровне документооборота без практической реализации. Следующий шаг – четко определить цели: модель создается для соответствия регуляторным требованиям или для практического управления рисками? Ответ на этот вопрос определяет дальнейший подход к реализации.

Затем нужно сформировать рабочую группу с участием экспертов, обладающих глубоким пониманием бизнес-процессов компании. Команда ИБ выступает методологическим лидером и координатором процесса. Администраторы систем предоставляют техническую экспертизу о том, как на самом деле функционирует инфраструктура – не по схемам, а по факту. Владельцы бизнес-процессов оценивают критичность активов для бизнеса с точки зрения реальных денег. Служба рисков обеспечивает интеграцию с общекорпоративным управлением рисками, чтобы не изобретать велосипед заново.

И наконец выбрать подход к реализации. Можно привлечь внешних консультантов с готовым опытом или использовать внутренние ресурсы. Стоимость внешних решений варьируется от нескольких сотен тысяч рублей за типовые комплаенс-проекты до десятков миллионов за комплексные корпоративные разработки для крупнейших игроков рынка. Решение зависит от наличия внутренней экспертизы и амбиций компании.

Трансформация ландшафта угроз

Пандемия и массовый переход на удаленную работу окончательно размыли периметр безопасности. Компании потеряли централизованный контроль – теперь сотрудники подключаются через множественные точки входа в неконтролируемых сетях и с личных устройств. Защищать стало значительно сложнее.

Еще одним новым фактором стал искусственный интеллект, который поменял правила игры для киберпреступников. Злоумышленники теперь могут генерировать автоматизированный целевой фишинг с глубокой персонализацией в промышленных масштабах. Исследования показывают неутешительную картину: социальная инженерия участвует в 92% атак на частных лиц и 50% корпоративных инцидентов.

Правила игры для больших для российских корпораций существенно поменялись. Хактивисты теперь активно охотятся на организации с высоким публичным профилем, тогда как раньше подобные угрозы рассматривались как маловероятные.

Статистика инцидентов показывает, что основными векторами атак остаются компрометация учетных данных и фишинг. Эти относительно простые методы по-прежнему приводят к существенным финансовым потерям. Поэтому приоритет для компаний – обучение сотрудников и модернизация систем управления доступом.

Отраслевая специфика и уровень внедрения

Все крупнейшие корпорации создают модели угроз, но в совершенно разных форматах: от формальной документации для соответствия требованиям до реально работающих интегрированных стратегических подходов.

Высокую зрелость демонстрируют отрасли с жесткими регуляторными требованиями: финансовые институты выполняют требования Банка России, объекты критической информационной инфраструктуры – стандартам ФСТЭК, оборонные предприятия –отраслевым нормативам.

Проблемной зоной можно назвать традиционные отрасли в процессе цифровой трансформации. Переход классического офлайн-бизнеса в цифровую среду создает серьезные пробелы в понимании новых векторов атак, особенно на фоне недостаточной экспертизы команд безопасности.

Главные ошибки и чему они учат

Одна из ключевых проблем – разработка модели угроз только для выполнения регуляторных требований. Подобный подход существенно снижает практическую ценность инструмента для управления безопасностью. Малоэффективным оказывается использование готовых типовых решений без адаптации: стандартные шаблоны дают общие рекомендации, которые не отражают специфику конкретного бизнеса. Несвоевременное обновление модели приводит к ее быстрому устареванию. Ландшафт угроз изменяется стремительно, и трехлетний цикл обновлений не обеспечивает адекватность документа текущим вызовам.

Без системного подхода службы ИБ распыляют ресурсы на второстепенные угрозы и упускают критические риски. Команды переходят в режим “тушения пожаров” – реагируют на каждую новость о громких кибератаках, вместо того чтобы методично защищать наиболее уязвимые активы своей организации. Инциденты обрабатываются хаотично, расходы на реагирование растут, а восстановление систем затягивается. Последствия успешных атак могут быть тяжелыми: длительные простои критических систем, прямые финансовые потери, штрафы, репутационный ущерб и снижение доверия клиентов. Восстановление после серьезных инцидентов может растягиваться на недели и требовать привлечения крайне дорогостоящих внешних экспертов.

Практический опыт: стратегический и тактический подход

В Авито модель угроз работает на двух уровнях. На стратегическом уровне команда ИБ раз в год пересматривает глобальные угрозы при планировании стратегии безопасности, анализирует внешние вызовы и увязывает их с бизнес-целями компании.

На тактическом уровне продуктовые команды встраивают моделирование угроз непосредственно в процесс разработки. Команда ИБ проводит оценку угроз для новых функций по шаблонам на основе методологии STRIDE – систематического подхода Microsoft, который делит угрозы на шесть типов: подмена личности злоумышленником под другого пользователя (Spoofing), несанкционированное изменение файлов или данных системы (Tampering), возможность пользователя отрицать свои действия из-за отсутствия доказательств (Repudiation), утечка конфиденциальной информации к неавторизованным лицам (Information Disclosure), блокировка работы системы или сервиса для законных пользователей (Denial of Service) и получение злоумышленником прав доступа выше предоставленных (Elevation of Privilege). Моделирование угроз происходит на этапе идеи нового сервиса или его ранней реализации – если команда видит риски, они сразу закладываются в модель.

Ключевые выводы

Реальную ценность модель угроз создает только при системном использовании для принятия конкретных решений и планирования защиты, помимо аудиторского соответствия.

При грамотном распределении ресурсов приоритет следует отдавать специфичным для бизнеса угрозам, а не теоретическим рискам общего характера.

• Отсутствие мандата руководства значительно снижает практическую ценность даже хорошо разработанной модели угроз.
• Специфика бизнеса и размер предприятия определяют релевантные угрозы – универсальных решений не существует.
• Ландшафт угроз меняется с огромной скоростью, и статичная модель может потерять практическую ценность уже через месяцы после создания.
• Без системного подхода команды ИБ работают менее эффективно, не всегда оптимально используют ресурсы, преимущественно работают в реактивном режиме и могут испытывать сложности с обоснованием инвестиций в безопасность.