Добавить в корзинуПозвонить
Найти в Дзене
Кибербезопасность для бизнеса

Модели киберугроз: STRIDE, DREAD, PASTA, MITRE ATT&CK — выбор и применение

2
5 мин
Согласно исследованиям Gartner, организации, внедрившие систематический анализ угроз с использованием специализированных фреймворков, фиксируют заметное снижение числа инцидентов безопасности. Однако ошибка в выборе модели приводит либо к пропуску реальных векторов атак, либо к неоправданным затратам. Ниже — детальный разбор четырёх ключевых подходов и критерии их применения. Модель разработана Microsoft для систематизации угроз программным продуктам, но сегодня применяется значительно шире — от веб-приложений до корпоративных сетей. Название образовано от первых букв шести категорий: Методика применения: специалист последовательно проверяет каждый компонент системы по всем шести категориям. Результат — таблица угроз с привязкой к конкретным элементам архитектуры. STRIDE проста в освоении и хорошо работает на этапе проектирования, но не даёт количественной оценки риска. Чтобы понять, какая из выявленных угроз наиболее критична, требуются дополнительные инструменты. DREAD дополняет STRI
Оглавление
Центральное изображение статьи. Изображение авторское, фон создан в Алиса AI
Центральное изображение статьи. Изображение авторское, фон создан в Алиса AI

Согласно исследованиям Gartner, организации, внедрившие систематический анализ угроз с использованием специализированных фреймворков, фиксируют заметное снижение числа инцидентов безопасности. Однако ошибка в выборе модели приводит либо к пропуску реальных векторов атак, либо к неоправданным затратам. Ниже — детальный разбор четырёх ключевых подходов и критерии их применения.

STRIDE: классификация угроз от Microsoft

Модель разработана Microsoft для систематизации угроз программным продуктам, но сегодня применяется значительно шире — от веб-приложений до корпоративных сетей. Название образовано от первых букв шести категорий:

  • Spoofing — подмена личности или источника данных;
  • Tampering — несанкционированное изменение данных или кода;
  • Repudiation — отказ от совершённых действий при отсутствии аудита;
  • Information Disclosure — раскрытие конфиденциальной информации;
  • Denial of Service — отказ в обслуживании;
  • Elevation of Privilege — повышение привилегий.

Методика применения: специалист последовательно проверяет каждый компонент системы по всем шести категориям. Результат — таблица угроз с привязкой к конкретным элементам архитектуры. STRIDE проста в освоении и хорошо работает на этапе проектирования, но не даёт количественной оценки риска. Чтобы понять, какая из выявленных угроз наиболее критична, требуются дополнительные инструменты.

DREAD: количественная оценка рисков

DREAD дополняет STRIDE, добавляя числовую оценку опасности. Акроним расшифровывается так:

  • Damage — потенциальный ущерб от реализации угрозы;
  • Reproducibility — насколько легко угрозу воспроизвести;
  • Exploitability — сложность эксплуатации;
  • Affected Users — число пользователей, которые пострадают;
  • Discoverability — лёгкость обнаружения уязвимости.

Каждый параметр оценивается по шкале (обычно от 1 до 10), после чего вычисляется итоговый балл. Угрозы ранжируются, и команда фокусируется на наиболее опасных. DREAD удобен для сравнения рисков между разными компонентами или проектами. Главное ограничение — субъективность оценок: разные специалисты могут присвоить одной и той же угрозе разные баллы, поэтому необходимо заранее согласовать критерии внутри команды.

PASTA: процессно-ориентированный анализ рисков

PASTA (Process for Attack Simulation and Threat Analysis) принципиально отличается от двух предыдущих подходов. Если STRIDE и DREAD смотрят на систему «сверху», то PASTA начинает с бизнес-контекста. Методология включает семь последовательных этапов:

  1. Определение бизнес-целей и связанных с ними рисков.
  2. Определение технической области — архитектуры, компонентов, интерфейсов.
  3. Декомпозиция приложения на модули, интерфейсы и потоки данных.
  4. Анализ угроз на основе выявленных уязвимостей.
  5. Моделирование атак через построение деревьев атак.
  6. Оценка и приоритизация рисков.
  7. Разработка стратегии снижения рисков.

PASTA требует вовлечения не только ИБ-специалистов, но и владельцев бизнес-процессов. Это делает её особенно полезной для крупных организаций, где решения по безопасности должны быть обоснованы перед руководством. Главный минус — высокая трудоёмкость: провести полный анализ для большой системы сложно, поэтому на практике часто применяют упрощённые варианты.

MITRE ATT&CK: тактики и техники реальных атакующих

MITRE ATT&CK — это не модель оценки рисков в классическом понимании, а база знаний о тактиках и техниках, применяемых реальными злоумышленниками. База постоянно пополняется на основе наблюдаемых инцидентов и позволяет решать три ключевые задачи:

  • проверить, насколько текущая система защиты покрывает известные техники атак;
  • смоделировать действия злоумышленника на разных этапах — от разведки до эксфильтрации данных;
  • выявить слепые зоны в мониторинге и реагировании.

Для бизнеса MITRE ATT&CK ценна тем, что предоставляет общий язык для обсуждения угроз. Вместо абстрактного «нас могут взломать» появляется конкретный перечень: «проверено покрытие на техники T1059, T1003, T1021». Это упрощает коммуникацию между безопасниками, разработчиками и руководством.

Как выбрать подходящую модель

Выбор зависит от трёх факторов: размера организации, зрелости ИБ-процессов и цели анализа.

Для стартапов и небольших команд оптимальны STRIDE + DREAD — они дают быстрый результат без лишней бюрократии. STRIDE применяется для проектирования новых систем, DREAD — для количественной оценки найденных угроз.

Средний бизнес с выделенной ИБ-функцией может использовать STRIDE на этапе разработки новых сервисов, а MITRE ATT&CK — для регулярной проверки текущего уровня защищённости и покрытия техник атак.

Крупные предприятия и регулируемые отрасли выигрывают от применения PASTA: она обеспечивает связь с бизнес-целями и аудируемость процесса, что важно при взаимодействии с регуляторами.

Для пентестов и red team-кампаний основным инструментом становится MITRE ATT&CK как база для моделирования атак и оценки эффективности защиты.

Выбор модели не является разовым решением — по мере роста компании подход следует пересматривать. То, что работало для стартапа из десяти человек, может оказаться недостаточным для распределённой организации с несколькими офисами и сотнями серверов.

Типовой сценарий: выбор модели для финтех-стартапа

Небольшая компания разрабатывала платёжное приложение. Отдел безопасности состоял из двух человек. Требовалось быстро оценить риски перед запуском продукта и убедить инвесторов в надёжности системы. Команда применила STRIDE: прошла по всем компонентам архитектуры, составила список угроз. Затем использовала DREAD, чтобы выделить пять наиболее критичных проблем. На основе этого сформировали дорожную карту доработок на три месяца. Через полгода, когда штат вырос, перешли к MITRE ATT&CK для регулярной проверки покрытия защитных мер. PASTA не использовали — для их масштаба она была избыточной.

Этот сценарий иллюстрирует, что выбор модели не является теоретическим упражнением, а напрямую влияет на эффективность использования ограниченных ресурсов команды безопасности.

Материалы канала ориентированы на специалистов по информационной безопасности и IT-руководителей. Подписывайтесь, чтобы получать актуальные методологии и разборы инцидентов.

Вопрос для обсуждения: Какие модели угроз применяются в практике и с какими сложностями приходилось сталкиваться при их внедрении?

1