3 Анализ угроз по модели dread
Для основных компонентов системы была выполнена идентификация угроз по модели DREAD, представленная в таблице 3.1.
Таблица 3.1 – Модель угроз DREAD для системы
№ |
Угроза (кратко) |
D – ущерб |
R – повторяемость |
E – сложность эксплуатации |
A – охват пользователей |
D – обнаруживаемость |
Средний балл |
Комментарий по приоритету |
1 |
Подмена устройства теплицы на MQTT‑брокере (Spoofing) |
9 |
7 |
8 |
8 |
6 |
7,6 |
Высокий риск: влияет на все функции управления. |
2 |
Модификация прошивки контроллера STM32 |
10 |
6 |
7 |
8 |
5 |
7,2 |
Критичный риск: полный контроль над исполнительными устройствами. |
3 |
Перехват/изменение MQTT‑сообщений при слабой криптозащите |
8 |
8 |
7 |
8 |
7 |
7,6 |
Высокий риск: искажение телеметрии и команд. |
4 |
Утечка учётных данных пользователей веб‑приложения |
7 |
7 |
7 |
7 |
6 |
6,8 |
Средний-высокий риск: несанкционированный доступ к интерфейсу. |
Продолжение таблицы 3.1
№ |
Угроза (кратко) |
D – ущерб |
R – повторяемость |
E – сложность эксплуатации |
A – охват пользователей |
D – обнаруживаемость |
Средний балл |
Комментарий по приоритету |
5 |
DoS‑атака на веб‑сервер или MQTT‑брокер |
8 |
8 |
6 |
8 |
7 |
7,4 |
Высокий риск: потеря доступности мониторинга и управления. |
6 |
Повышение привилегий во веб‑приложении до роли администратора |
9 |
6 |
7 |
7 |
6 |
7,0 |
Высокий риск: компрометация всей конфигурации системы. |
4 Анализ угроз по методике фстэк
Первоочередно были выбраны негативные последствия для системы, представленные на рисунке 4.1.
Рисунок 4.1 – Негативные последствия
Далее были выбраны категории угроз для системы, представленные на рисунке 4.2.
Рисунок 4.2 – Выбор категорий угроз
Следом были выбраны объекты воздействия и уточнены компоненты объектов воздействия, что представлено на рисунках 4.3 – 4.4.
Рисунок 4.3 – Выбор объектов воздействия
Рисунок 4.4 – Выбор компонентов объектов воздействия
В результате был получен перечень возможных угроз безопасности информации, что представлено на рисунке 4.5.
Рисунок 4.5 – Перечень возможных угроз безопасности
Полный перечень угроз представлен в приложении А.