ЗАТВЕРДЖЕНО

Наказ Міністерства освіти і науки,

молоді та спорту України
29 березня 2012 року № 384

Форма № Н-6.01

Київський національний університет імені Тараса Шевченка

(повне найменування вищого навчального закладу)

Кафедра інформаційних систем та технологій

(повна назва кафедри, циклової комісії)

ПРАКТИЧНА РОБОТА №5
з дисципліни: «Захист інформації в інтернеті речей»
(назва дисципліни)

на тему: «Моделювання загроз на рівні пристрою»

Частина 4: Виявлення потенційних загроз за допомогою моделі STRIDE

Студента(ки) 4 курсу групи ІР-41

спеціальності – 126 «Інформаційні системи та
технологій»
Легойда Юлія Вікторівна
(прізвище та ініціали)

Викладач: доцент, к.т.н., Делембовський М.М.

(посада, вчене звання, науковий ступінь, прізвище та ініціали)

Національна шкала ________________________

Кількість балів: __________Оцінка: ECTS _____

м. Київ – 2024 рік

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 1з 7 www.netacad.com
Packet Tracer – досліджуйте розумний дім

Packet Tracer – Моделювання загроз на рівні пристрою

Топологія
Топологія — це домашня система IoT, прототип якої було створено в Packet Tracer. Він показує
будинок у розрізі з різними датчиками, приводами та з’єднаннями.

Цілі
У цьому Packet Tracer ви почнете процес моделювання загроз для рівня пристроїв на поверхні атаки
IoT.
Частина 1: Визначення цілей безпеки
Частина 2: Дослідження та побудова схеми фізичної мережі
Частина 3: Створення переліку активів поверхні атаки на фізичні пристрої
Частина 4: Виявлення потенційних загроз за допомогою моделі STRIDE

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 2з 7 www.netacad.com
Packet Tracer – досліджуйте розумний дім

Передумови / Сценарій
Власник будинку читав про IoT і дуже захопився можливостями систем домашньої автоматизації IoT.
Власник будинку хоче встановити таку систему в своєму будинку, але не знає, як це зробити. Він
звернувся до компанії, яка може розробити та встановити систему. Компанія зосереджується на
безпеці протягом усього процесу проектування, ініціалізації та розробки системи. Зараз вони
розробляють модель загроз для системи. Вас найняла компанія, і ваше перше завдання — завершити
модель загроз.
Будинок площею 3500 кв. футів (325 м2) складається з двох поверхів і мансарди. Клієнти регулярно
бувають поза домом і вимагають найбезпечнішого будинку. Клієнт хоче мати можливість дистанційно
контролювати будинок і хоче мати наступні системи з підтримкою IoT:
 Клімат контроль
 Дим / вогонь
 Температура виходить за межі норми
 Дверні та віконні замки
 Полив газону
 Місцева сигналізація та повідомлення відділу екстреної допомоги
Система має бути керованою локально та через хмару. Користувач повинен мати можливість отримати
доступ до контролера з веб-браузера з мережі, а також віддалено через додаток для смартфона. Це
дозволить клієнтам контролювати або контролювати систему, коли вони відсутні.
Система повинна збирати та зберігати дані від віддалених датчиків, і різні дії повинні виконуватися на
основі вхідних даних від цих датчиків. Наприклад, якщо температура перевищує максимальний
діапазон, це, ймовірно, означає, що кондиціонер не працює, і когось потрібно повідомити якомога
швидше. Якщо система виявляє дим, має спрацювати місцевий сигнал тривоги, а клієнт і пожежна
служба повинні бути попереджені. Дані з системи слід зберігати та аналізувати. Крім того, клієнт
повинен мати можливість змінювати порогові значення, які запускають різні приводи та події, якщо це
необхідно, локально або через мобільний додаток. Тригери та поведінка, аналітика даних і доступ до
дистанційного керування доступні через службу хмарних додатків домашньої автоматизації, з якою
система взаємодіє.
Власники будинків повинні мати захищені паролем облікові записи для доступу до системи. Крім того,
компанія повинна мати доступ до системної діагностики на випадок виникнення проблем із системою.
Лише домовласник повинен мати доступ до хмарних програм.
Також важливо звернути увагу на ці інші деталі будинку:
 3 спальні, 1 кімната, 2 ванни
 2 поверхи та мансарда
 1 головний передній і 1 бічний вхід
 2 розсувних двері на задній двір – одні з головної спальні
 Гараж на 2 машини
Команда розробила систему, і це ваше завдання – виконати моделювання загроз у проекті.
Ви почнете зі створення моделі загроз для системи. Прототип системи домашньої автоматизації було
створено в Packet Tracer. Система дуже схожа на домашню систему IoT, яку ви досліджували раніше в
курсі. Оскільки процес моделювання загроз дуже детальний, ми розіб’ємо його на чотири пов’язані
лабораторії. Перші три лабораторні роботи призначені для кожного рівня поверхні атаки IoT. У
фінальній версії Packet Tracer ви оцінюєте ризики та визначаєте, як ними керуватимете.

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 3з 7 www.netacad.com
Packet Tracer – досліджуйте розумний дім

Необхідні ресурси

Part 4: Виявлення потенційних загроз за допомогою моделі STRIDE

У цій частині ви будете визначати загрози за допомогою методології STRIDE. Спробуйте описати
якомога більше загроз на основі вашого досвіду в курсі, сторінки вразливостей OWASP IoT та інших
джерел інформації.
Використовуйте модель STRIDE, щоб створити список потенційних загроз
Заповніть цю таблицю загрозами для кожної категорії в моделі загроз STRIDE. Додайте потенційні
загрози, які можуть виникнути для кожної категорії STRIDE. За можливості вкажіть тип загрози,
використовуючи термінологію OWASP.

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 4з 7 www.netacad.com
Packet Tracer – досліджуйте розумний дім

Тип загрози Тип активу Загроза

(S)poofing – чи може Датчики Зловмисник може підробити дані, які передаються

зловмисник видати себе за від датчиків, щоб викликати помилкові реакції або
те, ким він не є, чи подуріти систему.
підробити дані?
Актуатори Зловмисник може видаватися за справжнього
адміністратора або контролера пристрою, щоб
отримати доступ до функцій адміністрування та
управління.

(T)ampering – чи може Датчики Зловмисник може впливати на значення датчиків,

зловмисник успішно ввести такі як температура або рівень вологості, щоб
підроблені дані в систему? спричинити помилкові повідомлення або реакції.

Актуатори Зловмисник може змінити налаштування

актуатора, наприклад, вимкнути систему безпеки
або відчинити двері без авторизації.

(R)epudiation – чи може Датчики Можливість для користувача зробити вигляд, що

користувач робити вигляд, певні події не відбулися, використовуючи
що транзакція не зміщення даних або втручання у збір інформації.
відбулася?
Актуатори Зловмисник може намагатися викликати відмову
системи в реагуванні на аварійні ситуації, а потім
заперечувати свою причетність.

(І)розкриття інформації – Датчики Зловмисник може отримати доступ до

чи може пристрій конфіденційної інформації, яка збирається
передавати конфіденційні датчиками, такої як особисті дані користувачів або
дані неавторизованим
важливі дані про середовище.
особам?
Актуатори Наприклад, зловмисник може отримати доступ до
даних про залежності актуаторів, які можуть бути
використані для підробки або атак на систему.

(D)відмова в Датчики Зловмисник може переповнити систему запитами,

обслуговуванні – чи можна щоб перевантажити або вимкнути датчики.
зловмисно вимкнути
пристрій або зробити його
недоступним?
Актуатори Зловмисник може намагатися перевантажити
систему запитами або змінами стану, щоб
спричинити відмову актуаторів у відповідь на
запити.

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 5з 7 www.netacad.com
Packet Tracer – досліджуйте розумний дім

Тип загрози Тип активу Загроза

(E)збільшення привілеїв – Датчики Зловмисник може намагатися отримати доступ до

чи можуть користувачі привілейованих даних або функцій, які не
отримати доступ до призначені для звичайного користувача.
привілейованих ресурсів,
призначених лише для
адміністраторів або
суперкористувачів?
Актуатори Зловмисник може намагатися здійснити атаку на
привілеї, щоб отримати доступ до контролю над
пристроєм або системою.

Примітка: https://owasp.org/www-community/Threat_Modeling_Process#stride-threat--
mitigation-techniques

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 6з 7 www.netacad.com
Packet Tracer – досліджуйте розумний дім

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 7з 7 www.netacad.com