ЗАТВЕРДЖЕНО

Наказ Міністерства освіти і науки,

молоді та спорту України
29 березня 2012 року № 384

Форма № Н-6.01

Київський національний університет імені Тараса Шевченка

(повне найменування вищого навчального закладу)

Кафедра інформаційних систем та технологій

(повна назва кафедри, циклової комісії)

ПРАКТИЧНА РОБОТА №8
з дисципліни: «Захист інформації в інтернеті речей»
(назва дисципліни)

на тему: «Моделювання загроз для оцінки ризиків у системі IoT»

Студента(ки) 4 курсу групи ІР-41

спеціальності – 126 «Інформаційні системи та
технологій»
Легойди Юлії Вікторівни
(прізвище та ініціали)

Викладач: доцент, к.т.н., Делембовський М.М.

(посада, вчене звання, науковий ступінь, прізвище та ініціали)

Національна шкала ________________________

Кількість балів: __________Оцінка: ECTS _____

м. Київ – 2024 рік

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 1з 7 www.netacad.com
Packet Tracer – Моделювання загроз на комунікаційному рівні IoT

Packet Tracer – моделювання загроз для оцінки ризиків у системі

IoT
Топологія
Це домашня система IoT, прототип якої було створено в Packet Tracer. Він показує будинок у розрізі з
різними датчиками, приводами та з’єднаннями.

Цілі
Частина 1: Створення діаграми потоку даних домашньої системи IoT
Частина 2: Створення оцінки ризику за допомогою DREAD
Частина 3: Вибір реакції на ризик для номінальних ризиків
Частина 4: Розгляд стратегій зменшення ризиків

Необхідні ресурси
 Packet Tracer 7.1 або новішої версії

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 2з 7 www.netacad.com
Packet Tracer – Моделювання загроз на комунікаційному рівні IoT

Передумови /Сценарій
У цьому Packet Tracer ви завершите свою модель загроз системи домашньої автоматизації IoT, з якою
ви працювали в попередніх розділах. Тепер , коли ви попрацювали з усіма трьома рівнями поверхні
атаки IoT, ви можете створити базову діаграму потоку даних системи. Це допоможе вам зрозуміти
систему на функціональному рівні та створити межі довіри, які допоможуть зрозуміти ризики безпеки.
Зазвичай діаграма потоку даних завершується на кроці 2 процесу моделювання загроз. Однак через
структуру цього курсу вам потрібно зробити це пізніше, після того, як усі ваші активи трьох рівнів
поверхні атаки будуть завершені.
Ви будете використовувати ваші таблиці STRIDE з фізичного, комунікаційного та прикладного рівнів
поверхні атак IoT і застосувати модель DREAD для створення показників ризику для деяких загроз.
Зазвичай модель загроз включатиме показники ризику для всіх відповідних загроз, які були
ідентифіковані, однак, задля економії часу, ви працюватимете лише з деякими з них.
Після створення показників ризику ви вирішуєте, як реагувати на ризики за допомогою моделі
реагування на ризик із чотирма Ts.

Part 1: Створення діаграми потоку даних домашньої системи IoT

Ви завершили інвентаризацію активів у попередніх Packet Tracers. Ви також склали схеми фізичної
мережі, включаючи з’єднання між пристроями та типи використовуваних протоколів. Тепер вам
потрібно створити діаграму потоку даних високого рівня. Цей процес адаптовано з архітектури безпеки
Microsoft IoT .
Дотримуйтеся схеми потоку даних моделі та процесу, наданого у змісті курсу, і виконайте наступне:
a. Подумайте про можливі зони в системі. Створіть зону для датчиків і виконавчих механізмів,
пристрою комунікаційної інфраструктури та хмарної програми. Подумайте про сховища даних і
процеси, які можуть існувати як хмарні служби. З’єднайте ці зони стрілками, щоб вказати тип зв’язку
між ними.
b. Які зовнішні суб'єкти мають доступ до системи? Додайте сутності та лінії, щоб зв’язати їх із зонами,
до яких вони мають доступ, і системою, до якої вони мають доступ. Подумайте про типи програм і
протоколів, які використовує кожна з них, а також про функції, описані в попередніх інструментах
відстеження пакетів.
c. Накресліть межі довіри. Дотримуйтеся визначення меж довіри, наведених у курсі.

Part 2: Створення оцінки ризику за допомогою DREAD

У трьох попередніх моделях Packet Tracers для моделювання загроз ви створювали списки пристроїв і
визначали вразливі місця в них за допомогою моделі STRIDE. Наступним кроком є використання
механізму підрахунку балів, який дозволяє визначати та розставляти пріоритети ризику. Система
DREAD дозволяє зробити це, створивши комплексну метрику ризику, яка складається з балів для п’яти
категорій ризику DREAD:
 Damage Potential / потенційна шкода - Який ступінь впливу на активи організації? (1 = низький
вплив, 3 = сильний вплив)
 Reproducibility / Відтворюваність – наскільки легко різноманітні суб’єкти загроз можуть відтворити
атаку? (завжди 3 - легко)
 Exploitability / використання – наскільки легко здійснити атаку? (1 = важко, 3 = легко)
 Affected Users / Постраждалі користувачі – хто та скільки користувачів постраждає? (1 = кілька, 3 =
багато)
 Discoverability Можливість виявлення – як легко можна знайти вразливість? (завжди 3 - легко)
https://en.wikipedia.org/wiki/DREAD_(risk_assessment_model)
Для цілей цього Packet Tracer зробіть наступні припущення. По-перше, оскільки це система домашньої
автоматизації, припустимо, що всі члени родини, які живуть у домі, постраждають від будь-якого

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 3з 7 www.netacad.com
Packet Tracer – Моделювання загроз на комунікаційному рівні IoT
експлойту. Крім того, рекомендовано, щоб показники відтворюваності та видимості завжди оцінювали
як високі. Таким чином, метрики «Відтворюваність», «Постраждалі користувачі» та «Виявленість» уже
отримали 3 бали для всіх вразливостей.
При фактичній оцінці ризику показник A не вважатиметься рівним 3. Однак рекомендується, щоб R і
другий D завжди оцінювалися як 3.
a. Використовуйте наведену нижче таблицю, щоб оцінити свої раніше виявлені загрози відповідно до
наведеного вище пояснення оцінки. Зазвичай оцінюється кожна відповідна виявлена загроза.
Однак для цілей цього Packet Tracer ви можете вибрати кілька загроз з кожного з трьох елементів
поверхні атаки IoT, які ми обговорювали в цьому курсі.

Всьог
Поверхня атаки та загроза D R E A D о

Імітування когось, хто ним не є(смартфон) 3 3 3 3 3 15

Фальсифікація даних(домашній шлюз)
3 3 1 3 3 13
Успішно впровадити фальшиві дані в систему
3 3 1 3 3 13
Прикинутися, що ви виконали транзакцію чи
операцію(MCU)

2 3 2 3 3 13

Вимкнути пристрої або пошкодити пристрої(MCU)

3 3 3 3 3 15
Отримати та чи або змінити доступ до привілеїв
ресурсів, призначених тільки для адміністраторів чи
інших ролей

3 3 3 3 3 15

Шахрайські кабелі(Коаксіальний роздільник)

1 3 3 3 3 13
Зловмисні розширення браузера(планшет або
смартфон)

1 3 3 3 3 13
Фальшиві оновлення(Домашній шлюз)

1 3 1 3 3 13
Програми та файли, які були завантажені з Інтернету –
є дуже важливим джерелом загроз

3 3 2 3 3 14
Маршрутизатори з безпекою домашньої автоматизації 1 3 1 3 3 11

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 4з 7 www.netacad.com
Packet Tracer – Моделювання загроз на комунікаційному рівні IoT

Всьог
Поверхня атаки та загроза D R E A D о

b. Розмістіть ризики в порядку від найбільшого до найменшого показника DREAD і оцініть ймовірність
того, що ризик відбудеться. Зробіть це, скопіювавши ризики або позначивши таблицю, яку ви
заповнили вище. Оцініть ймовірність як 1 для малоймовірного та 3 для дуже ймовірного.

Всьог Ймовірніст
Поверхня атаки та загроза о ь

Імітування когось, хто ним не є(смартфон) 15 3

Вимкнути пристрої або пошкодити пристрої(MCU) 15 3
Отримати та чи або змінити доступ до привілеїв
ресурсів, призначених тільки для адміністраторів чи
інших ролей 15 3
Програми та файли, які були завантажені з Інтернету –
є дуже важливим джерелом загроз 14 2
Успішно впровадити фальшиві дані в систему 13 2
Зловмисні розширення браузера(планшет або
смартфон) 13 2
Маршрутизатори з безпекою домашньої автоматизації 11 3

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 5з 7 www.netacad.com
Packet Tracer – Моделювання загроз на комунікаційному рівні IoT

Part 3: Вибір відповіді на ризик для номінальних ризиків

Ознайомтеся з чотирма способами «лікування» ризиків на малюнку нижче або в PDF-версії цих
інструкцій Packet Tracer. Відповідно до ваших оцінок ризику та ймовірності, вирішіть, як з ризиками слід
поводитись.

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 6з 7 www.netacad.com
Packet Tracer – Моделювання загроз на комунікаційному рівні IoT

Загроза Реакція на ризик

Передача - Укладення угоди з

провайдером кіберзахисту для
забезпечення страховки та захисту від
Кібератака кібератак.
Завершення - Припинення використання
обладнання, яке може призвести до
Пожежа пожежі, і вибір альтернативних методів
роботи.
Обробка - Впровадження системи
регулярного резервного копіювання та
Втрата даних відновлення даних для зменшення
втрати в разі втрати даних.
Терпіння - Прийняття можливості
використання джерел енергії резервного
живлення, але не вживання додаткових
Перерви в електропостачанні заходів для запобігання перервам.
Терпіння - Прийняття ризику та витрат на
додаткове навчання персоналу, але
відмова від пошуку альтернативних
Недостатня кваліфікація персоналу методів зменшення ризику.
Завершення - Припинення обміну
конфіденційною інформацією з
зовнішніми сторонами, що може
Конфіденційна інформація витікає призвести до витоку інформації.

Які ще фактори слід враховувати при визначенні реагування на ризик, окрім рейтингу та ймовірності
ризику?
Є ще фактори які слід враховувати при визначенні реагування на ризик:
фальсифікація та маніпуляція

 2017 - 2024Cisco та/або її філії. Всі права захищені. Cisco Public Сторінка 7з 7 www.netacad.com