Vad är speciellt med IT-säkerhet?

Transkript

1 Assurans Ett mått på tillit till IT-säkerhet i produkter och system Dag Ströman, Mats Ohlin Bonniers: Skydd, Trygghet Websters: Freedom from threats Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering Vad betyder egentligen säkerhet? Säkerhet - en balans mellan risk & kostnad Skyddsnivå % 12 ~ Frihet från hot Frihet från hot mot tillgångar Tillräcklig frihet från hot mot tillgångar Kvarstående risk 1 Säkerhet:? 1 % Säkerhet kan inte uppnås(!) Kostnader Today we use operating systems Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering that don t need hackers, they fall apart all by themselves Peter Neumann, SRI at NASA Seminar 23rd of March 2

2 Vad är speciellt med IT-säkerhet? Användarnas behov IT-Säkerhetsområdet kännetecknas av två speciella förhållanden: Användarna behöver kunna möta hot och genomföra riskanalys. Komplexheten gör det svårt att påvisa icke-existens av svagheter som kan utnyttjas för en attack. Test av existens är *mycket* lättare Antagandet om ett aktivt, sökande intellekt som strävar efter att hitta lämplig exploaterbar svaghet. Angriparen har ofta mer tid än utvecklaren/försvararen 1. Funktionskrav Säkerhetsfunktioner som kan realisera policy 2. Assuranskrav Behov av tilltro till att säkerhetsfunktionerna har tillräcklig motståndskraft för att möta identifierade hot Angreppssätt Isolering av opålitade komponenter alternativt hela system? Omfattande driftkontroll? Granskning av konstruktion och implementering av komponenter och system? Svårt att åstadkomma; Kräver säkert OS Ingen extern kommunikation Allt mindre rimligt Övervakning, IDS Mycket mer loggning Fördjupad personalkontroll Snabb åtgärd vid upptäckta svagheter Personalintensivt Säkerhetsevaluering Nytt Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering Vad är Common Critera? CC Huvuddokument Internationell standard för kravställning, deklaration och evaluering av ITsäkerhet i produkter och system. Resultatet av ett omfattande, flerårigt internationellt samarbete mellan försvars- och säkerhetsmyndigheter USA, Storbritannien, Tyskland, Frankrike, Nederländerna, Australien i nära samarbete med ISO/IEC JTC 1/SC 27 [IT Security] Fokuserar kring behovet av skydd mot hot från mänskliga aktörer. sekretess, korrekthet/okränkbarhet och tillgänglighet avsiktliga eller oavsiktliga såväl hård- som mjukvara Evaluering genomförs av oberoende evalueringsföretag, vars resultat godkänns av certifieringsorganet Evalueringsföretag och deras personal licensieras av certifieringsorganet Evaluering kan genomföras med varierande noggrannhet Assuransnivåer 1 7 (Evaluation Assurance Levels) Val av nivå beror på skyddsvärde, hotbild och tillgänglig budget Kostnaden är beroende av objektets komplexitet samt önskad assuransnivå Del 1 - Introduktion och grundläggande modell Del 2 - Funktionella säkerhetskrav Del 3 - Assuranskrav CEM - Granskningsmetodik

3 CC del 1: Säkerhetskoncept CC del 1: Begrepp skapar Hot värderar Användare behöver leder till Evaluering Fara för Tillgångar Tillit Assurans ett mått på faktiskt reducerar Skyddsåtgärder till att PP - Protection Profile (Skyddsprofil) Spec. av generella funktions- och assuranskrav för en typ av produkter som uppfyller givna behov. ST - Security Target (Evalueringsmål) Spec. av funktions- och assuranskrav för specifik produkt. Användas som grund för evaluering av produkt. Kan utnyttja PP som grund. TOE - Target of evaluation (Evalueringsobjekt) Produkt/system med dokumentation som är föremål för evaluering. Kan omfatta hela, eller delar av, en produkt/system. Relation mellan PP och ST CC del 2: Funktionella säkerhetskrav Verktygslåda för att kunna uttrycka krav på säkerhetsfunktionalitet Identifiering/autenticering Protection Profile Jag behöver Jag tillhandahåller Security Target Användarintegritet Skydd av användardata Resursutnyttjande Skydd av säkerhetsfunktioner Kommunikation Kontroll av sessionsetablering Kontroll av identiteter vid kommunikation Kryptografiskt stöd Logghantering Administration av säkerhetsfunktioner CC del 3: Assuranskrav Grundsyn Evaluering Verktygslåda för att kunna uttrycka dokumentations- och granskningskrav CM-hantering Leverans, installation, uppstart Utveckling (metoder, funktion, design, implementation) Användardokumentation Life cycle support Tester Sårbarhetsanalys Evaluering: syftar till att eliminera/förhindra uppkomst av exploaterbara svagheter det finns alltid en kvarstående risk - 1% säkerhet finns inte. Mer är bättre; stigande skala med ökande krav. Mål: Effektiv metod för att till given kostnad hitta så många svagheter som möjligt Utifrån antagandet att angriparen gör samma analys i attacksyfte: Försvåra/fördyra hans uppgift. Långsiktigt mål: Se till att användarna i samverkan talar om vad som önskas! Se till att utvecklaren gör rätt från början!

4 Evaluering Metoder för att etablera tillit CC Assuransnivåer Skydd mot: Sponsors/utvecklares kostnad, tid och egen insats Analys av processer och procedurer Kontroll av att processer och procedurer används Analys av designen mot kraven Analys av korrespondensen mellan olika designsteg Verifiering av matematisk/formell modell Analys av användardokumentation Analys av funktionella tester och testresultat Oberoende funktionell testning Sårbarhetsanalys Penetrationstest Används i ökande omfattning med ökande assuransnivå EAL7 EAL6 EAL5 EAL4 EAL3 EAL2 EAL1 Fientligt sinnad konstruktör Främmande makt Kvalificerad programmerare Hacker eller programmerare Erfaren användare Intresserad användare Nyfiken användare Assuransklasser, familjer, komponenter Utvecklingen sedan 2 Assurance class Configuration management Delivery and operation Development Guidance documents Life cycle support Tests Vulnerability assessment Assurance family Assurance components by EAL CM automation CM capabilities CM scope Delivery Installation, generation and startup Functional specification High level design Implementation representation TSF internals Low level design Representation correspondence Security policy modelling Administrator guidance User guidance Development security Flaw remediation Life cycle definition Tools and techniques Coverage Depth Functional tests Independent testing Covert channel analysis Misuse Strength of TOE security functions Vulnerability analysis Antal ITSEF Årtal Antal certifikat Series Årtal Series1 CBs huvuduppgifter Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering Licensiera ITSEF Tillsyn av ITSEFs verksamhet Ge utbildning och stöd till ITSEF Delta i internationellt samarbetet: Tolkningar Standardutveckling Marknadsföra CC Utöva tillsyn av evalueringar Granska evalueringsrapporter Skriva certifieringsrapporter Utfärda certifikat Publicera lista på certifierade produkter Underhålla och utveckla schemat Tillse att schemats regler följs

5 Certifieringsordningen - en översikt CSEC Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering Assurans ger ett mått på tillit till IT-säkerhet Ett CC-Certifikat med rapport anger Assurans specificeras i sju nivåer, EAL 1 EAL 7 Erhålles genom att i ökande grad ställa krav på hur produkten designats och implementerats. granska allt större delar av produkt och dokumentation allt djupare gentemot anspråk angivna i ST. Granskning genomförs av oberoende evalueringsföretag Assurance is the degree of warm fuzziness you feel that the product does what it says it does. Mary Ann Davidson, Oracle Corp. s chief security officer Vilka skyddsfunktioner som produkten har Vilka hot som möts Hur starkt skyddet påstås vara (inkl. krypto) Hur noggrant produkten granskats (dvs EAL-nivå) Vad som förväntas av omgivningen för att produkten skall uppnå den angivna nivån av säkerhet Under vilka övriga antaganden utvärderingen genomförts Tack för uppmärksamheten! Mer info: