Hot + Svaghet + Sårbarhet = Hotbild

Transkript

1 4 Hotbild Du har säkert hört begreppet hotbild tidigare. Om jag skulle försöka mig på att klassificera begreppet hotbild skulle det kunna vara enligt följande formel: Hot + Svaghet + Sårbarhet = Hotbild. För att åskådliggöra det ytterligare kan du se ett exempel i bild 4.1. IT-resurs SVAGHET SVAGHET SÅRBARHET BILD Bild 4.1: Yttre hot och svagheter skapar en sårbarhet.

2 44 Handbok i IT-säkerhet Det här är en klar förenkling av tillvaron, men det illustrerar begreppet hotbild på ett tydligt sätt. När du försöker skapa dig ett begrepp om en hotbild måste du väga in de olika komponenterna. Första frågan är om ett hot föreligger. Finns ett tydligt hot gäller det att identifiera vad det utgörs av och hur det kan realiseras. Förekommer inget tydligt hot går du vidare och granskar ifall ditt IT-system har några svagheter. För att ge dig en fingervisning om potentiella svagheter att granska väljer jag att göra en lista med exempel: Finns en god autentiseringsfunktion? Var och hur lagras användardata (user credentials)? Krävs separat klientprogram? Vilka nätverksprotokoll används? Krypteras användardata mellan klient och server? Delas resurser via NFS eller NetBEUI? Används förbestämda administratörskonton i server och databashanterare? Förekommer kända bakdörrar? Om inte, vilka portar kommunicerar de olika protokollen över? Vilka portar måste öppnas i brandväggen för att inte tappa funktionalitet? Kan sessionsdata fångas på nätverket? Det här är enbart ett axplock av de frågor som du måste ställa för att få en bild om en svaghet föreligger. Hittar du någon eller några svagheter uppstår plötsligt ett potentiellt hot. Kombinationen av hot och svaghet ger dig ett begrepp om sårbarheten i ditt IT-system. Tillsammans ger dig dessa tre parametrar en tydlig hotbild. Att få fram information om ett systems svagheter kräver en hel del kunskap för att kunna ställa rätt frågor. Dessutom krävs expertkompetens för att tolka svaren på frågorna. Vilka typer av hot pratar vi om? I din dagliga tillvaro kommer dina IT-resurser att vara riskexponerade för ett antal olika hot. Jag har valt att klassa in de olika typerna av hot i tre grupper: 1. Fysiska hot. Här räknar jag in faktorer som stöld, vandalisering, brand, komponentfel och översvämning för att nämna några. 2. Logiska hot. I det här fallet syftar jag på obehörig användning, manipulering, hindrande av tjänst och liknande logiska hot.

3 Kapitel 4 Hotbild Mänskliga/organisatoriska hot. Här menar jag hot som uppstår på grund av dåliga rutiner, inga rutiner, oklar ansvarsfördelning, otillräcklig kunskap med mera. Varje typ av hot kan sedan brytas ner i mindre delar. Fysiska hot Den här typen av hot är lätta att relatera till. Det handlar om någonting som ställer till skada i det vi ser; datorer, hårddiskar, minneskretsar, nätverkskort, processorer, fläktar och andra komponenter. Det finns två undergrupper under typen fysiska hot: Rena tekniska fel orsakade av komponentfel eller någon form av systemhaveri. Sådana fel gör att tillgängligheten minskar eller rent av bryts under en viss tid. Obehöriga personer får fysisk åtkomst till IT-resurser eller att IT-resurser skadas rent fysiskt. I och med att datorerna blir snabbare, mindre och lagrar allt större mängder data är det här ett område att ta på allvar. I princip kan ett företags vitala data rymmas på en bärbar dator som inte väger mer än 2 kilogram och som kan stoppas innanför jackan. Band som innehåller säkerhetskopior av företagsinformationen ryms lätt i jackfickan och lagrar mångdubbelt mer information än en bärbar dator. Att obehöriga får fysisk åtkomst till IT-resurser kan medföra att sekretessen, integriteten och, till viss del, tillgängligheten skadas. Om IT-resurser utsätts för fysisk skada (brand, vandalisering, översvämning) hotas tillgängligheten i stor grad. Logiska hot Här hittar vi i stor utsträckning hot som på något vis är kopplade till programvaran i dina IT-system (operativsystem, tillämpningar, databaser och liknande). Det finns ett antal undernivåer på logiska hot och jag tänkte räkna upp de viktigaste, idag kända, hoten: Någon form av olaglig inloggning som leder till obehörig åtkomst (inbrytning/cracking, inloggning med falsk identitet och liknande). Det här är ett mycket allvarligt hot som kan leda till enorm skada, beroende på vilka rättigheter som har tilldelats det forcerade användarkontot. Ett hot i den här

4 46 Handbok i IT-säkerhet kategorin kan leda till allvarlig skada i tillgängligheten, integriteten och sekretessen i IT-resursen. Brist på oavvisbarhet, avvisbarhet och spårning är ett direkt följdhot till ovan nämnda hot. Det bör finnas loggfunktioner för att säkerställa spårning av händelser som har med systemens integritet att göra. Det innebär att om någon ändrar en vital systemparameter ska en loggning automatiskt ske. Sådan loggning måste vara säker så att oavvisligheten, och avvisligheten för den delen, blir vattentät. Samma principer gäller då användare skickar otillbörliga meddelanden eller hämtar och lagrar obscent material. Systemattacker för att förhindra tillgängligheten i system har varit ett uppmärksammat område under senare år. Stora handelsplatser på Internet som och har utsatts för så kallade DoS-attacker (DoS = Denial of Service) med följd att legitima användare inte har kunnat utföra sina ärenden. Modifiering av IT-resurser genom virus-, mask- och trojanangrepp. Alla tre kategorierna kan ställa till med mer- eller mindre systemskada om de släpps igenom. Felen kan ta mycket lång tid att observera och skadeverkningarna kan bli mycket allvarliga med hård ekonomisk påfrestning som följd. Mänskliga/organisatoriska hot Här kommer den mänskliga faktorn in i bilden. Vi hittar rena handhavandefel, fel på grund av okunskap eller fel kompetens, organisatoriska brister och avsiktliga handlingar för att sabotera. De tydligaste hoten i den här kategorin är: Otydlig organisation med bristande roll- och ansvarsfördelning. Säkerhetsarbete handlar om att upprätta en säkerhetspolicy och se till att rollerna finns inom organisationen för att säkerställa policyns efterlevnad. Dessutom bör det finnas ett uttalat hit-team som rycker ut vid eventuella hot och sätter in definierade motåtgärder. Handlar det om något dittills okänt hot ska gruppen ha mandat att snabbt fatta beslut om alternativa motåtgärder. För att få en fungerande säkerhetsgrupp måste alla vara utbildade inom sitt ansvarsområde och fullt ut förstå vilka uppgifter varje rollbesättare har. Administrativa brister eller avsaknad av god behörighetsadministration. Behörighetsadministrationen är en mycket viktig funktion som tilldelar eller tar bort rättigheter till IT-resurser inom ett företag. När en ny person börjar på ett företag läggs den, oftast, upp i ett personaladministrativt sy-

5 Kapitel 4 Hotbild 47 stem och får därigenom ett anställningsnummer. Därefter ska behörighetsadministrationen tilldela rättigheter till adekvata IT-resurser som personen behöver ha tillgång till i sitt yrkesutövande. Om en person slutar ska tillgången till IT-resurserna blockeras eller tas bort, beroende på företagspolicy. Oklara administrativa rutiner kan ställa till det för både tillgängligheten, integriteten och sekretessen i IT-resurserna. Insiderhot Vi vet att det finns elaka människor där ute som inget hellre vill än att komma åt våra data och ställa till skada. Tyvärr finns det risker förknippade med företagets personal också. Det uppstår säkerligen situationer då vissa medarbetare har ett motiv och även möjligheten att genomföra något otillbörligt. Sådana hot är mycket svårare att gardera sig mot än de som finns där ute. Tydliga och begripliga instruktioner Det första som kan ställa till det rejält är otydliga direktiv eller instruktioner. Det minsta jag kan begära som nyanställd är att få reda på vilka arbetsuppgifter jag förväntas sköta, vilka mina befogenheter är, organisationsstrukturen och en utbildning i de system som jag måste använda, men inte har kompetens i. Tas inte detta på allvar av arbetsgivaren skapar det en kultur av gissningar, chansningar och kan i värsta fall skapa en otrygghet. Hur kan jag veta att jag har gjort rätt eller fel i en given situation? Loggning för oavvislighet Då och då blossar debatten upp om arbetsgivarens rätt att läsa personalens e-post och kontrollera innehållet på lokala hårddiskar. Får jag som nyanställd klara instruktioner om att e-post är en företagskritisk resurs som är ett föremål för loggning och stickprovskontroller är det upp till mig att säga nej tack. Om jag accepterar villkoren vet jag vad det är som gäller och får lov att acceptera det. Om det däremot smygs om vad som egentligen gäller eller om det ändras från dag till dag är det en helt annan sak. Loggningsfunktionen är en viktig del i att bekämpa insiderhot. Med bra loggningsfunktioner, kombinerat med god behörighetsadministration, ska det vara möjligt att kunna åstadkomma hållbara bevis för eller emot någon. Vi pratar om avvislighet respektive oavvislighet.

6 48 Handbok i IT-säkerhet Riskanalys och hotscenario Nu börjar det riktigt roliga arbetet. Det gäller att titta på alla IT-resurserna som man har och göra ett hotscenario baserat på de olika hotbilder som föreligger. Försök att identifiera vem som skulle tjäna på att göra någon form av brott i ditt system och tänk dig därefter in i den personens situation. Sysslar du med pengaöverföringar? Då kan någon vilja få tag på ett användarkonto som i sin tur har åtkomst till krypteringsnycklarna för överföringssessionen. Gör några riktiga och verklighetsförankrade hotscenarior och koppla riskerna till varje scenario om det skulle inträffa. Vilka är konsekvenserna och kostnaderna om ett hotscenario inträffar? Det här arbetet kan leda fram till ett beslutsunderlag som motiverar kostnaderna för att införa IT-säkerhet i form av mera personal och tekniska lösningar. Kapitel 13 innehåller en säkerhetspolicy för ett fiktivt företag. I arbetet kring säkerhetspolicyn ska en riskanalys göras för varje system och tjänst. Dessutom ska gemensam IT hanteras på ett tillbörligt sätt. Det är IT-säkerhetschefens yttersta ansvar att få igång arbetet med identifieringen av hot och jobbet med riskanalyser.