Riskanalys. Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

Transkript

1 Riskanalys Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)

2 2

3 Risk risk = konsekvens * sannolikheten Den klassiska definitionen ger oss en grund att stå på, även om man ibland delar upp dessa: Sannolikhet är en kombination av brist, hot och sannolikheten för hotet. Konsekvensen kan vara av olika arter, t ex pengar, förtroende, lagbrott, etc. Exempel: Varje rad i vår databas är värd 0.01kr när den är skyddad. Det finns rader i databasen. Sannolikheten för att någon får tag i vår databas är 0.5, då får vi en risk på: (0.01kr * 10000) * 0.5 = 50kr. Om någon då försöker sälja ett skydd till oss för 100kr så skulle vi i praktiken förlora 50kr på den affären, men om någon vill sälja ett skydd för 20kr så kanske vi är intresserade att skydda resterande 30kr. 3

4 Riskanalys Riskanalys är en process där vi försöker hitta varje enstaka fall som kan gå fel, och kvantifiera risken med vår ekvation. risk = konsekvens * sannolikhet Utmaningen är att göra detta på ett organiserat sätt så att man hittar så många fall som möjligt, samt att kvantifieringen blir korrekt (det är inte alltid möjligt att använda siffror). Man kan inte hitta alla fall, eftersom ingen enstaka individ eller grupp har full insyn i alla delar av ett system. 4

5 Riskanalys - Svårigheter Riskanalys är svårt. Ibland är det inte så svårt att ta reda på konsekvenserna, ofta har man ganska bra koll på vad det skulle innebära om hotet förverkligas (men inte alltid). Det är dock svårt att bedöma sannolikheten korrekt. Ett system kan bli mål för attacker från någon som testar samma attack på massor med system eller av någon som valt att specifikt attackera det system man skyddar. Sannolikheten för att hotet realiseras är då väldigt annorlunda. Att bedöma sannolikheten fel kanske gör att man sätter en för hög sannolikhet på ett hot, vilket innebär att man tar resurser från ett hot som man bedömt har lägre sannolikhet (men som i egentligen har högre). 5

6 Riskanalysmetoder Man måste avgränsa sin analys beroende på komplexiteten av systemet. Man kan inte undersöka alla detaljer in i minsta nivå, man hamnar då i en sorts analysis paralysis. An annan typ av analysis paralysis är när man är klar med sin analys, men tycker att man behöver göra mer, och mer, och mer Detaljnivån måste begränsas: Tänker du bara ta hänsyn till vilka processer som körs på datorn, eller tänker du titta på deras källkod och konfiguration också? Kvalitativ eller kvantitativ: Kommer du använda faktiska siffror för att avgöra konsekvens och sannolikhet, eller tänker du gradera dessa med t ex låg-medel-hög? 6

7 Riskanalysmetoder Det finns många metoder för riskanalys. Problemet som alla metoder har är att de förväntar sig att personen som genomför analysen hittar alla brister, hot, fall, etc. Detta kommer leda till att subjektiva åsikter blir en del av analysen: vissa kommer väga konsekvensen och/eller sannolikheten av ett hot annorlunda. Men det finns ingen perfekt matematisk modell som vi kan applicera på problemet, det finns ingen funktion som ger oss svaret på denna fråga, så analysen kommer alltid ha brister. Vissa metoder förespråkar brainstorming i grupp, så att analysen görs av flera personer. Tanken är att man hittar hot, men det finns givetvis gruppdynamiska problem (t ex att den som pratar högst får rätt, Det där har aldrig hänt förut! ). 7

8 Riskanalysmetoder Denna föreläsning I denna föreläsning kommer vi att titta på tre olika riskanalysmetoder: CORAS Information Security Risk Analysis Method (ISRAM) Attack Träd 8

9 9 CORAS

10 CORAS CORAS ger användaren ett språk för att modellera hot och risker. CORAS består av 7 steg, där varje steg kommer närmare en identifiering och kvantifiering av riskerna (i viss litteratur lägger man till ett 8:e steg, vi gör inte det). F. den Braber, I. Hogganvik, M. S. Lund, K. Stølen, F. Vraasen, "Model-based security analysis in seven steps - a guided tour to the CORAS method" Absolut nödvändig litteratur för projekt (och kanske tentamen) 10

11 CORAS Steg 1 Kunder = De som äger systemet som skall säkras. Säkerhetsexperter = De som skall göra riskanalysen. Kan vara utomstående eller anställda på samma företag som kunderna. I ett möte mellan säkerhetsexperterna och kunderna kommer man fram till exakt vad det är som skall säkras. Vi ska säkra något, men vad är detta något. Vi måste tydligt veta vilka tillgångar som skall skyddas innan vi kan analysera vad som möjligtvis hotar dessa tillgångar. Vi måste också avgöra hur långt vi ska gå med analysen (dvs finns det delar som vi ska anta är säkra eller som inte ska ingå i denna analys). 11

12 CORAS Steg 1 En low-tech bild över hur systemet ser ut tas fram i Steg 1. Här kan man ta med även saker som inte ska säkras. I detta exempel ska inte kopplingen mot databasen säkras, men den är ändå med i bilden. 12

13 CORAS Steg 2 Systemet formuleras formellt i UML diagram av säkerhetsexperterna (class, collaboration, activity). Säkerhetsexperterna tar också fram ett CORAS asset diagram. Direct assets och indirect assets. Indirect assets är tillgångar som skadas genom att en direct asset blir skadad. Pilar visar hur skada på tillgångar påverkar varandra. Ett nytt möte mellan kunder och säkerhetsexperter där experterna visar diagram och kunderna har möjlighet att göra ändringar. 13

14 CORAS Steg 2 Class diagram (conceptual view of the target) Collaboration diagram (physical communication lines) 14

15 CORAS Steg 2 Indirect Direct CORAS Asset diagram (not part of UML) Activity diagram 15

16 CORAS Steg 2 När man har kommit överens om i detalj vilka tillgångar som skall skyddas har man en brainstorming session (både kunder och säkerhetsexperter). Det viktiga är att få fram vilka hot som klienten är orolig för, t ex att någon ser/hör något de inte får, hackare som får tillgång till information, etc. Dessa hot är inte nödvändigtvis de som är viktigast, men det är en utgångspunkt för säkerhetsexperterna. En risktabell skapas. 16

17 CORAS Steg 2 Risktabell 17

18 CORAS Steg 3 Sista steget i förberedelserna. Det skall i slutet av detta steg finnas ett antal dokument som fått godkännande av alla parter. Fyra ytterligare dokument måste man komma överens om: Sortering av tillgångar (vilka risker är viktigast) Konsekvensskalor (ibland flera beroende på vilka typer av tillgångar, det är lätt att sätta ett numeriskt värde på pengar och svårt/omöjligt på andra). Sannolikhetsskalor (tid: år, veckor, timmar, etc. eller sannolikheter: 10%,20%,1%). Riskutvärderingsmatris 18

19 CORAS Steg 3 Prioriteringar Konsekvensskalor, kan behövas olika för olika assets Sannolikhetsskalor 19

20 CORAS Steg 3 Riskutvärderingsmatris Måste bestämma oss för vilka risker vi kan leva med och vilka som vi vill förhindra 20

21 CORAS Steg 4 Risk identifiering genom strukturerad brainstorming (bara experter). En genomgång av systemet som skall analyseras. Olika personer i gruppen har olika kompetens, bakgrund och intressen. (Behöver inte bara vara IT-personer) Gruppen kommer hitta fler (och andra typer av) hot än vad en person själv skulle kunna göra. Dokumenteras med CORAS security risk modelling language. 21

22 CORAS Steg 4 Alla dokument som man skapat i steg 1, 2 och 3 används som input till brainstorming sessionen. Dessutom har man förberett threat scenario diagrams ( hot scenario diagram ). Dessa initiala dokument baseras på de hot som kunderna pekat ut i steg 2. Dessa dokument uppdateras och görs större under sessionen. 22

23 Brist CORAS Steg 4 Hot scenario Incident Initialt hot diagram för mänskliga misstag. Direkt Indirekt 23

24 CORAS Steg 4 Initialt hot diagram för mänskliga attacker. 24

25 CORAS Steg 4 Initialt hot diagram för icke-mänskliga hot. 25

26 CORAS Steg 4 Expanderat hot diagram för mänskliga misstag efter session. 26

27 CORAS Steg 5 I en workshop uppskattar man sannolikheter och konsekvenser. Varje deltagare i workshopen ger en sannolikhet till varje hot scenario. Ibland kan man använda existerande data. Konsekvensen av hotet uppskattas och ett värde från konsekvensskalorna i steg 3 tillsätts varje hot scenario. Dessa värden används sedan tillsammans med riskutvärderingsmatrisen för att avgöra om risken är värd att analysera vidare och åtgärda, eller om man bara ska acceptera risken. 27

28 CORAS Steg 5 Var försiktig med detta! Konsekvens 28

29 CORAS Steg 6 Risk evaluering Extrahera risker (compromises confidentiality of health records CC1 = moderate / rare) Använd tidigare tabeller och uppskattningar för att placera riskerna i riskutvärderingsmatrisen. Faller utanför, behöver inte arbetas vidare med. Kunden godkänner om denna matris är ok eller inte, kan behöva justera konsekvenser eller sannolikheter. En sista bild över de risker som analyserats tas fram, med deras respektive evaluering. 29

30 Kommer alltså inte hanteras CORAS Steg 6 30

31 CORAS Steg 7 Alla risker som man valt att hantera (dvs som faller på rätt plats i riskutvärderingsmatrisen) behöver behandlas. I en workshop utvärderar man varje risk för att ta fram tillvägagångssätt som reducerar antingen konsekvensen eller sannolikheten för risken. Vissa tillvägagångssätt kan vara dyrare än andra, och därför väger man även in cost-benefit. Till sist har man en plan för vilka metoder och tillvägagångssätt som är nödvändiga. Denna presenteras för kunden (eller en förenklad variant). 31

32 CORAS Steg 7 Detta måste vi alltså behandla. Vi behöver flytta SS1 till ett vitt fält. Hur gör vi det? Vi har två val, vi kan minska konsekvensen (dvs gå åt vänster) eller minska sannolikheten (dvs gå uppåt). Det sista steget i analysen är att ta fram förslag på hur vi flyttar de risker vi inte kan acceptera. 32

33 33 CORAS Steg 7

34 CORAS - Summering Det är många dokument, men när man följer en metod kan man inte ta bort bitar som man inte förstår eller tycker är direkt nödvändiga. Läs artikeln ett par gånger, och när ni sedan själva applicerar CORAS kommer det bli tydligare hur det fungerar. 34

35 Information Security Risk Analysis Method ISRAM 35

36 ISRAM - Introduktion Fokuserar på ett hot och försöker uppskatta risken för detta: Risken för att datorer på ett nätverk blir infekterade av virus. Använder sig av speciellt utformade frågeformulär som besvaras av användare, experter, mm. Svaren på frågeformuläret uppskattar risken för hotet (genom att uppskatta sannolikheten och konsekvensen). 36

37 ISRAM Steg 1 och 2 Steg 1 Identifiera att det finns ett hot: virusinfektion. Steg 2 Identifiera faktorer som påverkar sannolikheten och konsekvensen av hotet, samt vikta dessa faktorer. 37

38 ISRAM Steg 2 Sannolikhetsfaktorer Typen av bifogade filer i mejl 3 Antalet mejl per dag 1 Antalet nedladdade filer per dag 1 Källan av USB-stickor 2 Vikt Förklaring 3 Faktorn påverkar risken direkt 2 Faktorn påverkar risken något 1 Faktorn påverkar risken indirekt Konsekvensfaktorer Backup av filer 3 Fysisk plats av filsystem 2 Beroende av applikation 1 Antalet faktorer för sannolikhet behöver inte vara samma som för konsekvens. Fler vikter kan eventuellt användas, men det är svårt att särskilja på 3 och 4 i en 10 gradig skala. Definitionen av vikterna kan variera. 38

39 ISRAM Steg 3 Steg 3 Konvertera faktorer till frågor, skapa svarsalternativ till varje fråga och ge varje alternativ en poäng. Fråga A B C D Hur många mejl får du per dag? Vems USB-stickor använder du? Hur ofta gör du backuper av filer? 0-10 (1) (2) (3) 41+ (4) Endast de jag får av företaget (0) Tar med mig hemifrån (4) Varje dag (1) Varje vecka (2) Aldrig (4) Poäng för svarsalternativet är i parenteserna (anges inte på formuläret som skickas). Blandar frågor angående sannolikhet och konsekvens. Poängen är 0 till 4. 39

40 ISRAM Steg 4 Beräkna det minimala och det maximala antalet poäng som frågorna angående sannolikhet kan ge. Beräkna det minimala och det maximala antalet poäng som frågorna angående konsekvens kan ge. Skapa sedan intervall så att poäng kan konverteras till en skala från 1 till 5. Poäng Kvalitativ skala Kvantitativ skala Väldigt låg sannolikhet Låg sannolikhet Medel sannolikhet Hög sannolikhet 4 1 Poäng Kvalitativ skala Kvantitativ skala Försumbar konsekvens Liten konsekvens Förhöjd konsekvens Allvarlig konsekvens Väldigt hög sannolikhet Mycket allvarlig konsekvens 5 40

41 ISRAM Steg 4 Skapa en slutgiltig risktabell. Risk = Sannolikhet x Konsekvens 1: Försumbar 2: Liten 3: Förhöjd 4: Allvarlig 5: Mycket allvarlig 1: Väldigt låg 1: Väldigt låg 2: Väldigt låg 3: Väldigt låg 4: Låg 5: Låg 2: Låg 2: Väldigt låg 4: Låg 6: Låg 8: Medel 10: Medel 3: Medel 3: Väldigt låg 6: Låg 9: Medel 12: Medel 15: Hög 4: Hög 4: Låg 8: Medel 12: Medel 16: Hög 20: Väldigt hög 5: Väldigt hög 5: Låg 10: Medel 15: Hög 20: Väldigt hög 25: Väldigt hög 41

42 ISRAM Steg 5 och 6 Steg 5 Genomför undersökningen. Den kan skickas till användare av de datorer som är på det nätverk som man vill uppskatta risken för, eventuellt andra experter mfl. Steg 6 Använd en ekvation för att beräkna ett värde för risken (baserat på faktorerna för sannolikhet och konsekvens). Använd resultatet av ekvationen i risktabellen för att beräkna den slutgiltiga risken. 42

43 ISRAM Steg 6 N = antal respondenter I = antal frågor om sannolikhet J = antal frågor om konsekvens α i = vikten av sannolikhetsfråga i s i,n = poängen för det svarsalternativ som respondent n gett sannolikhetsfråga i β j = vikten av konsekvensfråga j k j,n = poängen för det svarsalternativ som respondent n get konsekvensfråga j T s en funktion som översätter ett heltal till sannolikhetsskalan 1 till 5 T k en funktion som översätter ett heltal till konsekvensskalan 1 till 5 43

44 ISRAM Steg 6 Respondent Summan av sannolikhetsfrågor T S Summan av konsekvensfrågor T K Medel: 3.5 Medel: 4 Risk = 3.5 * 4 = 14 vilket ligger mellan medium och hög risk (hög risk 15) 44

45 ISRAM Steg 7 Steg 7 Utvärdering av resultat Den slutgiltiga uppskattade risken är det viktigaste utfallet av metoden. Riskuppskattningen kan användas för att ta beslut om man skall göra förändringar i policies och/eller mekanismer. Samtidigt har man samlat in mycket information om användandet av systemet, t ex kan man få reda på om användare håller sina system kontinuerligt uppdaterade, om de använder adminkonton på rätt sätt, etc. Den extra informationen är värdefull när det kommer till att bestämma vilka förändringar som bör göras. 45

46 ISRAM - Slutsatser ISRAM är användbart när man vill uppskatta risken för ett specifikt hot. Det behövs bara en person som administrerar riskanalysen om det finns respondenter. (Det kan vara fördelaktigt att flera administrerar riskanalysen då man avgör poäng och vikter). Utfallet av riskanalysen är väldigt beroende på de vikter och poäng som sätts, och dessutom på vilka frågor som ställs (man kan inte få svar på frågor som man inte ställer). 46

47 47 ATTACK TRÄD

48 Attack träd Representera attacker mot ett system i en trädstruktur, med målet av attacken som rotnod och de olika vägarna att lyckas med attacken som grenar och löv. 48

49 Attack Träd Open Safe Pick lock Learn combo Cut open Install improperly Find written combo Get combo from target Threaten Blackmail Eavesdrop Bribe Listen to conversation Get target to state combo 49

50 Attack Träd Open Safe Pick lock Learn combo Cut open Install improperly Find written combo Get combo from target Threaten Blackmail Eavesdrop Bribe and Listen to conversation Get target to state combo 50

51 Attack Träd P Open Safe I P Pick lock Learn combo Cut open P I Install improperly I Find written combo P Get combo from target I I I P Threaten Blackmail Eavesdrop Bribe and P Listen to conversation I Get target to state combo 51

52 Attack Träd P $10 Open Safe I P Pick lock Learn combo Cut open $30 $20 $10 $100 P I Install improperly I $75 Find written combo P $20 Get combo from target I I I P Threaten Blackmail Eavesdrop Bribe $60 $100 $60 $20 and P I Listen to Get target to conversation state combo $20 $40 52

53 Attack Träd Vi kan annotera trädet med många olika typer av Booleska eller reella värden: Laglig och Ej laglig Kräver special utrustning och Kräver ingen specialutrustning Sannolikheten för att man lyckas, sannolikheten av attack, etc. När vi har annoterat trädet kan vi ställa frågor: Vilken attack kostar mindre än $10? Vilka lagliga attacker kostar mer än $50? Är det värt att betala en person $80 för att öka motståndskraften mot korruption? 53

54 Attack Träd Identifiera målen (rotnoderna). Varje mål blir ett eget träd. Lägg till alla attacker som du kan komma på som löv till rotnoden. Expandera varje attack som om den vore ett mål i sig själv. Låt någon annan titta på ditt träd, få kommentarer från andra experter, iterera Behåll träden uppdaterade och använd de när du tar beslut om säkerhetspolicies och mekanismer. 54

55 Riskanalys - Summering Riskanalysen är en grundsten: Utveckling av programvara kräver att man först gör en riskanalys för att identifiera områden som kräver extra försiktighet. Expansion av ett företag till nya miljöer kräver riskanalys av fysisk säkerhet. Byte av nätverkssystem kräver riskanalys för att identifiera vilka sektioner och säkerhetsnivåer som behövs. 55

56 Riskanalys - Summering Många olika metoder existerar, gäller att hitta den som passar resurserna och målet. CORAS, ISRAM och Attack Träd har alla sina egna för- och nackdelar. Riskanalys är svårt, väldigt svårt, och en lyckad analys är beroende av experterna som genomför den. Att begränsa analysen, ta hjälp av andra experter och att vara organiserad är viktigt för att öka möjligheterna för en lyckad analys. 56

57