Agenda SWEDISH CERTIFICATION BODY FOR IT SECURITY

Transkript

1 Assurans Ett mått på tillit till IT-säkerhet i produkter och system Dag Ströman, Mats Ohlin

2 Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering

3 Vad betyder egentligen säkerhet? Bonniers: Skydd, Trygghet Websters: Freedom from threats Säkerhet: Frihet från hot Frihet från hot mot tillgångar Tillräcklig frihet från hot mot tillgångar

4 Säkerhet - en balans mellan risk & kostnad Skyddsnivå % 120 ~ Kvarstående risk? % Säkerhet kan inte uppnås(!) Kostnader

5 Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering

6 Today we use operating systems that don t need hackers, they fall apart all by themselves Peter Neumann, SRI at NASA Seminar 23 rd of March 2000

7 Vad är speciellt med IT-säkerhet? IT-Säkerhetsområdet kännetecknas av två speciella förhållanden: Komplexheten gör det svårt att påvisa icke-existens av svagheter som kan utnyttjas för en attack. Test av existens är *mycket* lättare Antagandet om ett aktivt, sökande intellekt som strävar efter att hitta lämplig exploaterbar svaghet. Angriparen har ofta mer tid än utvecklaren/försvararen

8 Användarnas behov Användarna behöver kunna möta hot och genomföra riskanalys. 1. Funktionskrav Säkerhetsfunktioner som kan realisera policy 2. Assuranskrav Behov av tilltro till att säkerhetsfunktionerna har tillräcklig motståndskraft för att möta identifierade hot

9 Angreppssätt Isolering av opålitade komponenter alternativt hela system? Svårt att åstadkomma; Kräver säkert OS Ingen extern kommunikation Allt mindre rimligt Omfattande driftkontroll? Granskning av konstruktion och implementering av komponenter och system? Övervakning, IDS Mycket mer loggning Fördjupad personalkontroll Snabb åtgärd vid upptäckta svagheter Personalintensivt Säkerhetsevaluering Nytt

10 Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering

11 Vad är Common Critera? Internationell standard för kravställning, deklaration och evaluering av ITsäkerhet i produkter och system. Resultatet av ett omfattande, flerårigt internationellt samarbete mellan försvars- och säkerhetsmyndigheter USA, Storbritannien, Tyskland, Frankrike, Nederländerna, Australien i nära samarbete med ISO/IEC JTC 1/SC 27 [IT Security] Fokuserar kring behovet av skydd mot hot från mänskliga aktörer. sekretess, korrekthet/okränkbarhet och tillgänglighet avsiktliga eller oavsiktliga såväl hård- som mjukvara Evaluering genomförs av oberoende evalueringsföretag, vars resultat godkänns av certifieringsorganet Evalueringsföretag och deras personal licensieras av certifieringsorganet Evaluering kan genomföras med varierande noggrannhet Assuransnivåer 1 7 (Evaluation Assurance Levels) Val av nivå beror på skyddsvärde, hotbild och tillgänglig budget Kostnaden är beroende av objektets komplexitet samt önskad assuransnivå

12 CC Huvuddokument Del 1 - Introduktion och grundläggande modell Del 2 - Funktionella säkerhetskrav Del 3 - Assuranskrav CEM - Granskningsmetodik

13 CC del 1: Säkerhetskoncept Hot skapar Fara för faktiskt reducerar värderar Användare behöver leder till Evaluering Tillgångar Tillit Assurans ett mått på Skyddsåtgärder till att

14 CC del 1: Begrepp PP - Protection Profile (Skyddsprofil) Spec. av generella funktions- och assuranskrav för en typ av produkter som uppfyller givna behov. ST - Security Target (Evalueringsmål) Spec. av funktions- och assuranskrav för specifik produkt. Användas som grund för evaluering av produkt. Kan utnyttja PP som grund. TOE - Target of evaluation (Evalueringsobjekt) Produkt/system med dokumentation som är föremål för evaluering. Kan omfatta hela, eller delar av, en produkt/system.

15 Relation mellan PP och ST Protection Profile Jag behöver Jag tillhandahåller Security Target

16 CC del 2: Funktionella säkerhetskrav Verktygslåda för att kunna uttrycka krav på säkerhetsfunktionalitet Identifiering/autenticering Användarintegritet Skydd av användardata Resursutnyttjande Skydd av säkerhetsfunktioner Kommunikation Kontroll av sessionsetablering Kontroll av identiteter vid kommunikation Kryptografiskt stöd Logghantering Administration av säkerhetsfunktioner

17 CC del 3: Assuranskrav Verktygslåda för att kunna uttrycka dokumentations- och granskningskrav CM-hantering Leverans, installation, uppstart Utveckling (metoder, funktion, design, implementation) Användardokumentation Life cycle support Tester Sårbarhetsanalys

18 Grundsyn Evaluering Evaluering: syftar till att eliminera/förhindra uppkomst av exploaterbara svagheter det finns alltid en kvarstående risk - 100% säkerhet finns inte. Mer är bättre; stigande skala med ökande krav. Mål: Effektiv metod för att till given kostnad hitta så många svagheter som möjligt Utifrån antagandet att angriparen gör samma analys i attacksyfte: Försvåra/fördyra hans uppgift. Långsiktigt mål: Se till att användarna i samverkan talar om vad som önskas! Se till att utvecklaren gör rätt från början!

19 Evaluering Metoder för att etablera tillit Analys av processer och procedurer Kontroll av att processer och procedurer används Analys av designen mot kraven Analys av korrespondensen mellan olika designsteg Verifiering av matematisk/formell modell Analys av användardokumentation Analys av funktionella tester och testresultat Oberoende funktionell testning Sårbarhetsanalys Penetrationstest Används i ökande omfattning med ökande assuransnivå

20 CC Assuransnivåer Skydd mot: Sponsors/utvecklares kostnad, tid och egen insats EAL7 EAL6 EAL5 Fientligt sinnad konstruktör Främmande makt Kvalificerad programmerare EAL4 EAL3 EAL2 EAL1 Hacker eller programmerare Erfaren användare Intresserad användare Nyfiken användare

21 Assuransklasser, familjer, komponenter Assurance class Configuration management Delivery and operation Development Guidance documents Life cycle support Tests Vulnerability assessment Assurance family Assurance components by EAL CM automation CM capabilities CM scope Delivery Installation, generation and startup Functional specification High level design Implementation representation TSF internals Low level design Representation correspondence Security policy modelling Administrator guidance User guidance Development security Flaw remediation Life cycle definition Tools and techniques Coverage Depth Functional tests Independent testing Covert channel analysis Misuse Strength of TOE security functions Vulnerability analysis

22 Utvecklingen sedan 2000 Antal ITSEF Antal certifikat Årtal Series Årtal Series1

23 Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering

24 CBs huvuduppgifter Licensiera ITSEF Tillsyn av ITSEFs verksamhet Ge utbildning och stöd till ITSEF Delta i internationellt samarbetet: Tolkningar Standardutveckling Marknadsföra CC Utöva tillsyn av evalueringar Granska evalueringsrapporter Skriva certifieringsrapporter Utfärda certifikat Publicera lista på certifierade produkter Underhålla och utveckla schemat Tillse att schemats regler följs

25 Certifieringsordningen - en översikt CSEC

26 Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering

27 Assurans ger ett mått på tillit till IT-säkerhet Assurans specificeras i sju nivåer, EAL 1 EAL 7 Erhålles genom att i ökande grad ställa krav på hur produkten designats och implementerats. granska allt större delar av produkt och dokumentation allt djupare gentemot anspråk angivna i ST. Granskning genomförs av oberoende evalueringsföretag Assurance is the degree of warm fuzziness you feel that the product does what it says it does. Mary Ann Davidson, Oracle Corp. s chief security officer

28 Ett CC-Certifikat med rapport anger Vilka skyddsfunktioner som produkten har Vilka hot som möts Hur starkt skyddet påstås vara (inkl. krypto) Hur noggrant produkten granskats (dvs EAL-nivå) Vad som förväntas av omgivningen för att produkten skall uppnå den angivna nivån av säkerhet Under vilka övriga antaganden utvärderingen genomförts

29 Tack för uppmärksamheten! Mer info: