Assurans Ett mått på tillit till IT-säkerhet i produkter och system Dag Ströman, Mats Ohlin
Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering
Vad betyder egentligen säkerhet? Bonniers: Skydd, Trygghet Websters: Freedom from threats Säkerhet: Frihet från hot Frihet från hot mot tillgångar Tillräcklig frihet från hot mot tillgångar
Säkerhet - en balans mellan risk & kostnad Skyddsnivå % 120 ~ Kvarstående risk? 100 80 60 40 20 0 100 % Säkerhet kan inte uppnås(!) Kostnader
Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering
Today we use operating systems that don t need hackers, they fall apart all by themselves Peter Neumann, SRI at NASA Seminar 23 rd of March 2000
Vad är speciellt med IT-säkerhet? IT-Säkerhetsområdet kännetecknas av två speciella förhållanden: Komplexheten gör det svårt att påvisa icke-existens av svagheter som kan utnyttjas för en attack. Test av existens är *mycket* lättare Antagandet om ett aktivt, sökande intellekt som strävar efter att hitta lämplig exploaterbar svaghet. Angriparen har ofta mer tid än utvecklaren/försvararen
Användarnas behov Användarna behöver kunna möta hot och genomföra riskanalys. 1. Funktionskrav Säkerhetsfunktioner som kan realisera policy 2. Assuranskrav Behov av tilltro till att säkerhetsfunktionerna har tillräcklig motståndskraft för att möta identifierade hot
Angreppssätt Isolering av opålitade komponenter alternativt hela system? Svårt att åstadkomma; Kräver säkert OS Ingen extern kommunikation Allt mindre rimligt Omfattande driftkontroll? Granskning av konstruktion och implementering av komponenter och system? Övervakning, IDS Mycket mer loggning Fördjupad personalkontroll Snabb åtgärd vid upptäckta svagheter Personalintensivt Säkerhetsevaluering Nytt
Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering
Vad är Common Critera? Internationell standard för kravställning, deklaration och evaluering av ITsäkerhet i produkter och system. Resultatet av ett omfattande, flerårigt internationellt samarbete mellan försvars- och säkerhetsmyndigheter USA, Storbritannien, Tyskland, Frankrike, Nederländerna, Australien i nära samarbete med ISO/IEC JTC 1/SC 27 [IT Security] Fokuserar kring behovet av skydd mot hot från mänskliga aktörer. sekretess, korrekthet/okränkbarhet och tillgänglighet avsiktliga eller oavsiktliga såväl hård- som mjukvara Evaluering genomförs av oberoende evalueringsföretag, vars resultat godkänns av certifieringsorganet Evalueringsföretag och deras personal licensieras av certifieringsorganet Evaluering kan genomföras med varierande noggrannhet Assuransnivåer 1 7 (Evaluation Assurance Levels) Val av nivå beror på skyddsvärde, hotbild och tillgänglig budget Kostnaden är beroende av objektets komplexitet samt önskad assuransnivå
CC Huvuddokument Del 1 - Introduktion och grundläggande modell Del 2 - Funktionella säkerhetskrav Del 3 - Assuranskrav CEM - Granskningsmetodik
CC del 1: Säkerhetskoncept Hot skapar Fara för faktiskt reducerar värderar Användare behöver leder till Evaluering Tillgångar Tillit Assurans ett mått på Skyddsåtgärder till att
CC del 1: Begrepp PP - Protection Profile (Skyddsprofil) Spec. av generella funktions- och assuranskrav för en typ av produkter som uppfyller givna behov. ST - Security Target (Evalueringsmål) Spec. av funktions- och assuranskrav för specifik produkt. Användas som grund för evaluering av produkt. Kan utnyttja PP som grund. TOE - Target of evaluation (Evalueringsobjekt) Produkt/system med dokumentation som är föremål för evaluering. Kan omfatta hela, eller delar av, en produkt/system.
Relation mellan PP och ST Protection Profile Jag behöver Jag tillhandahåller Security Target
CC del 2: Funktionella säkerhetskrav Verktygslåda för att kunna uttrycka krav på säkerhetsfunktionalitet Identifiering/autenticering Användarintegritet Skydd av användardata Resursutnyttjande Skydd av säkerhetsfunktioner Kommunikation Kontroll av sessionsetablering Kontroll av identiteter vid kommunikation Kryptografiskt stöd Logghantering Administration av säkerhetsfunktioner
CC del 3: Assuranskrav Verktygslåda för att kunna uttrycka dokumentations- och granskningskrav CM-hantering Leverans, installation, uppstart Utveckling (metoder, funktion, design, implementation) Användardokumentation Life cycle support Tester Sårbarhetsanalys
Grundsyn Evaluering Evaluering: syftar till att eliminera/förhindra uppkomst av exploaterbara svagheter det finns alltid en kvarstående risk - 100% säkerhet finns inte. Mer är bättre; stigande skala med ökande krav. Mål: Effektiv metod för att till given kostnad hitta så många svagheter som möjligt Utifrån antagandet att angriparen gör samma analys i attacksyfte: Försvåra/fördyra hans uppgift. Långsiktigt mål: Se till att användarna i samverkan talar om vad som önskas! Se till att utvecklaren gör rätt från början!
Evaluering Metoder för att etablera tillit Analys av processer och procedurer Kontroll av att processer och procedurer används Analys av designen mot kraven Analys av korrespondensen mellan olika designsteg Verifiering av matematisk/formell modell Analys av användardokumentation Analys av funktionella tester och testresultat Oberoende funktionell testning Sårbarhetsanalys Penetrationstest Används i ökande omfattning med ökande assuransnivå
CC Assuransnivåer Skydd mot: Sponsors/utvecklares kostnad, tid och egen insats EAL7 EAL6 EAL5 Fientligt sinnad konstruktör Främmande makt Kvalificerad programmerare EAL4 EAL3 EAL2 EAL1 Hacker eller programmerare Erfaren användare Intresserad användare Nyfiken användare
Assuransklasser, familjer, komponenter Assurance class Configuration management Delivery and operation Development Guidance documents Life cycle support Tests Vulnerability assessment Assurance family Assurance components by EAL 1 2 3 4 5 6 7 CM automation 1 1 2 2 CM capabilities 1 2 3 4 4 5 5 CM scope 1 2 3 3 3 Delivery 1 1 2 2 2 3 Installation, generation and 1 1 1 1 1 1 1 startup Functional specification 1 1 1 2 3 3 4 High level design 1 2 2 3 4 5 Implementation representation 1 2 3 3 TSF internals 1 2 3 Low level design 1 1 2 2 Representation correspondence 1 1 1 1 2 2 3 Security policy modelling 1 3 3 3 Administrator guidance 1 1 1 1 1 1 1 User guidance 1 1 1 1 1 1 1 Development security 1 1 1 2 2 Flaw remediation Life cycle definition 1 2 2 3 Tools and techniques 1 2 3 3 Coverage 1 2 2 2 3 3 Depth 1 1 2 2 3 Functional tests 1 1 1 1 2 2 Independent testing 1 2 2 2 2 2 3 Covert channel analysis 1 2 2 Misuse 1 2 2 3 3 Strength of TOE security 1 1 1 1 1 1 functions Vulnerability analysis 1 1 2 3 4 4
Utvecklingen sedan 2000 Antal ITSEF Antal certifikat 50 40 30 20 10 0 1900 1900 1900 1900 1900 1900 2000 2001 2002 2003 2004 2005 Årtal 400 300 200 Series1 100 0 1 2 3 4 5 6 2000 2001 2002 2003 2004 2005 Årtal Series1
Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering
CBs huvuduppgifter Licensiera ITSEF Tillsyn av ITSEFs verksamhet Ge utbildning och stöd till ITSEF Delta i internationellt samarbetet: Tolkningar Standardutveckling Marknadsföra CC Utöva tillsyn av evalueringar Granska evalueringsrapporter Skriva certifieringsrapporter Utfärda certifikat Publicera lista på certifierade produkter Underhålla och utveckla schemat Tillse att schemats regler följs
Certifieringsordningen - en översikt CSEC
Agenda Begreppet säkerhet Behovet av en standard för säkerhet i IT-produkter Common Criteria En introduktion CSEC Sveriges Certifieringsorgan för IT-Säkerhet Summering
Assurans ger ett mått på tillit till IT-säkerhet Assurans specificeras i sju nivåer, EAL 1 EAL 7 Erhålles genom att i ökande grad ställa krav på hur produkten designats och implementerats. granska allt större delar av produkt och dokumentation allt djupare gentemot anspråk angivna i ST. Granskning genomförs av oberoende evalueringsföretag Assurance is the degree of warm fuzziness you feel that the product does what it says it does. Mary Ann Davidson, Oracle Corp. s chief security officer
Ett CC-Certifikat med rapport anger Vilka skyddsfunktioner som produkten har Vilka hot som möts Hur starkt skyddet påstås vara (inkl. krypto) Hur noggrant produkten granskats (dvs EAL-nivå) Vad som förväntas av omgivningen för att produkten skall uppnå den angivna nivån av säkerhet Under vilka övriga antaganden utvärderingen genomförts
Tack för uppmärksamheten! Mer info: http://www.csec.se http://www.commoncriteriaportal.org