Riskanalys Marcus Bendtsen Institutionen för Datavetenskap (IDA) Avdelningen för Databas- och Informationsteknik (ADIT)
Risk risk = konsekvens * sannolikheten Den klassiska definitionen ger oss en grund att stå på, även om man ibland delar upp dessa: Sannolikhet är en kombination av brist, hot och sannolikheten för hotet. Konsekvensen kan vara av olika arter, t ex pengar, förtroende, lagbrott, etc. Exempel: Varje rad i vår databas är värd 0.01kr när den är skyddad. Det finns 10 000 rader i databasen. Sannolikheten för att någon får tag i vår databas är 0.5, då får vi en risk på: (0.01kr * 10000) * 0.5 = 50kr. Om någon då försöker sälja ett skydd till oss för 100kr så skulle vi i praktiken förlora 50kr på den affären, men om någon vill sälja ett skydd för 20kr så kanske vi är intresserade att skydda resterande 30kr. 2
Riskanalys Riskanalys är en process där vi försöker hitta varje enstaka fall som kan gå fel, och kvantifiera risken med vår ekvation. risk = konsekvens * sannolikhet Utmaningen är att göra detta på ett organiserat sätt så att man hittar så många fall som möjligt, samt att kvantifieringen blir korrekt (det är inte alltid möjligt att använda siffror). Man kan inte hitta alla fall, eftersom ingen enstaka individ eller grupp har full insyn i alla delar av ett system. 3
Riskanalys - Svårigheter Riskanalys är svårt. Ibland är det inte så svårt att ta reda på konsekvenserna, ofta har man ganska bra koll på vad det skulle innebära om hotet förverkligas (men inte alltid). Det är dock svårt att bedöma sannolikheten korrekt. Ett system kan bli mål för attacker från någon som testar samma attack på massor med system eller av någon som valt att specifikt attackera det system man skyddar. Sannolikheten för att hotet realiseras är då väldigt annorlunda. Att bedöma sannolikheten fel kanske gör att man sätter en för hög sannolikhet på ett hot, vilket innebär att man tar resurser från ett hot som man bedömt har lägre sannolikhet (men som i egentligen har högre). 4
Riskanalysmetoder Man måste avgränsa sin analys beroende på komplexiteten av systemet. Man kan inte undersöka alla detaljer in i minsta nivå, man hamnar då i en sorts analysis paralysis. An annan typ av analysis paralysis är när man är klar med sin analys, men tycker att man behöver göra mer, och mer, och mer Detaljnivån måste begränsas: Tänker du bara ta hänsyn till vilka processer som körs på datorn, eller tänker du titta på deras källkod och konfiguration också? Kvalitativ eller kvantitativ: Kommer du använda faktiska siffror för att avgöra konsekvens och sannolikhet, eller tänker du gradera dessa med t ex låg-medel-hög? 5
Riskanalysmetoder Det finns många metoder för riskanalys. Problemet som alla metoder har är att de förväntar sig att personen som genomför analysen hittar alla brister, hot, fall, etc. Detta kommer leda till att subjektiva åsikter blir en del av analysen: vissa kommer väga konsekvensen och/eller sannolikheten av ett hot annorlunda. Men det finns ingen perfekt matematisk modell som vi kan applicera på problemet, det finns ingen funktion som ger oss svaret på denna fråga, så analysen kommer alltid ha brister. Vissa metoder förespråkar brainstorming i grupp, så att analysen görs av flera personer. Tanken är att man hittar hot, men det finns givetvis gruppdynamiska problem (t ex att den som pratar högst får rätt, Det där har aldrig hänt förut! ). 6
Riskanalysmetoder Denna föreläsning I denna föreläsning kommer vi att titta på tre olika riskanalysmetoder: CORAS Information Security Risk Analysis Method (ISRAM) Attack Träd 7
8 CORAS
CORAS CORAS ger användaren ett språk för att modellera hot och risker. CORAS består av 7 steg, där varje steg kommer närmare en identifiering och kvantifiering av riskerna (i viss litteratur lägger man till ett 8:e steg, vi gör inte det). F. den Braber, I. Hogganvik, M. S. Lund, K. Stølen, F. Vraasen, "Model-based security analysis in seven steps - a guided tour to the CORAS method" Absolut nödvändig litteratur för projekt och tentamen 9
CORAS Steg 1 Kunder = De som äger systemet som skall säkras. Säkerhetsexperter = De som skall göra riskanalysen. Kan vara utomstående eller anställda på samma företag som kunderna. I ett möte mellan säkerhetsexperterna och kunderna kommer man fram till exakt vad det är som skall säkras. Vi ska säkra något, men vad är detta något. Vi måste tydligt veta vilka tillgångar som skall skyddas innan vi kan analysera vad som möjligtvis hotar dessa tillgångar. Vi måste också avgöra hur långt vi ska gå med analysen (dvs finns det delar som vi ska anta är säkra eller som inte ska ingå i denna analys). 10
11 CORAS Steg 1 the picture we see that speech and other data from the examination of a patient is streamed over a dedicated network, while access to the patient s health record (stored in a database at the regional hospital) is given Model-based security analysis in seve En low-tech bild över hur systemet Fig 2 ser Picture ut tas of fram the target. i Steg 1. Här kan man ta med även saker som inte ska säkras. I detta exempel ska inte kopplingen mot databasen säkras, men den är ändå med i bilden. analysis leader (req analysis secretary ( representatives of decision maker technical exper users (optional) Modelling guideline: system description at this stage describe the targe pictures or sketche the presentati more formal mod data-flow diagram
CORAS Steg 2 Systemet formuleras formellt i UML diagram av säkerhetsexperterna (class, collaboration, activity). Säkerhetsexperterna tar också fram ett CORAS asset diagram. Direct assets och indirect assets. Indirect assets är tillgångar som skadas genom att en direct asset blir skadad. Pilar visar hur skada på tillgångar påverkar varandra. Ett nytt möte mellan kunder och säkerhetsexperter där experterna visar diagram och kunderna har möjlighet att göra ändringar. 12
medical equipment GP terminal cardiologist terminal dedicated connection sed security analysis in seven steps a guided tour to the CORAS method Internet GP CORAS Steg 2 cardiologist Fig 3 Class diagram showing a conceptual view of the target. hardware communication firewall database :medical equipment focus terminal focus :GP terminal :cardiologist terminal medical equipment GP terminal dedicated connection cardiologist terminal :firewall :firewall :database GP cardiologist Fig 3 Class diagram showing a conceptual view of the target. Class diagram Fig 4 Collaboration diagram illustrating the physical communication lines. Collaboration diagram 13 :medical equipment :GP terminal hardware communication stakeholder that is initiating and paying for the analysis), and its four assets: Health records, Provision of telecardiology service, Patient s health and Public s trust in system. Because trust and health are difficult to measure, focus especially in a technical setting like this, the analysis leader makes a distinction between direct and indirect assets. He explains direct assets as assets that may be harmed directly by an unwanted incident, while the indirect assets are only harmed if one of the direct assets is harmed first. In the asset diagram the direct assets are placed within the target of analysis region and the indirect are placed outside. :cardiologist terminal in Fig 6 symbolise the client s, or other intere parties, relation to the assets. After agreeing on the assets, the analysts condu high-level analysis together with the analysis p ticipants. The short brainstorming should identify most important threats and vulnerabilities, but with going into great detail. In this case the client is concer about hackers, eavesdroppers, system failure whether the security mechanisms are sufficient. These threats and vulnerabilities do not necess involve major risks, but give the analysis leader valu
being harm log out log out indicate assets, GP log on retrieve health record establish connection connect medical equipment examine patient update health record close connection log on acknowledge connection open health record review examination cardiologist Model-based security analysis in seven steps a guided tour to the CORAS method Step 2 summary Fig 5 Tasks: CORAS Steg 2 the target as understood by the analysts is presented, the assets are identified, a high-level analysis is conducted. People that should be present: security analysis leader (required), security analysis secretary (required), representatives of the client: decision makers (required), technical expertise (required), users (optional). Modelling guidelines: Indirect asset diagrams: Activity diagram describing the parallel processes of the GP and the cardiologist. patient s health draw a region that logically or physically represents the target of analysis, health Direct telecardiology place the direct assets within the records region, service place the indirect assets outside the region (indirect assets are a harmed as a consequence of a direct asset being harmed first), Ministry of Health (client) provision of telecardiology service CORAS Asset Fig 6diagram Asset (not diagram. part of UML) public trust in system assets m if the an should be a target desc use a fo [1], but ens ly so that th create m features o configurati be work pro for the diagrams a notations) a for the d diagrams a notations). log out log out indicate with arrows which assets may affect other assets, Fig 5 14 Activity diagram Activity diagram describing the parallel processes of the GP and the cardiologist. assets may be ranked according to their importance, if the analysis has more than one client, the clients should be associated with their assets, Ministry of Health target descriptions: use a formal or standardised notation such as UML
CORAS Steg 2 När man har kommit överens om i detalj vilka tillgångar som skall skyddas har man en brainstorming session (både kunder och säkerhetsexperter). Det viktiga är att få fram vilka hot som klienten är orolig för, t ex att någon ser/hör något de inte får, hackare som får tillgång till information, etc. Dessa hot är inte nödvändigtvis de som är viktigast, men det är en utgångspunkt för säkerhetsexperterna. En risktabell skapas. 15
Model-based security analysis in seven steps a guided tour to the CORAS method CORAS Table 1 High-level risk Steg table. 2 threat scenario unwanted incident threat (accidental) threat (deliberate) threat (non-human) asset vulnerability Who/what causes it? How? What is the incident? What does it harm? What makes it possible? Hacker Breaks into the system and steals health records Insufficient security Employee Sloppiness compromises confidentiality of health records Insufficient training Eavesdropper Eavesdropping on dedicated connection Insufficient protection of connection System failure System goes down during examination Unstable connection/immature technology Employee Sloppiness compromises integrity of health record Prose-based health records (i.e. natural language) Network failure Transmission problems compromise integrity of medical data Employee Health records leak out by accident compromises their confidentiality and damages the trust in the system Unstable connection/immature technology Possibility of irregular handling of health records 4. Step 3 approval The last of the preparatory steps is the approval step. The approval is often conducted as a separate meeting, but may also take place via e-mail. The main goal is to finalise the 16 documentation and characterisation of target and assets, and get this formally approved by the client. At the end of this meeting there should be a document (possibly with a list Risktabell A risk is the potential for an unwanted incident to have an impact upon objectives (assets) [4], or in other words to reduce the value of at least one of the identified assets. Often the client accepts some risks that are not judged to be critical rather than eliminating or reducing them. This may be because of shortage of resources to implement changes, conflicting concerns, or the
CORAS Steg 3 Sista steget i förberedelserna. Det skall i slutet av detta steg finnas ett antal dokument som fått godkännande av alla parter. Fyra ytterligare dokument måste man komma överens om: Sortering av tillgångar (vilka risker är viktigast) Konsekvens-skalor (ibland flera beroende på vilka typer av tillgångar, det är lätt att sätta ett numeriskt värde på pengar och svårt/omöjligt på andra). Sannolikhetsskalor (tid: år, veckor, timmar, etc. eller sannolikheter: 10%,20%,1%). Riskutvärderingsmatris 17
iteria. The ts for each ed the mments d asset ussions e highof the nition. f the and ta in ent. to be 18 or until consequence the maximum they possible have on number the assets. of incidents The analysts per year initiate is reached. the discussion Because assets by suggesting of different a types scale of are likelihood involved, based intervals on have the an following increasing rule number of thumb of expected the events they make separate consequence scales for each of lower the incident until the likelihood maximum possible rare is set number to be of a incidents maximum per of year direct assets. Table 3 shows the consequence scale one occurrence is reached. Because during assets the target s of different lifetime; types the are remaining involved, defined for the asset Health records in terms of number they make separate consequence scales for each of the of health records affected. If feasible, the consequence direct assets. Table 3 shows the consequence scale description for an Table asset 2 may Asset include table. more than one defined for the asset Health records in terms of number measure, e.g. major could be the number of disclosed of health records affected. If feasible, the consequence health description Asset records, or the number for an asset Importance of deleted records, may include more than Type etc. one Table 4 gives the likelihood scale defined for the target as measure, e.g. major could be the number of disclosed such. By using the same scale for all scenarios and health records, or the number of deleted records, etc. Table incidents, 4 gives it the is possible likelihood to scale extract 3 defined combined for the Direct target likelihood asset as such. values By as shown using later the same in the scale risk estimation for all scenarios step. and incidents, it is possible to extract combined likelihood Table 3 Consequence scale for health records. values as shown later in the risk estimation step. Health records 2 Direct asset Provision of telecardiology service CORAS Steg 3 Public s trust in system (Scoped out) Indirect asset Patient s Consequence healthvalue 1 Description Indirect asset Catastrophic Table 3 Consequence 1000+ scale health for records health(hrs) records. are affected Major Consequence value 100-1000 Description HRs are affected Catastrophic Moderate 1000+ health 10-100 records HRs are (HRs) affected are affected Major Minor 100-1000 1-10 HRs HRs are are affected Moderate Insignificant 10-100 No HRs is are affected affected Minor Insignificant Likelihood value Table 4 Table 4 1-10 HRs are affected Likelihood No HR scale. is affected Likelihood Description scale. 3 Certain Likelihood Five times or more per year (50-*: value Description 3 10y = 5-*: 1y) Likely Two to five times per year (21-49: 10y = 2,1-4,9: 1y) Certain Possible Five times Once or a more year per (6-20: year 10y (50-*: = 0,6-2: 10y = 1y) 5-*: 1y) Likely Unlikely Two Less to five than times once per per year year (21-49: (2-5: 10y = 0,2-0,5: 2,1-4,9: 1y) Possible Rare Less than Once once a year per (6-20: ten years 10y (0-1:10y = 0,6-2: 1y) = 0-0,1:1y) Unlikely Less than once per year (2-5: 10y = 0,2-0,5: 1y) Rare Less than once per ten years (0-1:10y = 0-0,1:1y) Finally, the representatives of the client need to the participants After completing decide to this let task this for matrix all assets cover the the other analysts assets and the as well. participants have the framework and vocabulary they need to start identifying threats (a potential cause After completing this task for all assets the analysts of an unwanted incident [5]), vulnerabilities (weaknesses and the participants have the framework and vocabulary which can be exploited by one or more threats [5]), they need to start identifying threats (a potential cause unwanted incidents and risks, and can move on to the of an unwanted incident [5]), vulnerabilities (weaknesses next step. which can be exploited by one or more threats [5]), unwanted incidents and risks, and can move on to the Step next 3 step. summary Tasks: Prioriteringar Step 3 summary Tasks: assets as well. the client approves target descriptions and asset descriptions, the the client assets should approves be ranked target according descriptions to importance, and asset descriptions, consequence scales must be set for each asset within the the assets scope should of the be analysis, ranked according to importance, Konsekvensskalor, consequence scales must kan be behövas a likelihood scale must be defined, set for each asset within olika the för scope olika of the assets analysis, the client must decide risk evaluation criteria for each a likelihood scale must be defined, asset within the scope of the analysis. the client must decide risk evaluation criteria for each Participants: asset within the scope of the analysis. Participants: the same as in the previous meeting, but, since this step sets the boundaries for the further analysis, it is Sannolikhetsskalor the important same as in that the previous the relevant meeting, decision-makers but, since this stepare sets present. the boundaries for the further analysis, it is important that the relevant decision-makers are present. 5. Step 4 risk identification To identify risks CORAS makes use of a technique called 5. structured Step brainstorming. 4 risk identification Structured brainstorming may be
a risk with a specific likelihood and consequence will belong to the intersecting cell. Based on a discussion in the group, the security analysis leader marks the cells in the matrix as acceptable or must be evaluated. The resulting risk evaluation matrix is shown in Table 5, and 0-*:10y is short for 50 or more incidents per 10 years, equivalent to 5 or re incidents per year. CORAS Steg 3 risks than individuals or a more homogeneous group wou have managed. The findings from the brainstorming are documente with the CORAS security risk modelling language. We w now exemplify how we model risks with the CORA language, using the symbols presented in Fig 7. Table 5 Risk evaluation matrix. Frequency Consequence Insignificant Minor Moderate Major Catastrophic Rare Acceptable Acceptable Acceptable Acceptable Must be evaluated Unlikely Acceptable Acceptable Acceptable Must be evaluated Must be evaluated Possible Acceptable Acceptable Must be evaluated Must be evaluated Must be evaluated Likely Acceptable Must be evaluated Must be evaluated Must be evaluated Must be evaluated Certain Must be evaluated Must be evaluated Must be evaluated Must be evaluated Must be evaluated Riskutvärderingsmatris BT Technology Journal Vol 25 No 1 January 200 Måste bestämma oss för vilka risker vi kan leva med och vilka som vi vill förhindra 19
CORAS Steg 4 Risk identifiering genom strukturerad brainstorming (bara experter). En genomgång av systemet som skall analyseras. Olika personer i gruppen har olika kompetens, bakgrund och intressen. (Behöver inte bara vara IT-personer) Gruppen kommer hitta fler (och andra typer av) hot än vad en person själv skulle kunna göra. Model-based security analysis in seven steps a guided tour to the CORAS method Dokumenteras med CORAS security risk modelling language. logical or physical region threat (accidental) threat (deliberate) threat (non-human) asset stakeholder vulnerability threat scenario treatment scenario unwanted incident risk and or 20 Fig 7 Symbols from the CORAS risk modelling language. The analysis leader challenges the participants to work with questions such as: What are you most worried structured manner and the identified unwanted incidents are documented on-the-fly (using the guidelines
CORAS Steg 4 Alla dokument som man skapat i steg 1, 2 och 3 används som input till brainstorming sessionen. Dessutom har man förberett threat scenario diagrams ( hot scenario diagram ). Dessa initiala dokument baseras på de hot som kunderna pekat ut i steg 2. Dessa dokument uppdateras och görs större under sessionen. 21
specific scenarios. Since people may be involved at different stages of the analysis, it is essential that information gathered during this session is documented in a simple and comprehensive way. The analysis leader uses the target models from Step 2 (Figs Brist 2, 3, 4 and 5) as input to the brainstorming session. The models are assessed in a stepwise and telecardiology service CORAS Steg 4 Hot scenario. and sloppiness may compromise the integrity and confidentiality of the patient s health records. The system also allows for irregular handling of health records where an employee may accidentally cause a leakage of records. A confidentiality or integrity breach may harm the health record in the sense that it is no longer secret nor correct. In the outmost consequence a faulty health record may affect the patient s health. Incident employee insufficient training prose-based health records possibility of irregular handling of health records Fig 8 sloppy handling of records health record leakage compromises confidentiality of health records compromises integrity of health records Initial threat diagram accidental actions. Initialt hot diagram för mänskliga misstag. Direkt health records patient s health Indirekt 108 BT Technology Journal Vol 25 No 1 January 2007 22
CORAS Steg 4 Model-based security analysis in seven steps a guided tour to the CORAS method telecardiology service hacker insufficient security breaks into system steals health records eavesdropper insufficient protection of connection eavesdropping on dedicated connection compromises confidentiality of data transmitted health records Fig 9 Initial threat diagram deliberate actions. 23 telecardiology service Initialt hot diagram för mänskliga attacker. immature technology system goes down during examination examination disrupted provision of telecardiology service
eavesdropper insufficient protection of connection CORAS Steg 4 Fig 9 eavesdropping on dedicated connection Initial threat diagram deliberate actions. compromises confidentiality of data transmitted records telecardiology service network error system failure immature technology unstable connection system goes down during examination transmission problems examination disrupted compromises integrity of medical data provision of telecardiology service health records Fig 10 Initial threat diagram non-human threats. In the threat diagram describing deliberate harmful by employees accidental actions (Fig 8) receives much actions caused by humans, Initialt the participants hot diagram have för icke-mänskliga attention hot. among the participants and develops into identified two main threats hacker and eavesdropper Fig 11. (Fig 9). A hacker may exploit insufficient security mechanisms to break into the system and steal health records. 24 An eavesdropper is a person that, due to insufficient protection of communication lines, may gather data that is transmitted and thereby compromise Due to space limitations, we will not explore the other two threat diagrams further, but concentrate on just this one.
CORAS Steg 4 Model-based security analysis in seven steps a guided tour to the CORAS method GP IT personnel insufficient training prose-based health records insufficient access control possibility of irregular handling of health records health record copies stored on local computer wrong input in health record lack of competence health records sent to unauthorised people no input validation misconfiguration of system compromises integrity of health records compromises confidentiality of health records slow system patient is given wrong diagnosis health records unable to set diagnosis due to slow system patient s health telecardiology service provision of telecardiology service Expanderat hot diagram för mänskliga misstag efter session. Fig 11 Final threat diagram accidental actions. 25 people without the required competence become responsible for critical changes. This may lead to misconfiguration of the system, which again may slow it Modelling guideline: threat diagrams:
CORAS Steg 5 I en workshop uppskattar man sannolikheter och konsekvenser. Varje deltagare i workshopen ger en sannolikhet till varje hot scenario. Ibland kan man använda existerande data. Konsekvensen av hotet uppskattas och ett värde från konsekvensskalorna i steg 3 tillsätts varje hot scenario. Dessa värden används sedan tillsammans med riskutvärderingsmatrisen för att avgöra om risken är värd att analysera vidare och åtgärda, eller om man bara ska acceptera risken. 26
unwanted incident asset relation. The consequence value is taken from the consequence scale of the asset decided in Step 3. In this workshop it is especially important to include people with the competence needed to estimate realistic likelihoods and consequences, meaning that technical expertise, users and decision makers must be included. CORAS Steg 5 method that is quite straightforward and transparent. The threat scenario Health records sent out to unauthorised people and Health record copies stored on local computer can both lead to Compromises confidentiality of health records. Table 6 shows how the combined likelihood is estimated. The technique is informal, but suitable for Var the försiktig creative med structured detta! GP IT personnel insufficient training prose-based health records insufficient access control possibility of irregular handling of health records health record copies stored on local computer [unlikely] wrong input in health record [possible] lack of competence health records sent to unauthorised people [rare] no input validation misconfiguration of system [possible] compromises integrity of health records [possible] compromises confidentiality of health records [rare] slow system [possible] moderate moderate patient is given wrong diagnosis [unlikely] moderate health records catastrophic unable to set diagnosis due to slow system [likely] major Konsekvens patient s health telecardiology service provision of telecardiology service 27 Fig 12 Threat diagram with likelihood and consequence estimates.
. For more precise calculation of analysis (FTA)[6] may be used. It is hat the combined estimates reflect the combined estimates should be icipants for validation. CORAS Steg 6 Rare CC1 ario must be given a likelihood Unlikely PR1 anted incident Faller likelihoods utanför, are behöver based inte arbetas vidare med. Possible CI1, SS2 Likely SS1 ween an unwanted incident and an Certain n a consequence estimate. Kunden godkänner om denna The analysis matris leader är ok eller gives inte, the kan participants behöva an justera opportunity to adjust likelihood and consequence estimates, resent: konsekvenser eller sannolikheter. En sista bild över de and risker som acceptance analyserats levels, tas to fram, make med sure deras that the respektive results ader (required), evaluering. reflect reality as much as possible. 28 cretary (required), unlikely interval. In our case the risk value is determined by the risk evaluation matrix. From the four unwanted incidents in the threat diagram, the analysis secretary extracts five risks. Compromising the confidentiality of health records (CC1) may affect health records. Compromising the integrity of health records may also harm health records (CI1), in addition to patient s health if it contributes to a faulty diagnosis (PR1). Finally, slow participants reject the suggested system may slow down an examination (SS2) and harm Risk evaluering romises confidentiality of health the patient s health (SS1). Only CC1 is within acceptable the likelihood is less than Extrahera unlikely risker (compromises risk levels, confidentiality the rest need of further health records evaluation. CC1 = Table moderate 7 shows / rare) the risks placed in the risk evaluation matrix. Använd tidigare tabeller och uppskattningar för att placera riskerna i riskutvärderingsmatrisen. Table 7 Risk evaluation matrix with risks consequence. Likelihood Consequence Insignificant Minor Moderate Major Catastrophic The participants request an overview of the risks.
Kommer alltså inte hanteras CORAS Steg 6 Model-based security analysis in seven steps a guided tour to the CORAS method GP CC1 compromises confidentiality of health records [acceptable] health records CI1 compromises integrity of health records [unacceptable] SS1 slow system [unacceptable] PR1 patient is given wrong diagnosis [unacceptable] SS2 unable to set diagnosis due to slow system [unacceptable] patient s health IT personnel telecardiology service provision of telecardiology service 29 Fig 13 Risk overview. People that should be present: 8. Step 7 risk treatment
CORAS Steg 7 Alla risker som man valt att hantera (dvs som faller på rätt plats i riskutvärderingsmatrisen) behöver behandlas. I en workshop utvärderar man varje risk för att ta fram tillvägagångssätt som reducerar antingen konsekvensen eller sannolikheten för risken. Vissa tillvägagångssätt kan vara dyrare än andra, och därför väger man även in cost-benefit. Till sist har man en plan för vilka metoder och tillvägagångssätt som är nödvändiga. Denna presenteras för kunden (eller en förenklad variant). 30
stimates should be ation. ject the suggested ntiality of health s less than unlikely the integrity of health records may also harm health records (CI1), in addition to patient s health if it contributes to a faulty diagnosis (PR1). Finally, slow system may slow down an examination (SS2) and harm the patient s health (SS1). Only CC1 is within acceptable risk levels, the rest need further evaluation. Table 7 shows the risks placed CORAS in the risk evaluation Steg matrix. Table 7 Risk evaluation matrix with risks consequence. given a likelihood likelihoods are based Likelihood Rare Unlikely Possible Likely Consequence Insignificant Minor Moderate Major Catastrophic nted incident and an Certain e estimate. Detta måste vi alltså The behandla. analysis leader Vi behöver gives the flytta participants SS1 till ett an vitt opportunity to adjust likelihood and consequence estimates, fält. Hur gör vi det? and risk acceptance levels, to make sure that the results reflect reality as much as possible. Vi har två val, vi kan minska konsekvensen (dvs gå åt vänster) eller minska sannolikheten (dvs gå uppåt). d), The participants request an overview of the risks. They want to know who, or what, is initiating them and Det sista steget which i analysen assets they är att harm. ta fram The förslag analysis på secretary hur vi flyttar models de therisker vi inte kan acceptera. risks with their associated risk values in a risk diagram 31 according to the guidelines (see summary). The final risk diagram for unwanted incidents accidentally caused by e target (required), employees is shown in Fig 13. Since the risk of CC1 CI1, SS2 SS1 PR1
Model-based security analysis in seven steps a guided tour to the CORAS method extend training programme (1-2 days) CORAS Steg 7 GP prose-based health records insufficient training health record copies stored on local computer wrong input in health record no input validation compromises integrity of health records CI1 patient is given wrong diagnosis health records PR1 unable to set diagnosis due to slow system SS2 patient s health IT personnel insufficient access control lack of competence misconfiguration of system slow system SS1 telecardiology service provision of telecardiology service revise access lists 32 Fig 14 Treatment diagram.
CORAS - Summering Det är många dokument, men när man följer en metod kan man inte ta bort bitar som man inte förstår eller tycker är direkt nödvändiga. Läs artikeln ett par gånger, och när ni sedan själva applicerar CORAS kommer det bli tydligare hur det fungerar. Tänk på att CORAS även kan vara del av tentamen. 33
Information Security Risk Analysis Method ISRAM 34
ISRAM - Introduktion Fokuserar på ett hot och försöker uppskatta risken för detta: Risken för att datorer på ett nätverk blir infekterade av virus. Använder sig av speciellt utformade frågeformulär som besvaras av användare, experter, mm. Svaren på frågeformuläret uppskattar risken för hotet (genom att uppskatta sannolikheten och konsekvensen). 35
ISRAM Steg 1 och 2 Steg 1 Identifiera att det finns ett hot: virusinfektion. Steg 2 Identifiera faktorer som påverkar sannolikheten och konsekvensen av hotet, samt vikta dessa faktorer. 36
ISRAM Steg 2 Sannolikhetsfaktorer Konsekvensfaktorer Typen av bifogade filer i mejl 3 Backup av filer 3 Antalet mejl per dag 1 Fysisk plats av filsystem 2 Antalet nedladdade filer per dag 1 Beroende av applikacon 1 Källan av USB- scckor Vikt Förklaring 3 Faktorn påverkar risken direkt 2 Faktorn påverkar risken något 1 Faktorn påverkar risken indirekt 2 Antalet faktorer för sannolikhet behöver inte vara samma som för konsekvens. Fler vikter kan eventuellt användas, men det är svårt att särskilja på 3 och 4 i en 10 gradig skala. Definitionen av vikterna kan variera. 37
ISRAM Steg 3 Steg 3 Konvertera faktorer till frågor, skapa svarsalternativ till varje fråga och ge varje alternativ en poäng. Fråga A B C D Hur många mejl får du per dag? 0-10 (1) 11-30 (2) 31-40 (3) 41+ (4) Vems USB- scckor använder du? Endast de jag får av företaget (0) Tar med mig hemifrån (4) Hur oqa gör du backuper av filer? Varje dag (1) Varje vecka (2) Aldrig (4) Poäng för svarsalternativet är i parenteserna (anges inte på formuläret som skickas). Blandar frågor angående sannolikhet och konsekvens. Poängen är 0 till 4. 38
ISRAM Steg 4 Beräkna det minimala och det maximala antalet poäng som frågorna angående sannolikhet kan ge. Beräkna det minimala och det maximala antalet poäng som frågorna angående konsekvens kan ge. Skapa sedan intervall så att poäng kan konverteras till en skala från 1 till 5. Poäng Kvalita<v skala Kvan<ta<v skala 29-48 Väldigt låg sannolikhet 1 49-68 Låg sannolikhet 2 69-88 Medel sannolikhet 3 89-108 Hög sannolikhet 4 108-128 Väldigt hög sannolikhet 5 Poäng Kvalita<v skala Kvan<ta<v skala 47-68 Försumbar konsekvens 1 69-90 Liten konsekvens 2 91-111 Förhöjd konsekvens 3 112-133 Allvarlig konsekvens 4 134-160 Mycket allvarlig konsekvens 5 39
ISRAM Steg 4 Skapa en slutgiltig risktabell. Risk = Sannolikhet x Konsekvens 1: Försumbar 2: Liten 3: Förhöjd 4: Allvarlig 5: Mycket allvarlig 1: Väldigt låg 1: Väldigt låg 2: Väldigt låg 3: Väldigt låg 4: Låg 5: Låg 2: Låg 2: Väldigt låg 4: Låg 6: Låg 8: Medel 10: Medel 3: Medel 3: Väldigt låg 6: Låg 9: Medel 12: Medel 15: Hög 4: Hög 4: Låg 8: Medel 12: Medel 16: Hög 20: Väldigt hög 5: Väldigt hög 5: Låg 10: Medel 15: Hög 20: Väldigt hög 25: Väldigt hög 40
ISRAM Steg 5 och 6 Steg 5 Genomför undersökningen. Den kan skickas till användare av de datorer som är på det nätverk som man vill uppskatta risken för, eventuellt andra experter mfl. Steg 6 Använd en ekvation för att beräkna ett värde för risken (baserat på faktorerna för sannolikhet och konsekvens). Använd resultatet av ekvationen i risktabellen för att beräkna den slutgiltiga risken. 41
ISRAM Steg 6 Risk = NP n=1 [T s ( IP i=1 N i s i,n )]! NP n=1 [T k ( JP j=1 N jk j,n )]! N = antal respondenter I = antal frågor om sannolikhet J = antal frågor om konsekvens α i = vikten av sannolikhetsfråga i s i,n = poängen för det svarsalternativ som respondent n gett sannolikhetsfråga i β j = vikten av konsekvensfråga j k j,n = poängen för det svarsalternativ som respondent n get konsekvensfråga j T s en funktion som översätter ett heltal till sannolikhetsskalan 1 till 5 T k en funktion som översätter ett heltal till konsekvensskalan 1 till 5 42
ISRAM Steg 6 Risk = NP n=1 [T s ( IP i=1 N i s i,n )]! NP n=1 [T k ( JP j=1 N jk j,n )]! Respondent Summan av sannolikhetsfrågor T S Summan av konsekvensfrågor 1 94 4 103 3 2 74 3 136 5 T K Medel: 3.5 Medel: 4 Risk = 3.5 * 4 = 14 vilket ligger mellan medium och hög risk, men närmare hög risk 43
ISRAM Steg 7 Steg 7 Utvärdering av resultat Den slutgiltiga uppskattade risken är det viktigaste utfallet av metoden. Risk uppskattningen kan användas för att ta beslut om man skall göra förändringar i policies och/eller mekanismer. Samtidigt har man samlat in mycket information om användandet av systemet, t ex kan man få reda på om användare håller sina system kontinuerligt uppdaterade, om de använder adminkonton på rätt sätt, etc. Den extra informationen är värdefull när det kommer till att bestämma vilka förändringar som bör göras. 44
ISRAM - Slutsatser ISRAM är användbart när man vill uppskatta risken för ett specifikt hot. Det behövs bara en person som administrerar riskanalysen om det finns respondenter. (Det kan vara fördelaktigt att flera administrerar riskanalysen då man avgör poäng och vikter). Utfallet av riskanalysen är väldigt beroende på de vikter och poäng som sätts, och dessutom på vilka frågor som ställs (man kan inte få svar på frågor som man inte ställer). 45
46 ATTACK TRÄD
Attack träd Representera attacker mot ett system i en trädstruktur, med målet av attacken som rotnod och de olika vägarna att lyckas med attacken som grenar och löv. 47
Attack Träd Open Safe Pick lock Learn combo Cut open Install improperly Find written combo Get combo from target Threaten Blackmail Eavesdrop Bribe Listen to conversation Get target to state combo 48
Attack Träd Open Safe Pick lock Learn combo Cut open Install improperly Find written combo Get combo from target Threaten Blackmail Eavesdrop Bribe and Listen to conversation Get target to state combo 49
Attack Träd P Open Safe I P Pick lock Learn combo Cut open P I Install improperly I Find written combo P Get combo from target I I I P Threaten Blackmail Eavesdrop Bribe and P Listen to conversation I Get target to state combo 50
Attack Träd P $10 Open Safe I P Pick lock Learn combo Cut open $30 $20 $10 $100 P I Install improperly I $60 I $75 Find written combo I P Get combo from target Threaten Blackmail Eavesdrop Bribe $100 $20 I P $60 $20 and P I Listen to Get target to conversation state combo $20 $40 51
Attack Träd Vi kan annotera trädet med många olika typer av Booleska eller reella värden: Laglig och Ej laglig Kräver special utrustning och Kräver ingen specialutrustning Sannolikheten för att man lyckas, sannolikheten av attack, etc. När vi har annoterat trädet kan vi ställa frågor: Vilken attack kostar mindre än $10? Vilka lagliga attacker kostar mer än $50? Är det värt att betala en person $80 för att öka motståndskraften mot korruption? 52
Attack Träd Identifiera målen (rotnoderna). Varje mål blir ett eget träd. Lägg till alla attacker som du kan komma på som löv till rotnoden. Expandera varje attack som om den vore ett mål i sig själv. Låt någon annan titta på ditt träd, få kommentarer från andra experter, iterera Behåll träden uppdaterade och använd de när du tar beslut om säkerhetspolicies och mekanismer. 53
Riskanalys - Summering Riskanalysen är en grundsten: Utveckling av programvara kräver att man först gör en riskanalys för att identifiera områden som kräver extra försiktighet. Expansion av ett företag till nya miljöer kräver riskanalys av fysisk säkerhet. Byte av nätverkssystem kräver riskanalys för att identifiera vilka sektioner och säkerhetsnivåer som behövs. 54
Riskanalys - Summering Många olika metoder existerar, gäller att hitta den som passar resurserna och målet. CORAS, ISRAM och Attack Träd har alla sina egna för- och nackdelar. Riskanalys är svårt, väldigt svårt, och en lyckad analys är beroende av experterna som genomför den. Att begränsa analysen, ta hjälp av andra experter och att vara organiserad är viktigt för att öka möjligheterna för en lyckad analys. 55
www.liu.se