Analyser Verktyg för att avgöra vilka skydd som behövs
Analystyper Sårbarhetsanalys Svarar på frågan Hur viktigt är det att jag bryr mig Hotanalys Svarar på frågan Hur utsatt är just jag för kända, tänkbara attacker/olyckshändelser Riskanalys Svarar på frågan Är det lönt för mig att införa säkerhetsåtgärder
Sårbarhetsanalys Ta reda på vilka data som tillhandahålls av och behandlas i systemet Ta för varje övergripande datamängd reda på vad som händer i verksamheten om dessa data läcker till obehöriga, inte har tillförlitliga värden eller inte är tillgängliga Fortsätt med djupare analyser, om konsekvenserna är kännbara
Resultat av sårbarhetsanalys Underlag för vidare analyser, särskilt formell riskanalys Underlag för säkerhetspolicy, d v s övergripande uttalande i formellt dokument om organisationens avsedda säkerhet Policy i sin tur motiverar kostnad för åtgärder som ser till att policyn följs
Hotanalys Tittar inte på konsekvenser, utan koncentreras på vilka tänkbara attacker eller olyckshändelser som rent allmänt kan drabba det studerade systemet Ska för just detta system och för varje hottyp ge sannolikhet att drabbas, exakt vad eller vilken typ av person som är hotagent samt vilka resurser agenten måste ha för att åstadkomma effekt
Riskanalys, definitioner Risk, ordboksdefinitioner: möjligheten att något negativt inträffar något som innebär fara sannolikheten att drabbas av skada Riskanalys är den systematiska hanteringen av det kombinerade resultatet av Skadans storlek Sannolikheten att skadan inträffar
Riskanalys, tre grundbegrepp Tre olika saker måste finnas, för att en risk ska föreligga: Hot - den oönskade händelse som kan orsaka/utlösa skada Skada - det negativa slutresultatet av en oönskad händelse Brist - den oönskade egenskap hos systemet, som gör det möjligt att ett hot verkligen resulterar i skada
Exempel på grundbegreppen Fickstölder av plånbok är en risk för dig bara om alla tre gäller: Hot - det kan finnas ficktjuvar där du befinner dig Skada - du skulle sakna plånboken med innehåll, om den stals Brist - du bär plånboken där en ficktjuv kommer åt den
Hot mot datasäkerheten Ursprungshotet finns alltid utanför det analyserade systemet, utom vad gäller de hårdvarufel, som inte är sabotage Ibland måste man hantera hot som redan finns i systemet, som virus Målet är alltid att motverka hotet så tidigt som möjligt
Egenskaper hos hot Ett hot orsakas alltid av en hotagent Oavsiktliga händelser har inget specifikt mål. Avsiktliga hotagenter har olika mål Hotagenter har olika resurser, som tid, kunskap, datorresurser o. s. v. Olika hotagenter har olika sannolikhet att attackera just ditt system Hotanalys måste fastställa hotagentens mål, resurser och sannolikhet i just ditt fall.
Exempel på hotagenter Åskväder kan hota systemets tillgänglighet Blixtnedslag har inga avsiktliga mål Deras förstörelsemöjligheter är oerhörda Sannolikheten att bli träffad beror på geografisk ort, omgivningen, åskledare o. s. v. En förskingrande anställd hotar ekonomiska tillgångar via attack mot datas riktighet Arbetsgivaren tillhandahåller datorresurserna Den anställde kan/kan lära sig om systemet. Sannolikhet beror på upptäcktsrisk och ev. vinst
Identifiera skadan En skada är en förlust av något värde för användare på grund av data/datorsystem Den egentliga skadan är alltså hotets följder utanför datorsystemet Skador inom systemet kallas ofta primärskada, medan deras följder kallas sekundärskada Primärskador kan delas upp i CIAkategorierna, som ju gäller data, men riskanalys behandlar dataskadornas effekter för användaren
Egenskaper hos skador Informationssäkerhet söker förhindra skada på data och system, primärskador Det är i regel sekundärskadan som spelar någon roll (och kostar något) Ibland måste man värdera primärskadas kostnad (som snällt virus i systemet) En del skador kan mätas i kronor, men andra gäller lagbrott, rykte, etik o. s. v.
Beräkna kostnad för skador Kostnader kan vara direkta Exempel är resurser för att återställa systemet, skadestånd till tredje part/kund och direkt förlust av något som bokförs som tillgång Skador kan vara indirekta, som förlust av marknad på lång sikt, försämrat arbetsklimat o s v
Att identifiera brister Brister är egenskaper hos ditt system En brist kan finnas inne i systemet eller i dess närmaste omgivning Om du avlägsnar en brist, kan dess tillhörande hot inte längre orsaka skada (såvida inte det finns en parallell brist)
Kedjan Hot-Brist-Skada Hacker tar över persondator Patch för känt säkerhetshål är inte installerad Din adress är svartlistad som spam-sändare Hot Brist Skada
Egenskaper hos brister Brister utgör ofta en kedja från hotet till den slutliga skadan Länkarna i kedjan kan vara parallella, d. v. s. vilken som helst av dem resulterar i skadan, eller seriella, d. v. s. alla måste finnas för att vi ska få den slutliga skadan Det räcker att ta bort en enda av de seriella bristerna, men för parallella måste alla grenar bort.
Seriell bristkedja Hacker tar över persondator Relevant tjänst är insallerad Patch mot säkerhetshål saknas Din adress är svartlistad som spam-sändare Hot Brist(er) Skada
Parallell bristkedja Hacker tar över persondator Patch för säkerhetshål ej installerad Remote login möjlig utan autenticering Din adress svartlistad som spam-sändare Hot Brister Skada
Strikt riskanalys I riskanalys tar vi reda på riskens storlek för att få reda på om motåtgärder kostar mer än de är värda Om vi tjänar mer på motåtgärden än den kostar, så ska vi införa motåtgärden
Att räkna ut riskkostnaden Alltså Vi ska räkna ut medelriskkostnaden, r Först tar vi reda på medelkostnaden vid varje tillfälle då hotet utlöser en skada, d Sedan finner vi medeltalet för antal gånger per år som hotet ger skada (frekvensen), f Riskkostnaden är då r = f. d
Hur används riskkostnaden? Beräkna riskkostnaden utan införd motåtgärd, r u Beräkna riskkostnaden med införd motåtgärd, r m Beräkna kostnaden per år för motåtgärden, c Inför motåtgärden om c <r u -r m! Men detta är väldigt förenklat
Komplikationer och osäkerhet Medelvärden är inte vad det kostar vid varje enskild händelse. Kan vi klara mindre sannolik men extra hög kostnad? Sannolikheter har oftast stor osäkerhet. Bör vi säkra oss mot andra tänkbara värden? Glöm inte att rykte, etik, lagar m. m. också kan motivera åtgärd!!!
Kvalitativ riskanalys Gör en grov uppskattning av skadans storlek: Försumbar? Lindrig? Allvarlig? Katastrofal? Gör en grov uppskattning av sannolikheten: Ytterst otrolig? Möjlig? Sannolik? Ytterst trolig?
Kvalitativ riskanalys För in dina uppskattade värden i en mall: Skada Katastrofal Allvarlig Lindrig Försumbar Ytterst otrolig Möjlig Sannolik Ytterst trolig Sannolikhet
Kvalitativ riskanalys Behandla risker i prioritetsordning! Skada Katastrofal Allvarlig Lindrig Försumbar Ytterst otrolig Möjlig Sannolik Ytterst trolig Sannolikhet
Verktyg för att utvärdera säkerhet Enkla checklistor (har du infört det här?) Differentierade checklistor (olika rekommendationer för olika behov) Automatiska verktyg för att beräkna nivå Expertsystem för att beräkna nivå, visa alternativ och ge motiveringar för rekommendationer
Enkla checklistor Egentligen bara ett annat sätt att skriva ner korta råd om vad som kan/bör göras Kan innehålla poängsättning och summering till säkerhetsnivå Generella listor kan aldrig ge bra mått Väl anpassade listor kan vara utmärkta för avsedda verksamheter, men olämpliga utanför dessa
Differentierade checklistor Frågor och poäng anpassas till beskrivningar av miljö och säkerhetskrav Ger i bästa fall en verksamhetsanpassad lista Kräver inte omarbetning till helt ny mall vid mindre förändringar eller variationer i verksamheten
Automatiserade checklistor Differentierade listor i form av datorprogram och dataunderlag Ger enklare möjlighet att dela upp i områden, räkna om bara ett område och få totalvärdering och annan flexibilitet Arbetar oftast med frågepoäng, summering och nivåer som ger olika betyg
Typisk metod att beräkna säkerhetsnivå För varje fråga finns Själv frågan Frågans vikt Möjliga svar Vikten för varje svar Multiplicera ditt svars vikt med frågans vikt. Summera dessa produkter för alla frågor. Jämför summan med nivågränser.
Exempel från fysikst skydd Fråga (vikt 4): Är server-rummets dörrar låsta? Ja (4) Nej (0) Möjliga bidrag till slutsumman: 0 eller 16
Bättre exempel från fysiskt skydd Fråga (vikt 4): Är server-rummets dörrar låsta? Ja, alltid (4) Ja, utom då någon är i rummet (3) Ja, utanför normal arbetstid (1) Nej (0) Möjliga bidrag till slutsumman: 0, 4, 12, 16
Viktigt! Nivågränser, frågornas vikt och svarens vikt måste vara noggrant avvägda. Bra exempel:vikterna från grundfrågor dominerar, så man kan inte nå hög nivå bara genom att ha några sofistikerade extraskydd. Dåligt exempel: Skyhög säkerhet för kontrollsummealgoritmens kvalitet och ingen verifiering alls av användarens påstådda identitet ger betyg hög säkerhet
Bra exempel från behörighetskontroll Nedre gränsen för Godkänt är 150 Nedre gränsen för Utmärkt är 250 Summan för Alla data har klassificerats, Användarautenticering krävs för allt utom offentliga data och Behörighetskontrollen är alltid inkopplad för alla data är exakt 150 Summan för Biometri används för extra känsliga data, Känsliga data kan inte nås via web-sidor o. s. v. är 140.
Dåligt exempel från behörighetskontroll Nedre gränsen för Godkänt är 75 Nedre gränsen för utmärkt är 200 Summan för Alla data har klassificerats, Användarautenticering krävs för allt utom offentliga data och Behörighetskontrollen är alltid inkopplad för alla data är exakt 75 Summan för Biometri används för extra känsliga data, Känsliga data kan inte nås via web-sidor o. s. v. är 200.
Kom ihåg Om du använder denna typ av verktyg, lita aldrig blint på ett resultat. Utvärdera förutfattade meningar och underförstådda förutsättningar i verktygets poängsättning. Och grunden är alltid din hot- och riskanalys! De viktiga punkter du identifierat där bara ska åtgärdas.