360 likes | 535 Views
IT Arkitektur og Sikkerhed. Risiko vurdering. Sidste uge. I sidste uge gennemgik vi Security awareness, love, politikker og BCP/DRP. Dagsorden. I denne uge gennemgår vi Risiko Analyse. Næste uge. I næste uge gennemgår vi Praktisk Hacking. Sikkerhedsstandarder (1/6).
E N D
IT Arkitektur og Sikkerhed Risiko vurdering
Sidste uge • I sidste uge gennemgik vi • Security awareness, love, politikker og BCP/DRP
Dagsorden • I denne uge gennemgår vi • Risiko Analyse
Næste uge • I næste uge gennemgår vi • Praktisk Hacking
Sikkerhedsstandarder (1/6) • Sikkerhedsstandarder • ISO/IEC 27001:2005 (fra 2005) • Tidligere BS7799-2:2005 ( fra 2005) • Tidligere BS7799 part 2 (fra 2002) • ISO/IEC 27001:2005 er navngivet ”Information Security Management Standard - Requirements”. Benyttes som metodologi for etablering af INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) (sikkerhedsledelse). • Din virksomhed kan certificeres til at overholde ISO/IEC 27001:2005, på samme måde som I kan certificeres til ISO 9000.
Sikkerhedsstandarder (2/6) • Sikkerhedsstandarder • ISO/IEC 27001:2005 arbejder efter en veldefineret fortløbende proces (“Deming Cycle”) • Plan Planlægning af ISMS • Do Etablering, operere og vedligeholde ISMS • Study Overvåge, måle, auditere, og evaluere ISMS • Act Korrigere og imødegå problemer. Kontinuerlig forbedre ISMS
Sikkerhedsstandarder (3/6) • Sikkerhedsstandarder • ISO/IEC 27001:2005 foreslår følgende proces • 1. Define the scope and boundaries of your ISMS. • 2. Define your organization’s ISMS policy. • 3. Define your approach to risk management. • 4. Identify your organization’s security risks. • 5. Analyze and evaluate your security risks. • 6. Identify and evaluate your risk treatment options. • 7. Select control objectives and controls to treat risks. • 8. Prepare a detailed Statement of Applicability. • 9. Develop a risk treatment plan to manage your risks. • 10.Implement your organization’s risk treatment plan. • 11. Implement your organization’s security controls. • 12. Implement your organization’s educational programs. • 13. Manage and operate your organization’s ISMS. • 14. Implement your organization’s security procedures. • 15. Use procedures and controls to monitor your ISMS. • M.fl. I dag
Sikkerhedsstandarder (4/6) • Sikkerhedsstandarder • ISO/IEC 27002 (fra 2007) • Tidligere ISO/IEC 17799:2005 (fra 2005) • Tidligere ISO/IEC 17799 (fra 2000) • Tidligere BS7799 part 1 (fra 1995) • ISO/IEC 27002 er navngivet ”Code of practice for information security management”Indeholder vedledninger til etablering eller forbedring af INFORMATION SECURITY MANAGEMENT SYSTEM (ISMS) (sikkerhedsledelse). • ISO/IEC 27002 foreslår følgende proces som start • Udfør risikoanalyse • Bestem sikkerhedskrav givet love, regulativer, kontrakter og lignende som I, jeres partnere, jeres kunder skal overholde • Vælg de vejledninger der er relevante
Sikkerhedsstandarder (5/6) • Sikkerhedsstandarder • ISO/IEC 27002 indeholder herudover følgende vejledninger • 5. Security Policy Management • 5.1 Establish a comprehensive information security policy • 6. Corporate Security Management • 6.1 Establish an internal security organization • 6.2 Control external party use of your information • 7. Organizational Asset Management • 7.1 Establish responsibility for your organization’s assets • 7.2 Use an information classification system • 8. Human Resource Security Management • 9. Physical and Environmental Security Management • 10. Communications and Operations Management • 11. Information Access Control Management • 12. Information Systems Security Management • 13. Information Security Incident Management • 14. Business Continuity Management • 15. Compliance Management
Sikkerhedsstandarder (6/6) • Sikkerhedsstandarder • DS484:2005 svarer i princippet til ISO17799:2005. DS484 indeholder alle vejledningerne fra ISO17799 formuleret som krav.
Risiko analyse • Risiko Analyse er midlet til: • Begrunde IT sikkerhedsomkostninger • Styre IT sikkerhed i en virksomhed • Vise at man har ”styr” på tingene (compliance)
Risiko analyse typer • Der er grundlæggende to typer risiko analyser: • Kvalitativ • Kvantitativ • Kvalitativ er kendetegnet ved at den ikke bruger tal og kroner/øre og typisk behandler scenarier. • Kvantitativ søger at bruge kroner/øre samt sandsynlighed til at finde ud af hvor tit ting sker, hvad det koster og hvad kontroller koster i ration til risikoen.
Kvalitativ risiko analyse • Hvordan identificerer man risiko? • Interview med eksperter – brug af “Delphi” teknikker • Brainstorming – gruppearbejde • Analogier - gruppearbejde • Affinity diagrammer - grupperarbejde • Bayesian analyser • M.fl.
Delphi • En metode der sikre mod ”gruppetænkning” • Eksperterne deltager anonymt • En facilitator sender spørgseskemaer ud hvor eksperterne skal identificerer risici. • Facilitatoren samler og konsoliderer resultaterne, hvorefter de sendes igen for kommentering.
Brainstorming • En facilitator samler en gruppe eksperter der brainstormer efter risici • Kan med fordel gøres med gule sticky-notes og en stor væg.
Analogier • Analogier bruges til at identificere risici ved gennemgang af historiske events, og de risici der lå før og som ikke blev håndteret.
Affinity Diagrammer (1/2) • Affinity Diagrammer er et analytisk værktøj der tillader at identificerede risici inddeles i meningsfulde kategorier. • Værktøjet bruges under brainstormingen.
Bayesian analyser (1/2) • Bayesian analyse er et statistisk værktøj hvor sandsynligheder for at en risiko indtræffer er baseret på en gruppes tro på at risikoen indtræffer.
Bayesian analyser (2/2) • To demonstrate an application of Bayes' Theorem, suppose that we have a covered basket that contains three balls, each of which may be green or red. In a blind test, we reach in and pull out a red ball. We return the ball to the basket and try again, again pulling out a red ball. Once more, we return the ball to the basket and pull a ball out - red again. We form a hypothesis that all the balls are all, in fact, red. Bayes' Theorem can be used to calculate the probability (p) that all the balls are red (an event labeled as "A") given (symbolized as "|") that all the selections have been red (an event labeled as "B"): p(A|B) = p{A + B}/p{B} • Of all the possible combinations (RRR, RRG, RGG, GGG), the chance that all the balls are red is 1/4; in 1/8 of all possible outcomes, all the balls are red AND all the selections are red. Bayes' Theorem calculates the probability that all the balls in the basket are red, given that all the selections have been red as .5 (probabilities are expressed as numbers between 0. and 1., with "1." indicating 100% probability and "0." indicating zero probability).
Hvilke begreber arbejder man med • Trusler • Ting der kan gå galt i systemet, eller ting der kan angribe systemet • Sårbarheder • Ting i systemet der er sårbare overfor trusler • Kontroller • Ting man kan gøre for at imødegå sårbarheder • Deterent controls (omdirigere) • Preventative controls (beskytte) • Corrective controls (korrigere) • Detective controls (alarmere)
Kvalitativ risiko analyse opsummering • Ulemper • Er svær at lave konsistent • Er meget subjektiv i både indhold og måling • Giver ikke en cost/benefit analyse • Fordele • Simpel at forstå og lave • Giver en generel og hurtig opsummering af hvilke områder der bør behandles
Steps i en kvantitativ risiko analyse • Her bruger vi Pfleeger • Identify Assets • Determine vulnerability (threat agent) • Estimate likelihood of exploration (ARO) • Compute Expected annual loss (ALE) • Survey applicable controls and their cost • Project annual savings of control ARO = Annual Rate Of Occurrence ALE = Annual Loss Expectancy
Risiko analyse (step 1 og 2) • Første to step er: • Identify Assets • Determine vulnerability “sårbarhed” (threat agent “trussel”) • Gøres nemt i skema (tavle) • Hvor en threat agent møder en asset igennem en vulnerability har vi et ”noget” vi skal tage stilling til • Det gøres i step 3
Estimate likelihood of exploration (ARO) (step 3) • ARO er vigtigt at forstå • ARO står for ”Annual Rate of Occurrence” • Hvor tit sker det (pr. år) • Sandsynlighed for at en event vil ske • Hvis en ting sker en gang hvert 10. år er ARO = 0,1 • Hvis en event sker 20 gange om året er ARO = 20
Compute Expected annual loss (ALE) (step 4) • ALE står for ”Annual Loss Expectancy” • ALE er et af de vigtigste tal i en risiko analyse • ALE beregnes som SLE x ARO • ARO kender vi men hvad med SLE?
Compute Expected annual loss (SLE) (step 4) • SLE Står for ”Single Loss Expectancy” • SLE beregnes som ”Asset Value” x ”Exposure Factor (EF)” • Asset Value kan vi godt relatere til men hvad med EF?
Compute Expected annual loss (EF) (step 4) • Exposure Factor = ”Percentage of asset loss caused by identified threat” • Går fra 0 til 100% • Eksempel: • Asset = Web Site, Defaced web site = ??? • Asset = Kildekode, Kildekoden stjålet = ???
Survey applicable controls and their cost (step 5) • Nu ved vi hvad det koster. Nu kan vi kigge på hvor meget vi bruger på at forebygge. • Beregnes som ”årlig omkostning for kontrol” x ”effektivitet” • Brandalarm eksempel: kr. 10.000 x 95% = kr. 9.500
Project annual savings of control (step 5) • = Step 4 – step 5 • Altså: ALE - (årlig omkostning til kontrol x effektivitet)
Eksempel • Assets • Vores Netbank • Sårbarheder • ”Defacing” • Datatab • Svindel / Tyveri • Trusler • Sportshackere • Pengehackere • Politiske hackere • Orme • Vira • Nedbrud • Medarbejdere • Bots • Sensations-journalister • Terrorister ARO = 1000 (1000 gange om året) Annual Rate of Occurance Asset Value = 20.000 kr EF = 50% (Exposure Factor) SLE = 20.000 x 80% = 16.000 kr (Single LossExpectancy) ALE = 1000 x 16.000 kr = 16 millioner kr (AnnualLossExpectancy) Hvad koster en kontrol? Hvor effektiv er den?
Ulemper Unøjagtig Kan give falske værdier og tryghed Ofte stort arbejde da mange data skal opsamles og behandles Kvantitativ risiko analyse opsummering • Fordele • Bruger sandsynlighed • Udtrykker i kroner/øre • God til behandling af/med management
Sårbarhedstest (1/3) • Sårbarhedstests eller penetreringstests er en ydelse der udbydes af en række sikkerhedsleverandører • Formålet er at få efterprøvet firmaets kontroller • Vælg altid sikkerhedsleverandører der opfylder ISECOM OSSTM 2.0 eller lignende retningslinier(http://www.isecom.org/osstmm/)
Sårbarhedstest (2/3) • Typer af sårbarhedstests • BlindFirmaet er klar over at det auditeres (alle detaljer). Auditor har ingen kendskab til målet. • Double BlindFirmaet er ikke klar over at det auditeres (ingen detaljer).Auditor har ingen kendskab til målet. • Gray BoxFirmaet er klar over at det auditeres (alle detaljer). Auditor har nogen forudgående kendskab til målet. • Double Gray BoxFirmaet er klar over at det auditeres (tidspunkt og omfang – men ikke kanaler)Auditor har nogen forudgående kendskab til målet. • TandemFirmaet er klar over at det auditeres (alle detaljer). Auditor har fuldt kendskab til målet. • ReversalFirmaet er ikke klar over at det auditeres (ingen detaljer). Auditor har fuldt kendskab til målet.
Ekstra Slide: Udformning af en Sikkerhedspolitik Identifikation og analyse af risici • Kvalitativ • Kvantitativ Håndtering af risici • Accepter • Undgå • Overfør • Indfør kontroller Organisation • Roller og ansvar • Autoriseringsprocesser Entiteter (Assets) • Information (data) • Software (applikationer, operativ systemer m.m.) • Fysiske (hardware, netværk, m.m.) • Service (elektricitet, varme, m.m.) Klassifikation af entiteter Personale • Ansættelse • Træning • Håndtering af brug på sikkerhed Fysisk sikkerhed Tredjeparts adgang Operation Adgangskontrol Applikations udvikling og vedligeholdelse Business Continuity Management Regler og love