Komposisjon av risikomodeller:

Transkript

1 Komposisjon av risikomodeller: Bruksscenarier og noen grunnleggende retningslinjer Seminar om hvordan aggregere risiko og risikoanalyser Bjørnar Solhaug SINTEF, 7. november, 2013 Technology for a better society 1

2 Oversikt Risikoanalyse Komposisjon: Bruksscenarier Eksempler Retningslinjer Vår approach Technology for a better society 2

3 Risikoanalyse Target for analysen Risikobilde Target Risikomodell Technology for a better society 3

4 Risikoanalyse Prosess Establishing the context Communication and consultation Risk assessment Risk identification Risk analysis Risk evaluation Risk treatment Monitoring and review ISO 31000:2009 Technology for a better society 4

5 Komposisjonell risikoanalyse Bruksscenarier 1/4 Kombinere eksisterende risikoanalyseresultater fra ulike deler av targetorganisasjon eller -system Det kombinerte risikoanalyse-resultatet kan utledes uten å måtte gjøre en full analyse av det kombinerte systemet fra scratch T1 T2 T3 R1 R2 R3 T1 T2 T3 R1 R2 R3 Technology for a better society 5

6 Komposisjonell risikoanalyse Bruksscenarier 2/4 En risikoanalyse av store, komplekse systemer kan dekomponeres til håndterbare del-systemer Arbeidsbyrden kan deles mellom flere analyse-team T1 T2 T3 R1 R2 R3 T1 R1 T2 R2 T3 R3 Technology for a better society 6

7 Komposisjonell risikoanalyse Bruksscenarier 3/4 En analyse for en bestemt komponent, tjeneste, e.l. kan gjenbrukes i ulike sammenhenger t r T1 R1 T2 R2 t r t r Technology for a better society 7

8 Endring Komposisjonell risikoanalyse Bruksscenarier 4/4 Komposisjonell risikoanalyse støtter håndtering av endring ved at kun den delen av target som har endret seg må analyseres på nytt T R T t R T'??? t t' t' r Technology for a better society 8

9 Eksempel: Web-portal for elektroniske helsetjenester Web-portal Lokasjon av pasientjournal Styring av arbeidsprossesser Opplæring av personale og pasienter Roller og aktører Monitorering og logging Autentisering Sikkerhetstjenester Aksesskontroll Technology for a better society 9

10 Sikkerhetstjenester Risikoanalyse av autentiserings-komponent Autentisering Aksesskontroll Social engineering-angrep [5:1 år] 0.3 bevissthet om sikkerhet tilegner passord til pasient SQL injection-angrep [30:1 år] 0.1 Utilstrekkelig validering av input SQL injection lykkes [3:1 år] 0.5 Ugyldig autentisering [6:1 år] Autentisitet av bruker Høy Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Technology for a better society 10

11 Risikoanalyse av aksesskontroll-komponent Aksesskontroll Sikkerhetspersonell Administrator verifikasjon Admin tilordner feil grad av tilgang [5:1 år] kaprer sesjons-id [10:1 år] Personell introduserer feil i mekanismen for håndheving av policy [10:1 år] 0.8 rutiner 0.5 Feil i beslutning om autorisasjon [5:1 år] Tilordning av for vid autorisasjon [4:1 år] 0.2 / tar over sesjon utilstrekkelig utløpstid av sesjon Ugylding autorisasjon [9:1 år] utgir seg for legitim bruker Autentisering Middels Samsvar med policy Høy Sikkerhetstjenester Technology for a better society 11

12 Kombinert risiko for sikkerhetstjenesten Komposisjon er i det generelle tilfellet ikke en enkel sammenslåing! Hvordan forholder de separate komponentene seg til hverandre? Er det noe overlapp mellom risikomodellene? Finnes det avhengigheter mellom scenarier/hendelser? Autentisering Sikkerhetstjenester Aksesskontroll Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Ugyldig autentisering [6:1 år] Autentisitet av bruker Høy kaprer sesjons-id [10:1 år] 0.2 / tar over sesjon utilstrekkelig utløpstid av sesjon utgir seg for legitim bruker Høy Samsvar med policy Technology for a better society 12

13 Kombinert risiko for sikkerhetstjenesten Lekkasje av pasientdata Konfidensialitet av pasientdata Autentisering Sikkerhetstjenester Aksesskontroll Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Ugyldig autentisering [6:1 år] Autentisitet av bruker Lekkasje av pasientdata Konfidensialitet av pasientdata kaprer sesjons-id [10:1 år] 0.2 / tar over sesjon utilstrekkelig utløpstid av sesjon utgir seg for legitim bruker Samsvar med policy Technology for a better society 13

14 Kombinert risiko for sikkerhetstjenesten Autentisering Sikkerhetstjenester Aksesskontroll Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Ugyldig autentisering [6:1 år] Autentisitet av bruker Lekkasje av pasientdata [4:1 år] Konfidensialitet av pasientdata kaprer sesjons-id [10:1 år] 0.2 / tar over sesjon utilstrekkelig utløpstid av sesjon utgir seg for legitim bruker Samsvar med policy Technology for a better society 14

15 Eksempel: Web-portal for elektroniske helsetjenester Integritet Internt bruk og interne brukere (leger og admin) Lokasjon av pasientjournal Styring av arbeidsprossesser Opplæring av personale og pasienter Kombinasjon: Compliance Web-portal Roller og aktører Sikkerhetstjenester Monitorering og logging Konfidensialitet Eksterne brukere (pasienter) Autentisering Aksesskontroll Technology for a better society 15

16 Analyse mht konfidensialitet Social engineering-angrep [5:1 år] 0.3 bevissthet om sikkerhet tilegner passord til pasient SQL injection-angrep [30:1 år] 0.1 Utilstrekkelig validering av input SQL injection lykkes [3:1 år] 0.5 Lekkasje av konfidensiell pasientdata [6:1 år] Konfidensialitet av pasientdata Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Technology for a better society 16

17 Analyse mht integritet Social engineering-angrep [5:1 år] 0.05 bevissthet om sikkerhet tilegner passord til admin [0.3:1 år] SQL injection-angrep [30:1 år] 0.1 Utilstrekkelig validering av input SQL injection lykkes [3:1 år] 0.5 Uautorisert endring av pasientdata [3:1 år] Integritet av pasientdata Lege Manglede rutiner Lege legger inn feil pasientdata [1:1 år] Technology for a better society 17

18 Komposisjon Social engineering-angrep [5:1 år] 0.3 bevissthet om sikkerhet tilegner passord til pasient Social engineering-angrep mot pasient [5:1 år] 0.3 bevissthet om sikkerhet tilegner passord til pasient Social engineering-angrep [5:1 år] 0.05 bevissthet om sikkerhet tilegner passord til admin [0.3:1 år] Social engineering-angrep mot admin [5:1 år] 0.05 bevissthet om sikkerhet tilegner passord til admin [0.3:1 år] Social engineering-angrep [5:1 år] 0.3 bevissthet om sikkerhet 0.05 tilegner passord til pasient tilegner passord til admin [0.3:1 år] Social engineering-angrep [10:1 år] 0.15 bevissthet om sikkerhet 0.25 tilegner passord til pasient tilegner passord til admin [0.3:1 år] Technology for a better society 18

19 Lege Manglede rutiner Lege legger inn feil pasientdata [1:1 år] Social engineering-angrep [5:1 år] 0.05 bevissthet om sikkerhet 0.3 tilegner passord til admin [0.3:1 år] tilegner passord til pasient Uautorisert endring av pasientdata [3:1 år] Integritet av pasientdata Brudd på compliance [9:1 år] Compliance SQL injection-angrep [30:1 år] 0.1 Utilstrekkelig validering av input SQL injection lykkes [3:1 år] Lekkasje av konfidensiell pasientdata [6:1 år] Konfidensialitet av pasientdata Brute forceangrep på brukernavn 0.05 og passord [60:1 år] Svake passord gjetter korrekt brukernavn og passord [3:1 år] Resultat av komposisjon Technology for a better society 19

20 Retningslinjer Komposisjon av risikoanalyser er ikke en enkel sammenslåing! Vi utvikler praktiske regler og guidelines som tar hensyn til: Hvordan de ulike delene av target er satt sammen, og hvordan de forholder seg til hverandre Avhengigheter og andre sammenhenger mellom de ulike analysene Hva slags hendelser, sårbarheter, og aktiva de ulike risikomodellene beskriver, og med hensyn til hva Overlapp eller andre sammenhenger mellom risikomodellene? Technology for a better society 20

21 Vår approach: Regler for komposisjon av risikomodeller Risikoanalytiker må Analysere Tx og dokumentere resultatet i Rx Vite hvordan T1,,Tn er komponert SINTEF utvikler regler for å dedusere hva vi vet om risikoer for det komponerte T, gitt at bestemte kriterier er oppfylt T1 T2 T3 R1 R2 R3 T1 T2 T3 R1 R2 R3 Technology for a better society 21

22 Takk for oppmerksomheten! Relaterte prosjekter Technology for a better society 22