Beredskap og Kontinuitetsstyring

Transkript

1 Universitetet i Oslo IN2120 Informasjonssikkerhet Høst 2018 Workshop-spørsmål med svarforslag Forelesning 8: Risikostyring, Beredskap og Kontinuitetsstyring Spørsmål 1: Risikofaktorer En mulig definisjon på IT-sikkerhetsrisiko er: Risiko = Sannsynlighet Konsekvens a. Forklare hva som menes med Sannsynlighet og Konsekvens i denne definisjonen. b. Diskutere, f.eks med et relevant eksempel, om dette er en rimelig definisjon. c. Nevn faktorer for Sannsynlighet av en sikkerhetshendelse (at trusselen inntreffer). d. Diskuter om det er meningsfullt å analysere risiko basert på detaljerte faktorer (som trusselaktørens motivasjon og kapasitet) i en praktisk risikoanalyse. a. Sannsynligheten er frekvensen av, eller hyppigheten av at en trussel inntreffer. Konsekvensen er den negative virkningen av en trussel på verdier, det vil si den forventede kostnaden hvis en trussel inntreffer. b. Mange eksempler er mulig. Man kunne vurdere trusselen om et DDoS-angrep (distribuert tjenestenekt) mot et selskaps nettsted. Sannsynligheten er hyppigheten av at et faktisk DdoS-angrep inntreffer. Konsekvensen kan måles i forhold til selskapets økonomisk tap når kunder som følge av DdoS-angrepet ikke kan bestille varer og tjenester. Når disse faktorene kombineres, øker risikonivået som en funksjon av nivåene for både sannsynligheten og konsekvens. c. Faktorer er f.eks. trusselaktørens styrke og alvorlighet av relevante sårbarheter. Dette er fordi sannsynligheten av at en trussel inntreffer øker med trusselaktørens styrke. Likeledes øker sannsynligheten med alvorligheten av relevante sårbarheter. Faktoren trusselaktørens styrke kan videre dekomponeres i motivasjon og styrke. Dette er fordi trusselagentens styrke øker med motivasjon og kapasitet. En trusselaktør med tilstrekkelig kapasitet (kompetanse og teknologi) til å utføre et angrep vil fortsatt trenge motivasjon for at angrepet skal bli utført i praksis. På samme måte trenger en motivert trusselaktør fortsatt kapasitet til å utføre angrepet. d. Det kan være nyttig med detaljert analyse av bestemte trusler, men det vil ta lengre tid. Sannsynligheten/hyppigheten av spesifikke trusler kan for eksempel dekomponeres i forhold til trusselaktørers styrke og sårbarheters alvorlighetsgrad. Noen rammverk tar eksplisitt hensyn til trusselaktørers styrke så vel som sårbarheters alvorlighetsgrad ved beregning av risikonivåer. Eksempler er: NS 5831 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Risikohåndtering NS 5832 Samfunnssikkerhet Beskyttelse mot tilsiktede uønskede handlinger Risikoanalyse

2 Spørsmål 2: Beslutningspunkter i forbindelse med risikostyring Risikostyringsprosessen beskrevet i ISO inneholder 2 beslutningspunkter. a. Beskriv en situasjon hvor svaret på beslutningspunkt 1 (etter risikovurdering) er NEI, som dermed medfører en ny gjennomgang av kontekst eller trinnene i selve risikovurderingen. b. Beskriv en situasjon hvor svaret på beslutningspunkt 2 (etter planen for risikohåndtering) er NEI, som dermed medfører en ny gjennomgang av alle tidligere faser i risikostyringen. a. Det er mulig at de estimerte risikonivåene har en svært skjev fordeling, f.eks. hvis flesteparten av risikoer har samme nivå (f.eks. bare svært lave risikoer eller bare svært høye risikoer), noe som gjør det nokså meningsløst å rangere risikoene. b. Det er mulig at den foreslåtte planen for håndtering av risikoene er uakseptabel for ledelsen, f.eks. i. Fordi planen for risikohåndtering er for dyr eller for ambisiøs. Hvis ledelsen vurderer planen til å være for dyr eller ambisiøs, kan nivået av akseptabel risiko økes, slik at det vil vøre tilstrekkelig å innføre færre og mindre ambisiøse sikkerhetstiltak. ii. Fordi risikonivået av planlagte beholdte risikoer (risikoer man ikke gjør noe med) er for høy til å bli akseptert. Hvis ledelsen vurderer behold risikonivå til å være for høyt, kan flere sikkerhetstiltak bli foreslått. iii. Fordi den estimerte kostnaden for risikohåndteringsplanen anses til å være misvisende på grunn av feilvurdering av risikonivåer, slik at risikovurdering og risikorangering må revideres. Spørsmål 3: Risikobeskrivelse Hvordan bør hver risiko beskrives? En risiko består av en trussel og dens risikonivå, som må beskrives. Risikobeskrivelsen bør også inkludere vurderinger av mulige trusselaktører, relevante sårbarheter og eksisterende sikkerhetstiltak, begrunnelse for estimering av sannsynlighet og konsekvens, og vurdering av hvilke verdier som kan skades. Spørsmål 4: Kvalitativ risiko a. Anta at en risikovurdering bruker tre nivåer av sannsynlighet (lav, middels, høy) og tre nivåer av konsekvens (liten, moderat, stor). Lag en passende tabell over kvalitative risikoer med 5 kvalitative risikonivåer. b. Hva er grunnlaget for spesifisering av kvalitative risikonivåer i tabellen? c. Hvordan brukes tabellen/matrisen til å estimere risikonivåer?

3 a. Forskjellige tilordninger av kvalitative risikonivåer til innslagene i tabellen er mulig, men den mest naturlige er antageligvis slik som angitt i tabellen nedenfor. Den viktigste regelen er at kvalitative risikonivåer bør stige ettersom man beveger seg oppover eller til høyre i tabellen. Legg merke til isometriske diagonaler fra øverstvenstre til nederst-høyre, men det er også mulig med ikke-isometriske diagonaler. Konsekvens Liten Moderat Stor Sannsynlighet Risiko Høy Moderat Høy Ekstrem Middels Lav Moderat Høy Low Ubetydelig Lav Moderat b. Tilordningen av kvalitative risikonivåer i tabellen er i prinsippet ad-hoc, noe som betyr at risikovurderingsteamet selv kan bestemme hvordan tabellen skal fylles ut. Matrisen er rett og slett en oppslagstabell. c. For hver trussel må teamet estimere sannsynlighet og konsekvens, som ved direkte oppslag i tabellen angir risikonivået for den trusselen. Spørsmål 5: Relativ / Semi-kvantitativ risiko a. Anta at en risikovurdering bruker fire relative nivåer av sannsynlighet: 0 (ekstremt sjelden), 1 (sjelden), 5 (sannsynlig), 10 (svært sannsynlig), og fire relative nivåer av konsekvens: 0 (ubetydelig), 1 (liten), 5 (moderat), 10 (stor). Lag en passende tabell med relativ / semi-kvantitativ risiko som inneholder 7 numeriske relative risikonivåer. b. Hva er grunnlaget for å angi de relative risikonivåene i tabellen? c. Hvordan brukes tabellen/matrisen til å estimere risikonivåer? a. En relativ / semi-kvantitativ risikotabell beregner risiko som produktet av numeriske relative sannsynligheter og konsekvensnivåer. Resultatet er et sett med relative risikonivåer. Konsekvens 0 (Ubetydelig) 1 (Lav) 5 (Moderat) 10 (Høy) Sannsynlighet Risiko 10 (Svært sannsynlig) (Relativt sannsynlig) (Sjelden) (Ekstremt sjelden) b. Tilordningen av de relative risikonivåene i tabellen gjøres svært enkelt med produktregelen. Teamet som jobber med risikovurdering må bestemme hvilke numeriske relative verdier som skal brukes for sannsynlighets- og konsekvensnivåene, som er en ad-hoc beslutning. c. Risikonivåer bestemmes ved å benytte matrisen som en oppslagstabell.

4 Spørsmål 6: Kvantitativ risiko Anta at du skal foreta en kvantitativ risikoanalyse for en bedrift. En bestemt trussel forventes å resultere i en sikkerhetshendelse annenhver måned med en kostnad på $3 000 per hendelse. a. Hva er forventet tap for hver enkelthendelse (SLE) (Single Loss Expectancy) og forventet tap per år (ALE) (Annualised Loss Expectancy)? b. Hvordan bør ALE brukes for å bestemme håndteringen av denne risikoen? c. Når et sikkerhetstiltak innføres, hvordan vil dette endre en senere risikoanalyse? d. I stedet for å redusere risikoen, nevn to alternative måter å håndtere en risiko. a. SLE = $ ALE = SLE x 6 = $ b. Sikkerehetstiltak til en kostnad opp til $ (per år) kan innføres. Men det må også anslås i hvilken utstrekning risikoen reduseres som følge av tiltakene. Hvis for eksempel frekvensen reduseres til én gang per 4 måneder som følge av et tiltak som koster $ per år, er kontrollene ikke berettiget. c. SLE og/eller frekvens vil normalt reduseres. Disse beregnes med hensyn til sikkerhetstiltak som faktisk er i bruk. d. Noen opsjoner for å håndtere risiko er: unngå risiko (stanse aktiviteten som medfører), dele risikoen (for eksempel ved å kjøpe forsikring), beholde risikoen (være forberedt på å tåle konsekvensen). Spørsmål 7: Kvalitativ vs. kvantitativ risiko På hvilken måte er kvalitativ og kvantitativ risikoanalyse forskjellig? Forklar en betydelig ulempe ved hver type. Kvalitativ risikovurdering bruker ord for å uttrykke sannsynlighet for hendelser og omfang av mulige negative konsekvenser, mens kvantitativ risikovurdering bruker numeriske verdier for sannsynlighet og konsekvens. En kvalitativ skala kan være: usannsynlig, relativt sannsynlig, svært sannsynlig. E kvantitativ skala kan være sannsynlighetsverdier i intervallet [0, 1]. En betydelig ulempe med kvalitativ risikoanalyse er at resultatene er vanskelig å begrunne objektivt og at en eksakt tallverdi er ikke tilgjengelig for kost/nytte-analyse. En betydelig ulempe med kvantitative risikoanalyse er at beregningene er ad hoc, dvs. at det kan det være vanskelig å forklare begrunne de eksakte tallene og selve prosessen med å tilordne tallverdier kan være svært arbeidskrevende (selv om verktøy er tilgjengelige).

5 Spørsmål 8: Trusselmodellering Anta at du skal gjøre risikovurdering for et online-apotek, der diagrammet under illustrerer hovedelementer i arkitekturen, i tillegg til abstrakte trusler. Det kan f.eks. antas at angriperen (trusselaktøren) har som målsetting å 1) ta over brukerkontoer og deres innkjøpshistorie, 2) stjele brukerdatabasen (og passord), 3) sabotering, DDoS eller tilgrising av nettsiden, eller 4) lagre skadevare (XSS, trojanere, exploits) under nettsiden. Du kan også vurdere andre angrepsmålsettinger. a. Beskriv relevante trusselscenarier for hver angrepsmålsetting du vil vurdere. Ikke bli stående fast pga. mangel på detaljer i denne case-beskrivelsen, du kan gjøre antagelser du syns passer. Det viktige er å kunne identifisere og artikulere relevante trusselscenarier, dvs. trinn angriperen må ta for å oppnå en bestemt angrepsmålsetting. b. For hvert trusselscenario, foreslå sikkerhetstiltak som kan blokkere eller redusere trusselen. 1. Trussel scenario 1: spam phishing e-post til Hijack brukerkontoer a. Et mulig trusselscenario for å stjele en brukerkonto, er å sende phishing-epost til brukere av nett-apoteket. En utfordring for angripere er å finne e- postadresser til kunder av nettapoteket. En mulig metode for å få brukernavn kan være å gjøre nettsøk på diskusjonsgrupper for medisinske temaer, der nett-apoteket er nevnt. Phishing-e-posten kan oppgi en lenke til en falsk nettside som utgir seg for å være nett-apoteker, og ber brukeren om å logge inn. Dette vil gi angriperne kontonavn og tilhørende passord. Hvis nettapoteket tillater federert innlogging f.eks. gjennom facebook, så vil angriperne få brukernes akkreditiver for facebook, som deretter kunne utnyttes for idtyveri og andre angrepsscenarier med alvorlige konsekvenser. b. Tiltak for å hindre denne trusselen kan være gjennom å styrke bevissthet rundt sikkerhet, for eksempel ved å informere kundene om at apoteket aldri vil sende en e-post som ber kundene om å logge inn. Et annet tiltak kan være å bruke en tilleggsfaktor for autentisering, for eksempel ved å sende en autorisasjonskode via SMS, eller ha en OTP-app (for «engangspassord») fra tjenestetilbyderen. Siden en SMS eller OTP er dynamisk, kan angriperne ikke stjele kontoen bare ved å stjele et passord.

6 2. Trussel scenario 2: Stjel brukerdatabasen gjennom SQL-injeksjon a. Et mulig trusselscenario for å stjele brukerdatabasen kan være gjennom SQLinjeksjon via webgrensesnittet, hvis det kan antas at nettgrensesnittet ikke foretar filtrering av inndata før inndata blir sendt til back-end SQL-databasen. b. Filtrering og sanitering av inndata fra nettet ville hindre SQL-injeksjon. 3. Trussel scenario 3: DdoS-angrep for å blokkere kunder mot å handle a. DdoS-angrep basert på botnet kan kjøpes online relativt billig. Dette er en typisk måte for hackere å tjene penger på botnet som de kontrollerer. Mens et DDOS-angrep pågår vil det være vanskelig eller umulig for kundene å få tilgang til nett-apoteket, slik at kundene kanskje går til en konkurrent i stedet. b. Mulige tiltak for å hindre eller begrense DDoS-angrep kan være last-deling mellom flere servere, slik at et moderat DdoS-angrep ville ha begrenset effekt. Et annet tiltak kan være å bruke en kraftig NGF (neste generasjonsbrannmur) som er i stand til å dynamisk oppdage DDoS-angrepsmønster og sette opp filtreringsregler for å fjerne DDoS-trafikken. Begge disse tiltakene kan være relativt kostbare. 4. Trussel scenario 4: Lagre skadevare på nettstedet for å angripe kunder/brukere. a. Hvis man antar at nett-apoteket har sider for diskusjon eller tilbakemeldinger fra kunder, kan det være mulig for angripere å lagre ondsinnede Javascript (forkledd som en kommentar i en diskusjon) på nettsiden, som vil bli lastet ned til kunde nettlesere når de går til nett-apoteket. Dette prinsippet er typiske for angrep basert på «stored XSS» (cross side scripting). Skade-Javascriptet kan brukes til å angripe kunder f.eks. for identitetstyveri eller for å infisere klientmaskiner slik at de blir en del av angriperens botnett. a. Det beste tiltaket for å forhindre lagring av skadevare på webserveren, og for å forebygge XSS, er ved å filtrere inndata fra brukere før det blir lagret på en webserver, og også filtrere data fra webservere på klientens nettleser. Spørsmål 9: Feilbetegnelsen «ROS-analyse» a. Hva er problemet med begrepet «ROS-analyse» (risiko- og sårbarhetsanalyse) som ofte brukes på norsk i sammenheng med risikostyring? b. Hvorfor er TOR-analyse (trussel og risikoanalyse) en bedre betegnelse? a. Konseptet ROS-analyse (risiko- og sårbarhetsanalyse) setter et sterkt fokus på sårbarhetsanalyse. Imidlertid fins ingen sårbarheter uten trusler, slik at trusselmodellering faktisk er den viktigste delen av en risikoanalyse. Problemet med begrepet ROS-analyse er at det tar fokus bort fra trusselmodellering som kan føre til dysfunksjonelle risikovurdering og risikostyring. b. Siden trusselmodellering er en forutsetning for å forstå og analysere risiko, er det mer meningsfylt å bruke begrepet TOR-analyse (trussel- og risikoanalyse).

7 Spørsmål 10: Konsekvensanalyse a. Hva er spesielt med risiko relatert til katastrofer, i form av sannsynlighet og konsekvens? b. Som en del av virksomheten kontinuitetsplanlegging gjøres ofte en konsekvensanalyse (BIA -Business Impact Analysis). Forklare kort hensikten med en konsekvensanalyse. c. Hvorfor er en konsekvensanalyse ofte mer meningsfylt enn en tradisjonell risikovurdering i tilfelle beredskap og kontinuitetsstyring. a. Sannsynligheten for krisehendelser er svært lav, men konsekvensen kan være ekstreme. En risikoanalyse av krisehendelser vil derfor gi upålitelige svar. b. En konsekvensanalyse utføres i begynnelsen av virksomhetens kontinuitetsplanlegging for å identifisere kritiske forretningsfunksjoner som i tilfelle avbrudd ville føre til størst økonomisk tap eller på annen måte negativ innvirkning. c. Risikonivåer for krisehendelser er vanskelig å vurdere på grunn av den ekstreme nivåene (svært lav sannsynlighet og svært stor konsekvens), som gjør at kvalitative eller kvantitative risikovurderinger blir upålitelige. Trusler som vurderes i en konsekvensanalyse regnes vanligvis å være for sterke for å kunne gjøre en effektiv forebygging (f.eks. jordskjelv, terrorangrep), i motsetning til risikostyring der sikkerhetstiltak kan blokkere eller redusere trusler. Fokus for en konsekvensanalyse er å identifisere viktige forretningsprosesser, slik at kontinuitetsstyring kan brukes lage beredskapsplaner for å gjenopprette prosessene i tilfelle de blir brutt av alvorlige hendelser. Spørsmål 11: Lengste akseptable nedetid a. Hva er typisk lengste akseptable nedetid (MTD Maximum Tolerable Dowtime) for en forretningsprosess definert henholdsvis som: (i) kritisk og (ii) ikke-essensiell? b. Anta at IT-systemene til en organisasjon har fått så store skader at det alvorlig påvirker forretningsprosessene. Hvordan tas MTD i betraktning for å beslutte vedrørende aktivering av beredskapsplaner for flytting av forretningsprosesser? a. MTD - Lengste akseptable nedetid: - For kritiske forretningsprosesser: Fra minutter til timer - For ikke-essensielle forretningsprosesser: Fra uker til måneder b. Anslått tid for å gjenopprette forretningsprosesser på den eksisterende lokasjonen estimeres og sammenlignes med MTD. Beredskapsplanen må iverksettes hvis den estimerte tiden overskrider MTD.