Better be despised for too anxious apprehensions, than ruined by too confident security. Edmund Burke Forprosjektrapport Sikkerhetskultur i IKT driftsorganisasjon Gruppe 16
Bacheloroppgave Vår 2017 ITPE3900 HIOA Forprosjektrapport Hovedprosjekt i data og informasjonsteknologi Oppgave Utvikle en metodikk for å måle sikkerhetskulturen i en IKT driftsorganisasjon. I tillegg skal to sårbarhetspunkter testes med ondsinnede verktøy etter at sikkerhetskulturen er målt. Gruppe 16 Arthur Nordnes (kontaktperson) s236644 Informasjonsteknologi Emilien Socchi s236632 Informasjonsteknologi Jørgen Dyhre s236647 Informasjonsteknologi Sindre Beba s236355 Dataingeniør Oppdragsgiver Sopra Steria, Biskop Gunnerus' gate 14A, 0185 Oslo http://www.soprasteria.no/ Kontaktperson hos oppdragsgiver Sean Armana Chief Information Security Office (CISO) sean.armana@soprasteria.com +47 416 66 660 Høgskoleveileder Ismail Hassan Høgskolelektor, Institutt for informasjonsteknologi (Fakultet for teknologi, kunst og design) ismail.hassan@hioa.no +47 672 38 670 1
Innholdsfortegnelse 1) Sammendrag av prosjektet... 4 2) Dagens situasjon... 4 3) Mål... 5 4) Rammebetingelser 6 5) Løsningsforslag... 7 6) Analyse og virkninger... 6 7) Arbeidsplan... 7 8) Fremdriftsplan... 8 2
1) Sammendrag av prosjektet Sopra Steria har gitt oss, Arthur Nordnes, Emilien Socchi, Jørgen Dyhre og Sindre Beba, en bacheloroppgave hvor sikkerhetskulturen i en bedrift er i sentrum. Vi skal utvikle en metodikk som kan brukes til å måle om sikkerhetskulturen i en bedrift gjenspeiler dens sikkerhetspolicy. Verktøy for å teste en del av sikkerhetskulturen skal også utvikles, med fokus på SPAM-poster og ondsinnede minnebrikker. Metodikken og verktøyene skal testes på Sopra Steria i sanntid. Metodikken er av en type undersøkelse som må ha lesbare resultater slik at konklusjoner kan tas med tanke på sårbarheter og hvilke deler av policyen som blir oppfulgt. Undersøkelsen kan være en type spørreundersøkelse, interaktive spill eller et intervju av ansatte. Det er viktig at verktøyene som SPAM-post og ondsinnede minnebrikker tester områdene innen sikkerhetskulturen som vi har målt med metodikken. Verktøyene som skal brukes skal være så aktuelle for dagens teknologistandard at nye språk og rammeverk må læres, eksempler er Ruby, Metasploit, C og Python. SPAM-filtre må også undersøkes slik at de kan unngås. Rekkefølgen fra arbeidsplanen i store trekk: Kartlegge hva sikkerhetskultur er, samt sette seg inn i Sopra Steria s sikkerhetspolicy. Utvikle en metodikk som måler sikkerhetskulturen. Ondsinnede verktøy må undersøkes og utvikles for å teste deler av resultatet fra metodikken. Konklusjon og resultater rapporteres og fremlegges for oppdragsgiver. Under hele prosjektet vil det bli dokumentert hvert steg som utføres i en rapport, som ferdigstilles etter konklusjon og samtale med Sopra Steria. Kontaktpersonen vår i bedriften er Sean Armana. Vår veileder gitt fra skolen er Ismail Hassan. Arbeidet skal foregå hos den enkelte studenten, på Høgskolen i Oslo og Akershus og hos Sopra Steria. Hvis noe vil diskuteres med gruppen er alle studentene tilgjengelig for å bli kontaktet. 3
2) Dagens situasjon I dag skjer 98% av all sikkerhets innbrudd av menneskelig feil. Enten i konfigurasjon, eller fordi ansatte ikke klarer å styre sin nysgjerrighet, for eksempel ved å klikke på en lenke i en SPAM-post. Sopra Steria Operations er en driftsorganisasjon som det er svært viktig for å kunne vise at de har en gjennomgående god sikkerhetskultur, operasjonalisert på tvers av organisasjonen. Det vil si at de tenker sikkerhet i alt de gjør, fra drift til ledelse. En metodikk for å kunne måle sikkerhetskulturen innad i bedriften vil derfor kunne avsløre sårbarheter hos de ansatte og i selskapets system. Vi skal tilbringe flere arbeidsdager hos Sopra Steria, der vår kontaktperson Sean Armana (bedriftens Chief Information Security Officer, CISO) skal jobbe tett med oss for å utvikle metodikken og testverktøyene. Hvilke tilganger til bedriften vi får, er fortsatt uvisst. 3) Mål Hovedmålet er å utvikle en metodikk og to verktøy for å teste sikkerhetskulturen i en IKT driftsorganisasjon. Metodikken bør dekke en tilfredsstillende del av bedriftens sikkerhetspolicy som testes for å få nok målbar data. I tillegg bør den være så generell som mulig slik at den kan brukes hos flere bedrifter. Verktøyene skal brukes til å teste to viktige trusler som metodikken måler, nemlig sårbarheter for SPAM-poster og ondsinnede minnepinner. Det er viktig at begge verktøyene virker legitime og kan registrere antallet kompromitterte ansatte i løpet av testen. 4
4) Rammebetingelser Metodikken som utvikles under prosjektet skal brukes kun hos Sopra Steria, og det er deres sikkerhetspolicy den skal måle. Mennesket blir sentralt i prosjektet, og alle ansatte som inngås i testen skal derfor være anonyme under testene og i sluttresultater. To verktøy skal brukes til å teste sårbarheter målt teoretisk av metodikken. Disse skal være SPAM-poster med bl.a. etablering av falskt domene, og ondsinnede minnebrikker med muligheten for å etablere en tilbakekallende kommunikasjonstunell for fjerntapping av data. Verktøyene skal teste områdene av sikkerhetskulturen som blir målt med metodikken. Alle testene skal uføres hos Sopra Steria og kjøres i sanntid. Når det gjelder ansatte i bedriften skal ingen av verktøyene inkriminere eller sette de som går i «fella» i dårlig lys. 5) Løsningsforslag Metodikken vi ønsker å utvikle for å teste sikkerhetskulturen i en IKT driftsorganisasjon vil basere seg på en eller annen type undersøkelse, som vil la oss måle sikkerhetsbevisstheten hos ansatte i en organisasjon. Hensikten er å få resultater så nærme virkeligheten som mulig, dermed kan undersøkelsen ta ulike former. Det kan bli et slags eventyrspill hvor deltagernes svar og holdninger vil være mer ærlige og naturlige, eller formen av en mer tradisjonell spørreundersøkelse med spørsmål og forhåndsbestemte alternativer. En tredje mulighet er å fullføre intervjuer med ansatte for å øke datamengden som kan samles, i tillegg til å kunne analysere deres holdninger bedre. Prosjektets rammebetingelser beskriver bl.a. at konkrete verktøy skal utvikles for å få teste sikkerhetskulturen i en organisasjon i praksis. Det er pålagt av oppdragsgiveren at disse verktøyene skal være en ondsinnet minnepinne med muligheten for å etablere en tilbakekallende kommunikasjonstunell til en server for ekstern lytting av data. Det er også lagt vekt på SPAM med etablering av falske domene, skjult kode i macro format eller utnyttelse via adware og SPAM-filter forhindring. Begge verktøyene bør kunne registrere antallet ansatte som lar seg lure, for å kunne sammenligne med tidligere teoretiske resultater. 5
6) Analyse og virkninger Den teoretiske testen av sikkerhetskulturen i en IKT driftsorganisasjon kan være mer eller mindre tidskrevende og er avhengig av størrelsen på spørreundersøkelsen som utføres. Mens et eventyrspill vil gi de mest reelle resultatene, vil det kreve mer tid å lage det i forhold til tradisjonell spørreundersøkelse eller intervju. Ulempen med en vanlig spørreundersøkelse er at deltagerne velger å svare det som er riktig, selv om de kanskje ville ha oppført seg annerledes i virkeligheten, f.eks. å trykke på en SPAM mail. Intervjuer kan også være veldig tidskrevende og gir ingen garanti på å samle data nærmere virkeligheten enn eventyrspill. Når det gjelder utviklingen av verktøyene, er det en stor sannsynlighet for at nye programmeringsspråk, rammeverk og teknologier må læres på kort tid. Våre tidligere forskninger peker mot Ruby, C, Python og Metasploit rammeverket for utviklingen av en ondsinnet minnepinne. I tillegg en utdypende forståelse av de nyeste Intrusion Detection Systems (IDS), brannmurer og antivirus vil være viktig. Design og spredning av SPAM vil også forutsette at vi gjør oss bedre kjent med etablering av falske domener, SPAM-filter forhindring og generell spredning av SPAM. 6
7) Arbeidsplan 1. Forprosjekt 2. Metodikk 2.1. Sette oss detaljert inn i sikkerhetskultur. 2.2. Utvikle en metodikk for å måle sikkerhetskultur. Det vil si å bestemme hva som er relevant å måle, hvordan måle det og hvordan resultatene skal analyseres. 2.3. Implementering av metodikken. Det vil si å lage en konkret metodikk basert på det vi kom fram til i punkt 2.2. 2.4. Analysere resultatet basert på det vi kom fram til i punkt 2.2. Analysen vil ikke ta lang tid og skal inneholde en sammenligning mellom resultatet og oppdragsgiveren sin sikkerhetspolicy. 3. Ondsinnet minnepinne 3.1. Sette oss detaljert inn i ondsinnede minnepinner. 3.2. Utvikling av ondsinnet minnepinne. 3.3. Analysere resultatet og sammenligne det med resultatene fra metodikken. 4. SPAM-mail 4.1. Sette oss detaljert inn i SPAM-mail. 4.2. Utvikling av SPAM-mail. 4.3. Analysere resultatet og sammenligne det med resultatene fra metodikken. 5. Komme fram til en konklusjon om oppdragsgiveren sin sikkerhetskultur 6. Dokumentasjon 6.1. Dokumentere underveis i prosjektet 6.2. Ferdigstille dokumentasjonen 7
8) Fremdriftsplan I fremdriftsplanen er punktene fra arbeidsplanen satt i tidsperspektiv. Punkter i lik fargegruppe er avhengige av hverandre, og man kan ikke sette i gang med neste punkt før man er ferdig med det forrige. Prosjektets fremdriftsplan I uke 8 er det konte-/vinterferie og i uke 15 er det påskeferie. Vi har i utgangspunktet valgt å ta fri disse ukene, men holder det åpent for å bruke disse ukene til å arbeide hvis det skulle være behov for det. Den fremdriftsplanen er fortsatt midlertidig og kommer til å ferdigstilles i løpet av et nytt møte med oppdragsgiveren 02.02.2017. Prosjektet vil inneholde 5 sentrale milepæler som må følges for å fullføre oppgaven. Prosjektets milepæler 8