Gæstebloggen

Grafisk beskrivelse af holistisk it-sikkerhed

Vi bruger mange forskellige IT platforme i vores daglige gøremål og ofte til både arbejde og privatliv. Vi har tiltro til at vore private dokumenter, billeder, og penge håndteres på betryggende vis af store IT systemer – selvom vi undertiden kan have en svag bekymring.

Der er god fornuft og økonomi i at udbrede brugen af IT platforme men det gør det samtidigt mere attraktivt for skumle personer at bryde ind i systemerne og misbruge deres data. Samtidig er IT platformene tæt integreret med fysiske enheder som biler og telefoner og der er mange brugere, der måske kan lokkes til at gøre noget uklogt. For fuldt ud at forstå dette trusselsbillede skal vi forstå IT systemerne som del af et socioteknisk IT system.

De fem vigtigste udfordringer for at kunne beskytte sociotekniske IT systemer er:

  1. Systematisk at kunne beskrive både fysiske angreb, IT angreb, og udnyttelsen af psykologiske mekanismer – IT systemer lever ikke i et tomrum og de mest succesfyldte angreb ligger i interaktionen mellem forskelligartede komponenter.

  2. Automatisk at kunne analysere hvor de største sårbarheder er – i praksis kan en manuel tilgangsvinkel ikke afdække alle muligheder.

  3. At kunne beskrive udfaldsrummet mellem omkostningerne ved et angreb, skadevirkningerne ved et angreb, og sandsynligheden for et angreb – det er ikke alle hemmeligheder der er millioner værd, og det er ikke alle angribere der har millioner til rådighed.

  4. At udvide analysen af angrebsscenarier med de forsvarsmekanismer der er til rådighed – hvilke forsvarsmekanismer er økonomisk rentable.

  5. At beskrive sikkerhedsanalysen på en måde så den kan forstås af andre en IT eksperter – at få en indsigt ud af resultaterne.

Det er udfordringer som overstiger hvad man kan opnå ved traditionel sikkerhedsanalyse.

I det europæiske samarbejdsprojekt TREsPASS (https://www.trespass-project.eu) har vi udviklet en række automatiske analysemetoder der tager udgang i en grafisk beskrivelse af sikkerhedsudfordringerne. Den grafiske beskrivelse tager udgangspunkt i såkaldte angrebs-forsvars-træer som i høj grad er forståelig for andre end IT eksperter og som kan håndtere en lang række af sociotekniske aspekter.

Analysemetoderne består af algoritmer der kan give præcise tal for de forskellige kombinationer af omkostninger, skadevirkninger og sandsynlighed. Ud fra et angrebs-forsvars-træ kan vi give svar på relevante spørgsmål som “hvor meget koster det at beskytte systemet så en given type angreb kun kan lykkes så og så sjældent” og “hvor stor er risikoen for et angreb hvis forsvarsmekanismerne skal holdes inden for et givet budget”. Det er der sjældent entydigt optimale svar på og vi bruger derfor teoridannelser fra økonomi til at beskrive udfaldsrummet ved en række Pareto optimale valg: hver især beskriver et optimalt valg indenfor et givet budget.

Illustration: Privatfoto

Figur 1. Pareto afvejning mellem pris og sandsynlighed.

Figur 1 giver et eksempel på resultatet af en sådan analyse fra TREsPASS projektet. Langs den vandrette akse har vi sandsynligheden for at et angreb lykkes. Langs den lodrette akse har vi de omkostningerne som en angriber må pårenge ifølge beskrivelsen i angrebs-forsvars-træet. Hver punkt fortæller hvor succesfyldt man skal påregne angriberen kan være inden for et givet budget.

Et sådant diagram giver beslutningstagere den nødvendige indsigt til at kunne beslutte hvor høje sikkerhedskrav der skal stilles – igen ud fra devisen om at det er ikke alle hemmeligheder der er millioner værd, og det er ikke alle angribere der har millioner til rådighed.

I TREsPASS har vi også set på videreudviklinger af sådanne metoder. For eksempel hvordan man kan omsætte angrebs-forsvars-træer til stokastiske spil, hvor vi så kan udnytte eksisterende værktøjer til “probabilistisk model tjek” til at fortælle hvor gode forsvarsmekanismerne er. Og vi har også taget de første trin til at uddrage en optimal forsvarsstrategi fra angrebs-forsvars-træet.

Det er gennem denne type af arbejde at vi dels håber at kunne sikre at sociotekniske IT systemer er beskyttet bedst muligt – i forhold til hvor værdifulde systemets data er og de ressourcer der er tilgængelige – og dels kan give et estimat for hvor stor den resterende risiko er.

En del af det arbejde, der er beskrevet i dette indlæg er blevet udført med Flemming Nielson og Christian W. Probst.

Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Lars K. Hansen

Når jeg smider denne tekst igennem flere lix beregnere, får jeg et tal imellem 50 og 54.

Når det så er gjort kan jeg godt undrer mig over punkt nr 5:
- At beskrive sikkerhedsanalysen på en måde så den kan forstås af andre en IT eksperter – at få en indsigt ud af resultaterne.

Jeg har ikke nærlæst hele indlægget igennem, sprogniveauet er simpelthen for højt til mig. (som lix'en jo også afslører) Jeg tror også at det er er derfor, ingen har skrevet en kommentar endnu, teksten er al for tung.

  • 0
  • 0
Christian Nobel

Velskrevet dansk (noget der snart er en saga blot) vil altid have et højere lixtal end en tilsvarende tekst skrevet på engelsk, al den stund dansk benytter sammensatte ord - desværre er der flere og flere (især journalister) der voldtager det danske sprog på det groveste, eller skriver på danglish.

Selve emnet for artiklen er ret abstrakt, men rent sprogligt er den faktisk over det vanlige niveau.

  • 0
  • 0
Anders Lisdorf Blogger

Jeg synes at artiklen peger på den helt rette vej. Vi bliver nød til at blive i stand til at kunne snakke fornuftigt om sikkerhed og det involverer desværre sådan nogle kedelige ting som sandsynligheder, men også reflektion over hvad det egentlig er man beskytter. For den anden side af historien er at firmaer har en tendens til at overbeskytte ting der har en meget lille værdi og meget lille sandsynlighed for angreb alene fordi de har stirret sig blinde på et eller andet tilfældigt, omvendt står der en ladeport gabende åben fordi de ikke synes det er så interessant. Den klassiske her er adgang til persondata som ofte har alle mulige former for adgangsbegrænsninger i operationelle systemer, men som er mere eller mindre totalt åben i et datawarehouse.

Det lyder som en meget spændende måde at tilgå sikkerhedsproblematikker på, som jeg håber du vil skrive mere om i flere detaljer eventuelt med eksempler.

  • 2
  • 0
Log ind eller Opret konto for at kommentere