Grafisk beskrivelse af holistisk it-sikkerhed
Vi bruger mange forskellige IT platforme i vores daglige gøremål og ofte til både arbejde og privatliv. Vi har tiltro til at vore private dokumenter, billeder, og penge håndteres på betryggende vis af store IT systemer – selvom vi undertiden kan have en svag bekymring.
Der er god fornuft og økonomi i at udbrede brugen af IT platforme men det gør det samtidigt mere attraktivt for skumle personer at bryde ind i systemerne og misbruge deres data. Samtidig er IT platformene tæt integreret med fysiske enheder som biler og telefoner og der er mange brugere, der måske kan lokkes til at gøre noget uklogt. For fuldt ud at forstå dette trusselsbillede skal vi forstå IT systemerne som del af et socioteknisk IT system.
De fem vigtigste udfordringer for at kunne beskytte sociotekniske IT systemer er:
Systematisk at kunne beskrive både fysiske angreb, IT angreb, og udnyttelsen af psykologiske mekanismer – IT systemer lever ikke i et tomrum og de mest succesfyldte angreb ligger i interaktionen mellem forskelligartede komponenter.
Automatisk at kunne analysere hvor de største sårbarheder er – i praksis kan en manuel tilgangsvinkel ikke afdække alle muligheder.
At kunne beskrive udfaldsrummet mellem omkostningerne ved et angreb, skadevirkningerne ved et angreb, og sandsynligheden for et angreb – det er ikke alle hemmeligheder der er millioner værd, og det er ikke alle angribere der har millioner til rådighed.
At udvide analysen af angrebsscenarier med de forsvarsmekanismer der er til rådighed – hvilke forsvarsmekanismer er økonomisk rentable.
At beskrive sikkerhedsanalysen på en måde så den kan forstås af andre en IT eksperter – at få en indsigt ud af resultaterne.
Det er udfordringer som overstiger hvad man kan opnå ved traditionel sikkerhedsanalyse.
I det europæiske samarbejdsprojekt TREsPASS (https://www.trespass-project.eu) har vi udviklet en række automatiske analysemetoder der tager udgang i en grafisk beskrivelse af sikkerhedsudfordringerne. Den grafiske beskrivelse tager udgangspunkt i såkaldte angrebs-forsvars-træer som i høj grad er forståelig for andre end IT eksperter og som kan håndtere en lang række af sociotekniske aspekter.
Analysemetoderne består af algoritmer der kan give præcise tal for de forskellige kombinationer af omkostninger, skadevirkninger og sandsynlighed. Ud fra et angrebs-forsvars-træ kan vi give svar på relevante spørgsmål som “hvor meget koster det at beskytte systemet så en given type angreb kun kan lykkes så og så sjældent” og “hvor stor er risikoen for et angreb hvis forsvarsmekanismerne skal holdes inden for et givet budget”. Det er der sjældent entydigt optimale svar på og vi bruger derfor teoridannelser fra økonomi til at beskrive udfaldsrummet ved en række Pareto optimale valg: hver især beskriver et optimalt valg indenfor et givet budget.
Figur 1. Pareto afvejning mellem pris og sandsynlighed.
Figur 1 giver et eksempel på resultatet af en sådan analyse fra TREsPASS projektet. Langs den vandrette akse har vi sandsynligheden for at et angreb lykkes. Langs den lodrette akse har vi de omkostningerne som en angriber må pårenge ifølge beskrivelsen i angrebs-forsvars-træet. Hver punkt fortæller hvor succesfyldt man skal påregne angriberen kan være inden for et givet budget.
Et sådant diagram giver beslutningstagere den nødvendige indsigt til at kunne beslutte hvor høje sikkerhedskrav der skal stilles – igen ud fra devisen om at det er ikke alle hemmeligheder der er millioner værd, og det er ikke alle angribere der har millioner til rådighed.
I TREsPASS har vi også set på videreudviklinger af sådanne metoder. For eksempel hvordan man kan omsætte angrebs-forsvars-træer til stokastiske spil, hvor vi så kan udnytte eksisterende værktøjer til “probabilistisk model tjek” til at fortælle hvor gode forsvarsmekanismerne er. Og vi har også taget de første trin til at uddrage en optimal forsvarsstrategi fra angrebs-forsvars-træet.
Det er gennem denne type af arbejde at vi dels håber at kunne sikre at sociotekniske IT systemer er beskyttet bedst muligt – i forhold til hvor værdifulde systemets data er og de ressourcer der er tilgængelige – og dels kan give et estimat for hvor stor den resterende risiko er.
En del af det arbejde, der er beskrevet i dette indlæg er blevet udført med Flemming Nielson og Christian W. Probst.
...men det er dyrt at lave god journalistik. Derfor beder vi dig overveje at tegne abonnement på Version2.
Digitaliseringen buldrer derudaf, og it-folkene tegner fremtidens Danmark. Derfor er det vigtigere end nogensinde med et kvalificeret bud på, hvordan it bedst kan være med til at udvikle det danske samfund og erhvervsliv.
Og der har aldrig været mere akut brug for en kritisk vagthund, der råber op, når der tages forkerte it-beslutninger.
Den rolle har Version2 indtaget siden 2006 - og det bliver vi ved med.