På frokostmøtet om måling av sikkerhet fikk jeg et godt spørsmål som jeg ikke kunne svare på: “Hvilket nivå skal man legge seg på?” Mitt ikke-svar var at “da må du gjøre en risikobasert vurdering”, som egentlig bare er en annen måte å si “det kommer an på”. I utgangspunktet hadde jeg sagt at “alle” burde kunne starte med aktivitetene på nivå 1 i hver praksis, men her skilte aktivitet AM1.1 seg ut i tallmaterialet – bare 21 av de 67 undersøkte bedriftene vedlikeholder en liste av de topp N mulige angrepene mot seg selv. Dette virker som en ganske grei aktivitet å gjøre et par ganger i året, og jeg finner ingen god forklaring på hvorfor det ikke gjøres.
Det er derfor naturlig å se nærmere på angrepsmodeller denne gangen.
Nivå 1
Her handler det om å opprette en kunnskapsbase om angrep og dataverdier. Dette nivået har 6 aktiviteter:
- AM1.1: Lag og vedlikehold en liste av de topp N mulige angrepene.
SSG kan hjelpe organisasjonen forstå grunnleggende egenskaper ved angrep ved å liste opp angrepene som er mest relevante for dem. Kan sortere på angrep som må kunne håndteres “nå”, “snart”, eller “i fremtiden”. - AM1.2: Lag et graderingssystem for data og katalogiser.
Klassifiser programvaren etter graderingen på informasjonen den behandler. Dermed kan man prioritere programvare etter gradering. - AM1.3: Identifiser mulige angripere.
SSG identifiserer mulige angripere for å forstå deres motivasjoner og evner. Spesifikk og kontekstavhengig informasjon er alltid mer nyttig enn å klippe og lime fra noen andres liste. - AM1.4: Samle inn og offentliggjør angrepshistorier.
For å maksimere verdien av dyrekjøpte erfaringer, samler SSG inn og offentliggjør historier om angrep mot organisasjonen. Både vellykkede og mislykkede angrep kan være verdt å merke seg. Fordelen er at dette kan danne en motivasjon for programvaresikkerhet som er basert på organisasjonens virkelighet, ikke topp-ti lister fra utlandet. - AM1.5: Samle inn informasjon om nye angrep i bransjen
SSG er proaktiv, og sørger for å lære om nye typer angrep og sårbarheter. Informasjonen finner man ved å delta på konferanser, følge med på forum der angripere ferdes, og lese relevante publikasjoner (både på papir og elektronisk). - AM1.6: Etabler et internt forum for å diskutere angrep
Organisasjonen har et internt forum der SSG, assosierte sikkerhetsfolk (“satellitten”) og andre diskuterer angrep. Det kan være en epostliste, et internt webforum eller lignende hvor medlemmer deler siste info om offentlig kjente hendelser. Detaljert analyse av relevante angrep og sårbarheter kan være spesielt nyttig hvis de leder til diskusjoner om hvordan man praktisk kan løse problemene på utviklersiden. Det å kun videresende meldinger fra offentlige fora oppnår ikke de samme resultatene som en aktiv diskusjon.
Nivå 2
AM Nivå 2 handler om å strekke seg litt lenger når det gjelder angripere og relevante angrep.
- AM2.1: Lag angrepsmønster (attack patterns) og “abuse cases” knyttet til potensielle angripere.
SSG forbereder sikkerhetstesting og arkitekturanalyse ved å bygge angrepsmønstre og eksempler på mulig misbruk; disse må ikke nødvendigvis bygges fra bunnen hver gang, ettersom det kan være forhånds konstruerte “sett” for applikasjoner av en gitt type. - AM2.2: Lag teknologispesifikke angrepsmønstre.
SSG lager teknologispesifikke mønstre for å samle kunnskap om angrep som retter seg mot spesifikke teknologier. Hvis organisasjonens web-programvare baserer seg på det aller siste i nettleseregenskaper, kan SSG katalogisere alle særegenhetene til de mest populære nettleserne, og hvordan de kan utnyttes.
Nivå 3
På AM nivå 3 dreier det seg om å drive egen forskning på angrepsmønstre og mottiltak.
- AM3.1: Ha en forskergruppe som utvikler nye angrepsmetoder.
SSG har en forskergruppe som identifiserer og finner mottiltak mot nye angrepsmetoder før virkelige angripere en gang er klar over at de finnes. Dette er ikke en gjeng med penetreringstestere som finner nye tilfeller av en kjent type sårbarhet. - AM3.2: Lag og ta i bruk automatiserte verktøy som gjør det angripere vil gjøre
SSG utstyrer testere og revisorer med automatiserte verktøy, f.eks. hvis forskergruppen har funnet en ny type angrep, kan det være behov for et nytt verktøy. Å skreddersy verktøy til organisasjonens eksisterende teknologi og potensielel angripere er en kjempeidé.
Det var det for denne gang – vi minner til slutt om at vi tar imot alle typer ønsker (når det gjelder tema for neste episode av BSIMM-serien, altså).
Gå direkte til neste episode her.
Illustrasjon ved Flickr bruker GollyGforce – Living My Worst Nightmare CC-BY