Hur väljer och prioriterar jag lämpliga säkerhetsåtgärder?

Monday, January 18, 2021

FörsvarVägledningHotprofil

I den här artikeln försöker jag resonera och förklara ett antal olika delmoment som kan vara relevanta att förstå för att på bästa sätt kunna prioritera val av skyddsåtgärder för att stärka din motståndskraft mot cyberangrepp. Det handlar inte om att identifiera enskilda silverkulor utan att istället finna trygghet i vad du inte vet. För det är först när du vet vad du inte vet som du har möjlighet att på riktigt öka din säkerhet.

Och det är för detta jag skulle vilja låna din tid och formulera några ord.

Nyckelinsikter

  • Val och prioritering av säkerhetsåtgärder handlar mer (åtminstone nästan) om metodiken och analysen bakom valen snarare än valen själva. Sträva efter att kunna försvara och motivera ett givet val.
  • Etablera så snart som det är möjligt vilken kunskap ni saknar om hotande verksamhet. Vet ni varför någon är intresserad av er verksamhet? Vet ni vilka hot som skulle kunna riktas mot er, av vem och på vilket sätt?
  • Vänta inte med att genomföra ett Red Team-test. Planera och genomför tidigt för att relativt snabbt kartlägga och förstå vilka tekniska brister som riktiga angripare skulle använda sig utav. Säkerställ dock att testerna planeras i samråd med er för att på bästa sätt simulera angrepp relevanta för just er verksamhet och bransch. Det handlar inte om att låta en leverantör skjuta iväg några sårbarhetsscanningar och kalla det Red Team. Var försiktig med val av leverantör!
  • Dokumentera er hotprofil. Beskriv varför en aktör skulle vara intresserad av er verksamhet, hänvisa till relevanta underlag och motivera. Hotprofilen utgör grunden för prioriteringar och val av skyddsåtgärder.

Inledning

Jag har valt att strukturera den här artikeln enligt följande:

  1. Upprätta en hotprofil.
  2. Inventering av existerande skyddsåtgärder.
  3. Inrikta och påbörja omvärldsbevakning.
  4. Genomför Red-Team test.
  5. Välj säkerhetsåtgärder

Men innan vi börjar, låt mig få en sak överstökat direkt; vissa krav på säkerhetsåtgärder kommer du inte undan. Hanterar du kreditkorts-uppgifter faller du med stor sannolikhet in under PCI-DSS som innehåller relativt tydliga och framförallt många krav. Offentliga verksamheter ska implementera ett ledningssystem enligt ISO-27001, eller bedömt likvärdigt ramverk. Och verksamheter som hanterar pengar (bank, försäkring osv) behöver hantera ett gäng andra krav.

Utrymmet att anpassa skyddsåtgärder skiftar mellan de många olika ramverken som finns. Många gånger är det bara att gilla läget, och införa dem efter bästa förmåga. Andra gånger finns det ett visst utrymme att tolka, anpassa och kanske t.o.m ignorera med en vettig motivering.

Jag kommer inte beröra dessa typer av krav där valen redan är gjorda åt dig, varesig de är vettiga eller inte. Mitt fokus ligger istället på sådana åtgärder där du själv kan välja att införa dessa som resultat av en analys, resonemang och koppling till verkligheten. Skyddsåtgärder som kan motiveras på riktigt och inte endast för att en paragraf säger att du ska införa den.

Upprätta en hotprofil

Vad är en hotprofil kanske du undrar? Begreppet är inte särskilt väletablerat eller överhuvudtaget vanligt förekommande i rapporter eller andra sammanhang. En hotprofil utgår ifrån er verksamhet och de skyddsvärda tillgångar ni hanterar och beskriver vilka hotaktörer som kan komma att rikta sin verksamhet mot er. Profilen beskriver historiska händelser som anses relevanta för just er verksamhet. Fokuset är på hoten som kan komma att riktas mot er verksamhet.

Den hotprofilstyp jag avser här är den organisatoriska hotprofilen. Utöver den organisatoriska hotprofilen finns även individuella, branschspecifika och nationella hotprofiler.

Syftet med de olika typerna av hotprofiler är att snabbt kunna göra generaliserande påståenden om en given verksamhet givet dess bransch eller det land inom vilket verksamheten existerar. Hotprofilen innebär också en gemensam referens vid samtal om införande av säkerhetsåtgärder. Den kan med fördel användas i samtal med ledningsgrupper för att styrka och motivera val.

Inventering av existerande skyddsåtgärder

En någorlunda parallell aktivitet är inventeringen av existerande skyddsåtgärder. Det kan vara så enkelt att ni börjar hjärnstorma fram vilka olika typer av säkerhetsåtgärder ni redan infört. Upplösningen behöver inte vara super från början; det kan räcka med att säga Brandvägg, eller Antivirus på klienter. Det viktiga är att ni börjar för att kunna bygga ut inventeringen allteftersom er kunskap blir högre.

Inventeringen utgör en del av baslinjen för att senare kunna börja mäta effektivitet och nytta ur ett skyddsperspektiv. När ni senare förbättrar era upptäckande förmågor kan ni börja korrelera identifierade avvikelser mot vilka skyddsåtgärder som bidragit till att blockera eller upptäcka hänelsen. Detta ger er de första mätpunkterna på skyddsåtgärdernas effektivitet och nytta i den stora och övergripande säkerhetsarkitekturen.

Inrikta och påbörja omvärldsbevakning

När ni upprättat en hotprofil, kartlagt era skyddsåtgärder har ni möjlighet att på ett bra sätt inrikta omvärldsbevakningen. Inriktning innebär prioritering. Det innebär att ni förklarar för de som ska bevaka omvärlden vet vad ni anser vara viktigt. Exempelvis skulle en inriktning kunna vara att särskilt fokus skall läggas på inhämtning av information kring händelser som rör biomedicinsk forskning. Vilka aktörer intresserar sig för detta? Hur genomför de sina operationer?

Omvärldsbevakningens målsättning är att inhämta, analysera och producera rapporter och underlag som kan användas för att stärka beslutsfattandet för sådant som anses vara av vikt för verksamhetens välmående. Köpa upp en konkurrent, har de historiskt varit involerade i eller utsatta för intrång?

En annan väsentlig användning av omvärldsbevakningen är för inhämtning av data och information som visar på hur ett intrång högst troligen kommer att genomföras. Inhämtning behöver inte endast vara genom öppna källor utan även genom HoneyPots eller annan typ av vilseledande teknologi som kan visa en angripares intresse av er organisation och verksamhet.

Det viktiga är att ni inte bara planlöst börjar samla in information utan att först ha avgjort vilken typ av information ni saknar och behöver. Det finns en uppsjö av tjänster för “threat intelligence”, men det är först när ni vet vilken information ni behöver som ni vet vilka av dessa tjänster som kan vara lämpliga. Det kanske räcker med riktad och systematisk läsning av svenska nyhetssajter?

Världen genom angriparens ögon

En av mina vägledande principer handlar om att se världen genom angriparens ögon. Betrakta dig själv genom angriparens ögon. Vad skulle en angripare se? Vad är intressant med just er? Har ni några spännande relationer till andra företag och organisationer (tänk supply-chain )? Hanterar ni den senaste forskningen inom ett globalt och “hett” område?

Och inte att glömma det tekniska perspektivet.

Vilka IP-adresser tillhör er? Vilka tjänster är tillgängliga från internet? Vilka e-postadresser finns på hemsidan? Vilka personer är aktiva på diverse forum? Vilka teknologier använder ni?

Och sedan kan vi betrakta världen genom angriparens metoder. Finns det några metoder som föredras framför andra? Hur ser skyddet ut för dessa? Antag att giltiga inloggnigsuppgifter (T1078) är vanligt förekommande, hur väl skulle en giltig uppsättning inloggningsuppgifter fungera mot er? Använder ni flerfaktorsautentisering?

Genomför Red-Team test

Utifrån en hotprofil och inventering av skyddsåtgärder kan det vara lämpligt att planera och genomföra en Red Team-övning. Jag tänker argumentera för att dessa skiljer sig från “vanliga” penetrationstester. Främst genom att en leverantör av RT-tjänster ska, i samråd med, er genomföra riktiga angrepp mot specifika mål, med hjälp av metoder och tekniker som hotaktörer specifika för er verksamhet skulle kunna tänkas använda. Det handlar inte endast om att simulera intrång av statliga aktörer. Det handlar om att simulera sådana angrepp som kan komma att riktas mot er verksamhet.

Ett RT-test kan kosta en del pengar, men det är samtidigt ovärderlig kunskap som genereras. Er säkerhetsövervakning övas, incidenthantering tränas och ledningsgruppen får svar på frågan om konsekvenserna av ett intrång och hur svårt det bedöms vara givet nuläget.

Jag anser därför att ett RT-test inte endast skall begränsas och genomföras av en organisation som anser sig ha allting klart. Det bör snarare användas så tidigt som möjligt för att relativt snabbt identifiera svaga länkar, sårbarheter och annat som behöver adresseras.

Men återigen. Ett RT-test ska simulera ett angrepp som är relevant och väsentligt för just ER organisation och verksamhet. Därför krävs en hel del planering och förberedelser innan de genomförs.

Riksbanken har exempelvis antagit ramverket TIBER för att strukturerat och systematiskt genomföra RT-tester mot finansiella verksamheter.

Välj säkerhetsåtgärder

När du kan besvara följande frågor har du goda förutsättningar att börja fundera kring säkerhetsågärder:

  1. Vilka hot finns mot er verksamhet?
  2. Vilka aktörer bedöms som mest troliga att genomföra cyberangrepp?
  3. Vilka tekniker och metoder är mest troliga att användas i ett cyberangrepp?
  4. Vilka är våra största säkerhetsbrister?

Efter allt detta skulle det kunna anses rimligt att börja välja vilka säkerhetsåtgärder som ska införas. Självklart går det att helt fullständigt skita i allt ovan och börja agera utifrån åsikt och känsla. Vi ska inte underskatta vad en kompetent experts erfarenhet kan säga om vad som är viktig. Samtidigt skulle jag vilja argumentera för att det blir allt viktigare med väl underbyggda och relevanta analyser kring de hot som föreligger och genom det vilka metoder som kan anses lämpliga.

Cybersäkerhetsbranschen har bokstavligen exploderat de senaste åren med mängder av nya produkt- och tjänsteleverantörer. Samtidigt har andelen konsulter ökat avsevärt med många fler företag som erbjuder cybersäkerhetstjänster. Det är med detta som bakgrund det blir allt mer väsentligt att särskilja de som endast vill sälja sina timmar eller de som faktiskt har intresse av att hantera hotbilden, varesig det innebär många eller få sålda timmar.

Ops, det blev visst en liten rant där. Behövde få ut det ur systemet.

MITRE ATT&CK

Jag har sedan en tid tillbaka förespråkat användandet av MITRE ATT&CK som ett fundament för säkerhetsåtgärder, men även som grund för en metodik kring val av säkerhetsåtgärder. Det finns dock några saker som ATT&CK saknar och det är prioritering. Ramverket är idag mer att betrakta som en kategorisering och uppdelning av diverse tekniker som hotaktörer observerats använda; eller som red-teams framgångsrikt använt vid operationer.

Men när du kombinerar omvärldsbevakning med MITRE ATT&CK börjar det hända spännande saker. Du kan etablera en baslinje med vilka skyddsåtgärder ni har, och kanske en bedömning av hur pass “mogen” åtgärden är. Därefter kan du mappa detta mot omvärldsbevakningen och de metoder som angripare observerats använda.

Lägg sedan till MITRE Shield för att få inspiration om aktiva försvarsåtgärder som kan användas för att ytterligare stärka er upptäckande förmåga.

Sammanfattning

Säkerhetsåtgärder väljer vi baserat på vår förståelse för vilka hot som kan komma att riktas mot oss, av vem och genom vilka metoder. En organisatorisk hotprofil lägger grunden för hur ni ska resonera kring skyddet av er verksamhet givet bransch, nationell tillhörighet och de individer ni anställer. Genom systematisk och strukturerad omvärldsbevakning kan ni inhämta sådan information som stärker beslutsfattandet genom att framställa analyserad och bedömd omvärldsutveckling och dess relevans och påverkan på er verksamhet.

Valet av säkerhetsåtgärder handlar inte om enskilda produkter eller tjänster, utan det handlar om metoden och systematiken bakom valen och om huruvida ni kan motivera och förklara dessa val.

Lycka till!

FörsvarVägledningHotprofil

Christoffer Strömblad

Några fler relaterade artiklar:

Hotprofiler - Grunden för effektiv cybersäkerhet?

Kinesiskt spionage - Operationer och taktiker

Så här programmerade jag en egen virtuell maskin i Python