Replik: Spårbarhet vara eller icke vara

Thursday, November 1, 2018

ÖvrigtReplikSpårbarhet

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Fia Ewald skriver om ett av de tveklöst mest religiösa begreppen inom informationssäkerhet, spårbarhet. Jag välkomnar hennes försök till att sparka igång någon form av debatt kring ämnet så tillåt mig dra mitt strå till debattstacken.

Jag tillhör dessvärre en av de där som under lång tid envist hävdat att spårbarhet minsann inte skall höjas till den heliga triaden. Fia undanbeder dock emotionella argument, och detta är mitt försök att rationalisera mitt ställningstagande. Förhoppningsvis kommer jag ut på andra sidan stärkt i min tro(!). Dessvärre har jag en känsla av att det ligger i farans riktning att jag kommer behöva omvärdera detta emotionella ställningstagande. Nå väl, mot argumentationen.

Vi skulle kunna säga att Fia konstruerat en hypotes utifrån sina observationer av verkligheten, låt oss kalla den Fia-hypotesen. Vad säger då Fia-hypotesen:

Informationssäkerhet kan inte i de flesta fall existera utan att spårbarhet inkluderas som centralt begrepp och likställs med konfidentialitet, riktighet och tillgänglighet.

Nyckelinsikter:

  • Fia-Hypotesen om spårbarhet som centralt begrepp inom informationssäkerhet är en svag hypotes
  • Experiment 1 kan inte övertygande bekräfta att spårbarhet är nödvändigt som ett centralt begrepp inom informationssäkerhet likt konfidentialitet, riktighet och tillgänglighet
  • Experiment 2 visar att spårbarhet betraktat genom perspektiven principer, tekniker och metoder kan ha viss legitimitet som centralt begrepp avseende åtgärder för att uppnå just spårbarhet
  • Diskussionen om spårbarhet har tendenser till att handla mer om semantik än det kanske egentligen viktigare praktiska tillämpandet av begreppen i sammanhang av informationssäkerhet

Det finns många sätt att angripa den här analysen, men jag har försökt att hålla den någorlunda saklig. Jag skulle egentligen helst ha gjort fler (nu inga!) hänvisningar till diverse material som antingen stödjer eller emotsäger Fia-hypotesen. Tiden tillåter inte en alldeles för seriös genomgång av det här. Oavsett mycket nöje!

Verifiering av Fia-hypotesen

Jag skulle vilja angripa den här diskussionen utifrån den vetenskapliga metoden. Detta skulle i korthet innebära något i stil med följande:

  1. Vi observerar vår värld, informationssäkerheten och beskriver vad vi ser.
  2. Utifrån vad vi ser gör vi sedan ett induktivt resonemang och formulerar en hypotes. (Resonerar utifrån enskilda händelser för att producera en generalisering.)
  3. Utifrån formulerad hypotes konstruerar vi lämpliga experiment för att förfina hypotesen eller eliminera den.
  4. Upprepa (jag upprepar väldigt lite i det här inlägget, bara två gånger)

Experiment 1 - På egna ben

I det här första experimentet är tanken att vi ska försöka verifiera huruvida spårbarhet likt konfidentialitet, riktighet och tillgänglighet kan stå på egna ben utan sina påstådda syskon. Mitt antagande och utgångspunkt i det här experimentet är att den ursprungliga triaden av begrepp kan stå på egna ben. Och med egna ben menar jag att det finns situationer då vi har behov av exempelvis konfidentialitet utan att samtidigt tvingas ha behov av riktighet, tillgänglighet och spårbarhet.

Experimentet går således ut på att försöka verifiera om det finns situationer då vi har behov av spårbarhet utan att samtidigt ha behov av de andra begreppen. Om vi inte lyckas med experimentet skulle detta kunna tolkas som ett argument som talar emot Fia-hypotsen.

Tester av Fia-hypotesens exempel

Fia nämner flera områden där spårbarhet skulle kunna tänkas vara centrala till exempel avtalshantering, teknisk övervakning, dataskydd, forensik för att nämna några. Eftersom dessa områden inte beskrivs i ett sammanhang eller med några övriga detaljer måste jag få lov att extrapolera. Jag tänkte utforska dessa exempel som tester om huruvida spårbarhet kan stå på egna ben. Dags för lite falsifiering.

Avtalshantering

Kan det finnas behov av att hantera avtal utan att samtidigt ha behov av övriga begrepp? Vi skulle åtminstone kunna argumentera för att ett avtal inte strikt sett behöver omfattas av konfidentialitet. Däremot blir det avsevärt mycket svårare att säga samma sak om riktighet och tillgänglighet. Ett avtal vi inte kan lita på avseende de uppgifter

Teknisk övervakning

Lite osäker på vad Fia menar med teknisk övervakning och på vilket sätt spårbarhet skulle relatera till detta men antag att det handlar om det som en typisk SOC-verksamhet håller på med. Övervakning av händelser som genereras i exempelvis brandväggar, intrångsdetekteringsverktyg osv. Utan tvekan behov av konfidentialitet och tillgänglighet. Riktigheten skulle vi kunna argumentera för att exkludera eftersom det många gånger finns en från början inneboende osäkerhet i hur tillförlitlig en given teknisk indikator faktiskt är. Oavsett, spårbarhet står inte ensamt här.

Dataskydd

Återigen är jag osäker på vad exakt Fia menar, men jag tänker tolka dataskydd som en fråga om riktighet. Hur garanterar vi en given mängd data ett lämpligt skydd. Ser inte direkt heller hur spårbarhet platsar in här mer än att det kan vara lämpligt som åtgärd för att garantera konfidentialiteten eller riktigheten i informationen. Oavsett uppnår vi inte dataskydd endast genom spårbarhet.

Och så här långt vad vet vi?

Det enda jag kan konstatera så här långt är att spårbarhet i de exempel Fia listade inte står utan något av de andra begreppen. Samtidigt tror jag inte heller Fia menade att dessa exempel ska tolkas som att spårbarhet är det enda behovet. Så nu ska jag försöka konstruera några situationer då vi endast har behov av spårbarhet och ingenting annat.

Observera att när jag säger inga andra behov menar jag inte detta helt binärt, det är en glidande skala av behov. Det måste anses vara någon slags relativitet i begreppen här. Det kan finnas större och mindre behov. Och jag menar att behovet av spårbarhet ska vara så pass övermäktigt att behoven av de andra begreppen är negligerbara.

Fortsatta tester - Egna ben

I vilket sammanhang kan det finnas behov av endast spårbarhet och ingenting annat? Vi skulle också kunna försöka identifiera i vilka sammanhang vi klarar oss utan spårbarhet.

Kan vi hitta något exempel där vi klarar oss utan spårbarhet? Eller åtminstone där behovet av spårbarhet är så pass lågt att det är negligerbart.

Hus-testet

Jag har ingen dokumenterad logg på vilka som går in och ut ur mitt hus. Alltså har jag inget direkt behov av spårbarhet. Däremot höga krav på tillgänglighet hos nycklarna och konfidentialitet. Inga direkta krav på spårbarhet av nycklarna.

Intrångsdetektering

Avseende förmågan intrångsdetektering kan vi däremot argumentera för att åtgärder inom spårbarhet är centrala. Samtidigt går det inte att övertygande argumentera att det endast handlar om spårbarhet, utan även åtminstone tillgänglighet som behöver vara nära realtid för att vara nyttig.

Brottsutredning

Polisens förmåga att utreda brott är många gånger avhängt åtgärder för att kunna spåra misstänkta, identifiera händelsekedjor osv. Något vi skulle kunna argumentera för återigen är centrala spårbarhets-koncept. Men återigen följs förmågan för brottsutredning av starka behov på exempelvis konfidentialitet och riktighet.

Sammanfattning Experiment 1

Jag kan faktiskt inte lyckas identifiera några situationer då det kan finnas behov av endast spårbarhet och inte samtidigt även konfidentialitet, riktighet och tillgänglighet.

Alltså måste jag konstatera att första experimentet inte lyckas bekräfta Fia-hypotesen.

Experiment 2 - Åtgärder för spårbarhet

Detta experiment handlar om hur vi uppnår spårbarhet, vilka principer, metoder eller tekniker som ger oss spårbarhet. För att uppnå konfidentialitet kan vi använda oss utav principer som need-to-know, least privilege, eller metoder som kryptering. För att uppnå riktighet kan vi använda metoder som signering, principer om källkritik eller användning av tröskelvärden eller tekniker som nx-biten i processorn. För att uppnå tillgänglighet kan vi använda arkitekturella mönster som tre-skikts arkitektur, tekniker för redundans som kan realiseras genom principer av geografisk spridning eller tekniker som raid osv.

Och så då spårbarhet. Hur uppnår vi spårbarhet? Vi uppnår spårbarhet genom metoder för generering av händelseloggar eller tekniker som syslog. Spårbarhet är liksom åtgärden vi eftersträvar. Den är sig själv.

Det är liksom semantiskt korrekt att säga att vi uppnår spårbarhet genom att använda oss utav åtgärder för spårbarhet.

Däremot är det mindre meningsfullt att säga att vi uppnår konfidentialitet genom att använda oss utav åtgärder för konfidentialitet.

Eller? Hmmm… nej, det kanske fungerar förresten.

Hmm… lite osäker på hur det här experimenter faller ut. Men känslan är att spårbarhet är mer begränsat i hur det kan uppnås, men samtidigt är jag inte lika övertygad genom det här experimentet att spårbarhet inte skulle kunna likställas med konfidentialitet, riktighet och tillgänglighet

Jag bedömer således att resultatet av experimentet delvis bekräftar Fia-hypotesen. (Fan!)

Resultat och slutsatser

Detta har varit en högst enkel behandling av ämnet och jag skulle vilja summera det så här. Inga av de experiment jag konstruerat för den här diskussionen lyckas påvisa behovet av att betrakta spårbarhet som likställt konfidentialitet, riktighet och tillgänglighet. Men, vad spelar det egentligen för roll? Begreppet spårbarhet är viktigt, främst ur perspektivet att det många gånger är nödvändigt för att uppnå en god informationssäkerhet.

Vi använder loggning för att bygga förmåga att upptäcka pågående eller genomförda intrång. Vi använder loggning för att säkerställa att behöriga personer inte överträder sina befogenheter i ett system. Vi använder loggning för att utreda brott. Det är helt enkelt en förbannat viktig åtgärd. Det finns nästan alltid behov av spårbarhet som åtgärd.

Precis som att det nästan alltid finns behov av konfidentialitet, riktighet eller tillgänglighet. Diskussionen om huruvida spårbarhet behöver samexistera bredvid konfidentialitet, riktighet eller tillgänglighet flyttar fokus till semantiken istället för praktiken. Vi kanske bara borde endas om att det finns många saker som är nödvändiga att beakta i utformandet av en god informationssäkerhet och där är bland andra spårbarhet en viktig komponent.

Om jag ändå skulle tvingas argumentera för det ena eller det andra skulle jag vara tvungen att ändå säga så här. Eftersom jag inte kan se några situationer då jag har behov av endast spårbarhet kan det inte vara lika viktigt med detta som exempelvis konfidentialitet, riktighet eller tillgänglighet för vilka jag däremot relativt enkelt kan identifiera situationer då jag har behov av dem enskilt.

ÖvrigtReplikSpårbarhet

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet

Bok: Click Here to Kill Everybody

Cyberperspektivet på en Säkerhetsskyddsanalys