Försvar Offensivt Underrättelser

Säkerhetsskydd: Säkerhetshotbedömning

Friday, November 16, 2018

FörsvarSäkerhetsskyddSäkerhetshot

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Nyckelinsikter:

  • Ett hot som riktas mot säkerheten (ett säkerhetshot) är en, eller serie av, möjlig(a) handling(ar) som kan resultera i negativa effekter (skada) på säkerheten i den verksamhet mot vilket hotet riktas.
  • Säkerhetshotbedömningen avser dels identifiera dessa möjliga hot och dels de antagonister som kan komma att rikta och realisera hoten.
  • Antagonister i cyberdomänen är ett komplicerat område där vi troligen är mer betjänta av att fokusera på vägen från hot till skada; alltså hur ett hot genom cyberdomänen kan komma att realiseras.
  • I den dimensionerande hotbeskrivningen sammanför vi identifierade säkerhetshot tillsammans med antagonisterna och beskriver de händelsekedjor som skulle behöva inträffa för att de identifierade hoten ska kunna realiseras.
  • Bedömningen, genom den dimensionerande hotbeskrivningen, ger oss det nödvändiga underlaget för att kunna gå vidare med att identifiera relevanta sårbarheter samt vilken kombination av skyddsåtgärder som på bästa sätt låter oss hantera de antagonistiska hoten.

Bedömning av säkerhetshot är ett omfattande analysarbete som innebär att många kompetenser behöver samlas för att nå ett bra slutresultat. Det är troligen här som den största delen av arbetet kommer att ligga avseende säkerhetsskyddsanalysen.

Det finns många fallgropar och svårigheter med att analysera exempelvis antagonister och deras förmåga, avsikter och resurser att realisera ett givet säkerhetshot.

I den här artikeln gör jag en djupdykning i detaljer men försöker samtidigt lämna konkreta instruktioner för att kunna genomföra en säkerhetshotbedömning.

Om vägledningen

Detta är min vägledning om säkerhetsskydd och så som säkerhetsskydd förhåller sig till cyberdomänen. Vägledningen kan bara bli bättre, särskilt om jag får din hjälp. Har du några som helst synpunkter på innehållet vill jag att du kontaktar mig . Saknar du en förklaring, en annan struktur, ett ord eller mening så vill jag höra om det.

Inledning

Avgränsningar

Som vanligt i den här vägledningen om säkerhetsskydd är min avgränsning till cyberdomänen. Jag har gjort denna dels för att detta område får ett utökat fokus i den kommande lagstiftningen och dels för att det är här min erfarenhet och kunskap finns.

Läs mig

Detta är en lång artikel, med många avsnitt och diverse sidospår. Vi skulle kunna argumentera för att sidospåren är onödiga, men jag har ändå bedömt dessa som nödvändiga för att få till en rimlig och lämplig helhet. Särskilt med tanke på hur spretig förståelsen, och enigheten, är kring diverse begrepp och termer i branschen.

Därför har jag känt mig nästan tvungen att inleda med en diskussion om de begrepp som är huvudrollsinnehavare i den här artikeln. Exempelvis begrepp som hot, säkerhet, risk, säkerhetshot, antagonist, dimensionerad hotbeskrivning. Dessa läser du om i del 1.

Först efter denna inledande begreppsdiskussion tycker jag förutsättningarna finns för en mer nyanserad och förhoppningsvis någorlunda konkret vägledning i det övergripande temat, säkerhetshotbedömning, du hittar således den mer konkreta vägledningen i del 2 .

Jag skulle dock rekommendera att du tar dig tid att läsa hela artikeln. Säkerhetshotbedömning omfattar många omtvistade begrepp och det är många gånger i detaljerna som svårigheterna lurar.

Avslutningsvis vill jag även säga att jag är ödmjuk inför utmaningen att korrekt beskriva och vägleda i detta högst snåriga område. Om ni anser att något är helt felaktigt är ni alltid välkomna att kontakta mig. Även mindre korrigeringar är ni välkomna att skicka. Sist, men absolut inte minst, vill jag väldigt gärna höra från er som skulle vilja få något område förtydligat.

Nå väl, mycket nöje.

Innehåll

  1. Del 1: Vad är ett säkerhetshot?
  2. Del 2: Säkerhetshotbedömning
  3. Del 3: Sammanfattning

Del 1 - Vad är ett säkerhetshot?

Eftersom det överordnade temat på den här artikeln är hot och mer specifikt säkerhetshot vill jag ägna några meningar åt att förklara hur jag använder begreppen. Likt många andra begrepp inom cybersäkerhet finns det ingen ensad och övertygande definition om vad det innebär och jag menar att nyanserna spelar roll.

Hot och antagonister

Ett hot är en varning om en, eller serie av, handling(ar) som kan resultera i negativa effekter för den mot vilket hotet riktas. I sammanhang av lagstiftningen handlar det om antagonistiska hot. En antagonist är en individ, grupp, nätverk, organisation eller stat som med förmåga och avsikt kan komma att realisera ett hot.

Antagonistiska hot innebär således att en aktör med förmåga och avsikt kan komma att realisera ett angrepp direkt mot det som ni bedömt vara en säkerhetskänslig verksamhet.

Säkerhetshot

Och så anländer vi vid preciseringen av hot nämligen säkerhetshot, vad innebär den och spelar den någon roll? Först ett sidospår om begreppen säkerhet och risk.

Säkerhet och risk

Säkerhet är ett tillstånd som inte innebär fara[note]Svensk Ordbok av Svenska Akademien (SO), (Online: https://svenska.se , hämtad: 2018-11-15) [/note]. Men eftersom det inte finns ett tillstånd där säkerheten är absolut, kommer det alltid finnas en viss nivå av fara. Och fara är mycket nära besläktat med risk. Vi skulle således nästan kunna säga att säkerhet och risk är olika sidor på samma mynt. Och nu blir det snårigt för begreppet risk är djävligt lurigt att använda och försöka precisera.

Det finns en lång historik bakom ordet risk (jag skrivit en artikel om detta men faktiskt inte publicerat denna). Följer vi den historiska utvecklingen, användningen och verkligheten bakom begreppet risk lär vi oss att det härstammar från vår (människans) önskan om att ta kontroll över det okända. Att vara fri från det okända är att således att vara säker, men det finns ingen absolut säkerhet; ett tillstånd där vi är helt fria från fara/risk/det okända.

Säkerhet är ett utöver detta ett föränderligt tillstånd som vid varje givet tillfälle ger oss en viss nivå frihet från fara, eller risk. Det finns en slags inverterad proportionalitet mellan säkerhet och risk. Desto mer säkerhet, desto mindre risk.

Desto mer trygg, eller säker, du vill vara i något avseende, desto mindre risk är du villig att utsätta dig själv för. Men för att uppnå detta acceptabla tillstånd av säkerhet behöver du investera tid och pengar för få fram nödvändig information och kunskap om det okända. Och eftersom tid och pengar är begränsade resurser kommer du behöva acceptera en given mängd risk för en viss nivå av säkerhet.

Detta är teoretiskt vackert men verkligheten är givetvis och dessvärre avsevärt mycket mer komplex. Säkerhet och risk beror sedan på vår modell (uppfattning) av världen och hur representativ denna mentala modell är av den objektiva verkligheten. Vår kunskap är alltid ofullständig och detta innebär i sig att vår uppfattning om säkerhet och risk är ofullständig. Men, nu försvinner jag bort från ämnet.

… åter till säkerhetshotet

Med beaktande för vår “definition” av säkerhet och risk ger detta oss följande beskrivning av ett säkerhetshot. Ett hot som riktas mot säkerheten (ett säkerhetshot) är en, eller serie av, möjlig(a) handling(ar) som kan resultera i negativa effekter på säkerheten hos den mot vilket hotet riktas.

Eftersom säkerhet är ett tillstånd innebär ett säkerhetshot att detta tillstånd (nivån av frihet från fara/risk) på något sätt kan påverkas negativt. Vi kommer som konsekvens av ett realiserat hot utsättas för fara. Och utsätts vi för fara kan det som resultat av detta uppstå skada, de negativa effekterna.

Och på svenska betyder detta att en aktör med förmåga och avsikt kan välja att angripa er säkerhetskänsliga verksamhet vilket kommer resultera i någon form av skada i verksamheten.

Puh. Fortfarande med mig?

Del 2 - Säkerhetshotbedömning

Efter denna något långa utläggning känner jag mig redo att förklara innebörden av en säkerhetshotbedömning.

Den övergripande processen för att genomföra en säkerhetshotbedömning blir ungefär enligt följande:

  1. Identifiera säkerhetshot
  2. Identifiera aktörer med förmåga, avsikt och vid vilka tillfällen de kan komma att realisera hoten identifierade i (1)
  3. Beskriv och sammanfatta i en dimensionerande hotbeskrivning.

Identifiera och analysera säkerhetshot

Processen för att identifiera säkerhetshot ser ut enligt följande:

  1. Välj den, eller någon av de, säkerhetskänsliga verksamhet(en/erna)
  2. Utgå ifrån de konsekvenser ni bedömt har bäring på Sveriges säkerhet
  3. Gå sedan metodiskt igenom varje system, informationsmängd, resurs och föreställ er på vilka sätt ett missbrukande av dessa skulle kunna nå de konsekvenser ni fått från (2)
  4. För varje identifierat “sätt” ska ni sträva efter att förklara den fullständiga händelsekedjan som leder fram till de negativa effekterna. Det måste vara realistiskt och möjligt att förstå vilka steg som skulle vara nödvändiga för att hotet ska kunna realiseras
  5. Upprepa steg 1-4 tills dess att ni inte längre har några verksamheter med tillhörande konsekvenser kvar att analysera.

Vi ska låta oss vägledas av de negativa effekterna, eller skadan, som kan uppstå som resultat av de antagonistiska hot som kan komma att riktas mot verksamheten. Det här blir tydligare med ett exempel:

Exempel - Biltillverkaren PaoJul

Biltillverkaren PaoJul har framgångsrikt positionerats sig på marknaden som en tillverkare i den teknologiska framkanten. De använder sig givetvis utav AI/maskininlärning och är ständigt uppkopplade mot samtliga bilar för att i realtid diagnostisera eventuella problem. Vid varje givet tillfälle befinner sig över 40,000 av deras bilar på vägarna.

Och nu ett säkerhetshot. I samband med en uppdatering av mjukvaran i bilarna har en ny funktionalitet lagts till som gör att nästa gång bilen når över 70 km/h kommer den låsa ratten, koppla bort bromsen, och accelerera bilen till maxhastighet.

Det antagonistiska hotet mot säkerheten är således den manipulerade mjukvaran för bilarnas styrenheter. Effekterna av att detta hot realiseras skulle påverka ett onekligen stort geografiskt område, ett stort antal människors liv och hälsa (direkt så väl som indirekt). Därutöver finns många svåröverskådliga negativa effekter som avser rädslan för att sätta sig bakom ratten på en bil osv.

Hur skulle detta hot kunna realiseras? Genom att studera hela processen/flödet av aktiviteter som tar oss från kod till färdig, nedladdad och installerad mjukvara kan vi börja förstå de steg vilka en angripare skulle behöva ta för att kunna lyckas med angreppet.

Angriparen skulle kunna angripa distributionspunkten för koden. Eller angripa bäraren av mjukvaran som ska installeras i bilarna. Eller så skulle angriparen kunna infiltrera en av utvecklarnas datorer, ändra koden och hoppas att allting går igenom. Eller så skulle angriparen kunna angripa byggsystemet som tar koden och omvandlar till den slutgiltiga koden som ska ut till bilarna.

Målsättningen är att hitta så många vägar som möjligt som kan leda fram till att mjukvaran för styrsystemen i bilen kan manipuleras för att nå de beskrivna effekterna.

När ni gjort detta kommer ni slutligen stå med en lista av säkerhetshot som skulle kunna riktas mot er verksamhet. Men ännu är vi ganska långt ifrån klara med säkerhetshotbedömningen. Det är inte tillräckligt med att “bara” konstatera på vilka sätt säkerheten skulle kunna hotas, ni måste även analysera aktören bakom hotet. Det är säkerhetshotet och antagonisten som ger den dimensionerande hotbeskrivningen.

Identifiering och analys av antagonister

Det här kan vara en av de absolut mest knepiga momenten i hela analysen. Särskilt när det kommer till cyberdomänen och de hot som kan komma att realiseras genom denna. Det finns en uppsjö av problem som försvårar dessa analyser. Särskilt svårt är det när vi börjar tala om aktörer och vill försöka precisera dessa.

Cyberdomänen är unik

Cyberdomänen är i många avseenden helt unik i jämförelse med de övriga och mer traditionella, militära domänerna. I cyberdomänen är kunskap en otroligt starkt bidragande faktor till vem som “vinner”. De “vapen” vi använder kan dels göras tillgängliga för i princip vem som helst och dels uppdateras av vem som helst med tillräcklig kunskap. That’s it. Det krävs inte särskilt mycket mer. En dator och internetförbindelse, en IDE för utveckling och testmål finns det gott om på internet.

Jämför detta med exempelvis krigföring på land och de vapen vi använder där. De är långt ifrån tillgängliga för alla och långt ifrån möjliga att uppdatera för de med endast kunskap. Särskilt begränsat blir det om vi talar om hot som kan komma att riktas mot Sveriges säkerhet. Eftersom det krävs mycket resurser (tid, pengar, know-how osv) för att realisera dessa typer av hot blir också bedömningar och analyser avseende aktörer i dessa domäner enklare. Färre kan genomföra angreppen.

I cyberdomänen kan nästan vem som helst utgöra en hotaktör. Ett hot kan komma att riktas mot Sveriges säkerhet av en enskild antagonist. Detta försvåras ytterligare av det globala nätverket av samverkande teknologier, system, sensorer och människor. Detta gör att den antagonistiska bedömningen och analysen måste angripas annorlunda.

Jag säger detta för att tydliggöra svårigheterna med att peka ut specifika antagonister och deras förmågor. Detta är ett kusligt svårt område inom vilket få kan hävda någon slags övertygande expertis. Min erfarenhet säger mig att vi tjänar mer på att grundligt förstå på vilket sätt en given teknik, system, protokoll kan missbrukas och hur detta förhåller sig till vår säkerhetskänsliga verksamhet.

Eftersom alla kan utgöra en antagonist är det min uppfattning och åsikt att vi behöver förändra vår syn på det antagonistiska hotet. Vi skulle troligen tjänas bättre av att karakterisera egenskaperna hos en antagonist istället för att försöka mer specifikt peka ut enskild, organisation, nätverk, stat som antagonist.

Detta är ett komplicerat område som kräver mycket tankeverksamhet och diskussioner. Jag är öppen för sådana. 

Vägen framåt

Det finns några initial steg vi kan ta för att mer systematiskt analysera möjliga säkerhetshot. Ni bör först och främst:

  1. Först förstå hur ett cyberangrepp genomförs
    • Cyber Kill Chain
    • MITRE ATT&CK
  2. Förstå motiven bakom ett potentiellt hot
    • Varför skulle de rikta ett hot mot er säkerhetskänsliga verksamhet? Vad gör den speciell? Förklara och resonera om varför en aktör är intresserad av verksamheten.
    • Finns det någon information som är särskilt åtråvärd och ni kan förklara varför den är det?

Förstå vägen från hot till skada, så här fungerar ett cyberangrepp

En rimlig väg framåt för att analysera och bedöma säkerhetshot i cyberdomänen är att först och främst förstå hur cyberangrepp genomförs. Dels på ett övergripande plan om vilka huvudsakliga steg en angripare behöver ta sig igenom och dels vilka faktiska tekniker, taktiker och metoder som angripare använder sig utav för att genomföra riktiga angrepp. Detta innebär att ni ska studera exempelvis Cyber Kill Chain  och därefter studera MITRE ATT&CK , och som inspiration kan ni kolla det här inlägget från Digital Shadows.

För varje del i angreppskedjan, analyserar ni varje serie av handlingar som behöver genomföras. Identifiera och analysera om det för varje moment, handling finns något publikt tillgängligt verktyg som kan användas. Om inte vad skulle krävas? Egen utveckling? Är det en komplicerad utveckling, kräver det någon särskild specialistkompetens som få besitter? Specifika system med obskyra eller proprietära protokoll? Detta ger en första verklighetsförankrad analys av hur ett angrepp skulle kunna gå till och vad som krävs.

Förstå motiven och avsikten hos en antagonist

Allt arbete med att förstå cyberangreppen gör ni dels för att resonera realistiskt om en tänkt händelsekedja men också dels för att få en känsla för vilken typ av aktör som skulle kunna realisera det hot ni analyserar. Efter dessa analyser kommer vi kunna kategorisera vad som krävs för angreppen och se till vilka troliga typer av antagonister som kan komma att rikta ett hot mot den säkerhetskänsliga verksamheten.

Därefter kan ni ställa detta mot eventulla motiv och avsikter hos en tänkt antagonist. Varför skulle dom angripa er? Vad vinner dom på angreppet? Finns det politiska anledningar? Varför? Förklara, förklara, förklara. Ni måste tydligt kunna beskriva och resonera om den tänkta antagonisten. Förklara vägen från avsikt och motiv, till ett riktat och realiserat hot och med tänkta skador.

Fråga myndigheterna eller köp/utveckla egen, cyber underrättelseförmåga

Först och främst kan ni kanske med lite tur få svar från de myndigheter med det utpekade ansvaret för detta. Om det inte fungerar kan ni fundera över möjligheten att använda eller bygga upp en underrättelseförmåga med fokus på aktörer. 

Ett varningens ord när det kommer till underrättelse (intelligence). Detta är dessvärre ett av de områden som blivit ganska hett på marknaden och det finns gott om skojare. Många säger cyber threat intelligence (CTI) och tycker att insamling av data från öppna källor är allt som krävs för att kunna leverera underrättelser utan någon som helst analys eller endast genom enklare bearbetning. Det är mer komplext än så.

Dimensionerande hotbeskrivning

Och så landar vi i den dimensionerande hotbeskrivningen som först nu är möjlig att genomföra. Det är nämligen först nu vi förstår säkerhetshoten och vilka typer av antagonister som kan komma att rikta ett hot mot vår säkerhetskänsliga verksamhet. Nu ska vi sätta ihop säkerhetshoten med antagonisterna och förklara händelsekedjan som skulle ta oss från ett hot till faktisk skada.

Exakt hur detta dokument ser ut spelar egentligen ingen större roll. Det viktiga i sammanhanget är att ni sammanför hoten med aktörerna och textmässigt beskriver hur de förhåller sig till varandra.

  • Vilka hot kan komma att riktas mot den säkerhetskänsliga verksamheten?
  • Vilka händelsekedjor med tillhörande aktiviteter är för en angripare nödvändig att genomföra?
  • Vilka verktyg, kompetenser och dylikt är nödvändigt för att genomföra realisera hoten?

Jag tänkte försöka ge ett exempel, men kan med anledning av begränsad tid endast göra ett övergripande exempel. Det ligger också lite i farans riktning att det blir lite för tydligt, och för detaljerat vilket i sig är ett problem. Det är en svår balansgång. Exempelvis skulle det kunna se ut så här:

  • Konsekvenser: Storskalig störning i våra bilars styrsystem som resulterar i att tiotusentals bilar krockar, kör av vägen och leder till hundratals döda och tusentals skadade med nationell kris som följd
  • Säkerhetshot: Manipulerad mjukvara för styrsystem
  • Händelsekedja: Manipulerad mjukvara laddas upp till byggsystemserver, versionshanteringssystemet eller distributionssystemen.
  • Övrigt: Förutsätter kunskap om processen för att uppdatera styrsystem. Förutsätter omfattande kunskap om det specifika styrsystemet och dess ingående komponenter. Skulle kräva tillräckligt med resurser för att köpa en bil, analysera den kompilerade koden för styrsystemen. Flerårigt arbete och testning. 
  • Antagonist: Osannolikt att genomföras av enskild. Kan klassificeras som terroristbrott då det är svårt att motivera och koppla detta hot till stat. Trolig aktör således nätverk av antagonister med kopplingar till terrorverksamhet.

Sammanfattning

Detta är troligen min mest omfattande artikel så här långt. Omfattningen är ett resultat av att detta är ett komplicerat analysarbete som inte skall underskattas. Arbetet förutsätter en mycket bred kompetens och erfarenhet hos deltagarna och framförallt många timmar av tid för identifiering och analys.

Det resulterande arbetet av säkerhetshotbedömningen är den dimensionerande hotbeskrivningen som väver samman identifierade säkerhetshot, med tänkta händelsekedjor, aktörer och ger en textmässig beskrivning av detta.

FörsvarSäkerhetsskyddSäkerhetshot

Christoffer Strömblad

Entusiastisk Jedi inom Cybersäkerhet
 cstromblad @nopatience blog@x90.se

Har du läst dom här?

Sammanfattning: Sophos 2019 Threat Report

Säkerhetsskydd - Cyber - Introduktion