Begrepp

Här kan du läsa om olika begrepp och metoder som vi slänger oss med i IT-säkerhetsvärlden.

Innehåll:

CIA - Confidentiality, Integrity, Availability

I princip allt inom säkerhet kan kokas ned till CIA-triaden, det är en modell med tre ben som är beroende av varandra. Det går inte att bygga HELT säkra system och samtidigt bibehålla god tillgänglighet. Beroende på målet med din verksamhet så är olika ben ”värda” olika mycket.

Confidentiality – Att behålla hemligheter hemliga. Hur vi säkerställer att obehöriga ej har access till information. Detta säkerställer vi på olika sätt, men vanligtvis handlar det om kryptering. Vi kan prata om confidentiality kopplat till data in transit, storage eller use.

Integrity – Att förhindra förändringar. Den information som vi sprider eller besitter ska EJ ändras utav obehöriga aktörer. Tex om vi har X antal kronor på bankkontot och genomför en transaktion så skall transaktionen vara korrekt med det värdet vi ska förändra. Lättare sätt att begripa detta är att tex tänka en nyhetsartikel, att allt vi skriver där skall överensstämma med verkligheten och inte kunna manipuleras. Detta säkerställer vi genom tex filhashar.

Availability – Tillgängligheten. Hur säkert ett system än må vara så måste det vara tillgängligt för att vi ska kunna dra någon nytta av det. Kan mätas på olika sätt och påverkas ofta av fysiska hot eller felkonfigureringar. Tex en jordbävning slår ut vårt datacenter = inte kul.

IAAA - Identification, Authentication, Authorization, Auditing, Accountability

IAAA, oftast bara ”AAA”. Processen för att identifiera dig och slutligen kunna hålla dig ansvarig för handlingar i ett system.

Identification – Du påvisar en viss identitet. Tex du skriver in ditt användarnamn.

Authentication – Du påvisar att du besitter kontroll över identiteten. Tex du skriver in lösenord.

Authorization – Du är behörig eller inte behörig till systemet eller processen. Tex du är behörig att logga in till Gmail, du är behörig till att läsa DIN mailkorg, men inte ALLAS mailkorgar.

Auditing – Revision, kontrollen av att rätt identiteter, authentieringsmetoder och behörigheter finns på plats. Auditing innebär revidering av systemet.

Accountability – Ansvarstagande. Du som inloggad ska kunna vara ansvarig för handlingarna som sker i systemet. Du ska kunna ställas till svar för handlingarna som sker, tex om du skickar ett meddelande över messenger så ska det vara säkert att det var du som sände detta.

Protection mechanism

Layering – Defence in depth, alltså lager på lager. Lika som när man klär på sig när det är kallt så bygger vi säkerhet i lager. Om något failar så vill vi ha extra skydd som backar upp.

Abstraction – Används för effektivitet, liknande element grupperas. Det ger en överblick så att vi kan genomföra samma actions på större grupper. Tex ”Personal”, ”Datorer” eller ”mobiler”.

Data hiding – Göm data, inte svårare än så. Tex du behöver inte skylta med din top-hemliga information, göm den bara..

Encryption – Göm din data genom att göra den oläslig. Encryption innebär dock att det GÅR att återfå datan till sin ursprungliga form, tex sändare och mottagare kan läsa men ingen annan.

Plans

Strategic – Löper över LÅNG tid, flera år. Inte så flexibel, mer kanske en vision.

Tactical – Mellantinget, oftast på årsbasis. Lite mer flexibel, men ändå helhet.

Operational – Kortaste alternativet, kanske en två-veckors sprint eller liknande. Projektplan som beskriver korta och flexibla handlingar.

Change Control/Management

Change management innebär att man har koll på ändringar som sker kopplat till systemen man underhåller. Målet med change management innebär att ändringar EJ ska leda till försämrad säkerhet. Det skall även vara tillgängligt att genomföra en rollback efter ett genomfört change. Tänk typ patcher eller drivrutiner.

Change management bör vara implementeras i större delen av livscykeln. Det kräver dock stora resurser för att vara så pass involverat. Change management bygger på configuration management, eftersom du först behöver veta vilka configurations du har innan du kan genomföra ett change på dessa. Alla steg i change management bör vara kontrollerade och dokumenterade. Change är kontrollerade och godkända av en CAB, Change Advisory Board.

Data Classification

Att klassificera sin data innebär att du grupperar den beroende på känsligheten (sensitivity) av innehållet. Det är ineffektivt att behandla ALL data på samma sätt, behandla den för strängt och det kostar för mycket resurser, behandla den för löst så läcker känslig information ut. Klassificering ser ut på olika sätt om man pratar militär eller civila aktörer.

Militära:
Top-secret
Secret
Confidential
Sensitive but unclassified
Unclassified

Civil:
Confidential/Private
Sensitive
Public

Roles and Responsibilities

Senior management – Den organisatoriska ägaren som har det absoluta ansvaret för säkerheten runt organisationen. Har ansvar på hög nivå, oftast ansvar över tex policys.

Security Professional – (Typ jag! KUL!) Personal som är ansvarig för att säkerställa säkerheten vid företaget i förhållande till säkerhetspolicyn som senior management tagit fram.

Data owner – Ansvarig över att klassificera data och skydd för en specifik lösning. Troligtvis lite högre upp i kedjan, delegerar uppgifter till Data Custodian.

Data Custodian – Ansvarig för daglig hantering av data och implementering av säkerhetslösningar bestämda högre upp i kedjan.

User – Användare, den som nyttjar systemet.

Auditor – Revisor, den som säkerställer att systemen efterföljer de förväntade åtgärderna. Tex om det uppfyller kraven för ISO 27001 osv.

Security control frameworks

Frameworks är ramverk tänkta att underlätta säkerhetsarbetet genom att redan ha färdiga ”mallar” för vad som förväntas av systemen.

COBIT – fokuserar på management, nyttjas oftast av auditörer.

OSSTM – Open source security testing methodology manual

ISO 27002 – En internationell standard som kan vara grund för implementering av organisatorisk säkerhet.

ITIL – Fokuserar på tjänster. Best practice för IT security och operational.

Due care / Due diligence

Due care – Du GÖR rätt saker, tex du ser en öppen dörr till ett datacenter som borde vara stängd – Du stänger dörren.

Due diligence – Du upprättar rätt förutsättningar att utöka due care. Tex du skriver en policy om att man ska skydda anläggningen, så när någon ser en öppen dörr till datacentret så vet folk att den ska vara stängd.

Policy, standards, procedures & guidelines

Policy – Det mest övergripande, bör inte vara detaljerad och enbart beskriva säkerheten på hög nivå. Typ ”vi ska skydda våra tillgångar”

Standard – Mer detaljerad än policy, men bör ändå vara relativt formbar. Tex ”Vi ska använda stark kryptering på våra tillgångar”

Baseline – En operationell standard, det är en grund. En baseline är din minsta nivå, något du kan utgå ifrån. Tex du installerar alla datorer på exakt samma sätt, så de startas upp med exakt samma grundinställningar, det är din baseline.

Procedures – Detaljerade guider för hur något genomförs. Tex ”1, klicka på on-knappen vid datorn. 2, öppna terminalen. 3, skriv ”echo Hello World””

Guidelines – Bör ses som best-practice, något som är frivilligt att genomföra, men förespråkas. Typ ett företag släpper en guide för att säkra ditt hemma wi-fi.

Policy, Standard och Procedure SKALL följas, guidelines är mer High Chaparral, gör som du vill..

Threat modeling

SD3+C – Ett ramverk från Microsoft som inkluderar: Secure by design, Secure by Development, Secure in Deployment and Communication

Asset focused – fokuserar på dina tillgångar, personal, system, IT, byggnader osv.

Attacker focused – fokuserar på attackerarna som är ute efter dig. Vilka är ute efter dig och hur angriper dom?

Software focused – fokuserar på mjukvaran du nyttjar. Vilka buggar finns, vilka patcher finns, vilken hjälp finns att tillgå hur du skyddar dig?

STRIDE – ytterligare ett ramverk från Microsoft. Spoofing, Tampering, Repudiation, Information Disclosure, Denial, Elevation of Priviledge

PASTA – Process for Attack simulation and Threat Analysis. 7-stegsraket, fokuserar på risk och åtgärder i relation till värdet av tillgången.
1, Definition of the Objectives for the analysis of Risks
2, Definition of the technical Scope
3, Application Decomposition and Analysis
4, Threat Analysis
5, Weakness and Vulnerability analysis
6, Attack Modeling & Simulation
7, Risk Analysis & Management

VAST – Visual Agile Simple Threat, låter enkelt och smidigt men är utvecklad som ett svar på tidigare modeller och skall vara rätt så hardcore. Vill implementera risk assessment i en agil miljö.

DREAD – Damage, Reproducibility, Exploitability, Affected users, Discoverability. Risk-assessing metod som ska ge ett flexibelt angripssätt. Du ställer dig frågor kring dessa faktorer och får sen ut en score som är till hjälp att prioritera risker.

Supply chain

Ingen tillverkar ALLT inhouse, tänk en bil. Biltillverkaren bryter inte sina egna metaller, kodar IT-systemen, löder kretsar, svarvar fälgarna osv osv HELT själva inhouse. Någonstans finns en leverantör som även den kan bli påverkad av säkerhetsbrister. Att säkerställa sin supply chain upprätthåller godkända säkerhetsrutiner är viktigt. Hur säkerställer vi detta då? Jo…

On-site assessment – Besök till leverantören, inspektera själv hur det ser ut.

Document Exchange and Review – Undersök hur information utbyts och processerna kring deras informationsutbyte.

Process/policy Review – Begär utdrag från deras säkerhetspolicies och procedures. Undersök dessa och identifiera om de uppfyller kraven.

Third-party audit – Begär en tredje part att genomföra revidering av din supply chain om den uppfyller era krav. Presenteras oftast i en SOC-rapport, finns flera typer och nivåer av dessa, beroende på om det är en rent ekonomisk rapport, säkerhetsfokuserad eller tänkt för publikt intresse.

Separation of Duties

Separation of duties innefattar hur vi delar upp uppgifter mellan flera partner, för att undvika att en och samma person får för mycket behörigheter. Tex vi separerar uppgifter kring utbetalningar så att det inte ska kunna missbrukas.

Job responsibilities

Arbetsuppgifter, formell deklarering av vad du som medarbetare förväntas genomföra.

Job rotation

Rotera personal mellan olika uppgifter, detta är bra för att sprida kunskap runt arbetsplatsen och upptäcka missbruk kopplat till arbetsuppgifter eller ansvar.

Screening + Hiring

Innan man anställer personal bör man genomföra ordentlig bakgrundcheck, vilket kan inkludera verifikation av belastningsregister, referenser, utbildning och säkerhetsklass. Bakgrundcheckerna genomförs för att säkerställa personens historik och att den information som presenteras i CV osv är korrekt. Hur intensiv bakgrundchecker bör variera beroende på arbetsuppgifter och position i organisationen.

Agreements and policies

När kandidaten anställs skrivs anställningsavtal med information vad som gäller på arbetsplatsen och vilka arbetsuppgifter som gäller för arbetsrollen.

NDA – Nondisclosure agreement. Dokument som innehåller villkor för arbetstagaren om vilken information som denne inte får dela med sig av. Tex om man jobbar med hemlisar så får man inte gå ut på krogen och avslöja hemlisarna för nya spännande folk man träffar. Vad som sker på jobbet stannar på jobbet.

NCA – Noncompete agreement. Dokument som innehåller villkor om att arbetstagaren INTE får gå vidare till en konkurrent. Oftast används detta om personal besitter spetskompetens som är viktigt för företagets överlevnad. Företaget vill behålla ett övertag och inte släppa kompetens till konkurrenter.

Onboarding & Termination

Onboarding är första perioden för en nyanställd där den blir familjär med företaget, dess resurser, arbetsprocesser osv. Oftast genomförs en rad olika utbildningar som ska forma den nyanställda till företagets specifika processer och arbetssätt. Den får även korrekta rättigheter och behörigheter till system.

Termination – När en anställd slutar vid företaget. Beroende på hur ansträngt läget och varför den tidigare anställda slutar (avskedad/pension/jobbyte) så kan det ske olika smidigt. Det bör ske respektfullt och ordentligt i vilket fall som helst. Minst ett vittne bör finnas på plats, den tidigare anställda bör bli eskorterad ut från byggnaden, alla accesser ska revokeras och företagets prylar lämnas tillbaka (kort, mobil, dator osv). Detta beskrivs väldigt amerikanskt inför CISSPet, lite väl extremt med våra mått kanske..

Vendor, Consultant & Contractor Agreements & Controls

Olika typer av avtal och kontrakt skrivs mellan företag som gör business med varandra. Det här kapitlet fokuserar på SLA, Service Level Agreement. Det är ett avtal oftast förekommande genom att någon köper en tjänst, tex ”Vi företag A köper en cloud-tjänst av företag B”. I SLAt skriver man då vilka parametrar som ska gälla så som:
– System uptime
– Maximum consecutive downtime (mäts i hur många 9:or tex 99.99% uptime)
– Peak load
– Average load
– Responsibility for diagnostics
– Failover time

Policy Requirements

Compliance Policy Requirements – Compliance innebär att man följer de gällande regler, policys, standards eller krav. Compliance är till stor del kopplat till Security Governance, alltså hur du ser över din säkerhet. Det finns även compliance på ett personligt plan, vilket innefattar hur du som anställd följer de regler och rutiner som finns på företaget.

Privacy Policy Requirements – Privacy är ett lite speciellt området inom IT, det finns ingen riktig definition men många liknande. Det har att göra med att du som individ ska kunna röra dig fritt på internet och inte bli spårad, övervakad eller på annat sätt utnyttjad på internet utan att lämna samtycke eller iallafall bli informerad.

Risk Terminology

SD3+C – Ett ramverk från Microsoft som inkluderar: Secure by design, Secure by Development, Secure in Deployment and Communication

Asset focused – fokuserar på dina tillgångar, personal, system, IT, byggnader osv.

Attacker focused – fokuserar på attackerarna som är ute efter dig. Vilka är ute efter dig och hur angriper dom?

Software focused – fokuserar på mjukvaran du nyttjar. Vilka buggar finns, vilka patcher finns, vilken hjälp finns att tillgå hur du skyddar dig?

STRIDE – ytterligare ett ramverk från Microsoft. Spoofing, Tampering, Repudiation, Information Disclosure, Denial, Elevation of Priviledge

Threats & Vulnerabilities

On-site assessment – Besök till leverantören, inspektera själv hur det ser ut.

Document Exchange and Review – Undersök hur information utbyts och processerna kring deras informationsutbyte.

Process/policy Review – Begär utdrag från deras säkerhetspolicies och procedures. Undersök dessa och identifiera om de uppfyller kraven.

Types of controls

On-site assessment – Besök till leverantören, inspektera själv hur det ser ut.

Document Exchange and Review – Undersök hur information utbyts och processerna kring deras informationsutbyte.

Process/policy Review – Begär utdrag från deras säkerhetspolicies och procedures. Undersök dessa och identifiera om de uppfyller kraven.

Asset Valuation & Reporting

On-site assessment – Besök till leverantören, inspektera själv hur det ser ut.

Document Exchange and Review – Undersök hur information utbyts och processerna kring deras informationsutbyte.

Process/policy Review – Begär utdrag från deras säkerhetspolicies och procedures. Undersök dessa och identifiera om de uppfyller kraven.

Awareness, Education & training

On-site assessment – Besök till leverantören, inspektera själv hur det ser ut.

Document Exchange and Review – Undersök hur information utbyts och processerna kring deras informationsutbyte.

Process/policy Review – Begär utdrag från deras säkerhetspolicies och procedures. Undersök dessa och identifiera om de uppfyller kraven.

Kontakt

Tycker du det jag gör är så pass intressant att du vill kontakta mig? Kanske vill du rätta något jag skrivit, fråga om ett ämne eller be om konsultation, föreläsningar eller liknande?

Hojta till här i formuläret så hör jag av mig!