Modelowanie zagrożeń i analiza ryzyka – podejście praktyka

Niejednokrotnie, kiedy trzeba uzasadnić adekwatność zastosowanych lub – jeszcze częściej – planowanych metod i środków zabezpieczeń do rzeczywistego poziomu ryzyka, przydaje się wiedza na temat tego jak ryzyko identyfikować i analizować. Z sytuacją taką zetniemy się zwłaszcza wtedy, gdy w grę będą wchodzić poważniejsze koszty do poniesienia czy zaangażowanie poważniejszych zasobów niezbędnych do wdrożenia planowanego rozwiązania służącego bezpieczeństwu. Wątpię, by kierownictwo firmy, decydujące o inwestowaniu w bezpieczeństwo, dało się przekonać samym faktem istnienia zagrożeń. Budując ‘business case’ trzeba będzie pewnikiem pokazać wynik przeprowadzonej zgodnie z regułami sztuki analizy kosztów w odniesieniu do korzyści i to w perspektywie nie tylko biznesowej, ale także z punktu widzenia skuteczności zarządzania rzetelnie zidentyfikowanymi i poprawnie przeanalizowanymi oraz skwantyfikowanymi rodzajami ryzyk.

Ryzyko – pojęcia podstawowe

Najpierw zajmiemy się pojęciami podstawowymi, by jednoznacznie rozumieć, co dokładnie mieści się w ich zakresie znaczeniowym. Konieczne staje się tu nie tylko jednoznaczne zdefiniowanie tych pojęć na potrzeby dalszych rozważań, ale także określenie powiązań pomiędzy nimi. Ułatwieniu tego zadania ma służyć następujący diagram i później podane definicje terminów podstawowych:

Image

Ryzyko  definiuje się jako prawdopodobieństwo celowego lub przypadkowego wykorzystania przez dany czynnik materializujący zagrożenie (na przykład: człowiek, błędy na poziomie procesów i systemów, zdarzenia klimatyczne, polityczne i klęski żywiołowe itp.) określonej podatności (rozumianej jako luka w bezpieczeństwie) oraz wpływ materializacji zagrożenia na bezpieczeństwo i ciągłość funkcjonowania organizacji, jej procesów czy systemów.

Dla właściwego zrozumienia pojęcia ryzyka, należy dodatkowo zdefiniować pojęcia zagrożenia, czynnika materializacji zagrożenia, i podatności.

Pod pojęciem podatności  należy rozumieć słabe punkty lub luki w bezpieczeństwie systemów i procesów, które mogą zostać przypadkowo lub celowo wykorzystane (przez czynnik materializacji zagrożenia) do naruszenia bezpieczeństwa czy zaburzenia ciągłości działania organizacji, jej procesów czy systemów.

Zagrożenie należy rozumieć jako możliwość zaistnienia szkody, skutkiem celowego lub przypadkowego wykorzystania określonej podatności. Jego czynnik materializacji zaś, to czynnik, sytuacja lub metoda materializacji (ujawnienia) zagrożenia.

Ogólnie można zdefiniować ryzyko jako iloczyn miar zagrożenia, podatności, wartości potencjalnie zagrożonych aktywów i prawdopodobieństwa materializacji zagrożenia.

RISK = asset_value x vuln_ratio x threat_ratio x probability

gdzie:

RISK – ryzyko, asset_value – wartość potencjalnie zagrożonych aktywów, vuln_ratio – miara podatności, threat_ratio – miara zagrożenia, probability – miara prawdopodobieństwa materializacji zagrożenia.

Z uwagi na fakt, iż wartość aktywów i miara zagrożenia określają skutek materializacji zagrożenia, zaś miara podatności jest powiązana z prawdopodobieństwem materializacji zagrożenia, w uproszczonym podejściu można kwantyfikować ryzyko na podstawie iloczynu prawdopodobieństwa materializacji zagrożenia oraz skutków tego zdarzenia.

Na potrzeby tego artykułu przyjęto uproszczone podejście, zgodnie z którym ryzyko stanowi wypadkową dwóch czynników: (1) prawdopodobieństwa materializacji zagrożenia oraz (2) negatywnych następstw tego faktu. Proszę zauważyć, że o ryzyku można mówić jedynie wówczas, gdy te dwa podstawowe czynniki mają miejsce. Samo zagrożenie nie świadczy o istnieniu lub mierze ryzyka.

Stopień (miara) ryzyka wynika z oszacowania znaczenia (wagi) wymienionych elementów składowych.

W celu uczynienia omawianego modelu użytecznym, należy wycenić wagi kryteriów podstawowych i konsekwentnie się do nich odnosić przy ocenie poziomu ryzyka. Przykład oszacowania poziomów ryzyka został zilustrowany następującym diagramem:

Image

Oczywiście, zaproponowany model dotyczy jakościowego podejścia, właściwego do zastosowania w takich sytuacjach, kiedy trudno finansowo skwantyfikować ryzyka. W zilustrowanym przykładowo modelu stopnia ryzyk, przyjęto założenie oparte na uznaniu wysokiej wagi możliwych następstw materializacji zagrożeń.

Dokonując oszacowania ryzyka, należy wziąć pod uwagę fakt, że istnieje dodatkowo prawdopodobieństwo wystąpienia efektu kumulacji ryzyka. Pojawia się tego skutkiem tak zwane ryzyko zagregowane. Efekt ten występuje w takich przypadkach, gdy określony czynnik materializacji zagrożenia wykorzystuje dużą liczbę niewielkich, pod względem ryzyka, podatności, a kumulując efekty ich wykorzystania, doprowadza do efektu sumowania lub spiętrzania się ryzyk cząstkowych finalnie do dużej skali ryzyka zagregowanego.

Na dalszym etapie procesu podejmowane są decyzje odnośnie sposobów postępowania z ryzykiem.

Istnieją następujące sposoby postępowania z ryzykiem:

  • Transfer ryzyka (w przypadku, gdy koszt zabezpieczeń jest nieuzasadniony ekonomicznie, stosuje się transfer ryzyka na podmioty zewnętrzne: ubezpieczyciela lub outsourcera);
  • Akceptacja ryzyka (stosowana w przypadku braku efektywnych zabezpieczeń, ich nieadekwatnym koszcie do wartości aktywów lub w sytuacji wystąpienia możliwości akceptacji ryzyka, z braku przeciwwskazań natury prawnej lub zgodności z wewnętrznymi standardami organizacji);
  • Minimalizacja ryzyka (implementacja zabezpieczeń w celu zredukowania ryzyka do akceptowalnego poziomu i przy zachowaniu adekwatności kosztów zabezpieczeń do wartości chronionych aktywów).

Koncepcje wymienionych powyżej rozwiązań przedstawiono na poniższym rysunku:

Image

Ryzyko pozostałe po zastosowaniu możliwych i uzasadnionych ekonomicznie środków (zabezpieczeń, środków przeciwdziałających, środków kontroli lub przeniesienia części ryzyka) określa się jako ryzyko szczątkowe (rezydualne).

Modelowanie zagrożeń

Modelowanie zagrożeń jest bardzo ważnym, pierwszym etapem prac, mających na celu zapewnienie adekwatnego do zagrożeń i ryzyk, poziomu bezpieczeństwa systemów. Na bazie modelu zagrożeń można bowiem dokonać rzetelnej oceny ryzyk, zgodnie z zasadą, że dopiero pełna znajomość zagrożeń pozwala dostrzec wszystkie ryzyka i właściwie nimi zarządzać.

Podstawowym celem modelowania zagrożeń jest minimalizacja kosztów środków zabezpieczeń przy założonym, określonym poziomie ich skuteczności. Cel ten osiąga się przez zaplanowanie i wykonanie ich wdrożenia na – możliwie – jak najwcześniejszych etapach cyklu rozwoju systemu (SDLC – System Development Life Cycle), kiedy jest to nie tylko ekonomicznie korzystniejsze (tańsze), ale także prostsze do wykonania, zanim pojawi się potrzeba mniej ekonomicznie korzystnych i trudniejszych do przeprowadzenia działań naprawczych (jak na przykład „łatanie” podatności po incydencie bezpieczeństwa).

Zagrożenia, jako elementy obiektywnej rzeczywistości istnieją i będą istniały zawsze. W celu oszacowania odpowiadających im poziomów ryzyk, należy skoncentrować się na analizie czynników materializacji, istotności zagrożenia, prawdopodobieństwie jego materializacji i skutków tego zdarzenia.  Ryzyko bowiem może być niewielkie nawet w sytuacji poważnego zagrożenia, jeśli prawdopodobieństwo jego materializacji czy rozmiar skutków materializacji pozostają na niskim poziomie.

Na bazie rzetelnie i metodycznie przeprowadzonej analizy ryzyka, podejmowane są krytyczne decyzje odnośnie środków i sposobów zarządzania ryzykiem. Błędne decyzje mogą prowadzić, na przykład, z jednej strony do zastosowania niedostatecznie skutecznych środków zaradczych (niedoszacowanie ryzyka), z drugiej natomiast do ponoszenia przez organizację nadmiernych, nieuzasadnionych poziomem ryzyka, kosztów z tytułu wdrożenia i utrzymania środków zaradczych (przeszacowanie ryzyka). Bardzo istotne pozostaje zatem poznanie zagrożeń oraz analiza ryzyka od kątem prawdopodobieństwa materializacji i tego skutków.

Nie ma jedynie słusznego podejścia do modelowania zagrożeń. Wybór metod, spośród dostępnych i udokumentowanych, powinien zawsze być dostosowany do specyfiki biznesu konkretnej organizacji oraz do założeń i oczekiwań względem oceny ryzyka. Nawet jeśli przyjmie się określoną metodykę, czasem warto ją zmodyfikować, a przede wszystkim uprościć, bo klarowne procesy łatwo jest przełożyć na język praktyki. Taką też, uproszczoną metodę opisuję w dalszej części artykułu.

W pierwszym etapie modelowania zagrożeń należy dokonać (1) analizy założeń i celów w obszarze bezpieczeństwa systemu i procesów od niego zależnych.

W drugim etapie ważna jest (2) dekompozycja procesów realizowanych przez systemy oraz – w dalszej kolejności – analiza wszystkich etapów procesów. Analizę należy przeprowadzić pod kątem miejsc przetwarzania i przepływów danych w systemach. Przy tej okazji należy dokonać identyfikacji potencjalnych punktów materializacji ryzyk w tych przepływach.

W trzecim etapie procesu dokonywana jest (3) identyfikacja zagrożeń. Jej celem jest zidentyfikowanie wszystkich potencjalnych zagrożeń, których materializacja może spowodować ryzyka finansowe, prawne, reputacyjne oraz ryzyka niegodności ze standardami bezpieczeństwa i nieciągłości działania itp.

Na potrzeby przygotowania modelu zagrożeń, warto na początek przyjąć założenie odnośnie sposobu modelowania. Mamy do dyspozycji co najmniej dwa podejścia, ogólnie określane jako ‘attacker-centric’ i ‘asset-centric’.

Podejście ‘attacker-centric’ charakteryzuje się rozpatrywaniem zagrożeń z punktu widzenia atakującego, jego potencjalnych celów, motywacji, sposobów i narzędzi działania. Podejście ‘asset-centric’ polega zaś na modelowaniu zagrożeń z perspektywy aktywów i ich wartości dla organizacji.

Możliwe i czasem najkorzystniejsze jest zastosowanie uproszczonego sposoby modelowania zagrożeń w oparciu o hybrydowe podejście, łączące w sobie  rozpatrywanie zagrożeń zarówno z perspektywy atakującego (‘attacker-centric’), jak i z perspektywy aktywów organizacji (‘asset-centric’).

Do klasyfikacji zagrożeń można przyjąć własne kryteria lub jeden z dostępnych modeli, na przykład model STRIDE[i], w którym zagrożenia są kategoryzowane według przynależności do następujących grup:

  • Przejęcie i podszycie się pod czyjąś tożsamość (Spoofing Identity)
  • Manipulowanie danymi (Tampering with Data)
  • Zaprzeczanie autorstwu operacji (Repudiation)
  • Ujawnienie informacji (Information Disclosure)
  • Ataki odmowy usługi (Denial of Service)
  • Podniesienie poziomu uprawnień (Elevation of Privilege)

Przygotowany tym sposobem model zagrożeń jest podstawą oceny i zarządzania ryzykiem.

Ocena ryzyka

Ryzyko należy traktować jako wypadkową (1) prawdopodobieństwa materializacji zagrożenia i (2) skutków tego faktu dla organizacji. Bardzo dobrym narzędziem kwantyfikacji ryzyka w systemach informatycznych jest tzw. analiza DREAD. Można ją stosować zgodnie z zaproponowanym wcześniej podejściem do kwantyfikacji ryzyk, pamiętając o zmapowaniu poszczególnych parametrów DREAD do wspomnianych dwóch czynników składowych w uproszczonym modelu oceny ryzyk. O tym, jak również o znaczeniu poszczególnych parametrów kwantyfikatora DREAD chcę jednak wspomnieć w dalszej części artykułu.

Kwantyfikator DREAD stanowi ogólną miarę ryzyka. Wyliczany jest on następująco:

DREAD = (<DAMAGE>+<REPRODUCIBILITY>+<EXPLOITABILITY>+<AFFECTED USERS>+<DISCOVERABILITY>) / 5

Kwantyfikator ryzyka posiada zawsze wartość zawierającą się w przedziale od 0 do 10, gdzie najwyższa wartość oznacza największe ryzyko.

Poniżej znajduje się proponowana skala kwantyfikacji do każdego czynnika oceny ryzyka (DAMAGE, REPRODUCIBILITY, EXPLOITABILITY, AFFECTED USERS, DISCOVERABILITY)

Poziom strat (DAMAGE)

W przypadku, kiedy dojdzie do materializacji zagrożenia, jakie są spodziewane straty?

  • 1 = Pomijalne straty lub brak strat
  • 5 = Średnia strata, strata dotycząca pojedynczego użytkownika
  • 10 = Duża strata, na przykład całkowite zniszczenie systemu lub danych

Łatwość odtworzenia ataku/materializacji zagrożenia (REPRODUCIBILITY)

Jak łatwo można powtórzyć atak czy spowodować ponowną materializację zagrożenia?

  • 1 = Bardzo trudno lub jest to wręcz niemożliwe, nawet dla użytkownika posiadającego przywileje administratora.
  • 5 = Wymagane jest wykonanie jednej lub kilku czynności oraz często posiadanie odpowiednich autoryzacji.
  • 10 = Wystarcza przeglądarka internetowa lub interfejs klienta aplikacji bez dodatkowych narzędzi i bez konieczności uwierzytelnień użytkownika.

Poziom trudności ataku, poziom trudności spowodowania materializacji zagrożenia (EXPLOITABILITY)

Co jest wymagane do skutecznego przeprowadzenia ataku czy spowodowania materializacji zagrożenia?

  • 1 = Zaawansowane umiejętności techniczne, duża wiedza programistyczna, zaawansowana wiedza na temat protokołów sieci i architektury systemów, własne lub skomplikowane technicznie narzędzia do przeprowadzenia ataków.
  • 5 = Szkodliwe oprogramowanie dostępne w Internecie, gotowe i łatwe w użyciu wytrychy, powszechnie dostępne narzędzia do testów bezpieczeństwa.
  • 10 = Tylko oprogramowanie typu przeglądarka lub narzędzia systemu operacyjnego dostępne z linii poleceń powłoki systemowej.

Poszkodowani użytkownicy (AFFECTED USERS)

Ilu użytkowników jest poszkodowanych?

  • 0 = Brak
  • 5 = Niektórzy użytkownicy
  • 10 = Wszyscy użytkownicy

Wykrywalność (DISCOVERABILITY)

Jak łatwo jest zidentyfikować zagrożenie/podatność?

  • 1 = Zidentyfikowanie zagrożenia/podatności jest bardzo trudne lub wręcz niemożliwe; wymaga analizy kodu źródłowego lub/i dostępu do systemów na prawach administratora.
  • 5 = Możliwe przez śledzenie logów lub dzienników zdarzeń.
  • 9 = Szczegółowe informacje o podatności dostępne w specjalistycznych, ogólnodostępnych serwisach poświęconych bezpieczeństwu lub dostępnych w sieci Internet serwisach dostawców oprogramowania / systemów.
  • 10 = Informacje świadczące o podatności są widzialne poprzez interfejs oprogramowania.

Pomocne w mapowaniu parametrów DREAD do miary prawdopodobieństwa materializacji zagrożeń i wpływu materializacji zagrożeń na biznes organizacji, może być traktowanie czynników ‘Damage’ i ‘Affected Users’ w kategoriach rezultatu materializacji zagrożeń, podczas gdy wypadkowej czynników: ‘Reproducibility’, ‘Exploitability’ i ‘Discoverability’ jako miary prawdopodobieństwa materializacji zagrożeń.

Zakończenie

Jak widać, przeprowadzenie analizy ryzyka nie jest zadaniem trudnym. Zresztą wszystko wydaje się trudne dopóki nie stanie się łatwe :-).

W każdym razie, warto włożyć trochę wysiłku w opracowanie najlepiej dostosowanego do naszych potrzeb podejścia, a potem – co ogromnie ważne – trzymać się go konsekwentnie.


[i] Na podstawie: “Uncover Security Design Flaws Using The STRIDE Approach” – Shawn Hernan, Scott Lambert and Tomasz Ostwald and Adam Shostack

About these ads

Informacje Janusz Nawrat
Just ordinary man who likes thinking...

One Response to Modelowanie zagrożeń i analiza ryzyka – podejście praktyka

  1. Janusz Nawrat pisze:

    This article may be available in English on your request.

Dodaj komentarz

Wprowadź swoje dane lub kliknij jedną z tych ikon, aby się zalogować:

WordPress.com Logo

Komentujesz korzystając z konta WordPress.com. Log Out / Zmień )

Twitter picture

Komentujesz korzystając z konta Twitter. Log Out / Zmień )

Facebook photo

Komentujesz korzystając z konta Facebook. Log Out / Zmień )

Google+ photo

Komentujesz korzystając z konta Google+. Log Out / Zmień )

Connecting to %s

Follow

Otrzymuj każdy nowy wpis na swoją skrzynkę e-mail.

%d bloggers like this: