Abuse Case – Tillit genom negativa krav (Ta på din svarta hatt!) Christer Mattson Christer • • • • • • • • Kravledare Testledare Projektledare Förvaltningsledare Linjechef Mentor Strateg Process- och metodansvarig • Ansvarig Teståtaganden • 100 specialister inom kravhantering och test • Utbildar över 1300 personer per år • Deltagarnas snittbetyg är 5,3 (6,0) • Lönsamt varje år sedan starten 2001 Ett säkerhetskrav? Ett säkerhetskrav? • • • • • • • begripligt? säkerhet för vem/vad? vilket slags säkerhet? kontext? målgrupp? ägare? testbart? Är säkerhet annorlunda? Alla vill väl väl? Å andra sidan… “Det finns alltid en motståndare också.” Roberth Björknesjö, huvudtränare i Östers IF Motståndaren Säkerhet undviker publicitet 2015-10-15 11 Varför vill vissa illa? pengar politik makt Säkerhet som en kvalitet “Software security is not security software.” Gary McGraw, CTO Cigital Varför säkerhetskrav? Målet är rätt säkerhet • inte största möjliga • den vi behöver • den vi har råd med • förutsebar Alternativet är ”penetrate and patch” När byggs säkerhet? Proaktivt Förebyggande säkerhetsarbete möjliggör tillit • internt • externt Reaktivt Alternativet är brandsläckning och yttre ingripanden När byggs säkerhet? Proaktivt Reaktivt Hur byggs säkerhet? människa process teknologi • kunskap • riskmedvetande • motivation • förutsägbarhet • robusthet • färre ”hjältar” • arkitektur • systemsyn • livscykeltänkande säkerhet inte någon annans problem Säkerhet som investering Vad är skyddsvärt? Sekretess Riktighet Bygger på säkerhetskontroller • Åtkomstkontroll • Spårbarhet • Oavvislighet Tillgänglighet Vad avser säkerhetskraven? • vad systemet gör (och inte gör) –funktionella • systemets egenskaper –icke-funktionella • hur systemet hanteras –processer genom livscykeln • tillit avseende allt detta Varifrån kommer säkerhetskraven? “all information ska klassificeras…” “företaget har en standard för logghantering” arkitektur regler risk krav Endast säkerhetsklassad personal får sköta förvaltningen “ett specifikt hot föreligger mot detta system” Kundinformation skall hanteras som konfidentiell Säkerhetsloggar ska skickas till centrala loggsystemet Till vem ställs säkerhetskraven? • systemets tillverkare – ”bygg såhär” • systemets ägare – ”kontrollera såhär” • systemets förvaltare – ”ändringshantera såhär” • systemets konsumenter – användarvillkor Varför kan systemet angripas? Krav och design • Vi introducerar ”logiska” sårbarheter genom bristfällig kravställning och dålig design Implementation • Vi introducerar tekniska sårbarheter genom att programmera fel Drift och förvaltning • Brister i processer och rutiner introducerar sårbarheter i driftmiljön – patchrutiner, baskonfiguration Hur går det till? Även angripare vill återanvända! attackmönster Erfarna säkerhetstestare vet… tekniktung expertis Finns det fler vägar till kunskap? tänk ”motiv” ”STRIDE” - Några attackmönster Spoofing identity Tampering with data Repudiation Information disclosure Denial of Service Elevation of privilege Utge sig för att vara någon annan Manipulera data Förneka handling Röja hemlig information Tillgänglighetsattack Tillskansa sig högre rättigheter Läsa mer: http://msdn.microsoft.com/en-us/magazine/cc163519.aspx Enkel attackmodell Kund S T E R Beställ artikel D I Sök artikel Webbshop Negativt funktionellt krav: hotkälla use => “abuse ”det+ska intecase vara möjligt att…” case” Från Use Case till Abuse Case Missbruk är alltid möjlig där legitim användning är möjlig........ Visa journal Titta på ”kändis” journal Hacktivist Lista e-recept Patient Manipulera e-recept Boka besök Patient/Langare? Use Case Abuse Case Det här är inget nytt… motiv tillfälle metod medel Två sorters krav …ska kunna se aktuellt kontosaldo… Använd Abuse Cases positiva krav negativa krav …ska inte kunna se annans konto… Säkerhetskrav härledda ur Abuse Case Hotdrivet • det finns alltid en motståndare Negativa krav • ”det skall inte gå att…” Input till design • vilka säkerhetsfunktioner behöver vi? Input till test • ”visa att det inte går att…” När behövs inte dokumenterade säkerhetskrav? Tankeexperiment… • ett system som inte behöver någon säkerhet alls? • en underliggande infrastruktur som inte ställer några krav på “hyresgästen”? • en allvis ”konstruktör” som kan alla regelverk och förstår exakt vad beställaren behöver och vill ha? • evig tillgång till förvaltare som har full inblick i de implicita kraven • inga externa parter som någonsin behöver tillit Kurs Kvalitetssäkra din IT-säkerhet “Vadå säker?” Säkerhet börjar med krav Tar du risken? Från krav till test När teorierna möter verkligheten Abuse Case – Tillit genom negativa krav Checklista  veta vad som är skyddsvärt  vilka kvaliteter behövs?  Sekretess  Riktighet  Tillgänglighet  ha ordning på säkerhetskraven  positiva  negativa  Abuse Cases en del av systemets säkerhetskrav  alla vill inte väl – tänk tillit tidigt! Frågor? [email protected] 08-586 178 00 www.konsultbolag1.se (se Blogg1) www.linkedin.com/company/konsultbolag1 www.facebook.com/konsultbolag1 @Konsultbolag1