onsdag 22. februar 2017

En digital Geneve-konvensjon?

Under åpningen av årets RSA Conference 2017 kom Brad Smith, President og Chief Legal Officer i Microsoft på scenen. Han leverte et sterkt argument for at verden nå er moden for en Digital Geneve-konvensjon.

Men; er verden virkelig moden for det, og hvorfor var det nettopp Microsoft som foreslo dette?

Geneve-konvensjonene består av fire traktater. Den første, som omhandler Forbedring av sårede og sykes kår i de væpnede styrker i felten, ble vedtatt helt tilbake i 1864 etter den brutale krigen mellom Sardinia, Frankrike og Østerrike. De tre andre konvensjonene er Konvensjonen om forbedring av sårede, syke og skibbrudnes kår i de væpnede styrker til sjøs, Konvensjonen om behandling av krigsfanger og Konvensjonen om beskyttelse av sivile i krigstid. Sistnevte er den konvensjonen som er relevant for forslaget fra Microsoft.

Hensikten med konvensjonene er å sørge for at alle nasjoner som har signert dem, er pålagt å vedta et lovverk som gjør brudd på konvensjonene straffbare. Tanken er altså å komme frem til internasjonalt vedtatte spilleregler for konflikt i det digitale rom. På den måten kan verdenssamfunnet unngå store globale, regionale eller lokale skadevirkninger som følge av angrep på digital infrastruktur.

Tilbake til forslaget fra Microsoft. De setter opp seks punkter :
  1. No targeting of tech companies, private sector or critical infrastructure
  2. Assist private sector efforts to detect, contain, respond to and recover from events
  3. Report vulnerabilities to vendors rather than to stockpile, sell or exploit them
  4. Exercise restraint in developing cyber weapons and ensure that any developed are limited, precise and not reusable
  5. Commit to nonproliferation activities to cyberweapons
  6. Limit offensive operations to avoid a mass event
Det første en kan spørre seg om, er om dette vil kunne fungere i praksis. Vil nasjonalstater virkelig innrette seg etter slike regler? What's in it for them?

Det er en generell enighet om at sikkerhet på internett i hovedsak er et anliggende for privat sektor. Privat sektor eier det aller meste av infrastrukturen, og det er i hovedsak privat sektor som både bruker og som blir angrepet gjennom internett. Nasjonale myndigheters rolle er i hovedsak avgrenset til å etterse at privat og offentlig sektor følger de spillereglene som er satt opp. Vil en Digital Geneve-konvensjon endre på dette? Ja, jeg tror det. Hvis nasjonalstatene gjøres mer ansvarlig for sikkerheten i det digitale rom, må vi forvente at de også vil ta en større rolle i sikringen av det. Hva det eventuelt kan bety vet vi ikke enda.

Et annet spørsmål her er om alle nasjonalstater faktisk ønsker en slik konvensjon. Foreløpig er det enorme forskjeller i nasjonale kapasiteter for krigføring i det digitale rom. Cyberoperasjoner er asymmetriske, billige og de gir effekt. Attribusjon er vanskelig, i alle fall vanskeligere enn ved tradisjonelle operasjoner. De nasjonene som har opparbeidet seg et fortrinn, hvorfor skal de ville gi slipp på det? 

Det er heller ikke slik at all sivil infrastruktur i det fysiske rom er beskyttet mot andre nasjoners krigføring. Veier, broer, strømlinjer, toglinjer osv kan være lovlige mål, dersom de direkte understøtter militære operasjoner. Generaladvokat Arne Willy Dahl skriver i sin Håndbok i militær folkerett at operasjoner i digital infrastruktur også kan være lovlige.

Poenget er at en Digital Geneve-konvensjon neppe vil kunne helt fjerne risikoen for at nasjonalstater angriper både sivil og militær digital infrastruktur. Men; en slik konvensjon kan trekke opp nye spilleregler som forhåpentligvis kan bidra til å forhindre at slike angrep får større skadevirkninger enn det som er nødvendig.

Et helt annet, og veldig interessant spørsmål er: Hvorfor er det nettopp Microsoft som kommer med dette forslaget? Hvorfor er det ikke en nasjonalstat som har foreslår det?

At globale IT-selskaper har blitt en betydelig maktfaktor er det ingen tvil om. Produktene deres styrer og utvikler hvordan vi lever livene våre, og både vi som enkeltpersoner og nasjonalstater må forholde oss til dem nærmest som om de er stater i det digitale rom.

Microsoft vil nok helst at vi tenker på deres Corporate Social Responsibility, altså at de nå tar ansvar for verdensfreden. I alle fall i det digitale rom. Og det skal vi absolutt tenke på. Vi er avhengige av at de har intensjon om å ivareta våre behov, også det for trygghet.

Men; til syvende og sist tror jeg at vi ser dette fra Microsoft fordi det er i deres egen interesse å få på plass en Digital Geneve-konvensjon. Cyberkrig og cyberkriminalitet skaper frykt og reduserer tillit, og er derfor en motkraft til den globale digitaliseringen. Det er dårlig nytt for Microsoft, Apple og alle de andre globale IT-gigantene. De er avhengig av et miljø som muliggjør vekst. 

Heldigvis er det sammenfallende med våre egne interesser. Eller? 



mandag 6. februar 2017

DGF eller VDI, er det egentlig spørsmålet?

Etter at Lysne II-utvalget la frem sin anbefaling om et Digitalt Grenseforsvar (DGF) har debatten ikke latt vente på seg. Heldigvis.

Et stort antall etater, virksomheter og privatpersoner har gitt sitt høringssvar, disse kan du lese her: https://www.regjeringen.no/no/dokumenter/horing-av-rapport-avgitt-av-lysne-ii-utvalget-om-digitalt-grenseforsvar/id2513635/

Jeg har selv fått bidratt til høringssvaret fra NorSIS, og skal ikke kommentere hverken det eller andre høringssvar direkte. Men; I debatten som har fulgt har det kommet frem noen påstander og synspunkter som jeg vil kommentere. Som privatperson selvsagt.

"DGF skal ikke stanse noen digitale angrep, så det blir feil å kalle det et forsvar. Grenseovervåking er et mer korrekt begrep".

Jeg leser mye mer inn i utvalgets rapport enn tekniske sensorer. Poenget er vel at nasjonen trenger et digitalt forsvar mot fremmed etterretning. Radarkjeden som overvåker luftrommet vårt forhindrer selvsagt ingen fiendtlige fly å fly inn i vårt luftrom. Det er imidlertid en helt nødvendig del av vårt "grenseforsvar". En mer nyttig diskusjon ville være hvilken informasjon sikkerhetsmyndighetene skal få tilgang til, og hvilke kapasiteter Norge skal ha for å "forsvare" seg i det digitale rom.

"Det er ingen grenser i det digitale rom, bare ulike nettverk som er koblet sammen". 

På et tidspunkt passerer kabelen vår landegrense. Etter mitt syn er det vesentlig, for våre beredskapssystemer (Forsvarets beredskapssystem og Sivilt beredskapssystem) muliggjør visse pålegg og "tvangsmidler" i krise og krig. Disse gjelder naturlig nok bare for infrastruktur i Norge. I fredstid kan politiet gjennomføre etterforskning i infrastruktur i Norge. Jeg tror derfor at de digitale gensene er ganske overlappende med de digitale. Med ett viktig unntak. Kritiske samfunnsfunksjoner kan være avhengig av infrastruktur utenfor Norge.

"VDI er et digitalt grenseforsvar nok, vi trenger ikke det Lysne-II foreslår".

Helt uenig, av flere grunner. Men først; vi vet ikke i detalj hvilken teknologi eller teknisk tilnærming et DGF kan ha. Å sammenligne det med VDI som er en helt konkret teknisk løsning, blir derfor vanskelig. I tillegg er mange detaljer om VDI's oppbygging sikkerhetsgradert informasjon, slik at vi heller ikke kan diskutere detaljene omkring det.

En vesentlig ulikhet mellom VDI og DGF er imidlertid de strategiske tilnærmingene. VDI er et "verdiorientert" sensorsystem som plasseres tett mot virksomheten som skal beskyttes. Dette gir mening når du har god kontroll på hva som er viktig å passe på. DGF er på sin side et "trusselorientert" sensorsystem, som plasseres der du tror at angriperen vil passere. Dette gir mening når du har god kontroll på hvor trusselen er, men ikke er helt sikker på hva han kan finne på å angripe.

Lysne I-utvalget ga oss en god beskrivelse av vårt digitaliserte samfunn, preget av kompleksitet og lange digitale verdikjeder. Med andre ord, viktige samfunnsfunksjoner er bygget opp av mange deler som er spredt geografisk og over ulike sektorer og virksomheter.  Det er lett å se at en verdiorientert tilnærming til overvåking blir svært vanskelig å realisere i praksis. Trolig umulig.

Den eneste fornuftige tilnærmingen er derfor trusselorientert, og selv om et sensorsystem langs grensen ikke vil fange opp ALLE trusler, så er det likevel det beste valget av de to.






lørdag 12. september 2015

Overvåking og opptak av innholdsdata

Jeg var til stede da NSM overleverte sitt Sikkerhetsfaglige råd til Forsvarsdepartementet og Justis- og beredskapsdepartementet (1).

Digi.no (2) viser til at NRK stilte spørsmål ved at NSM ønsket en utvidelse av VDI systemet, et nettverk av sensorer som NSM bruker til å fange opp hendelser i noen av virksomhetene de samarbeider med.

På direkte spørsmål svarte direktøren i NSM, Kjetil Nilsen, at det ikke var snakk om å ta opp all datatrafikk, men noen ytterst få datapakker knyttet til IDS-signaturen. Problemet er bare det at det som FD skriver i sitt nye lovforslag er noe helt annet (3). Lovforslaget er helt tydelig på at det vil være behov for å ta opp innholdsdata. Det er heller ikke lurt å la være å ta opp innholdsdata dersom man faktisk ønsker å kartlegge omstendighetene rundt en hendelse.

Det hender ganske ofte at en håndteringsenhet får informasjon om en hendelse som fant sted for noe tid siden. Dette kan for eksempel være at man får vite om en kampanje hvor en trusselaktør har sendt ut såkalte phishing-eposter. I et slikt tilfelle vil vi vite om våre ansatte har vært utsatt for kampanjen. Siden dette er ny informasjon, har vi ikke forberedt noen logger på å fange det opp, så vi må lete i historiske data. Hvis vi ikke på forhånd har bestemt oss for å ta opp all datatrafikk, alle eposter eller i det minste alle epost-headere... ja da finner vi rett og slett ikke ut av det.

I andre tilfeller kan vår virksomhet være blant de første som oppdager en slik kampanje. Det er ganske vanlig at en slik kampanje består av ulike faser, der trusselaktøren bruker en ganske stor infrastruktur i gjennomføringen av angrepene. Kanskje han kontrollerer en webside som våre ansatte har for vane å besøke. Når de så gjør det, sendes de videre til en annen del av hans infrastruktur hvor selve angrepskoden leveres. Etter at infiltrasjonen er vellykket er det andre kommando- og kontroll servere som styrer innhenting av informasjon eller oppdatering av angrepskoden. Over tid kan mange forskjellige IP-adresser være involvert.

For å forstå trusselaktørens taktikk og prosedyrer må en nitidig lete gjennom store mengder datatrafikk for å sette sammen et bilde. Det sier seg selv at for å få til dette, må man faktisk ha tilgang til all datatrafikk, inkludert innholdet.

Jeg regner med at Nilsens svar til NRK var basert på en misforståelse. Det er nemlig en god grunn til at lovforslaget er så tydelig på at opptak av innholdsdata er nødvendig. Imidlertid er det slik at det ikke bare er NSM som har behov for dette. Alle virksomheter som har behov for å beskytte seg i det digitale rom må ha hjemmel til å gjøre det samme.

Det er vel ingen som tror at NSM skal gjøre dette for alle virksomheter i Norge?

(1) https://norsis.no/2015/09/sikkerhetsfaglig-rad/
(2) http://www.digi.no/juss_og_samfunn/2015/09/11/foreslar-mer-overvaking-for-a-verne-mot-dataangrep
(3) https://www.regjeringen.no/no/dokumenter/horing---forslag-til-endringer-i-sikkerhetsloven/id2412260/

fredag 28. august 2015

Cthulhus Cthonian Concoction

Det kan jo ikke BARE handle om cybersikkerhet her :)

For et år siden bestemte jeg meg for å få en hobby. Voksne folk bør visst ha det, og jeg synes ølbrygging hørtes spennende ut. Siden da har det blitt rundt 20 brygg.

I desember i fjor bestemte jeg meg for å lage en ordentlig kraftig stout. De fleste har kanskje vært borti Guinness dry irish stout, men ikke alle vet at vi skal tilbake til 1700-tallets London for å finne opphavet. En Porter var en mørk ale som ble svært populær blant byens "bærere", derav navnet "porter". Etterhvert begynte man å lage såkalte "stout porter" (sterk porter), som senere tok navnet stout.

Et århundre senere ble imperial stout, også kjent som Russian Imperial Stout, født. Historien skal ha det til at dette var en ekstra kraftig stout som ble produsert for eksport til Russlands Catarina II og hennes hoff. Mye alkohol skulle forhindre at øl-tønnene frøs under transporten. Hvor mye av dette som er riktig vet jeg ikke, men det er et spesielt og nydelig øl.

Tilbake til desember 2014. Jeg fant to oppskrifter som jeg kombinerte. Den ene var en "honning-porter" og den andre en imperial stout med vanilje og bourbon whiskey. Jeg smeltet oppskriftene sammen og kjøpte ingrediensene. Innen da hadde jeg bygget om ute-boden til brygge-bod, og satte i gang.

... så skar alt seg. Kokeapparatet trakk for mye strøm, så sikringene gikk hele tiden. Lys-armaturet tok kvelden etter en halvtime, og jeg kunne jo ikke bruke vifteovnen jeg hadde gjort klar. Til slutt satt jeg i mørket med boblejakken på, og løp inn for å skru på sikringen hvert annet minutt.

Resultatet var en stout på litt over 8%. Sort som natten og med en kvalmende whiskey-smak. Nå er det heldigvis slik at kraftige øl skal ha noe tid på seg før de "modnes". Jeg smakte en og annen øl utover våren for å se hvordan smaken utviklet seg, og i mai/juni merket jeg at det begynte å skje noe. Whiskey-smaken la seg pent i bakgrunnen sammen med vaniljen og honningen. Den velkjente lakris/anis-aktige smaken fra stouts kom frem og det hele begynte å bli ordentlig balansert.

Så balansert at jeg bestemte meg for å melde den på hjemmebrygg-konkurransen på Stavsbrygg 2015 nå i august. Det var 27 påmeldte, så jeg hadde ikke veldig store forhåpninger. Overraskelsen var derfor stor da jeg tok 2. plassen i klassen over 4.75%. Bare så synd at jeg neppe klarer å gjenskape den, med alt det kaoset det ble under bryggingen :)

Om navnet: En såpass mørk og kraftig øl skal ha et ordentlig navn. Lovecraft skrev om Chtulhu, en relativt ond gud i hans litterære univers. Chtonian betyr underjordisk, concoction betyr brygg. Altså, Chtulhus underjordiske brygg. Et særdeles passende navn.


onsdag 1. juli 2015

Sannsynlighetsberegning - et uungåelig onde?

Jeg har tidligere skrevet om risikohåndtering som en del av cybersikkerhet (1,2), og er blant dem som mener at å beregne sannsynlighet for visse typer cyberangrep ikke bare er meningløst, det er direkte farlig.

Jeg fikk dessverre ikke anledning til å overvære FFIs fremleggelse av sin rapport "Tilnærminger til risikoanalyse for tilsiktede uønskede handlinger", men jeg har diskutert dette tema med flere av forskerne ved FFI. Jeg har selv brukt både kvantitative og kvalitative metoder for risikovurderinger, og kjenner godt til hva det innebærer å bruke sannsynlighetsvurderinger i det arbeidet.

Det var derfor med interesse at jeg leste Lillian Røstads (Difi) innlegg om dette på digi.no (3). Jeg er imidlertid ikke enig i alt hun skriver, og denne blogposten skal forklare hvorfor. Kort merknad til hvorfor jeg svarer her, og ikke i kommentarfeltet på digi.no: Jeg ønsker å samle denne type argumentasjon på ett sted for fremtidig bruk, samt at jeg kan legge til figurer her.

Først til det vi er enige om. 
Begrepsbruken innen cybersikkerhet er preget både av at språket vårt er fattig i forhold til engelsk, og at ord or uttrykk ikke har et meningsinnhold som alle er enige om. Et klassisk eksempel er hvordan enkelte blander sammen begrepene trussel og sårbarhet. En skulle tro at så sentrale begreper ble brukt riktig, men det gjøre de ikke. Sannsynlighet er et annet slikt begrep som dessverre blir tillagt ulikt meningsinnhold av ulike mennesker og miljøer. 

Matematisk sannsynlighet og statistikk en én type sannsynlighetsberegning som brukes innen cybersikkerhet. Det kan enten være for å angi hvor hyppig en hendelse forekommer, eller hvor stor sannsynlighet det er for at den skal oppstå én gang. Denne type sannsynlighetsberegning er en del av de kvantitative metodene som gjerne også inkluderer beregninger for hvor mange hendelser en kan tåle før kostnadene blir for store, hvor dyre mottiltakene kan være osv. Det var flere presentasjoner på RSA 2015 som viste at disse metodene blir brukt innen finans og forsikringsbransjen. 

En annen type sannsynlighetsangivelse er de subjektive. Ekspertene vurderer subjektivt hvor sannsynlig det er at noe skal skje, og tilordner en verdi. Høy sannsynlighet.  75%. Tallverdi 4 (av 5). Fargen Gul. Disse verdiene er ofte basert på ekspertens gut-feeling, og jeg har vanskelig for å tro at de er særlig treffsikre for fremtiden. Dette gjelder spesielt for det FFI sin rapport omhandler, nemlig tilsiktede uønskede handliger. Å bruke fortidens erfaringer til å spå om fremtiden, er en dårlig idé om man skal tro Nassim Nicholas Taleb i sin bok om "low probability, high impact events" (4). Spesielt når det er snakk om målrettede angrep i komplekse adaptive systemer. Og det er det jo. 

Vi må rydde opp i begrepsbruken, der er vi helt enige.

På engelsk skiller man mellom probable (sannsynlig) og likely (trolig/mulig). Selv om det ikke alltid er klokt å innføre nye begreper i et allerede "begrepsforvirret" område, tror jeg at vi ville ha nytte av å skille tydeligere på dette på norsk.

En annen ting vi er enige om er at cybersikkerhet ikke må eksistere på "sin egen planet". Hvis cybersikkerhet ikke blir integrert i virksomheten, så feiler de ansvarlige. En virksomhet har mange typer risiki, og risiko i mot den delen av virksomheten som skjer ved hjelp av IKT kan selvfølgelig ikke adskilles fra virksomhetens totale risikostyring. Dette er ekstremt viktig fordi tilsynelatende riktige og viktige cybersikkerhetstiltak kan direkte motvirke virksomhetens behov på andre områder. De fleste som driver profesjonelt med cybersikkerhet vet dette. 

... men så blir vi uenige
Når Røstad beskriver risikotrekanten Verdi, Trussel, Sårbarhet, spør hun om ikke det bare er en annen måte å angi sannsynlighet på. Jeg mener at det ikke er det.

Allerede i 2003 innså det fremste informasjonssikkerhetsmiljøet i Forsvaret at den tradisjonelle (kvantitative) metoden for risikoanalyser ikke var egnet for å beskrive den reelle risikoen mot de IKT-løsningene som blir brukt i militære opersjoner. En ROS-analyse med risikokvadranter og det hele var et klassisk eksempel på at subjektive (sannsynlighets) vurderinger ble dyttet inn i en beregningsmodell som var laget for et helt annet formål. Resultatene kunne ikke brukes inn i de øvrige risikovurderingene, og sjefene forsto ikke det som ble forsøkt formidlet. Informasjonssikkerheten levde på sin egen planet.

Da vi startet opp med å vurdere risiko etter den nye metoden, lykkes vi med å formidle risiko til ledelsen slik at de kunne vurdere denne risikoen opp mot øvrige risiki mot sin avdeling og sitt oppdrag. Tiltakene kunne vurderes opp mot den operative konteksten, og han fikk økt sitt handlingsrom ved å kunne velge tiltak som normalt ligger utenfor området "cybersikkerhet". 



Jeg velger å fremstille risikotrekanten som overlappende sirkler. Den eneste reelle risiko er i skjæringspunktet mellom verdi, trussel og sårbarhet. Hvordan bruker vi denne metoden?

Verdivurdering
En slik risikovurdering begynner alltid med verdivurderingen. Denne gjennomføres sammen med lederen for virksomheten, eller en som har inngående kjennskap til virksomheten. Vi gjennomfører et halvveis strukturert intervju, der vi stiller spørsmål som: Hva er formålet med denne virksomheten? Hva er oppdraget? Hvilke ressurser/enheter har du for å løse oppdraget? Hvem er dine overordnede? Hvilket konsept for ledelse har de overfor deg? Hvilket konsept for ledelse har du overfor dine underlagte enheter? Mot slutten av intervjuet kommer vi inn på spøsmål som: Hvilken informasjon er du avhengig av for å ta beslutninger? Hvilken informasjon er det kritisk av du får formidlet til dine underlagte enheter? Hvilke systemer er bærer/behandler for denne informasjonen? Hva vil skje med opdraget dersom noen slår ut eller manipulerer de mest kritiske IT systemene?

Denne samtalen er viktig av flere grunner. For det første må risikoanalytikeren forstå virksomheten han skal vurdere. Det er ikke nok at han kjenner det tekniske godt, han må også vite hva formålet med virksomheten er og hvilke kortsiktige og langsiktige mål den har. Dette er viktig både for risikofastsettelsen og for å vurdere hvilke tiltak som er hensiktsmessige.

For det andre skaper denne samtalen er felles forståelse for hva som er det mest viktige, og hva konsekvensene kan være dersom noen angriper de kritiske IT systemene.
Samtalen er også grunnlaget for å utarbeide det kritiske informasjonsbehovet i forkant av sårbarhetsvurderingen.

Sårbarhetsvurdering
Så langt det er mulig gjør vi tekniske målinger eller penetrasjonstestinger. Generelt vil vi vite om den kritiske IT-løsningen inneholder de komponenter, tjenester og systemer det skal, eller om noen har plassert inn noe som ikke skal være der. Dernest vil vi vite om det som verdivurderingen har fastsatt som kritisk har sårbarheter. I Forsvaret måler man både tradisjonelle sårbarheter i IT løsningene, og muligheten for tap av informasjon gjennom elektromagnetisk stråling.

Et vesentlig poeng med sårbarhetsvurderingen er at det skal være faktiske målinger, ikke antakelser. Jeg har sett risikorapporter som inneholder vurderinger som "... virksomheten er avhengig av sin webserver, og slike er gjerne preget av feil som kan muliggjøre angrep mot serveren". Dette er nærmest verdiløse utsagn. Vi ønsker å vite helt konkret om webserveren har sårbarheter, hvilke det er, hvordan de utnyttes og hva de kan utnyttes til. Om en sårbarhet krever fysisk tilstedeværelse på webserveren, er selvsagt ikke en aktivistgruppe i Iran i stand til å utnytte den selv om de kan være en uttalt motstander av virksomheten.

En del av sårbarhetsvurderingen er hvor enkelt det er å utnytte den.  Dette kan også brukes til å vurdere hvilke trusler en skal bry seg om. Dersom utnyttelse av en sårbarhet krever svært dyrt utstyr eller høyt kompetanse og treningsnivå, så kan vi utelukke en del trusler. 

Trusselvurdering
Er det slik at dette bare er en annen måte å vurdere sannsynlighet? Nei, absolutt ikke.
Husk at malware ikke er en trussel. Heartbleed er ikke en trussel. En falsk epost som forsøker å lure deg til å oppgi DnB påloggingsinformasjonen er ikke en trussel.

En trussel er en person, gruppe, organisasjon, virksomhet eller nasjon som har vilje og evne til å angripe eller påvirke deg eller din virksomhet. Vi vil vite hvem denne gruppen er. Hvilke metoder de bruker. Hva deres intensjon er. Hvilke verktøy de bruker. Hva deres handlingsmønster er. Hvordan de vil reagere dersom vi iverksetter mottiltak osv. Dette er ikke noe annet enn det man gjør for annen type etterretningsinnhenting. For Forsvaret betyr det at denne type trusler blir beskrevet og behandlet på akkurat samme måte som øvrige trusler. Noen ganger er det jo faktisk de samme truslene som bruker ulike virkemidler for å oppnå sine mål.

Etterretningskildene kan være mange. I tillegg til det ens egen cyberhåndteringsenhet bygger opp av kunnskap om truslene, finnes det mange andre klilder. I Norge er det mange som får informasjon fra EOS-tjenestene. Flere store virksomheter, i tillegg til Forsvaret, har fokus på egne etterretninger om aktuelle trusler. I tillegg kan slik informasjon kjøpes fra stadig flere tilbydere av "threat intelligence". Her skal man imidlertid være litt på vakt. Noen ytterst få leverer etterretningsprodukter som kan sammenlignes med vanlig etterretning, men de fleste tilbydere av "threat intelligence" leverer teknisk informasjon om verktøy og metoder som truslene bruker. Det er ikke det samme.

Trusselbildet er i kontinuerlig endring. Nye trusler kan oppstå, og eksisterende trusler kan utvikle sine metoder over tid. For håndtering av målrettede angrep vil imidlertid fokus på et oppdatert trusselbilde være til svært stor hjelp når risiko skal fastsettes og til å håndtere hendelser når de skjer.
En systematisk tilnærming slik f.eks. Andrew Jones (QinetiQ) beskriver kan være til stor hjelp.

Risiko
Risikofastsettelsen skjer når vi vurderer de konkrete sårbarhetene vi har avdekket opp mot det vi vet om truslene, primært for de mest kritiske IT løsningene. Vi er selvsagt ikke naive. En sårbarhet kan enkelte ganger være så alvorlig i seg selv, at den skal håndteres selv om vi ikke er kjent med en trussel som har intensjon og evne til å utnytte den. På samme måte kan vi stå over for en trussel som vi vet har intensjon og evne, men der vi vet for lite om deres metoder. 

Denne tilnærmingen fjerner behovet for å gjette og vi snakker samme språk i cybersikkerhet som i virksomheten forøvrig. Trusler og risiko blir vurdert mer helhetlig, og tiltakene kan vurderes i en operativ kontekst. 

Risiko ved tilsiktede hendelser
Dette er de målrettede angrepene, de som skjer når virksomheten din står i en konfliktsituasjon med en trussel som har både evne og vilje til å gjennomføre cyberangrep. 

Forsvaret har tidligere fortalt om målrettede angrep der trusselaktøren gjennomførte delvis vellykkede angrep. Motstanderne det er snakk om har cybervirkemidler som en liten del av sitt repertoar. Angrepene ble oppdaget gjennom etterretninger, og håndteringen ble gjennomført som en del av den "normale" virksomheten.

For kort tid siden ble et målrettet angrep avverget før det fant sted som en direkte følge av etterretninger. Et hvert forsøk på å skulle kvantifsere en sannsynlighet for de hendelsene i forkant fremstår som en helt meningsløs oppgave. 

De samme erfaringene har andre store norske virksomheter gjort. En av dem er Telenor, som gikk ut med informasjon om de hendelsene de var utsatt for i forbindelse med virksomheten i India. Hva skulle den subjektive sannsynligheten for de angrepene vært anslått til? 75% Medium? Rød?

For tilsiktede uønskede hendelser vil tradisjonell risikovurdering basert på subjektive sannsynlighetsberegninger være en katastrofe. De er unøyaktige og villedende og vil enten føre til at trusler blir underkommunisert, eller at de blir overkommunisert og at unødvendige tiltak forhindrer at virksomheten når sine mål. 

Avslutningsvis vil jeg medgi at kvantitative metoder og matematiske sannsynligheter kan ha noe for seg i visse sammenhenger. For en gitt malware kan de hende at du har nok empiri til å kunne beregne hvor stor sannsynlighet det er for at du vil bli forsøkt rammet. Om du kjenner spredningsmekansmen trenger du kanskje ikke empiri heller, dersom du kan analysere spredningsmekanismen i forhold til ditt digitale fotavtrykk. Dette gjelder imidlertid kun for hendelser som rammer tilfeldig, ikke for målrettede angrep.

lørdag 20. juni 2015

Eye in the sky

Jeg er en stor fan av Radiolab, og kan ikke anbefale det nok.

I den siste podcasten forteller de om en overvåkingsteknologi som er brukt både i militære operasjoner og til bekjempelse av kriminalitet. Prinsippene er likevel overførbare til cybersikkerhet, og hvordan teknologien stadig utvider mulighetsrommet. Spørsmålet de stiller seg er: Selv om vi kan gjøre dette, burde vi?

Det var spesielt to ting i podcasten jeg bet meg merke i.

For det første viser de at gjennom å gjøre analyser i et helt nettverk av mennesker, steder og bevegelser, så kunne de avsløre hvordan et helt narkotika-kartell var bygget opp, og hvor deres kommandosentral lå plassert. De flyttet fokuset fra å oppklare enkelthendelser, til å forstå hvordan hele det kriminelle nettverket er bygget opp.

For det andre var de litt betenkt fordi de positive sidene ved overvåking er vanligvis svært konkrete. "Dersom vi samler inn disse dataene, så vil vi kunne avsløre en gitt type kriminalitet". Ulempene derimot, er vage og ubestemmelige. "Vi mister frihet og privatliv". Det er lite konkret, og det taper diskusjonen. Denne diskusjonen er direkte overførbar til overvåking av internettbruk.

Lytt til episoden her:

http://www.radiolab.org/story/eye-sky/

fredag 19. juni 2015

Cyber Situasjonsforståelse

Vi forstår intuitivt at beslutninger må tas på et riktig og rasjonelt grunnlag. Hva er de viktigste truslene mot virksomheten, og hva skal vi gjøre for å forberede oss? Hva er egentlig omfanget av hendelsen som nettopp har blitt oppdaget, og hvilke tiltak er de riktige å gjennomføre? Hvilke ressurser har vi tilgjengelig? Hvilke langsiktige tiltak må til?

Hva er egenlig cyber situasjonsforståelse, og hvordan oppnår vi det?

Situasjonsforståelse kan deles inn i tre nivåer:

1. Å oppfatte at en hendelse har funnet sted i tid og rom.
2. Å forstå hva det betyr at hendelsen har funnet sted
3. Å forutse hva hendelsen vil kunne føre til

La oss se på et eksempel:
1. Sikkerhetsovervåking avslører at store mengder data sendes fra en av virksomhetens datamaskiner til en IP-adresse i et annet land. Analytikeren oppfatter at dette skjer.

2. Analysene avslører at dataene er innholdet i en database som brukes av utviklingsavdelingen, og at de sendes til en nasjon der myndighetene er kjent for å bruke cyber-virkemidler for å støtte opp om sin nasjonale industri. Analytikeren forstår hva det er som har skjedd og iverksetter umiddelbart tiltak som forhindrer videre tap av informasjon.

3. Virksomheten analyserer situasjonen og kommer til at en konkurrent trolig står bak, og at han trolig vil bruke informasjonen til å vinne fremtidige kontraktsforhandlinger. Virksomheten forutser hva hendelsen kan føre til, og kan med bakgrunn i dette gjøre strategiske valg.

Enkelt? Overhodet ikke!

Det finnes mange forslag til hva et cyber situasjonsbilde skal være. Sjefen/styret ønsker et overordnet bilde, gjerne med noen farger som indikerer om alt er ok. Analytikeren setter gjerne opp sine egne triggere i alle mulige systemer for å raskest mulig fange opp hendelser. Mitt fokus er på ledelsen av enheten som skal håndtere hendelsen. Denne står midt mellom analytikeren og virksomhetens ledelse, og må innhente informasjon fra begge leire.

Fallgruver
Jeg har sette flere forsøk på å etablere løsninger for cyber situasjonsforståelse, og noen av dem har feilet ganske kraftig. En fellesnevner er  at man ikke har tatt seg tid til å vurdere hvilken informasjon det er behov for, men brettet opp ermene og laget en eller annen teknisk løsning. For deretter å finne ut at det ikke var noen som trengte det. Noen eksempler:

1. Dyre SIM/SIEM løsninger. Etter at løsningene er implementert oppdager du at de IKKE kan ta i mot noen logg-kilder som faktisk er helt kritiske. Korreleringen mot sårbarhetsundersøkelsene fungerer dårlig i praksis fordi du ikke klarer å måle systemene ofte nok. Løsningene forteller lite om virksomheten, altså hvilken kontekst hendelsene skal vurderes i. Resultatet er at en ikke vet om en gitt hendelse er alvorlig, og risk-score systemet er nærmest ubrukelig.

2. Enkle PowerPoint/SharePoint dashboards. Disse ser flotte ut. Kanskje noen i ledelsen så et slikt dashboard et sted, og nå skal det innføres i din virksomhet også. Energien legges i utformingen av dashboardet, og ikke så mye i arbeidet med å innhente og analysere informasjonen som skal presenteres. Resultatet er at det "dør på rot".

3. Egenutviklede løsninger. Disse er gjerne bedre tilpasset de behovene og systemene som virksomheten har, men med mindre en har en egen utviklingsavdeling er det stor fare for at løsningen ikke blir oppdatert eller holdt ved like.

The good way to do it
I stedet bør man starte med å analysere hvilken informasjon som er nødvendig for å kunne ta gode beslutninger. Hvis en tar seg tid til å løfte blikket og se hvilken informasjon analytikere og ledelse har behov for, ender du kanskje opp med et informasjonsbehov som er annerledes enn det du først trodde.

En slik tilnærming ble presentert på NATO Cooperative Cyber Defence Centre of Excellence i 2014 i et paper(1) av Dressler, Moody, Bowen og Koepke. Jeg liker spesielt godt at de beskriver hvilke dataklasser som inngår i en helhetlig cyber situasjonsforståelse. De enkelte dataklassene må vurderes med tanke på hvilket informasjonsbehov du har, hvordan informasjonen skal samles inn, analyseres og presenteres.

Dataklassene som inngår i cyber situasjonsforståelse

Cyber events
Dette er alle hendelser som er relevante i analysearbeidet. Det inkluderer naturligvis informasjon fra inntrengningssystemene, men også alle andre logg-kilder som må samles inn for å kunne fastslå et hendelsesforløp.

Key Cyber Terrain
For å forstå en hendelse, eller for å forstå hvilke mottiltak som er mest hensiktsmessig, må en forstå cyberlandskapet. Store virksomheter kan ha store og komplekse IT-løsninger, spredt utover mange funksjonsområder og geografiske avstander. I en gitt situasjon er imidlertid ikke alle deler av nettverket like viktig. "Key cyber terrain" kan feks være avgrenset til internett-portalen, ordresystemet eller serverne som kjører en spesifikk versjon av operativsystemet. For å forstå hva som er viktig, må dette avklares sammen med den eller de som driver virksomheten.

Ongoing operations
For store virksomheter, som Forsvaret hvor jeg har min bakgrunn, kan det være flere pågående operasjoner samtidig. Håndteringen av flere samtidige hendelser må koordineres med tanke på tid, rom, ressurser osv. I tillegg må de kunne presenteres samlet for ledelsen.

Cyber readiness
Hvilke cyberkapasiteter har virksomheten? Hva er status for utstyret? Er treningsnivået tilstrekkelig? Er bemanningen god nok? Er de ute på oppdrag, eller er de disponible? Når en leder hendelseshåndtering, må en vite hvilke ressurser som er tilgjengelig. Å legge planer for ressurser du ikke har er en dårlig idé.

Cyber vulnerabilities
Hvilke sårbarheter har du i ditt "Key cyber terrain"? Er det oppdatert? Er det minimert? Har du tilstrekkelig konfigurasjonskontroll og en oppdatert oversikt over hvilke sårbarheter som finnes i de mest kritiske delene av ditt cyberlandskap.

Threat Landscape
Hvilke trusler står virksomheten over for? Hva vet du om truslene? Hvilke intensjoner driver dem til å angripe akkurat din virksomhet? Hvilke teknikker og metoder bruker de? Hvordan kan du oppdage om de har angrepet virksomheten? Hvordan kan du forberede deg på å avskjære angrepene? Har du sårbarheter i ditt key terrain som truslene som er mest relevante for deg kan utnytte? Trusselbildet er dynamisk og i konstant endring.

Først når du har vurdert disse dataklassene nøye og funnet ut hvor informasjonen oppstår, hvordan du skal samle den inn og vurdere den, først da kan du utvikle en løsning for hvordan den skal presenteres. En til tilnærming vil også skape den nødvendige forankringen både oppover og nedover i organisasjonen, og sørge for at alle forstår hvilken rolle de spiller i etableringen av situasjonsforståelsen.

Først da kan du si at det er en felles situasjonsforståelse.



(1) Operational Data Classes for Establishing Situational Awareness in Cyberspace