Social Engineering og Insidere IT-sikkerheds menneskelige side InfinIT/Security - Spot On René Rydhof Hansen Institut for Datalogi, Aalborg Universitet
Hvem har adgang? SWDEV Dev HW
Hvad er en Insider? Person med autoriseret adgang (til systemet) Udfordringer Har adgang som er vanskelig at opnå for en outsider Kan udføre angreb som del af daglige rutiner Kan ikke forhindres med tekniske midler alene(?) Eksempler Snowden Tys-tys kilden Stuxnet(?)
Hvem har adgang? SWDEV Dev Reception SYSADM HW SRV
Social Engineering At få målet til at udføre handlinger ved brug af (psykologisk) manipulation Psykologisk manipulation? Phishing Tailgating/shouldersurfing Trick-tyveri Trusler/afpresning Eksempler Snowden(?) Stuxnet(?) Sydney International Airport (2003)
Hvem har adgang? SWDEV Dev Reception SYSADM HW SRV
Hvem har adgang? SWDEV Dev VAGT Reception SYSADM HW SRV
Særlige udfordringer ved insidere Ikke nok at kigge på IT-infrastruktur fysisk infrastruktur adfærdsmønstre organisation arbejdsgange... Utilstrækkelig adgangskontrol vanskeligt/umuligt at overskue alle muligheder insidere ved uheld bevidst (skadelig) handling
Hvem er insidere? Højt kompetenceniveau Nysgerrig Ondsindet Lavt kompetenceniveau
Hvem er insidere? Højt kompetenceniveau udvikler Nysgerrig Ondsindet Lavt kompetenceniveau
Hvem er insidere? Højt kompetenceniveau udvikler Nysgerrig CEO Ondsindet Lavt kompetenceniveau
Hvem er insidere? Højt kompetenceniveau udvikler Nysgerrig CEO Ondsindet Lavt kompetenceniveau
Hvem er insidere? De nysgerrige! Karakteristika Ønsker ikke at skade organisationen Overvejende loyale Eksempel: Senior managers (iflg. Stroz Friedberg) udbredt brug af DropBox og lign. for at omgå irriterende sikkerhed tilfældigt, fx sende mail til forkert person ved jobskifte Eksempel: IT-folk... for at omgå irriterende sikkerhed
Hvem er insidere? Højt kompetenceniveau udvikler Nysgerrig CEO Ondsindet Lavt kompetenceniveau
Hvem er insidere? Højt kompetenceniveau udvikler Nysgerrig CEO vagt Ondsindet Lavt kompetenceniveau
Hvem er insidere? Højt kompetenceniveau udvikler sysadm Nysgerrig CEO vagt Ondsindet Lavt kompetenceniveau
Hvem er insidere? Højt kompetenceniveau udvikler sysadm Nysgerrig CEO vagt Ondsindet Lavt kompetenceniveau
Hvem er insidere? De ondsindede! Karakteristika Ønsker (måske) at skade organisationen Personlige motiver Eksempel: Receptionist kopierer fortrolige dokumenter Eksempel: Sysadm stjæler kildekode industrispionage whistleblower?
Social Engineering Højt kompetenceniveau Nysgerrig Ondsindet Lavt kompetenceniveau
Social Engineering Højt kompetenceniveau Nysgerrig Ondsindet Lavt kompetenceniveau
Social Engineering Højt kompetenceniveau Nysgerrig Ondsindet Alle insidere er (potentielle) angribere Lavt kompetenceniveau
Særlige udfordringer ved social engineering Social Engineering Kan gøre outsider til insider Kan gøre nysgerrige til ondsindede
TRE S PASS... et skridt på vejen Hvad er TRE S PASS? EU finansieret forskningsprojekt (2012 2016) 10 lande, 17 partnere (industri + forskning) http://www.sensation-project.eu Mål Værktøjsunderstøttelse af organisations-modellering Generering af mulige angreb (fx attack trees) En attack navigator evaluering (risiko), prioritering og konsekvensanalyse for angreb udvidede (angrebs-)modeller med kvantitativ information (tid, omkostninger,...)
TRE S PASS: Overordnet arkitektur
TRE S PASS metode 1 Modellering IT Fysisk infrastruktur Aktører 2 Analyse Formel analyse Simulering Generering af angreb 3 Vælg angreb der skal blokeres 4 Identificér mulige forsvar SWDEV VAGT SYSADM Dev Reception HW SRV 5... og gentag
TRE S PASS: Formel analyse (model checking)
Model Checking Formel matematisk metode Stærk værktøjsunderstøttelse (automatisk analyse) Stor fleksibilitet Hvad kan det bruges til? Undersøge modellen, fx kan en udvikler få adgang til en server? Generere eksempler (potentielle angreb) Statistisk Model Checking Stokastisk simulering baseret på statistisk hypotese-test Kvantitative resultater, fx gennemsnitslig tid/pris for et angreb
TRE S PASS: Perspektiv Status Understøttelse af simple modeller Formel analyse Generering af angreb Mangler: evaluering og prioritering Mangler: integration Perspektiv Mulighed for at modellere og evaluere insider-angreb Integration/modellering af menneskelig adfærd
Sikkerhedsrelaterede aktiviteter på Aalborg Universitet TRE S PASS Indlejrede systemer Internet-of-Things Software-udvikling, -verifikation...