Security en Risico's in de Ontwerpketen: “Designing Secure Organizations”
Henk Jonkers Landelijk Architectuur Congres 28 november 2012 “That’s our CIO. He’s encrypted for security purposes.”
Positionering van Servicelijnen in de “Ontwerpruimte”
Organisatieontwerp Bedrijfsprocesontwerp
Bedrijfsregelontwerp
Functioneel ICTontwerp
Bedrijfsprocesmanagement
Enterprise Security Manageent
Enterprise-Architectuur
Portfoliomanagement
Requirementsmanagement
Bedrijfsstrategie & Businessmodel-Management
Aanleiding • Aanvallen op (socio-technische) systemen worden steeds geavanceerder – Aanvallers gebruiken een combinatie van digitale, fysieke en “social engineering”-technieken – De afdelingen verantwoordelijk voor deze domeinen werken in silo’s
• Organisatienetwerken worden steeds complexer • Huidige technieken voor risicomanagement en beveiliging zijn onvoldoende in staat om met deze complexiteit om te gaan
Voorbeeld: “Road Apple”-aanval
Beperkingen van Bestaande Aanpakken • Bestaande aanpakken voor (informatie)beveiliging en risicomanagement identificeren risico's en kwetsbaarheden niet systematisch: – Ze zijn gebaseerd op checklists, heuristieken en ervaring – Beveiligingsmaatregelen worden “bottom-up” doorgevoerd – Geen expliciete formulering van beveiligingsprincipes en -requirements
• De nadruk ligt vooral op ICT-beveiliging – Onvoldoende aandacht voor niet-technische processen
• Focus op preventieve beveiligingsmaatregelen – Correctieve and curatieve maatregelen worden buiten beschouwing gelaten
Eigenschappen van “Enterprise Security Management” • Integrale visie op beveiliging – Business, informatie, applicaties, technische infrastructuur
• Systematisch (modelmatig) identificeren en analyseren van risico’s en kwetsbaarheden • “Security by Design” – – – –
Effectievere en efficiëntere beveiligingsmaatregelen Hergebruik van beveiligingsmaatregelen Automatisch afleiden van beveiligingsconfiguraties Voorkomen van een “overkill” van (dure) maatregelen → Afwegen van veiligheid, bruikbaarheid en kosten
De “Trade-off”
Bruikbaarheid
Kosten
Positionering van Risico- en Beveiligingsgerelateerde Onderwerpen
Beveiligingsdoelen, -principes en -requirements
Beveiligingsarchitectuur (geïntegreerd in de EA) Ontwerp van beveiligingsmaatregelen
Beveiligingsprocessen
Beveiligingsregels
Technische beveiliging
Operationele beveiliging (o.a. beveiligingsmonitoring)
Enterprise Security Management
Resultaten risisicoen kwetsbaarheidsanalyses
Beveiligingsstrategie
Beveiligingsstrategie • Vaststellen van beveiligingspolicy’s en –principes • Compliance met wet- en regelgeving • Bepalen van de “risk appetite” van de organisatie • Beveiligingsaspecten in businessmodellen
Beveiliging en het Business Model Canvas Belang van betrouwbaarheid in de klantrelatie (privacy etc.)
Beveiligingmaatregelen geconcentreerd aan de linkerzijde van het Canvas
Beveiliging voegt ook waarde toe: betrouwbare dienstverlening
Key resources als assets die beschermd moeten worden
Beveiliging van kanalen Vaak beschouwd als kostenpost
Maar ook: voorkomen van (kosten en) inkomstenverlies
Beveiligingsarchitectuur en -ontwerp • Raamwerken • Modelleren en analyseren • Proces
Enterprise-Architectuur en Securityraamwerken
ArchiMate TOGAF Modelleertaal en notatie Methode (“way of working”) en best practices
SABSA Classificatie van artefacten Security-aspecten
SABSA
Strategie en businessmodel
(Beveiligings-) Architectuur / ArchiMate Ontwerp van beveiligingsmaatregelen Operationele beveiliging
Waarom ArchiMate? • • •
• •
•
•
Breed geaccepteerde open standaard voor het modelleren van enterprise-architecturen Goede toolondersteuning beschikbaar Sluit goed aan bij andere EA-raamwerken (zoals TOGAF en Zachman) ArchiMate-modellen integreren de aspecten business, informatie, applicaties en technologie Links naar (beveiligings)requirements, principes en doelen d.m.v. de Motivatie-extensie Mogelijkheid om te linken met talen voor detailontwerp van bedrijfsprocessen en ICToplossingen (zoals BPMN, UML) Geschikt als basis voor (kwalitatieve en kwantitatieve) analyses
Huidige Oplossingen No single points of failure.
All administrative activity captured by a protected audit log
ArchiBank Online [1,2,3]
Application Server Cluster [1,2]
Database Server Cluster [1,¬ 2]
Internal Network [1,2]
Web Server Cluster [1,2]
Secondary Firewall/IPS Cluster [1,2]
Externally-Facing (DMZ) Network [1,2] Primary Firewall/IPS Cluster [1,2]
Proxy Server [¬1,2,3]
• Bestaande ArchiMate-concepten (Core & Motivatie-extensie) kunnen gebruikt worden om sommige risico- en beveiligingsaspecten te modelleren • Maar: Geen concepten voor het expliciet modelleren van risico’s en beveiligingsmaatregelen • Wirwar van lijnen maakt de modellen moeilijk leesbaar
Concepten “Extern”
kwantificeert (waarschijnlijkheid impact)
Aanval
maakt gebruik van
Kwetsbaarheid
Risico
Bedreiging
vormt
van een
voor
voorkomt of herstelt
Maatregel
Asset beschermt
“Intern”
vereist
Relatie met ArchiMate (Schetsmatig)
Dreigings- en risicoanalyse
ArchiMate Motivatie-extensie
Kwetsbaarhedenanalyse
ArchiMate Core
Formalismen voor het Modelleren en Analyseren van Beveiligingsaspecten U
*: m
U
HALL
CU : m CJ : m
CL
CU: m
U U CL
SRV
*: m
USR
PC1: m U:e, i, o R:e, i, o
SRV: i, o
PC2
P PC1
ExASym
KJ:m
L
JAN
*: m
U
*: m
U
*: m
OUTSIDE
REC
*: m
SRV
WASTE
USR
U: m J: m
FR
JAN
U: e, i, o
R:e, i, o
PC3
SRV: i PC2: o
PRT
Attack trees
• • • •
Formeel onderbouwd Analyseerbaar Abstract Kan worden gelinkt aan bijvoorbeeld ArchiMate-concepten
X
WWW
Markov chains
Portunes
“Road Apple”-Voorbeeld ArchiMate
Buitenwereld
Bedrijfsgebouw
Remote server
Werknemer
Hacker
Kantoor
PC
USBstick
Malware
Vertrouwelijke gegevens
Portunes
Van Architectuur naar Ontwerp Waarom? Stakeholders, hoog-niveau doelen, risico’s en requirements
Nieuwe stakeholders, gedetailleerdere doelen, risico’s en requirements
Wat/Hoe?
EnterpriseArchitectuur
OplossingsMore detailed Architectuur / Architecture Ontwerp
Proces (Globaal)
Samenvatting • Aanvallen worden geavanceerder en organisatienetwerken worden complexer Bestaande aanpakken voor risicomanagement en beveiliging zijn ontoereikend Te veel ad hoc, bottom-up, en onvoldoende gebaseerd op een systematische analyse van risico’s en kwetsbaarheden Te veel nadruk op ICT-beveiliging en preventieve oplossingen
• Modelmatige aanpak voor systematische analyse van risico’s en kwetsbaarheden, en ontwerp van beveiligingsmaatregelen
Van strategie, via (enterprise-)architectuur, tot ontwerp en implementatie Integratie van beveiligingsaspecten in bestaande architectuur- en ontwerptalen Onderbouwde afweging tussen veiligheid, bruikbaarheid en kosten Link van architectuur- en ontwerptalen met analyseformalismen
Vragen?
[email protected] www.bizzdesign.nl
