Toegang is geen open deur

Toegang is geen open deur Risico analyse op basis van de attack tree methode in een mobiele omgeving

Ir. Eric Kaasenbrood Drs. Ing. Dirk de Wit CISSP

Final 9/6/2009

1

Postgraduate IT Audit opleiding VU Amsterdam

Team nummer: 921

Studenten: Ir. Eric Kaasenbrood Drs. Ing. Dirk de Wit CISSP

VU coach: Drs. Bart van Staveren RE

Bedrijfscoach: Drs. Henk Marsman CISSP CISA

Contact gegevens: Eric Kaasenbrood e-mail: [email protected] tel.06 12 581 588 Dirk de Wit e-mail : [email protected] tel. 06 20 789 982

“If you think technology can solve your security problems, then you don't understand the problems and you don't understand the technology.” (Bruce Schneier, 2000) 2

Inhoudsopgave Inhoudsopgave........................................................................................................................................3 Samenvatting ..........................................................................................................................................4 Onderzoeksvraag ................................................................................................................................4 Onderzoeksmethode ..........................................................................................................................4 Resultaten ...........................................................................................................................................5 Voorwoord ..............................................................................................................................................6 1

2

3

4

5

Inleiding...........................................................................................................................................7 1.1

Probleemstelling....................................................................................................................8

1.2

Onderzoeksmethodologie .....................................................................................................8

1.3

Afbakening van het onderzoek............................................................................................10

Definitie mobiel werken & trends.................................................................................................11 2.1

Trends mobiel werken.........................................................................................................11

2.2

Mobiliteit bij consultancy en audit bedrijven......................................................................14

2.3

Definitie mobiel werken ......................................................................................................14

Risico’s in een mobiele omgeving.................................................................................................17 3.1

Attack tree ...........................................................................................................................17

3.2

Vergelijking met andere risicoanalyse methodieken ..........................................................18

3.3

Omgeving.............................................................................................................................19

3.4

Ontwikkeling van het model................................................................................................20

3.5

Bedreigingen en risico’s.......................................................................................................20

Good practices voor beveiliging in een mobiele omgeving..........................................................22 4.1

Wat zijn beheersmaatregelen? ...........................................................................................22

4.2

Beheersmodel......................................................................................................................22

4.2.1

Richtlijnen en procedures ...............................................................................................23

4.2.2

Bewustzijn bij gebruikers ................................................................................................24

4.2.3

Organisatorische maatregelen........................................................................................24

4.2.4

Technische maatregelen .................................................................................................24

Praktische toepassing door de IT auditor .....................................................................................26 5.1

Case analyse ........................................................................................................................26

5.2

Toepassing in de praktijk .....................................................................................................27

5.2.1

Gebruik van de attack trees ............................................................................................27

5.2.2

Afweging bij tegengestelde belangen .............................................................................27

5.3

Rol IT-Auditor.......................................................................................................................28 3

6

Conclusie .......................................................................................................................................30 6.1

Reflectie en aanvullende onderzoeksresultaten .................................................................31

Samenvatting Bedrijven maken in toenemende mate gebruik van mobiele technologieën waarmee werknemers buiten de beheersbare bedrijfsomgeving hun werkzaamheden uitvoeren [NUS07]. Dit toenemende gebruik van mobiel werken en de daarbij behorende ontsluiting van vertrouwelijke informatie buiten de bedrijfsgrenzen leidt tot aanvullende dreigingen. Om deze dreigingen te beheersen moeten bedrijven diverse beheersmaatregelen implementeren.

Onderzoeksvraag Voordat mobiel werken effectief en efficiënt beheerd kan worden is het noodzakelijk om inzicht in de risico’s en de mogelijke beheersmaatregelen te krijgen. Dit heeft geleidt tot volgende hoofdvraag:

Wat zijn de risico’s voor de digitale bedrijfs(kritische) informatie met betrekking tot mobiel werken1 bij consultancy/audit bedrijven en met welke maatregelen kunnen deze risico’s beheerst worden?

Bij deze vraagstelling is gekeken naar de kwaliteitsaspecten beschikbaarheid, integriteit, en vertrouwelijkheid.

Onderzoeksmethode De basis van het onderzoek is een literatuurstudie naar de verschillende dreigingen en mogelijke beheersmaatregelen die mobiel werken met zich meebrengen. Deze literatuurstudie is aangevuld met eigen analyse. Aan de hand van de attack tree methode van Bruce Schneier zijn verschillende dreigingen in mobiel werken gestructureerd. Deze methodiek maakt het mogelijk om op gestructureerde wijze over risico’s na te denken. De resultaten van dit onderzoek zijn in meer detail terug te vinden in appendix I. Het opgestelde model is geverifieerd met een een drietal security professionals. Resultaten van deze discussies zijn verwerkt in het model. Na het opstellen van het attack tree model zijn er matrices opgesteld (zie appendix II) om een duidelijk overzicht te krijgen van de dreigingen en beheersmaatregelen, waarmee de praktische toepasbaarheid is getoetst bij een tweetal bedrijven. Met behulp van een interview is aan de hand 1 Onder mobiel werken verstaan wij het gebruik van middelen om met bedrijfkritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf.

4

van het ontwikkelde attack tree model en de matrices bekeken waar mogelijke dreigingen zich voor doen. Ter ondersteuning van de analyse is gekozen voor een methode welke een gestructureerde manier van denken afdwingt. Deze methode, de attack tree, is een standaard manier om de informatiebeveiliging van systemen in kaart te brengen door te kijken wat mogelijke ‘aanvallen’ zijn [SCH99]. Een attack tree geeft inzicht op de wijze waarop een informatiebeveiligingsdoelstelling (bijvoorbeeld de vertrouwelijkheid, integriteit of beschikbaarheid) teniet gedaan wordt.

Resultaten Het onderzoek heeft een overzicht opgeleverd met daarin dreigingen en beheersmaatregelen die het mobiel werken met zich meebrengen. Daarnaast blijkt uit de praktische toepassing dat het ontwikkelde attack tree model in combinatie met de matrices geschikt zijn om snel inzicht te krijgen in mogelijke dreigingen op het gebied van mobiel werken. Dit helpt de IT-Auditor bij het bepalen van zijn audit strategie. Daarnaast geven de matrices inzicht in welke beheersmaatregelen welke risico’s afdekken. Dit geeft management (van bedrijven waar medewerkers mobiel werken) een tool waarmee een afweging gemaakt kan worden tussen verschillende beheersmaatregelen.

5

Voorwoord

Deze scriptie is geschreven in het kader van de afronding van de IT-Audit opleiding aan de Vrije Universiteit in Amsterdam.

Wij bedanken onze afstudeerbegeleiders Bart van Staveren en Henk Marsman voor hun tips en feedback tijdens het onderzoek en schrijfproces. Daarnaast bedanken wij de geïnterviewde professionals Frank Fransen (TNO ICT), Tom Schuurmans (Deloitte ERS) en Marinus den Breejen (Gartner Consulting) voor de interessante discussies rondom dit onderwerp. Ook bedanken wij Henk Walstra (Coördinator ICT Security ATOS) en Marco Rijpert (Senior Manager Deloitte ICT) wie ons de mogelijkheid gaven om ons model in de praktijk te toetsen. Tot slot willen wij onze vriendinnen Dominique en Marieke bedanken voor hun geduld en begrip tijdens deze drukke periode.

Eric en Dirk

6

1

Inleiding

December 2008, McCain’s campagneteam verkoopt een Blackberry vol met vertrouwelijke gegevens. Op de smartphone stonden vijftig telefoonnummers van mensen die bij de McCain-Palin campagne betrokken waren, alsmede honderden e-mails van begin september [SEC08]. September 2008, de Britse overheid zegt het contract met een adviesbureau op na het verlies van een USB-stick [SEC081]. Januari 2009, een laptop met gegevens van 5000 patiënten wordt gestolen uit zorginstelling in Wales [SEC09] en zo zijn er nog veel meer incidenten op te noemen [SEC091]. Bedrijven maken in toenemende mate gebruik van mobiele technologieën waarmee werknemers buiten de beheersbare bedrijfsomgeving hun werkzaamheden uitvoeren. Hierbij hebben zij toegang nodig tot gevoelige informatie en kritische bedrijfsapplicaties. Dit toenemende gebruik van mobiele technologieën en de daarbij behorende ontsluiting buiten de bedrijfsgrenzen van gevoelige informatie wordt ook onderschreven door derden. Volgens Businessweek zal 2008 het jaar van de “Super Mobility” worden [NUS07]. Forrester voorspelt dat, ondanks de economische teruggang, mobiele initiatieven, zoals een mobiliteitsstrategie en het bieden van hulpmiddelen om mobiel te kunnen werken, in bedrijven prioriteit zullen hebben in 2009 [PEL081]. Een van de uitkomsten van Deloitte’s Technology, Media & Telecommunications Security Survey [DEL07] is dat steeds meer mensen mobiel werken en daarbij gebruik maken van public WiFi access points of UMTS. Bedrijfsinformatie die vroeger ‘veilig’ in het bedrijfsnetwerk zat, wordt nu door o.a. werknemers geraadpleegd via publieke netwerken. Dit wordt verder gestimuleerd door de tendens dat bedrijven hun werknemers meer mogelijkheden geven om zelf te kiezen waar en wanneer ze werken. Wij denken dat de stijging in mobiel werken, en alles wat daarmee samenhangt, grote gevolgen heeft en zal hebben voor de beveiliging van de digitale bedrijfskritische informatie van een bedrijf. Hoe kan een bedrijf zijn werknemers de mobiele flexibiliteit bieden en toch zijn beheersomgeving “in control” krijgen en houden? Hoe kan een bedrijf voorkomen dat er kritische informatie op straat komt te liggen?

7

1.1

Probleemstelling

Voordat mobiel werken effectief en efficiënt beheerd kan worden is het noodzakelijk om inzicht in de risico’s en de mogelijke beheersmaatregelen te krijgen. Het bovenstaande leidt tot volgende hoofdvraag:

Wat zijn de risico’s voor de digitale bedrijfs(kritische) informatie met betrekking tot mobiel werken2 bij consultancy/audit bedrijven en met welke maatregelen kunnen deze risico’s beheerst worden?

Om deze vraag te kunnen beantwoorden zijn er de volgende deelvragen opgesteld: 1. Wat zijn de huidige trends t.a.v. mobiel werken? 2. Welke informatiebeveiligingsrisico’s bestaan er bij consultancy / audit bedrijven ten aanzien van mobiel werken? 3. Wat zijn de best practices om deze informatiebeveiligingsrisico's te beperken? 4. Op welke wijze kan een IT auditor het voorgaande gebruiken bij zijn oordeelsvorming?

1.2

Onderzoeksmethodologie

Het onderzoek heeft zich gericht op verregaande mobiliteit bij consultancy/ audit organisaties. De onderzoeksmethode bestaat uit een literatuurstudie aangevuld met eigen analyse en expert interviews. De gevonden resultaten zijn gemodelleerd en vervolgens getoetst in de praktijk; dit geeft inzicht in de wijze waarop het model in praktijk door de IT auditor gebruikt kan worden. Tijdens ons onderzoek hebben we bekeken in hoeverre frameworks voor bestaande best practices een leidraad kunnen zijn voor het implementeren van beheersmaatregelen voor een mobiele omgeving; hierbij is onder andere gekeken naar CoBiT [COB] en de code voor informatiebeveiliging [NEN07]. Beide raamwerken zijn van algemene aard en geven slechts beperkt houvast ten aanzien van de specifieke probleemstelling. Daarom is besloten deze raamwerken niet als leidraad te gebruiken.

2 Onder mobiel werken verstaan wij het gebruik van middelen om met bedrijfkritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf.

8

Figuur 1: Onderzoeksaanpak

Bovenstaand overzicht (Figuur 1) geeft een samenvatting van de onderzoeksmethode en scriptieopbouw. Op basis van een literatuurstudie zal wordt een beeld gevormd worden van de huidige trends (Hoofdstuk 2), risico’s (Hoofdstuk 3) en beheersmaatregelen (Hoofdstuk 4) ten aanzien van mobiel werken. Dit beeld zal wordt verder aangevuld worden met behulp van informatie uit interviews gehouden met security professionals welke die consultancy/ audit werkzaamheden uitvoeren op dit terrein. Bij deze interviews is gebruik gemaakt van een standaard vragenlijst (Appendix II). De verzamelde informatie is gestructureerd weergegeven in een attack tree. Een attack tree is een analyse methode welke ontwikkeld is ontwikkeld door Bruce Schneier [SCH99]. De scriptie zal, na de theoretische onderbouwing, een casus beschouwen. Voor deze casus zijn we in gesprek gegaan met IT managers van twee sterk gemobiliseerde bedrijven en daarbij ingaan op risico’s die zij onderkennen en maatregelen die getroffen zijn. De resultaten zijn getoetst tegen de ontwikkelde attack tree om te bepalen in hoeverre dit model kan bijdragen bij het beoordelen van de mobiele veiligheid. Er is bewust voor gekozen om de gedetailleerde resultaten van deze casus niet op te nemen in deze scriptie. Gezien onze focus op grotere consultancy/audit organisaties zal verwerking van een praktisch voorbeeld herleidt kunnen worden tot een specifieke organisatie. Dit heeft tot gevolg dat de feitelijke omschrijving en daarmee ook mogelijke zwakheiden van die specifieke organisatie in een publiek toegankelijk document beschikbaar zijn. 9

1.3

Afbakening van het onderzoek

De focus van het onderzoek ligt op informatiebeveiligingsrisico’s bij verregaande mobiliteit binnen grotere consultancy/audit organisaties 3. In deze scriptie worden informatiebeveiligingsrisico’s beperkt tot die risico’s die betrekking hebben op: •

Het gebruik/transport van vertrouwelijke data buiten de fysieke gebouwen van een bedrijf (waarbij buiten als willekeurig bestempeld kan worden);

•

De datamutatie vanaf een plaats buiten het bedrijfsnetwerk.

De volgende type risico’s zijn geen onderdeel zijn van het onderzoek: •

Algemene risico’s en beheersmaatregelen die gelden voor interne platformen/applicaties/besturingssystemen en communicatie;

•

Verbindingen tussen meerdere server centra/bedrijfslocaties.

Er wordt vanuit gegaan dat alle informatie die consultancy/audit bedrijven over haar klanten vast leggen van vertrouwelijke aard is.

3 “Grotere” is hier gedefinieerd als bedrijven met meer dan 500 werknemers

10

2

Definitie mobiel werken & trends

Het begrip mobiel werken wordt gedefinieerd, waarna wordt ingegaan op de verschillende risico’s ten aanzien van mobiel werken en de mogelijke beheersmaatregelen. Om een goede definitie van mobiel werken te kunnen geven wordt een kort overzicht van de historie en huidige/toekomstige trends van de mobiele werker beschreven worden. Op basis van deze beschrijvingen wordt gekomen tot een definitie van mobiel werken.

2.1

Trends mobiel werken

Informatie- en communicatietechnologie (ICT) heeft in korte tijd een belangrijk aandeel genomen in ons hedendaagse leven. Daar waar in 1943 de eerste elektronische computer genaamd de Colossus in het topgeheim in productie werd genomen met het doel om het onderschepte Duitse berichtenverkeer te ontcijferen [WIK09] zijn een halve eeuw later bedrijven in sterke mate afhankelijk van computers. Bedrijfsprocessen worden vaak ondersteund door computerprocessen waarbij primaire vastlegging ook geschiedt in deze systemen. Daarnaast maken medewerkers bij het uitoefenen van hun dagelijkse werkzaamheden gebruik van computers. Dit maakt het dat het correct functioneren van ICT van levensbelang is voor veel bedrijven. In de “traditionele” setting van het geautomatiseerde bedrijf vonden veel processen binnen de fysieke bedrijfsomgeving plaats. Computers waren gecentraliseerd (meestal een mainframe oplossing) en gebruikers maakten met hun desktop/client vanaf hun werkplek verbinding met deze computer. Het gebruik van internet op de werkplek was niet gebruikelijk. Hierdoor konden bedrijven hun informatiesystemen naast logisch ook fysiek scheiden van de buitenwereld. Een van de eerdere voorbeelden van “mobiel” werken zijn terug te vinden bij die van de beheerder die vanaf thuis, vaak buiten reguliere werktijden, onderhoud en beheer biedt voor de informatiesystemen. Het onderdeel “mobiel” wil hier eigenlijk alleen zeggen dat hij van buiten de bedrijfsomgeving zijn werkzaamheden uitvoert. Deze situatie geeft al toegang tot systemen van buiten het bestaande netwerk maar de beperkte schaal en beperkte toegangsmogelijkheden houden de complexiteit beperkt. Begin jaren tachtig deed de laptop zijn intrede [LAP00], eind jaren tachtig rusten bedrijven werknemers in de buitendienst steeds meer uit met een laptop. Veelal betroffen het hier standalone computers welke op het kantoor gesynchroniseerd werden [WIK091].

11

Figuur 2: Het geschatte percentage van mobiele werknemers ligt rond de 20%

Vandaag de dag is het mobiele en daarmee ook het thuiswerken voor een grotere groep werknemers van toepassing. Uit een enquête van Forrester [PEL08] (zie Figuur 2) is gebleken dat een redelijke groep werknemers op een andere locatie dan kantoor hun werktijd besteden. Het resultaat is dat werknemers vanaf verschillende locaties (soms zelfs in beweging) verbinding met het bedrijfsnetwerk. Zeker als men bedenkt dat naast de laptop men ook toegang kan hebben via smartphones en webmail toepassingen. Er zullen dus maatregen getroffen moeten gaan worden om te voorkomen dat ongeautoriseerden zich toegang verschaffen via deze nieuwe toegangsmogelijkheden.

12

Figuur 3: Hypecycle mobiel werken

Naast de toename in het mobiele werk worden de mogelijkheden van de mobiele gebruiker steeds groter; in een onderzoek uitgevoerd door Gartner zijn de technologieën en toepassingen die mobiel werken mogelijk maken weergegeven in een hypecycle [GAR08] (zie Figuur 3). Hierin valt te zien dat diverse nieuwe diensten en producten in opkomst zijn. Het is dan ook te verwachten dat naast de adoptie door consumenten (een aantal van) deze diensten ook in het bedrijfsleven geadopteerd zullen worden of dat medewerkers de behoefte hebben deze diensten af te nemen met door het bedrijf verstrekte communicatieapparatuur. Uit een onderzoek van Forrester komt naar voren dat er naast de verscheidenheid van devices die gebruikt kunnen worden er ook een groeiende behoefte van de traditionele werknemer om ook met hun eigen mobiele devices toegang te krijgen tot het bedrijfsnetwerk. Forrester [PEL08] voorspelt dat dit mobiele “wannabe” segment in 2012 25% van de werknemers zal bevatten. Om succesvol aan deze vraag te voldoen zullen service providers, fabrikanten en software bedrijven op deze behoeften moeten inspelen. Daarnaast zal ook het bedrijfsleven aansluiting moeten vinden op deze trends. Vraagstuk hierin is in hoeverre bedrijven een keuze hebben al dan niet mee te gaan met de mobiele trends en wensen vanuit de werknemer. Middels risico inschattingen en kosten/baten afwegingen zal bepaald moeten worden welke vormen van mobiel werken binnen de bedrijfsdoelstellingen passen. Het aspect van een aantrekkelijke werkgever blijven voor dit groeiende wannabe segment zal een steeds grotere rol spelen in deze inschattingen en afwegingen. Sommige bedrijven zullen er niet aan ontkomen (gedeeltelijk) toe te geven aan de wensen van de werknemer. 13

2.2

Mobiliteit bij consultancy en audit bedrijven

Het werk bij consultancy/audit bedrijven kenmerkt zicht door werkzaamheden bij verschillende externe klanten. Hierbij bezoekt de medewerker de klant om daar de werkzaamheden op locatie uit te voeren. Bij de uitvoering van de werkzaamheden wordt klantdata verzameld. Ook wordt daarbij gebruik gemaakt van centrale systemen voor verschillende doelstellingen, bijvoorbeeld: •

Synchroniseren mail;

•

Raadplegen kennis databases;

•

Raadplegen historische klantdata;

•

Uploaden van huidige klantdata.

Bij uitvoering van deze werkzaamheden wordt binnen de kantoren van verschillende ICT middelen gebruik gemaakt, onder andere: •

Laptop;

•

USB-stick (gebruikt voor opslag/transport data);

•

Smartphone;

•

Webmail.

Daarnaast kan er op verschillende manieren contact gemaakt worden met het bedrijfsnetwerk. Hieronder een aantal voorbeelden: •

Via de mobiele telefoon (UMTS);

•

Via een internetconnectie van de klant;

•

Via publiek toegankelijke internet access points.

De trend lijkt dus te zijn dat bedrijven meer en meer initiatieven ontplooien om mobiel werken te ondersteunen. Hierbij worden de apparaten die dit ondersteunen steeds geavanceerder en diverser.

2.3

Definitie mobiel werken

De bovenstaan analyse geeft een beeld van huidige trends in mobiel werken die bij kan dragen aan de definitie van mobiliteit. In deze paragraaf worden tevens definities uit de literatuur beoordeeld. De literatuur gebruikt diverse termen voor mobiel werken. Hierbij valt onder andere te denken aan: mobiel werken, telewerken, thuiswerken. Net als de verschillende termen zijn er ook een verscheidenheid aan definities terug te vinden; hierbij valt op dat de definitie vaak gebruik wordt om het betreffende onderzoek beter af te bakenen [SUL03]. Naast informatiebeveiliging wordt bij mobiel werken ook onderzoek gedaan naar sociale, economische gevolgen. Het is dan ook niet vreemd dat voor elk van deze onderzoeken andere definities gebruikt worden.

14

De Vries onderscheid verschillende vormen van telewerken/mobiel werken waarbij de volgende definities naar voren komen [VRI98]: “Telewerken: een vorm van arbeid die op afstand van werk- of opdrachtgever wordt uitgevoerd met behulp van ICT. In het algemeen worden de volgende categorieën van telewerken onderscheiden: 1. Multi-site telewerken. Tele-thuiswerken. Iemand werkt thuis voor één werkgever. Telewerken vindt op structurele basis plaats en is meer dan (incidenteel) werken in de avonduren (“day extending”), weekenden of soms tijdens een werkdagdeel. Over het algemeen is hierbij sprake van een arbeidsovereenkomst. 2. Mobiel telewerken. Een medewerker werkt op meerdere en wisselende plekken (bijvoorbeeld bij klanten) en gebruikt mobiele telecommunicatieapparatuur voor contact met de opdrachtgever en/of collega’s op kantoor. Hierbij zal meestal sprake zijn van een arbeidsovereenkomst. 3. Freelance telewerken. Iemand werkt altijd vanuit huis voor meerdere opdrachtgevers. Hierbij is sprake van opdracht/aanneming van werk. 4. Tele-uitbesteding. Een deel van het primaire arbeidsproces kan door informatie- en communicatietechnologie (ICT) gescheiden worden van de rest en wordt op afstand van de hoofdvestiging ondergebracht. Men kan hierbij denken aan callcenters, softwareontwikkeling, data-entry, etc. Er kan sprake zijn van verschillende contractvormen. Bij deze vorm van telewerken wordt ook wel gesproken van collectieve vormen van telewerken (tegenover individuele vormen die hierboven worden genoemd).”

15

Vooral met het oog op mogelijke risico’s en maatregelen die getroffen worden is het van belang een aansluitende definitie van telewerken te hanteren. Zo zullen mensen die aan “tele-uitbesteding” doen aan andere risico’s blootgesteld worden en andere maatregelen voor handen hebben dan gebruikers die “mobiel werken”. Er kunnen bij tele-uitbesteding bijvoorbeeld ook een aantal fysieke maatregelen getroffen worden omdat medewerkers vanaf eenzelfde werkplek werken. Van de gepresenteerde definities sluit de definitie van “mobiel telewerken” het beste aan bij de werkwijze op grotere consultancy/audit bedrijven. Er is gekozen om deze definitie toe te spitsen op de voor ons van toepassing zijnde situatie. Tevens is het element ‘informatie’ toegevoegd om de data die blootgesteld wordt aan de risico’s met mobiel werken expliciete aandacht te geven.

Wij hanteren de volgende definitie voor mobiel werken: Mobiel werken is het gebruik van middelen om met bedrijfkritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf.

16

3

Risico’s in een mobiele omgeving

Om bij de beschrijving van de risico’s tot een bruikbaar model te komen, is de attack tree methode gebruikt. De attack tree methode is een methodiek ontwikkeld in de hackers-, beveilgingswereld, geschikt om dreigingen te modelleren. Bij mobiel werken heb je te maken met dreigingen buiten de fysieke grenzen van het bedrijf, daarom is ervoor gekozen de attack tree methode in te zetten voor een analyse in de IT-audit wereld. Dit hoofdstuk gaat in op de attack tree in de mobiele omgeving. Hierbij wordt eerst de attack tree methode uitgelegd, gevolgd door een vergelijking met andere risicoanalyse methodieken. Hierna wordt de omgeving en de ontwikkeling van het attack tree mode beschreven. Het hoofdstuk wordt afgesloten met de bedreigingen ten aanzien van mobiel werken.

3.1

Attack tree

Een attack tree is een standaard manier om de informatiebeveiliging van systemen in kaart te brengen door te kijken wat mogelijke ‘aanvallen’ zijn [SCH99]. Een attack tree geeft inzicht op de wijze waarop een informatiebeveiligingsdoelstelling (bijvoorbeeld de confidentialiteit, integriteit of beschikbaarheid) teniet gedaan wordt. De doelstelling (ook vaak wortel genoemd) van de attack tree is de negatie van de informatiebeveiligings-doelstelling. Oftewel, als de doelstelling vanuit informatiebeveiliging is om het systeem beschikbaar te houden, dan is de doelstelling van de attack tree om te onderzoeken hoe de beschikbaarheid aangevallen en geschaad kan worden. Onder deze wortel komen subdoelstellingen waaraan voldaan moet worden om de doelstelling in de wortel te halen. Elke subdoelstelling, ookwel knoop genoemd, kan op zijn beurt ook weer meerdere subdoelstellingen hebben (subdoelstellingen worden de kinderen van een knoop genoemd). Een knoop met kinderen heet de ouder. De relatie tussen een ouder en zijn kinderen kan een AND of een OR relatie zijn. In een AND relatie moeten de doelen van alle kinderen vervuld worden om het doel van de ouder te vervullen. In een OR relatie is het voldoende dat een van de doelen van de kinderen vervuld wordt om de ouderdoel te vervullen. Knopen zonder kinderen worden bladeren genoemd. De doelen in de bladeren worden direct beoordeeld en zijn een gedetailleerde beschrijving van de dreiging/risico. Een verzameling van bladeren welke het hoofddoel (wortel) vervult wordt een aanvalsscenario genoemd.

Om bovenstaande te verduidelijken geven we een voorbeeld van het stelen van een auto(de wortel) (zie Figuur 4). Er zijn (tenminste) twee manieren om een auto te stelen, “inbreken in auto” of “sleutels stelen”. Zowel inbreken als sleutels stelen is een subdoel, waarbij er een OR relatie is met de wortel ‘auto stelen’. Een van beide (inbreken of stelen) is voldoende om het hoofddoel te 17

verwezenlijken. Sleutels stelen kun je verder opsplitsen in het vinden van de eigenaar en het afhandig maken van de sleutels. Dit heeft een AND relatie met de bovenliggende subdoelstelling (de ouder). Voor ons onderzoek is ervoor gekozen de attack tree te aan te vullen met beheersmaatregelen. Een beheersmaatregel maakt de kans of de impact dat een bepaalde aanval zich kan voordoen kleiner. Er is voor gekozen de beheersmaatregelen aan de betreffende bladeren te koppelen. Zie Figuur 4 voor een voorbeeld hiervan.

Figuur 4: Voorbeeld attack tree

3.2

Vergelijking met andere risicoanalyse methodieken

In de literatuur zijn verschillende risicoanalyse methodieken terug te vinden. Deze methoden zijn in verschillende onderzoeken vergeleken en geïnventariseerd. Zo vergelijken Vidalis [VID04], ENISA [ENI06] en Bornman[BOR03] methoden als SPRINT, A&K, CRAMM, ARiES en COBRA. Deze methodieken zijn geschikt om toe te passen op een concreet bedrijf; het doel van ons onderzoek was een meer generiek toepasbare lijst van risico’s te identificeren welke van toepassing zijn op mobiel werken binnen de verzameling van consultancy/audit bedrijven. De genoemde methoden omvatten het daadwerkelijk inschatten en monitoren van risico’s. Dit is in een algemeen raamwerk 18

minder van toepassing omdat dit afhankelijk is van de bedrijfsspecifieke implementatie. Waar bovengenoemde methoden beperkt aandacht aan besteden is hoe de lijst met mogelijke risico’s/dreigingen op een gestructureerde en volledige manier tot stand kan komen. Hierin onderscheid de attack tree methode zich van de bovengenoemde methoden. De attack tree methode dwingt de onderzoeker om gestructureerd te zijn bij het identificeren van dreigingen [SCH99]. Het gestructureerd identificeren van dreigingen is wat ons betreft niet alleen voor belang voor de hackers- en beveilgingswereld. Wij zijn van mening dat de attack tree methode met zijn gestructureerde analyse aanpak een bijdrage kan leveren in de IT audit wereld.

3.3

Omgeving

Ten aanzien van mobiele werkomgeving onderscheiden wij drie risicogebieden (onderschreven door Hoogenboom [HOG06]. Dat zijn (zie Figuur 5): (1) het mobiele apparaat zelf; inclusief gebruik ervan en de omgevingsrisico’s; (2) de communicatiekanaal met het toegangspunt van het bedrijf; (3) het toegangspunt van het bedrijf. Mobiele apparaat (1)

PDA

Communicatiekanaal (2)

Toegangspunt Bedrijf (3)

Laptop

Netwerk Connectie

Desktop (home)

Smartphone

USB Stick

Kantoor

Webmail

Figuur 5: Gebieden mobiele beveiliging

In deze scriptie worden de bovenstaande drie gebieden onderkend waarop dreigingen zich kunnen manifesteren; het plaatsvinden van een dreiging heeft effect op een van de informatiebeveiligingsaspecten (integriteit, beschikbaarheid, vertrouwelijkheid). 19

3.4

Ontwikkeling van het model

Voor de ontwikkeling van het model is voor elk van de informatiebeveiligingsaspecten een aparte attack tree gemaakt, waarin per attack tree de omgevingen zoals gedefinieerd in paragraaf 3.2 terugkomen. In deze attack trees is eenvoudig te zien welke verzameling van aanvallen het doel vervullen (zie appendix I). Het opgebouwde model is bij een drietal expert middels een interview geverifieerd, met name om de compleetheid van de attack tree te toetsen. Hierbij zijn de interviews in drietal fasen opgedeeld: •

Discussie over trends in een mobiele omgeving

•

Discussie over de dreigingen en mogelijke beheersmaatregelen

•

Beoordeling van het huidige model.

Bij deze driedeling is gekozen om bij de eerste twee punten open vragen te stellen, op deze wijze zal de geïnterviewde meer vanuit zijn eigen ervaringen spreken en daarmee mogelijke aanvullingen op ons onderzoek niet te beperken. Bij het laatste punt is het model voorgelegd aan de geïnterviewden en is hen gevraagd dit te beoordelen op volledigheid, overzichtelijkheid, consistentie en kwaliteit. (Zie Appendix II). De input van de experts is meegenomen in de verdere verfijning van het model.

3.5

Bedreigingen en risico’s

Bij mobiel werken wordt de digitale bedrijfskritische informatie in vergelijking met niet-mobiel werken blootgesteld aan verschillende nieuwe en specifieke bedreigingen in. Een dreiging definieren we naar Overbeek [OVE05] als een proces of een gebeurtenis die in potentie een verstorende invloed heeft op de betrouwbaarheid van een object. In het kader van informatiebeveiliging betreft het objecten van informatievoorziening: apparatuur, programmatuur, procedures en mensen. Door een verstoring van één of meerdere van deze objecten onstaat een directe dreiging op de data welke beschermd wordt door deze objecten. Een dreiging heeft effect op een van de informatiebeveiligingsaspecten [NEN07]: •

Beschikbaarheid Waarborgen dat geautoriseerde gebruikers op het juiste moment en plaats tijdig toegang hebben tot informatie en aanverwante bedrijfsmiddelen.

•

Integriteit: Waarborgen van de correctheid en volledigheid van informatie en verwerking.

•

Vertrouwelijkheid: Waarborgen dat informatie alleen toegankelijk is voor degenen die hiertoe zijn geautoriseerd. 20

Daarin kan een extra onderscheid gemaakt worden tussen menselijke (foutief handelen, criminaliteit & misbruik) en niet-menselijk bedreigingen (storm, bliksem, brand). Een risico drukken we uit in termen van de gemiddelde schade als gevolg van een bedreiging. De dreiging dat iemand inbreekt in mijn auto geeft mij het risico dat ik mijn auto kwijtraak (verlies uit te drukken in geld) waardoor ik ook een maatstaf heb om maatregelen tegen af te wegen om het risico te beperken. De schade van het risico wordt genomen over een gegeven tijdsperiode waarin (één of meer) bedreigingen leidt tot een verstoring van (één of meer) objecten van de informatievoorziening. Dit betekent dat er sprake is van een risico wat zich voordoet als één of meer objecten van de informatievoorziening door één of meer bedreigingen getroffen worden, met schade als gevolg. Binnen een mobiele omgeving zijn er dreigingen voor alle drie deelgebieden. In Figuur 6 zijn de dreigingen schematisch weergegeven.

Aanvaller

Netwerk connectie Kantoor

Mobiele apparaat

Mobiele Apparaat

Communicatie Kanaal

Toegangspunt Bedrijf

Figuur 6: Dreigingen mobiele beveiliging

Op basis van diverse bronnen uit de literatuur ([JAN08], [SAN01], [HOG06]) en interviews met informatiebeveiligingsexperts (zie Appendix II) zijn er per informatiebeveiligingaspect dreigingen in meer detail gedefinieerd. Deze dreigingen zijn geplaatst per omgevingsonderdeel (zoals aangegeven in figuur 6). Het overzicht van de risico’s is terug te vinden in de attack trees (Appendix I) en in de matrices (zie Appendix III). 21

4

Good practices voor beveiliging in een mobiele omgeving

In dit hoofdstuk worden de verschillende beheersmaatregelen uitgeschreven op basis van de eerder gedefinieerde dreigingen. De in dit hoofdstuk beschreven beheersmaatregelen zijn een samenvatting van de maatregelen gedefinieerd in de attack trees. Hier is per dreiging een mogelijke beheersmaatregel opgenomen. Deze beheersmaatregelen zijn in grijs onder de betreffende dreiging in het model opgenomen (zie Appendix I). Ook komen de beheersmaatregelen terug in de matrix welke te vinden is in Appendix III, hierin komt duidelijk naar voren welke beheersmaatregel de impact en kans van welk risico kan mitigeren.

4.1

Wat zijn beheersmaatregelen?

Door het treffen van beheersmaatregelen is het mogelijk om de kans en impact van risico’s (de schade) te beperken. Dit kan enerzijds gedaan worden door de kans te verlagen dat het risico plaatsvindt en anderzijds door dat de kwetsbaarheid van de betreffende objecten verkleind wordt, oftewel het verkleinen van de impact. Een risicoanalyse leert voor welke bedreigingen beheersmaatregelen getroffen moeten worden.

4.2

Beheersmodel

Vanuit de geïdentificeerde dreigingen zijn bijbehorende beheersmaatregelen gedefinieerd. Deze beheersmaatregelen zijn in de attack tree opgenomen (Appendix I). In het voorgaande hoofdstuk is te zien dat er en driedeling is: mobiele apparaten, communicatielijn, toegangspunt bedrijf. De attacktree houdt ook deze driedeling aan. Er is ervoor gekozen om de geidentificeerde maatregelen ook in deze driedeling te zetten. Daarnaast is opgevallen dat een aantal maatregelen overkoepelend voor alle drie de gebieden zijn: Richtlijnen en procedures, Bewustzijn bij gebruikers. Dit komt dus neer op de volgende vijf categorieën van beheersmaatregelen: 1. Richtlijnen en procedures (overkoepelend) 2. Bewustzijn bij gebruikers (overkoepelend) 3. Beveiliging mobiele apparaat 4. Beveiliging connectie 5. Beveiliging toegangspunt Dit is schematisch weergeven in Figuur 7. Daarin is te zien dat richtlijnen en procedures en bewustzijn van gebruikers de twee overkoepelende onderdelen zijn van een beheersbare mobiele omgeving. Daar binnen zijn de pilaren gedefinieerd die ook in hoofdstuk 3 worden genoemd als de gebieden waar bedreigingen plaats vinden. Voor deze pilaren geldt dat technische en organisatorische beheersmaatregelen benodigd zijn om de omgeving te beheersen. Als ondergrond 22

in de tekening staat de mobiele infrastructuur, welke het object is wat beheerst wordt door de maatregelen die worden ingericht voor de eerder genoemde vijf categorieën. Hieronder worden per soort beheersmaatregel een aantal voorbeelden genoemd. Deze zijn uitgewerkt in Fout! Verwijzingsbron niet gevonden., waarbij per beheersmaatregel wordt aangegeven of het een richtlijn of procedure (R) is, bewustzijn bij gebruikers (G), een technische beheersmaatregel (T) of een organisatorische maatregel (O) is. Sommige beheersmaatregelen vallen in meerdere categorieën (technisch, organisatorisch en procedureel).

Figuur 7: Schematische weergave van de beheersmaatregelen

De volgende paragrafen beschrijven de categorieën van beheersmaatregelen in meer detail.

4.2.1 Richtlijnen en procedures Voor richtlijnen en procedures is het belang dat ze onderdeel zijn van het informatiebeveiligingsbeleid en de business ondersteunen. Ze dienen regelmatig geïnspecteerd te worden door de business om te bepalen of de richtlijnen en procedures nog steeds effectief zijn. Change management, probleem management, business continuïteit en beveiligingsinstellingen zijn normaliter onderdeel van de richtlijnen en procedures. Om dreigingen en risico’s te beheersen hebben wij binnen ons model de volgende typen procedures en richtlijnen geïdentificeerd: •

Richtlijnen voor gebruikers ten aanzien van gebruik apparaat (geen malware installeren, apparaat locken, omgeving, etc);

•

Richtlijnen voor gebruikers ten aanzien het omgaan met credentials;

•

Richtlijnen voor helpdesk ten aanzien van het doorgeven van credentials (wachtwoord reset);

•

Procedure voor het verwijderen van logische toegang van werknemer die niet meer dienst is.

•

Procedure voor verwijderen van data op oude apparaten. 23

•

Procedure om apparaat te wipen op afstand.

4.2.2 Bewustzijn bij gebruikers Gebruikersbewustzijn is een van de belangrijkste onderdelen in het palet van maatregelen waarmee de beheersbaarheid van een mobiele omgeving wordt gerealiseerd. Hierbij is het cruciaal dat de richtlijnen en procedures bekend zijn bij de gebruiker, zodat de gebruiker zich hieraan kan conformeren om zo diefstal, verlies of vernietiging van het mobiele apparaat te voorkomen. Ook is het van belang dat de gebruiker getraind wordt in de procedures en richtlijnen en een gedragscode tekent bij het verkrijgen van toegang tot het bedrijfsnetwerk of mobiele apparaat.

4.2.3

Organisatorische maatregelen

De organisatorische maatregelen hebben als doel de werkwijzen en acties van medewerkers te richten op de beperking van risico’s en dreigingen, bijvoorbeeld door een goed gebruik en beheer van de technische maatregelen (RID98). Organisatorische maatregelen alleen zijn niet toereikend ter realisatie van het noodzakelijke beveiligingsniveau. Slechts in combinatie met technische maatregelen kunnen dreigingen op een doeltreffende manier worden beheerst. Organisatorische maatregelen moeten door het bedrijf genomen worden. Wij hebben binnen ons model de volgende typen organisatorische maatregelen geïdentificeerd: •

Organiseer mogelijkheden om accounts snel te blokkeren;

•

Inrichten procedure die apparaat voorziet van laatste patches;

•

Inrichten procedure voor het tijdig vervangen van hardware.

•

Zorg voor een privacy screen;

4.2.4 Technische maatregelen Tussen technische en organisatorische maatregelen bestaat een duidelijke afhankelijkheid. De effectiviteit van technische maatregelen schiet tekort als deze onvoldoende zijn ingebed in organisatorische maatregelen [RID98]. Technische maatregelen zijn van toepassing voor het apparaat zelf, het communicatiekanaal en het toegangspunt bij het bedrijf. Wij hebben binnen ons model de volgende typen technische maatregelen geïdentificeerd:

Mobiel apparaat •

Beperkt de rechten van de gebruiker op het apparaat;

•

Schakel onnodige services uit;

•

“Harden” het apparaat; 24

•

Zorg voor een up-to-date virus scanner/security patches;

•

Stel wachtwoord complexiteit in;

•

Kies voor voldoende sterke encryptiemethoden voor bescherming credentials;

•

Gebruik meervoudige authenticatie;

•

Sta geen geheugenkaarten toe;

•

Adequate fysieke bescherming apparaat;

•

Zorg voor backup en vervanging bij verlies/diefstal;

•

Zorg dat gebruikers alleen door de werkgever goedgekeurde software kunnen installeren;

•

Gebruik encryptie zowel voor apparaat als geheugenkaart(en);

•

Maak gebruik van een firewall client;

•

Blokkeer de user interface van het apparaat automatisch na bepaalde timeout;

•

Implementeer phishing detectie;

•

Biedt alternatieve verbinding aan (Umts/Satelliet);

•

Implementeer technische maatregelen die het onmogelijk maken met andere apparaten verbinding te maken met het netwerk.

Communicatiekanaal •

Zorg dat server zich ook moet authenticeren bij het apparaat;

•

Implementeer een voldoende sterke encryptie methode voor de verbinding;

•

Fysieke beveiliging communicatiekanaal;

•

Leg user credentials niet vast in communicatie.

Toegangspunt bedrijf •

Rust het toegangspunt uit met een firewall;

•

Zorg voor een up-to-date virus scanner/security patches;

•

Zorg voor fysiek beveiliging van het pand waar het toegangspunt zich bevindt;

•

Gebruik whitelists/blacklists/ filtering voor internettoegang.

25

5

Praktische toepassing door de IT auditor

Dit hoofdstuk gebruikt een case analyse om de toepasbaarheid van het model in de praktijk te toetsen, en welke rol de IT auditor hierbij vervult. Bij de praktische toepassing zijn twee verschillende bedrijven onderzocht. Aan de hand van het ontwikkelde attack tree model (Appendix I) zijn de beheersmaatregelen binnen het bedrijf in kaart gebracht en is beoordeeld of mogelijke kwetsbaarheden aanwezig waren.

5.1

Case analyse

Voor de case analyse is het model bij twee consultancy/audit bedrijven getoetst. Omdat de attack tree redelijk uitgebreid is voor een praktische toepassing is een checklist ontwikkeld. Deze checklijst is beschreven in een matrix vorm (zie Appendix III) en is opgesteld op basis van de eerder beschreven attack tree (hoofdstuk 3) en de good practices (hoofdstuk 4). Er is gestart met een inventarisatie welke middelen (smartphone, laptop, usb, etc) worden gebruikt door het betreffende bedrijf, waarna systematisch door de matrix is gegaan om te inventariseren welke good practices aanwezig zijn. Hieronder wordt beschreven wat de ervaringen waren tijdens deze twee stappen. De inhoudelijke resultaten van deze toetsing zijn niet opgenomen om zo te voorkomen dat getroffen security maatregelen en van toepassing zijnde procedures openbaar bekend worden. Wat wel beschreven wordt, is de ervaring die is opgedaan bij het hanteren van het model. Bij beide toetsingen kwamen dezelfde ervaringen naar voren: •

De attack trees zijn erg uitgebreid en zijn daardoor minder geschikt als directe checklist tijdens het toetsen. Daarom zijn, zoals al eerder beschreven, de trees “plat geslagen” tot een matrix, wat een beter bruikbare checklist opleverde (zie Appendix III). Na het toetsen zijn de resultaten aan de hand van de trees eenvoudig kunnen verwerken.

•

De attack trees zijn bruikbaar voor alle middelen van mobiel werken die besproken zijn in de interviews. Bij sommige vormen van mobiele werken is slechts een gedeelte van de boom van toepassing zijn (bijvoorbeeld USB sticks of Webmail). Het model blijft ook dan van toepassing. Een USB stick onderhoudt bijvoorbeeld geen communicatiekanaal met het bedrijfstoegangspunt waardoor de hele tak ‘communicatie’ en ‘toegangspunt bedrijf’ komen te vervallen, maar andere takken blijven relevant.

•

Het model geeft snel een overzicht van risico’s/maatregelen die in mindere mate geadresseerd zijn. Deze risico’s/maatregelen kunnen in een vroeg stadium al nader onderzocht worden. 26

•

De attack tree voor integriteit en vertrouwelijkheid komen in grote mate overeen. Daardoor bood de toets op vertouwlijkheid ook inzicht in de meeste risico’s en good practices van integriteit.

•

De attack tree geeft inzicht in mogelijke dreigingen, het eigenlijke risico (de kans dat een geschetste dreiging ook werkelijk voor zal komen) komt niet als dusdanig uit het model. Hiervoor zal nog aanvullend onderzoek moeten plaatsvinden.

5.2

Toepassing in de praktijk

Op basis van bovenbeschreven ervaringen worden in deze paragraaf handreikingen gegeven voor het praktisch toepassen van het model. Hierbij wordt eerst ingegaan worden op het gebruik van de attack trees binnen een IT-Audit organisatie en hoe omgegaan dient te worden bij toepassing op apparaten met een verschillend risico profiel. Daarna wordt ingegaan worden op het afwegen van dilemma’s bij het gebruik van het model.

5.2.1 Gebruik van de attack trees Hoofdstuk 2 beschrijft dat consultancy/audit bedrijven hun medewerkers voorzien van verschillende apparaten. Aangezien elk van de apparten aparte karakteristieken hebben, zullen elk van deze apparaten ook aan aparte dreigingen blootstaan.

Daarnaast is het denkbaar dat naast het gebruik van de reguliere werkstations ook werkstations worden gebruik die controletechnisch andere karakteristieken hebben. Hierbij valt onder andere te denken aan: •

Thuiscomputers waarmee verbinding gemaakt wordt met de bedrijfsomgeving

•

Computers van externen die toegang hebben tot de bedrijfsomgeving

•

Thin clients die toegang hebben tot het bedrijfsnetwerk

In bovenstaande scenario’s is sprake van verschillende risico modellen. Zo zal de beheersorganisatie geen/beperkt invloed hebben op de thuiscomputer van de medewerker met betrekking tot patching en hardening. Bij de computers in het eigen netwerk kan hier wel monitoring over plaatsvinden. Onze suggestie is om voor bovenbeschreven situaties aparte atack tree analyses uit te voeren. In Appendix II is een sjabloon opgenomen welke kan ondersteunen in deze analyse.

5.2.2 Afweging bij tegengestelde belangen Bij de toepassing van de attack trees kan men uitmonden op tegengestelde belangen. Zo is een situatie in te denken waarbij een medewerker voor langere tijd geen toegang heeft tot het bedrijfsnetwerk. Om verlies van data te voorkomen zal op regelmatige basis een backup gemaakt 27

moeten worden. Dit zou via het gebruik van een USB device kunnen zijn. Hierbij komt het volgende dillemma naar voren: •

Beschikbaarheid: om bij een systeemcrash minimaal verlies van data te hebben kan een backup gemaakt worden op een USB device.

•

Vertrouwelijkheid: Bij het verlies/diefstal van dit USB device komen vertrouwelijke gegevens op straat.

Het model biedt mogelijkheden om deze risico’s te identificeren, de IT-Auditor kan op basis van het gegeven dilemma en de bedrijfsspecifieke situatie verschillende alternatieven tegen elkaar afwegen met het doel het restrisico te minimaliseren. Als voorbeeld: •

Situatie 1: Een medewerker werkt voor langere tijd offsite en kan met de huidig beschikbare communicatie technologieën geen (goede) verbinding maken met het bedrijf waarvoor hij werkt. Optimalisatie: Doordat verbinding met het bedrijfsnetwerk lastig is zal gebruik gemaakt kunnen worden van een lokale backup up een USB-device. Om deze gegevens te beschermen kan gebruik gemaakt worden van encryptiemethoden.

•

Situatie 2: Een medewerker werkt voor langere tijd offsite en kan met de beschikbare communicatie technologieën een goede verbinding maken met het bedrijf waarvoor hij werkt. Hij zal op regelmatige basis verbonden zijn met het bedrijfsnetwerk. Optimalisatie: Bij verbinding met het bedrijfsnetwerk wordt hem de mogelijkheid geboden om een backup te starten. De backup zal op de achtergrond en incrementeel (alleen de verschillen worden gebackuped) uitgevoerd worden.

Naast bovenbeschreven dilemma zullen bij de toepassing van de maxtrix meerdere dilemma’s aan bod kunnen komen. Het is aan management om op basis van de bedrijfsspecifieke situatie te beslissen over de verschillende alternatieven.

5.3

Rol IT-Auditor

Het ontwikkelde attack tree model (Appendix I) kan gebruikt worden om snel inzicht te krijgen in de maatregelen die aanwezig zijn binnen een consultancy/audit bedrijf en laat vervolgens zien waar maatregelen niet genomen zijn. De IT-Auditor kan door management gevraagd worden een opinie te geven over de inrichting van het mobiel werken gerelateerd aan de kwaliteitsaspecten (beschikbaarheid, integriteit, vertrouwelijkheid). Het ontwikkelde model kan de auditor 28

ondersteunen bij het doen van een quickscan naar de aanwezige beheersmaatregelen. Hierbij kan de auditor in korte tijd een oordeel geven over de opzet en het ontwerp van de aanwezige maatregelen. Indien een oordeel van redelijke mate van zekerheid verlangd wordt zal de IT-Auditor ook de werking van de controls moeten testen.

29

6

Conclusie

Dit hoofdstuk beantwoord de onderzoeksvraag. Daarnaast zal in de reflectie aandacht besteed worden aan de aandachtspunten van het onderzoek.

De onderzoeksvraag luidt: Wat zijn de risico’s voor de digitale bedrijfs(kritische) informatie met betrekking tot mobiel werken bij consultancy/audit bedrijven en met welke maatregelen kunnen deze risico’s beheerst worden?

Na ons onderzoek kunnen we antwoorden dat er een toenemende trend is in mobiel werken en dat er vele dreigingen voorkomen t.a.v. het apparaat, de communicatie en het eindpunt. Het risico van deze dreigingen valt te beperken door gebruik te maken van beheersmaatregelen op vijf gebieden: richtlijnen en procedures, bewustzijn bij gebruikers, beveiliging mobiele apparaat, beveiliging connectie, en beveiliging toegangspunt.

Uit ons onderzoek blijkt dat het gebruik van mobiele apparaten binnen bedrijven toeneemt en de technologische trend is dat apparaten steeds kleiner en krachtiger worden. Er is gebleken dat beveiligingissues rondom mobiel werken tegenwoordig meer aandacht krijgen binnen bedrijven [PEL081]. Op basis van literatuurstudie, interviews en eigen analyse is een overzicht van mogelijke risico’s geïdentificeerd. Deze risico’s manifesteren zich vooral op het moment dat gebruikers hun middelen onbeheerd achterlaten of verliezen. Op technisch vlak zijn diverse risico’s onderkend zoals: virussen, malware, spyware en misbruik van zwakheden. Om zich te wapenen tegen deze risico’s dient een combinatie van technische, procedurele, en organisatorische maatregelen getroffen te worden. Voorbeelden hiervan zijn: data encryptie, hardening, en voorlichting van de gebruiker. De risico’s en mogelijke beheersmaatregelen zijn opgenomen in het ontwikkelde attack tree model. In Appendix I is het attack tree model beschreven. Tevens zijn per dreiging de risico’s opgenomen. Daarnaast is deze attack tree omgeschreven naar een matrix structuur om toetsing tijdens interviews te vereenvoudigen Fout! Verwijzingsbron niet gevonden.. Tevens is in de matrices te zien dat een aantal beheersmaatregelen meerdere dreigingen afdekken. Dit maakt het voor management mogelijk om een optimale mix in beheersmaatregelen te kiezen. 30

Uit deze toetsing van het model bij twee bedrijven is gebleken dat het model gebruikt kan worden bij de beoordeling van de opzet van aanwezige beheersmaatregelen.

6.1

Reflectie en aanvullende onderzoeksresultaten

Naast de bruikbaarheid van het model in de praktijk zijn er ook een aantal kritische kanttekeningen te plaatsen bij het huidige onderzoek: •

De ontwikkelde attack trees zijn minder handzaam (voor de integriteitsboom zijn er 72 knopen/bladeren) waardoor de auditor eerst inzicht moet verwerven over de opbouw van ons model voordat de trees eenvoudig tijdens een interview gebruikt kunnen worden.

•

De attack tree methode is vooral geënt op het identificeren van mogelijke aanvallen door een externe aanvaller. Tijdens de modellering kwamen wij erachter dat het definiëren van inherente risico’s niet goed in het model te brengen was. Bijvoorbeeld het crashen van een harddisk wordt niet noodzakelijkerwijs veroorzaak door het handelen van een natuurlijk persoon, maar het risico is inherent aan het gebruik van deze technologie.

•

Tijdens de uitwerking van de attack trees werd duidelijk dat de integriteitboom en de vertrouwelijkheidboom grote gelijkenis hadden. Er is gekeken of deze bomen samengevoegd konden worden. Dit bleek lastig te zijn omdat ze in een aantal scenario’s verschillen. Bijvoorbeeld wanneer een aanvaller meeleest op het beeldscherm van zijn slachtoffer komt wel de vertrouwelijkheid maar niet de integriteit in het geding. Deze grote overlap tussen de bomen kwam ook aan het licht bij de toetsing van het model in de praktijk. Hier bleek dat bij het controleren van één van de bomen de ander al grotendeels ingevuld kon worden met de reeds verkregen informatie.

31

Appendix I Attack Trees Hieronder zijn de attack trees te vinden, per informatiebeveiligingsdoelstelling (vertrouwelijkheid, beschikbaarheid en integriteit) is één attack tree opgesteld. De attack tree bevatten de verschillende aanvalsscenario’s waaruit dreigingen komen. De attack trees zijn aangevuld met beheersmaatregelen per soort dreiging (in grijs). Voor de vertrouwelijkheids en integriteitsboom geldt dat deze niet op één pagina paste, waardoor ingaande en uitgaande lijnen van labels zijn voorzien. Daarnaast zijn er een aantal gedeelten van de attack tree welke meerdere malen voorkomen. Er is ervoor gekozen deze niet meerdere malen op te nemen maar de betreffende knoop van een kleur te voorzien. Hierdoor is de knoop “Verkrijg autenticatiemetoden” in deel 1 groen gekleurd; de uitwerking van deze knoop is te zien in deel 4.

32

Vertrouwelijkheid deel 1 Achterhalen vertrouwelijke informatie

OR

A

C

Ongeautoriseerde toegang tot de communicatie

AND

Lezen van communicatie

Toegang tot communicatielijn

AND

OR 1.B.07 Communicatie flow gerouteerd via apparaat aanvaller

Onderschep communicatie over de lijn

Manipuleer de setup fase van de communicatie

Interpreteer communicatie

Kraak Communicatie

Kies sterke encryptie methode

AND AND 1.B.01

1.B.02

Fysieke toegang tot communicatie lijn

Toegang tot de lijn krijgen m.b.v. “afluister apparaat”

Aanvaller past routing tables aan om verkeer te rerouten

Fysieke maatregelen

Voorlichting Gebuikers Richtlijnen gebruikers (apparaat, transport, omgeving)

Richtlijnen gebruikers (apparaat, transport, omgeving)

AND

OR 1.B.03

1.B.08

1.B.04 Installeer Rogue access point

Communicatie flow gerouteerd via apparaat aanvaller

AND

Voorlichting Gebruikers 1.B.05 Fysieke Maatregelen

Doe jezelf voor als een legitieme server (Man in the middle)

Zet een verbinding op met de client en doe je voor als server

1.B.06 Gebruik verkregen info om een verbinding op te zetten met de server

Decrypt communicatie

Verkrijg encryptie sleutel


Zorg ervoor dat de server zich ook moet authenticeren

33

Vertrouwelijkheid deel 2 A Toegang tot data op het mobiele apparaat

OR

B

Ongeautoriseerde toegang tot het (mobile) apparaat

AND

Toegang tot Mobile apparaat

Toegang tot Data

OR

Verkrijgen credentials

Malware/Trojan

AND

AND 1.A.03

Aanvaller kan gebruiker Malware/Trojan laten installeren (Via programma/ ActiveX) OR

Malware/Trojan wordt niet tijdig gedetecteerd door scanapparatuur.

1.A.01

1.A.02

Malware/Trojan laten installeren via een netwerk (mail, internet enz)

Misbruik van Zwakke security instellingen

Misbruiken Vulnerabilities

1.A.23 1.C.20

Exploit beschikbaar die toegang geeft

Software niet voorzien van de laatste versie’s

Up to date detectie programmatuur geinstalleerd

Malware/Trojan laten installeren via medium (usb, disk, cd enz)

OR

1.A.22 1.C.19

1.A.24 1.C.21

Patchprocedure

1.A.25 1.C.22

Breken slechte Data encryptie (disk/ communicatie)

Misbruiken zwakke security policy

Voldoende sterke encryptie protocolen gebruiken. Disk encryptie/ encryptie communicatie

Hardening van het Apparaat

Voorlichting Gebruikers Richtlijnen gebruikers (apparaat, transport, omgeving) Beperken rechten van de eindgebruiker Disabelen van onnodige services.

Gebruik van whitelists/ blacklists/ filtering

OR 1.A.28 Toegang tot vertrouwelijke informatie op een afgeschreven apparaat.

1.A.32

Toegang tot open poorten mobiele apparaat (Netwerk)

Verwijderen geheugen uit apparaat

Richtlijnen over gebruik/transport apparaat.

Hardening apparaat (open poorten bepereken). Maak gebruik van firewalls

AND 1.A.26

Diefstal/ ongeauthoriseerde toegang apparaat

Verlies Apparaat

Remote Wipe procedure

AND 1.A.27

1.A.29

Aanvaller kan weggegooide fysieke apparaat onderscheppen

Data is niet afdoende verwijderd

De rechtmatige gebruiker is niet in de buurt

Adequate procedure voor verwijderen data op oude apparaten


Voorlichting Gebruikers Richtlijnen gebruikers (apparaat, transport, omgeving)

1.A.30

OR 1.A.31

1.A.33

1.A.34

1.A.35

Aanvaller heeft fysieke toegang tot het apparaat

Geheugen kan verwijderd (en teruggeplaatst) worden

Gebruiker laat apparaat in onbewaakte ruimte liggen

Aanvaller breekt in en neemt apparaat mee.

Gebruiker wordt overvallen

Fysieke Maatregelen

Geen geheugenkaart toestaan

Richtlijnen over gebruik apparaat in bepaalde omgeving

Fysieke maatregelen

Richtlijnen over gebruik/transport apparaat

Voorlichting Gebruikers

34

Vertrouwelijkheid deel 3

35

Vertrouwelijkheid deel 4

B

Slachtoffer maakt gebruik van apparaat aanvaller

Misbruik van niet gelocked apparaat

Lezen van vertrouwelijke informatie op scherm/ toetstenbord

AND 1.A.39

1.A.40

Apparaat aanvaller voorzien van Spyware

1.A.41

Spyware kan betrouwbare informatie uitlezen

Gebruiker maakt gebruik van apparaat

Technische maatregelen die gebruik andere apparaten onmogelijk maken.

Gebruikers trainen/voorlichten over gebruik van andere pc’s

AND 1.A.36 De rechtmatige gebruiker is niet in de buurt

1.A.37

OR 1.A.38

Aanvaller heeft fysieke toegang tot het appraraat

Gevoelige data kan benaderd worden

Fysieke Maatregelen

Automatische blokkering apparaat

Scherm toetsenbord in zicht aanvaller/ camera van de aanvaller

Radiatie kan opgevangen worden


AND 1.A.17 1.B.22 1.C.14

Gevoellige info is getoond/ ingetoetst op het moment van afkijken

Richtlijnen gebruikers (apparaat, transport, omgeving), Meervoudige Authenticatie Privacy Screen

AND

1.A.18 1.B.23 1.C.15

Informatie kan geïnterpreteerd worden

Adequate Logische Toegangs procedures

1.A.19 1.B.24 1.C.16

Apparaat om radiatie op te vangen op voldoende afstand

1.A.20 1.B.25 1.C.17

Radiatie kan geïnterpreteerd worden

1.A.21 1.B.26 1.C.18

Gevoellige info is getoond/ ingetoetst op het moment van afluisteren


36

Beschikbaarheid Data wordt niet beschikbaar

OR

Data op lokale computer niet beschikbaar

Communicatiekanaal niet beschikbaar

OR

OR 2.A.04 Externe Dreiging (Weer, Brand, etc)

2.B.04

Apparaat Verloren/gestolen

Communicatiekanaal tussen Werk en mobiele locatie verstoren

storing van het appraraat

AND

Fysieke Maatregelen

Alternatieve verbinding bieden (umts, satelliet)

2.B.01


Fysieke toegang tot het communicatiekanaal

Backup/Restore procedures

OR 2.A.06 2.C.02

Technische hardware storing

Software Storing middels virus/ malware

Hardware tijdig vervangen

Up-to-date virus definities en security patches

Backup/Restore Procedures

Datatransmissie onmogelijk maken

Fysieke lijn afschermen / Wireless bereik beperken (schielding)

2.A.05 2.C.01

2.A.07 2.C.03

OR 2.B.02

Gebruikers Interferentie

Goede voorlichting/ training gebuikers en Beheerders Backup/Restore Procedures

Backup/Restore Procedures

Geen toegang tot netwerk in de omgeving

2.B.03

Fysieke lijn beschadigen

Communciatie Jammen

Fysieke lijn goed afschermen

Alternatieve verbinding bieden

OR 2.A.01 Geen spanningsbron, stroom uitval

2.A.02

Brand

Beschikbaarheid van toegangspunt bedrijf

2.A.03

Wateroverlast

OR Backup / Vervangen hardware Voorlichting gebruikers

2.C.08 Aanval op Toegangspunt van buiten/ binnen

Storing aan Toegangspunt

Apparaat Verloren / gestolen

OR 2.C.06

Logische schade toebrengen

OR 2.C.04

2.C.07

Fysieke schade toebrengen

Brute force lockout uitvoeren

Adequate Fysieke bescherming apparaten

2 factor authenticatie implementeren voor webmail & remote access

Adequate Fysieke bescherming apparaten

2.C.05

Hack

Capaciteit Toegangspunt verbruiken

Servers afschermen via Firewall Patch status up-to-date houden Backup/Restore Procedures

37

Integriteit deel 1 Data wordt niet meer integer

OR

A

Ongeautoriseerde toegang tot het (mobile) apparaat

OR

Misbruik Apparaat niet gelocked apparaat

Ongeautoriseerd e toegang tot het (mobile) apparaat

AND

AND 3.A.28

3.A.29

3.A.30



Gevoelige data kan aangepast worden


Fysieke Maatregelen


Toegang tot Mobile Apparaat

OR

Toegang tot Data

3.A.26

3.A.27

Toegang tot open poorten Mobile apparaat (Netwerk)

Fysieke toegang tot apparaat

Hardening Apparaat Gebruik Firewalls

Fysieke Maatregelen

OR

Misbruik van Vulnerability

Malware/Trojan

AND

AND 3.A.03 Aanvaller kan gebruiker Malware/Trojan laten installeren (Via programma/ ActiveX)

3.A.01 Malware/Trojan horse laten installeren via een netwerk (mail, internet enz) Richtlijnen over gebruik apparaat. Beperken rechten van de eindgebruiker. Disabelen van onnodige services. Gebruik van whitelists/ blacklists/ filtering

3.A.02 Malware/Trojan laten installeren via medium (usb, disk, cd enz)

Misbruik van Zwakke security instellingen



Up to date detectie programmatuur geinstalleerd

OR

3.A.22 3.C.19

3.A.23 3.C.20



Patchprocedure

3.A.24 3.C.21

3.A.25 3.C.22

Slechte Data encryptie

Zwakke security policy


Hardening van het apparaat

Richtlijnen over gebruik apparaat. Beperken rechten van de eindgebruiker Disabelen van onnodige services.

38

Integriteit deel 2

A Ongeautoriseerde toegang tot Toegangspunt Bedrijf

OR


Kraak zwakke security instellingen

Misbruiken vulnerabilities

Ongeautoriseerde toegang tot de communicatie

AND

Lezen/ aanpassen van communicatie

Toegang tot communicatielijn

OR

AND 3.B.07 Communicatie flow gerouteerd via apparaat aanvaller

Onderschep communicatie over de lijn

Manipuleer de setup fase van de communicatie

3.B.01

3.B.02



Fysieke maatregelen

Fysieke maatregelen

3.B.03

Kraak Communicatie

Kies Sterke Encryptie methode

AND

OR

AND


AND

3.B.04

3.B.08


Installeer Rogue access point


Fysieke maatregelen

Doe jezelf voor als een legitieme server (Man in the middle)

Communicatie flow gerouteerd via apparaat aanvaller


Verkrijgen Credentials

Kies Sterke Encryptie methode

AND 3.B.05 Zet een verbinding op met de client en doe je voor als server

3.B.06 Gebruik verkregen info om een verbinding op te zetten met de server

Zorg ervoor dat de server zich ook moet authenticeren

39

Integriteit deel 3 Verkrijgen credentials

OR 3.A.04 3.B.09 3.C.01

Probeer te raden (Brute Force aanval)

Steel user credentials

Lezen van vertrouwelijke informatie op scherm/ toetstenbord

Gebruik oude usercredetials

OR

Voorlichting Gebruikers Stel password complexiteit in

AND 3.A.16 3.B.21

3.A.15 3.B.20 3.C.12

3.C.13

Oude gebruikers hebben nog toegang

Oude gebruiker misbruikt credentials

Scherm toetsenbord in zicht aanvaller/ camera van de aanvaller

Adequate logische toegangs procedures

Radiatie kan opgevangen worden

AND

3.A.17 3.B.22 3.C.14

AND 3.A.18 3.B.23 3.C.15

Gevoellige info is getoond/ ingetoetst op het moment van afkijken

3.A.19 3.B.24 3.C.16


Voorlichting Gebruikers Richtlijnen gebruikers (apparaat, transport, omgeving) Privacy screen. meervoudige authenticatie

3.A.20 3.B.25 3.C.17




3.A.21 3.B.26 3.C.18

Gevoellige info is getoond/ ingetoetst op het moment van afluisteren


OR

3.A.14 3.B.19 3.C.11

3.A.09 3.B.14 3.C.06

Via Social engineering

Via phishing Bedreigen

Omkopen van de gebruiker

OR 3.A.07 3.B.12 3.C.04

Verkrijg user credentials via de gebruiker

Verkrijg versleutelde credentials

Voorlichting Gebruikers Richtlijnen gebruikers (apparaat, transport, omgeving) Gebruik meervoudige authenticatie

AND 3.A.08 3.B.13 3.C.05

Verkrijg user credentials via het bedrijf (bv helpdesk)

3.A.10 3.B.15 3.C.07


Maak Phishing pagina

Introduceer kenmerken op de site die Phishing lastiger maken. Zorg dat schermen niet gevoelig zijn voor XSS. Gebruik phishing detectie in brouwser.

Adequate procedures voor password resets. Gebruik meervoudige authenticatie Gevonden

3.A.11 3.B.16 3.C.08

Dwing de gebruiker user credentials in te vullen

Mogelijkheid accounts snel te blokkeren Meervoudige authenticatie (bv biometrie)

Voorlichting voor gebruikers Gebruik meervoudige authenticatie

OR AND 3.A.05 3.B.10 3.C.02

3.A.06 3.B.11 3.C.03

Toegang tot versleutelde wachtwoord

Kraak versleuteling

Sla wachtwoorden in een beveiligde omgeving op.

Kies voor voldoende sterke encryptiemethod en voor bescherming credentials

3.A.12 3.B.17 3.C.09

User crentials tastbaar/ vastgelegd/ opgeslagen Voorlichting Gebruikers Richtlijnen gebruikers (apparaat, transport, omgeving) Leg user credentials niet vast in communicatie.

3.A.13 3.B.18 3.C.10

Verkrijg notitie of sleutel

Sla wachtwoorden in een beveiligde omgeving op.

40

Appendix II Vragenlijsten Vragenlijst Informatiebeveiligingprofessionals Introductie: Tijdens de introductie van het interview zal kort toegelicht worden wat we onderzoeken en welke onderzoeksmethodologie gehanteerd wordt. Er wordt een inleiding gegeven worden op de scope, hoofdvraag en de definitie gebruikt voor mobiel werken. Hoofdvraag: Wat zijn de risico’s m.b.t. de digitale bedrijfskritische informatie en mogelijke beheersmaatregelen bij verregaande mobiliteit bij consultancy/audit bedrijven? Definitie voor mobiel werken: Mobiel werken is het gebruik van middelen om met bedrijfkritische elektronische gegevens te kunnen werken (op te slaan, te verwerken en/of te transporteren) buiten de fysieke grenzen van het bedrijf.

Doelen van het interview: •

Doel 1 Trends ten aanzien van mobiel werken en Beveiliging naar de toekomst toe identificeren

•

Doel 2 Vaststellen van informatiebeveiligingsrisico’s bij verregaande mobiliteit

•

Doel 3 Best practices om deze informatiebeveiligingsrisico’s in te perken identificeren

Om deze doelstellingen te behalen worden de volgende interviewvragen gesteld: Voor doel 1 Welke trends in verregaande mobiliteit ziet u? •

Welke trends ziet u ten aanzien van het gebruik van eigen communicatiemiddelen/apparaten voor mobiel werken?

•

Welke trends ziet u in privégebruik van apparatuur naast gebruik voor werkdoeleinden?

•

Welke trends ziet u in nieuwe apparaten/technologieën?

•

Welke trends ziet u in de soort toegang die wordt toegestaan van buitenaf?

41

•

Welke trends ziet u op het gebied van informatiebeveiliging?

•

Welke soorten werkwijzen onderkent u?

•

Welke trends ziet u ten aanzien van het aantal mobiele werkers naar de toekomst?

•

Welke trends ziet u ten aanzien van de lokatie van telewerken?

Voor doel 2 Waar liggen volgens u de risico's in een mobiele omgeving? •

Welke risico’s onderkent u op het gebied van beveiliging van informatie?

•

Welke risico’s onderkent u op het gebied van integriteit van informatie?

•

Welke risico’s onderkent u op het gebied van beschikbaarheid van informatie?

Wij hebben de volgende risico’s vastgesteld en gegroepeerd in een attack tree, wat is u kijk hierop? (voor de 3 opgestelde bomen) •

Ziet u mogelijke aanvullingen, toevoegingen?

•

Ziet u onjuistheden?

Voor doel 3 •

Welke best practices onderkent u om de risico’s ten aanzien van verregaande mobiliteit in te perken?

•

Welke rol is hierbij voor het bedrijf weggelegd en welke rol voor de mobiele werknemer?

•

In hoeverre zullen deze best practises toekomstige werkwijze kunnen beveiligen?

42

Vragenlijst Toetsing Auditaanpak ter beoordeling van mobiele security Inleiding: Korte inleiding ten aanzien van het onderzoek en het doel van het interview; aandacht voor verwerking van resultaten in de scriptie. Audit aanpak: Mobiele omgeving •

• •

•

Inventarisatie van middelen o Welke middelen hebben gebruikers tot hun beschikking voor mobiel werken. Bijvoorbeeld: Webmail, USB sticks, Telefoon, Laptop Inventarisatie van gebruikers o Welke gebruikersgroepen hebben remote toegang? Inventarisatie van soorten toegang o Welke soorten toegang hebben gebruikers tot de bedrijfsomgeving met de geboden middelen. Zijn er restricties aan deze toegang? Inventariseren van het onderhoud o Zijn apparaten in onderhoud van het bedrijf of door de gebruiker zelf. Hebben gebruikers administrator rechten?

Risico inventarisatie: Is er een risico inventarisatie gedaan ten aanzien van mobiele toegang? o Welke risico’s zijn onderkend. Maatregelen: zie appendix III •

Gebruikersgroepen Gebruikersgroepen

Procedurele maatregelen

Mobiele apparaten Middel

Soort toegang

Onderhoud

Onderkende

Getroffen

risico’s

maatregelen

43

Appendix III Matrices De opgestelde attack trees (Appendix I) dwingen de Auditor om in een gestructureerde manier over dreigingen te denken. Deze attack trees bevatten echter redelijk veel informatie waardoor het overzicht van de auditor vertroebeld kan worden. Er is er daarom voor gekozen om een checklist te maken welke gebruikt kan worden tijdens een Audit. De checklist is weergegeven in een matrix welke direct is voorgekomen uit de attack trees. Op basis van de attack trees zijn onderstaande matrices samengesteld. Hierbij zijn de dreigingen op de verticale lijn geplaatst (deze dreigingen zijn overgenomen van de bladeren van de bomen. Op de horizontale as staan de verschillende beheersmaatregelen (welke uit de boom zijn overgenomen; doublures zijn verwijderd). Daarnaast is de link tussen de dreiging en de beheersmaatregel aangegeven door de grijs gekleurde hokjes, waarbij per beheersmaatregel wordt aangegeven of het een richtlijn of procedure ( R) is, bewustzijn bij gebruikers (G), een technische beheersmaatregel (T) of een organisatorische maatregel (O) is.

Vertrouwelijkheid G1

T1

1.A.06 1.B.11 1.C.03

Kraak versleuteling

1.A.07 1.B.12 1.C.04

Verkrijg gebruikers credentials via de gebruiker

1.A.08 1.B.13 1.C.05

Verkrijg gebruikers credentials via het bedrijf (bv helpdesk)

1.A.09 1.B.14 1.C.06


x

x

x

x

x

x

T

T

T

R

R2

T

Adequate procedures voor wachtwoord reset


x

T

T8 Meervoudige authenticatie

1.A.05 1.B.10 1.C.02

T

R1 Richtlijnen gebruikers (apparaat, transport, omgeving)


T

T7 Kies sterke encryptiemethode

1.A.04 1.B.09 1.C.01

T

T6 Stel wachtwoord complexiteit in


G

T5 Sla credentials in beveiligde omgeving op

1.A.03

T4 Gebruik Up to date detectie programmatuur

Malware/Trojan laten installeren via medium (usb, disk, cd enz)

T3 Gebruik whitelists/blacklists/ filtering

1.A.02

Uitschakelen onnodige services

Risico Malware/Trojan laten installeren via een netwerk (mail, internet enz)

Beperken rechten gebruikers

Voorlichting gebruikers

Nr 1.A.01

T2

R

x

x

x

x

x

x

x

x

x

x

x

x

x

x

44

x

x

x

T

O, T

O1

R

T7

O

T17

T

Geen geheugenkaart toestaan

T

R3

Kies sterke encryptiemethode

T

O4

Privacy screen

T

T12


Apparaat om radiatie op te vangen op voldoende afstand Radiatie kan geïnterpreteerd worden

T

T11

Mogelijkheid accounts snel te blokkeren

1.A.19 1.B.24 1.C.16 1.A.20 1.B.25 1.C.17 1.A.21 1.B.26 1.C.18 1.A.33

R

T10

leg user credentials niet vast in communicatie


T

T9

Phishing detectie in browser

1.A.36

G

T8

Zorg site niet gevoelig is voor XSS.

Risico Maak Phishing pagina

Sla credentials in beveiligde omgeving op


Nr 1.A.10 1.B.15 1.C.07 1.A.11 1.B.16 1.C.08 1.A.12 1.B.17 1.C.09 1.A.13 1.B.18 1.C.10 1.A.14 1.B.19 1.C.11 1.A.15 1.B.20 1.C.12 1.A.16 1.B.21 1.C.13 1.A.17 1.B.22 1.C.14 1.A.18 1.B.23 1.C.15 1.A.35

R1

Toevoegen site kenmerken die Phishing latig maken Meervoudige authenticatie

T5


G1

T

Dwing de gebruiker user credentials in te vullen x

x

User credentials tastbaar/ vastgelegd/opgeslagen x

x

x

Verkrijg notitie of sleutel x Bedreigen x

x

Oude gebruikers hebben nog toegang x Oude gebruiker misbruikt credentials Gevoellige info is getoond/ingetoetst op het moment van afkijken Informatie kan geïnterpreteerd worden

x

x

x

x Gebruiker wordt overvallen x

x

Gevoellige info is getoond/ingetoetst op het moment van afluisteren Gebruiker laat apparaat in onbewaakte ruimte liggen

x

x

x 1.A.29


1.A.24 1.C.21 1.B.07

Breken slechte Data encryptie (disk/communicatie) Interpreteer communicatie

1.B.08


1.A.31

Geheugen kan verwijderd (en teruggeplaatst) worden

x

x

x

x

x

x

45

G1

O2

Nr 1.A.22 1.C.19

Risico Exploit beschikbaar die toegang geeft

T

1.A.23 1.C.20


1.A.25 1.C.22


1.A.26

Aanvaller kan weggegooide fysieke apparaat onderscheppen

1.A.27

Data is niet afdoende verwijderd

1.A.28


1.A.30

Aanvaller heeft fysieke toegang tot het apparaat

1.A.32

Verlies Apparaat

1.A.34

Aanvaller breekt in en neemt apparaat mee.

1.A.37


1.A.38


1.A.39

Apparaat aanvaller voorzien van Spyware

1.A.40

Spyware kan betrouwbare informatie uitlezen

1.A.41

Gebruiker maakt gebruik van apparaat

1.B.01


1.B.02


1.B.03


1.B.04


1.B.05


x

1.B.06

Gebruik verkregen info om een verbinding op te zetten met de server

x

T21 Technische maatregelen die gebruik andere apparaten onmogelijk maken.

G

Server authenticatie

T

T20

Gebruikers voorlichten gebruik andere pc’s

T

G2


T, R, O

T19

Fysieke maatregelen

T

T18 Remote wipe procedure

R,O

R5

Gebruik Firewalls

T

T16


T, R, O

R4 Hardening apparaat

R

T15 Patchprocedure


Voorlichting gebruikers G

R1

T

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

46

Beschikbaarheid G1

T8

Apparaat Verloren/gestolen

2.A.05 2.C.01

Technische hardware storing

2.A.06 2.C.02

Software Storing middels virus/malware

2.A.07 2.C.03

Gebruikers Interferentie

2.B.01

Fysieke toegang tot het communicatie-kanaal

2.B.02

Fysieke lijn beschadigen

2.B.03

Communciatie Jammen

2.B.04

Geen toegang tot netwerk in de omgeving

2.C.04

Hack

2.C.05

Capaciteit Toegangspunt verbruiken

2.C.06

Fysieke schade toebrengen

2.C.07

Brute force lockout uitvoeren

O

x

x

x

x

x

x

x

x

x

x

x

T

Alternatieve verbinding bieden (umts, satelliet)

2.A.04 2.C.08

T

T24 Up-to-date virus definities en security patches

Wateroverlast

T

T23 Hardware tijdig vervangen

2.A.03

T

O3 Backup/Restore procedures

Brand

T

T21 Fysieke Maatregelen

2.A.02

P,G

T18 Gebruik Firewalls

Risico Geen spanningsbron, stroom uitval

Meervoudige authenticatie


Nr 2.A.01

T16

T

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

47

Integriteit G1

T1

3.A.08 3.B.13 3.C.05

Verkrijg user credentials via het bedrijf (bv helpdesk)

3.A.09 3.B.14 3.C.06


3.A.11 3.B.16 3.C.08

Dwing de gebruiker user credentials in te vullen

3.A.12 3.B.17 3.C.09

User credentials tastbaar/ vastgelegd/opgeslagen

3.A.13 3.B.18 3.C.10

Verkrijg notitie of sleutel

3.A.14 3.B.19 3.C.11

Bedreigen

3.A.21 3.B.26 3.C.18

Gevoellige info is getoond/ingetoetst op het moment van afluisteren Breken slechte Data encryptie (disk/communicatie)

3.A.24 3.C.21

x

x

x

x

T

R

T

R

O4

T

Mogelijkheid accounts snel te blokkeren

Verkrijg user credentials via de gebruiker

x

T

T12 leg user credentials niet vast in communicatie

3.A.07 3.B.12 3.C.04

x

T

R2 Adequate procedures voor wachtwoord reset

Kraak versleuteling

x

T

T8 Meervoudige authenticatie

3.A.06 3.B.11 3.C.03

T

R1 Richtlijnen gebruikers (apparaat, transport, omgeving)


T

T7 Kies sterke encryptiemethode

3.A.05 3.B.10 3.C.02

T

T6 Stel wachtwoord complexiteit in


G

T5 Sla credentials in beveiligde omgeving op

3.A.04 3.B.09 3.C.01

T4 Gebruik Up to date detectie programmatuur


T3 Gebruik whitelists/blacklists/ filtering

3.A.03

Uitschakelen onnodige services.

3.A.02

Risico Malware/Trojan laten installeren via een netwerk (mail, internet enz) Malware/Trojan laten installeren via medium (usb, disk, cd enz)

Beperken rechten gebruikers


Nr 3.A.01

T2

O, T

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

3.A.28


3.B.07


3.B.08


x

x

x

x

x

x

48

T

T18

T19

P,O

T

T

T20 Server authenticatie

T, P, O

T16


O

T15

Fysieke maatregelen

R

O2

Gebruik Firewalls

T

O1

Hardening apparaat

T

R3

Patchprocedure

T11

Privacy screen

T

T10


T

Toevoegen site kenmerken die Phishing latig maken

Meervoudige authenticatie

R

T9

Phishing detectie in browser

T8


Voorlichting gebruikers G

R1

Zorg site niet gevoelig is voor XSS.

G1

Nr 3.A.15 3.B.20 3.C.12

Risico Oude gebruikers hebben nog toegang

T

3.A.10 3.B.15 3.C.07

Maak Phishing pagina

3.A.16 3.B.21 3.C.13

Oude gebruiker misbruikt credentials

3.A.17 3.B.22 3.C.14

Gevoellige info is getoond/ingetoetst op het moment van afkijken

3.A.18 3.B.23 3.C.15


3.A.22 3.C.19


3.A.23 3.C.20


3.A.25 3.C.22


3.A.26


3.A.27

Fysieke toegang tot apparaat

3.A.29


3.A.30


3.B.01


3.B.02


3.B.03


3.B.04


3.B.05


x

3.B.06

Gebruik verkregen info om een verbinding op te zetten met de server

x

3.A.19 3.B.24 3.C.16


3.A.20 3.B.25 3.C.17


x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

x

49

Appendix IV Bibliography

[BOR03] Bornman, W.G., Labuschagne, L. (2003), A Comparative Framework for Evaluating Information Security Risk Management Methods [COB] ISACA (2007), CoBiT 4.1 [DEL07] Deloitte (2007). Treading Water: The 2007 Technology, Media & Telecommunications Security Survey [ENI06] ENISA (2006). Inventory of risk assessment and risk management methods [GAR08] http://blogs.msdn.com/architectsrule/archive/2008/08/19/gartners-mobility-hype-cycle.aspx [HOG06] Hogendijk, L. (2006). A Risk Analysis Methodology for Securing Teleworking. A survey within the Dutch national government [JAN08] Jansen, W., Scarfone, K. (2008). Guidelines on Cell Phone and PDA Security, NIST [LAP00] http://www.laptop-info.nl/laptops/geschiedenis [NEN07] NEN-ISO/iEC (2007), ISO/IEC 27002:2005 code voor informatiebeveiliging [NUS07 ]Nussbaum, B (December 14, 2007). Innovation Predictions 2008. http://images.businessweek.com/ss/07/12/1214_innovations08/source/10.htm [OVE05] Overbeek, P. Lindgree, E.R. Spruit M. (2005). Informatiebeveiliging onder controle 2e editie, [PEL08] Pelino M. (Forrester, 9 oktober 2008). Enterprise Mobile User Forecast: Mobile “Wannabes” Are The Fastest-Growing Segment. [PEL081] Pelino M. (Forrester, 12 december 2008). Predictions 2009: What’s In Store For Enterprise Mobility [RID98] Ridderbeekx E.J.M., Berg van den J. (Maandblad voor de Informatievoorziening, 1998). Internetbeveiliging: een beheerperspectief [SAN01] SANS (2001). Mitigating Teleworking Risks [SEC08] http://www.security.nl/artikel/25538/1/McCain_verkoopt_Blackberry_met_campagne gegevens.html [SEC081] http://www.security.nl/artikel/23034/1/Britse_overheid_dumpt_adviesbureau_na_verlies USB-stick.html [SEC09] http://www.security.nl/artikel/26521/1/Laptop_met_gegevens_5000_pati%C3%ABnten gestolen.html [SEC091] http://www.security.nl/tag/dataverlies [SCH99] Schneier, B (Dec. 1999). Attack trees: Modeling security threats. Dr. Dobb’s Journal. [SUL03] Sullivan, C. (2003). What’s in a name? Definitions and conceptualizations of teleworking and homeworking, 50

[VRI98] Vries, H de, Weijers T (november 1998). Zicht op Telewerken, een studie naar de stand van zaken in de kennis over telewerken en de impact op het beleidsterrein van SZW Ministerie van Sociale Zaken en Werkgelegenheid. Pearson Education [VID04] Vidalis, S (2004). A Critical Discussion of Risk and Threat Analysis Methods and Methodologies [WIK09] http://nl.wikipedia.org/wiki/Colossus_(computer) [WIK091] http://en.wikipedia.org/wiki/History_of_laptops

51

Toegang is geen open deur

Recommend Documents