Modélisation de l'évaluation des menaces de sécurité – Blogs efficaces

Les modèles d'évaluation des menaces de sécurité sont un outil important d'un programme global de sécurité et de conformité. Afin de créer un ensemble efficace de politiques de sécurité, il est nécessaire de comprendre les types de menaces, leur probabilité d'occurrence, l'impact d'une violation / d'un incident et la manière dont l'entreprise peut atténuer ou contrôler ces menaces. Il existe de nombreuses techniques différentes d'analyse des menaces qui ont été développées pour diverses industries. Ces approches impliquent toutes un certain degré de «division et conquête» systématique, où l'espace de sécurité est divisé en catégories qui sont ensuite étudiées. Par exemple, le HiTrust Cyber ​​Security Framework (CSF) divise l'espace de sécurité global de l'organisation en 14 catégories clés. Lors de l'évaluation d'une menace, il est recommandé de se concentrer sur les domaines à fort impact commercial, comme nous le verrons ci-dessous.

Concepts clés

Il y a quelques concepts clés de sécurité à prendre en compte lors de l'évaluation d'une menace. Celles-ci incluent la couverture de la confidentialité l'intégrité, l'accessibilité (CIA). La confidentialité fait référence à la capacité d'un système à protéger les informations secrètes contre tout accès non autorisé. L'intégrité garantit que les informations restent correctes, cohérentes et complètes. L'accessibilité prévoit que les informations sont disponibles pour les personnes autorisées pour examen / modification. Lors de l'examen des menaces pesant sur un système particulier, assurez-vous d'inclure les trois domaines de la CIA.

La définition de risque de sécurité est tout impact humain ou environnemental qui pourrait perturber la confidentialité, l'intégrité ou l'accessibilité des informations. Il y a littéralement des centaines (sinon des milliers) de risques possibles, mais généralement il n'y a qu'un sous-ensemble limité qui s'applique à une situation donnée. Par exemple, une banque d'informations de base de données non chiffrée est susceptible de subir une intrusion ou une perte de données, mais il est peu probable qu'elle soit physiquement volée dans un centre de données. De même, un élément physique de l'installation (c.-à-d. Un câble réseau) n'a pas besoin d'être «chiffré» pour garantir la sécurité de l'élément.

Un contrôle représente une atténuation contre un risque de sécurité défini. Ceux-ci peuvent prendre de nombreuses formes, à la fois administratives et techniques, et sont destinés à fournir un niveau de protection. Alors que de nombreux contrôles sont de nature générale (par exemple, le cryptage des données), certains contrôles sont définis après qu'une menace est identifiée afin qu'ils puissent être correctement adaptés à la menace spécifique. Par exemple, la menace d'une défaillance critique du système peut être atténuée par des techniques de haute disponibilité (par exemple, le déploiement de plusieurs centres de données et le basculement automatique actif-actif).

FRAP – Processus d'analyse des risques facilité

Une technique d'évaluation des menaces bien établie est le processus d'analyse des risques facilitée (FRAP). Dans cette approche, c'est la valeur commerciale qui conduit l'évaluation des menaces plutôt que d'un point de vue pur de sécurité / conformité. Ceci est important pour plusieurs raisons. Elle s'appuie d'abord sur l'expérience et l'expertise internes des différentes équipes, plutôt que de s'appuyer sur des groupes externes pour découvrir les risques et assurer les contrôles nécessaires. Deuxièmement, il s'agit d'une approche légère basée sur un atelier. Cela évite un problème commun avec les évaluations des menaces organisationnelles dans la mesure où leur exécution peut prendre des mois, voire des années. Enfin, il est basé sur une méthodologie qualitative plutôt que quantitative . Il est souvent difficile de déterminer avec précision la probabilité et l'impact commercial d'un risque particulier, de sorte que l'utilisation de catégories plutôt que de valeurs simplifie l'analyse. Comme l'illustre la figure 1, une approche qualitative permet le regroupement relatif des risques identifiés en fonction de la probabilité d'occurrence par rapport à l'impact commercial attendu. Tous les risques dans la zone «rouge» doivent être traités, les risques classés comme «orange» doivent être traités, et les autres peuvent être traités si les ressources le permettent.

Figure 1. Probabilité d'occurrence par rapport à l'impact commercial

Méthodologie

FRAP est basé sur une série de sessions de découverte de menaces. Ceux-ci sont généralement détenus par une équipe constituée à cet effet, issue de l'ensemble de l'organisation. En général, l'approche est la suivante:

1. La réunion pré-FRAP dure environ une heure et comprend le chef d'entreprise, le chef de projet et le facilitateur. L'accent est mis sur la portée, la constitution d'équipes, la modélisation de formulaires, les définitions et la mécanique des réunions
2. La session FRAP dure environ quatre heures et implique idéalement 7 à 15 personnes. Une approche d'atelier facilitée est utilisée qui aborde «ce qui peut arriver» et «quelle en est la conséquence?»
3. L'analyse FRAP et la génération de rapports prennent généralement de 4 à 6 jours et sont complétées par le facilitateur et le scribe.
4. La session de lecture post-FRAP dure environ une heure et a les mêmes participants que la réunion pré-FRAP.

Dans le cadre de la lecture finale, l'équipe FRAP doit capturer tous les systèmes examinés, quels risques ont été identifiés pour ces systèmes,

Les résultats du FRAP sont un document complet qui identifie les menaces, attribue des priorités à ces menaces et identifie les contrôles qui aideront à atténuer ces menaces.

Référence: Peltier , T., «Facilitated Risk Analysis Process (FRAP)», Auerbach Press (2000)

OCTAVE – Operational Critical Threat, Asset, Vulnerability, Evaluation

Le public cible de la méthode OCTAVE originale est l des organisations de plus de 300 employés. En raison des frais généraux élevés associés à l'approche originale, plusieurs variantes ont été développées pour permettre à de plus petits groupes de mener des évaluations des risques de sécurité sans avoir à obtenir l'approbation complète de l'organisation (par exemple OCTAVE Allegro). Cette approche est similaire à la technique FRAP dans la mesure où des ateliers et des questionnaires animés sont utilisés pour collecter et organiser les informations d'évaluation.

Plus précisément, elle a été conçue pour les organisations qui

• ont un hiérarchie en couches

• maintiennent leur propre infrastructure informatique

• ont la possibilité d'exécuter des outils d'évaluation de la vulnérabilité

• ont la capacité d'interpréter les résultats des évaluations de vulnérabilité

Figure 2. Approche par phases OCTAVE

Les objectifs de l'approche sont les suivants:

• Établir des pilotes , où l'organisation élabore des critères de mesure des risques qui sont cohérents avec les facteurs organisationnels.
• Profil des actifs, où les actifs qui font l'objet de l'évaluation des risques sont identifiés et profilés et les conteneurs des actifs .
• Identifier les menaces, où les menaces pesant sur les actifs – dans le contexte de leurs conteneurs – sont identifiées et documentées par le biais d'un processus structuré.
• Identifier et atténuer les risques, où les risques sont identifiés et analysés en fonction de la menace

La méthodologie est illustrée à la figure 2 et se décompose en une série d'étapes:

Étape 1 – Établir des critères de mesure des risques

Une mesure formelle est identifiée pour chaque risque découvert / déterminé. Cela peut être similaire à l'approche utilisée pour FRAP (voir figure 1) ou peut impliquer davantage de dimensions, telles que la rupture de l'impact commercial en perte de revenus, perte de réputation, perte de conformité réglementaire (par exemple R ³ Pertes ). Quelle que soit l'approche de mesure, elle doit être appliquée de manière cohérente dans tous les domaines de risque découverts.

Étape 2 – Création d'un profil d'actif informationnel

Les actifs pris en considération comprennent les domaines physiques, informatifs, monétaires, exclusifs et autres types de domaines de valeur commerciale. . Ceux-ci devraient inclure les applications ainsi que les informations / données traitées par ces applications. De nombreuses grandes organisations capturent ce type d'informations dans une base de données de gestion de configuration (CMDB). Les actifs peuvent être classés par domaine (par exemple, formulaire, propriété intellectuelle, données clients, etc.).

Étape 3 – Organiser les actifs en «conteneurs» (stockés, traités, transférés)

Les actifs sont affectés à Des «conteneurs» qui représentent où ils «vivront» au sein de l'organisation. Les systèmes logiciels sont généralement contenus dans des serveurs (remarque: cela s'applique aux ressources basées sur le cloud ainsi que sur site). Les données sont souvent stockées dans divers magasins de données (par exemple, une base de données relationnelle) qui est ensuite implémentée sur des disques physiques. Les informations peuvent être stockées, transférées et traitées dans différents «conteneurs» au cours de leur vie.

Étape 4 – Identifier les domaines de préoccupation

Pour tous les actifs collectés, déterminez où les menaces existent et préoccupent l'entreprise. Pour aider à concentrer l'effort de découverte, décidez de ce qui est le plus important pour la fonction métier. Par exemple, une entreprise axée sur la fabrication sera concernée par les chaînes d'approvisionnement, les modèles de livraison, les ventes aux clients et le débit. Une institution financière veillera à garantir l'intégrité des transactions, à fournir aux clients un accès à leurs données financières et à traiter en temps opportun les événements commerciaux (par exemple, transactions, contrats, transferts, etc.).

Étape 5 – Établir des scénarios de menace [19659036] Les scénarios de menace sont un exercice de «et si». Cela signifie que pour chaque actif identifié, déterminer ce qui pourrait éventuellement provoquer une interruption ou une perte. Cela nécessite à la fois une compréhension détaillée de l'actif en question et des risques possibles pour cet actif.

Étape 6 – Identifier et analyser les risques

Pour chaque scénario de menace, il y aura une ou plusieurs vulnérabilités ou risques associés à cette menace. . Par exemple, la menace de perte de données peut être causée par un incendie (environnemental), une violation de données exposant des informations sensibles (acteur humain) ou une faille dans la conception du système lui-même (systématique).

Étape 7 – Sélectionnez Atténuations

Une fois que toutes les menaces et les risques sont identifiés pour les actifs sélectionnés, un ensemble d'atténuations peut être proposé contre ces menaces. Il peut s'agir de contrôles administratifs ou techniques.

Référence: Caralli, R.A., et. al., «Introducing OCTAVE Allegro», Carnegie Mellon (2007) ; Alberts, C. et Dorofee, A. «Gestion des risques de sécurité de l'information: l'approche OCTAVE». Boston, MA: Addison-Wesley, 2002 (ISBN 0-321-11886-3).

ISO27005 – Évaluation des risques pour les systèmes d'information

Une autre approche de l'analyse des menaces est fournie par les normes ISO. Cependant, une différence est que la norme ISO ne spécifie, ne recommande ni ne nomme aucune méthode de gestion des risques spécifique. Cela implique cependant un processus continu consistant en une séquence structurée d'activités, dont certaines sont itératives:

• Établir le contexte de gestion des risques ( par exemple la portée, les obligations de conformité, les approches / méthodes à utiliser et politiques et critères pertinents tels que la tolérance au risque de l'organisation);
• Évaluer quantitativement ou qualitativement ( c'est-à-dire identifier, analyser et évaluer) les risques d'information pertinents, en tenant compte des actifs informationnels, des menaces, des contrôles existants et des vulnérabilités pour déterminer la probabilité d'incidents ou de scénarios d'incidents, et les conséquences commerciales prévues s'ils devaient se produire, pour déterminer un «niveau de risque»;
• Traiter ( c'est-à-dire modifier [use information security controls]conserver [accept]éviter et / ou partager [with third parties]) les risques de manière appropriée, en utilisant ces «niveaux de risque» pour les hiérarchiser;
• Tenir les parties prenantes informées tout au long du processus; et
• Surveiller et examiner les risques, les traitements des risques, les obligations et les critères sur une base continue, en identifiant et en répondant de manière appropriée aux changements importants.

Figure 3. Approche standard d'évaluation des risques ISO

L'organisation devrait établir et maintenir une procédure pour identifier les exigences pour:

• Sélection de l'évaluation des risques, de l'impact et de l'acceptation
• Définition de la portée / des limites de la gestion des risques pour la sécurité de l'information
• Approche d'évaluation des risques [19659051] Plans de traitement et de réduction des risques
• Suivi, examen et amélioration des plans de risques
• Identification et évaluation des actifs
• Estimation de l'impact des risques

Référence: ISO / IEC 27005: 2018 – Gestion des risques liés à la sécurité de l'information

FEMA – Effet de défaillance et analyse de mode

Développé à l'origine dans les années 1950 pour étudier les problèmes de défaillance de l'équipement militaire, il a depuis été révisé pour s'appliquer à aw Idée d’évaluations de la fiabilité du système. Cette approche est un examen très formel des actifs et de tous les modes de défaillance possibles. Il est destiné à être une analyse très approfondie qui vise à «ne laisser aucune pierre non retournée». En tant que tel, il ne doit être utilisé que lorsque des actifs hautement critiques doivent être examinés à ce niveau de détail (par exemple, les réglementations ou les exigences commerciales).

L'analyse doit toujours être lancée en énumérant les fonctions que la conception doit remplir. Les fonctions sont le point de départ de FMEA, et l'utilisation de fonctions comme référence fournit le meilleur rendement d'un FMEA. Après tout, une conception n'est qu'une solution possible pour exécuter des fonctions qui doivent être remplies. De cette façon, une AMDE peut être effectuée sur les conceptions ainsi que sur les conceptions détaillées, sur le matériel et les logiciels, et quelle que soit la complexité de la conception.

Les feuilles de calcul sont utilisées pour capturer uniformément les détails de chaque mode de défaillance possible: (source : Analyse des modes de défaillance et des effets – Wikipedia )

Référence: DH Stamatis, «Analyse des modes de défaillance et des effets: AMDEC de la théorie à l'exécution». American Society for Quality, Quality Press (2003)

Attack-Vulnerabilty-Vector Risk Modeling

Une autre approche de l'évaluation des menaces consiste à capturer le résultat de l'analyse des risques organisationnels dans un modèle de risque Attack-Vulnerability-Vector. Comme l'illustre la figure 4, cette approche utilise une technique de modélisation visuelle pour lier les actifs aux risques et aux contrôles. De plus, il décompose les informations en une collection de sous-groupes d'attaque-vulnérabilité-vecteur auxquels on peut ensuite attribuer un contrôle approprié. Dans l'exemple ci-dessous, un verrou physique sécurise l'actif. L'analyse montre les façons dont un tel appareil peut être subverti par la sélection, le décodage, le contournement ou l'attaque par force brute. Il existe une ou plusieurs vulnérabilités qui sont exploitées dans l'attaque, comme l'utilisation d'une meuleuse d'angle dans une attaque destructrice. Les atténuations sont utilisées pour combattre les vulnérabilités réduisant ou éliminant le vecteur d'attaque associé.

Figure 4. Modèle de menace de verrouillage physique – Accès non autorisé

Conclusion

Bien que des menaces existent toujours pour nos systèmes et pratiques, il existe un certain nombre de façons de découvrir et d'atténuer ces risques. Dans cet article, nous avons examiné plusieurs approches courantes de découverte, d'atténuation et de correction des menaces du système logiciel. Dans de futurs articles, nous étudierons la création de politiques de sécurité de manière à faciliter le développement et les méthodes de détermination des surfaces d'attaque du système logiciel.