(& titan “data security for industrial automation” - a ... · pdf file(&...
TRANSCRIPT
Käyttöönotettavan järjestelmäntietoturvallisuuden evaluointi
(& TITAN “Data Security for Industrial Automation” - A project fundedwithin TEKES Safety and security Program)
Pasi Ahonen, 30.9.2009
2
Esityksen sisältö
• TITAN projektin tavoitteita ja tuloksiaTITAN projektin motiivitTietoturvatestaustyökalujen evaluaatioAutomaatiojärjestelmän tietoturvatestaus”Parhaiden Käytäntöjen” kuvauksesta
• Automaatiojärjestelmän tietoturvan evaluointiYleistä automaatiojärjestelmän evaluaatiostaEvaluaation tavoitteet ja vaiheetEvaluaatiokohteen ja tutkittavien ominaisuuksien määrittelyEvaluaatiokriteeristön määrittelyEvaluaatiometodien ja -työkalujen määrääminenEvaluaatiotulosten raportointi
TITAN projektin motiivit
4
Tietoturvatestaustyökalujen evaluaatio
5List of Strengths and Weaknesses. (E.g. Accuracy, % of false positives, etc.)Important other issues to notifyNotes
Free text about ease of use & deployment issuesEase of use & deployment of the toolEase of use
Embodiment of critical properties (such as: Reliability, Dependability,Interdependencies, Real-time properties, Protocol support, Language &OS support, Fast deployment, Vulnerability types)
Listing of properties of the tool that may helpthe usage in various Industrial ControlSystems (ICS)
ICS applic-ability
List of supported reporting facilities, formats and standardsReporting facilities and formatsReporting
Free text about automated functions & propertiesAnalysis or test automation levelAutomation
Free text about Mitigation functions & properties, Hardening, IDE supportSupport for vulnerability fixing and mitigationMitigation
Free text about Customizable test cases, Import & Export of models, dataand vulnerabilities, Rule updates, Plug-ins
Possibilities to extend testing or connect toother functions or data
Extension/Future proof
Analysis Target: (Sourcecode/Bytecode/Executable).Runtime Target: (No support/ Systems/ Interfaces).Analysis Scope: (Line/ Command/ Function/ Module/ Program/ System)
Target & Scope of security analysis or testTest Domain
(MS/ Linux/ Mac). Optionally: Reqs for: Disk, CPU, MemorySystems supported & Optionally: System reqsPlatforms
List of reference usage(Maintained by/ Beta release only/ Uncertain)
Readiness and completeness of the tool for fullindustrial use
Maturity
(Price/ Free/ Open source). (Possible Availability estimates)Costs and availabilityCommercial
Relevant phase(s):(Feasibility/ Design/ Implementation/ Testing/ Deployment/ Maintenance)
Phase of use in system lifecyclePhase
Free text about tool’s purpose plus the type of test, e.g. (Port scanner/ Staticanalyser/ Dynamic analyser/ Protocol fuzzer/ Load tester/ Port scanner/Vuln. scanner/ Protocol analyser/ Debugger…etc.).
Basic description of tool purpose and usagePurpose
Possible Grades/ValuesCriteria DescriptionCriteria
TITA
N ty
ökal
ueva
luaa
tion
krite
eris
tö
6
TITA
N T
yöka
luev
alua
atio
(resu
ltssn
apsh
ot)
7
Best tools in TITAN
Independent industrial PC (Ubuntu) with special hardware, test applications and data.Operated remotely with a Windows-only client software.
Satellite includes tests for following protocols: ARP, BOOTP, CIP, DCOM, DHCP, DNP3,Ethernet/IP, FTP, HTTP, ICCP, ICMP IGMP, IPv4, LLDP/LLDP-MED,MODBUS/RTU, MODBUS/TCP, MMS, NTP, RPC, SNMPv1, SNMPv2c, SNMPv3,TACACS+, TCP, Telnet, UDP and Vnet/IP.
Testing with Achilles is usually sold as a service to customer. Passing the tests withSatellite is required for Achilles Cyber Security Certification.
Notes
EasyEase of Use
Designed especially for ICSs. Support for many industrial automation protocolsICS Applicability
Generates PDF reportsReporting
Highly automatedAutomation
NoMitigation
Additional protocol testersExtensions
Industrial automation systemsTest Domain
Comes with hardware. Client is for WindowsPlatforms
Used by several companiesMaturity
Commercial. The Achilles Satellite Hardware Platform 1 year fee is 50000 $Commercial
Implementation, testing, deployment, maintenancePhase
Specifically for ICS. Protocol testing. Network attack simulationPurpose
Achilles SatelliteTool
8
Best tools in TITAN
Detects faults from protocol implementation. May crash or slow down the targetapplication during tests. Very effective test method. Includes ca.130 differentprotocol test suites.
Notes
The tool is easy to use and run. Both command line and GUI are availableEase of Use
Highly applicable. Test sets for some industrial automation protocolsICS Applicability
Tool generates test log and summariesReporting
Test cases are ran automaticallyAutomation
NoMitigation
Extensions
Protocol interfacesTest Domain
Linux, WindowsPlatforms
Tools have been developed for ca. 10 yearsMaturity
YesCommercial
Implementation, testing, deployment, maintenancePhase
Model-based fuzz testingPurpose
Codenomicon DefensicsTool
9
Best tools in TITAN
Notes
Basic scanning is easy, especially with a graphical front-end. Advanced use requiresstudying.
Ease of Use
Depends on devices used in ICS network. Often very applicableICS Applicability
Text filesReporting
PartialAutomation
NoMitigation
NoExtensions
Running, networked systemsTest Domain
Linux, Windows, BSDPlatforms
Years of developmentMaturity
Free, GPLCommercial
Implementation, testing, deployment, maintenancePhase
Port scanning, network mappingPurpose
NmapTool
10
Best tools in TITAN
Finds only vulnerabilities from database. Vulnerabilities are written to database withNASL language. Tests include port scans, and if e.g. ftp port is open tool attemptsanonymous login.
Notes
Easy to use GUIEase of Use
SCADA PluginsICS Applicability
Generates a .html reportReporting
Running the test is automatedAutomation
Warnings of dangerous services or software versionsMitigation
Plugins for various purposesExtensions
Various targets, mainly running networked systemsTest Domain
Linux, Windows, OS XPlatforms
Widely used, developed for yearsMaturity
Commercial, free for home usersCommercial
Implementation, testingPhase
Vulnerability scannerPurpose
Tenable NessusTool
11
A Potential exploit tool
Framework includes over 300 different exploits for Windows, Unix/Linux and Mac OS Xsystems
Notes
Easy to use GUI, but building exploit modules and shellcodes requires experienceEase of Use
Very applicable, especially if ICS contains older IT systemsICS Applicability
NoReporting
Automates vulnerability exploitationAutomation
NoMitigation
YesExtensions
Various targetsTest Domain
Linux, WindowsPlatforms
De facto vulnerability development frameworkMaturity
Free, BSDCommercial
Implementation, testing, deployment, maintenancePhase
Exploit development and excecution.Penetration testing
Purpose
Metasploit Framework 3.2Tool
12
A Potential web tool
Performs comprehensive tests against web servers for multiple items, including over 3500potentially dangerous files/CGIs, versions on over 900 servers, and version specificproblems on over 250 servers. Most vulnerabilities which are found are notdangerous in ICS environment.
Notes
Simple command line useEase of Use
Many ICS devices (e.g. switches, process controllers) include web serversICS Applicability
Text fileReporting
Scanning is automatedAutomation
Warns from vulnerabilitiesMitigation
NoExtensions
Web serversTest Domain
LinuxPlatforms
Yes, active developmentMaturity
Free, GPLCommercial
Implementation, testing, deployment, maintenancePhase
Web server vulnerability scannerPurpose
NiktoTool
13
A Potential monitoring tool
Database based network traffic visualisation capabilities. Tool includes many advancedfeatures for different kind of uses
Notes
Requires some training. Web based GUI or remote SSH connectionEase of Use
Good for monitoring purposesICS Applicability
Visualisations and network capturesReporting
Automation
NoMitigation
Flow Analysis, QoS and Snort IDSExtensions
Network trafficTest Domain
Comes with specific hardware. Flow analyser client for Windows onlyPlatforms
Quite new product. Active developmentMaturity
YesCommercial
Implementation, testing, maintenancePhase
Network traffic high-performance capturing, monitoring and analysisPurpose
Nethawk iPro & Flow AnalyserTool
14
TITAN – Automaatiojärjestelmän tietoturvatestaus
15
Pääasiallinen tietoturvatestauksen kohde: MetsoDNA CR(+Test setup)
Achilles Satellite
16
Käytetyt työkalut
Source code analysis:CPPcheck
Security testing related:Codenomicon Defensics (SNMPv2, HTTP Server, Telnet, WLAN, Modbus…)Achilles SatelliteNmapNetwoxYersiniaAircrackTenable Nessus 3NiktoSNMPWalkMetasploit FrameworkBacktrack 4 beta
Monitoring:Nethawk iProClarified AnalyzerWireshark
17
Tietoturvatestauksen johtopäätökset
• Carry out testing during R&D or at least before deployment• Testing of proprietary protocols is challenging, a proprietary tool or
at least heavy tailoring of a common tool is often required• Commercial tools are often easy to use and well documented.
Open source tools are more difficult to use and less integrated• Security testing in industrial automation requires a lot of manual
work and supervision to get it done well• Defense in depth: Also the automation network devices require
security/robustness testing (but not online)• Web services etc allow easier testing using standard SA tools
18
TITAN – Parhaiden käytäntöjen kuvauksesta
De facto -standardien evaluointi
Sector specificrequirements such
as dependability
How well the specifics of industrial automationare taken into account?
Specials
Openness improvesquality andavailability
How well is the standard updated and is itgenerally available? (Open / $ / Closed)
Maintenance andavailability
Regulation directs theactivities
Mandatory usage? Is a state authority or otherorganisation mandating the use?
Regulation
Earlier adapters addtrust
References. How often the standard is in use inrelevant organisations?
Merits
Practicability andusability taken into
account
How general purpose is the standard? Toobroad or too constricted
Usability, purposeja scope
Good quality andsubstance are
required
Subjective quality levelQuality
RationalExplanationEvaluation criteria
Parhaiden käytäntöjen kehittämisen prosessiTITANissa
1. First, we initially identify the best standards and practices available2. Next, we describe such standards in general level3. Then, we evaluate such standards with Finnish companies and organisations4. Then, we assemble the best practices for the use of Finnish parties5. Finally, we inform the industry about the assembled best practices within seminars
and material
TITAN – Parhaiden käytäntöjenkuvausten muoto
ThreatsWhy protection is needed? Some typical threats and vulnerabilities
Practice description1. Requirements
• Reqs for correct operation– Fundamental reqs– Additional reqs
• Non-reqs – what should not be done2. Actions required to protect
• Simple description of what actions to do in practice• The list of desired results of the actions
3. Typical roles for each action (optional)• Client / Vendor / Integrator
4. Relevant phases of SDLC (optional)• Order / Deployment / Maintenance
Example practice (optional)If possible, give e.g. one A4 guideline or other example practice, e.g. a check list
22
Automaatiojärjestelmän tietoturvan (tt) evaluointi
23
Yleistä automaatiojärjestelmän tt-evaluaatiosta
• Erilaiset automaatiojärjestelmät ja niiden yksittäiset komponentit vaativaterityiskäsittelyä kun ajatellaan operatiiviseen ICS toimintaan otettavan tieto- taikommunikointijärjestelmien tietoturvan arvioimista. ICS alueen järjestelmientietoturva-arvioinnissa on otettava huomioon useita erityispiirteitä jotka voivat ollajopa ristiriidassa toistensa kanssa, jolloin on löydettävä tasapaino eri asioidenvälillä.
• Usein täytyy ensisijaisesti varmistaa tuotantoa ohjaavien ja seuraavien järjestelmienkäyttövarmuus ja oikea toiminta, kun taas tietoturvaominaisuudet täytyy olla kylläkunnossa mutta ne eivät saa aiheuttaa häiriöitä jotka voisivat heikentääkäyttövarmuutta.
• Toinen ulottuvuus on erilaiset arviointimenetelmät ja niiden käyttö.Suomalaistenkin toimijoiden käyttöön on yleisesti saatavilla esimerkiksi avoimia jakaupallisia tietoturvahaavoittuvuuksien sekä käyttöjärjestelmien ja erilaistensovellusten konfiguraatioiden turvallisuutta määrittäviä ohjelmistotyökaluja, muttaniiden soveltuvuutta ICS alueella toimivan organisaation tai yrityksen voi olla vaikeaarvioida. Tietty menetelmä tai työkalu voi esimerkiksi listata käyttäjälle 600 erilaistavaroitusta järjestelmän tietoturvaan liittyen, mutta käyttäjän voi olla hankalasoveltaa tulosta järjestelmän kehittämiseksi tai sen arvioimiseksi onko järjestelmänturvallisuus riittävällä tasolla.
24
Evaluaation tavoitteet
• Tietoturvaevaluaation suorittamiseksi tarvitaan taustatiedoiksi käyttöönotettavanjärjestelmän tai tuotteen tietoturvatavoitteet, vaatimukset, asennuspisteessävallitseva tietoturvapolitiikka, ym. relevanttia pohjatietoa.
Näiden määrittelemisessä on voitu käyttää apuna valmiita skelettejä (esim.API Std 1164, Annex B: SCADA-järjestelmän tietoturvasuunnitelma).On välttämätöntä tuoda esiin ja kiinnittää nämä olemassa olevattaustavaatimukset tietoturvalle, tai jos niiden määrittely on kesken,viimeistään nyt tarkemmin määritellä ne ennen tietoturvaevaluaationaloittamista.Alue on laaja ja monimutkainen. Kunkin operatiivisen toiminnantietoturvatavoitteisiin ja vaatimuksiin vaikuttavat mm. ko. teolliselle toiminnalleasetettu lainsäädäntö, sääntely, asiakassopimukset, yleisenturvallisuuden ylläpitäminen, jne, kaikki yhdessä.
• Evaluaatio perustuu ennen kaikkea vertailuun, mahdollisimman varman tiedonkeräämiseen siitä ovatko evaluaatiokohteen ominaisuudet tavoitteiden mukaiset.Jos kohde ei täytä ennakkovaatimuksia, yleensä on järkevää selvittää ja kirjatalisäksi: Millaisia löydetyt poikkemat ovat?, Miten paljon poikkeamia on?, jne
25
Evaluaation tavoitteet
Tietoturvaevaluaation tavoitteita voi olla mm. seuraavanlaisia:• Vastaako järjestelmän (käyttöjärjestelmä, sovellukset, tietoliikenne, jne)
asetukset tiettyä esimääriteltyä mallia, ns. sallittua konfiguraatiota?• Kestääkö järjestelmä toiminnassa vaikka sitä vastaan suunnataan tietyn
tyyppisiä tietoturvahyökkäyksiä (esim. palvelunestohyökkäykset,robustness-testaus, jne)
• Onko järjestelmän toteutukseen jäänyt tietoturvahaavoittuvuuksia(kuten puskuriylivuodot, puutteellinen input/output käsittely, tms.)?
• Onko järjestelmästä poistettu kaikki sellainen toiminnallisuus joka ei olekäytössä (esim. web-palvelin ohjelmistot, toimisto-ohjelmistot, jne.)
• Onko huolehdittu ohjelmistojen päivitysominaisuuksien turvallisuudesta?Entä vikojen korjaamisesta?
• Onko järjestelmässä huomioitu haittaohjelmien torjunta? Miten?
26
Evaluaation päävaiheet
Huolimatta kaikesta edellämainitusta lähtökohtien moninaisuudesta,järjestelmän tietoturvaevaluaatiokokonaisuuden voidaan määritelläkoostuvan seuraavista päävaiheista:
1. Evaluaatiokohteen määrittely, sis. evaluaation alaisten kohteiden rajaus2. Evaluaatiokriteeristön määrittely (sis. vaatimukset tietylle sec zone, sec
level, sec policy)3. Evaluaatiometodien ja työkalujen määrääminen, sekä toimintaohjeen
tarkempi määrittely (assessment työkalun profiili, skeletit, tarkistuslistat, jne)Esim. http://web.nvd.nist.gov/view/ncp/repository
4. Evaluointiaktiviteettien suorittaminen (tt-työkalujen käyttö realistiseentestijärjestelmään, ei tuotantokäytön aikaiseen laitokseen) ja raportointi
5. Evaluaation tulosten validointi
27
Tietoturvaevaluaation kokonaisuus ja päävaiheet
Automaatiojärjestelmä(tai sen osa)
Operatiivisen toiminnan-Tietoturvavaatimukset
-TietoturvapolitiikatArkkitehtuurimäärittely
Kunkinevaluaationtavoitteet
2. Evaluaatiokriteeristön määrittely
3. Evaluaatiometodien ja työkalujenmäärääminen, tarkempi
evaluointiohje
4.. Evaluaatioaktiviteettiensuorittaminen ja raportointi
5.. Evaluaatiotulostenvalidointi
1. Evaluaatiokohteiden määrittely(sis. rajaus evaluoitavista
ominaisuuksista)
28
1. Evaluaatiokohteiden määrittely
Evaluaatiokohteen määrittely sisältää pääsääntöisesti seuraavia vaiheita:
1. Edellytys: Organisaatio on suorittanut tai tilannut (ja dokumentoinut) järjestelmänkokonaisriskiarvioinnin, jossa järjestelmän riskialtteimmat osat on alustavastitunnistettu. (Huom! Tämän suorituksessa saa toki olla käytetty hyväksi myösjärjestelmän teknistä ”skannausta” (ei online!) tai profilointia tiettyjenominaisuuksien suhteen, jotka osoittavat järjestelmästä riskialttiita kohtia.)
2. Organisaatio päättää mm. edellisen kohdan ja muiden suunnitelmien jaevaluaatiotavoitteiden perusteella mitä evaluaatiokohteita kussakintietoturvaevaluaatiossa tutkitaan.
3. Kutakin yksittäistä evaluaatiota koskien, organisaatio rajaa evaluaatiokohteentutkittavat ominaisuudet. Esimerkki: Tietyssä evaluaatiossa kohteestamääritellään evaluoitavaksi ainoastaan ulkoinen (black box) käyttäytyminenjärjestelmän ollessa tietoturvaan liittyvän kokeellisen evaluaatiomenetelmänalaisena. Käyttäytyminen oltava todettavissa standardimenetelmin (ja liittyykokonaisjärjestelmän toimintakyvyn kannalta olennaiseksi todettuuntoiminteeseen.)
29
1. Esimerkki evaluoitavaksi valituista evaluaatiokohteista
Prosessiasema-1
PLC-1
DMZ& FWs
Varmuuskopiointi japalautusjärjestelmät
Julkisetverkot
Toimistoverkko
PLC-2
PäivityspalvelinPääsyoikeus-päivitykset
Evaluoitavienominaisuuksien rajaus:• Prosessiasemasta jaPLC:stä vain ulkoinen(black box) käyttäytyminen• DMZ:sta ja toimistoverkostavain prosessiasema-1:n tukitoiminnot• Vain rajapintojenA, B, C ja D evaluointi• Tehtävä yksityiskohtainendokumentaatio rajauksesta
A
B
C D
Evaluoitavanautomaatiojärjestelmän
rajaus
Optionaalinenevaluaatiokohde
30
2. Evaluaatiokriteeristön määrittely
• Tämä vaihe on ehkä evaluaatioon liittyvistä määrittelyistä vaikein.Kysymyksenasettelu: Mitä kriteeristöä vasten kulloistakinevaluaatiokohdetta tutkitaan? Mikäli kriteeristö ei ole tarpeeksi tarkkaanmääritelty, tai se ei kohdistu tietoturvan kannalta oleellisiin seikkoihinjärjestelmässä, eivät tuloksetkaan vastaa tarkoitustaan elikonformanttisuuden todentamista tiettyihin tietoturvavaatimuksiin nähden.
• Käytettävä kriteeristö riippuu voimakkaasti evaluaatiokohteesta sekätavoitteista joita järjestelmän toiminnalle on asetettu. Mitäänkaikenkattavaa kriteeristöä ei tietenkään ole olemassa joka sopisi kaikkiinkäyttötarkoituksiin, sillä kyse on voimakkaasti CASE riippuvaisesta,yrityksen itsensä määrittelemästä asiasta.
31
2. Evaluaatiokriteeristön määrittely
Evaluoitavassa yrityksessä täytyy olla operatiivista toimintaa kuvaavattietoturvamäärittelyt ja -säännöstöt kunnossa. Mikäli näin ei ole, evaluoijateivät voi tietää mitkä ovat toimintaympäristön tarkat vaatimukset ja niidentäyttämiseksi tarvittavat tietoturvakontrollit. (Jos yrityksessä ei ole tällaisiatietoturvamäärittelyjä olemassa, voitaisiin tietysti ajatella evaluaatiota kuitenkintehtävän vaikkapa jonkin yleisesti määritellyn ”baseline”:n mukaisesti, mutta tällöinemme todellisuudessa tiedä miten evaluaation tulokset todella hyödyttäisivätkyseisen yrityksen operatiivisen toiminnan turvaamisessa.)
1. Ensinnäkin, kullakin tieto-, tietoliikenne- ja automaatiojärjestelmän evaluoitavallaosalla tulee olla operoivan organisaation erityisesti määräämä ja käytössä olevatietoturvatason (security level) määrittely, johon kuuluvat kiinteästi sekä tietyttietoturvakontrollit suojaustasomäärittelyineen, sekä tietysti yksityiskohtainentietoturvapolitiikka.
2. Lisäksi kokonaisjärjestelmän arkkitehtuurikuvauksessa on oltava määriteltynäsuojattavien kohteiden vyöhykkeet (electronic perimeter) joissa kussakin siisvallitsee, yllä mainittu, määrätty tietoturvataso (security level).
32
2. Evaluaatiokriteeristön määrittely
Alla on lueteltu teollisuusautomaatiojärjestelmien käyttöön sovellettavissa oleviatietoturvastandardikantoja (sis. myös valmiita kriteeristöjä ja vaatimuksia), joitavoidaan käyttää hyväksi käyttöönotettavan automaatiojärjestelmän tietoturvanevaluoimisessa:
• American Petroleum Institute (API) Standard 1164, “Pipeline SCADA Security”Mm. Annex A: Tarkistuslista SCADA -järjestelmän tietoturvan evaluointiin,Annex B: SCADA -järjestelmän tietoturvasuunnitelma (esimerkki)
• IEEE 1686 - Standard for Substation Intelligent Electronic Devices (IEDs) CyberSecurity Capabilities
Konkreettisia esimerkkivaatimuksia IED laitteille• ISA99 Industrial Automation and Control Systems Security Standards
ANSI/ISA 99: Sisältää mm. tietoturvavyöhykkeiden ja -tason konseptit,auditoinnin, mittaamisen ja monitoroinnin, jne
• MSISAC/SANS: SCADA and Control Systems Procurement LanguageMm. järjestelmän kovennus ja paljon muuta
• North American Electric Reliability Corporation (NERC) - CIP StandardsPaljon hyviä toiminnallisia vaatimuksia mm. laitevalmistajille
33
2. Esimerkki ylätason evaluaatiokriteeristöstä
DMZ& FWs
Varmuuskopiointi japalautusjärjestelmät
Julkisetverkot
Toimistoverkko
Päivityspalvelin
Prosessiasema-1
PLC-1 PLC-2
Valitut ylätason evaluaatiokriteeristöt:1. Rajapinnoissa A, B, C ja D vainpolicyn mukaiset protokollatkäytössä2. Rajapinnoissa avoimena vainsallitut palvelut ja portit3. Prosessiasemassa sallitaanvain tietty maksimiviive (perpalvelu) tt-testauksen alaisena4. Päivityspalvelimen oikea toiminta5. Pääsynvalvonnan turvallinen toteutus,pääsyoikeuksien päivitykset6. Palautusjärjestelmän oikea toiminta
Pääsyoikeus-päivityksetA
B
C D
Evaluoitavanautomaatiojärjestelmän
rajaus
34
3. Evaluaatiometodien ja työkalujen määrääminen
• Ennen teknisten evaluaatioaktiviteettien aloittamista, täytyy siihen liittyvientarkistus- ja tietoteknisten evaluointiaktiviteettien yksityiskohdatmääritellä tarkasti, selkeästi ja selkein perustein.
• Täytyy olla selkeä perusta (esim. yrityksen aiempien evaluaatioiden”baseline” tulokset tai asetettu tavoitetila) joille kaikkievaluaatioaktiviteetit pohjautuu, jolloin tiedetään tarkasti mihinreferenssiin evaluaatiokohdetta halutaan verrata.
• Pitää esim. kiinnittää yksityiskohtaiset tarkistuslistat (jos niidenkäyttö kuuluu evaluaatioon), järjestelmän ominaisuuksia tutkivientyökalujen kuten penetraatiotestereiden,haavoittuvuusskannereiden, jne, yksityiskohtainen määrääminenja työkalujen käyttämät konfiguraatiot, laajennukset,haavoittuvuusprofiilit, plug-in moduulit, jne. Tähän tarvitaan useinsyvällistä tietoa tietoturvan teknisen evaluaation nykyaikaisistavälineistä ja niihin kehitetyistä ominaisuuksista, joten esim. ulkoisenasiantuntemuksen käyttö on usein paikallaan.
35
3. Evaluaatiometodien ja työkalujen määrääminen
Tärkeitä menetelmiä järjestelmien evaluointiin ovat ainakin:
• Toimihenkilöiden haastattelu (tarkistuslistat, tietoturvakontrollienprosessit)
• Haavoittuvuusanalyysi (lähdekoodianalysaattorit,haavoittuvuusskannerit, koodikatselmoinnit)
• Hyökkäysten sietoa testaavat menetelmät (teollisuusympäristöihinsoveltuvat tietoturvatesterit,e.g. Achilles Satellite, penetraatiotesterit,robustness-testerit, testaus palvelunestohyökkäyksiä vastaan)
• Järjestelmien konfiguraation selvittäminen (sis. erilaisia menetelmiä,esim. verkkoskannerit, porttiskannerit, konfiguraatiotiedostojen tarkistus,palomuurisäännöstöjen ja eri järjestelmien pääsynvalvontasäännöstöjenläpikäynti) ja vertaaminen määriteltyyn
36
3. Esimerkki käytettävistä evaluaatiomenetelmistä / -työkaluista
DMZ& FWs
Varmuuskopiointi japalautusjärjestelmät
Julkisetverkot
Toimistoverkko
PäivityspalvelinPääsyoikeus-päivitykset
Prosessiasema-1
PLC-1 PLC-2
A
B
C D
Valitut evaluaatiomenetelmät & työkalut:1. Tietyn liikenneanalysaattorin käyttö2. Tietyn porttiskannerin käyttö3. TT-testeri + viiveiden monitorointi4. Pros.aseman päivitystoiminnon testi5. Monitori: kirjautumistiedot kryptattu?6. Edellisen konfigur. palautuskoe
Evaluoitavanautomaatiojärjestelmän
rajaus
37
4. Evaluaatiotulosten raportointi
Evaluaatioaktiviteettien tuloksena tulisi syntyä:• Tiedostoja joihin evaluaatiomenetelmien ja työkalujen tulokset on
tallennettu. Nämä tiedostot on usein luokiteltava erittäin luottamuksellisiksija suojattava, sillä jos tieto esim. tietoturvapoikkeamista joutuu vääriinkäsiin, saattaa järjestelmiin olla helppo tunkeutua sitä havaitsematta.Tulokset tulee olla vertailukelpoisessa muodossa vähintään siten, ettävertailu mahdollistuu määriteltyyn tavoitetasoon, sekä mielellään myösaikaisempaan tilanteeseen (baseline).
• Raportteja joissa evaluoidun kokonaisuuden tunnistetiedot (esim. pvm,kohde, suorittaja, jne.), ennakkovaatimuksia (esim. käytetty kriteeristö,metodit ja työkalut), yhteenvetoja eri osuuksien tuloksista, tärkeimmätlöydökset, ja mahdolliset kehityskohteet ja parannusehdotukset, jne. onkirjattu.
38
PASI AHONENTeam Leader, SW Technologies, Security Assurance
Tel.: +358 20 722 2307
GSM: +358 44 730 7152
Fax: +358 20 722 2320
Email: [email protected]
VTT TECHNICAL RESEARCH CENTRE OF FINLAND
Kaitoväylä 1, Oulu, FINLANDPL 1100, 90571 Oulu, FINLAND www.vtt.fi
39
VTT luo teknologiasta liiketoimintaa