Sposoby oceny bezpieczeństwa w cyberbezpieczeństwie, część 1

Opublikowane przez Andrzej Dyjak w dniu 16.10.2019

W trakcie codziennej pracy na lokalnym rynku stykam się z brakiem jednolitego zrozumienia tego czym jest ocena bezpieczeństwa oraz mieszaniem jej różnych rodzajów takich jak ocena podatności czy test penetracyjny.

Ponadto opis usług oferowanych przez dostawców często nie pokrywa się z konkurencją ani tym jak rozumieją go sami zamawiający. W efekcie końcowym mają miejsce sytuacje, w których klient zamawia usługę X i dostaje efekt usługi Y. Co więcej, zamawiając po czasie od innego dostawcy “tę samą” usługę X otrzymuje zamierzony efekt usługi X, ale w tym momencie nie jest w stanie porównać stanu obecnego ze stanem przeszłym. W celu uproszczenia pominę jakość samych usług.

Całość prowadzi do nieprzyjemnych sytuacji dla obu stron, a w gruncie rzeczy sprawa jest prosta do rozwiązania — wystarczy przyjąć pewne ogólne definicje, a następnie przeprowadzić klienta odpowiednią dla niego ścieżką (czyli taką, która spełni jego faktyczne zapotrzebowanie).

Plan akcji

W niniejszej serii postów sklasyfikuję oraz wyjaśnię różnice i podobieństwa pomiędzy standardowymi sposobami oceny bezpieczeństwa stosowanymi w cyberbezpieczeństwie. Moim celem jest polepszenie zrozumienia tego tematu dla obu stron.

W tym tygodniu przedstawię spojrzenie wysokopoziomowe, a w kolejnych tygodniach będę analizował i omawiał każdy rodzaj z osobna. Temat jest szeroki więc poruszę również wątki poboczne takie jak różnice pomiędzy podejściem black-box i white-box czy rosnący na popularności temat bug bounty. Zapraszam! 👉

Spojrzenie wysokopoziomowe

Z lotu ptaka standardowe sposoby oceny bezpieczeństwa w cyber można podzielić następująco:

  • Modelowanie zagrożeń (threat modeling)
  • Audyt bezpieczeństwa (security audit)
  • Ocena podatności (vulnerability assessment)
  • Test penetracyjny (penetration test)
  • Red team

Kolejność nie jest przypadkowa. Poniżej przedstawiam podział w formie diagramu, który można potraktować jako gradient (od lewej do prawej) gdzie każdy kolejny rodzaj jest progresją względem poprzedniego, stopniowo prowadząc do podniesienia bezpieczeństwa aplikacji, systemu, czy organizacji.

Rysunek 1. Sposoby oceny bezpieczeństwa w cyber

Głównymi cechami różnicującymi w moim modelu są:

  • Cel. Co chcemy osiągnąć?
  • Zakres. Co bierzemy pod uwagę?
  • Czas. Ile mamy czasu?
  • Rozmiar zespołu. Ilu ludzi musimy zaangażować aby osiągnąć zadowalający ROI?
  • Możliwość automatyzacji. W jakim stopniu jesteśmy w stanie zautomatyzować prace?

Powyższe właściwości pozwalają w jasny sposób skontrastować rodzaje ocen bezpieczeństwa i jednocześnie prezentują proste do zapamiętania pytania, które można wykorzystać przy wyborze odpowiedniego dla siebie typu oceny. Nota bene: To jak wybierać odpowiedni dla swojego przypadku rodzaj oceny bezpieczeństwa opiszę w osobnym artykule.

W celu ułatwienia zrozumienia mojego modelu stworzyłem analogię ogrodzenia, w której:

  • Modelowanie zagrożeń możemy wykonać jeszcze przed budową płotu po to aby zdać sobie sprawę z ryzyk jakie powinniśmy brać pod uwagę (pomoże nam to w budowie bezpieczniejszego ogrodzenia).
  • Audyt bezpieczeństwa wykonujemy po wybudowaniu płotu w momencie gdy chcemy sprawdzić czy nasze ogrodzenie spełnia normę czy standard (np. ISO 7900:2006).
  • Ocenę podatności wykonujemy po wybudowaniu płotu gdy chcemy odkryć jak największą ilość problemów bezpieczeństwa w naszym ogrodzeniu, ale bez wchodzenia w szczegóły tego czy (i jak) można je wykorzystać (np. dziura w płocie lub mała wysokość ogrodzenia względem terenu).
  • Zarówno test penetracyjny jak i red team powinny zostać wykonane po co najmniej kilku iteracjach oceny podatności po to aby wyeliminować tzw. low-hanging fruits. W obu tych rodzajach chcemy emulować realnego atakującego aby poznać łańcuchy ataków, czyli zobaczyć w jaki sposób można połączyć różne problemy bezpieczeństwa naszego ogrodzenia i elementów dodatkowych w celu uzyskania pożądanego efektu (przykładowy łańcuch ataku: wtargnięcie na teren poprzez pokonanie słabo wykonanego ogrodzenia, pozostanie niezauważonym dzięki udanemu atakowi Denial-of-Service na kamery wpięte do Internetu, i ostatecznie wykradnięcie materiału z magazynu).

Podsumowanie

W dzisiejszym poście poznaliśmy wysokopoziomowy podział standardowych rodzajów ocen bezpieczeństwa w cyber. Została również przedstawiona analogia ogrodzenia, która jest pomocna w zrozumieniu klasyfikacji dla osób związanych nieco luźniej z cyberbezpieczeństwem.

Z moich obserwacji wynika, że największe problemy z jednakowym zrozumieniem po obu stronach (dostawców i klientów) dotyczą oceny podatności, testów penetracyjnych, oraz ćwiczeń red team. W związku z tym kolejność opisywania zacznę właśnie od nich i w kolejnym poście wrócę z opisami oceny podatności oraz testów penetracyjnych. Do następnego! ✌️

Referencje


Andrzej Dyjak
Cześć, nazywam się Andrzej Dyjak. W życiu zawodowym jestem związany głównie z cyberbezpieczeństwem gdzie moją ulubioną domeną jest bezpieczeństwo aplikacji (application security). Profesjonalnie tematem zajmuję się od 10 lat, natomiast prywatnie już ponad 16. Praca to moja pasja.



Bądź na bieżąco! 💌

Zapisz się do newslettera już teraz i otrzymuj powiadomienia o nowych postach, ciekawe materiały o security, oraz newsy prosto do swojej skrzynki mailowej. 🤓