OSSTMM – Wprowadzenie cz. 2 - Security Bez Tabu

OSSTMM – Wprowadzenie cz. 2

Kolejny krok w drodze do zrozumienia OSSTMM

W tym artykule znajdziesz kontynuację zagadnień związanych z metodologią OSSTMM. Warto abyś przed przeczytaniem tego artykułu zapoznał się z OSSTMM – Wprowadzenie cz. 1. W tym artykule rozwinięte zostaną takie terminy jak zgodność, rzeczywiste bezpieczeństwo, ograniczenia, cele zapewnienia informacji, kontrola i zabezpieczenia.

Zabezpieczenia (Security)

Zabezpieczenia są pochodną separacji. OSSTMM wyróżnia trzy podstawowe sposoby odseparowania zasobu:

  1. Utworzenie bariery fizycznej lub logicznej między zasobem a zagrożeniami (np.firewall)
  2. Zamiana zagrożenia stanu nieszkodliwego (np. ignorowanie pakietów)
  3. Zniszcz zagrożenie (program antywirusowy).

Analizując stan zabezpieczeń widzimy, gdzie istnieje możliwość interakcji i gdzie tej interakcji nie ma.

Mając wiedzę o możliwościach interakcji możemy stwierdzić, że część z nich, wszystkie a może nawet żadna z tych interakcji  nie jest wymagana dla operacji.

Każdy punkt interakcji zmniejsza bezpieczeństwo poniżej idealnych 100%, gdzie jak pamiętamy 100% reprezentuje pełną separację. Dlatego wzrost porowatości jest zmniejszeniem bezpieczeństwa, a każdy  z porów jest  widocznością (Visibility), dostępem(Access) lub zaufaniem (Trust).

TerminDefinicja
Widoczność
(Visibility)
W terminologii policyjnej widoczność przedstawiana jest jako jeden z trzech elementów, które zachęcają do kradzieży. Widoczność jest środkiem obliczania możliwości. Nieznane (niewidoczne dla atakującego) zasoby są dopóty bezpieczne, póki nie zostaną odkryte.
Dostęp
(Access)
Działania związane z zasobami wymagają dostępu do tych zasobów. Dostęp to interakcja z zasobem.
Zaufanie
(Trust)
Każda zależność między zasobem, a czynnikiem zewnętrznym, zapewniająca swobodny dostęp do zasobu.

Podsumowując zabezpieczenia separują między zagrożeniami a zasobami, każda porowatość zmniejsza bezpieczeństwo i należy do widoczności, dostępności lub zaufania.

Kontrola (Controls)

Gdy zagrożenie występuje wszędzie, to kontrole zapewniają bezpieczeństwo
w operacjach. Kontrole są środkiem, który ma wpływ na zagrożenia i ich skutki, gdy wymagana jest interakcja.

OSSTMM wyróżnia dwie klasy kontroli:

Klasa A – kontrola interakcji – tworzy dokładnie połowę wszystkich elementów sterujących operacji.  Obiekty klasy A wpływają  bezpośrednio na widoczność, dostęp lub zaufanie.

  • Autentykacja (Authentication) – Uwierzytelnianie nawiązującego interakcje z zasobem pod względem posiadania odpowiednich uprawnień. Połączenie identyfikacji i autoryzacji. 
  • Kompensacja (Indemnification) – Każde widoczne ostrzeżenie przed interakcją z zasobem, pewnego rodzaju ubezpieczenie po stronie dostawcy usług lub umowa ze stroną zewnętrzną
  • Redundancja (Resilience) – odporność zabezpieczeń na awarię, błąd, uszkodzenie
  • Ograniczenia (Subjugation) – zapewnienie, że interakcja następuje tylko zgodnie ze zdefiniowanym przez właściciela zasoby procesem. Szczególna uwaga zwrócona jest na fakt, że kontrola zmniejsza dowolność interakcji, ale także zmniejsza odpowiedzialność po stronie nawiązujących interakcję.
  • Dostępność (Continuity) – odporność zasobu na awarię, błąd, uszkodzenie, która zapewnia ciągłość interakcji.

Klasa B – kontrola procesów ochrony

  • Niezaprzeczalność (Non-repudiation) – zapewnienie, że w czasie trwania interakcji nie zmienia się rola strony interakcji.
  • Poufność (Confidentiality) – zapewnienie, że zasoby ujawnione lub wymienione przez strony interakcji są znane tylko tym stronom.
  • Prywatność (Privacy) – zapewnienie, że sposoby interakcji znane są tylko stroną interakcji
  • Integralność (Integrity) – zapewnienie, że strony interakcji wiedzą o zmianach w zasobach. Dane wymieniane między autoryzowanymi użytkownikami zasobów a zasobem nie ulegają zmianie przez osoby trzecie.
  • Alarm (Alarm) – kontrola podejmowania interakcji z zasobem
    (informacje o aktualnie zalogowanych użytkownikach i log autoryzacji)

OSSTMM wskazuje na trzy obszary, które powinny być chronione (CIA TRIAD):

  • Poufność (Confidentiality) – którą zapewnia kontrolowanie Poufności i Prywatności (klasa B) oraz Autoryzacja i Redundancja (klasa A)
  • Integralność(Integrity) – którą zapewnia kontrolowanie Integralności, Niezaprzeczalności (klasa B) oraz Ograniczenie (klasa A)
  • Dostępność (Availability) – którą zapewnia kontrolowanie Dostępności i Alarmu (klasa B) oraz Ubezpieczenia (klasa A)

Cele zapewnienia informacji

Aby ułatwić zrozumienie elementów sterujących, można je powiązać z trzema informacjami.  Cele zapewnienia poufności, dostępności i integralności. Cele te są używane we wszystkich branżach bezpieczeństwa informacji, chociaż często podejście do nich jest zdecydowanie spłycone.

Cele zapewnienia informacjiOperacje kontrolujące
PoufnośćPoufność
Prywatność
Uwierzytelnianie
Odporność 
DostępnośćCiągłość
Alarm
Kompensacja
IntegralnośćIntegralność
Niezaprzeczalność
Ograniczenia

Ograniczenia

W metodologii OSSTMM zrezygnowano z używania pojęcia ryzyko i nie bierze się go pod uwagę przy analizie bezpieczeństwa. To podejście może wydawać się drastyczne, ale ryzyko jest pochodną prawdopodobieństwa, które zmienia się  gwałtownie w czasie, ponadto zależy od środowiska, zasięgu działania, zasobów, dostępnych zagrożeń i innych czynników. W ramach metodologii  OSSTMM używa się pojęcia ograniczenia, by wskazywać niedociągnięcia zabezpieczeń, zamiast patrzeć na problem od strony zagrożeń.

Wyróżniono 5 ograniczeń:

  • Podatność (Vulnerability) – luka lub błąd gdy autoryzowana strona nie może nawiązać interakcji z zasobem lub nie autoryzowana strona może nawiązać interakcję, która wymaga autoryzacji lub gdy nie autoryzowana strona może ukryć zasób lub swoje działania.
  • Słabość (Weakness) – zmniejszenie poziomu interakcyjnych operacji kontroli 
  • Problem (Concern) – zmniejszenie poziomu pięciu operacji kontroli procesu 
  • Ekspozycja (Exposure) – luka lub błąd, która powoduje bezpośrednią lub pośrednią widoczność zasobów poza wybranymi kanałami
  • Anomalie (Anomaly) – niezidentyfikowany i nieznany element, który nie został skontrolowany i nie może być przypisany do żadnych elementów kontroli.

Mapowanie ograniczeń

Aby lepiej zrozumieć, w jaki sposób ograniczenia wpasowują się w strukturę OpSec należy spojrzeć na mapę ograniczeń względem operacyjności i kontroli:

Rzeczywiste bezpieczeństwo

Rolą elementów sterujących jest kontrolowanie porowatości w OpSec. Ograniczenia zmniejszają skuteczność OpSec i kontroli. Wynik audytu, który wykrywa i pokazuje zabezpieczenia, kontrole i ograniczenia, skutecznie demonstruje rzeczywiste zabezpieczenia.

Rzeczywiste zabezpieczenia to termin określający migawkę powierzchni ataku w środowisku operacyjnym. Jest to logarytmiczne przedstawienie Kontroli, Ograniczeń i OpSec w określonym momencie. Używając takiej analizy jako elementów konstrukcyjnych w celu lepszego zrozumienia, jak działa bezpieczeństwo.

Wizualizacja, którą tworzymy na podstawie tego wyniku tworzy efektywną równowagę stworzoną między miejscem, w którym może nastąpić atak, a tym gdzie znajdują się kontrole do zarządzania atakiem i  ograniczeniami środków ochronnych. Kolejną zaletą matematycznej reprezentacji powierzchni ataku jako rzeczywistego zabezpieczenia jest to, że oprócz pokazania, gdzie brakuje środków ochrony, możemy dostrzec coś przeciwnego. Jak dobrze pamiętamy możliwe jest posiadanie większej liczby kontroli niż potrzeba, dlatego można to matematycznie przedstawić jako ponad 100% rav. Taki wynik można wykorzystać do udowodnienia, że pieniądze są nadmiernie wydawane na niewłaściwe rodzaje kontroli lub kontrole nadmiarowe.

Zgodność

Zgodność to coś innego niż bezpieczeństwo i istnieje niezależnie od bezpieczeństwa. Można być zgodnym, ale nie bezpiecznym i można być względnie bezpiecznym, ale niezgodnym, a zatem niesolidnym. 

Duży problem ze zgodnością polega na tym, że wymaga ona dużej ilości dokumentacji, która musi być wersjonowana i aktualizowana. Ta dokumentacja może obejmować procesy biznesowe, narracje, oceny zaufania, oceny ryzyka, podpisane testy projektowe, audyty operacyjne, poświadczenia itd.
Taka dokumentacja jest kontrolowana przez audytorów wewnętrznych i zewnętrznych.. Staramy się wbudować zgodność i produkcję dowodów w proces oraz zarządzać tymi wymaganiami dotyczącymi zasobów i kosztów. Zgodność to szerokie podejście do stosowania najlepszych praktyk, począwszy od informacji dotyczy technologii, takich jak COBIT czy ITIL.

Test OSSTMM powinien zapewnić dokumentację, która jest na wysokim poziomie jakości i przedstawione dane prezentuje w  sposób zrozumiały, weryfikowalny.

Użycie metodologii OSSTMM ma na celu umożliwienie analitykowi wglądu i zrozumienia bezpieczeństwa i ochrony. Dlatego przy zastosowaniu tej metodologii każda zgodność jest dowodem nadzoru w ramach biznesowego procesu bezpieczeństwa 

Podsumowanie

Jak pewnie zauważyłeś metodologia OSSTMM ma dosyć specyficzne definicje pewnych słów i terminów. Zrozumienie ich jest niezbędne w celu poprawnego posługiwania się nią.  W kolejnych artykułach przejdziemy przez kolejne zagadnienia aż do porad jak wykonywać testy w praktyce – a to wszystko na SecurityBezTabu.pl.