Risicoanalyse in een nieuw jasje

 
Risicoanalyse in een nieuw jasje
Om effectief risicomanagement te doen, moeten risico’s eerst geïdentificeerd en daarna geanalyseerd worden. Wat is de potentiële schade bij het optreden van het risico (impact), vermenigvuldigd met de kans dat het risico zich manifesteert (kans)? Maar niet alle systemen lenen zich even goed voor de klassieke indeling van risico in kans en impact. En wat zegt een kans-factor nu precies? Hoe beheers je een risico met een lage kans, op een systeem dat absoluut niet vatbaar mag zijn voor een bepaald risico? Een uiteenzetting van hoe een alternatieve methode voor risicoanalyse eruit kan zien.
Risicomanagement doen we allemaal op dagelijkse basis: wat zijn de risico’s van het eten van relatief veel rood vlees bij mijn avondmaaltijd?
Hoe veilig is het als ik hier door rood loop? Hoe ga ik om met de gevaren van het wonen in een drukke stad? Hoe monitor ik de veranderende dreiging van terrorisme op mijn dagelijks bestaan? Allemaal vragen die we onszelf dagelijks bewust dan wel onbewust stellen, en bovendien zo efficiënt mogelijk proberen op te lossen. Elk van de vier hiervoor gestelde vragen bevindt zich in een ander onderdeel van dit impliciete risicomanagement, respectievelijk de volgende vier pro-cessen in risicomanagement: risico-identificatie; risico-analyse; risicobehandeling en risicomoni - toring.
Risicomanagement voor IT in het bedrijfsleven is niet veel anders. Ook hier worden deze onder delen van risicomanagement onderscheiden en expliciet behandeld. Om dit risicomanagement goed te begrijpen, is het belangrijk om onderscheid te maken in de termen risico, kwetsbaar-heid en dreiging.
Een kwetsbaarheid is een technische, procedure le of menselijke onvolkomenheid die systemen blootstelt aan dreigingen. Dreigingen zijn bedoel de of onbedoelde actoren of gebeurtenissen die een dergelijke kwetsbaarheid misbruiken. Een risi co is de kans dat een dreiging en een kwetsbaarheid tezamen optreden en niet worden gestopt door tegenmaatregelen. Een kwetsbaarheid die deze winter bijvoorbeeld optreedt, zijn banden met weinig profiel, of zomerbanden voor de auto. Een dreiging die deze kwetsbaarheid kan misbrui - ken is ijzel. De combinatie van deze kwetsbaar heid en dreiging is het risico op een ongeluk op de weg. Dit is een voorbeeld waarbij de dreiging geen opzet in de zin had, maar een toevallige onfortuinlijke gebeurtenis is, een zogeheten ‘act by God’. Voor dit artikel zal er alleen gekeken worden naar dreigingen die wél een kwade intentie heb-ben, oftewel een ‘act by hand’.
Risicomanagement 101
Zoals eerder gesteld, bestaat risicomanagement vaak uit vier hoofdprocessen: risico-identificatie, risicoanalyse, risicobeheersing en risicomonito-ring. Hieronder behandel ik elk van deze proces - sen kort.
Risico-identificatie
Om effectief risicomanagement te doen, is het allereerst zaak de juiste risico’s te identificeren. Veel bedrijven hebben moeite met het in kaart brengen van de juiste risico’s. Een gestructureerd proces om de juiste risico’s te identificeren is bittere noodzaak. Belangrijke elementen om zo’n proces te structureren, zijn allereerst het uitnodigen van de juiste medewerkers en vervolgens het stellen en beantwoorden van de juiste vragen. Cruciale startpunten van deze vragen zijn het identificeren van de kroonjuwelen in de orga nisatie, het categoriseren van de verschillende kwade actoren en het analyseren van de huidige verdedigingsmechanismen (preventief, detectief en reactief) op het gebied van mens, beleid, proces en techniek.
Enerzijds is een tekort aan geïdentificeerde risico’s een probleem, anderzijds levert een teveel aan geïdentificeerde risico’s ook geen werkbare situatie op.
Risicoanalyse
De geïdentificeerde risico’s moeten vervolgens worden geanalyseerd. Niet elk van de risico’s heeft eenzelfde kans van optreden, of eenzelfde effect op de organisatie. Risico’s worden vaak gezien als de vermenigvuldiging van deze twee factoren: wat is de potentiële schade bij het optreden van dit risico (impact), vermenigvuldigd met de kans dat dit risico zich manifesteert (kans). Puur wiskundig gezien hebben we het dan over de verwachtingswaarde van dit risico (bijvoorbeeld: Wat kost ons dit risico gemiddeld op jaarbasis). De geïdentificeerde risico’s kunnen onder andere geplot worden op een zogenaamde heatmap op basis van deze twee factoren. Een mogelijke inde ling van die risico’s zou dan kunnen zijn:
• irrelevante risico’s (lage kans, lage impact)
• reguliere risico’s (hoge kans, lage impact)
• extreme risico’s (lage kans, hoge impact)
• onacceptabele risico’s (hoge kans, hoge impact)
Voor het inschatten van zowel de kans als het risico, is naast kennis een hoop ervaring en een goede dosis relativeringsvermogen nodig. In de praktijk blijkt het inschatten van de impact lastig, gegeven dat onder andere de waarde van intellectual property, de mogelijke schade van boetes en de precieze lang-termijnverliezen van reputatie-schade lastig te bepalen zijn.
Het inschatten van de kans is zo mogelijk nog ingewikkelder om te kwantificeren. Wat is bij voorbeeld de kans dat een kwade actor succesvol een gemiste patch weet te misbruiken op een desktopsysteem dat zich achter zowel een firewall als een ‘intrusion detection system’ bevindt én voorzien is van een up-to-date virusscanner? Dit zijn lastig te beantwoorden vragen, welke ervoor zorgen dat er al gauw een uitweg wordt gezocht in het kwalitatief plotten van de risico’s op de eerder genoemde niet zo concrete heatmap.
Risicobehandeling
Na het inschatten van de verschillende gevonden risico’s is het van belang om een risicobehan-delingsstrategie te bepalen. Risico’s kunnen we enerzijds accepteren, bijvoorbeeld omdat de impact laag is, of omdat de kans van optreden zeer minimaal is. Risico’s kunnen ook verze - kerd worden, of verplaatst naar een derde partij.
Risico’s kunnen vermeden worden, bijvoorbeeld door bepaalde services niet meer aan te bieden, of functionaliteit te limiteren. Een laatste mogelijk heid is het mitigeren van risico’s, dit vereist het nemen van maatregelen om de impact en/of de kans van een risico te verlagen. Belangrijk hierbij is dat de kosten voor de maatregel lager zijn dan de verlaagde verwachtingswaarde, om de maatregel een positief effect te laten hebben op de risicobehandeling (punt 2 in figuur 1 ). Een tekort aan risicomitigatie noemen we risk taking (punt 1) en het tegenovergestelde wordt risk averse (punt 3) genoemd.
Figuur 1. Kosten versus verwachtte schade
 
Risicomitigatie kan vervolgens plaatsvinden op verschillende elementen van de organisatie. De volgende twee benaderingen zijn daarvoor interessant:
• Threat – Incident – Damage – Recovery: Een dreiging wordt pas een incident als de kwaadaardige actor de preventieve maatregelen weet te omzeilen. Het incident kan vervolgens door detec tieve maatregelen worden gedetecteerd, en zo nodig – voordat het tot schade leidt door respres-sieve maatregelen – worden onderdrukt. Na scha de dient de organisatie te herstellen, en daarbij helpen correctieve maatregelen. Om de cirkel dan rond te maken, dienen evaluatieve maatregelen ervoor te zorgen dat dezelfde dreigingen zich niet meer voordoen. Een visuele weergave hiervan is te zien in figuur 2. Zie overigens dat deze redelijk overeenkomen met de eerder genoemde preven-tie, detectie en respons.
 
Figuur 2. Een methodiek van risicomitigatie
 
• ‘Kill chain’-model1: Een andere methodiek om te bepalen waar risicomitigatie plaats kan vinden, is het ‘kill chain’-model. Dit model is ontwikkeld door Lockheed Martin en focust zich op de verschillende stappen die een indringer neemt om een aanval uit te voeren. In hun onderzoek onderscheiden de auteurs de volgende zeven stappen in het aanvallersproces: reconnaissance, weaponization, delivery, exploitation, installation, command & control en actions on objectives . Elk van deze aanvallersstappen kan worden bestreden op verschillende manieren. De auteurs onderschei den de volgende manieren: detect, deny, disrupt, degrade, deceive en destroy. Conceptueel hebben ook deze manieren veel weg van preventie, detec-tie en respons. Deze methodiek geeft veel inzicht in het op een juiste manier stoppen van een aanvaller en kan er tevens toe leiden dat een organisatie veel volwassener omgaat met IT risico’s: van reactief naar preventief of zelfs adaptief. Hun werk is echt het lezen waard!
Risicomonitoring
Een laatste, maar niet minder belangrijk proces in risicomanagement is het monitoren van risico’s. Enerzijds gaat dat over het monitoren van de risicobehandeling, maar anderzijds gaat dat over het blijven identificeren van nieuwe risico’s en het herevalueren van geïdentificeerde risico’s.
Om deze beide taken effectief uit te voeren is het van belang om rollen en verantwoordelijkheden in een organisatie goed te beleggen. Vervolgens dienen rapportagelijnen in de organisatie – met bijbehorende aggregaties – van operationeel via tactisch naar strategisch ervoor te zorgen dat deze risicomonitoring effectief verloopt en dat er effectief gestuurd kan worden op risicomanagement en IT-beveiliging.
Alternatieve methode risicoanalyse
Nu dat we de basis hebben besproken van risico-management zoals dat op dit moment vaak plaatsvindt, is het tijd om te kijken naar een alter-natief. Het alternatief vervangt het proces van risicoanalyse zoals dat hierboven is besproken. De reden hiervoor is dat niet alle systemen zich even goed lenen voor de klassieke indeling van risico in kans en impact. Naast dat het ontzettend lastig is om deze twee te kwantificeren, zijn er ook systemen waarbij er vanuit moet worden gegaan dat er iemand is die het wil aanvallen. Dit maakt het inschatten van de kans-factor direct een stap ingewikkelder. En misschien nog wel belangrijker: wat zegt een kans-factor nu precies? Hoe kan je precies sturen op het beheersen van die risico’s op basis van een kans-factor die zeer lastig in te schatten is? Hoe beheers je een risico met een lage kans, op een systeem dat absoluut niet vatbaar mag zijn voor een bepaald risico (denk bijvoorbeeld aan stemmanipulatie in een internetverkie-zing).
Mijn voorstel voor een alternatief van risicoana-lyse bestaat wederom uit twee factoren. Enerzijds de al bekende impact, en anderzijds de verwachte te maken kosten voor een actor om de aanval uit te voeren. Niet alleen de tweede factor is nieuw, maar ook de eerste factor heeft een ver-nieuwend karakter. De impact hoeft niet puur geschat te worden als financiële impact, maar kan ook resulteren in minder tastbare impact, zoals bijvoorbeeld het aantal gemanipuleerde stemmen bij verkiezingen, als in de casestudy die ik later behandel.
Aanvallerskosten
De verwachte te maken kosten is een geheel nieuwe factor en behoeft wat meer uitleg. Om een kwetsbaarheid te misbruiken, dient een aanvaller verschillende stappen te ondernemen om zijn doel te bereiken. Een verzameling van dit soort stappen en alternatieve stappen kan worden geplot in een zogenaamde ‘attack tree’. 2 Deze geeft inzicht in de verschillende aanvalspaden die een aanvaller kan nemen om een systeem scha-de te berokkenen. Een attack tree heeft als basis het bereiken van een bepaalde impact voor een aanvaller, en kan per aanvalspad één of meerdere kwetsbaarheden bevatten. Elk van de stappen in zo’n aanvalspad kan enerzijds tijd en kwaliteit van een aanvaller met zich meebrengen, ander-zijds kan zo’n stap ook een financiële component bevatten. Denk bijvoorbeeld aan het uitvoeren van een DDoS-aanval op een IT-systeem (het overbe - lasten van een systeem of netwerk). Het aanvals-pad kan dan bijvoorbeeld het kopen/huren van een botnet bevatten als één van de stappen.
Voor veel van deze aanvallersstappen is er in de digitale ondergrondse economie hulp te vinden. Je kunt dit beschouwen als een Marktplaats of eBay, maar dan voor allerlei producten en diensten in de digitale onderwereld. Zo worden virussen en onderdelen van virussen (bijvoorbeeld exploits of beter, zero-days) verhandeld. Ook lijsten met e-mailadressen, telefoonnummers, creditcard-gegevens, wachtwoorden en NAW-gegevens worden voor zeer lage bedragen van hand tot hand gedaan. Interessanter echter is dat er ook DDoS-diensten worden aangeboden. Hiervoor worden eerder gehackte computers gebruikt die als een service worden aangeboden aan kopers op dit soort marktplaatsen. Nog interessanter wordt het wanneer deze computers als zogenaamde ‘pay per install’ (PPI)-computers worden aangeboden. De koper krijgt dan de mogelijkheid om zijn eigen gemaakte virus te uploaden naar eerder gehackte computers, en deze daar te mogen uitvoeren. Het kan dus zo zijn dat één van onze computers in zo’n botnet zit, waar jan en alleman voor ontzettend lage bedragen hun virussen op mogen loslaten! Figuur 3 laat een tabel zien van kosten zoals die in de ondergrond gelden (gebaseerd op eigen onderzoek en literatuuronderzoek). Daar kun je zien dat duizend Europese computers in een PPI-setting maar 100 dollar kosten. Ook kun nen consulting services worden afgenomen voor 350-400 dollar per dagdeel, en kunnen er allerlei andere bijzondere services en diensten worden afgenomen.
 
Figuur 3. Overzicht kosten in de digitale onderwereld
 
De door mij bedachte risicoanalysetechniek werkt grofweg als volgt: door de aanval met die aanvalspaden te ‘decoreren’ met de kosten zoals in figuur 3, kunnen we de kosten voor een aanvaller berekenen voor dat aanvalspad. Een voorbeeld hiervan is te vinden in figuur 4, waarbij de kosten worden berekend van het stelen van klantdata. De verschillende stappen worden uiteengezet en opgesplitst in substappen die uiteindelijk vertaald kunnen worden in kosten.
Figuur 4. Kosten van het stelen van klantdata voor een aanvaller

Na de kosten voor een aanval in dit soort paden uiteengezet te hebben, kan er gekeken worden naar de goedkoopste aanval. Een gemotiveerde en capabele aanvaller zal hoogstwaarschijnlijk eenzelfde (impliciete) analyse maken om uit te zoeken hoe hij de aanval in zal zetten. Na de verschillende aanvallersdoelen uiteen te hebben gezet in attack trees, en deze te hebben gedecoreerd met kosten, kan het risico bepaald worden aan de hand van een actor-analyse: zijn er actoren die deze kosten (en het potentiële risico om te worden ontdekt) over hebben voor het te bereiken aanvallersdoel?
Conclusie
In dit artikel heb ik een alternatieve methode voor risicoanalyse gepresenteerd die het mogelijk maakt om risico’s uit te drukken in kosten voor een aanvaller. Dit is een alternatief voor een risicoanalysemethodiek die de kans en impact van een risico vermenigvuldigen voor een verwacht verlies per tijdseenheid. Eén van de redenen voor een alternatief is dat het niet altijd evident is hoe de kans- en impactfactoren moet worden bepaald, als dat al mogelijk is. Dit artikel sloot af met een voorbeeld van het Estse internetstemsysteem, waar met behulp van deze methodiek berekend is wat het een aanval zou kosten om één zetel te bemachtigen via stemmanipulatie (37.000 dollar). Deze risicoanalysemethodiek is zeker niet perfect, en is ook zeker niet toepasbaar in alle situaties, maar biedt een interessant alternatief om risico’s voor informatiebeveiliging te schatten en te beoordelen.
 
Casestudy Estland
Een concrete toepassing van deze methode van risicoanalyse is internetstemmen. Voor internetstemmen geldt dat het uitvoeren van een traditionele methode van risicomanagement om meerdere redenen niet effectief is. Dit is onder andere gebaseerd op de eerder genoemde argumenten voor het bieden van een alternatief voor risicoanalyse, maar wordt ook ondersteund door de verschillende waarborgen die zijn gekoppeld aan internetstemmen. In Nederland bijvoorbeeld, heeft de Commissie Korthals-Altes zich gebogen over wat wij als Nederlanders mogen verwachten van een stemsysteem. Deze waarborgen zijn niet specifiek gericht op internetstemmen, maar lenen zich evengoed voor deze toepassing: transparantie, controleerbaarheid, integriteit, kiesgerechtigheid, stemvrijheid, stemgeheim, uniciteit en toegankelijkheid.
Het probleem met deze waarborgen is dat ze zich lastig laten kwantificeren, wat het op zijn beurt weer lastig maakt om er effectief risicomanagement op uit te voeren. Hoe verhoudt een bepaalde implementatieparameter zich bijvoorbeeld tot de transparantie van een internetstem-systeem? Of hoe beïnvloedt het aantal geboden stem dagen voor internetstemmen de vertrouwelijkheid van stemmen?
Voor Nederland lijkt dit ver weg, maar in Estland stemt men al sinds 2006 via het internet, ook voor landelijk ver - kiezingen. In Nederland laait bij vlagen de discussie om dat ook hier in te voeren weer op, wat onvermijdelijk leidt tot het impliciet discussiëren over de (implicaties van de) waarborgen. Risicoanalyse zoals beschreven in dit artikel kan dan een uitkomst bieden in het kwantificeren van deze waarborgen.
Voor mijn masterscriptie heb ik onderzoek gedaan naar de kwantificatie van deze waarborgen in het Estse stemsy - steem. Kort samengevat heb ik gekeken naar bestaande aan valspaden in zulke internetstemapplicaties, en heb ik deze geanalyseerd met behulp van mijn risicoanalysemethodiek. Het meest sprekende voorbeeld hiervan is de manipulatie van stemmen. De aanval werkt grofweg als volgt (en is als proof-of-concept al uitgevoerd): ruim voor de verkiezin-gen worden zoveel mogelijk computers in Estland besmet met ‘slapende’ virussen die wachten tot iemand de inter-netstemapplicatie installeert. Het virus grijpt dan in, en vervangt de stemapplicatie door een valse versie, die een verkeerde stem doorstuurt naar de stemcomputers. Om ervoor te zorgen dat de verificatiestap die een stemmer kan uitvoeren via zijn mobiele telefoon de aanval niet verraadt, manipuleert de valse versie van de stemappli-catie deze verificatiestap door de stem van een andere kiezer aan de mobiele telefoon door te sturen. Met behulp van de alternatieve methode voor risicoanalyse heb ik berekend dat dit een aanvaller ongeveer 37.000 dollar kost per zetel in het Estse parlement (figuur 5). Dat betekent dat de waarborg integriteit wordt geschonden voor 37.000 dollar per zetel. Andere waarborgen, zoals het stemgeheim en toegankelijkheid heb ik ook doorgerekend, en die blijken nog goedkoper te doorbreken: res-pectievelijk 3.000 dollar voor het publiceren van de stem van één kiezer per uur, en 8,000 dollar voor het platleg - gen van het internetstemsysteem voor één week.
Figuur 5. Kosten manipulatie van stemmen
 
 
Ruud Verbij (mail@ruudverbij.nl) werkt bij KPMG als professioneel hacker, waar hij klanten adviseert over beveiliging.
Referenties
[1] Hutchins, E. M., M.J. Cloppert & R. M. Amin (2011). Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. Leading Issues in Information Warfare & Security Research 1 (2011), 80.
[2] Schneier, B. (1999). Attack trees. Dr. Dobb’s journal, 24.12, 21-29.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag