Vad är speciellt med IT-säkerhet?

(1)

Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1

SWEDISH CERTIFICATION BODY FOR IT SECURITY

Assurans – Ett mått på tillit till IT-säkerhet i produkter och system

Dag Ströman, Mats Ohlin

Agenda

• Begreppet ”säkerhet”

• Behovet av en standard för säkerhet i IT-produkter

• Common Criteria – En introduktion

• CSEC – Sveriges Certifieringsorgan för IT-Säkerhet

• Summering

Vad betyder egentligen ”säkerhet”?

• Bonniers: Skydd, Trygghet

• Websters: ”Freedom from threats”

Säkerhet:

• Frihet från hot

• Frihet från hot mot tillgångar

• Tillräcklig frihet från hot mot tillgångar

Säkerhet - en balans mellan risk & kostnad

Kostnader Skyddsnivå %

§ ?

0 20 40 60 80 100

120 ~Kvarstående risk

100 % Säkerhet kan inte uppnås(!)

SWEDISH CERTIFICATION BODY

Agenda

• Summering

Today we use operating systems

that don’t need hackers,

they fall apart all by themselves

Peter Neumann, SRI at NASA Seminar 23^rdof March 2000

(2)

Vad är speciellt med IT-säkerhet?

IT-Säkerhetsområdet kännetecknas av två speciella förhållanden:

Komplexheten gör det svårt att påvisa icke-existens av svagheter som kan utnyttjas för en attack.

– Test av existens är *mycket* lättare…

Antagandet om ett aktivt, sökande intellekt som strävar efter att hitta lämplig exploaterbar svaghet.

– Angriparen har ofta mer tid än utvecklaren/försvararen…

Användarnas behov

Användarna behöver kunna möta hot och genomföra riskanalys.

1. Funktionskrav

• Säkerhetsfunktioner som kan realisera policy 2. Assuranskrav

• Behov av tilltro till att säkerhetsfunktionerna har tillräcklig motståndskraft för att möta identifierade hot

Angreppssätt

Isolering av “opålitade”

komponenter alternativt hela system?

Omfattande driftkontroll?

Granskning av konstruktion och implementering av komponenter och system?

Svårt att åstadkomma;

Kräver “säkert “OS”

Ingen extern kommunikation

Övervakning, IDS Mycket mer loggning Fördjupad personalkontroll Snabb åtgärd vid upptäckta svagheter

Säkerhetsevaluering Personalintensivt

Nytt Allt mindre rimligt

Agenda

• Summering

Vad är Common Critera?

• Internationell standard för kravställning, deklaration och evaluering av IT- säkerhet i produkter och system.

• Resultatet av ett omfattande, flerårigt internationellt samarbete mellan försvars- och säkerhetsmyndigheter

– USA, Storbritannien, Tyskland, Frankrike, Nederländerna, Australien i nära samarbete med ISO/IEC JTC 1/SC 27 [IT Security]

• Fokuserar kring behovet av skydd mot hot från mänskliga aktörer.

– sekretess, korrekthet/okränkbarhet och tillgänglighet – avsiktliga eller oavsiktliga

– såväl hård- som mjukvara

• Evaluering genomförs av oberoende evalueringsföretag, vars resultat godkänns av certifieringsorganet

– Evalueringsföretag och deras personal licensieras av certifieringsorganet

• Evaluering kan genomföras med varierande noggrannhet – Assuransnivåer 1 – 7 (Evaluation Assurance Levels) – Val av nivå beror på skyddsvärde, hotbild och tillgänglig budget – Kostnaden är beroende av objektets komplexitet samt önskad assuransnivå

CC Huvuddokument

• Del 1 - Introduktion och grundläggande modell

• Del 2 - Funktionella säkerhetskrav

• Del 3 - Assuranskrav

• CEM - Granskningsmetodik

(3)

CC del 1: Säkerhetskoncept

Tillgångar Användare värderar

Hot

^skapar

Fara

för

Evaluering leder till Assurans ett mått på

Skydds- åtgärder

behöver

Tillit

faktiskt reducerar

till att

CC del 1: Begrepp

• PP - Protection Profile (Skyddsprofil)

– Spec. av generella funktions- och assuranskrav för en typ av produkter som uppfyller givna behov.

• ST - Security Target (Evalueringsmål)

– Spec. av funktions- och assuranskrav för specifik produkt.

– Användas som grund för evaluering av produkt.

– Kan utnyttja PP som grund.

• TOE - Target of evaluation (Evalueringsobjekt)

– Produkt/system med dokumentation som är föremål för evaluering.

– Kan omfatta hela, eller delar av, en produkt/system.

Relation mellan PP och ST

Jag behöver

Jag tillhanda- håller

Protection Profile

Security Target

CC del 2: Funktionella säkerhetskrav

• Identifiering/autenticering

• Användarintegritet

• Skydd av användardata

• Resursutnyttjande

• Skydd av säkerhetsfunktioner

• Kommunikation

• Kontroll av sessionsetablering

• Kontroll av identiteter vid kommunikation

• Kryptografiskt stöd

• Logghantering

• Administration av säkerhetsfunktioner

Verktygslåda för att kunna uttrycka krav på säkerhetsfunktionalitet

CC del 3: Assuranskrav

• CM-hantering

• Leverans, installation, uppstart

• Utveckling (metoder, funktion, design, implementation)

• Användardokumentation

• ”Life cycle support”

• Tester

• Sårbarhetsanalys

Verktygslåda för att kunna uttrycka dokumentations- och granskningskrav

Grundsyn Evaluering

Evaluering:

• syftar till att eliminera/förhindra uppkomst av exploaterbara svagheter

• det finns alltid en kvarstående risk - 100% säkerhet finns inte.

• Mer är bättre; stigande skala med ökande krav.

Mål:

• Effektiv metod för att till given kostnad hitta så många svagheter som möjligt

• Utifrån antagandet att angriparen gör samma analys i attacksyfte:

• Försvåra/fördyra hans uppgift.

Långsiktigt mål:

• Se till att användarna i samverkan talar om vad som önskas!

• Se till att utvecklaren gör rätt från början!

(4)

Evaluering – Metoder för att etablera tillit

Analys av processer och procedurer

Kontroll av att processer och procedurer används Analys av designen mot kraven Analys av korrespondensen mellan olika designsteg Verifiering av matematisk/formell modell

Analys av

användardokumentation Analys av funktionella tester och testresultat

Oberoende funktionell testning Sårbarhetsanalys

Penetrationstest

Används i ökande omfattning med ökande assuransnivå

CC Assuransnivåer

Intresserad användare EAL2

Nyfiken användare EAL1

Erfaren användare EAL3

Hacker eller programmerare EAL4

Kvalificerad programmerare EAL5

Främmande makt EAL6

Fientligt sinnad konstruktör EAL7

Skydd mot: Sponsors/utvecklares kostnad, tid och egen insats

Assuransklasser, familjer, komponenter

Assurance components by EAL Assurance class Assurance family

1 2 3 4 5 6 7

CM automation 1 1 2 2

CM capabilities 1 2 3 4 4 5 5

Configuration management

CM scope 1 2 3 3 3

Delivery 1 1 2 2 2 3

Delivery and operation

Installation, generation and startup

1 1 1 1 1 1 1

Functional specification 1 1 1 2 3 3 4

High level design 1 2 2 3 4 5

Implementation representation 1 2 3 3

TSF internals 1 2 3

Low level design 1 1 2 2

Representation correspondence 1 1 1 1 2 2 3

Development

Security policy modelling 1 3 3 3

Administrator guidance 1 1 1 1 1 1 1

Guidance documents

User guidance 1 1 1 1 1 1 1

Development security 1 1 1 2 2

Flaw remediation

Life cycle definition 1 2 2 3

Life cycle support

Tools and techniques 1 2 3 3

Coverage 1 2 2 2 3 3

Depth 1 1 2 2 3

Functional tests 1 1 1 1 2 2

Tests

Independent testing 1 2 2 2 2 2 3

Covert channel analysis 1 2 2

Misuse 1 2 2 3 3

Strength of TOE security functions

1 1 1 1 1 1

Vulnerability assessment

Vulnerability analysis 1 1 2 3 4 4 Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1

Utvecklingen sedan 2000

Antal ITSEF

0 10 20 30 40 50

1900 1900 1900 1900 1900 1900 Årtal

Series1

Antal certifikat

0 100 200 300 400

1 2 3 4 5 6

Årtal

Series1

2000 2001 2002 2003 2004 2005 2000 2001 2002 2003 2004 2005

Agenda

• Summering

CBs huvuduppgifter

• Licensiera ITSEF

• Tillsyn av ITSEFs verksamhet

• Ge utbildning och stöd till ITSEF

• Underhålla och utveckla schemat

• Tillse att schemats regler följs

• Utöva tillsyn av evalueringar

• Granska evalueringsrapporter

• Skriva certifieringsrapporter

• Utfärda certifikat

• Publicera lista på certifierade produkter

• Delta i internationellt samarbetet:

– Tolkningar – Standardutveckling

• Marknadsföra CC

(5)

Certifieringsordningen - en översikt

CSEC

Agenda

• Summering

Assurans ger ett mått på tillit till IT-säkerhet

• Assurans specificeras i sju nivåer, EAL 1 – EAL 7

• Erhålles genom att i ökande grad

– ställa krav på hur produkten designats och implementerats.

– granska allt större delar av produkt och dokumentation allt djupare gentemot anspråk angivna i ST.

• Granskning genomförs av oberoende evalueringsföretag

”Assurance is the degree of warm fuzziness you feel that the product does what it says it does.”

Mary Ann Davidson, Oracle Corp.’s chief security officer

Ett CC-Certifikat med rapport anger

• Vilka skyddsfunktioner som produkten har

• Vilka hot som möts

• Hur starkt skyddet påstås vara (inkl. krypto)

• Hur noggrant produkten granskats (dvs EAL-nivå)

• Vad som förväntas av omgivningen för att produkten skall uppnå den angivna nivån av säkerhet

• Under vilka övriga antaganden utvärderingen genomförts

Tack för uppmärksamheten!

Mer info:

http://www.csec.se

http://www.commoncriteriaportal.org