Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Assurans – Ett mått på tillit till IT-säkerhet i produkter och system
Dag Ströman, Mats Ohlin
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Agenda
• Begreppet ”säkerhet”
• Behovet av en standard för säkerhet i IT-produkter
• Common Criteria – En introduktion
• CSEC – Sveriges Certifieringsorgan för IT-Säkerhet
• Summering
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Vad betyder egentligen ”säkerhet”?
• Bonniers: Skydd, Trygghet
• Websters: ”Freedom from threats”
Säkerhet:
• Frihet från hot
• Frihet från hot mot tillgångar
• Tillräcklig frihet från hot mot tillgångar
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Säkerhet - en balans mellan risk & kostnad
Kostnader Skyddsnivå %
§ ?
0 20 40 60 80 100
120 ~Kvarstående risk
100 % Säkerhet kan inte uppnås(!)
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY
Agenda
• Begreppet ”säkerhet”
• Behovet av en standard för säkerhet i IT-produkter
• Common Criteria – En introduktion
• CSEC – Sveriges Certifieringsorgan för IT-Säkerhet
• Summering
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY
Today we use operating systems
that don’t need hackers,
they fall apart all by themselves
Peter Neumann, SRI at NASA Seminar 23rdof March 2000
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Vad är speciellt med IT-säkerhet?
IT-Säkerhetsområdet kännetecknas av två speciella förhållanden:
Komplexheten gör det svårt att påvisa icke-existens av svagheter som kan utnyttjas för en attack.
– Test av existens är *mycket* lättare…
Antagandet om ett aktivt, sökande intellekt som strävar efter att hitta lämplig exploaterbar svaghet.
– Angriparen har ofta mer tid än utvecklaren/försvararen…
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Användarnas behov
Användarna behöver kunna möta hot och genomföra riskanalys.
1. Funktionskrav
• Säkerhetsfunktioner som kan realisera policy 2. Assuranskrav
• Behov av tilltro till att säkerhetsfunktionerna har tillräcklig motståndskraft för att möta identifierade hot
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Angreppssätt
Isolering av “opålitade”
komponenter alternativt hela system?
Omfattande driftkontroll?
Granskning av konstruktion och implementering av komponenter och system?
Svårt att åstadkomma;
Kräver “säkert “OS”
Ingen extern kommunikation
Övervakning, IDS Mycket mer loggning Fördjupad personalkontroll Snabb åtgärd vid upptäckta svagheter
Säkerhetsevaluering Personalintensivt
Nytt Allt mindre rimligt
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Agenda
• Begreppet ”säkerhet”
• Behovet av en standard för säkerhet i IT-produkter
• Common Criteria – En introduktion
• CSEC – Sveriges Certifieringsorgan för IT-Säkerhet
• Summering
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Vad är Common Critera?
• Internationell standard för kravställning, deklaration och evaluering av IT- säkerhet i produkter och system.
• Resultatet av ett omfattande, flerårigt internationellt samarbete mellan försvars- och säkerhetsmyndigheter
– USA, Storbritannien, Tyskland, Frankrike, Nederländerna, Australien i nära samarbete med ISO/IEC JTC 1/SC 27 [IT Security]
• Fokuserar kring behovet av skydd mot hot från mänskliga aktörer.
– sekretess, korrekthet/okränkbarhet och tillgänglighet – avsiktliga eller oavsiktliga
– såväl hård- som mjukvara
• Evaluering genomförs av oberoende evalueringsföretag, vars resultat godkänns av certifieringsorganet
– Evalueringsföretag och deras personal licensieras av certifieringsorganet
• Evaluering kan genomföras med varierande noggrannhet – Assuransnivåer 1 – 7 (Evaluation Assurance Levels) – Val av nivå beror på skyddsvärde, hotbild och tillgänglig budget – Kostnaden är beroende av objektets komplexitet samt önskad assuransnivå
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
CC Huvuddokument
• Del 1 - Introduktion och grundläggande modell
• Del 2 - Funktionella säkerhetskrav
• Del 3 - Assuranskrav
• CEM - Granskningsmetodik
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
CC del 1: Säkerhetskoncept
Tillgångar Användare värderar
Hot
skaparFara
för
Evaluering leder till Assurans ett mått på
Skydds- åtgärder
behöver
Tillit
faktiskt reducerar
till att
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
CC del 1: Begrepp
• PP - Protection Profile (Skyddsprofil)
– Spec. av generella funktions- och assuranskrav för en typ av produkter som uppfyller givna behov.
• ST - Security Target (Evalueringsmål)
– Spec. av funktions- och assuranskrav för specifik produkt.
– Användas som grund för evaluering av produkt.
– Kan utnyttja PP som grund.
• TOE - Target of evaluation (Evalueringsobjekt)
– Produkt/system med dokumentation som är föremål för evaluering.
– Kan omfatta hela, eller delar av, en produkt/system.
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Relation mellan PP och ST
Jag behöver
Jag tillhanda- håller
Protection Profile
Security Target
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
CC del 2: Funktionella säkerhetskrav
• Identifiering/autenticering
• Användarintegritet
• Skydd av användardata
• Resursutnyttjande
• Skydd av säkerhetsfunktioner
• Kommunikation
• Kontroll av sessionsetablering
• Kontroll av identiteter vid kommunikation
• Kryptografiskt stöd
• Logghantering
• Administration av säkerhetsfunktioner
Verktygslåda för att kunna uttrycka krav på säkerhetsfunktionalitet
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY
CC del 3: Assuranskrav
• CM-hantering
• Leverans, installation, uppstart
• Utveckling (metoder, funktion, design, implementation)
• Användardokumentation
• ”Life cycle support”
• Tester
• Sårbarhetsanalys
Verktygslåda för att kunna uttrycka dokumentations- och granskningskrav
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY
Grundsyn Evaluering
Evaluering:
• syftar till att eliminera/förhindra uppkomst av exploaterbara svagheter
• det finns alltid en kvarstående risk - 100% säkerhet finns inte.
• Mer är bättre; stigande skala med ökande krav.
Mål:
• Effektiv metod för att till given kostnad hitta så många svagheter som möjligt
• Utifrån antagandet att angriparen gör samma analys i attacksyfte:
• Försvåra/fördyra hans uppgift.
Långsiktigt mål:
• Se till att användarna i samverkan talar om vad som önskas!
• Se till att utvecklaren gör rätt från början!
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Evaluering – Metoder för att etablera tillit
Analys av processer och procedurer
Kontroll av att processer och procedurer används Analys av designen mot kraven Analys av korrespondensen mellan olika designsteg Verifiering av matematisk/formell modell
Analys av
användardokumentation Analys av funktionella tester och testresultat
Oberoende funktionell testning Sårbarhetsanalys
Penetrationstest
Används i ökande omfattning med ökande assuransnivå
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
CC Assuransnivåer
Intresserad användare EAL2
Nyfiken användare EAL1
Erfaren användare EAL3
Hacker eller programmerare EAL4
Kvalificerad programmerare EAL5
Främmande makt EAL6
Fientligt sinnad konstruktör EAL7
Skydd mot: Sponsors/utvecklares kostnad, tid och egen insats
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Assuransklasser, familjer, komponenter
Assurance components by EAL Assurance class Assurance family
1 2 3 4 5 6 7
CM automation 1 1 2 2
CM capabilities 1 2 3 4 4 5 5
Configuration management
CM scope 1 2 3 3 3
Delivery 1 1 2 2 2 3
Delivery and operation
Installation, generation and startup
1 1 1 1 1 1 1
Functional specification 1 1 1 2 3 3 4
High level design 1 2 2 3 4 5
Implementation representation 1 2 3 3
TSF internals 1 2 3
Low level design 1 1 2 2
Representation correspondence 1 1 1 1 2 2 3
Development
Security policy modelling 1 3 3 3
Administrator guidance 1 1 1 1 1 1 1
Guidance documents
User guidance 1 1 1 1 1 1 1
Development security 1 1 1 2 2
Flaw remediation
Life cycle definition 1 2 2 3
Life cycle support
Tools and techniques 1 2 3 3
Coverage 1 2 2 2 3 3
Depth 1 1 2 2 3
Functional tests 1 1 1 1 2 2
Tests
Independent testing 1 2 2 2 2 2 3
Covert channel analysis 1 2 2
Misuse 1 2 2 3 3
Strength of TOE security functions
1 1 1 1 1 1
Vulnerability assessment
Vulnerability analysis 1 1 2 3 4 4 Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Utvecklingen sedan 2000
Antal ITSEF
0 10 20 30 40 50
1900 1900 1900 1900 1900 1900 Årtal
Series1
Antal certifikat
0 100 200 300 400
1 2 3 4 5 6
Årtal
Series1
2000 2001 2002 2003 2004 2005 2000 2001 2002 2003 2004 2005
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Agenda
• Begreppet ”säkerhet”
• Behovet av en standard för säkerhet i IT-produkter
• Common Criteria – En introduktion
• CSEC – Sveriges Certifieringsorgan för IT-Säkerhet
• Summering
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
CBs huvuduppgifter
• Licensiera ITSEF
• Tillsyn av ITSEFs verksamhet
• Ge utbildning och stöd till ITSEF
• Underhålla och utveckla schemat
• Tillse att schemats regler följs
• Utöva tillsyn av evalueringar
• Granska evalueringsrapporter
• Skriva certifieringsrapporter
• Utfärda certifikat
• Publicera lista på certifierade produkter
• Delta i internationellt samarbetet:
– Tolkningar – Standardutveckling
• Marknadsföra CC
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Certifieringsordningen - en översikt
CSEC
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Agenda
• Begreppet ”säkerhet”
• Behovet av en standard för säkerhet i IT-produkter
• Common Criteria – En introduktion
• CSEC – Sveriges Certifieringsorgan för IT-Säkerhet
• Summering
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Assurans ger ett mått på tillit till IT-säkerhet
• Assurans specificeras i sju nivåer, EAL 1 – EAL 7
• Erhålles genom att i ökande grad
– ställa krav på hur produkten designats och implementerats.
– granska allt större delar av produkt och dokumentation allt djupare gentemot anspråk angivna i ST.
• Granskning genomförs av oberoende evalueringsföretag
”Assurance is the degree of warm fuzziness you feel that the product does what it says it does.”
Mary Ann Davidson, Oracle Corp.’s chief security officer
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY FOR IT SECURITY
Ett CC-Certifikat med rapport anger
• Vilka skyddsfunktioner som produkten har
• Vilka hot som möts
• Hur starkt skyddet påstås vara (inkl. krypto)
• Hur noggrant produkten granskats (dvs EAL-nivå)
• Vad som förväntas av omgivningen för att produkten skall uppnå den angivna nivån av säkerhet
• Under vilka övriga antaganden utvärderingen genomförts
Försvarets Materielverk/CSEC 2005 Document ID CB-050 Issue 0.1
SWEDISH CERTIFICATION BODY
Tack för uppmärksamheten!
Mer info:
http://www.csec.se
http://www.commoncriteriaportal.org