Zinvol gebruik van security metrics

Aanleiding

Een ideale maatregel om winkeldiefstal te voorkomen, is de winkel te sluiten. Het nadeel daarvan is dat er ook niet veel verdiend wordt. Het is dan ook onontkoombaar dat een ondernemer risico's moet nemen om zaken te doen. Het is de kunst om maatregelen te nemen waardoor deze risico's acceptabel blijven.

Bij het verhogen van een beveiligingsniveau heb je vaak keuze uit tal van mogelijkheden. Elke oplossing heeft zijn eigen kostenplaatje en zijn eigen beveiligingskarakteristieken. Dat maakt het vaak lastig om een effectieve of efficiënte keuze te maken.

Incidenten, audits en penetratietests brengen tekortkomingen in de beveiliging aan het licht. Dit is vaak een aanleiding om nieuwe security producten aan te schaffen. Omdat zo’n aanleiding vaak in één keer meerdere tekortkomingen blootlegt, moet u keuzes maken. Welke oplossing is het meest effectief? En welke het meest efficiënt?

Om te voorspellen hoeveel de beveiliging toeneemt als er voor een bepaalde oplossing wordt gekozen, druk je het beveiligingsniveau van de startsituatie uit in een getal. Daarna bepaal je per oplossings-alternatief hoeveel die waarde wijzigt. De meest effectieve maatregel of combinatie van maatregelen is dan bekend. Als de geraamde kosten per alternatief bekend zijn, kan ook bepaald worden welk alternatief de meeste veiligheid per euro oplevert.

Een methode om dit te bereiken, wordt hier beschreven.

De methode in hoofdlijnen

De methode is simpel. Eerst breng je de “porositeit” in kaart. Dit zijn risico’s die een ondernemer moet nemen om überhaupt zaken te kunnen doen, zoals een open voordeur van een winkel. Deze risico's verlagen het veiligheidsniveau. Vervolgens inventariseer je de beveiligingsmaatregelen. Deze verhogen het veiligheidsniveau. Tenslotte beoordeel je of de beveiligingsmaatregelen goed zijn geïmplementeerd. Onjuiste implementatie verlaagt het veiligheidsniveau opnieuw, maar dit keer is dat niet een noodzakelijk ondernemersrisico.

Als alle zaken zijn geïnventariseerd, dan zet je de porositeit, de maatregelen en implementatiefouten om in beveiligingskenmerken. Je telt hoe vaak bepaalde kenmerken voorkomen en gaat berekeningen uitvoeren met deze aantallen. Het resultaat van die berekening is een getal dat iets vertelt over de weerstand die het onderzochte voorwerp heeft tegen mogelijke bedreigingen.

Vervolgens bepaal je de beveiligingskenmerken van de verschillende producten die je op het oog hebt om de beveiliging te verhogen. Door deze kenmerken mee te tellen, kun de verbeterde weerstand tegen bedreigingen berekenen.

Porositeit

Er zijn drie dingen die noodzakelijk zijn om zaken te kunnen doen en die risico's introduceren: zichtbaarheid, toegang en vertrouwen.

Als iemand onzichtbaar of onvindbaar is, zal hij weinig zaken doen. Maar zichtbaarheid schept ook gelegenheid voor oplichters en criminelen om zich aan jouw werk te verrijken.

Je moet ook toegankelijk zijn zodat klanten producten of diensten kunnen afnemen. Hoe meer toegangen er zijn, hoe meer mogelijkheden er ook zijn om misbruik te maken. De toegang hoeft geen fysieke toegang zoals een deur of een raam te zijn. Een website, e-mail, telefoon en zelfs de ouderwetse brievenbus maken het bedrijf toegankelijk.

En stroom uit het stopcontact is zo vanzelfsprekend, dat je er nauwelijks over nadenkt wat de gevolgen zijn als de levering van stroom langere tijd stagneert. Maar wat nu als stroom, water-voorziening, internet of telefonie een paar dagen niet beschikbaar is? Of een paar weken? Zou je bedrijf dat overleven? Het vertrouwen op vanzelfsprekende zaken gaat gepaard met het nemen van risico's die je maar beter kunt beperken.

Zo'n risico geldt voor het bedrijf als geheel, maar ook voor afzonderlijke onderdelen zoals bv.: het magazijn, het klantenregister, de website, het e-mail systeem, kennissystemen, voorraadbeheer etc.

Vertaling van controls en kwetsbaarheden in metrics

Als je het goed doet, dan vullen beveiligingsmaatregelen elkaar aan. Als bv. door een inbraak blijkt dat één slot onvoldoende is, dan zijn veel mensen geneigd een complexer slot of twee of drie sloten aan te brengen. Het zal blijken dat dit niet veel zoden aan de dijk zet. Als iemand beschikt over de juiste kennis, gereedschappen en vaardigheden, dan kan elk slot opengemaakt worden zonder dat je de sleutel hebt. De enige bescherming die een slot biedt, is dat het de aanval vertraagt. Dat is alles. Complexere sloten of meer sloten kosten meer tijd, maar ook ide gaan gewoon open.

Van de vertraging kun je het best gebruik maken door een andere beveiligingsmaatregel in te zetten: monitoring. Als een slot een vertraging van 4 uur veroorzaakt en je doet elke 3 uur een patrouille, dan loopt de aanvaller tegen de lamp. Voor een succesvolle aanval is het dan nodig dat de aanvaller anticipeert op de patrouille en zijn “werkplek” kan verlaten zonder sporen na te laten.

Er zijn twee hoofdcategorieën van maatregelen. De operationele maatregelen bieden bescherming tijdens de interactie. Een slot, een vraag naar een wachtwoord of een firewall houdt je tegen, tenzij je over de juiste sleutel, wachtwoord of eigenschappen beschikt. De procesmaatregelen bieden beschermen na de interactie. Beelden van bewakingscamera's kunnen ook na het beveiligingsincident inzicht verschaffen of helpen daders te identificeren; encryptie beschermt de gestolen gegevens nog lange tijd na de diefstal, etc. Er worden tien verschillende maatregelen onderscheiden; vijf operationele en vijf procesmaatregelen.

Van elke control wordt bepaald op welke manier deze bijdraagt tot de bescherming. Vaak is dat niet op één manier, maar is er sprake van een combinatie van verschillende categorieën. Deze aantallen worden later gebruikt bij de berekening. Hiermee neemt het veiligheidsniveau altijd toe.

Er is nog iets wat je goed moet doen. Als je een degelijk slot op de deur hebt zitten, maar je kunt de scharnieren er eenvoudig uittikken, dan kan iemand de deur best snel open hebben. Als je een elektronisch apparaat koopt en je vervangt de standaard pincode 0000 of wachtwoord Welkom01 niet, dan kunnen anderen nog steeds eenvoudig bij jouw gegevens komen. Dergelijke configuratie- en implementatiefouten gaan ten koste van het veiligheidsniveau. En deze risico's zijn niet noodzakelijk om te nemen.

Ook hier wordt van elke kwetsbaarheid bepaald tot welke manier deze de bescherming vermindert. Vaak is dat op één manier, maar een enkele keer is er sprake van een combinatie van verschillende categorieën. Deze aantallen worden later gebruikt bij de berekening. Met kwetsbaarheden neemt het veiligheidsniveau altijd af.

Bereken resultaat voor huidige en nieuwe situatie

Alle elementen van porositeit, controls en kwetsbaarheden die in de vorige fasen zijn verzameld, worden ingevoerd in een spreadsheet (je kunt deze spreadsheet zelf downloaden van www.isecom.org/mirror/rav_calc_OSSTMM3.xls). Via een reeks formules wordt bepaald wat het beveiligingsniveau is. Bij de berekening wordt rekening gehouden met de variëteit van de maatregelen. Twee sloten scoort iets beter dan één slot, maar niet zo goed als één slot met monitoring.

Het resultaat levert een getal op. Dit getal wordt de rav genoemd (risk assessment value). Deze rav is een maat voor de robuustheid en weerstand tegen willekeurige aanvallen, maar zegt niets over de weerstand van een specifieke bedreiging. Net zoals een goede gezondheid jou bescherming biedt tegen een verscheidenheid van bedreigingen, is de goede gezondheid geen garantie dat je helemaal niet getroffen kunt worden door ziektes of ongevallen. Maar hoe beter je gezondheid is, hoe beter ook jouw weerstand is en hoe minder kans je loopt op narigheid.

Als de rav 100 bedraagt, dan noemen we dat "perfect security". Er is dan een optimale balans tussen de bedreigingen enerzijds en de getroffen maatregelen anderzijds. Als de rav meer dan 100 bedraagt, dan is er geld verspild. Het is een situatie waarbij er al perfect security bereikt was en er toch nog geld is besteed aan aanvullende maatregelen. Maar meestal ligt de rav lager dan 100.

De schaal van de rav is logaritmisch. Sommige mensen begrijpen hierdoor niet dan een rav van 80 helemaal niet zo goed is. De waarde 80 ligt dichter bij het schoolcijfer 6 dan bij de 8.

Bereken resultaat voor nieuwe alternatieven

De elementen die de nieuwe beveiligingsmaatregelen bieden, worden toegevoegd aan de controls in een spreadsheet. Dit levert bijna altijd een rav op die hoger ligt dan de startwaarde. Dat moet wel, want je implementeert de maatregel natuurlijk foutloos en dan introduceer je geen nieuwe kwetsbaarheden.

Soms levert een beveiligingsmaatregel toch een lagere rav. Dat komt omdat de beveiligingsmaatregel zelf ook aangevallen kan worden en daarmee het aanvalsoppervlak of porositeit vergroot. Als dat optreedt, dan is de voorgenomen maatregel niet zo geschikt. Je geeft geld uit en houdt met een lager beveiligingsniveau over dan waar je mee begon.

Bepalen van meest effectieve of efficiente oplossing

Van alle alternatieve oplossingen en combinaties daarvan kun je nu de rav bepalen. Het alternatief of combinatie met de hoogste rav levert de meeste beveiliging. Zolang de rav niet boven de 100 komt, is dit de meest effectieve maatregel.

Je kunt ook de rav van alle alternatieven en combinaties bepalen en die relateren aan de kosten. Op die manier kun je bepalen welk oplossing of combinatie de meeste beveiliging per euro oplevert. Je zult zien dat twee verschillende oplossingen heel vaak meer veiligheid toevoegen dan één enkele. Zelfs als de totale prijs van die twee lager is dan van die ene hele mooie.

Meer informatie

In dit artikel is nog maar een tipje van de sluier opgelicht. Je weet nu wat je aan deze security metrics hebt en hoe je deze zinvol kunt gebruiken. Als je er meer over wilt weten, dan vind je informatie op www.osstmm.org. De documenten die je daar vindt, kun je kosteloos downloaden. Bereid je er op voor dat deze documenten in de Engelse taal zijn geschreven en niet altijd even eenvoudig te lezen.

Versie 3 is de huidige versie, versie 4 is het concept voor de volgende versie.