Hot

Beskrivning

Arkitektur-perspektiv

Verksamhets-område

Publicerad / Version

Beskrivning

Arkitektur-perspektiv

Verksamhets-område

Publicerad / Version

Elementet “hot” är ett viktigt element i metamodell säkerhet och relaterar även till elementet “händelse” i metamodell verksamhet. Det är viktigt för alla organisationer att jobba aktivt med de hot som man kan utsättas för. På denna sida och dess undersidor finner du stöd och vägledning olika hot, hotaktörer, sårbarheter, attackmetoder, säkerhetsåtgärder och riskbedömning samt en del exempel.

Säkerhet

Alla

2023-10-31/170

 

Innehållsförteckning

Notera att det finns ett antal undersidor (i menypanelen till vänster) som fungerar som stöd och inspiration.


Inledning

Hot-, risk- och sårbarhetsanalyser utgör grunden för informationssäkerhetsarbetet. Hot och sårbarheter är något som alla organisationer måste analysera för att förstå riskerna som informationstillgångarna utsätts för.

Hot är ett element i metamodell säkerhet och vi beskriver nedan hur vi har valt att ta oss an utmaningen med att presentera en hotkatalog. Det är arbetsgruppens övertygelse att en hotkatalog behöver tas fram för respektive organisation och kommer att behöva uppdateras kontinuerligt. Huvudsyftet med sidan och dess undersidor är således att ge en ögonblicksbild över hotaktörer, risk, hot, attackmetoder, exempel m.m. för att bidra till medvetenhet och som stöd för ert arbete med hot-, risk- och sårbarhetsanalyser.

När man använder denna sida eller underliggande sidor som inspiration så kan det vara bra att detaljera och situationsanpassa de olika delar som vi har tagit upp för att uppnå bästa nytta och förståelse i den egna organisationen. Metamodell säkerhet är ett bra stöd för att säkerställa viktiga samband och att man inte missar något av de ingående elementen.

Sidans ansats relaterat till metamodell säkerhet

Utgångspunkten är som nämnt ovan elementet hot. Vi har vidare valt att även ta med och beröra elementen aktör, risk, sårbarhet och säkerhetsåtgärd för att åstadkomma ett större värde än att bara lista hot. Hotaktör är en instansiering av elementet aktör i metamodell verksamhet och har därmed en relation till elementet hot.

Relationen mellan elementen kan beskrivas som följer:
En hotaktör kan använda en attackmetod för att realisera ett hot (en incident) genom att utnyttja en sårbarhet. Ett hot kan också uppstå via tex. en naturkatastrof. För att analysera risken med en potentiell incident behöver sannolikheten att hotaktören lyckas realisera hotet, samt sannolikheten att incidenten orsakar den beskrivna konsekvensen bedömas. Risken kan sedan minskas genom att införa säkerhetsåtgärder som minskar sårbarheten eller mildrar konsekvenserna av en incident.

Ramverk, metoder och annat nyttigt

Arbete med IT- och informationssäkerhet ska i huvuddel utgå från standarder och andra dokumenterade erfarenheter. Här listas de informationskällor som utgjort grund för framtaget material på denna och underliggande sidor.

SS-ISO/IEC 27005:2022 (Annex A) - är en internationell standard som definierar riktlinjer och principer för att utföra riskhantering av informationssäkerhet inom en organisation. Standarden tillhör ISO/IEC 27000-serien, som är en samling av standarder för informationssäkerhet. Standarden är specifikt inriktad på att genomföra riskbedömningar och riskhantering inom området informationssäkerhet.

Exempel i tabellen nedan i kolumnen Hot.

 

SS-EN ISO/IEC 27002:2022 - är en svensk standard för informationssäkerhet, cybersäkerhet och integritetsskydd och dess kontroller. För att använda standarden krävs ett abonnemang via SiS Svenska Institutet för Standarder. Standarden ska användas för att fastställa och vidta säkerhetsåtgärder.

Refererande till tabell nedan exempel 1:

Via en insider finns hotet att åtkomst till känslig data ges till obehörig. Säkerhetsåtgärder som tillämpas här omfattar all teman såsom personrelaterade-, fysiska-, tekniska- och organisatoriska-åtgärder.

Säkerhetsåtgärden fokuserar på olika attribut såsom tex:

a) säkerhetsåtgärder av typ förebyggande tex. via processer och utbildningar

b) informationssäkerhetsegenskaper kring konfidentialitet av personuppgifter

c) cybersäkerhetskoncept identifiera priviligierade användare, skydda via tillträde till säkra områden

d) operativförmåga hantering av information, informationsskydd

e) säkerhetsdomän skydd

 

CIS Critical security controls - är en allmän uppsättning rekommenderade metoder för att säkra ett brett utbud av system och enheter. CIS fokuserar på cybersäkerhet och är öppen att använda.

Refererande till tabell nedan exempel 3:

CIS Control 14 Security Awareness and Skills Training kan tillämpas för att implementera ett antal kontrollgrupper

 

NIST -National Institute of Standards and Technology) - standarder och riktlinjer används ofta som referenspunkter av organisationer och myndigheter runt om i världen för att utforma sina egna säkerhetsstrategier och följa bästa praxis inom informationssäkerhet och cybersäkerhet.

 

MITRE ATT&CK - är en globalt tillgänglig kunskapsbas av motståndares taktik och tekniker baserade på observationer från verkliga världen och är helt öppen att använda. Kunskapsbasen beskriver också mitigerande åtgärder.

Refererande till tabell nedan exempel 3:

En hotaktör använder sig av en attackmetod som är en kombination av taktik och teknik. Enligt exemplet är taktiken att skaffa sig en intial åtkomst till systemet via tekniken phishing.

Säkerhetsåtgärd för att mildra eller förhindra detta hot kan tex. vara via användarträning.

 

CWE - Common Weakness Enumeration - är en standardiserad lista över vanliga sårbarheter och brister inom mjukvarusystem. CWE är ett gemensamt projekt som drivs av MITRE Corporation och är utformat för att underlätta identifiering, kategorisering och hantering av sårbarheter inom mjukvaruutveckling och informationssäkerhet.

 

CVE - Common Vulnerabilities and Exposures -är en lista över kända sårbarheter och exponeringar i mjukvaror och system. CVE är en standardiserad identifieringsmetod som tillhandahålls av MITRE Corporation och används för att referera och spåra sårbarheter i olika programvaror och system.

Stöd vid hotanalys

Nedanstående tabell kan användas i en lokal situation för att tydliggöra läget och bedömning. I rubrikraden finns länkat till vilka tabeller på underliggande sidor som kan inspirera. Vi har även lagt med fyra rader som exempel. Då en hotaktör kan resultera i flera hot och attackmetoder så behöver man skapa flera rader för att täcka alla kombinationer.

 

Informationssäkerhetshändelse

Sårbarhet

Sannolikhet

Konsekvens

Informationstillgång

Informationssäkerhetshändelse

Sårbarhet

Sannolikhet

Konsekvens

Informationstillgång

[1] Otillräcklig identifiering och autentisering av användare.

Insider

Obehörig tillgång till applikationer eller system

Socialingenjörskonst

Avslöjande av känslig data

Mycket stor (4)

Allvarlig (4)

Hög (16)

Ex. personuppgift

organisatorisk: Det finns övergripande processer och arbetssätt för att skydda information tex vid överföring.
personal: Utbildningar ges till alla anställda som är lämplig för deras arbetsfunktion.
teknisk: Begränsa och kontrollera privilegierade åtkomsträttigheter för användare och tjänster.
fysisk: Endast tillåta behörig personal tillträde till säkra områden.

[2] Phishingattacken leder till att offrets e-postadress, kontouppgifter, social medier-konton används för att sprida phisingmeddelanden till personens kontakter. Detta kan leda till att fler blir offer.

Cyberkriminell

Stöld av tillgångar eller identitet

Phishing

Okunskap,

ofiltrerad e-post,

Stor (3)

Allvarlig (4)

Hög (12)

Ex. kontouppgifter, sociala-medier konton, e-postadress

personal: Medvetenhöjande säkerhetsutbildning,
teknisk: e-post filter

[3] Om personal avslöjar sina användaruppgifter på en Internet-site kan detta leda till att kontot tas över eller att personlig information stjäls.

Cyberkriminell

Utlämnande av information

(ATT&CK Taktik Initial access ) Phishing

Okunskap

 

Stor (4)

Allvarlig (3)

Hög (12)

Ex. användaruppgifter såsom kontouppgifter och lösenord

personal: (ATT&CK Mitigation) User Training

CIS Control 14 Security Awareness and Skills Training

[4] Skadlig kod kommer in i offrets dator eller mobila enhet, via e-post. Den skadliga koden kan senare användas för att stjäla personlig information eller utföra skadliga aktiviteter.

Cyberkriminell

Distribuera eller skicka skadlig programvara

(ATT&CK Taktik Initial access) Phishing

ofiltrerad e-post innehållande skadligt attachment

Stor (3)

Allvarlig (4)

Hög (12)

Ex. personlig information såsom användarnamn och lösenord.

teknisk: (ATT&CK Mitigation) Software configuration

För den som vill visualisera ovanstående tabell i ett diagram så finns ett exempel här.

Ordlista

I nedanstående lista finns ett antal definitioner och detaljeringar av definitioner för att ge ökad förståelse för de olika begrepp som används och refereras till på denna och underliggande sidor.

Begrepp

Definition

Begrepp

Definition

Attackmetod

Del av attackvektor som beskriver metoden för attacken. Synonymt med attackmekanism

Det är möjligt att använda en teknik (Technique) från Mitres ATT&CK ramverk i ansatsen som är gjord ovan. För exempel se tabell Stöd vid hot och riskanalys

Hot

En, eller serie av, möjlig(a) händelse(r) som kan resultera i negativa effekter (skada).

Definition från metamodell säkerhet: Möjlig orsak till en oönskad händelse med negativa konsekvenser för verksamheten.

Hotaktör

De olika typer av aktörer som kan realisera ett hot. Synonymt med hotkälla.

Informationssäkerhetshändelse

Identifierad förekomst i ett system, tjänst eller nätverk som indikerar en möjlig avvikelse från policy för informationssäkerhet, eller ej fungerande säkerhetsåtgärder, eller en situation som tidigare varit okänd och som kan vara relevant för informationssäkerheten.

Källa: SS-EN ISO/IEC 27000:2020

Informationssäkerhetsincident

Enskild eller flera oönskade eller oväntade informationssäkerhetshändelser som har negativa konsekvenser för verksamheten och dess informationssäkerhet.

Källa: SS-EN ISO/IEC 27000:2020

Risk

Sannolikheten att en oönskad händelse inträffar samt konsekvensen av händelsen.

Definition från metamodell säkerhet: Osäkerhetens effekt på mål.

Sårbarhet

Brister som kan möjliggöra att ett eller flera hot realiseras av en eller flera hotaktörer.

Definition från metamodell säkerhet: Brist i skyddet av en tillgång eller av en säkerhetsåtgärd som kan utnyttjas av ett eller flera hot.

Säkerhetsåtgärder

Åtgärd som avser att minska en eller flera risker.

Definition från metamodell säkerhet: Åtgärd som förändrar en risk.