Hot
- Arkitekturgemenskapen
- Peter Mannerhagen
Beskrivning | Arkitektur-perspektiv | Verksamhets-område | Publicerad / Version |
|---|---|---|---|
Elementet “hot” är ett viktigt element i metamodell säkerhet och relaterar även till elementet “händelse” i metamodell verksamhet. Det är viktigt för alla organisationer att jobba aktivt med de hot som man kan utsättas för. På denna sida och dess undersidor finner du stöd och vägledning olika hot, hotaktörer, sårbarheter, attackmetoder, säkerhetsåtgärder och riskbedömning samt en del exempel. | Säkerhet | Alla | 2023-10-31/170 |
Innehållsförteckning
Notera att det finns ett antal undersidor (i menypanelen till vänster) som fungerar som stöd och inspiration.
Inledning
Hot-, risk- och sårbarhetsanalyser utgör grunden för informationssäkerhetsarbetet. Hot och sårbarheter är något som alla organisationer måste analysera för att förstå riskerna som informationstillgångarna utsätts för.
Hot är ett element i metamodell säkerhet och vi beskriver nedan hur vi har valt att ta oss an utmaningen med att presentera en hotkatalog. Det är arbetsgruppens övertygelse att en hotkatalog behöver tas fram för respektive organisation och kommer att behöva uppdateras kontinuerligt. Huvudsyftet med sidan och dess undersidor är således att ge en ögonblicksbild över hotaktörer, risk, hot, attackmetoder, exempel m.m. för att bidra till medvetenhet och som stöd för ert arbete med hot-, risk- och sårbarhetsanalyser.
När man använder denna sida eller underliggande sidor som inspiration så kan det vara bra att detaljera och situationsanpassa de olika delar som vi har tagit upp för att uppnå bästa nytta och förståelse i den egna organisationen. Metamodell säkerhet är ett bra stöd för att säkerställa viktiga samband och att man inte missar något av de ingående elementen.
Sidans ansats relaterat till metamodell säkerhet
Utgångspunkten är som nämnt ovan elementet hot. Vi har vidare valt att även ta med och beröra elementen aktör, risk, sårbarhet och säkerhetsåtgärd för att åstadkomma ett större värde än att bara lista hot. Hotaktör är en instansiering av elementet aktör i metamodell verksamhet och har därmed en relation till elementet hot.
Relationen mellan elementen kan beskrivas som följer:
En hotaktör kan använda en attackmetod för att realisera ett hot (en incident) genom att utnyttja en sårbarhet. Ett hot kan också uppstå via tex. en naturkatastrof. För att analysera risken med en potentiell incident behöver sannolikheten att hotaktören lyckas realisera hotet, samt sannolikheten att incidenten orsakar den beskrivna konsekvensen bedömas. Risken kan sedan minskas genom att införa säkerhetsåtgärder som minskar sårbarheten eller mildrar konsekvenserna av en incident.
Ramverk, metoder och annat nyttigt
Arbete med IT- och informationssäkerhet ska i huvuddel utgå från standarder och andra dokumenterade erfarenheter. Här listas de informationskällor som utgjort grund för framtaget material på denna och underliggande sidor.
SS-ISO/IEC 27005:2022 (Annex A) - är en internationell standard som definierar riktlinjer och principer för att utföra riskhantering av informationssäkerhet inom en organisation. Standarden tillhör ISO/IEC 27000-serien, som är en samling av standarder för informationssäkerhet. Standarden är specifikt inriktad på att genomföra riskbedömningar och riskhantering inom området informationssäkerhet.
Exempel i tabellen nedan i kolumnen Hot.
SS-EN ISO/IEC 27002:2022 - är en svensk standard för informationssäkerhet, cybersäkerhet och integritetsskydd och dess kontroller. För att använda standarden krävs ett abonnemang via SiS Svenska Institutet för Standarder. Standarden ska användas för att fastställa och vidta säkerhetsåtgärder.
Refererande till tabell nedan exempel 1:
Via en insider finns hotet att åtkomst till känslig data ges till obehörig. Säkerhetsåtgärder som tillämpas här omfattar all teman såsom personrelaterade-, fysiska-, tekniska- och organisatoriska-åtgärder.
Säkerhetsåtgärden fokuserar på olika attribut såsom tex:
a) säkerhetsåtgärder av typ förebyggande tex. via processer och utbildningar
b) informationssäkerhetsegenskaper kring konfidentialitet av personuppgifter
c) cybersäkerhetskoncept identifiera priviligierade användare, skydda via tillträde till säkra områden
d) operativförmåga hantering av information, informationsskydd
e) säkerhetsdomän skydd
CIS Critical security controls - är en allmän uppsättning rekommenderade metoder för att säkra ett brett utbud av system och enheter. CIS fokuserar på cybersäkerhet och är öppen att använda.
Refererande till tabell nedan exempel 3:
CIS Control 14 Security Awareness and Skills Training kan tillämpas för att implementera ett antal kontrollgrupper
NIST -National Institute of Standards and Technology) - standarder och riktlinjer används ofta som referenspunkter av organisationer och myndigheter runt om i världen för att utforma sina egna säkerhetsstrategier och följa bästa praxis inom informationssäkerhet och cybersäkerhet.
MITRE ATT&CK - är en globalt tillgänglig kunskapsbas av motståndares taktik och tekniker baserade på observationer från verkliga världen och är helt öppen att använda. Kunskapsbasen beskriver också mitigerande åtgärder.
Refererande till tabell nedan exempel 3:
En hotaktör använder sig av en attackmetod som är en kombination av taktik och teknik. Enligt exemplet är taktiken att skaffa sig en intial åtkomst till systemet via tekniken phishing.
Säkerhetsåtgärd för att mildra eller förhindra detta hot kan tex. vara via användarträning.
CWE - Common Weakness Enumeration - är en standardiserad lista över vanliga sårbarheter och brister inom mjukvarusystem. CWE är ett gemensamt projekt som drivs av MITRE Corporation och är utformat för att underlätta identifiering, kategorisering och hantering av sårbarheter inom mjukvaruutveckling och informationssäkerhet.
CVE - Common Vulnerabilities and Exposures -är en lista över kända sårbarheter och exponeringar i mjukvaror och system. CVE är en standardiserad identifieringsmetod som tillhandahålls av MITRE Corporation och används för att referera och spåra sårbarheter i olika programvaror och system.
Stöd vid hotanalys
Nedanstående tabell kan användas i en lokal situation för att tydliggöra läget och bedömning. I rubrikraden finns länkat till vilka tabeller på underliggande sidor som kan inspirera. Vi har även lagt med fyra rader som exempel. Då en hotaktör kan resultera i flera hot och attackmetoder så behöver man skapa flera rader för att täcka alla kombinationer.
Informationssäkerhetshändelse | Sårbarhet | Sannolikhet | Konsekvens | Informationstillgång | |||||
|---|---|---|---|---|---|---|---|---|---|
[1] Otillräcklig identifiering och autentisering av användare. | Insider | Obehörig tillgång till applikationer eller system | Socialingenjörskonst | Avslöjande av känslig data | Mycket stor (4) | Allvarlig (4) | Hög (16) | Ex. personuppgift | organisatorisk: Det finns övergripande processer och arbetssätt för att skydda information tex vid överföring. |
[2] Phishingattacken leder till att offrets e-postadress, kontouppgifter, social medier-konton används för att sprida phisingmeddelanden till personens kontakter. Detta kan leda till att fler blir offer. | Cyberkriminell | Stöld av tillgångar eller identitet | Phishing | Okunskap, ofiltrerad e-post, | Stor (3) | Allvarlig (4) | Hög (12) | Ex. kontouppgifter, sociala-medier konton, e-postadress | personal: Medvetenhöjande säkerhetsutbildning, |
[3] Om personal avslöjar sina användaruppgifter på en Internet-site kan detta leda till att kontot tas över eller att personlig information stjäls. | Cyberkriminell | Utlämnande av information | (ATT&CK Taktik Initial access ) Phishing | Okunskap
| Stor (4) | Allvarlig (3) | Hög (12) | Ex. användaruppgifter såsom kontouppgifter och lösenord | personal: (ATT&CK Mitigation) User Training CIS Control 14 Security Awareness and Skills Training |
[4] Skadlig kod kommer in i offrets dator eller mobila enhet, via e-post. Den skadliga koden kan senare användas för att stjäla personlig information eller utföra skadliga aktiviteter. | Cyberkriminell | Distribuera eller skicka skadlig programvara | (ATT&CK Taktik Initial access) Phishing | ofiltrerad e-post innehållande skadligt attachment | Stor (3) | Allvarlig (4) | Hög (12) | Ex. personlig information såsom användarnamn och lösenord. | teknisk: (ATT&CK Mitigation) Software configuration |
För den som vill visualisera ovanstående tabell i ett diagram så finns ett exempel här.
Ordlista
I nedanstående lista finns ett antal definitioner och detaljeringar av definitioner för att ge ökad förståelse för de olika begrepp som används och refereras till på denna och underliggande sidor.
Begrepp | Definition |
|---|---|
Attackmetod | Del av attackvektor som beskriver metoden för attacken. Synonymt med attackmekanism Det är möjligt att använda en teknik (Technique) från Mitres ATT&CK ramverk i ansatsen som är gjord ovan. För exempel se tabell Stöd vid hot och riskanalys |
Hot | En, eller serie av, möjlig(a) händelse(r) som kan resultera i negativa effekter (skada). Definition från metamodell säkerhet: Möjlig orsak till en oönskad händelse med negativa konsekvenser för verksamheten. |
Hotaktör | De olika typer av aktörer som kan realisera ett hot. Synonymt med hotkälla. |
Informationssäkerhetshändelse | Identifierad förekomst i ett system, tjänst eller nätverk som indikerar en möjlig avvikelse från policy för informationssäkerhet, eller ej fungerande säkerhetsåtgärder, eller en situation som tidigare varit okänd och som kan vara relevant för informationssäkerheten. Källa: SS-EN ISO/IEC 27000:2020 |
Informationssäkerhetsincident | Enskild eller flera oönskade eller oväntade informationssäkerhetshändelser som har negativa konsekvenser för verksamheten och dess informationssäkerhet. Källa: SS-EN ISO/IEC 27000:2020 |
Risk | Sannolikheten att en oönskad händelse inträffar samt konsekvensen av händelsen. Definition från metamodell säkerhet: Osäkerhetens effekt på mål. |
Sårbarhet | Brister som kan möjliggöra att ett eller flera hot realiseras av en eller flera hotaktörer. Definition från metamodell säkerhet: Brist i skyddet av en tillgång eller av en säkerhetsåtgärd som kan utnyttjas av ett eller flera hot. |
Säkerhetsåtgärder | Åtgärd som avser att minska en eller flera risker. Definition från metamodell säkerhet: Åtgärd som förändrar en risk. |