Exempeldiagram: Systemsäkerhet
Nedan exemplifieras en specialisering inom systemsäkerhet.
På högra delen visas utökade begrepp relaterat till metamodell säkerhet.
En hotaktör (en individ eller en process utanför systemet) kan ha ett skadligt uppsåt och kan försöka utnyttja en sårbarhet, om förutsättningarna finns för att göra det möjligt. En hotaktör realiserar via attackmetod ett hot och genom denna händelse hotar systemet med en viss effekt (som att stjäla data eller orsaka att funktionaliteten inte fungerar). Hotet påverkar risk. Risken kompenseras av kontroller och modifieras av sannolikheter och konsekvens.
På vänstra delen exemplifieras ett system
Ett system eller tjänst innehåller tillgångar såsom funktionalitet och data som används, lagras, skickas och mottas av systemet. Systemet kan innehålla defekter som också kallas svagheter. Om dessa svagheter är exploaterbara, vilket innebär att om de är sårbara för yttre påverkan, kallas de sårbarheter, och utnyttjande av dem kan utsätta systemets verksamhet och data för risk för exponering.
Kombinationen av funktionalitet och data skapar värde i systemet, och en hotaktör som orsakar ett hot negerar det värdet, som utgör grunden för risk.
Ordlista
I nedanstående lista finns ett antal definitioner och detaljeringar av definitioner för att ge ökad förståelse för de olika begrepp som används och refereras till på denna och underliggande sidor.
Begrepp | Definition |
---|---|
Attackmetod | Del av attackvektor som beskriver metoden för attacken. Synonymt med attackmekanism Det är möjligt att använda en teknik (Technique) från Mitres ATT&CK ramverk i ansatsen som är gjord ovan. För exempel se tabell Stöd vid hot och riskanalys |
Exploaterbarhet | Exploaterbarhet är ett mått på hur lätt en angripare kan använda sig av en svaghet för att orsaka skada. Med andra ord är exploaterbarhet den mängd exponering som svagheten har för yttre påverkan. För att beräkna exploaterbarhet se vidare: Common Vulnerability Scoring System SIG (first.org) |
Hot | En, eller serie av, möjlig(a) händelse(r) som kan resultera i negativa effekter (skada). Definition från metamodell säkerhet: Möjlig orsak till en oönskad händelse med negativa konsekvenser för verksamheten. |
Hotaktör | De olika typer av aktörer som kan realisera ett hot. Synonymt med hotkälla. |
Risk | Sannolikheten att en oönskad händelse inträffar samt konsekvensen av händelsen. Definition från metamodell säkerhet: Osäkerhetens effekt på mål. |
Svaghet | En svaghet är en underliggande defekt som ändrar beteende eller funktionalitet (som resulterar i felaktigt beteende) eller tillåter overifierad eller felaktig åtkomst till data. Svagheter i systemdesign beror på underlåtenhet att följa bästa praxis, eller standarder eller konventioner, och leder till vissa oönskade effekter på systemet. För svagheter se vidare : https://cwe.mitre.org/ |
Sårbarhet | Brister som kan möjliggöra att ett eller flera hot realiseras av en eller flera hotaktör(er). Definition från metamodell säkerhet: Brist i skyddet av en tillgång eller av en säkerhetsåtgärd som kan utnyttjas av ett eller flera hot. |
Säkerhetsåtgärder | Åtgärd som avser att minska en eller flera risk(er). Definition från metamodell säkerhet: Åtgärd som förändrar en risk. |
Värde | Värde kan tex. beskrivas enligt ITIL 4 Värde är vad kunden får ut av tjänsten eller systemet. |