Jelen cikkemben azt kívánom összefoglalni, hogy a szervezetekre nehezedő compliance nyomás miatt gyakran futószalagon gyártott, sablonos kockázatelemzések helyett hogyan lehetne valós hozzáadott értéket nyújtó felméréseket végezni, amelyek valós fenyegetéseket vesznek figyelembe. A cikknek nem célja részletesen ismertetni a kockázatkezelési módszertanokat és folyamatokat.

Kockázatelemzés  - célok és a sablon csapda

PCI-DSS, ISO 2700x, NIST SP 800-53, NIST CSF, NIS2, DORA és még folytathatnám. Eltérő eredetű és hatókörű információbiztonsági szabványok és szabályozások, egy fix pontban azonban mindegyik megegyezik: a kockázatalapú megközelítést alkalmaznak és előírják az információbiztonsági kockázatok elemzését. A megfelelés sajnos gyakran együtt jár a papírgyártással, emiatt az ilyen motivációból készített felméréseknek gyakran nincs hozzáadott értéke.

A „nagy” könyvek és szabványok azért írják elő az információbiztonsági kockázatok elemzését, hogy azonosítsák és értékeljék a szervezeteket fenyegető kockázatokat és az elméletben (sokszor a gyakorlatban is) szűkösen rendelkezésre álló erőforrásokat a prioritásként azonosított kockázatok kezelésére fordítsák, hogy a szervezetet megvédjék a kockázatok bekövetkezésének negatív hatásaitól.

Napjainkban sokféle kockázatkezelési szabvány, keretrendszer létezik, ezért mindenki megtalálhatja és a szervezetére szabhatja a számára megfelelőt. A legnépszerűbbek: ISO 27005, NIST SP 800-30, FAIR, CRAMM, CIS RAM.

Mindegyik kockázatkezelési szabvány, keretrendszer tartalmaz különböző fenyegetési-sérülékenységi listákat, valószínűségre és hatásra, továbbá kockázati szintre vonatkozó skálákat. Ez a segítség gyakran csapda is tud lenni, hiszen gyakori eset, hogy a kockázatelemzést végrehajtó csak ezekre összpontosít. Miért lehet ez csapda? Az általam kedvelt ISO 27005 szabvány jelenlegi verziója 2022-ben került kiadásra, az előző verzió pedig 2018-ban jött ki. 4 év alatt változhatnak a globális kiberbiztonsági trendek: elég csak a ransomware felemelkedésére gondolni.

Threat reportok és előnyeik

A threat reportok jellemzően évente egy előre meghatározott taxonómia és valós incidens adatok alapján összefoglalják a globális vagy egy térségre vonatkozó kiberbiztonsági trendeket, azok elemeit részletesen elemzik. Két ilyen threat reportot emelnék ki: az ENISA, vagyis az Európai Unió kiberbiztonsági ügynöksége által kiadott Threat Landscape-t (ETL) és a Verizon, egy amerikai távközlési vállalat által publikált Data Breach Investigation Report-ot (DBIR).

Az ENISA ETL 2012 óta kerül kiadásra és értelemszerűen csak az európai trendeket tartalmazza. A Verizon DBIR első kiadása 2015-ben jelent meg, a hatóköre globális. A DBIR külön pozitívuma, hogy tartalmaz régiók (pl. EMEA, USA) és ágazatok (pl. pénzügyi, IT, egészségügy) szerinti felosztást is. Ezt a példát egy idő után az ETL is elkezdte követni, így már vannak többek közt kritikus infrastruktúrára, közlekedésre, egészségügyre vonatkozó jelentések is. Az ETL összeállítása során az ENISA a saját cyber threat intelligence (CTI) képességeit, de különböző biztonsági kutatók, blogok és a média cikkeket is felhasználnak és hivatkoznak az állításaik alátámasztására. A DBIR a VERIS incidens klasszifikációt alkalmazza, óriási mintavétellel készítenek elemzéseket a nyilvános incidens bejelentések, partnereiktől származó adatokból.

Az utóbbi pár évben mindkét report kiegészült az ellenséges támadási taktikákat és technikákat tartalmazó MITRE ATT&CK® keretrendszerrel történő mappeléssel, illetve biztonsági szabványokkal történő mappeléssel. Az ETL az ISO 27001, a DBIR pedig a CIS Controls megfelelő kontrolljait és ajánlásokat rendel hozzá az adott fenyegetéshez. Ez védekező oldalon nagyon komoly támogatást jelent, mert nem csupán problémákat tárnak fel a fenyegetések formájában, hanem az ajánlásokkal (magasszintű) megoldási javaslatokat is adnak a szakembereknek és ezt nem nekik kell összeállítaniuk szubjektív módon, nem kevés időt eltöltve.

Példa

Sokkal több elméleti dolgot érintettem, mint amennyit szerettem volna, így rátérek a példákra. Ahogyan a cikk elején írtam, a cikknek nem célja részletesen ismertetni a kockázatkezelési módszertanokat és folyamatokat. Most csak azokat a lépéseket fogom kiemelni, ahol kamatoztatni lehet a threat reportokat.

Az ISO 27005 szabvány szerinti kockázatelemzési folyamatban a releváns fenyegetések azonosítása a Risk identification lépéshez tartozik. Ugyanennél a lépésnél kerülnek azonosításra a vagyonelemek, azok sérülékenységei és a meglévő kontrollok.

A Verizon DBIR többek közt tartalmazza az incidensek és breach-ek során alkalmazott támadói tevékenységeket (Actions), a támadási vektorokat (Vectors) és a vagyonelemeket (Assets), amiket a támadások céloznak. Ezeken túl a támadók kategóriái és motivációik is elemzésre kerültek. A 2022-es DBIR fő tanulságai:

Top Actions (amelyek breach-eket okoztak):

1. Use of stolen credentials
2. Other
3. Ransomware
4. Phishing
5. Pretexting
6. Exploit vulnerabilities
7. Misdelivery
8. Privilege abuse
9. Backdoor or C2
10. Export data

Top Vectors (amelyek breach-eket okoztak):

1. Web application
2. E-mail
3. Carelessness
4. Desktop sharing software
5. Other
6. Backdoor
7. E-mail unknown
8. Download by malware
9. Direct install
10. LAN access

Assets:

1. Server (Web application, Mail, Database)
2. Person (Finance, employee)
3. User device (Desktop, laptop, mobile phones)
4. Media (Documents)

Actors:

• ~ 80% External
• ~ 15% Internal
• ~ 4% Multiple
• ~ 1% Partner

Threat Actor Motives:

• ~90% Financial
• ~5% Espionage
• ~5% Other

A DBIR eredményei alapján látható, hogy a felsorolt vagyonelemeken, támadási vektorokon alkalmazott, illetve a támadói tevékenységek ellen ajánlott kontrollok felmérése kiemelten fontos a kockázatértékelés során. Az elkövetők szempontjából a szervezeteknek alapvetően a külső behatolás ellen kell védekezniük, de nem feledkezhetnek el a belső fenyegetésről sem. Valószínűleg a támadói motívum senkit sem lep meg, mivel mindenhol azt lehet olvasni, hogy a kiberbűnözés virágzik.

Az ISO 27005 folyamat lépései közül a Risk Analysis lépésben kerül meghatározásra a kockázat bekövetkezésével járó hatás és annak bekövetkezési valószínűsége. Várhatóan magas lesz azokkal a fenyegetésekkel összefüggő feltárt kockázatok bekövetkezési valószínűsége, amelyeket a DBIR felsorol top fenyegetésekként.

Sokakban felmerülhet, hogy a DBIR ismertetett tartalmát sokan saját tapasztalatból, esetleg más forrásból is ismerik, illetve a hivatkozott szabványok fenyegetés-sérülékenység listája is tartalmazza ezeket valamilyen formában. Ez mindig igaz lehet, viszont az mellett nem lehet szó nélkül elmenni, hogy akár a DBIR, akár az ETL anyagaiban olyan széleskörben gyűjtött, többszörösen ellenőrzött és megbízható és felhasználható adatokhoz jutunk, amit saját erőforrásból aligha tudnánk előállítani. Emiatt azt gondolom ezekről, hogy a kockázatkezelési módszertanunk sziklaszilárd elemei lehetnek.

Konklúzió

A fő gondolat, amire szeretnék rávilágítani az az, hogy ha csak szabványoknak és jogszabályoknak való megfelelés miatt készítünk kockázatelemzéseket, illetve, ha csak a sablonokhoz, listákhoz ragaszkodunk a felmérések során (természetesen a megfelelő, szervezet-specifikus kontroll értékelések is elengedhetetlenek), az túlságosan „statikus” és sablonos lesz, ami nem feltétlen fogja tükrözni a valós fenyegetéseket és globális trendeket. Az azonosított kockázatokat természetesen kezelni is kell, de ha a valós kockázatok nincsenek azonosítva és elemezve, annak hatásaival a saját szervezetünk és ügyfeleink is szembesülhetnek.

A cikkben bemutatott threat reportok tanulmányozása és becsatornázása nem igényel jelentős többlet időráfordítást és ezek ismerete egyébként is elvárható a biztonsággal foglalkozó szakértőktől, hiszen egy folyamatosan fejlődő és változó ágazatban dolgozunk.

Források

Verizon DBIR: Link
Enisa ETL: Link