Upload
others
View
1
Download
0
Embed Size (px)
Citation preview
Vurdering av risiko og sikkerheti skytjenester
Håvard [email protected]+47 469 28 494
• LinkedIn Password Hack 2012 – Hva skjedde?
• ENISA - Top security risks
• CSA - En praktisk veiledning for vurdering av sikkerheti skytjenester
• Gruppeoppgaver
• LinkedIn Password Hack 2012 – Hvilke tiltak ble iverksatt?
https://www.enisa.europa.eu/
Top Security Risks
vs.
Tap av styring og kontroll
=
Usikker eller ufullstendig sletting av data
“The mother of all cloud computing security certifications” *
* CIO June 28, 2018https://www.cio.com/article/3207553/certifications/the-most-valuable-cloud-computing-certifications-today.html
https://cloudsecurityalliance.org/guidance/#_overview
En praktisk veiledning for vurdering av
sikkerheti skytjenester
https://cloudsecurityalliance.org/download/security-guidance-v4/
Del I: Generelt
Del II: Styring
Del III: Drift
133 kontrollkrav (16 kontrollområder)
295 Ja/Nei-spørsmål (CAIQ)
Security, Trust & Assurance Registry (STAR)
https://cloudsecurityalliance.org/star/#_registry
16 kontrollområder
AISApplication & Interface Security
DSIData Security & Information Lifecycle Management
HRSHuman Resources
MOSMobile Security
AACAudit Assurance & Compliance
DCSDatacenter Security
IAMIdentity & Access Management
SEFSecurity Incident Management, E-Discovery, & Cloud Forensics
BCRBusiness Continuity Management & Operational Resilience
EKMEncryption & Key Management
IVSInfrastructure & Virtualization Security
STASupply Chain Management, Transparency, and Accountability
CCCChange Control & Configuration Management
GRMGovernance and Risk Management
IPYInteroperability & Portability
TVMThreat and VulnerabilityManagement
DSIData Security & Information Lifecycle Management
Control specificationDSI-01 ClassificationDSI-02 Data Inventory / FlowsDSI-03 E-commerce TransactionsDSI-04 Handling / Labeling / Security PolicyDSI-05 Nonproduction DataDSI-06 Ownership / StewardshipDSI-07 Secure Disposal
7 spørsmål
DSI-01Classification
Kontrollspørsmål (CAIQ)DSI-01.4 Can you provide the physical location/geography of storage
of a tenant’s data upon request?DSI-01.5 Can you provide the physical location/geography of storage
of a tenant's data in advance?
16 kontrollområder
AISApplication & Interface Security
DSIData Security & Information Lifecycle Management
HRSHuman Resources
MOSMobile Security
AACAudit Assurance & Compliance
DCSDatacenter Security
IAMIdentity & Access Management
SEFSecurity Incident Management, E-Discovery, & Cloud Forensics
BCRBusiness Continuity Management & Operational Resilience
EKMEncryption & Key Management
IVSInfrastructure & Virtualization Security
STASupply Chain Management, Transparency, and Accountability
CCCChange Control & Configuration Management
GRMGovernance and Risk Management
IPYInteroperability & Portability
TVMThreat and VulnerabilityManagement
AACAudit Assurance & Compliance
Control specificationAAC-01 Audit PlanningAAC-02 Independent AuditsAAC-03 Information System Regulatory Mapping
8 spørsmål
Gruppearbeid - Datacenter SecurityKontrollområdet «DCS Datacenter Security» har 9 kontrollkrav:DCS-01 - Asset ManagementDCS-02 - Controlled Access PointsDCS-03 - Equipment IdentificationDCS-04 - Offsite AuthorizationDCS-05 - Offsite EquipmentDCS-06 - PolicyDCS-07 - Secure Area AuthorizationDCS-08 - Unauthorized Persons EntryDCS-09 - User Access
Krav DCS-07 har følgende spørsmål: Do you allow tenants to specify which of your geographic locations their data isallowed to move into/out of (to address legal jurisdictional considerations basedon where data is stored vs. accessed)?
Oppgave: Vurder svaret på kontrollkrav DCS-07 på et par utvalgte tjenester som dufinner i STAR-registeret https://cloudsecurityalliance.org/star/#_registry
Gruppearbeid – Threat and Vulnerability ManagementKontrollområdet «TVM Threat and Vulnerability Management» har 3 kontrollkrav:TVM-01 - Antivirus / Malicious SoftwareTVM-02 - Vulnerability / Patch ManagementTVM-03 - Mobile Code
Krav TVM-01 har to spørsmål: TVM-01.1 Do you have anti-malware programs that support or connect to your cloud service offerings installed on all of your systems?
TVM-01.2 Do you ensure that security threat detection systems using signatures, lists, or behavioral patterns are updated across all infrastructure components within industry accepted time frames?
Oppgave: Vurder svaret på kontrollkrav TVM-01 på et par utvalgte tjenester som dufinner i STAR-registeret https://cloudsecurityalliance.org/star/#_registry
Preventative Detective CorrectiveEKM-02 IVS-01 GRM-07IAM-12 IVS-06 GRM-08
GRM-03 SEF-04 GRM-09GRM-06 GRM-05 SEF-01
GRM-10 SEF-05TVM-02
CCM Oppsummert…
• Er ikke et rammeverk for risikovurdering
• Er ikke en metode for å identifisere alle dine sikkerhetskrav
• CCM er metode for å raskt evaluere ulike skytjenester og om det er akseptabelt for din virksomhet å flytte dine data og applikasjoner til skyen.
Sikkerhetsvurdering steg-for-steg…1. Hvilke data og applikasjoner/prosesser er aktuelt å flytte til skyen?
2. Hvor viktig er disse dataene eller denne funksjonen for din virksomhet?• Hva vil konsekvensen være om våre data blir gjort tilgjengelig og distribuert offentlig?• Hva vil konsekvensen være om skyleverandørens ansatte får tilgang til våre data?• Hva vil konsekvensen være om våre prosesser eller funksjoner blir manipulert av en
utenforstående?• Hva vil konsekvensen være om våre prosesser eller funksjoner ikke leverer forventet
resultat?• Hva vil konsekvensen være om våre data plutselig blir endret?• Hva vil konsekvensen være om våre data og systemer ikke er tilgjengelig over tid?
3. Vurder hvilken leveransemodell som passer best• Public cloud• Private, internal/on-premises• Private, external (both dedicated or shared infrastructure)• Community• Hybrid
4. Vurder leveransemodell og evaluer aktuelle leverandører• Hvilken grad av kontroll vil du ha hos den enkelte skyintegrator?• Vurder å gjennomføre en full risk assessment.
5. Få oversikt over dataflyten• Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt.
dine kunder og/eller andre noder?
6. Konkluder• For å kunne ta beslutning må du forstå:
- hvor viktig de aktuelle data eller funksjonen er for din virksomhet- hvor stor risiko du er villig til å ta- hvilke kombinasjoner av leveransemodell og tjenestemodell er akseptable- potensiell risiko for sensitiv informasjon og drift