pratar alla om risker?

hur man gör i praktiken

magnus andersson

om mig

säkerhetskonsult

projektledare

konsultchef

cissp

civ.ing. KTH

plötsligt händer det…

http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Vulnerability in HTTP.sys Could Allow Remote Code Execution

(MS15-034)

A remote code execution vulnerability in the HTTP protocol stack (HTTP.sys) that is caused when HTTP.sys improperly

parses specially crafted HTTP requests.

An attacker who successfully exploited this vulnerability could execute arbitrary code in the context of the System

account.

Ex DOS-attack

”Blue screen of death”

risk

en sannolikhet för skada, ansvar, förlust eller annan negativ händelse

orsakad av

externa eller interna sårbarheter

och som kan

undvikas genom förebyggande åtgärder

risk

en sannolikhet för skada, ansvar, förlust eller annan negativ händelse

orsakad av

externa eller interna sårbarheter

och som kan

undvikas genom förebyggande åtgärder

kuriosa

om händelsen inte är negativ?

chans

vem äger en risk?

ägaren till den tillgång som hotas

ägaren tar beslut om vilka förebyggande åtgärder som ska göras

vad vill man undvika?

skadat förtroende(indirekt skada)

förlorade tillgångar(direkt skada)

tappat förtroende

”Nej fy, till den tänker jag inte ge

pengar / rösta på / jobba för / eller nåt…!”

leder till

ingen vill ha det vi gör

vilket leder till

avveckling

förlora tillgångar

sänker förmågan

och därmed konkurrenskraft

riskhantering - steg

1. riskidentifiering

2. riskanalys

3. riskåtgärder

riskidentifiering

inventera:

vad kan drabbas?

på vilket sätt kan det drabbas?

vad är relevant?

riskanalys

sannolikhet

x

konsekvens

=

riskvärde

riskanalys

kvalitativ

eller

kvantitativ

eller (vanligast)

semi-kvantitativ

kvalitativ

expertbedömning

tex du

grov bedömning

hög/låg

ställer risker i relation till varandra

semi-kvantitativ

grova mått på sannolikhet och konsekvens

tex 1-5 eller exponentiell

ger mått på risker som bara funkar inom modellen

kvantitativ

”riktiga” värden

ofta statistik som underlag

ofta svårt att vara exakt

vanligt i tex processindustri

kostnader då?

kostnadsuppskatta konsekvenserna

x sannolikhet riskkostnader

väldigt lämpligt att ha med sig till

riskåtgärderna

riskåtgärder

förebygger framtida skada

åtgärda risker med högst riskvärde

förutsatt att

riskåtgärden inte kostar mer än

beräknad riskkostnad

jmfr med försäkring

exempel #1

vanligt scenario:

”affären” vill ha ny lösning för ny affär

asap!

(affärsrisker)

projektrisker

processrisker

teknikrisker

säkerhetsrisker

kompetensrisker

m.fl.

exempel #2

ny exploit blir känd(CVE-2015-1635)

patch finns

normalt patchfönster inom en månad

vilka risker har vi om vi väntar till dess?

Vulnerability in HTTP.sys Could Allow Remote Code Execution

(MS15-034)

A remote code execution vulnerability in the HTTP protocol stack (HTTP.sys) that is caused when HTTP.sys improperly

parses specially crafted HTTP requests.

An attacker who successfully exploited this vulnerability could execute arbitrary code in the context of the System

account.

Ex DOS-attack

”Blue screen of death”

exempel 3

webbapplikation ska hantera persondata

publikt åtkomlig

inloggning och sökning

hur säkerställer vi att resultatet uppfyller kraven?

riskanalys!

jag förväntas bygga det här

vilka hot finns det?

hur sannolikt är det?

vad händer om det händer?

vad kostar det att förebygga?

svårt?

ja om blankt papper,

men det går att minska dina möjliga hot med

bra metodik,

kravhantering,

tester,

kompetenta utvecklare m.m.

riskminimering

förstå ”affären”

lämpade och

beprövade metoder

best practice

använd

DDS

Utmaningar

• Svårast:– Få Business att svara på vilka kostnader de

dragit på sig…– Få Operations att göra detsamma…

• Statistiska kostnader kan bara användas för ett fåtal incidenter