Threat modeling: kruip in de huid van de vijandige hacker

Lees hieronder het opiniestuk door Matthijs Koot, dat is gepubliceerd op 29 april 2015 op Computerworld.nl.

Ook in de wereld van de cyber-fysieke systemen zou met gezond verstand over beveiliging moeten worden nagedacht.

"Cyberspace" is geen duidelijk afgebakend begrip, maar duidelijk is wel dat cyberspace meer omvat dan routers, servers en desktops. De virtuele wereld en de fysieke wereld smelten langzaamaan samen. Dat geeft nieuwe uitdagingen, ook voor veiligheid en beveiliging.

Het zuiveren van rioolwater, het regelen van verkeer, het raffineren van olie, het produceren en transporteren van elektriciteit en gas, het verrijken van uranium, het aansturen van radarsystemen, het lanceren van raketten: wat ze gemeen hebben, is het gebruik van industriële controlesystemen en-netwerken (ICS). Steeds vaker kunnen deze systemen zelf communiceren via TCP/IP, of zijn ze verbonden met systemen die dat kunnen.

Daarmee worden deze systemen onderdeel van cyberspace. Ze zijn op afstand via een computernetwerk toegankelijk. Dit netwerk is, bedoeld of onbedoeld, zelf vaak ook weer toegankelijk vanaf andere netwerken. Vergeet daarbij ook niet de beheerder of leverancier die via een inbelvoorziening of een (al dan niet gedocumenteerd) 'gat in de firewall' op afstand toegang heeft tot - voorts geïsoleerde - gevoelige systemen.

Computers zijn overal
In 2013 zei het Europees agentschap voor netwerk- en informatiebeveiliging (ENISA) dat dit type systemen steeds meer lijkt op gewone consumentencomputers met de daarvan bekende onveiligheden. Waar cyberspace de belangrijke infrastructuur in de fysieke (niet-virtuele) wereld raakt, is er reden tot gepaste zorg.

Ook buiten het domein van ICS smelten computers en de fysieke wereld samen. Denk aan koel- en ventilatiesystemen ('HVAC'-systemen) en noodstroomvoorzieningen die op afstand toegankelijk zijn. Maar ook de opkomende concepten van het Internet of Things (IoT) waarbij 'alles' een eigen IP-adres krijgt. Zelfrijdende auto's werken op basis van netwerken van sensoren en actuatoren, waarbij software een voertuig met meerdere personen op de Nederlandse snelweg 130km/u kan laten rijden.

De belangrijkste prikkel voor nieuwe technologie en communicatiemogelijkheden is, naast nieuwsgierigheid, vraag en aanbod: er is vraag naar grotere efficiency (filevermindering), meer comfort (de bestuurder hoeft niet de hele rit naar de bumper van de voorligger te turen), meer fysieke veiligheid (computers kunnen sneller uitwijken dan mensen), enzovoorts.

Thinking hats
Nieuwe technologie bedenk je niet door constant in problemen en bezwaren te denken. Neem de zes 'thinking hats' van Edward de Bono: afhankelijk van de kleur pet die je draagt, word je uitgedaagd dingen vanuit een ander perspectief te bekijken. Zo staat de groene pet voor creativiteit, de gele voor beredeneerd optimisme, en de zwarte voor beredeneerd pessimisme, bezwaren en kritiek.

Bij het bedenken van nieuwe technologie wordt niet de zwarte pet, maar worden vooral andere petten gedragen. Uitvinden gaat immers over het denken in scenario's van wat wél mogelijk is, hoe het volgende uiterste uit techniek kan worden gehaald. Denken aan gebruik met kwade opzet ('abuse cases') werkt belemmerend.

Maar het is wel belangrijk dat op voldoende momenten in het traject van idee tot product, die zwarte pet toch even wordt opgezet: niet alleen zodra er een eindproduct ligt, maar ook tijdens het bedenken en ontwerpen. Achteraf beveiliging toevoegen is vaak duurder dan beveiliging inbouwen in het ontwerp. En zéker als achteraf blijkt dat de kwetsbaarheid een ontwerpfout betreft, en de producten moeten worden teruggeroepen en aangepast.

Wie gaat de technologie gebruiken?
Het is zelden eenvoudig om iets adequaat te beveiligen. Vaak is niet eens duidelijk wat er precies moet worden beschermd, tegen wie, waarom, wat dat dan concreet moet inhouden, en waar de grens moet worden getrokken. Ook beroepsmatige informatiebeveiligers hebben daar geen pasklaar antwoord op. Moet je bij elke nieuwe functie onmiddellijk uitputtend denken aan mogelijk misbruik door een vijandige inlichtingendienst?

Daarop luidt het antwoord in elk geval "nee". Gezond verstand prevaleert. Het hangt in grote mate af van wie de technologie gebruikt en voor welke doeleinden. Niet elke kwetsbaarheid hoeft te worden gedicht in elke omgeving; er kunnen mitigerende maatregelen mogelijk zijn, of de kwetsbaarheid kan als restrisico worden geaccepteerd. Het lastige is natuurlijk dat zich niet altijd laat voorspellen hoe en door wie technologie zal worden gebruikt. Dan kan gaandeweg bescherming nodig zijn tegen bedreigingen die irrelevant waren bij het oorspronkelijke gebruik, zoals ook het geval bij veel internetprotocollen van weleer.

Threat modeling
Threat modeling kan helpen om het gezonde verstand in goede banen te leiden, en de kwetsbaarheden die er wél echt toe kunnen doen, op een vroeg moment te ontdekken. In de kern is threat modeling een informeel proces waarbij wordt nagedacht over 'abuse cases': waar zitten zwakke plekken in het ontwerp? Waar zitten zwakke plekken in het product? Is misbruik van die zwakke plek plausibel? Die methode wordt nu langzaamaan opgepakt in de wereld van reguliere software. In de wereld van de hierboven genoemde systemen, die gezamenlijk ook wel als 'cyber-fysieke systemen' worden aangeduid, loopt het echter nog niet zo'n storm. Dat zou wel mogen.

@Secura 2017
Disclaimer  /  Privacy policy  /  Sitemap / Inloggen
Webdesign Studio HB / webdevelopment Medusa