Måling og visualisering
av informasjonssikkerhet
Carsten Maartmann-Moe
14.09.2015, ISF Høstkonferansen 2015
Hos Transcendent Group møter du erfarne
konsulenter innen governance, risk and compliance.
Våre tjenester skaper trygghet og muligheter for
myndigheter, offentlige og private selskaper og
organisasjoner innen en rekke ulike bransjer.
Les mer om oss på www.transcendentgroup.com
Om selskapet
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Jeg kommer ikke til å snakke om IT-
sikkerhet og dashboards
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Hvorfor skal vi måle?
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Hvordan måler man noe som er
uhåndgripelig og ikke kvantifiserbart?
Måling av ROI innenfor informasjonssikkerhet er
vanskelig:
• Hvor mye sparer du i unngåtte sikkerhetshendelser?
• Må du motregne dette mot tap av brukervennlighet
som følge av innførte sikkerhetstiltak?
• Får vi virkelig verdi av verktøy X før vi har bemanning
til å fikse rotårsakene til problemene vi opplever?
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Sikkerhet er en prosess – men det finnes
dårlige prosesser
Ignoranse
Har jeg et problem?
Ja, verktøy fraleveran-dør X sier det
Panikk
“Fiks”problemet
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Hva skal målingen(e) besvare?
• Hvor vi har problemer / om ting fungerer som det
skal?
• Om vi klarer å endre adferd?
• Statistikk?
• Compliance?
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Hvordan skal vi kommunisere
resultater?
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Metric definition: Email encryption
adoption rate
Justification: Measures the ROI of the [removed] email encryption solution.
Description % emails sent encrypted, grouped on internal, external and total
Type Compliance and implementation
Frequency Monthly
Formula # emails encrypted per month / total email volume per month * 100
Audience/customer [Client org. unit]
Responsible party [Client resources responsible for measurement]
Data source [removed] Email Encryption and Exchange
Target type Higher is better
Target Steady increase in adoption
ISO 27k ref. 10.1 Cryptographic controls
Comments and notes
Scripting needed to pull data automatically, estimated to 8 hours.
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Eksempler på målinger
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Hva skjer: antall sikkerhetshendelser
3
5
8
4
5
3
0
1
2
3
4
5
6
7
8
9
Q2-12 Q3-12 Q4-12 Q2-13 Q3-13 Q4-13
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Trend: # medium+high sårbarheter i
Internett-eksponerte systemer
2,3
1,4 1,4
2,4
1,8
0,8
0,6
0,0
0,5
1,0
1,5
2,0
2,5
0
5
10
15
20
25
30
35
40
45
50
Med
ium
+H
igh
sårb
arh
eter
per
sys
tem
An
tall
sårb
arh
eter
Low Medium High M+H vulns. per system
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Asia
Usikkerhet: risikostatus fordelt per region
EU USA
Operations IT
HR Compliance
Marked og salg
Marked og salg
Operations
HR
IT
Compliance
Størrelsen av firkantene representerer antall systemer hver forretningsenhet. Fargen
indiker risiko og usikkerhet (rød = dårlig, grønn = bra, grå = vi vet ikke ennå)
HRMarked og salg
Operations Compliance
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Bruke målinger til å trigge
endring
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Passord
Passordstyrke er en av de viktigste sikkerhetstiltakene
Men vi vet at å bruke sterke passord ikke er lett:
• Det er ikke lett å lage sterke passord
• Det er ikke lett å huske på passord
• Det finnes få enterprise-ready løsninger som fjerner behovet for
passord
• Regler om kompleksitet og passordbytte bidrar til at brukere
velger svake passord (“passordsyken”)
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Måling av ISF-deltagere
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Måling – resultat
0%
20%
40%
60%
80%
100%
Har ett sterkt passord påjobben
Tror dengjennomsnittlige
kollegaen har ett sterktpassord på jobben
Tror [teknisk utfordretperson] har ett sterkt
passord jobben
ISF
Vanlige mennesker
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Passordbytte er ment å minimere skade
• Tanken er at hvis man bytter
passord ofte, så minimerer
man tiden en angriper har
disponibel til å utnytte det
kompromitterte passordet.
• Hvis policyen din er å bytte
hver 90. dag, sier du egentlig
at det er akseptabelt at en
angriper kan benytte
kompromittert ett passord i
45 dager.
Statistisk sannsynlig tidspunkt
for kompromittering av
passord
90 d
ager
45 d
ager
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Men: Forskning viser at passordbytter
ikke virker
“To be economically justifiable, time spent by computer users changing passwords
should yield $16 billion in annual savings from averted harm.”Microsoft: So long, and no thanks for the externalities: The rational rejection of security advice by
users (2010)
“[…] our evidence suggests it may be appropriate to do away with password
expiration altogether, perhaps as a concession while requiring users to invest the
effort to select a significantly stronger password than they would otherwise (e.g., a
much longer passphrase).”Yinqian Zhang: The security of modern password expiration: An algorithmic framework and
empirical analysis (ACM CCS 2010)
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Passordbytte virker
også mot sin hensikt
Hvor mange av dere har et «system»
for å lage nye passord?
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Passordbytte koster samfunnet
Mørketallsundersøkelsen 2014 estimerer at man på grunn av datakriminalitet i Norge taper.
19 MrdNOK årlig
(19 000 000 000)
Passordbytte: Hvis 2,7 millioner nordmenn i arbeid* bruker 1 time totalt årlig @ ca. 500 NOK* i verdiskapning i timen så er det.
1,35 MrdNOK årlig i tapt
verdiskapning
(1 350 000 000)
*) Kilder: 2015, Sintef og SSB
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Vi ønsker å måle passordstyrken
Hvor sterke passord de ansatte lager er en god indikator,
og svarer blant annet på følgende spørsmål:
• Skjønner mine ansatte kommunikasjonsmaterialet rundt
passord som er en del av awareness-kampanjen?
• Endrer de oppførsel (lager de sterke passord)?
• Fungerer de tekniske passordkontrollene som skal sikre
ett sterkt passord?
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Så hva planlegger vi å gjøre?
• Fjerne policyen om at alle må bytte passord hver 90. dag
• Hver 90. dag trekker vi ut krypterte passord fra AD, og forsøker
å knekke dem
• De passordene vi knekker vil vi resette (på samme måte som før,
dvs. at brukeren får 14 dager på seg)
• Vi vil inkludere informasjon som gjør det enkelt for brukerne å
forstå hvordan de lager ett sterkt passord som er enkelt å huske
• Så lenge du har ett passord som du aldri må bytte håper vi at
dette vil gjøre det enklere å huske
• Vi vil måle fremgangen kontinuerlig
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Hvordan kommuniserer vi det?
• Vi jobber kontinuerlig med å forbedre sikkerheten og gjøre det enklere for alle ansatte i [navn]
• Som en del av dette arbeidet har vi identifisert at kravet om passordbytte hver 90. dag tar uhensiktsmessig mye av ansattes tid og ikke har noen positiv effekt på sikkerheten
• Derfor har vi vedtatt at de som lager sterke passord slipper å bytte passord i fremtiden
• Vi kommer til å teste passordene deres med jevne mellomrom
• Dersom du har et svakt passord må du fortsette å bytte passord hver 90. dag, på samme måte som i dag
• Dersom du lager et sterkt passord trenger du aldri bytte passord igjen
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Hvordan måler vi det og hva slags
resultater forventer vi?
Måling:
• Vesentlig forbedring i passordkvalitet
• Konkret og målbar forbedring av sikkerheten
Resultater:
• Reduserte kostnader: passordbytte, glemte passord (support)
• Økt tilfredshet hos ansatte
80%
Tid Tid
Pas
sord
crac
ket
Ko
stn
ad
pas
sord
byt
te
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Metric definition: Password strength
Justification: Password strength has great impact on overall security, and measures user’s behaviour and
awareness of [Client] governance and policies. Can be used to drive positive change*.
Description% of Microsoft AD passwords cracked within a 24-hour timeframe, separated on
regular users and system administrators
Type Impact
Frequency Quarterly
Formula Number of passwords cracked / total number of user accounts * 100
Audience/customer [Client org unit]
Responsible party [Client resources]
Data source Microsoft AD
Target type Lower is better
Target 10 % on regular users, 0 % on system administrators
ISO 27k ref. 9.4 System and application access control
Comments and notesDevelopment and deployment needed to pull & analyze data, estimated to [#]
hours.
*) Metric has to be implemented together with governance and communication activities, see page [ref]
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Oppsummering
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Oppsummering
• Bruk målinger aktivt til å forbedre
hvordan dere jobber med
informasjonssikkerhet
• Visualiser målingene for å
understreke problemer, risiko eller
usikkerhet
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
Vanlige problemer og potensielle
løsninger
• Målingen viser at det vi gjør har liten effekt: Bra – presenter resultatet og
revurder det du gjør!
• Manglende automatisering: Start manuelt og med et par målinger, fortsett å
automatisere over tid samtidig som du ruller på nye målinger
• Målingen svarer ikke på spørsmålet «hvor sikker er jeg?»: Ikke alene, men
sammen med de andre målingene så viser den at vi forbedrer oss
• «Informasjonen er for teknisk for ledelsen»: Dersom du klarer å fremstille den
riktig så vil du finne at det er få andre i virksomheten som er bedre rustet til å
takle kompleksitet enn ledelsen
© T
ran
scen
den
t G
rou
p N
org
e A
S 2
015
www.transcendentgroup.com