Vad är en hotkatalog egentligen? Den frågan ställde jag mig själv för länge sen. Det var visserligen raljerande… men en mer intressant fråga är: Vad ska du ha en hotkatalog till?

Tesen jag tänker driva här är att generella hotkataloger inte fyller sitt syfte på grund av att de är överväldigande i omfattning och otydliga i innehåll.

Hotkatalogerna

Låt oss titta på de två exempel jag lyckades hitta genom att söka precis nu: en från Svenska kraftnät riktad till elbranschen och en från Sambi riktad till hälsa, vård och omsorg.

Hotkatalog för elbranschen

Svenska kraftnät tog fram en hotkatalog i slutet av 2013: Hotkatalog för elbranschen: Hot mot IT-, informationshantering, processkontroll och automation. På Svenska kraftnäts sida har de några frågor och svar rörande katalogen. Här angående vad en hotkatalog är och hur den ska användas:

Det är ett dokument med en samling kända hot som kategoriserats och redovisats på ett användbart sätt. […] Den naturliga användningen av hotkatalogen är som ett referensverk i samband med att man utför hot- och riskanalys. Det är källmaterial för att se att man systematiskt kan få med olika typer av hot mot det analysobjekt som risk- och sårbarhetsanalysen avser.

Det ligger ett rejält arbete bakom katalogen (den är över tre hundra sidor) med korsreferenser och referenser till standarder. En snygg produktion helt enkelt.

Hot och sårbarhetskatalog för medlemmar i Sambi

Om du inte har hört talas om Sambi tidigare (jag hade inte det):

Sambi (Samverkan för behörighet och identitet inom hälsa, vård och omsorg) är ett infrastrukturellt nav för den svenska vård- och omsorgssektorn. Visionen för Sambi är att erbjuda en säkrare och effektivare åtkomst (single sign-on) till tjänster inom hela sektorn.

De har i alla fall en hotkatalog, sidan som beskriver den verkar vara nere nu men den fanns i Googles cache:

För att genomföra en riskanalys behövs en aktuell lista över relevanta hot. För att underlätta arbetet för Sambis medlemmar har denna ”hotkatalog” tagits fram. Den listar ett axplock potentiella hot, ett antal sårbarheter samt ett urval legala krav som kan vara aktuella för en medlem i Sambi i dess roll som E-legitimationsutfärdare, Identitetsintygsutgivare, Attribututgivare och/eller Tjänsteleverantör.

Den är inte lika tjock (eller välproducerad) som den för elbranschen, blott 18 sidor. Det har dock inte med omfattningen att göra; här redovisas hot som punktlistor medan Svenska kraftnät ägnar en hel sida åt varje hot. Båda täcker enorma mängder hot.

Hot från katalogerna

Jag ignorerar runtomkring-informationen i dokumenten och fokuserar på själva hoten. (Det är för min egen sinnesro då jag kan bortse från rappakalja som ”risk = hot x sårbarhet” i Sambis dokument. Dessutom görs där en underlig uppdelning mellan ”hot” och ”sårbarheter”, innehållet under båda rubrikerna verkar dock misstänkt likadana. Jag bortser från det helt enkelt.)

Båda kataloger använder den gängse definitionen av hot som ”en möjlig, oönskad händelse med negativa konsekvenser för verksamheten”. Låt oss titta på ett par hot. Jag väljer ut ett par som finns i båda kataloger med hjälp den vetenskapliga metoden (1) scrolla ner slumpmässigt länge i Svenska kraftnäts dokument och (2) kolla om samma hot finns i Sambis katalog. Here goes:

  • 5.5.10 Passiv avlyssning av nätverkstrafik
  • 4.7.6 Felaktig systemklassning
  • 5.11.3 Avsaknad av inbrottsskydd
  • 6.5.5 Mekaniska fel i utrustning
  • 4.6.36 Avsaknad av rutin för besökshantering
  • 4.6.35 Avsaknad av rutin för hur datorskärmar och informationsbärare placeras i utrymmen med yttre insyn
  • 4.8.2 Felaktig kontinuitetsplanering
  • 4.12.4 Nyckelpersonberoenden
  • 4.6.31 Avsaknad av rutin för policy/rutin Rent skrivbord och tom skärm
  • 4.4.2 Avsaknad av processteg och rutiner för att göra tillräcklig hantering i samband med projektavslut, avslutad anställning eller avslutat uppdrag

Okej, samtliga fanns i båda kataloger på första försöket. Så, vad är det vi tittar på här?

En av dem (avlyssning) är något en angripare skulle kunna genomföra. En annan (fel i utrustning) är något som uppstår naturligt-ish, inte på samma sätt som en solstorm kanske men likväl. Resterande åtta (av tio) hot är att ett skydd av en form eller annan inte har implementerats ordentligt.

80 % är ganska representativt för katalogerna i sin helhet också. Stora delar av båda kataloger är nämligen en lista på all good practice som kan uppbringas inom it och it-säkerhet kombinerade med något av följande ord:

  • Felaktig …
  • Avsaknad av …
  • Bristande …
  • Ej …
  • Otillräcklig …
  • Misslyckande att …
  • Oklara …

Cyniskt uttryckt är hot mot it alltså oftast lika med ”otillräcklig implementering av ISO 27000-standarder”.

Kritik

Båda katalogerna är ju som sagt avsedda att användas som referens vid analyser. Jag har dock svårt att se hur dessa kataloger hjälper mig i ett analysscenario där säkerhetsproblem med ett system eller en verksamhet ska identifieras.

För det första är de överväldigande, det går knappast att använda som en checklista. Snacka om högt och lågt. Referensverk för att hitta avsnitt i ISO 27002 eller 27019 ”bakvägen”; absolut, men i analyssituationer innebär det bara att problemrymden exploderar.

För det andra är en betydande andel av hoten svepande och otydliga. Kanske är det ett resultat av att de har tagits från standarder som är avsedda för hela organisationer, det märks tydligt på slumpvalen ovan. I vilket analysscenario har jag användning av dem?

För det tredje känner jag mig nödgad att angripa terminologin här. Hur kan till exempel ”avsaknad av inbrottsskydd” vara en oönskad händelse? Det är väl inbrottet som är den oönskade händelsen? Vidare, med det resonemanget, varför skulle inte inte hotet ”mekaniska fel i utrustning” i stället kunna vara ”otillräcklig kontroll av mekanisk utrustning”? Vem har bestämt det? Vad tjänar vi på att formulera om dem på det här sättet?

Jag har inget emot checklistor eller referensverk, jag försöker använda sådana så ofta jag kommer ihåg att använda dem. OWASP Top Ten, STRIDE och CAPEC är relevanta i sammanhanget. Adam Shostacks bok Threat Modeling innehåller ett gäng andra som är praktiska. (Boken är väl spretig dock… passar bättre som referens än att läsa.) Alla dessa listor är bättre för att de är mer specifika, de är fokuserade på ett specifikt område och är därför inte överväldigande och behöver inte vara svepande.

For the record, Sambi och Svenska kraftnät är inte de enda av sitt slag; vi har t ex den här (pdf) eller den här eller den här eller den här (gigantisk pdf).

Kul grej, när jag skulle leta upp några fler exempel nu sprang jag på en forskningsrapport (pdf): The Role of Catalogues of Threats and Security Controls in Security Risk Assessment: An Empirical Study with ATM Professionals. Sammanfattningen låter förstå att jag har fel:

The quantitative analysis shows that nonsecurity experts who applied the method with catalogues identified threats and controls of the same quality of security experts without catalogues.

Det här måste jag läsa.


Tycker du att jag har fel? Har du användning för sådana här hotkataloger i ditt arbete? Berätta.