Käyttöönotettavan järjestelmäntietoturvallisuuden evaluointi

(& TITAN “Data Security for Industrial Automation” - A project fundedwithin TEKES Safety and security Program)

Pasi Ahonen, 30.9.2009

2

Esityksen sisältö

• TITAN projektin tavoitteita ja tuloksiaTITAN projektin motiivitTietoturvatestaustyökalujen evaluaatioAutomaatiojärjestelmän tietoturvatestaus”Parhaiden Käytäntöjen” kuvauksesta

• Automaatiojärjestelmän tietoturvan evaluointiYleistä automaatiojärjestelmän evaluaatiostaEvaluaation tavoitteet ja vaiheetEvaluaatiokohteen ja tutkittavien ominaisuuksien määrittelyEvaluaatiokriteeristön määrittelyEvaluaatiometodien ja -työkalujen määrääminenEvaluaatiotulosten raportointi

TITAN projektin motiivit

4

Tietoturvatestaustyökalujen evaluaatio

5List of Strengths and Weaknesses. (E.g. Accuracy, % of false positives, etc.)Important other issues to notifyNotes

Free text about ease of use & deployment issuesEase of use & deployment of the toolEase of use

Embodiment of critical properties (such as: Reliability, Dependability,Interdependencies, Real-time properties, Protocol support, Language &OS support, Fast deployment, Vulnerability types)

Listing of properties of the tool that may helpthe usage in various Industrial ControlSystems (ICS)

ICS applic-ability

List of supported reporting facilities, formats and standardsReporting facilities and formatsReporting

Free text about automated functions & propertiesAnalysis or test automation levelAutomation

Free text about Mitigation functions & properties, Hardening, IDE supportSupport for vulnerability fixing and mitigationMitigation

Free text about Customizable test cases, Import & Export of models, dataand vulnerabilities, Rule updates, Plug-ins

Possibilities to extend testing or connect toother functions or data

Extension/Future proof

Analysis Target: (Sourcecode/Bytecode/Executable).Runtime Target: (No support/ Systems/ Interfaces).Analysis Scope: (Line/ Command/ Function/ Module/ Program/ System)

Target & Scope of security analysis or testTest Domain

(MS/ Linux/ Mac). Optionally: Reqs for: Disk, CPU, MemorySystems supported & Optionally: System reqsPlatforms

List of reference usage(Maintained by/ Beta release only/ Uncertain)

Readiness and completeness of the tool for fullindustrial use

Maturity

(Price/ Free/ Open source). (Possible Availability estimates)Costs and availabilityCommercial

Relevant phase(s):(Feasibility/ Design/ Implementation/ Testing/ Deployment/ Maintenance)

Phase of use in system lifecyclePhase

Free text about tool’s purpose plus the type of test, e.g. (Port scanner/ Staticanalyser/ Dynamic analyser/ Protocol fuzzer/ Load tester/ Port scanner/Vuln. scanner/ Protocol analyser/ Debugger…etc.).

Basic description of tool purpose and usagePurpose

Possible Grades/ValuesCriteria DescriptionCriteria

TITA

N ty

ökal

ueva

luaa

tion

krite

eris

tö

6

TITA

N T

yöka

luev

alua

atio

(resu

ltssn

apsh

ot)

7

Best tools in TITAN

Independent industrial PC (Ubuntu) with special hardware, test applications and data.Operated remotely with a Windows-only client software.

Satellite includes tests for following protocols: ARP, BOOTP, CIP, DCOM, DHCP, DNP3,Ethernet/IP, FTP, HTTP, ICCP, ICMP IGMP, IPv4, LLDP/LLDP-MED,MODBUS/RTU, MODBUS/TCP, MMS, NTP, RPC, SNMPv1, SNMPv2c, SNMPv3,TACACS+, TCP, Telnet, UDP and Vnet/IP.

Testing with Achilles is usually sold as a service to customer. Passing the tests withSatellite is required for Achilles Cyber Security Certification.

Notes

EasyEase of Use

Designed especially for ICSs. Support for many industrial automation protocolsICS Applicability

Generates PDF reportsReporting

Highly automatedAutomation

NoMitigation

Additional protocol testersExtensions

Industrial automation systemsTest Domain

Comes with hardware. Client is for WindowsPlatforms

Used by several companiesMaturity

Commercial. The Achilles Satellite Hardware Platform 1 year fee is 50000 $Commercial

Implementation, testing, deployment, maintenancePhase

Specifically for ICS. Protocol testing. Network attack simulationPurpose

Achilles SatelliteTool

8

Best tools in TITAN

Detects faults from protocol implementation. May crash or slow down the targetapplication during tests. Very effective test method. Includes ca.130 differentprotocol test suites.

Notes

The tool is easy to use and run. Both command line and GUI are availableEase of Use

Highly applicable. Test sets for some industrial automation protocolsICS Applicability

Tool generates test log and summariesReporting

Test cases are ran automaticallyAutomation

NoMitigation

Extensions

Protocol interfacesTest Domain

Linux, WindowsPlatforms

Tools have been developed for ca. 10 yearsMaturity

YesCommercial

Implementation, testing, deployment, maintenancePhase

Model-based fuzz testingPurpose

Codenomicon DefensicsTool

9

Best tools in TITAN

Notes

Basic scanning is easy, especially with a graphical front-end. Advanced use requiresstudying.

Ease of Use

Depends on devices used in ICS network. Often very applicableICS Applicability

Text filesReporting

PartialAutomation

NoMitigation

NoExtensions

Running, networked systemsTest Domain

Linux, Windows, BSDPlatforms

Years of developmentMaturity

Free, GPLCommercial

Implementation, testing, deployment, maintenancePhase

Port scanning, network mappingPurpose

NmapTool

10

Best tools in TITAN

Finds only vulnerabilities from database. Vulnerabilities are written to database withNASL language. Tests include port scans, and if e.g. ftp port is open tool attemptsanonymous login.

Notes

Easy to use GUIEase of Use

SCADA PluginsICS Applicability

Generates a .html reportReporting

Running the test is automatedAutomation

Warnings of dangerous services or software versionsMitigation

Plugins for various purposesExtensions

Various targets, mainly running networked systemsTest Domain

Linux, Windows, OS XPlatforms

Widely used, developed for yearsMaturity

Commercial, free for home usersCommercial

Implementation, testingPhase

Vulnerability scannerPurpose

Tenable NessusTool

11

A Potential exploit tool

Framework includes over 300 different exploits for Windows, Unix/Linux and Mac OS Xsystems

Notes

Easy to use GUI, but building exploit modules and shellcodes requires experienceEase of Use

Very applicable, especially if ICS contains older IT systemsICS Applicability

NoReporting

Automates vulnerability exploitationAutomation

NoMitigation

YesExtensions

Various targetsTest Domain

Linux, WindowsPlatforms

De facto vulnerability development frameworkMaturity

Free, BSDCommercial

Implementation, testing, deployment, maintenancePhase

Exploit development and excecution.Penetration testing

Purpose

Metasploit Framework 3.2Tool

12

A Potential web tool

Performs comprehensive tests against web servers for multiple items, including over 3500potentially dangerous files/CGIs, versions on over 900 servers, and version specificproblems on over 250 servers. Most vulnerabilities which are found are notdangerous in ICS environment.

Notes

Simple command line useEase of Use

Many ICS devices (e.g. switches, process controllers) include web serversICS Applicability

Text fileReporting

Scanning is automatedAutomation

Warns from vulnerabilitiesMitigation

NoExtensions

Web serversTest Domain

LinuxPlatforms

Yes, active developmentMaturity

Free, GPLCommercial

Implementation, testing, deployment, maintenancePhase

Web server vulnerability scannerPurpose

NiktoTool

13

A Potential monitoring tool

Database based network traffic visualisation capabilities. Tool includes many advancedfeatures for different kind of uses

Notes

Requires some training. Web based GUI or remote SSH connectionEase of Use

Good for monitoring purposesICS Applicability

Visualisations and network capturesReporting

Automation

NoMitigation

Flow Analysis, QoS and Snort IDSExtensions

Network trafficTest Domain

Comes with specific hardware. Flow analyser client for Windows onlyPlatforms

Quite new product. Active developmentMaturity

YesCommercial

Implementation, testing, maintenancePhase

Network traffic high-performance capturing, monitoring and analysisPurpose

Nethawk iPro & Flow AnalyserTool

14

TITAN – Automaatiojärjestelmän tietoturvatestaus

15

Pääasiallinen tietoturvatestauksen kohde: MetsoDNA CR(+Test setup)

Achilles Satellite

16

Käytetyt työkalut

Source code analysis:CPPcheck

Security testing related:Codenomicon Defensics (SNMPv2, HTTP Server, Telnet, WLAN, Modbus…)Achilles SatelliteNmapNetwoxYersiniaAircrackTenable Nessus 3NiktoSNMPWalkMetasploit FrameworkBacktrack 4 beta

Monitoring:Nethawk iProClarified AnalyzerWireshark

17

Tietoturvatestauksen johtopäätökset

• Carry out testing during R&D or at least before deployment• Testing of proprietary protocols is challenging, a proprietary tool or

at least heavy tailoring of a common tool is often required• Commercial tools are often easy to use and well documented.

Open source tools are more difficult to use and less integrated• Security testing in industrial automation requires a lot of manual

work and supervision to get it done well• Defense in depth: Also the automation network devices require

security/robustness testing (but not online)• Web services etc allow easier testing using standard SA tools

18

TITAN – Parhaiden käytäntöjen kuvauksesta

De facto -standardien evaluointi

Sector specificrequirements such

as dependability

How well the specifics of industrial automationare taken into account?

Specials

Openness improvesquality andavailability

How well is the standard updated and is itgenerally available? (Open / $ / Closed)

Maintenance andavailability

Regulation directs theactivities

Mandatory usage? Is a state authority or otherorganisation mandating the use?

Regulation

Earlier adapters addtrust

References. How often the standard is in use inrelevant organisations?

Merits

Practicability andusability taken into

account

How general purpose is the standard? Toobroad or too constricted

Usability, purposeja scope

Good quality andsubstance are

required

Subjective quality levelQuality

RationalExplanationEvaluation criteria

Parhaiden käytäntöjen kehittämisen prosessiTITANissa

1. First, we initially identify the best standards and practices available2. Next, we describe such standards in general level3. Then, we evaluate such standards with Finnish companies and organisations4. Then, we assemble the best practices for the use of Finnish parties5. Finally, we inform the industry about the assembled best practices within seminars

and material

TITAN – Parhaiden käytäntöjenkuvausten muoto

ThreatsWhy protection is needed? Some typical threats and vulnerabilities

Practice description1. Requirements

• Reqs for correct operation– Fundamental reqs– Additional reqs

• Non-reqs – what should not be done2. Actions required to protect

• Simple description of what actions to do in practice• The list of desired results of the actions

3. Typical roles for each action (optional)• Client / Vendor / Integrator

4. Relevant phases of SDLC (optional)• Order / Deployment / Maintenance

Example practice (optional)If possible, give e.g. one A4 guideline or other example practice, e.g. a check list

22

Automaatiojärjestelmän tietoturvan (tt) evaluointi

23

Yleistä automaatiojärjestelmän tt-evaluaatiosta

• Erilaiset automaatiojärjestelmät ja niiden yksittäiset komponentit vaativaterityiskäsittelyä kun ajatellaan operatiiviseen ICS toimintaan otettavan tieto- taikommunikointijärjestelmien tietoturvan arvioimista. ICS alueen järjestelmientietoturva-arvioinnissa on otettava huomioon useita erityispiirteitä jotka voivat ollajopa ristiriidassa toistensa kanssa, jolloin on löydettävä tasapaino eri asioidenvälillä.

• Usein täytyy ensisijaisesti varmistaa tuotantoa ohjaavien ja seuraavien järjestelmienkäyttövarmuus ja oikea toiminta, kun taas tietoturvaominaisuudet täytyy olla kylläkunnossa mutta ne eivät saa aiheuttaa häiriöitä jotka voisivat heikentääkäyttövarmuutta.

• Toinen ulottuvuus on erilaiset arviointimenetelmät ja niiden käyttö.Suomalaistenkin toimijoiden käyttöön on yleisesti saatavilla esimerkiksi avoimia jakaupallisia tietoturvahaavoittuvuuksien sekä käyttöjärjestelmien ja erilaistensovellusten konfiguraatioiden turvallisuutta määrittäviä ohjelmistotyökaluja, muttaniiden soveltuvuutta ICS alueella toimivan organisaation tai yrityksen voi olla vaikeaarvioida. Tietty menetelmä tai työkalu voi esimerkiksi listata käyttäjälle 600 erilaistavaroitusta järjestelmän tietoturvaan liittyen, mutta käyttäjän voi olla hankalasoveltaa tulosta järjestelmän kehittämiseksi tai sen arvioimiseksi onko järjestelmänturvallisuus riittävällä tasolla.

24

Evaluaation tavoitteet

• Tietoturvaevaluaation suorittamiseksi tarvitaan taustatiedoiksi käyttöönotettavanjärjestelmän tai tuotteen tietoturvatavoitteet, vaatimukset, asennuspisteessävallitseva tietoturvapolitiikka, ym. relevanttia pohjatietoa.

Näiden määrittelemisessä on voitu käyttää apuna valmiita skelettejä (esim.API Std 1164, Annex B: SCADA-järjestelmän tietoturvasuunnitelma).On välttämätöntä tuoda esiin ja kiinnittää nämä olemassa olevattaustavaatimukset tietoturvalle, tai jos niiden määrittely on kesken,viimeistään nyt tarkemmin määritellä ne ennen tietoturvaevaluaationaloittamista.Alue on laaja ja monimutkainen. Kunkin operatiivisen toiminnantietoturvatavoitteisiin ja vaatimuksiin vaikuttavat mm. ko. teolliselle toiminnalleasetettu lainsäädäntö, sääntely, asiakassopimukset, yleisenturvallisuuden ylläpitäminen, jne, kaikki yhdessä.

• Evaluaatio perustuu ennen kaikkea vertailuun, mahdollisimman varman tiedonkeräämiseen siitä ovatko evaluaatiokohteen ominaisuudet tavoitteiden mukaiset.Jos kohde ei täytä ennakkovaatimuksia, yleensä on järkevää selvittää ja kirjatalisäksi: Millaisia löydetyt poikkemat ovat?, Miten paljon poikkeamia on?, jne

25

Evaluaation tavoitteet

Tietoturvaevaluaation tavoitteita voi olla mm. seuraavanlaisia:• Vastaako järjestelmän (käyttöjärjestelmä, sovellukset, tietoliikenne, jne)

asetukset tiettyä esimääriteltyä mallia, ns. sallittua konfiguraatiota?• Kestääkö järjestelmä toiminnassa vaikka sitä vastaan suunnataan tietyn

tyyppisiä tietoturvahyökkäyksiä (esim. palvelunestohyökkäykset,robustness-testaus, jne)

• Onko järjestelmän toteutukseen jäänyt tietoturvahaavoittuvuuksia(kuten puskuriylivuodot, puutteellinen input/output käsittely, tms.)?

• Onko järjestelmästä poistettu kaikki sellainen toiminnallisuus joka ei olekäytössä (esim. web-palvelin ohjelmistot, toimisto-ohjelmistot, jne.)

• Onko huolehdittu ohjelmistojen päivitysominaisuuksien turvallisuudesta?Entä vikojen korjaamisesta?

• Onko järjestelmässä huomioitu haittaohjelmien torjunta? Miten?

26

Evaluaation päävaiheet

Huolimatta kaikesta edellämainitusta lähtökohtien moninaisuudesta,järjestelmän tietoturvaevaluaatiokokonaisuuden voidaan määritelläkoostuvan seuraavista päävaiheista:

1. Evaluaatiokohteen määrittely, sis. evaluaation alaisten kohteiden rajaus2. Evaluaatiokriteeristön määrittely (sis. vaatimukset tietylle sec zone, sec

level, sec policy)3. Evaluaatiometodien ja työkalujen määrääminen, sekä toimintaohjeen

tarkempi määrittely (assessment työkalun profiili, skeletit, tarkistuslistat, jne)Esim. http://web.nvd.nist.gov/view/ncp/repository

4. Evaluointiaktiviteettien suorittaminen (tt-työkalujen käyttö realistiseentestijärjestelmään, ei tuotantokäytön aikaiseen laitokseen) ja raportointi

5. Evaluaation tulosten validointi

27

Tietoturvaevaluaation kokonaisuus ja päävaiheet

Automaatiojärjestelmä(tai sen osa)

Operatiivisen toiminnan-Tietoturvavaatimukset

-TietoturvapolitiikatArkkitehtuurimäärittely

Kunkinevaluaationtavoitteet

2. Evaluaatiokriteeristön määrittely

3. Evaluaatiometodien ja työkalujenmäärääminen, tarkempi

evaluointiohje

4.. Evaluaatioaktiviteettiensuorittaminen ja raportointi

5.. Evaluaatiotulostenvalidointi

1. Evaluaatiokohteiden määrittely(sis. rajaus evaluoitavista

ominaisuuksista)

28

1. Evaluaatiokohteiden määrittely

Evaluaatiokohteen määrittely sisältää pääsääntöisesti seuraavia vaiheita:

1. Edellytys: Organisaatio on suorittanut tai tilannut (ja dokumentoinut) järjestelmänkokonaisriskiarvioinnin, jossa järjestelmän riskialtteimmat osat on alustavastitunnistettu. (Huom! Tämän suorituksessa saa toki olla käytetty hyväksi myösjärjestelmän teknistä ”skannausta” (ei online!) tai profilointia tiettyjenominaisuuksien suhteen, jotka osoittavat järjestelmästä riskialttiita kohtia.)

2. Organisaatio päättää mm. edellisen kohdan ja muiden suunnitelmien jaevaluaatiotavoitteiden perusteella mitä evaluaatiokohteita kussakintietoturvaevaluaatiossa tutkitaan.

3. Kutakin yksittäistä evaluaatiota koskien, organisaatio rajaa evaluaatiokohteentutkittavat ominaisuudet. Esimerkki: Tietyssä evaluaatiossa kohteestamääritellään evaluoitavaksi ainoastaan ulkoinen (black box) käyttäytyminenjärjestelmän ollessa tietoturvaan liittyvän kokeellisen evaluaatiomenetelmänalaisena. Käyttäytyminen oltava todettavissa standardimenetelmin (ja liittyykokonaisjärjestelmän toimintakyvyn kannalta olennaiseksi todettuuntoiminteeseen.)

29

1. Esimerkki evaluoitavaksi valituista evaluaatiokohteista

Prosessiasema-1

PLC-1

DMZ& FWs

Varmuuskopiointi japalautusjärjestelmät

Julkisetverkot

Toimistoverkko

PLC-2

PäivityspalvelinPääsyoikeus-päivitykset

Evaluoitavienominaisuuksien rajaus:• Prosessiasemasta jaPLC:stä vain ulkoinen(black box) käyttäytyminen• DMZ:sta ja toimistoverkostavain prosessiasema-1:n tukitoiminnot• Vain rajapintojenA, B, C ja D evaluointi• Tehtävä yksityiskohtainendokumentaatio rajauksesta

A

B

C D

Evaluoitavanautomaatiojärjestelmän

rajaus

Optionaalinenevaluaatiokohde

30

2. Evaluaatiokriteeristön määrittely

• Tämä vaihe on ehkä evaluaatioon liittyvistä määrittelyistä vaikein.Kysymyksenasettelu: Mitä kriteeristöä vasten kulloistakinevaluaatiokohdetta tutkitaan? Mikäli kriteeristö ei ole tarpeeksi tarkkaanmääritelty, tai se ei kohdistu tietoturvan kannalta oleellisiin seikkoihinjärjestelmässä, eivät tuloksetkaan vastaa tarkoitustaan elikonformanttisuuden todentamista tiettyihin tietoturvavaatimuksiin nähden.

• Käytettävä kriteeristö riippuu voimakkaasti evaluaatiokohteesta sekätavoitteista joita järjestelmän toiminnalle on asetettu. Mitäänkaikenkattavaa kriteeristöä ei tietenkään ole olemassa joka sopisi kaikkiinkäyttötarkoituksiin, sillä kyse on voimakkaasti CASE riippuvaisesta,yrityksen itsensä määrittelemästä asiasta.

31

2. Evaluaatiokriteeristön määrittely

Evaluoitavassa yrityksessä täytyy olla operatiivista toimintaa kuvaavattietoturvamäärittelyt ja -säännöstöt kunnossa. Mikäli näin ei ole, evaluoijateivät voi tietää mitkä ovat toimintaympäristön tarkat vaatimukset ja niidentäyttämiseksi tarvittavat tietoturvakontrollit. (Jos yrityksessä ei ole tällaisiatietoturvamäärittelyjä olemassa, voitaisiin tietysti ajatella evaluaatiota kuitenkintehtävän vaikkapa jonkin yleisesti määritellyn ”baseline”:n mukaisesti, mutta tällöinemme todellisuudessa tiedä miten evaluaation tulokset todella hyödyttäisivätkyseisen yrityksen operatiivisen toiminnan turvaamisessa.)

1. Ensinnäkin, kullakin tieto-, tietoliikenne- ja automaatiojärjestelmän evaluoitavallaosalla tulee olla operoivan organisaation erityisesti määräämä ja käytössä olevatietoturvatason (security level) määrittely, johon kuuluvat kiinteästi sekä tietyttietoturvakontrollit suojaustasomäärittelyineen, sekä tietysti yksityiskohtainentietoturvapolitiikka.

2. Lisäksi kokonaisjärjestelmän arkkitehtuurikuvauksessa on oltava määriteltynäsuojattavien kohteiden vyöhykkeet (electronic perimeter) joissa kussakin siisvallitsee, yllä mainittu, määrätty tietoturvataso (security level).

32

2. Evaluaatiokriteeristön määrittely

Alla on lueteltu teollisuusautomaatiojärjestelmien käyttöön sovellettavissa oleviatietoturvastandardikantoja (sis. myös valmiita kriteeristöjä ja vaatimuksia), joitavoidaan käyttää hyväksi käyttöönotettavan automaatiojärjestelmän tietoturvanevaluoimisessa:

• American Petroleum Institute (API) Standard 1164, “Pipeline SCADA Security”Mm. Annex A: Tarkistuslista SCADA -järjestelmän tietoturvan evaluointiin,Annex B: SCADA -järjestelmän tietoturvasuunnitelma (esimerkki)

• IEEE 1686 - Standard for Substation Intelligent Electronic Devices (IEDs) CyberSecurity Capabilities

Konkreettisia esimerkkivaatimuksia IED laitteille• ISA99 Industrial Automation and Control Systems Security Standards

ANSI/ISA 99: Sisältää mm. tietoturvavyöhykkeiden ja -tason konseptit,auditoinnin, mittaamisen ja monitoroinnin, jne

• MSISAC/SANS: SCADA and Control Systems Procurement LanguageMm. järjestelmän kovennus ja paljon muuta

• North American Electric Reliability Corporation (NERC) - CIP StandardsPaljon hyviä toiminnallisia vaatimuksia mm. laitevalmistajille

33

2. Esimerkki ylätason evaluaatiokriteeristöstä

DMZ& FWs

Varmuuskopiointi japalautusjärjestelmät

Julkisetverkot

Toimistoverkko

Päivityspalvelin

Prosessiasema-1

PLC-1 PLC-2

Valitut ylätason evaluaatiokriteeristöt:1. Rajapinnoissa A, B, C ja D vainpolicyn mukaiset protokollatkäytössä2. Rajapinnoissa avoimena vainsallitut palvelut ja portit3. Prosessiasemassa sallitaanvain tietty maksimiviive (perpalvelu) tt-testauksen alaisena4. Päivityspalvelimen oikea toiminta5. Pääsynvalvonnan turvallinen toteutus,pääsyoikeuksien päivitykset6. Palautusjärjestelmän oikea toiminta

Pääsyoikeus-päivityksetA

B

C D

Evaluoitavanautomaatiojärjestelmän

rajaus

34

3. Evaluaatiometodien ja työkalujen määrääminen

• Ennen teknisten evaluaatioaktiviteettien aloittamista, täytyy siihen liittyvientarkistus- ja tietoteknisten evaluointiaktiviteettien yksityiskohdatmääritellä tarkasti, selkeästi ja selkein perustein.

• Täytyy olla selkeä perusta (esim. yrityksen aiempien evaluaatioiden”baseline” tulokset tai asetettu tavoitetila) joille kaikkievaluaatioaktiviteetit pohjautuu, jolloin tiedetään tarkasti mihinreferenssiin evaluaatiokohdetta halutaan verrata.

• Pitää esim. kiinnittää yksityiskohtaiset tarkistuslistat (jos niidenkäyttö kuuluu evaluaatioon), järjestelmän ominaisuuksia tutkivientyökalujen kuten penetraatiotestereiden,haavoittuvuusskannereiden, jne, yksityiskohtainen määrääminenja työkalujen käyttämät konfiguraatiot, laajennukset,haavoittuvuusprofiilit, plug-in moduulit, jne. Tähän tarvitaan useinsyvällistä tietoa tietoturvan teknisen evaluaation nykyaikaisistavälineistä ja niihin kehitetyistä ominaisuuksista, joten esim. ulkoisenasiantuntemuksen käyttö on usein paikallaan.

35

3. Evaluaatiometodien ja työkalujen määrääminen

Tärkeitä menetelmiä järjestelmien evaluointiin ovat ainakin:

• Toimihenkilöiden haastattelu (tarkistuslistat, tietoturvakontrollienprosessit)

• Haavoittuvuusanalyysi (lähdekoodianalysaattorit,haavoittuvuusskannerit, koodikatselmoinnit)

• Hyökkäysten sietoa testaavat menetelmät (teollisuusympäristöihinsoveltuvat tietoturvatesterit,e.g. Achilles Satellite, penetraatiotesterit,robustness-testerit, testaus palvelunestohyökkäyksiä vastaan)

• Järjestelmien konfiguraation selvittäminen (sis. erilaisia menetelmiä,esim. verkkoskannerit, porttiskannerit, konfiguraatiotiedostojen tarkistus,palomuurisäännöstöjen ja eri järjestelmien pääsynvalvontasäännöstöjenläpikäynti) ja vertaaminen määriteltyyn

36

3. Esimerkki käytettävistä evaluaatiomenetelmistä / -työkaluista

DMZ& FWs

Varmuuskopiointi japalautusjärjestelmät

Julkisetverkot

Toimistoverkko

PäivityspalvelinPääsyoikeus-päivitykset

Prosessiasema-1

PLC-1 PLC-2

A

B

C D

Valitut evaluaatiomenetelmät & työkalut:1. Tietyn liikenneanalysaattorin käyttö2. Tietyn porttiskannerin käyttö3. TT-testeri + viiveiden monitorointi4. Pros.aseman päivitystoiminnon testi5. Monitori: kirjautumistiedot kryptattu?6. Edellisen konfigur. palautuskoe

Evaluoitavanautomaatiojärjestelmän

rajaus

37

4. Evaluaatiotulosten raportointi

Evaluaatioaktiviteettien tuloksena tulisi syntyä:• Tiedostoja joihin evaluaatiomenetelmien ja työkalujen tulokset on

tallennettu. Nämä tiedostot on usein luokiteltava erittäin luottamuksellisiksija suojattava, sillä jos tieto esim. tietoturvapoikkeamista joutuu vääriinkäsiin, saattaa järjestelmiin olla helppo tunkeutua sitä havaitsematta.Tulokset tulee olla vertailukelpoisessa muodossa vähintään siten, ettävertailu mahdollistuu määriteltyyn tavoitetasoon, sekä mielellään myösaikaisempaan tilanteeseen (baseline).

• Raportteja joissa evaluoidun kokonaisuuden tunnistetiedot (esim. pvm,kohde, suorittaja, jne.), ennakkovaatimuksia (esim. käytetty kriteeristö,metodit ja työkalut), yhteenvetoja eri osuuksien tuloksista, tärkeimmätlöydökset, ja mahdolliset kehityskohteet ja parannusehdotukset, jne. onkirjattu.

38

PASI AHONENTeam Leader, SW Technologies, Security Assurance

Tel.: +358 20 722 2307

GSM: +358 44 730 7152

Fax: +358 20 722 2320

Email: Pasi.Ahonen@vtt.fi

VTT TECHNICAL RESEARCH CENTRE OF FINLAND

Kaitoväylä 1, Oulu, FINLANDPL 1100, 90571 Oulu, FINLAND www.vtt.fi

39

VTT luo teknologiasta liiketoimintaa