Hvorfor er reviews af systemsikkerhed nødvending?

Kommunikation og udstilling/transport af data, er i dag en vital del af de fleste systemer. Desværre giver eksponering af systemer også mulighed for at ondsindede aktører kan angribe disse. Og selvom et specifikt system i sig selv måske ikke indeholder vital eller kritisk data, kan systemet fungere som springbræt til andre systemer, eller være del i et supply chain attack (1). Derfor har alle virksomheder en forpligtelse til at sikre egne systemer, da en kæde som bekendt ikke er stærkere end det svageste led.

Et sikkerhedsreview kan belyse sårbarheder og eksponerede endpoints, hvor tiltag er krævet for at sikre disse. Aktiviteter beskriver forskellige dele af et review, og kan til- og fravælges efter behov og relevans. Hver aktivitet har fokus på forskellige dele af et system og infrastruktur, og det anbefales at alle relevante aktiviteter tages med i et review.

Trusselsmodellering af data flows

Trusselsmodellering har til formål at analysere sikkerheden i softwaredesignet for Systemet. Analysen er baseret på Microsofts STRIDE-principper[2]: Spoofing, Tampering, Repudiation, Information disclosure, Denial of Service og Elevation of Privilege. Resultatet fra den indledende analyse bliver efterfølgende risikovurderet efter en kvantitativ eller kvalitativ trusselsmodellering, afhængig af hvilken model der er bedst til at synliggøre og beskrive risiko for forretningen.

Inspektion af tredjepartskomponenter, -kode og -værktøjer

Inspektionen har til formål at undersøge sikkerheden i tredjepartskomponenter som anvendes i systemet. Her benyttes WhiteSource Bolt til at lave et udtræk af tredjepartskomponenter og output indeholder en liste over sårbare komponenter og løsningsforslag.

Sikkerhedstest

Denne aktivitet vil teste systemet i en simuleret driftssituation (testmiljø), for sårbare snitflader. Sikkerhedstesten følger Web Application Security Testing-standarden fra OWASP (3), som er et framework der benyttes af professionelle sikkerhedsfagfolk over hele verden. Herefter vil resultatet blive vurderet på parametre som sandsynlighed og impact, og en eller flere forslag til risikoreduktion vil blive præsenteret. Testen vil blive foretaget på et andet miljø end produktion, for at undgå potentiel datamanipulation og -tab af produktionsdata.

Sikkerhedsanalyse af cloud

Hvor hele eller dele af systemet er hostet i Cloud, vil denne infrastruktur blive analyseret for potentielle uhensigtsmæssigheder og sårbarheder. Her er der lagt vægt på at miljøet er konfigureret efter best practices. Først og fremmest åbne adgangspunkter som kan lukkes ned for at begrænse mængden af angrebsflader. Derudover at infrastrukturen er konfigureret efter least privilege, således at eventuelle succesfulde angreb, bliver begrænset og monitoreret i deres færden, for at begrænse impact.

Afsluttende rapport

Et sikkerhedsreview vil resultere i en rapport som beskriver hvad der er blevet testet og resultaterne heraf. Medfølgende rapporten vil være en Threat Assessment Matrix som vil give en visuel og overskuelig oversigt over sårbarheder, sandsynligheder, risici og løsnings- og mitigeringsforslag. Denne rapport og matrix kan herefter agere fundament til at udarbejde en proces, der skal løfte systemets sikkerhedsniveau på en kosteffektiv måde, så midler forvaltes mest hensigtsmæssigt.

[1] https://docs.microsoft.com/en-us/windows/security/threat-protection/intelligence/supply-chain-malware

[2] https://docs.microsoft.com/en-us/azure/security/develop/threat-modeling-tool-threats

[3] https://owasp.org/www-project-web-security-testing-guide