6. Resultaten validatie en praktijkonderzoek
6.1 Onderzoeksresultaten validatie middels kwaliteitsinterviews
Voor de vastlegging van de kwaliteitsinterviews wordt verwezen naar bijlage 2. Bijlage 2 bevat een uitgebreide uitwerking van de interviews met de volgende functionarissen:
- Ethical hacker (Certified Intrusion Analyst, Systems and Netwerk Auditor en Certified Forensics Analyst)
- Securityspecialist Dienst ICT Politie Nederland (Teamchef C Business Intelligence & Kwaliteit (BI&K))
- IT-auditor (RE, CISA)
In deze paragraaf worden de reacties van geïnterviewden op de doelen van de validatie uit paragraaf 5.2 samengevoegd en afgewogen. Indien op basis van de interviews blijkt dat het theoretisch model aangepast dient te worden, wordt dit hierin verwerkt. Het aangepaste model op basis van de validatie is opgenomen in bijlage 4.
- Vaststellen of de opgenomen authenticatiemethoden juist en volledig zijn en of de indeling van verschillende methoden redelijk is.
Insteek iets wat je weet, iets wat je hebt en iets wat je bent is bekend bij de geïnterviewden en geeft duidelijke scheiding. Eén geïnterviewde geeft aan dat het verschil tussen een token die te raden is en een token die niet te raden enkel is toegelicht, maar dat hier zou ook een geheel eigen categorie van gemaakt kunnen worden.
Geconcludeerd wordt dat de indeling zoals volgt vanuit de theorie voldoet, maar dat deze in een praktisch bruikbaar model meer verduidelijkt kan worden. Het theoretisch model wordt hierop aangepast. De aanpassing betreft enkel een verduidelijking, die geen verdere invloed heeft op de werking van het theoretisch model.
Aanpassing model doorgevoerd in bijlage 4 (paragraaf 9.4), onder stap 1.
- Vaststellen of de wijzen waarop authenticatiemethoden worden doorbroken juist en volledig zijn en of de indeling van verschillende methoden redelijk is.
Verschillende soorten aanvallen zijn duidelijk na enige uitleg. De geïnterviewden vinden de benaming van verschillende wijzen waarop authenticatiemethoden worden doorbroken (aanvallen) niet geheel duidelijk. Met de indeling van verschillende aanvallen zijn de geïnterviewden het wel eens.
Op basis van de respons van de geïnterviewden zal de benaming van aanvallen worden aangepast en zal een korte toelichting worden opgenomen in het model.
- Vaststellen of de beschreven systeeminrichtingen juist en volledig zijn en of de indeling van verschillende methoden redelijk is.
Hierbij geldt ook dat twee inrichtingen uitleg nodig hebben. Dit betreffen ‘firewall’ en ‘SQL-injectie preventie’. De inrichting ‘firewall’ is duidelijk met extra uitleg, die wordt opgenomen in het model. Voor ‘SQL-injectie preventie’ geldt dat deze enkel is gekoppeld aan het niveau systeembeveiliging en niet aan het niveau logische toegangsbeveiliging. De koppeling met logische toegangsbeveiliging dient volgens een geïnterviewde te worden opgenomen indien sprake is van een SQL-injectie aanval die gericht is op authenticatie bypass. Op basis van Kiezun et al (2009) is vastgesteld dat een authenticatie bypass inderdaad een vorm van doorbreken van de logische
toegangsbeveiliging is. Als gevolg hiervan dient de systeeminrichting ‘SQL-injectie preventie’ ook aan het niveau logische toegangsbeveiliging te worden gekoppeld. Dit wordt aangepast in het model.
Aanpassing model doorgevoerd in bijlage 4 (paragraaf 9.4), onder stap 2.
De gekozen systeeminrichtingen zijn naast bovengenoemde voor alle geïnterviewden logisch en er is ook geen sprake van inrichtingen die opvallen als afwezig bij de verschillende geïnterviewden.
- Vaststellen of de actoren die authenticatie doorbreken juist en volledig zijn en of de indeling van verschillende actoren redelijk is.
Alle geïnterviewden zijn het eens dat de huidige indeling niet voldoet. De indeling van verschillende actoren kan volgens de geïnterviewden beter worden gekoppeld aan de kennis die een actor heeft dan om enkel een indeling tussen intern en extern te maken. In het interview met de IT-auditor is dit het meest uitgewerkt in de volgende indeling (die weliswaar uitgebreider is, maar wel aansluit met hetgeen vernomen van de overige geïnterviewden):
1. Een aanvaller met weinig kennis van de organisatie en van systemen kan een aanval middels raden opzetten. Deze aanval wordt door eenvoudig verkrijgbare tooling goed ondersteund. Kennis van de organisatie maakt de aanval eventueel sneller doordat deze gerichter is, maar ook indien deze niet gericht is kan de aanval uitgevoerd worden.
Dit sluit aan met paragraaf 2.4.3, waarin wordt beschreven dat een aanvaller alle mogelijke combinaties op basis van tooling kan proberen te raden en dat meer kennis van de organisatie (en mogelijke combinaties) enkel de duur van de aanval verkort. In het onderzoek van Yiannis (2003) naar aanvallen middels raden wordt de aanval ook als zodanig beschreven.
2. Bij social engineering is enige kennis van de organisatie aanwezig. Aanvullende kennis wordt middels de aanval zelf verkregen, waarna een gerichtere aanval kan worden uitgevoerd (zie ook paragraaf 2.4.3, waarin beschreven is dat social engineering ook vaak een voorstadium is voor een andere aanval). Kennis van tooling hoeft voor een social engineering aanval niet hoog te zijn, doordat deze aanvallen meestal worden uitgevoerd door entiteiten te misleiden op basis van contact middels e-mail, telefonisch of fysiek contact (zie ook paragraaf 2.4.3). 3. Bij meeluisteren en scannen dient een aanvaller in ieder geval enige kennis van
systemen bij een organisatie te hebben en dient deze te weten hoe deze met tooling dient om te gaan. De mate van ‘technische’ kennis die nodig is voor deze aanval is hoog.
Door Kalinovsky (2004) wordt beschreven dat kennis nodig is van de door een organisatie gebruikte protocollen voor communicatie om een meeluister- of scanaanval uit te voeren. Hieruit is af te leiden dat specifieke technische kennis benodigd is en dat tevens kennis van de organisatie nodig is. De aanvaller dient te weten/achterhalen welke informatie deze met welke communicatie kan verkrijgen om de aanval doeltreffend uit te voeren.
4. Voor diefstal dient een aanvaller binnen kantooruren eerst binnen te dringen in een organisatie middels social engineering (anders is sprake van inbraak). Het kennisniveau is daarom gelijk aan social engineering. Voor inbraak is hoge kennis van de organisatie nodig (bijvoorbeeld inbraakbeveiliging, ligging en indeling van het pand, aanwezigheid van beveiligingsfunctionarissen en aanwezigheid van hardware die de aanvaller wil ontvreemden of waartoe deze toegang wil
verkrijgen). Kennis van tooling (technische kennis) is in feite niet nodig, doordat de aanvaller een fysieke handeling uitvoert en geen technische aanval.
Hetgeen beschreven sluit aan met paragraaf 2.4.5 over inbraak en diefstal. 5. Insider aanval. Dit is in tegenstelling tot bovengenoemde aanvallen geen externe
aanval, maar van binnenuit. Hierdoor heeft de aanvaller potentieel de hoogste kennis van de organisatie. Voor de meeste aanvallen is geen technische kennis nodig, doordat de aanvaller gebruik kan maken van privileges die deze al heeft vanuit zijn/haar rol in de organisatie.
In paragraaf 2.5.6 zijn de kenmerken van insider aanvallen beschreven en hetgeen beschreven komt hiermee overeen.
Uit bovenstaande volgt dat twee aspecten relevant zijn voor het indelen van aanvallen, op basis van de actor die een aanval (succesvol) uitvoert:
- Kennis die de aanvaller nodig heeft van de organisatie om de aanval uit te voeren;
- Technische kennis (van bijvoorbeeld tooling) die de aanvaller nodig heeft om de aanval uit te voeren.
Op basis van deze indeling kunnen aanvallen als volgt ingedeeld worden:
Aanval Kennis organisatie Technische kennis
Raden Laag Middel
Social engineering Middel Laag
Meeluisteren en scannen Hoog Hoog
Inbraak (diefstal zie social engineering) Hoog Laag
Insider aanval Laag (heeft alle kennis al,
dus geen kennis meer nodig)
Laag
Tabel 10 – Indeling aanvallen op basis van kennis
In bovenstaande tabel 10 is de indeling laag, middel en hoog gemaakt op basis van onderlinge vergelijking van kennis die nodig is voor een aanval door de onderzoeker en geïnterviewde deskundige. Hierbij staat laag voor een beperkte kennis (van de
organisatie of technische kennis) die nodig is voor het uitvoeren van de aanval en hoog voor een hoge mate van kennis die nodig is.
Het opnemen van deze indeling op basis van kennis in het model geeft als toegevoegde waarde dat de kans op verschillende soorten aanvallen beter kan worden ingeschat. Bij een lage benodigde kennis, kunnen actoren met minder kennis de aanval uitvoeren en is dus de kans dat deze uitgevoerd wordt hoger (door de grotere populatie die de aanval kan uitvoeren).
Het model wordt zodanig aangepast dat aanvallen op basis van kennis worden toegelicht, zodat de inschatting van kans beter kan worden gemaakt. De indeling van interne en externe actoren die een aanval uitvoeren wordt verwijderd, doordat deze indeling volgens de geïnterviewden geen toegevoegde waarde heeft.
Aanpassing model doorgevoerd in bijlage 4 (paragraaf 9.4), onder stap 3 met een toelichtende paragraaf omtrent kennis aanvaller.
- Vaststellen of de risicomodellen passend zijn bij het onderzoek, juist zijn beschreven en of relevante risicomodellen ontbreken.
De keuze voor het risicomodel is logisch voor alle geïnterviewden. De overwegingen dat dit een relevant model is, met specifiek element dat het risico wordt genuanceerd door uitsplitsen van kans en impact, zien de geïnterviewden als een goede grondslag voor de keuze.
- Vaststellen of relaties die zijn gelegd tussen authenticatiemethoden, wijzen waarop authenticatiemethoden worden doorbroken, systeeminrichtingen en actoren die authenticatie doorbreken logisch zijn.
Het verband tussen authenticatiemethode en de wijzen waarop authenticatiemethoden worden doorbroken zijn logisch voor alle geïnterviewden.
Koppeling van de wijze waarop authenticatiemethoden worden doorbroken en
systeeminrichtingen waren ook duidelijk voor de geïnterviewden, hoewel de koppeling van SQL-injectie preventie aan een aanval middels raden enige toelichting nodig had. Met het duidelijker beschrijven van categorieën aanvallen (zie eerder) wordt de onduidelijkheid over deze koppeling verminderd.
De koppeling met actoren die authenticatie doorbreken is als separaat punt opgenomen in het model niet verwerkt in de risico inschatting. De verschillende geïnterviewden vinden deze koppeling niet logisch. Een actor dient gekoppeld te zijn aan de wijze waarop iemand de organisatie binnenkomt (met welke kennis, zie hiervoor bovenstaand).
Aangezien dit invloed heeft op de kans op een aanval en dient de ‘actor’ meegenomen te worden in de inschatting van kans en dit is dus geen separaat punt. Het model wordt hiervoor aangepast.
Aanpassing model doorgevoerd in bijlage 4 (paragraaf 9.4), onder stap 3.
- Vaststellen of het ontwikkelde model op basis van theorie hetgeen hiervoor beschreven juist en volledig weergeeft.
Het model volgt volgens alle geïnterviewden goed uit de besproken theorie, met inachtneming van hetgeen onder de voorgaande kop beschreven (op een andere wijze meenemen van actoren die aanvallen uitvoeren).
Met een geïnterviewde is de koppeling tussen niveaus van systeeminrichting besproken. Besproken is dat het model in eerste instantie gebruikt kan worden om een oordeel te geven over de systeeminrichting per niveau en dat daarna nog een algemene conclusie getrokken kan worden, waarbij dan de invloed van verschillende niveaus op elkaar wordt meegenomen. In een eerder stadium meenemen van de invloed van niveaus op elkaar maakt het model te complex in gebruik voor een gebruiker. Door eerst een oordeel te geven per aanval per niveau van systeeminrichting, is een sterke koppeling aanwezig tussen systeeminrichtingen en de risico inschatting van verschillende aanvallen per niveau. Vervolgens kan in een eindoordeel de conclusie van een niveau versterkt of afgezwakt worden door de invloed die bevindingen op verschillende niveaus op elkaar
Ook is de koppeling tussen de kwantificering van systeeminrichtingen en het risico op doorbreken van authenticatie per niveau van systeeminrichting besproken. In het model worden nu twee waarden opgenomen die een kwantificering aangeven. Dit is het geval bij de sterkte van systeeminrichting en bij de inschatting van het risico op verschillende aanvallen. Het risico wordt per aanval per niveau van inrichting opgenomen (logische toegangsbeveiliging, systeembeveiliging, netwerkbeveiliging, fysieke toegangsbeveiliging en awareness). De geïnterviewde vraagt of een koppeling aanwezig is tussen de
gekwantificeerde inrichting per niveau van systeeminrichting en het risico. Respons hierop is dat dit niet het geval is, maar dat een auditor op basis van de inrichting zich een oordeel kan vellen over risico’s op verschillende aanvallen. Systeeminrichting is gekoppeld aan specifieke aanvallen, waarmee hiertussen een relatie is gelegd. Het is echter enkel op basis van professional judgement in te schatten welke combinaties van tekortkomingen in systeeminrichting leiden tot een hoge kans en/of impact en hiermee een hoog risico. De geïnterviewde is het hiermee eens. Ook geeft deze aan dat
verschillende inrichtingen een verschillende impact hebben op risico’s, waardoor het niet mogelijk en wenselijk is om een directe koppeling tussen de score van inrichtingen en risico’s op te nemen. De gekozen aanpak is besproken en als zodanig akkoord.
De geïnterviewde geeft aan dat in plaats van het scoren van systeeminrichting het ook een optie is om per systeeminrichting een sterkte van de systeeminrichting (gerelateerd aan de kans op een aanval) en het belang van de systeeminrichting (gerelateerd aan de impact van de aanval) te koppelen. Dit sluit meer aan bij het doel van het model (risico inschatting) en geeft ook een betere inschatting van de verschillende inrichtingen. Deze wijze van risico inschatting sluit exact aan met hetgeen beschreven in paragraaf 3.1, daarom wordt de aanbevolen aanpak van de geïnterviewde overgenomen en verwerkt in het model.
Aanpassing model doorgevoerd in bijlage 4 (paragraaf 9.4), onder stap 2.
- Vaststellen of het ontwikkelde model inzicht geeft ten behoeve van een risicogerichte audit van authenticatie en vaststellen of dit inzicht vernieuwend is ten opzichte van bestaande modellen.
Het algemene oordeel van de geïnterviewden is dat het ontwikkelde theoretisch model praktisch bruikbaar is, onder andere doordat specifiek achterhaald kan worden welke systeeminrichting of combinatie van systeeminrichtingen risico’s veroorzaakt voor het doorbreken van authenticatie.
Een geïnterviewde gaf aan dat de waarde van gegevens niet is meegenomen in het model. Hiermee wordt bedoeld, welke data is in systemen aanwezig en hieraan
gekoppeld waarom zou het systeem aangevallen worden. De doelstelling dient te zijn dat systemen met zeer waardevolle data inherent een hoog risico lopen om aangevallen te worden en systemen met niet waardevolle data een laag risico. Waardevolle data kan zeer uiteenlopend zijn en kan bijvoorbeeld bestaan uit gegevens waarmee financiële middelen onttrokken kunnen worden aan de organisatie, maar ook uit data die negatieve publiciteit kan opleveren bij ontsluiten hiervan. Besproken is of dit toegevoegd dient te worden en geconcludeerd wordt dat de waarde van gegevens impliciet wel is opgenomen in het model, doordat:
a. Een audit enkel zou moeten worden uitgevoerd op systemen waarbij een risico op
het doorbreken van authenticatie wordt gelopen. Indien dit niet het geval is, heeft de audit ook geen toegevoegde waarde.
b. In het DREAD-model geven affected users en damage de impact weer. Deze
damage staat voor de schade die kan worden aangericht binnen de organisatie. Indien geen relevante gegevens in een systeem aanwezig zijn, is de schade die
Op basis van deze overwegingen wordt geconcludeerd dat geen aanpassing in het model noodzakelijk is.
Tot slot is met een geïnterviewde besproken is waarom het onderscheid van verschillende aanvallen nu echt relevant is voor een entiteit van het model. Respons was dat dit dient voor de entiteit om specifiek te weten op welke wijze deze kan verwachten aangevallen te worden. Indien de entiteit dit weet, kan deze hiervoor specifiek maatregelen nemen en hierop bijvoorbeeld specifiek een awareness campagne richten. Niet alle
systeeminrichtingen zijn relevant voor alle soorten aanvallen. Hierdoor hoeft een entiteit niet alle systeeminrichtingen op te nemen, maar kan deze specifiek ontbrekende
inrichtingen opnemen om het risico op aanvallen te verminderen. Een goede aanvulling hierop is om mee te nemen welke kennis van de organisatie en welke technische kennis nodig is voor de aanval (zie eerder). Door een indeling te maken naar soort aanval, weet de entiteit welke soort aanvallers deze kan verwachten op basis van kennis, kan de entiteit besluiten welke aanvallers deze in welke mate wil voorkomen. De insteek van het model is op basis van deze overwegingen akkoord.
De validatie van het model leidt ertoe dat er enkele aanpassingen in het ontwikkelde model plaats dienen te vinden om dit verder te verfijnen. Buiten deze aanpassingen wordt door de geïnterviewden aangegeven dat de stappen uit het ontwikkelde model en de verbanden tussen stappen logisch en goed onderbouwd zijn. Hiernaast is het algemene oordeel van de geïnterviewden dat het ontwikkelde theoretisch model praktisch bruikbaar is, onder andere doordat specifiek achterhaald kan worden welke systeeminrichting of combinatie van systeeminrichtingen risico’s veroorzaakt op specifieke aanvallen voor het
doorbreken van authenticatiemechanismen. De voorgestelde wijzigingen zijn in het uiteindelijke model doorgevoerd en vervolgens in de praktijk getoetst (zie