Modell-basiertes IT-Sicherheits- und Compliance-Management Jan Jürjens

Transkript

1 Modell-basiertes IT-Sicherheits- und Compliance-Management Jan Jürjens TU Dortmund und Fraunhofer ISST

2 IT-Sicherheit und Compliance Steigende Anforderungen für Unternehmen, die Konformität mit übergeordneten Regulierungswerken zu demonstrieren: Ab 2013 müssen Versicherungen in der EU Solvency-II erfüllen => Mindestanforderungen an Risikomanagement, insbes. operationale Risken und IT-Sicherheitsrisken (MaRisk VA) Ähnlich im Banken-Bereich: Basel III (bis 2018), MaRisk BA Branchenunabhängig: Gesetz zur Kontrolle und Transparenz im Unternehmensbereich (KontraG); US: Sarbanes-Oxley Aufwendige und kostenintensive manuelle Arbeit. Derzeitige IT-Sicherheits-Bewertungsmethoden sind dafür nicht ausreichend. 1 1 S. Taubenberger, J. Jürjens: Durchführung von IT-Risikobewertungen und die Nutzung von Sicherheitsanforderungen in der Praxis. Studie, Fraunhofer ISST 2011 und DACH security 2011 Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 2

3 Anwendungsgebiet: Clouds Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 3

4 IT-Sicherheits- und Compliance-Management Ziele: Bessere Überprüfbarkeit und Nachvollziehbarkeit von Sicherheits- und Compliance-relevanten Aktivitäten. Kostenersparnis für betroffene Unternehmen durch Werkzeugunterstützung und Konvergenz / Integration von vorhandenen Aktivitäten. Idee: Entwicklung von automatischen Werkzeugen, die das Management von Sicherheits- und Compliance-Anforderungen auf Basis von vorhandenen Artefakten unterstützen. Insbesondere automatisierte IT-Sicherheits- und Risiko- Compliance-Report Analysen auf der Basis von Textdokumenten, Schnittstellen- Spezifikationen, Geschäftsprozess-Modellen, Log-Daten und anderen Datenquellen. Insbesondere auch Anwendung auf den Einsatz von Cloud-Computing. Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M 2.62 Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 4

5 Modell-basiertes Sicherheits-/Compliance-Management Anforderungen Code-/ Testgen. Modelle Analysieren Reverse Engin. Implementierung Generieren Verifizieren Ausführen Evolution Konfiguration Einfügen Konfigurieren Laufzeitsystem Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 5

6 Modellierung mit UMLsec Ziel: Dokumentation und automatische Analyse von sicherheits-relevanten Informationen (z.b. Sicherheits-Eigenschaften und -Anforderungen) als Teil der Systemspezifikation. Idee: UML für System-Modellierung. Sicherheitsinformationen als Markierungen (Stereotypen) einfügen, mithilfe der UML-Erweiterung UMLsec. Automatische Verifikation der Modelle gegen die Sicherheitsanforderungen auf Basis von formaler Semantik. Jan Jürjens: Secure systems development with UML. Springer Chines. Übers Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 6

7 Vorgehen (1): Von Compliance nach IT-Sicherheit MaRisk VA Geschäftsprozess 7.2 (2) Materiell bedeutsame Einzelentscheidungen und Anweisungen von Führungsebenen unterhalb der Geschäftsleitung, die gegen die innerbetrieblichen Leitlinien verstoßen, sind schriftlich zu begründen, zu dokumentieren und der Geschäftsleitung zur Kenntnis vorzulegen. Unterschrift durch Sachbearbeiter Dokumentation über Begründung für eigene Unterschrift schreiben Unterschrift durch Unterschriftsberechtigten Rechtsgültiger Vertrag liegt vor Werkzeug-Repository: formalisierte Compliance-Anforderungen Dann: Begründung für Unterschrift dokumentieren d:unterschrift d:aushändigung Wenn: Ausnahme von innerbetrieblicher Leitlinie Aushändigung des Vertrags Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 7

8 Vorgehen (2): Berücksichtigung von Sicherheitsstandards Werkzeuggestützte Annotation von GP-Modellen mit Risiken anhand des BSI-Grundschutzkataloges: Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 8

9 Vorgehen (3): Modell-basierte Sicherheits-Analyse Strukturanalyse eines Geschäftsprozesses auf Basis von Compliance- Mustern Beispiel: Für jedes Auftreten eines Vertragsabschlusses wird 4-Augen-Prinzip überprüft. Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 9

10 Vorgehen (4): Log-Daten-basierte Sicherheits-Analyse Beispiel: Überprüfung des 4-Augen-Prinzips anhand folgender Informationen: Request Ids stimmen überein Owner sind verschieden Auftrag wurde zum selben Zeitpunkt freigegeben Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 10

11 Werkzeugunterstützung (s. Development Leader: Dr. Sven Wenzel. Senior Developers: Daniel Warzecha. Further developers and contributors: Benjamin Berghoff, Jens Bürger, Lidiya Kaltchev, Johannes Kowald, Kubi Mensah, Marcel Michel, Klaus Rudack Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 11

12 Werkzeugunterstützung: Workflow Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 12

13 Aktuelles Forschungsthema: Sicherheitsanforderungen vs. System-Evolution Sicherer Informationsfluss in einer web-basierten e-commerce- Kundenanwendung: Unsicher, weil der Rückgabe-Wert der öffentlichen Methode rx() von dem vertraulichen Attribut money abhängt. Nicht-trivialer Verifikationsaufwand für Modelle realistischer Größe. Systeme sind kontinuierlicher Evolution unterworfen. Prohibitiv aufwendig, das System komplett zu re-verifizieren, aber Sicherheit ist im Allgemeinen eine Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 13

14 Sicherheitsanforderungen vs. System-Evolution: Lösungsansatz (1) 1) Formalisierung der Modellausführung. Beobachtung: Aktueller Zustand charakterisiert durch Folge t der bereits ausgeführten Transitionen und erhaltener Methodenargumente. Für nächste Statechart-Transition t 1 =(source,msg(input),cond,action,target) und Methodenargument inp definiere Formel Exec(t,t 1,inp)= [ state(t)=source receive(t)=msg(inp) cond(t.t 1 (inp))=true action state(t.t 1 (inp))=target ]. (formalisiert die Ausführung der Transition t 1 im Zustand t bei erhaltenen Methodenargumenten inp). Beispiel: Transition [money=>1000] Exec(t,t 1,inp)= [state(t)=noextraservice receive(t)=wm(inp) money(t)>=1000 money(t.t 1 )=money(t)+inp state(t.t 1 (inp))=extraservice]. Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 14

15 Sicherheitsanforderungen vs. System-Evolution: Lösungsansatz (2) 2 Wenn zwei Systemzustände t, sich nur in den Werten der vertraulichen Attributen unterscheiden, darf ihr öffentlich beobachtbares Verhalten sich nicht unterscheiden: t pub t.t 1 (inp) pub 1 inp) (wobei t.t 1 pub 1 falls Exec(t,t 1,inp) att=wert genau dann wenn Exec 1 att=wert für jedes öffentliches Attribut oder Rückgabewert att). Beispiel: wm(0) pub wm(1000) aber nicht: wm(0).rx() pub wm(1000).rx() Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 15

16 Sicherheitsanforderungen vs. System-Evolution: Lösungsansatz (3) 3) Im Fall einer Evolution (= Modelltransformation) M nur noch die Systemzustände t, betrachten, für die: t pub t.t 1 (inp) pub 2 (inp) => Brauche nur die Teile re-verifizieren, die sich geändert haben. Ermittle diese durch Berechnung der Modell-Differenzen! Beispiel: wm(0).rx() pub wm(1000).rx() Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 16

17 System-Evolution: Werkzeugunterstützung Umsetzung der Evolutions- Analyse im Werkzeugprozess Resultierender Performanzgewinn M. Ochoa, J. Jürjens, D. Warzecha: A Sound Decision Procedure for the Compositionality of Secrecy, 4th International Symposium on Engineering Secure Software and Systems (ESSOS 2012), Springer, LNCS, F. Massacci, J. Jürjens, S. Wenzel et al.: Orchestrating Security and System Engineering for Evolving Systems (Invited paper). 4th European Conference ServiceWave 2011, LNCS, Springer Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 17

18 Anwendung: Mobile Kommunikation bei O 2 UMLsec-basierte Sicherheitsanalyse der Regulierungen für den Einsatz mobiler Endgeräte bei O 2 (Germany) 62 Sicherheitsanforderungen aus Security Policy extrahiert. 21 Geschäftsprozess-relevante Anforderungen in 8 Aktivitätsdiagrammen modelliert mithilfe der UMLsec-Stereotypen <<fair exchange>> and <<provable>> 10 Datensicherheits-Anforderungen (Vertraulichkeit, Integrität) in Deployment-Diagramm modelliert. 3 Anforderungen bzgl. Rollenbasierter Zugangskontrolle (RBAC) modelliert 15 Anforderungen bzgl. Sicherheit der Netzwerkdienste, und Einsatz von Firewalls und Antivirensoftware modelliert (mithilfe weiterer Erweiterung von UMLsec) 13 Anforderungen konnten nicht direkt in UMLsec modelliert werden J. Jürjens, J. Schreck, P. Bartmann Model-based security analysis for mobile communications. 30 th International Conference on Software engineering (ICSE '08). ACM Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 18

19 Anwendungsbeispiel: Internes Informationssystem MetaSearch Engine: Personalisierte Suche im Firmen- Intranet von BMW (passwort-geschützt). Einige Dokumente sehr sicherheitskritisch. Über potentielle Benutzer, Dokumente, Anfragen pro Tag. Nahtlos in unternehmensweite Sicherheitsarchitektur integriert. Bietet Sicherheitsdienste für Anwen-dungen (Benutzerauthentisierung, rollenbasierte Zugangskontrolle, globales Single-Sign-On), Ansatzpunkte für weitere Sicherheitsdienste. Erfolgreich mit UMLsec analysiert. [ICSE 07]

20 Weitere Anwendungen Gesundheitskarte: Architektur mit UMLsec untersucht, Schwachstellen aufgedeckt [Jour. Meth. Inform. Medicine 08] Internes Informationssystem [ICSE 07] Digitaler Formularschrank [SAFECOMP 03] Common Electronic Purse Specifications (Globaler Standard für elektr. Geldbörsen): mehrere Schwachstellen aufgedeckt [IFIPSEC 01, ASE 01] Biometrische Authentisierungssysteme: mehrere Schwachstellen aufgedeckt [ACSAC 05, Models 09] Gesundheitsinformationssysteme [Caise 09] Return-on-Security Investment Abschätzung Analyse Digitale-Signatur-Architektur IT-Sicherheits-Risikomodellierung Smart-card Software-Update Plattform Aktuell: Cloud-Anwender Sicherheitsanalyse Geplant: Cloud-Anbieter Sicherheitsanalyse Sicherheitsökonomische Analysen Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 20

21 Modell-basierte Sicherheit: Überblick über das Forschungsfeld (Auswahl) 1999: A Language for Modeling Secure Business Transactions (Röhm, Herrmann, Pernul) 2001: UMLsec: UML profile for security modelling (Jürjens) Model-based security testing with AutoFocus (Wimmel, Jürjens) 2002: Secure UML: Modelling RBAC with UML (Basin et al.) Hypermedia security modeling with Ariadne (Aedo, Diaz et al.) Aspect-oriented Security Modelling (France et al.) Model-based IT security risk assessment (Stølen et al.) Interactive theorem proving of UML models for security (Haneberg, Reif et al.) 2003: Formal verification for UML models of access control (Koch, Parisi-Presicce) 2004: Automated verification tools for UMLsec (Shabalin et al.) Actor-centric modeling of user rights with UML (Breu et al.) Extending OCL for secure database development (Fernández-Medina et al.) 2005: UMLsec Buch (Jürjens) 2007: Security monitors for UML policy models (Massacci et al.) 2008: Executable misuse cases for security concerns (Whittle et al.) Business Process Compliance Checking (El Kharbili, de Medeiros, Stein, van der Aalst) 2009: Model-based security vs performance evaluation (Woodside et al.) UMLsec Buch: Übersetzung ins Chinesische (Jürjens) 2010: Supporting Compliance through Enhancing Internal Control Systems by Conceptual Business Process Security Modeling (Riesner, Pernul) From requirements to UMLsec models (Houmb et al.; Islam et al.; Mouratidis et al.) Security monitoring for UMLsec models (Bauer et al.; Pironti et al.) Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 21

22 Zusammenfassung: Modell-basiertes IT-Sicherheits- und Compliance-Management Problem: Steigende Anforderungen für Unternehmen, die Konformität mit übergeordneten Regulierungswerken zu demonstrieren. Ziele: Verbesserung der Verlässlichkeit und Nachvollziehbarkeit von Aktivitäten im IT-Sicherheits- und Compliance-Management sowie Kostenersparnis Idee: Entwicklung von automatischen Werkzeugen, die das Management von Sicherheits- und Compliance-Anforderungen auf Basis von vorhandenen Artefakten unterstützen. Automatisierte IT-Sicherheits- und Risiko-Analysen auf der Basis von Textdokumenten, Schnittstellen-Spezifikationen, Geschäftsprozess-Modellen, Log-Daten und anderen Datenquellen. Ergebnisse: Erfolgreiche Validierung in mehreren industriellen Anwendungsprojekten. Aktuelle Arbeiten: Anwendung auf den Einsatz von Cloud-Computing (Projekte SecureClouds, ClouDAT) Berücksichtigung ökonomischer Aspekte (Projekt Seconomics) Compliance-Report Compliant: NEIN Verstöße: - MaRISK VA 7.2: Einhaltung von BSI G3.1 nicht erfüllt Maßnahmen: - BSI Maßnahmenkatalog M 2.62 Einführung Ansatz Vorgehen Werkzeug Evolution Schluss 22