Mitä on uhkamallinnus ja miksi sinäkin saatat tarvita sitä?

Mitä on uhkamallinnus?

Uhkamallinnus (eng. Threat modeling) on osa riskienhallintatyötä. Se on työkalu, jota käytetään apuna uhkien tunnistamiseen. Uhkamallinnuksessa pyritään tunnistamaan mitkä asiat voisivat todennäköisesti mennä pieleen ja mitä niistä pahimmillaan voisi seurata.

Uhkamallinnus auttaa organisaatioita

1. tunnistamaan kuka voisi aiheuttaa minkäkin tyyppistä ongelmaa
2. ja mitä siitä seuraisi.
   
   

Uhkamallinnuksessa uhkien vaikutukset arvioidaan sekä liiketoiminnallisessa että teknisessä kontekstissa.

Tunnistamisen jälkeen

• uhat priorisoidaan (todennäköisyys x vaikutus)
• ja valitaan hallintakeinot (tekninen ja/tai hallinnollinen).
  
  

Uhkamallinnus on riskienhallintatyötä, mutta miten se eroaa siitä? 

Riski voi olla esimerkiksi tulipalo, maanjäristys tai se, että sähkön hinta nousee tai sähköä ei olekaan saatavilla. Ne ovat aika persoonattomia riskejä sinänsä, että ne "vain tapahtuvat". Sen sijaan tuhopoltto tai sähköjen katkaisu vaativat motivoituneen toimijan, joka haluaa aiheuttaa haittaa.
 
Eli uhkamallinnuksessa ei mietitä pelkästään sitä mikä voisi mennä pieleen, vaan myös sitä, kuka voisi haluta toteuttaa uhkan. On hyvä muistaa, että uhkia on tahallisia ja tahattomia. Se, että joku lähettää haittaohjelman sähköpostin liitteenä on tahallista, mutta vahingossa linkkiä klikkaava aiheuttaa uhan tahattomasti. Motiivi ja käytössä olevat resurssit auttavat kuvittelemaan uhkatoimijat paremmin.

Esimerkkiuhka ja sen vaikutukset

Esimerkkiuhka säätiedoista kertovaan palveluun: Hakkeri löytää "esimerkki.fi-palvelun" käyttämistä kolmannen osapuolen kirjastoista tietoturvapuutteen, joka mahdollistaa luvattoman kirjoitusoperaation tietokantaan.

• Tekninen vaikutus: selaimessa näkyvät tiedot eivät pidä paikkaansa
• Liiketoiminnallinen vaikutus: laivaliikenteessä poikkeuksia, koska luullaan myrskyn olevan tulossa. Tästä seurauksena mainehaitta, kun selviää, että palvelun tarjoamat tiedot olivat räikeästi väärät.

Uhkat toimivat syötteenä tietoturvakontrolleille

Uhkat toimivat syötteenä hallintakeinoille eli tietoturvakontrolleille sekä laadunvarmistukselle.

• Hallintakeinot/tietoturvakontrollit
  • Esimerkiksi vahva tunnistaminen, käyttöoikeustasot, tiedon kryptaaminen
• Laadunvarmistus
  • Esimerkiksi testaussuunnitelma, jossa varmistetaan, että valittu hallintakeino testataan niin, ettei sitä voida ohittaa tai muuten käyttää hyväksi.
    
    

Milloin uhkamallinnus tulisi tehdä?

Uhkamallinnus on hyödyllistä tehdä säännöllisesti. Uhkamallinnus on jatkuva prosessi, jossa mallia päivitetään, kun mallin kohteena oleva järjestelmä muuttuu. Jos järjestelmän verkkonäkyvyys muuttuu (esim. pilvitransformaatio) tai arkkitehtuuri muuttuu merkittävästi, on uhkamallia syytä päivittää.

Laajempaa uhkamallinnusta voi olla järkevä toteuttaa esimerkiksi vuosittain, mutta myös täydentää uhkamallia sitä mukaa, kun järjestelmä päivittyy. Näin uhkamallinnusta voidaan hyödyntää osana uusien ominaisuuksien ja järjestelmään kohdistuvien muutosten suunnittelua, jolloin uhkamallinnuksen avulla voidaan tunnistaa kohteeseen tarvittavia tietoturvakontrolleja.

Miten uhkamallinnus toteutetaan?

Uhkamallinnus toteutetaan yleensä työpajatyyppisesti. Fasilitaattori auttaa ajan hallinnassa ja varmistaa, että kaikki järjestelmän osat käsitellään riittävällä tasolla.

Tapoja jäsentää järjestelmä on monia. Tässä on esimerkkinä yksi:

• Tietosisältö (generoitu, prosessoitu, tallennettu, välitetty)
• Toiminnallisuus (mitä järjestelmällä tehdään)
• Käyttäjät (ihmiset, koneet, eri käyttöoikeustasot)
• Rajapinnat (GUI, APIt, integraatiot muihin järjestelmiin)
• Fyysiset laitteet (ja rajapinnat)
  
  

Uhkien tunnistaminen on usein brainstormausta. Apuna voidaan käyttää myös viitekehyksiä, kuten STRIDE-menetelmää.

Hallintakeinojen eli kontrollien suunnittelu kannattaa tehdä erillisessä sessiossa.

Hallintakeinoista lyhyesti

Tunnistettujen uhkien hallintakeinojen muodostamaa kokonaisuutta kutsutaan tietoturva-arkkitehtuuriksi.

Hallintakeinot jakautuvat teknisiin ja hallinnollisiin kontrolleihin. Esimerkiksi palomuuri on tekninen ja luvitusprosessi on hallinnollinen.

Toiminnallisesti hallintakeinot jakautuvat vielä seuraavasti:

• Estävät eli preventatiiviset kontrollit
  = pyrkivät estämään uhkaa toteutumasta
• Tunnistavat eli detektiiviset kontrollit
  = pyrkivät tunnistamaan toteutuneen uhkan
• Korjaavat eli responsiiviset kontrollit
  = pyrkivät poistamaan uhkan
  
  

Usein on paikallaan varmistaa, että suunnittelun lisäksi tietoturvakontrolli todella on toteutettu (eikä se ole olemassa vain paperilla) ja että kontrolli toimii kuten kuuluukin. Tämä voidaan todentaa mm. penetraatiotestauksen avulla.

Yhteenveto

• Uhkamallinnus on osa riskienhallintaa. Se on työkalu, jonka tarkoituksena on tunnistaa kuka voisi aiheuttaa minkäkin tyyppistä ongelmaa ja mitä siitä seuraisi.
• Uhkamallinnus auttaa organisaatioita parantamaan tietoturvaa. Sen avulla konkretisoidaan uhka, jota vastaan suojausta rakennetaan ja ylläpidetään, eli rivi Excelissä muuttuu eläväksi hahmoksi.
• Jos uhan vaikutus on suuri ja/tai todennäköisyys korkea, niin uhkalle pitää tehdä jotain. Tämä on hallintakeino eli tietoturvakontrolli. Jos hallintakeino on tekninen, niin sovellusturvallisuuden osalta se tarkoittaa, että pitää koodata eksplisiittinen tietoturvakontrolli.
• Penetraatiotestauksen avulla voidaan varmistaa, että tietoturvakontrolli on toteutettu ja että se ei ole heikko tai ohitettavissa. Yksittäisten kontrollien lisäksi pentestauksella varmennetaan myös kontrollien yhteistoiminta.

Tarvitsetko uhkamallinnusta tai penetraatiotestausta?
Ota meihin yhteyttä niin keskustellaan tarpeistasi!