ASIQ-201304

Méthode pour le calcul du risque dans les systèmes de contrôle d’accès Hemanth Khambhamme+u, Sofiene Boulares, Kamel Adi, Luigi Logrippo Laboratoire de Recherche en Sécurité Informa@que Université du Québec en Outaouais, Canada Mercredi 17/04/2013 1 Contexte
!  Contexte: Systèmes de Contrôle d’accès basés
sur le risque
!  Problème : Comment calculer le risque pour les
requêtes d’accès ?
!  Approche du NIST SP 800-30
– Risque = Menace × Vulnérabilité × Impact
!  Évaluation de “la menace”
–  Quatre méthodes différentes pour évaluer “la menace”
–  Applicable selon les préférences de l’organisation
–  Les valeurs de la menace affectent la valeur finale du
risque
2 Plan
•  Contrôle d’accès
•  Approches pour le calcul de “la menace”
•  Calcul du risque
•  Conclusion
3 Plan
•  Contrôle d’accès
•  Approches pour le calcul de “la menace”
•  Calcul du risque
•  Conclusion
4 Contrôle d’accès “Traditionnel”
Requête d’accès
Base de
données
Moniteur de
référence
Décision
Politique
5 Contrôle d’accès “Traditionnel”
Requête d’accès:
Autorisé
Base de
données
Moniteur de
référence
Décision:
Permettre
Politique
6 Contrôle d’accès “Traditionnel”
Requête d’accès:
Non préautorisé
Base de
données
Moniteur de
référence
Décision:
Refuser
Politique
7 Contrôle d’accès “Basé sur le risque”
Requête d’accès
Base de
données
Moniteur de
référence
Décision
Politique
+
Valeur du
risque
acceptable
8 Contrôle d’accès “Basé sur le risque”
Requête d’ accès:
Autorisé
Base de
données
Moniteur de
référence
Décision:
Permettre
Politique
+
Valeur du
risque
acceptable
9 Contrôle d’accès “Basé sur le risque”
Requête d’accès:
Non préautorisé
Base de
données
Moniteur de
référence
Décision:
?
Politique
+
Valeur du
risque
acceptable
10 Contrôle d’accès “Basé sur le risque”
Requête d’accès:
Non préautorisé
Base de
données
Moniteur de
référence
Décision:
Permettre
Politique
+
Valeur du
risque
acceptable
Risque (Requête
d’accès) ≤
Valeur du risque
acceptable
11 Contrôle d’accès “Basé sur le risque”
Requête d’ accès:
Non préautorisé
Base de
données
Moniteur de
référence
Décision:
Refuser Politique
+
Valeur du
risque
acceptable
Risque (Requête
d’accès) >
Valeur du risque
acceptable
12 Plan
•  Contrôle d’accès
•  Approches pour le calcul de “la menace”
•  Calcul du risque
•  Conclusion
13 Menaces
!  Menaces naturelles
!  Menaces environnementales
!  Menaces humaines
!
!
!
!
!
!
 Injection code malicieux
 Ingénierie sociale
 Fraude et vol
 Intrusion
 Accès non autorisé
 …
14 Facteurs pour l’évaluation des menaces
!  Plusieurs facteurs peuvent être utilisés pour
évaluer les menaces :
!
!
!
!
!
 Sensibilité des données
 Fiabilité des utilisateurs
 Site
 Temps
 …
15 Scénario motivant
Org A
•  Valeurs de sensibilité
attribués aux données
•  Valeurs de fiabilité
attribuées aux utilisateurs
Org B
o1
o2
…
…
…
on
Fiabilité des
utilisateurs
Sensibilité des
données
Base de
données
Hypothèses:
Menace existe si
Fiabilité_utilisateur <
Sensibilité_données
Sinon Pas de menace
16 Scénario motivant
Org A
• Utilisateurs directement
connus au système
•  Évaluation de la menace
– Sensibilité des données ↑
– Fiabilité des utilisateurs ↓
Base de
données
Org B
17 Scénario motivant
Org A
• Utilisateurs directement
connus au système
•  Évaluation de la menace
– Sensibilité des données ↑
– Fiabilité des utilisateurs ↓
Base de
données
• Utilisateurs non connus
directement au système
Org B
•  Évaluation de la menace
– Sensibilité des données ↓
– Fiabilité des utilisateurs ↑
18 Définitions
!  Entités
!  U = ensemble d’utilisateurs
!  O = ensemble d’objets
!  A = ensemble de droits d’ accès
!  L = ensemble de niveaux de sécurité
!  1: Non classé, 2: Classé, 3 : Confidentiel, 4:
Secret, 5: Top secret
19 Niveaux de sécurité des utilisateurs
!  Chaque utilisateur a un niveau de sécurité
!  L’attribution de ce niveau de sécurité peut être
basé sur l’hiérarchie dans une entreprise
U9lisateur Niveau s1 1 s2 2 s3 3 !  Nous définissons la fonction suivante
! sl : U → L
!  exemple: sl (s1) = 1
20 Niveaux de sécurité des objets
!  Chaque objet a un niveau de sécurité
!  L’attribution de ce niveau de sécurité est faite
par le détenteur de l’objet
Objet o1 o2 o3 Niveau 3 2 1 !  Nous définissons la fonction suivante
! ol : O → L
!  exemple: ol (o1) = 3
21 Menaces
!  Quatre approches pour l’évaluation des requêtes
d’accès
!  Sensibilité des objets et fiabilité des
utilisateurs
!  Propriétés formelles identifiées pour chaque
approche
!  Différentes valeurs de menace peuvent être
calculés pour les mêmes requêtes d’accès
!  Valeurs du risque différentes selon l’approche
adoptée
22 Principes
Définition : Il existe une menace si un sujet s fait une
requête pour accéder à un objet o, tels que sl (s) <ol (o)
En d'autres termes, toute requête d’un sujet s pour accéder
à un objet o, tels que sl (s) ≥ ol (o) ne présente pas une
menace.
1.  Principe 1 La valeur de “la menace” augmente quand le
niveau de sécurité de l’objet augmente
2.  Principe 2 La valeur de “la menace” augmente quand le
niveau de sécurité du sujet diminue
3.  Principe 3 La valeur de “la menace” augmente quand la
différence entre le niveau de sécurité d’un objet et le niveau
de sécurité d’un sujet augmente
23 Évaluation de “la menace”
fondée sur les niveaux des objets 1. Appliquer Principe 1 (La valeur de “la menace” augmente
quand le niveau de sécurité des objets augmente)
2. Lorsque les objets ont les mêmes valeurs de sensibilité,
appliquer Principe 2. (La valeur de “la menace” augmente
quand le niveau de sécurité des sujets diminue)
Menace(s, o) < Menace(sʹ′,oʹ′) Si : 1. ol(o) < ol(oʹ′) 2. ol(o) = ol(oʹ′) et sl(sʹ′) < sl(s). U9lisateur Niveau objet Niveau Alice 90 Bob 80 O 90 Carol 70 O’ 100 Dave 80 Menace(Bob, O) < Menace(Alice, O’)
ol(o)= 90 < ol(oʹ′) = 100
Menace(Alice, O’) < Menace(Bob, O’)
sl(Bob) = 80 < sl(Alice) = 90 24 Évaluation de “la menace”
fondée sur les niveaux des sujets 1.  Appliquer Principe 2 (La valeur de la “menace” augmente
lorsque le niveau de sécurité des sujets diminue)
2. Lorsque les sujets ont les mêmes niveaux de sécurité,
appliquer Principe 1 (La valeur de “menace” augmente quand
la valeur de sensibilité des objets augmente)
Menace(s,o) < Menace(sʹ′, oʹ′) Si : 1. sl(s’) < sl(s) ou 2. sl(s’) = sl(s) and ol(oʹ′) > ol(o). U9lisateur Niveau objet Niveau Alice 90 O 90 Bob 80 100 Carol 70 O’ Dave 80 Menace(Alice, O’) < Menace(Bob, O)
sl(Bob)=80 < sl(Alice)= 90
Menace(Bob, O’) > Menace(Dave, O)
ol(O′) =100 > ol(O)= 90
25 Évaluation de “la menace”
fondée sur la différence entre les niveaux (Objets) 1. Appliquer Principe 3 (La valeur de la “menace” augmente
quand la différence entre le niveau de sécurité d’un objet et le
niveau de sécurité d’un sujet augmente.)
2. En cas d’égalité, appliquer Principe 1 (La valeur de
“menace” augmente quand la valeur de sensibilité des objets
augmente)
Menace(s,o) < Menace(sʹ′,oʹ′) Si : 1. (ol(o) − sl(s)) < (ol(oʹ′) − sl(sʹ′)) ou 2. (ol(o) − sl(s)) = (ol(oʹ′) − sl(sʹ′)) et ol(oʹ′) > ol(o). U9lisateur Niveau objet Niveau Alice 90 O 90 Bob 80 100 Carol 70 O’ Dave 80 Menace(Alice, O’) < Menace(Bob, O’)
(100 – 90 = 10) < (100-80 = 20)
Menace(Dave,
O’) > Menace(Carol, O)
100 – 80 = 90 -70
et ol(o′) > ol(o)
26 Évaluation de “la menace”
fondée sur la différence entre les niveaux (Sujets) 1. Appliquer le Principe 3 (La valeur de la “menace” augmente
quand la différence entre le niveau de sécurité d’un objet et le
niveau de sécurité d’un sujet augmente.)
2. En cas d’égalité, appliquer le Principe 2 (La valeur de la
“menace” augmente quand la niveau de sécurité des sujets
diminue)
Menace(s, o) < Menace(sʹ′, oʹ′) Si : 1. (ol(o) − sl(s) < ol(oʹ′) − sl(sʹ′)) ou 2. (ol(o) − sl(s) = ol(oʹ′) − sl(sʹ′)) et sl(sʹ′) < sl(s). U9lisateur Niveau Niveau Menace(Alice, O’) < Menace(Bob, O)
(100 – 90 = 10) < (100-80 = 20)
O 90 Menace(Bob, O) > Menace(Alice, O’)
– 80 = 100 - 90
90
et sl(Bob) < sl(Alice) O’ 100 objet Alice 90 Bob 80 Carol 70 Dave 80 27 Formule (Première approche)
Exemple : 28 Résultats (Première approche)
Niveau Sujet Niveau Objet 2 3 4 0.38 0.58 0.79 1 1 0 5 1 2 0 0 0.54 0.75 0.96 3 0 0 0 0.71 0.92 4 0 0 0 0 0.88 5 0 0 0 0 0 29 Plan
•  Contrôle d’accès
•  Approches pour le calcul de “la menace”
•  Calcul du risque
•  Conclusion
30 Classification des objets
•  Pour chaque objet, considérons 3 critères de
sécurité
–  {confidentialité, intégrité et disponibilité}
•  Chaque critère a un niveau
–  L’attribution des niveaux est déterminé par le
détenteur de l’objet
Objet\ Critère de sécurité O1 O2 O3 Confiden9alité Intégrité disponibilité 3 2 4 2 1 1 1 2 1 Impact des droits d’accès sur les critères de sécurité Chaque action a un effet sur un critère de sécurité
Ac9ons\ Critères de sécurité Confiden9alité Lire X Écrire Intégrité Disponibilité X Supprimer X Ce+e matrice peut être représentée comme une fonc@on !   sc : A → SC !   SC est l’ensemble des critères de sécurité !   exemple: sc(lire) = Confiden@alité Calcul du risque
Risque(s, o, a) = Menace(s, o) × Impact(o, a) Supposons que l’u@lisateur s1 fait une requête pour accéder en lecture à l’ objet o2. 1.  Déterminer le critère de sécurité pour le droit d’accès –  En u@lisant la fonc@on sc: A → SC Impact (o2, sc (lire)) 2.  U@liser le critère de sécurité pour déterminer la valeur de l’impact Impact (o2, confiden@alité) = 2 Confiden9alité Intégrité disponibilité 3.  Iden@fier le niveau de l’u@lisateur O
2 1 2 sl(s1) = 1 4. Calculer la menace (formule 1) Menace (s1, o2) = 0,38 5.  Calculer la valeur du risque Risque(s1, o2, lire) = Menace(s1, o2) × Impact(o2, confiden@alité) = 0,38 x 2 = 0,76
2 Plan
•  Contrôle d’accès
•  Approches pour le calcul de “la menace”
•  Calcul du risque
•  Conclusion
34 Conclusion
!  Calcul du risque (Approche NIST)
!  Quatre approches différentes pour calculer les
menaces
!  Formules pour quantifier les menaces
!  Cette méthode peut être intégrée à des outils
pour gérer les accès
35 MERCI!
36