ASIQ-201304
Transcription
ASIQ-201304
Méthode pour le calcul du risque dans les systèmes de contrôle d’accès Hemanth Khambhamme+u, Sofiene Boulares, Kamel Adi, Luigi Logrippo Laboratoire de Recherche en Sécurité Informa@que Université du Québec en Outaouais, Canada Mercredi 17/04/2013 1 Contexte ! Contexte: Systèmes de Contrôle d’accès basés sur le risque ! Problème : Comment calculer le risque pour les requêtes d’accès ? ! Approche du NIST SP 800-30 – Risque = Menace × Vulnérabilité × Impact ! Évaluation de “la menace” – Quatre méthodes différentes pour évaluer “la menace” – Applicable selon les préférences de l’organisation – Les valeurs de la menace affectent la valeur finale du risque 2 Plan • Contrôle d’accès • Approches pour le calcul de “la menace” • Calcul du risque • Conclusion 3 Plan • Contrôle d’accès • Approches pour le calcul de “la menace” • Calcul du risque • Conclusion 4 Contrôle d’accès “Traditionnel” Requête d’accès Base de données Moniteur de référence Décision Politique 5 Contrôle d’accès “Traditionnel” Requête d’accès: Autorisé Base de données Moniteur de référence Décision: Permettre Politique 6 Contrôle d’accès “Traditionnel” Requête d’accès: Non préautorisé Base de données Moniteur de référence Décision: Refuser Politique 7 Contrôle d’accès “Basé sur le risque” Requête d’accès Base de données Moniteur de référence Décision Politique + Valeur du risque acceptable 8 Contrôle d’accès “Basé sur le risque” Requête d’ accès: Autorisé Base de données Moniteur de référence Décision: Permettre Politique + Valeur du risque acceptable 9 Contrôle d’accès “Basé sur le risque” Requête d’accès: Non préautorisé Base de données Moniteur de référence Décision: ? Politique + Valeur du risque acceptable 10 Contrôle d’accès “Basé sur le risque” Requête d’accès: Non préautorisé Base de données Moniteur de référence Décision: Permettre Politique + Valeur du risque acceptable Risque (Requête d’accès) ≤ Valeur du risque acceptable 11 Contrôle d’accès “Basé sur le risque” Requête d’ accès: Non préautorisé Base de données Moniteur de référence Décision: Refuser Politique + Valeur du risque acceptable Risque (Requête d’accès) > Valeur du risque acceptable 12 Plan • Contrôle d’accès • Approches pour le calcul de “la menace” • Calcul du risque • Conclusion 13 Menaces ! Menaces naturelles ! Menaces environnementales ! Menaces humaines ! ! ! ! ! ! Injection code malicieux Ingénierie sociale Fraude et vol Intrusion Accès non autorisé … 14 Facteurs pour l’évaluation des menaces ! Plusieurs facteurs peuvent être utilisés pour évaluer les menaces : ! ! ! ! ! Sensibilité des données Fiabilité des utilisateurs Site Temps … 15 Scénario motivant Org A • Valeurs de sensibilité attribués aux données • Valeurs de fiabilité attribuées aux utilisateurs Org B o1 o2 … … … on Fiabilité des utilisateurs Sensibilité des données Base de données Hypothèses: Menace existe si Fiabilité_utilisateur < Sensibilité_données Sinon Pas de menace 16 Scénario motivant Org A • Utilisateurs directement connus au système • Évaluation de la menace – Sensibilité des données ↑ – Fiabilité des utilisateurs ↓ Base de données Org B 17 Scénario motivant Org A • Utilisateurs directement connus au système • Évaluation de la menace – Sensibilité des données ↑ – Fiabilité des utilisateurs ↓ Base de données • Utilisateurs non connus directement au système Org B • Évaluation de la menace – Sensibilité des données ↓ – Fiabilité des utilisateurs ↑ 18 Définitions ! Entités ! U = ensemble d’utilisateurs ! O = ensemble d’objets ! A = ensemble de droits d’ accès ! L = ensemble de niveaux de sécurité ! 1: Non classé, 2: Classé, 3 : Confidentiel, 4: Secret, 5: Top secret 19 Niveaux de sécurité des utilisateurs ! Chaque utilisateur a un niveau de sécurité ! L’attribution de ce niveau de sécurité peut être basé sur l’hiérarchie dans une entreprise U9lisateur Niveau s1 1 s2 2 s3 3 ! Nous définissons la fonction suivante ! sl : U → L ! exemple: sl (s1) = 1 20 Niveaux de sécurité des objets ! Chaque objet a un niveau de sécurité ! L’attribution de ce niveau de sécurité est faite par le détenteur de l’objet Objet o1 o2 o3 Niveau 3 2 1 ! Nous définissons la fonction suivante ! ol : O → L ! exemple: ol (o1) = 3 21 Menaces ! Quatre approches pour l’évaluation des requêtes d’accès ! Sensibilité des objets et fiabilité des utilisateurs ! Propriétés formelles identifiées pour chaque approche ! Différentes valeurs de menace peuvent être calculés pour les mêmes requêtes d’accès ! Valeurs du risque différentes selon l’approche adoptée 22 Principes Définition : Il existe une menace si un sujet s fait une requête pour accéder à un objet o, tels que sl (s) <ol (o) En d'autres termes, toute requête d’un sujet s pour accéder à un objet o, tels que sl (s) ≥ ol (o) ne présente pas une menace. 1. Principe 1 La valeur de “la menace” augmente quand le niveau de sécurité de l’objet augmente 2. Principe 2 La valeur de “la menace” augmente quand le niveau de sécurité du sujet diminue 3. Principe 3 La valeur de “la menace” augmente quand la différence entre le niveau de sécurité d’un objet et le niveau de sécurité d’un sujet augmente 23 Évaluation de “la menace” fondée sur les niveaux des objets 1. Appliquer Principe 1 (La valeur de “la menace” augmente quand le niveau de sécurité des objets augmente) 2. Lorsque les objets ont les mêmes valeurs de sensibilité, appliquer Principe 2. (La valeur de “la menace” augmente quand le niveau de sécurité des sujets diminue) Menace(s, o) < Menace(sʹ′,oʹ′) Si : 1. ol(o) < ol(oʹ′) 2. ol(o) = ol(oʹ′) et sl(sʹ′) < sl(s). U9lisateur Niveau objet Niveau Alice 90 Bob 80 O 90 Carol 70 O’ 100 Dave 80 Menace(Bob, O) < Menace(Alice, O’) ol(o)= 90 < ol(oʹ′) = 100 Menace(Alice, O’) < Menace(Bob, O’) sl(Bob) = 80 < sl(Alice) = 90 24 Évaluation de “la menace” fondée sur les niveaux des sujets 1. Appliquer Principe 2 (La valeur de la “menace” augmente lorsque le niveau de sécurité des sujets diminue) 2. Lorsque les sujets ont les mêmes niveaux de sécurité, appliquer Principe 1 (La valeur de “menace” augmente quand la valeur de sensibilité des objets augmente) Menace(s,o) < Menace(sʹ′, oʹ′) Si : 1. sl(s’) < sl(s) ou 2. sl(s’) = sl(s) and ol(oʹ′) > ol(o). U9lisateur Niveau objet Niveau Alice 90 O 90 Bob 80 100 Carol 70 O’ Dave 80 Menace(Alice, O’) < Menace(Bob, O) sl(Bob)=80 < sl(Alice)= 90 Menace(Bob, O’) > Menace(Dave, O) ol(O′) =100 > ol(O)= 90 25 Évaluation de “la menace” fondée sur la différence entre les niveaux (Objets) 1. Appliquer Principe 3 (La valeur de la “menace” augmente quand la différence entre le niveau de sécurité d’un objet et le niveau de sécurité d’un sujet augmente.) 2. En cas d’égalité, appliquer Principe 1 (La valeur de “menace” augmente quand la valeur de sensibilité des objets augmente) Menace(s,o) < Menace(sʹ′,oʹ′) Si : 1. (ol(o) − sl(s)) < (ol(oʹ′) − sl(sʹ′)) ou 2. (ol(o) − sl(s)) = (ol(oʹ′) − sl(sʹ′)) et ol(oʹ′) > ol(o). U9lisateur Niveau objet Niveau Alice 90 O 90 Bob 80 100 Carol 70 O’ Dave 80 Menace(Alice, O’) < Menace(Bob, O’) (100 – 90 = 10) < (100-80 = 20) Menace(Dave, O’) > Menace(Carol, O) 100 – 80 = 90 -70 et ol(o′) > ol(o) 26 Évaluation de “la menace” fondée sur la différence entre les niveaux (Sujets) 1. Appliquer le Principe 3 (La valeur de la “menace” augmente quand la différence entre le niveau de sécurité d’un objet et le niveau de sécurité d’un sujet augmente.) 2. En cas d’égalité, appliquer le Principe 2 (La valeur de la “menace” augmente quand la niveau de sécurité des sujets diminue) Menace(s, o) < Menace(sʹ′, oʹ′) Si : 1. (ol(o) − sl(s) < ol(oʹ′) − sl(sʹ′)) ou 2. (ol(o) − sl(s) = ol(oʹ′) − sl(sʹ′)) et sl(sʹ′) < sl(s). U9lisateur Niveau Niveau Menace(Alice, O’) < Menace(Bob, O) (100 – 90 = 10) < (100-80 = 20) O 90 Menace(Bob, O) > Menace(Alice, O’) – 80 = 100 - 90 90 et sl(Bob) < sl(Alice) O’ 100 objet Alice 90 Bob 80 Carol 70 Dave 80 27 Formule (Première approche) Exemple : 28 Résultats (Première approche) Niveau Sujet Niveau Objet 2 3 4 0.38 0.58 0.79 1 1 0 5 1 2 0 0 0.54 0.75 0.96 3 0 0 0 0.71 0.92 4 0 0 0 0 0.88 5 0 0 0 0 0 29 Plan • Contrôle d’accès • Approches pour le calcul de “la menace” • Calcul du risque • Conclusion 30 Classification des objets • Pour chaque objet, considérons 3 critères de sécurité – {confidentialité, intégrité et disponibilité} • Chaque critère a un niveau – L’attribution des niveaux est déterminé par le détenteur de l’objet Objet\ Critère de sécurité O1 O2 O3 Confiden9alité Intégrité disponibilité 3 2 4 2 1 1 1 2 1 Impact des droits d’accès sur les critères de sécurité Chaque action a un effet sur un critère de sécurité Ac9ons\ Critères de sécurité Confiden9alité Lire X Écrire Intégrité Disponibilité X Supprimer X Ce+e matrice peut être représentée comme une fonc@on ! sc : A → SC ! SC est l’ensemble des critères de sécurité ! exemple: sc(lire) = Confiden@alité Calcul du risque Risque(s, o, a) = Menace(s, o) × Impact(o, a) Supposons que l’u@lisateur s1 fait une requête pour accéder en lecture à l’ objet o2. 1. Déterminer le critère de sécurité pour le droit d’accès – En u@lisant la fonc@on sc: A → SC Impact (o2, sc (lire)) 2. U@liser le critère de sécurité pour déterminer la valeur de l’impact Impact (o2, confiden@alité) = 2 Confiden9alité Intégrité disponibilité 3. Iden@fier le niveau de l’u@lisateur O 2 1 2 sl(s1) = 1 4. Calculer la menace (formule 1) Menace (s1, o2) = 0,38 5. Calculer la valeur du risque Risque(s1, o2, lire) = Menace(s1, o2) × Impact(o2, confiden@alité) = 0,38 x 2 = 0,76 2 Plan • Contrôle d’accès • Approches pour le calcul de “la menace” • Calcul du risque • Conclusion 34 Conclusion ! Calcul du risque (Approche NIST) ! Quatre approches différentes pour calculer les menaces ! Formules pour quantifier les menaces ! Cette méthode peut être intégrée à des outils pour gérer les accès 35 MERCI! 36