Policies & Risk Analysis CS461/ECE422 Spring 2012 - - PowerPoint PPT Presentation

Policies ¡& ¡Risk ¡Analysis ¡

CS461/ECE422 ¡ Spring ¡2012 ¡

Readings ¡

• Chapters ¡14 ¡and ¡15 ¡of ¡Computer ¡Security ¡
• Informa(on ¡Security ¡Policies ¡and ¡Procedures, ¡

Thomas ¡PelEer ¡

• Informa(on ¡Security ¡Risk ¡Analysis, ¡by ¡Thomas ¡R. ¡

PelEer ¡

– On ¡reserve ¡at ¡the ¡library ¡ – Chapters ¡1 ¡and ¡2 ¡Google ¡Books ¡ – IdenEfies ¡basic ¡elements ¡of ¡risk ¡analysis ¡and ¡reviews ¡ several ¡variants ¡of ¡qualitaEve ¡approaches ¡

• SANS ¡policy ¡project ¡

– hRp://www.sans.org/resources/policies/ ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 2 ¡

Security ¡Policy ¡

• A ¡security ¡policy ¡is ¡a ¡formal ¡statement ¡of ¡the ¡

rules ¡by ¡which ¡people ¡who ¡are ¡given ¡access ¡to ¡ an ¡organizaEon’s ¡technology ¡and ¡informaEon ¡ assets ¡must ¡apply. ¡(RFC ¡2196) ¡

• Defines ¡what ¡it ¡means ¡for ¡the ¡organizaEon ¡to ¡

be ¡in ¡a ¡secure ¡state. ¡

– Otherwise ¡people ¡can ¡claim ¡ignorance. ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 3 ¡

Mechanisms ¡or ¡Controls ¡or ¡ ¡ Countermeasures ¡

• EnEty ¡or ¡procedure ¡that ¡enforces ¡some ¡part ¡of ¡

the ¡security ¡policy ¡

– Access ¡controls ¡(like ¡bits ¡to ¡prevent ¡someone ¡from ¡ reading ¡a ¡homework ¡file) ¡ – Disallowing ¡people ¡from ¡bringing ¡CDs ¡and ¡floppy ¡ disks ¡into ¡a ¡computer ¡facility ¡to ¡control ¡what ¡is ¡ placed ¡on ¡systems ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 4 ¡

• ­‑5 ¡

Types ¡of ¡Policies ¡that ¡Affect ¡ InformaEon ¡Security ¡

• Data ¡protecEon ¡
• Privacy ¡
• Email ¡
• Hiring ¡
• Numerous ¡others ¡types ¡of ¡organizaEonal ¡

policies ¡with ¡varying ¡impact ¡on ¡informaEon ¡ security ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

• ­‑6 ¡

Natural ¡Language ¡Security ¡Policies ¡

• TargeEng ¡Humans ¡

– WriRen ¡at ¡different ¡levels ¡

• To ¡inform ¡end ¡users ¡
• To ¡inform ¡lawyers ¡
• To ¡inform ¡technicians ¡
• Users, ¡owners, ¡beneficiaries ¡(customers) ¡
• As ¡with ¡all ¡policies, ¡should ¡define ¡purpose ¡not ¡mechanism ¡

– May ¡have ¡addiEonal ¡documents ¡that ¡define ¡how ¡policy ¡maps ¡to ¡ mechanism ¡

• Should ¡be ¡enduring ¡

– Don't ¡want ¡to ¡update ¡with ¡each ¡change ¡to ¡technology ¡

• Shows ¡due ¡diligence ¡on ¡part ¡of ¡the ¡organizaEon ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Key ¡Parts ¡of ¡OrganizaEonal ¡Policy ¡

• 1. What ¡is ¡being ¡protected? ¡ ¡Why? ¡
• 2. Generally ¡how ¡should ¡it ¡be ¡protected? ¡
• 3. Who ¡is ¡responsible ¡for ¡ensuring ¡policy ¡is ¡

applied? ¡

• 4. How ¡are ¡conflicts ¡and ¡discrepancies ¡to ¡be ¡

interpreted ¡and ¡resolved? ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 7 ¡

• ­‑8 ¡

How ¡to ¡Write ¡a ¡Policy ¡

• Understand ¡your ¡environment ¡

– Risk ¡Analysis ¡(see ¡next ¡lecture) ¡

• Understand ¡your ¡industry ¡

– Look ¡for ¡“standards” ¡from ¡similar ¡companies ¡ – Leverage ¡others ¡wisdom ¡ – Already ¡proven ¡with ¡auditors/regulators ¡

• Standards ¡
• ISO ¡17799 ¡– ¡Code ¡of ¡PracEce ¡for ¡InformaEon ¡Security ¡

Management ¡

• COBIT ¡– ¡Control ¡ObjecEves ¡for ¡InformaEon ¡and ¡Related ¡

Technolgy ¡

• SANS, ¡CERT ¡have ¡policy ¡guidelines ¡
• Gather ¡the ¡right ¡set ¡of ¡people ¡

– Technical ¡experts, ¡person ¡ulEmately ¡responsible, ¡person ¡who ¡ can ¡make ¡it ¡happen ¡ – Not ¡just ¡the ¡security ¡policy ¡“expert” ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Security ¡Policy ¡Life ¡Cycle ¡

Risk ¡Analysis ¡ Policy ¡ Development ¡ Reassessment ¡ Policy ¡ ImplementaEon ¡ Raising ¡ Awareness ¡ Policy ¡ Approval ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 9 ¡

• ­‑10 ¡

Security ¡Policy ¡Contents ¡

• Purpose ¡– ¡Why ¡are ¡we ¡trying ¡to ¡secure ¡

things ¡

• IdenEfy ¡protected ¡resources ¡
• Who ¡is ¡responsible ¡for ¡protecEng ¡ ¡

– What ¡kind ¡of ¡protecEon? ¡ ¡Degree ¡but ¡probably ¡ not ¡precise ¡mechanism. ¡ ¡

• Cover ¡all ¡cases ¡
• RealisEc ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

More ¡Specific ¡Policy ¡Content ¡Ideas ¡

• Principles ¡of ¡Security ¡
• OrganizaEonal ¡ReporEng ¡

Structure ¡

• Physical ¡Security ¡
• Hiring, ¡management, ¡

firing ¡

• Data ¡protecEon ¡
• CommunicaEon ¡security ¡
• Hardware ¡
• Sonware ¡
• OperaEng ¡systems ¡
• Technical ¡support ¡
• Privacy ¡
• Access ¡
• Accountability ¡
• AuthenEcaEon ¡
• Availability ¡
• Maintenance ¡
• ViolaEons ¡reporEng ¡
• Business ¡conEnuity ¡
• SupporEng ¡informaEon ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 11 ¡

• ­‑12 ¡

University ¡of ¡Illinois ¡InformaEon ¡ Security ¡Policies ¡

• University ¡of ¡Illinois ¡InformaEon ¡Security ¡Policies ¡

– System ¡wide ¡policy; ¡IdenEfies ¡what, ¡not ¡how ¡ – hRp://www.obfs.uillinois.edu/cms/one.aspx? pageId=914038 ¡

• CITES ¡UIUC ¡standards ¡and ¡guidelines ¡

– DNS ¡-­‑ ¡hRp://www.cites.uiuc.edu/dns/standards.html ¡ – FERPA ¡-­‑ ¡ hRp://www.cites.uiuc.edu/edtech/development_aids/ ferpa/index.html ¡

• CS ¡Department ¡policies ¡
• hRps://wiki.engr.illinois.edu/display/tsg/Policies ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

• ­‑13 ¡

Example ¡Privacy ¡policies ¡

• Busey ¡Bank ¡
• hRps://www.busey.com/home/fiFiles/staEc/

documents/privacy.pdf ¡ – Financial ¡Privacy ¡Policy ¡

• Targets ¡handling ¡of ¡personal ¡non-­‑public ¡data ¡
• Clarifies ¡what ¡data ¡is ¡protected ¡
• Who ¡the ¡data ¡is ¡shared ¡with ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

• ­‑14 ¡

Poorly ¡WriRen ¡Policies ¡

• Cars.gov ¡– ¡Had ¡following ¡in ¡click-­‑through ¡policy ¡

for ¡dealers ¡

• This ¡applicaEon ¡provides ¡access ¡to ¡the ¡[Department ¡of ¡

TransportaEon] ¡DoT ¡CARS ¡system. ¡When ¡logged ¡on ¡to ¡the ¡CARS ¡ system, ¡your ¡computer ¡is ¡considered ¡a ¡Federal ¡computer ¡system ¡ and ¡is ¡the ¡property ¡of ¡the ¡U.S. ¡Government. ¡Any ¡or ¡all ¡uses ¡of ¡this ¡ system ¡and ¡all ¡files ¡on ¡this ¡system ¡may ¡be ¡intercepted, ¡monitored, ¡ recorded, ¡copied, ¡audited, ¡inspected, ¡and ¡disclosed... ¡to ¡ authorized ¡CARS, ¡DoT, ¡and ¡law ¡enforcement ¡personnel, ¡as ¡well ¡as ¡ authorized ¡officials ¡of ¡other ¡agencies, ¡both ¡domesEc ¡and ¡foreign. ¡

• According ¡to ¡ ¡EFF ¡

– hRp://www.eff.org/deeplinks/2009/08/cars-­‑gov-­‑ terms-­‑service ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

• ­‑15 ¡

Example ¡Acceptable ¡Use ¡Policy ¡

• IEEE ¡Email ¡Acceptable ¡Use ¡Policy ¡ ¡

– hRp://eleccomm.ieee.org/email-­‑aup.shtml ¡ – Inform ¡user ¡of ¡what ¡he ¡can ¡do ¡with ¡IEEE ¡email ¡ – Inform ¡user ¡of ¡what ¡IEEE ¡will ¡provide ¡

• Does ¡not ¡accept ¡responsibility ¡of ¡acEons ¡resulEng ¡

from ¡user ¡email ¡

• Does ¡not ¡guarantee ¡privacy ¡of ¡IEEE ¡computers ¡and ¡

networks ¡

– Examples ¡of ¡acceptable ¡and ¡unacceptable ¡use ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#16 ¡

What ¡is ¡Risk? ¡ ¡

• The ¡probability ¡that ¡a ¡parEcular ¡threat ¡will ¡

exploit ¡a ¡parEcular ¡vulnerability ¡

– Not ¡a ¡certainty. ¡ ¡ – Risk ¡impact ¡– ¡loss ¡associated ¡with ¡exploit ¡

• Need ¡to ¡systemaEcally ¡understand ¡risks ¡to ¡a ¡

system ¡and ¡decide ¡how ¡to ¡control ¡them. ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#17 ¡

What ¡is ¡Risk ¡Analysis? ¡

• The ¡process ¡of ¡idenEfying, ¡assessing, ¡and ¡

reducing ¡risks ¡to ¡an ¡acceptable ¡level ¡

– Defines ¡and ¡controls ¡threats ¡and ¡vulnerabiliEes ¡ – Implements ¡risk ¡reducEon ¡measures ¡

• An ¡analyEc ¡discipline ¡with ¡three ¡parts: ¡

– Risk ¡assessment: ¡determine ¡what ¡the ¡risks ¡are ¡ – Risk ¡management: ¡evaluaEng ¡alternaEves ¡for ¡ miEgaEng ¡the ¡risk ¡ – Risk ¡communicaEon: ¡presenEng ¡this ¡material ¡in ¡an ¡ understandable ¡way ¡to ¡decision ¡makers ¡and/or ¡the ¡ public ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#18 ¡

Risk ¡Management ¡Cycle ¡

From GAO/AIMD-99-139

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#19 ¡

Basic ¡Risk ¡Analysis ¡Structure ¡

• Evaluate ¡

– Value ¡of ¡compuEng ¡and ¡informaEon ¡assets ¡ – VulnerabiliEes ¡of ¡the ¡system ¡ – Threats ¡from ¡inside ¡and ¡outside ¡ – Risk ¡prioriEes ¡

• Examine ¡

– Availability ¡of ¡security ¡countermeasures ¡ – EffecEveness ¡of ¡countermeasures ¡ – Costs ¡(installaEon, ¡operaEon, ¡etc.) ¡of ¡countermeasures ¡

• Implement ¡and ¡Monitor ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#20 ¡

Who ¡should ¡be ¡Involved? ¡

• Security ¡Experts ¡
• Internal ¡domain ¡experts ¡

– Knows ¡best ¡how ¡things ¡really ¡work ¡

• Managers ¡responsible ¡for ¡implemenEng ¡

controls ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#21 ¡

IdenEfy ¡Assets ¡

• Asset ¡– ¡Anything ¡of ¡value ¡

– Physical ¡Assets ¡

• Buildings, ¡computers ¡

– Logical ¡Assets ¡

• Intellectual ¡property, ¡reputaEon

¡ ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#22 ¡

Example ¡CriEcal ¡Assets ¡

• People ¡and ¡skills ¡
• Goodwill ¡
• Hardware/Sonware ¡
• Data ¡
• DocumentaEon ¡
• Supplies ¡
• Physical ¡plant ¡
• Money ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#23 ¡

VulnerabiliEes ¡

• Flaw ¡or ¡weakness ¡in ¡system ¡that ¡can ¡be ¡

exploited ¡to ¡violate ¡system ¡integrity. ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#24 ¡

Example ¡VulnerabiliEes ¡

• Physical ¡
• V01 ¡Suscep(ble ¡to ¡

unauthorized ¡building ¡ access ¡

• V02 ¡Computer ¡Room ¡

suscep(ble ¡to ¡unauthorized ¡ access ¡

• V03 ¡Media ¡Library ¡suscep(ble ¡

to ¡unauthorized ¡ access ¡

• V04 ¡Inadequate ¡visitor ¡control ¡

procedures ¡

• (and ¡36 ¡more) ¡
• Administra(ve ¡
• V41 ¡Lack ¡of ¡management ¡

support ¡for ¡security ¡

• V42 ¡No ¡separa(on ¡of ¡du(es ¡

policy ¡

• V43 ¡Inadequate/no ¡computer ¡

security ¡plan ¡policy ¡

• V47 ¡Inadequate/no ¡

emergency ¡ac(on ¡plan ¡

• (and ¡7 ¡more) ¡
• Personnel ¡
• V56 ¡Inadequate ¡personnel ¡

screening ¡

• V57 ¡Personnel ¡not ¡adequately ¡

trained ¡in ¡job ¡

• ... ¡
• SoQware ¡
• V62 ¡Inadequate/missing ¡audit ¡

trail ¡capability ¡

• V63 ¡Audit ¡trail ¡log ¡not ¡

reviewed ¡weekly ¡

• V64 ¡Inadequate ¡control ¡over ¡

applica(on/program ¡ changes ¡ Communica(ons ¡

• V87 ¡Inadequate ¡communica(ons ¡

system ¡

• V88 ¡Lack ¡of ¡encryp(on ¡
• V89 ¡Poten(al ¡for ¡disrup(ons ¡
• ... ¡
• Hardware ¡
• V92 ¡Lack ¡of ¡hardware ¡inventory ¡
• V93 ¡Inadequate ¡monitoring ¡of ¡

maintenance ¡ personnel ¡

• V94 ¡No ¡preven(ve ¡maintenance ¡

program ¡

• … ¡
• V100 ¡Suscep(ble ¡to ¡electronic ¡

emana(ons ¡

¡ ¡ 2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#25 ¡

Threats ¡

• Set ¡of ¡circumstances ¡that ¡has ¡the ¡potenEal ¡

to ¡cause ¡loss ¡or ¡harm ¡

• ARacks ¡against ¡key ¡security ¡services ¡

– ConfidenEality, ¡integrity, ¡availability ¡

• Threats ¡trigger ¡vulnerabiliEes ¡

– Accidental ¡ – Malicious ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#26 ¡

Example ¡Threat ¡List ¡

• T01 ¡Access ¡(Unauthorized ¡to ¡

System ¡-­‑ ¡logical) ¡

• T02 ¡Access ¡(Unauthorized ¡to ¡Area ¡
• ­‑ ¡physical) ¡
• T03 ¡Airborne ¡ParAcles ¡(Dust) ¡
• T04 ¡Air ¡CondiAoning ¡Failure ¡
• T05 ¡ApplicaAon ¡Program ¡Change ¡

(Unauthorized) ¡

• T06 ¡Bomb ¡Threat ¡
• T07 ¡Chemical ¡Spill ¡
• T08 ¡Civil ¡Disturbance ¡
• T09 ¡CommunicaAons ¡Failure ¡
• T10 ¡Data ¡AlteraAon ¡(Error) ¡
• T11 ¡Data ¡AlteraAon ¡(Deliberate) ¡
• T12 ¡Data ¡DestrucAon ¡(Error) ¡
• T13 ¡Data ¡DestrucAon ¡(Deliberate) ¡
• T14 ¡Data ¡Disclosure ¡

(Unauthorized) ¡

• T15 ¡Disgruntled ¡Employee ¡
• T16 ¡Earthquakes ¡

¡

• T17 ¡Errors ¡(All ¡Types) ¡
• T18 ¡Electro-­‑MagneAc ¡

Interference ¡

• T19 ¡EmanaAons ¡DetecAon ¡
• T20 ¡Explosion ¡(Internal) ¡
• T21 ¡Fire, ¡Catastrophic ¡
• T22 ¡Fire, ¡Major ¡
• T23 ¡Fire, ¡Minor ¡
• T24 ¡Floods/Water ¡Damage ¡
• T25 ¡Fraud/Embezzlement ¡
• T26 ¡Hardware ¡Failure/

MalfuncAon ¡

• T27 ¡Hurricanes ¡
• T28 ¡Injury/Illness ¡(Personal) ¡
• T29 ¡Lightning ¡Storm ¡
• T30 ¡Liquid ¡Leaking ¡(Any) ¡
• T31 ¡Loss ¡of ¡Data/So[ware ¡
• T32 ¡Marking ¡of ¡Data/Media ¡

Improperly ¡

• T33 ¡Misuse ¡of ¡Computer/

Resource ¡

• T34 ¡Nuclear ¡Mishap ¡
• T35 ¡OperaAng ¡System ¡PenetraAon/

AlteraAon ¡

• T36 ¡Operator ¡Error ¡
• T37 ¡Power ¡FluctuaAon ¡(Brown/

Transients) ¡

• T38 ¡Power ¡Loss ¡
• T39 ¡Programming ¡Error/Bug ¡
• T40 ¡Sabotage ¡
• T41 ¡StaAc ¡Electricity ¡
• T42 ¡Storms ¡(Snow/Ice/Wind) ¡
• T43 ¡System ¡So[ware ¡AlteraAon ¡
• T44 ¡Terrorist ¡AcAons ¡
• T45 ¡The[ ¡(Data/Hardware/

So[ware) ¡

• T46 ¡Tornado ¡
• T47 ¡Tsunami ¡(Pacific ¡area ¡only) ¡
• T48 ¡Vandalism ¡
• T49 ¡Virus/Worm ¡(Computer) ¡
• T50 ¡Volcanic ¡ErupAon ¡

¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Characterize ¡Threat-­‑Sources ¡

Threat ¡ Source ¡ MoAvaAon ¡ Capability ¡ Resources ¡ Aaack ¡ Probability ¡ Deterrenc e ¡

Script ¡ Kiddy ¡ Challenge, ¡ego, ¡ rebellion ¡ Standard ¡scripts ¡ Personal ¡

• assets. ¡

Internet ¡ access ¡ Certain ¡ Internet ¡ Firewall/IPS ¡ Terrorist ¡ Ideological, ¡ destrucEon, ¡ fund ¡raising ¡ Can ¡hire ¡smart ¡ people ¡ Internet ¡ access, ¡ substanEal ¡ hardware, ¡ infiltraEon ¡ Depends ¡on ¡

• rganizaEon ¡

Internet ¡ Firewall/IPS, ¡ hiring ¡policy ¡ Insider ¡ Ego, ¡revenge, ¡ money ¡ Detailed ¡ knowledge ¡of ¡

• rganizaEon ¡

Complete ¡ access ¡from ¡ the ¡inside ¡ Probable ¡for ¡ most ¡

• rganizaEons ¡

Hiring ¡ policy, ¡ internal ¡log ¡ monitoring ¡

Nikita ¡Borisov ¡— ¡UIUC ¡ Slide ¡#27 ¡

Slide ¡#28 ¡

Controls ¡

• Mechanisms ¡or ¡procedures ¡for ¡miEgaEng ¡

vulnerabiliEes ¡

– Prevent ¡ – Detect ¡ – Recover ¡

• Understand ¡cost ¡and ¡coverage ¡of ¡control ¡
• Controls ¡follow ¡vulnerability ¡and ¡threat ¡

analysis ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#29 ¡

Example ¡Controls ¡

• C01 ¡Access ¡control ¡devices ¡-­‑ ¡physical ¡
• C02 ¡Access ¡control ¡lists ¡-­‑ ¡physical ¡
• C03 ¡Access ¡control ¡-­‑ ¡so[ware ¡
• C04 ¡Assign ¡ADP ¡security ¡and ¡assistant ¡in ¡

wriAng ¡

• C05 ¡Install-­‑/review ¡audit ¡trails ¡
• C06 ¡Conduct ¡risk ¡analysis ¡
• C07Develop ¡backup ¡plan ¡
• C08 ¡Develop ¡emergency ¡acAon ¡plan ¡
• C09 ¡Develop ¡disaster ¡recovery ¡plan ¡
• ... ¡
• C21 ¡Install ¡walls ¡from ¡true ¡floor ¡to ¡true ¡

ceiling ¡

• C22 ¡Develop ¡visitor ¡sip-­‑in/escort ¡

procedures ¡

• C23 ¡InvesAgate ¡backgrounds ¡of ¡new ¡

employees ¡

• C24 ¡Restrict ¡numbers ¡of ¡privileged ¡users ¡
• C25 ¡Develop ¡separaAon ¡of ¡duAes ¡policy ¡
• C26 ¡Require ¡use ¡of ¡unique ¡passwords ¡for ¡

logon ¡

• C27 ¡Make ¡password ¡changes ¡mandatory ¡
• C28 ¡Encrypt ¡password ¡file ¡
• C29 ¡Encrypt ¡data/files ¡
• C30 ¡Hardware/so[ware ¡training ¡for ¡

personnel ¡

• C31Prohibit ¡outside ¡so[ware ¡on ¡system ¡
• ... ¡
• C47 ¡Develop ¡so[ware ¡life ¡cycle ¡

development ¡ program ¡

• C48 ¡Conduct ¡hardware/so[ware ¡inventory ¡
• C49 ¡Designate ¡criAcal ¡programs/files ¡
• C50 ¡Lock ¡PCs/terminals ¡to ¡desks ¡
• C51 ¡Update ¡communicaAons ¡system/

hardware ¡

• C52 ¡Monitor ¡maintenance ¡personnel ¡
• C53 ¡Shield ¡equipment ¡from ¡electromagneAc ¡

interference/emanaAons ¡

• C54IdenAfy ¡terminals ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#30 ¡

Types ¡of ¡Risk ¡Analysis ¡

• QuanEtaEve ¡

– Assigns ¡real ¡numbers ¡to ¡costs ¡of ¡safeguards ¡and ¡damage ¡ – Annual ¡loss ¡exposure ¡(ALE) ¡ – Probability ¡of ¡event ¡occurring ¡ – Can ¡be ¡unreliable/inaccurate ¡

• QualitaEve ¡

– Judges ¡an ¡organizaEon’s ¡relaEve ¡risk ¡to ¡threats ¡ – Based ¡on ¡judgment, ¡intuiEon, ¡and ¡experience ¡ – Ranks ¡the ¡seriousness ¡of ¡the ¡threats ¡for ¡the ¡sensiEvity ¡of ¡the ¡ asserts ¡ – SubjecEve, ¡lacks ¡hard ¡numbers ¡to ¡jusEfy ¡return ¡on ¡investment ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#31 ¡

QuanEtaEve ¡Analysis ¡Outline ¡

• IdenEfy ¡and ¡value ¡assets ¡
• Determine ¡vulnerabiliEes ¡and ¡impact ¡
• EsEmate ¡likelihood ¡of ¡exploitaEon ¡
• Compute ¡Annual ¡Loss ¡Exposure ¡(ALE) ¡
• Survey ¡applicable ¡controls ¡and ¡their ¡costs ¡
• Project ¡annual ¡savings ¡from ¡control ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#32 ¡

QuanEtaEve ¡

• Risk ¡exposure ¡= ¡Risk-­‑impact ¡x ¡Risk-­‑

Probability ¡

– Loss ¡of ¡car: ¡risk-­‑impact ¡is ¡cost ¡to ¡replace ¡car, ¡ e.g. ¡$10,000 ¡ – Probability ¡of ¡car ¡loss: ¡0.10 ¡ ¡ – Risk ¡exposure ¡or ¡expected ¡loss ¡= ¡ ¡ ¡ ¡ ¡ ¡10,000 ¡x ¡0.10 ¡= ¡1,000 ¡

• General ¡measured ¡per ¡year ¡

– Annual ¡Loss ¡Exposure ¡(ALE) ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#33 ¡

QuanEtaEve ¡

• Cost ¡benefits ¡analysis ¡of ¡controls ¡
• Risk ¡Leverage ¡to ¡evaluate ¡value ¡of ¡control ¡

– ((risk ¡exp. ¡before ¡control) ¡– ¡(risk ¡exp. ¡aner))/ ¡ (cost ¡of ¡control) ¡

• Example ¡of ¡trade ¡offs ¡between ¡different ¡

deducEbles ¡and ¡insurance ¡premiums ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#34 ¡

QualitaEve ¡Risk ¡Analysis ¡

• Generally ¡used ¡in ¡InformaEon ¡Security ¡

– Hard ¡to ¡make ¡meaningful ¡valuaEons ¡and ¡meaningful ¡ probabiliEes ¡ – RelaEve ¡ordering ¡is ¡faster ¡and ¡more ¡important ¡

• Many ¡approaches ¡to ¡performing ¡qualitaEve ¡risk ¡

analysis ¡

• Same ¡basic ¡steps ¡as ¡quanEtaEve ¡analysis ¡

– SEll ¡idenEfying ¡asserts, ¡threats, ¡vulnerabiliEes, ¡and ¡ controls ¡ – Just ¡evaluaEng ¡importance ¡differently ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Approaches ¡to ¡Risk ¡Analysis ¡

• Baseline ¡Approach ¡

– See ¡if ¡your ¡organizing ¡matches ¡best ¡pracEces ¡ – Low ¡overhead ¡for ¡analysis, ¡but ¡best ¡pracEces ¡may ¡not ¡be ¡ appropriate ¡for ¡your ¡organizaEon ¡

• Informal ¡Approach ¡

– Bring ¡in ¡expert ¡to ¡kick ¡the ¡Eres, ¡but ¡not ¡following ¡a ¡format ¡ process ¡

• Detailed ¡Risk ¡Analysis ¡

– Follow ¡formal ¡process. ¡ ¡Higher ¡overhead, ¡but ¡less ¡likely ¡to ¡miss ¡ things ¡ – Is ¡the ¡focus ¡of ¡text ¡

• Combined ¡or ¡Hybrid ¡Approach ¡

– In ¡pracEce ¡a ¡combinaEon ¡of ¡the ¡above ¡approaches ¡are ¡used ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 35 ¡

Slide ¡#36 ¡

Example ¡Detailed ¡Approach ¡in ¡Text ¡

• Step ¡1: ¡Establish ¡context ¡

– How ¡much ¡risk ¡is ¡your ¡organizaEon ¡willing ¡to ¡ absorb ¡

• Step ¡2: ¡IdenEfy ¡assets ¡
• Step ¡3: ¡IdenEfy ¡Threats/Risks/VulnerabiliEes ¡

– Pick ¡from ¡lists ¡of ¡known ¡threats ¡ – Brainstorm ¡new ¡threats ¡ – Mixing ¡threats ¡and ¡vulnerabiliEes ¡here... ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Step ¡4: ¡Analyze ¡Risks ¡

• Analyze ¡exisEng ¡controls ¡
• Determine ¡likelihood ¡

– Assign ¡value ¡from ¡1 ¡to ¡5 ¡where ¡1 ¡is ¡Rare ¡and ¡5 ¡is ¡ almost ¡certain ¡

• Determine ¡consequence/impact ¡

– Assign ¡value ¡from ¡1 ¡to ¡6 ¡where ¡1 ¡is ¡insignificant ¡ and ¡7 ¡is ¡doomsday ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 37 ¡

Step ¡5: ¡Determine ¡ResulEng ¡Level ¡of ¡ Risk ¡

Doomsday ¡ Catastrophic ¡ Major ¡ Moderate ¡ Minor ¡ Insignificant ¡

Almost ¡ Certain ¡ E ¡ E ¡ E ¡ E ¡ H ¡ H ¡ Likely ¡ E ¡ E ¡ E ¡ H ¡ H ¡ M ¡ Possible ¡ E ¡ E ¡ E ¡ H ¡ M ¡ L ¡ Unlikely ¡ E ¡ E ¡ H ¡ M ¡ L ¡ L ¡ Rare ¡ E ¡ H ¡ H ¡ M ¡ L ¡ L ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 38 ¡

Another ¡way ¡of ¡calculaEng ¡risk ¡

• Could ¡add ¡the ¡Risk ¡Likelihood ¡and ¡the ¡Risk ¡

Consequence ¡

– Likelihood ¡is ¡Likely ¡(4) ¡and ¡Consequence ¡is ¡ Moderate ¡(3) ¡so ¡Risk ¡level ¡is ¡7 ¡

• Could ¡perform ¡some ¡other ¡funcEon ¡of ¡

Likelihood ¡and ¡Consequence ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 39 ¡

Step ¡6: ¡Document ¡in ¡Risk ¡Register ¡

Asset ¡ Threat ¡/ ¡

• Vuln. ¡

ExisAng ¡ Control ¡ Likelihood ¡ Conseque nce ¡ Level ¡of ¡ Risk ¡ Risk ¡ Priority ¡ Internet ¡ Router ¡ Outside ¡ hacker ¡ aRack ¡ Admin ¡ password ¡ Possible ¡ Moderate ¡ High ¡ 1 ¡ DestrucEo n ¡of ¡data ¡ center ¡ Accidental ¡ fire ¡or ¡ flood ¡ None ¡ Unlikely ¡ Major ¡ High ¡ 2 ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 40 ¡

Slide ¡#41 ¡

Dealing ¡with ¡Risk ¡

• Avoid ¡risk ¡ ¡

– Implement ¡a ¡control ¡or ¡change ¡design ¡

• Transfer ¡risk ¡

– Change ¡design ¡to ¡introduce ¡different ¡risk ¡ – Buy ¡insurance ¡

• Assume ¡risk ¡

– Detect, ¡recover ¡ – Plan ¡for ¡the ¡fall ¡out ¡

– Reduce ¡consequence ¡

– Controls ¡to ¡reduce ¡the ¡downside ¡of ¡risk ¡occurrence ¡

– Reduce ¡likelihood ¡

– Controls ¡to ¡reduce ¡the ¡chance ¡of ¡risk ¡occurring. ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Slide ¡#42 ¡

Risk/Control ¡Trade ¡Offs ¡

• Only ¡Safe ¡Asset ¡is ¡a ¡Dead ¡Asset ¡

– Asset ¡that ¡is ¡completely ¡locked ¡away ¡is ¡safe, ¡but ¡ useless ¡ – Trade-­‑off ¡between ¡safety ¡and ¡availability ¡

• Do ¡not ¡waste ¡effort ¡on ¡efforts ¡with ¡low ¡loss ¡value ¡

– Don’t ¡spend ¡resources ¡to ¡protect ¡garbage ¡

• Control ¡only ¡has ¡to ¡be ¡good ¡enough, ¡not ¡absolute ¡

– Make ¡it ¡tough ¡enough ¡to ¡discourage ¡enemy ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡

Security ¡Plan ¡ ¡

Risk ¡ Level ¡of ¡ Risk ¡

• Rec. ¡Controls ¡

Priority ¡ Selected ¡ Controls ¡ Required ¡ resources ¡

• Resp. ¡

Persons ¡ Start ¡– ¡ end ¡dates ¡ Comment ¡ Hacker ¡ aRack ¡on ¡ internet ¡ router ¡ High ¡ Disable ¡ external ¡ telnet ¡access ¡ Use ¡detailed ¡ audiEng ¡of ¡ privileged ¡ command ¡use ¡ Set ¡policy ¡for ¡ strong ¡admin ¡ policy ¡ Set ¡backup ¡ strategy ¡for ¡ router ¡ configuraEon ¡ file ¡ Set ¡change ¡ control ¡policy ¡ for ¡the ¡router ¡ configuraEon ¡ High ¡ Strengthe n ¡access ¡ authenEc aEon ¡ Install ¡IDS ¡ 3 ¡days ¡IT ¡ net ¡admin ¡ 1 ¡day ¡ training ¡ Lead ¡ network ¡ system ¡ admin, ¡ Corporate ¡ IT ¡ support ¡ team ¡ 2/1/06 ¡– ¡ 2/4/06 ¡ Need ¡ periodic ¡ test ¡and ¡ review ¡of ¡ configura Eon ¡ policy ¡ and ¡use ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 43 ¡

ImplementaEon ¡of ¡Security ¡Plan ¡

• Implement ¡
• Training ¡
• Awareness ¡
• Maintenance ¡
• Change ¡and ¡config ¡management ¡
• Monitoring ¡and ¡incident ¡handling ¡
• Compliance ¡checks ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 44 ¡

Communicate ¡Results ¡

• Write ¡a ¡good ¡execuEve ¡summary ¡

– It ¡is ¡likely ¡that ¡is ¡all ¡that ¡is ¡going ¡to ¡be ¡read ¡

• Conduct ¡meeEngs ¡and ¡training ¡sessions ¡to ¡

communicaEon ¡what ¡really ¡needs ¡to ¡be ¡ known ¡in ¡the ¡organizaEon ¡

• SEll ¡important ¡to ¡write ¡the ¡report ¡

– When ¡something ¡goes ¡wrong, ¡the ¡Risk ¡Analysis ¡ report ¡will ¡be ¡dredged ¡up. ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡ 45 ¡

Slide ¡#46 ¡

Key ¡Points ¡

• Security ¡policy ¡bridges ¡between ¡human ¡

expectaEons ¡and ¡implementaEon ¡reality ¡

• Key ¡Elements ¡of ¡Risk ¡Analysis ¡

– Assets, ¡Threats, ¡VulnerabiliEes, ¡and ¡Controls ¡

• QuanEtaEve ¡vs ¡qualitaEve ¡
• Not ¡a ¡scienEfic ¡process ¡

– Companies ¡will ¡develop ¡their ¡own ¡procedure ¡ – SEll ¡a ¡good ¡framework ¡for ¡beRer ¡ understanding ¡of ¡system ¡security ¡ ¡ ¡

2012-­‑01-­‑19 ¡ Nikita ¡Borisov ¡— ¡UIUC ¡