Security principes

Betreft

De CIA-triade (Confidentiality, Integrity, Availability) belicht de drie fundamentele eigenschappen die in het kader van informatieveiligheid gewaarborgd moeten worden.

Belang

De CIA-triade vormt misschien wel het meest fundamentele principe in de informatieveiligheidsdomein. In het Nederlands worden deze eigenschappen ook wel met de BIV (Beschikbaarheid, Integriteit en Vetrouwelijkheid) geduid. Het belicht de drie fundamentele eigenschappen van een systeem wanneer de informatieveiligheid op orde is. Tussen deze eigenschappen bestaat een continu spanningsveld. Een maatregel die één van deze eigenschappen bevordert heeft hoogstwaarschijnlijk een negatieve impact op de andere. Wees je er tevens van bewust dat de acroniem ‘BIV’ ambigu is. De BIV kan namelijk ook verwijzen naar de afkorting voor: Bestuurlijke Informatie Voorziening zoals beschreven in het werk van Starreveld.

Conflicterende belangen

Elk van de eigenschappen staan op gespannen voet met elkaar. Bijvoorbeeld een betere vertrouwelijkheid betekent ook dat de beschikbaarheid van informatie (bewust) beperkt wordt. Teveel integriteitscontroles kunnen de prestaties van een systeem behoorlijk schaden en zo de beschikbaarheid onder druk zetten. Een altijd beschikbaar systeem vormt een groter aanvalsoppervlak en kan zo de overige twee in het geding brengen. Het toepassen van patches om de technische beschikbaarheid te waarborgen kan reboots vereisen die op dat zelfde moment de beschikbaarheid onder druk zet enzovoorts.

Herkomst van het principe

Het concept van de CIA-triade is over tijd ontstaan en later gestandaardiseerd door de NIST (National Institurte of Standards and Technology) destijds nog het NBS (National Bureau of Standards). De eerste bron die we hebben kunnen vinden was: NBS Special Publication 500-19: Audit and evaluation of computer security uit 1977., meer specifiek hoofdstuk 2 van het addendum ‘Post processing audit tools and techniques’. Citaat: “The post processing activities of the auditor are presented here in the context of a security audit and include confidentiality, integrity and availability of data.“

Betreft

Beveiliging dient een integraal onderdeel te zijn van het ontwerp. Dit betekent dat (risico) en beveiliging vanaf het eerste prille begin onderdeel is van het ontwerp en bij het onderhoud van het product.

Belang

Allereerst is integrale beveiliging effectiever. Ook is integrale beveiliging vaak goedkoper dan wanneer maatregelen achteraf (pleisters of ‘bolted on’) worden toegevoegd aan de oplossing. De reden hiervoor is dat ‘bolted on’ beveiliging vaak aanvullende hands-on tijd vergt, extra onderhoud maar ook nieuwe risico’s (cascades) introduceert.

Conflicterende belangen

Deze aanpak vergt in de regel extra implementatietijd. Dit heeft twee belangrijke negatieve effecten. a) Dit kan resulteren in hogere ‘up front’ investeringen. Deze investeringen kunnen resulteren in hoger financieel risico als het succes van het beoogde product nog onzeker is. b) De extra implementatietijd kan ook geduid worden als een langere time-to-market. Er kunnen tal van bedrijfsstrategische redenen zijn die dit als een probleem zien.

Herkomst van het principe

Het concept van ‘Security by Design’ is geformaliseerd door o.a. OWASP, maar gebaseerd op de principes van Saltzer & Schroeder (1975). De aanleiding voor dit principe is het falen van de ‘patch-later’-aanpak.

Betreft

Veel IT-Producten worden geleverd met de mogelijkheid de configuratie ervan aan te passen. Zo zou je bijvoorbeeld de kolommen in een overzicht kunnen uitbreiden met behulp van configuratie of worden er perken gesteld aan de vrijheid die een gebruiker van het product heeft (parametrisering). Security-by-default stelt dat een geleverd product zonder aanpassing al een veilige configuratie bevat. Een voorbeeld hiervan is dat het bij installatie geen ‘standaard wachtwoord’ gebruikt maar terplekke een ‘complex wachtwoord’ genereert en deze aan de beheerder communiceert.

Belang

Veel gebruikers zijn zich niet bewust van de uiteenlopende configuratie en parametriseringsmogelijkheden die een IT-product hen biedt. Het gevolg is dat ze deze instellingen dus ook niet controleren of wijzigen. Dit principe heeft daarmee tot doel om deze gebruikers te beschermen door een al veilige combinatie van instellingen te vereisen voordat deze in gebruik wordt genomen door een gebruiker.

Conflicterende belangen

Een al veilige configuratie en parametrisering betekent in de regel dat verschillende functies van het product zijn beperkt of al strikt zijn ingericht. Een standaard wachtwoord is daarbij in de regel  ‘makkelijker’ dan een complex niet te onthouden wachtwoord. Security by default beperkt daarom de gebruiksvriendelijkheid en kan de acceptatie van nieuwe IT producten hinderen (Psychologische acceptatie).

Herkomst van het principe

Dit principe komt voort uit de ‘Fail Safe Defaults’ beschreven door Saltzer & Schroeder (1975). De aanleiding is menselijke inertie. Mensen kiezen altijd de makkelijkste weg.

Betreft

Dit principe sluit nauw aan bij het ‘Security by default’ principe. Het principe stelt dat je er altijd voor moet zorgen dat een functionaris de privileges krijgt die nodig zijn voor de uitoefening van de rol maar niet meer dan dat. Dit principe vereist natuurlijk wel dat de organisatie niet te organisch werkt en enige procesvolwassenheid kent. Immers zonder een goed beeld van de processen en rollen is het niet goed mogelijk het principe van least privilege toe te passen.

Belang

Het primaire doel van dit principe is de impactschade (blast radius) te beperken wanneer een account of proces is gecompromitteerd. Het benodigde procesinzicht helpt ook bij het snel isoleren en gericht analyseren van incidenten mochten deze zich voordoen.

Conflicterende belangen

Dit principe beperkt de capaciteiten van functionarissen binnen de organisatie. Deze beperking kan met name voor kleine organisaties erg hinderlijk zijn. Bijvoorbeeld bij ziekte van die ene functionaris met rechten. Zeker bij kleinere organisaties dient daarom goed nagedacht te worden over vangnetten voor dergelijk cascade risico’s. Deze kunnen worden opgevangen met vervangingsregelingen en broken-glass procedures die op hun beurt extra bureaucratie introduceert.

Herkomst van het principe

Het “Least Privilege” principe is beschreven door Saltzer & Schroeder, 1975. Aanleiding hiervoor was de noodzaak om programma’s te isoleren in multi-user systemen die rond 1975 in opkomst waren (mainframes).

Betreft

Het opknippen en verdelen van kritieke taken tussen meerdere funtionarissen.

Belang

In de AO wordt in dit kader onderscheid gemaakt tussen: Beschikkende functies, bewarende functies, registrerende functies, controlerende functies en uitvoerende functies. Zo wordt bijvoorbeeld het inboeken van een factuur, het controleren van de factuur, het betaalbaar stellen en betalen van de factuur in de regel opgedeeld tussen verschillende functionarissen om misstanden en fraude te voorkomen.

Conflicterende belangen

Dit principe introduceert verschillende ‘hand-overs’ binnen de organisatieprocessen. Deze hand-overs vertragen het gehele proces (vaak een gewenste bijkomstig effect ten behoeve van zorgvuldigheid) en introduceren extra bureaucratie en controles (overhead) binnen de organisatie. Zeker binnen kleine tot zeer kleine organisaties wordt dit nog wel eens als onzinnig en ongewenst ervaren (we willen wendbaar blijven).

Herkomst van het principe

Seperation of duties of taakscheiding is een eeuwenoud principe afkomstig uit het boekhouden/financiën om financiele fraude te voorkomen.

Betreft

Dit principe erkent dat het onmogelijk is om 100% veiligheid te garanderen van welk systeem dan ook. Elke organsiatie heeft altijd te maken met ‘rest-risico.’ die geaccepteerd moet worden. Het doel van een gezonde aanpak is het reduceren van risico en het verhogen van de aanvalskosten van een aanvaller.

Belang

Dit principe dient als een constante herinnering dat een organisatie ‘realistische’ doelen moet stellen en niet moet uitgaan van ‘valste onzekerheden.’ Dit principe is een ratificatie om met behulp van risico-management instrumenten een zo’n concreet als mogelijk beeld van de relevante risico’s en bedreigingen te krijgen en met behulp daarvan strategische keuzes te maken en bewust risico’s te accepteren.

Conflicterende belangen

Elke organisatie heeft te maken met uiteenlopende belanghebbenden. Deze zullen het niet altijd eens zijn met de keuzes die een organisatie heeft gemaakt, zeker niet als deze voor hen nadelig kunnen uitpakken. De uitwerking hiervan kan op gespannen voet staan met tal van transparantievereisten en strategische relaties onder druk zetten.

Herkomst van het principe

betreft een algemeen principe van risk-management en wordt gezien als een fundamentele waarheid in het vakgebied.

Betreft

Dit principe stelt dat het cruciaal is elk ontwerp en de implementatie van beveiligingsmechanismen zo eenvoudig als mogelijk te houden (Keep it stupid simple – KISS). 

Belang

Elke maatregel introduceert ook zelf weer nieuwe risico’s en complexiteit. Complexere systemen zijn simpelweg moeilijker te analyseren, testen, bedienen en te beveiligingen. Eenvoud vermindert al deze zaken en draagt daarom altijd positief bij aan de algehele veiligheid van een systeem. Wat niet is geintroduceerd hoeft ook niet beveiligd te worden. 

Conflicterende belangen

Dit principe kan als rechtvaardiging gebruikt worden om andere principes niet te introduceren ondanks dat daar mogelijk goede aanleiding toe is dit wel te doen. Het is daarom nooit een rechtvaardiging in zichzelf en vereist een volwassen risicomanagement aanpak waarmee keuzes voldoende onderbouwd worden.

Herkomst van het principe

Dit principe werd beschreven door Saltzer & Schroeder in 1975. De aanleiding hiervoor was vaststelling dat complexiteit in systemen gezien kan worden als een vijand van veiligheid.

het Betreft

Het aanbrengen van gelaagde verdediging of het aanbrengen van meerdere beveiligingslagen.

Belang

Dit principe voorkomt dat één enkele fout in de aangebrachte beveiliging ertoe leidt dat een systeem volledig gecompromitteerd wordt. Het vormt een belangrijk principe in IT landschappen dat uit samengestelde IT bestaat en niet één leverancier het volledige beveiligingsvraagstuk afdekt en met name deze ‘blind spots of gaps’ een groot risico vormen.

Conflicterende belangen

Is in zichzelf strijdig met het Economy of mechanism principe. Dit principe stelt juist dat aanvullende bescherming (complexiteit) nodig is om een risico voldoende te beheersen. Dit principe staat mogelijk ook op gespannen voet met ‘security by design’ omdat het leidt tot extra ‘bolt-on’ maatregelen. 

Herkomst van het principe

Het betreft een militair concept waarbij meerdere maatregelen in samenhang gebruikt worden om een object te beschermen. Denk bijvoorbeeld aan het aanbrengen van een slotgracht, muren en een ophaalbrug om fysieke toegang tot een object te belemmeren voor de vijand. Dit principe is populair gemaakt door de NSA met als duiding, een enkele verdedigingslinie zou kunnen falen daarom is het verstandig een tweede aan te brengen.

Betreft

Dit principe stelt dat systemen zo ontworpen moeten zijn dat ze in een fout-conditie kunnen terugvallen naar een veilige staat waarin de informatie beschermd blijft (of wordt tegen verdere schade).

Belang

Het is essentieel dat ook wordt nagedacht over voorspelbare ‘fout condities’ of de ‘unhappy flow’ van processen. Daarbij is het van groot belang dat de foutsituatie niet tot extra risico of schade leidt. Denk bijvoorbeeld aan een automatisch slot dat ‘ontgrendeld’ wordt bij een stroomstoring. Dit kan gewenst zijn (vluchtroutes) maar ook ongewenst (toegang tot de inhoud van de kluis). 

Conflicterende belangen

Vereist afwegingen tussen uiteenlopende en soms conflicterende belangen. Een bekend voorbeeld is de toegangsdeur tot de serverruimte. BHV wil mogelijk toegang om te controleren of er niet een beheerder is achtergebleven, de IT manager wil dat de deur gesloten blijft om de systemen te beschermen. Andere voorbeelden zijn dat software met een foutconditie geen onnodige informatie zichtbaar maakt bij het tonen van de fout. Of dat machines stilvallen in de laatste positie en niet ‘resetten’ naar hun uitgangspositie (HSE risico).

Deze ‘veilige’ staat kan de beschikbaarheid in de weg staan als veilig uit betekent of functieherstel bemoeilijken omdat herstel plaatsvindt vanuit een gefaalde mogelijk inconsistente staat.

Herkomst van het principe

Dit principe is beschreven door Saltzer en Schroeder in 1975. Daarbij stellen ze dat als systemen falen ze veilig moeten blijven ook in de gefaalde staat.

Betreft

Dit principe stelt dat een informatiesysteem opgesplitst moet worden in geïsoleerde en gecompartimenteerde datadomeinen. Toegang tot deze domeinen is gebaseerd op het ‘need to know’ principe. Waar ‘least privilege’ gaat over de  ‘minimaal benodigde handelingen’ gaat dit principe over toegang tot de ‘minimaal benodigde informatie’.

Belang

Dit principe compartimenteerd de informatie. Wanneer één compartiment gecompromitteerd wordt is de rest nog veilig. Ook wordt het risico of een lek gereduceerd omdat niemand toegang heeft tot alle informatie of inzichten. Het vereenvoudigd de analyse van lekken omdat relatief eenvoudig achterhaald kan worden waar het lek begonnen is. 

Conflicterende belangen

Dit principe is conflicterend met het Economy of mechanism principe omdat het extra complexiteit introduceert. Ook introduceert het extra bureaucratie in de organisatie en extra hand-overs binnen processen. Dit principe is lastig toe te passen binnen papieren processen en erg goed toe te passen binnen gespecialiseerde moderne applicaties. Zo zou de microservice architectuur gebruikt kunnen worden om deze data compartimenten te creëren en technisch te implementeren met een enorme toename aan technische complexiteit als gevolg daarvan.

Herkomst van het principe

Dit principe is afkomstig van de militaire inlichtingsdiensten en wordt gebruikt om geclassificeerde informatie te beschermen.

Betreft

Dit principe stelt dat een systeemontwerp openbaar moet kunnen zijn zonder dat deze openbaring de veiligheid van het systeem aantast.

Belang

Openbaring maakt het mogelijk om een ontwerp te analyseren en te beoordelen (peer review). In de regel leidt dit tot betere ontwerpen en veiligere systemen (veel ogen kijken mee). Een open benadering maakt het ook mogelijk om betere risicoanalyses te doen dan wanneer het systeem is opgezet als een pandora’s-doos. 

Het principe staat haaks op het ‘security-by-obscurity’ principe. De algemene concensus is dat het SBO-principe alleen toepasbaar is als een systeem gegarandeerd gesloten is. In de praktijk komt dit echter nooit voor. Een systeem heeft tal van mogelijkheden om het gedrag en delen van de informatieverwerking te analyseren en potentiële problemen te vinden ook al zijn deze niet gepubliceerd. Zoals Auguste Kerckhoffs (Kerckhoffs-principe) in 1883 al stelde: “het systeem mag geen geheimhouding vereisen en mag zonder problemen in de handen van de vijand vallen.” Om deze reden is het SBO principe ook niet opgenomen in deze lijst.

Conflicterende belangen

Vereist een zorgvuldig ontwerp en kan daarmee de aanloopkosten en time-to-market van nieuwe producten negatief beinvloeden. Een leverancier zal vaak een SBO aanpak hanteren om interne problemen (vuile was) binnen te houden en om diezelfde reden niet altijd bereid zijn om een open-design aanpak te hanteren naar haar klanten. Dit principe kan ook op gespannen voet staan met het intellectuele eigendom / interlectual property (IE/IP) van organisaties (niet willen lekken van hun IP/IE).

Herkomst van het principe

Beschreven door Saltzer en Schroeder in 1975 en populair gemaakt door o.a. Auguste Kerckhoffs (cryptografie). 

Betreft

Een systeem is zo zwak als de zwakste schakel. Dit principe is een aanbeveling om moeite te doen deze schakel te vinden en daar vervolgens aandacht aan te geven.

Belang

Dit principe draagt bij aan de noodzaak om systemen voldoende te inventariseren en analyseren (begrijpen). Deze inventarisatie draagt vervolgens bij aan betere risico-analyses en betere strategische en economische keuzes als het gaat over de vraag welke risico’s te mitigeren en welke te accepteren (waar te investeren). Dit principe kan ook gebruikt worden als ‘monitor’ door bewust een zwakte te introduceren als afleiding en deze te monitoren (honey pots).

Conflicterende belangen

Geen, betreft een prioriteitsprincipe. 

Herkomst van het principe

Algemeen idioom dat wordt toegeschreven aan Thomas Reid.

Betreft

Dit principe stelt dat elke aanvraag voor toegang tot een bron volledig moet worden gecontroleerd (geauthenticeerd en geautoriseerd). 

Belang

het belang van dit principe is ervoor te zorgen dat een aanvaller controles kan omzijlen. In de regel door menselijke controles en handelingen (autorisatie) toe te voegen en zo volledige automatisering van dergelijke processen te voorkomen. Ook schrijft het voor dat automatisering aanvullende controles uitvoert voor scenario’s die foutgevoelig zijn of relatief eenvoudig zijn te manipuleren. Denk bijvoorbeeld aan het toevoegen van MFA (eenvoudige en deelbare wachtwoorden) of het tijdig invalideren van credential caches (als veiligheid niet langer gegarandeerd kan worden).

Conflicterende belangen

Kan aanvullende bureaucratie introduceren of extra programma controles. Beiden kunnen de doorlooptijd van dergelijke processen laten toenemen en voegen extra complexiteit toe aan dergelijke processen.

Herkomst van het principe

Beschreven door Saltzer en Schroeder in 1975 met als aanleiding te voorkomen dat programma’s hun rechten kunnen misbruiken of dat misbruik via programma’s mogelijk wordt gemaakt.