Hur tänker angripare? Hur ser ditt it-system ut ur deras perspektiv? Var börjar de sätta in sitt angrepp – och varför just där? En sak kan du vara säker på: Ditt it-system ser med angriparens ögon med största sannolikhet inte ut som du tänkt dig. Som försvarare är din bild av ditt it-system inte angriparens bild. Därför måste du förstå dina svagheter; det är exakt dem angriparna letar efter.

Att analysera och utvärdera hur bra, eller dåligt, en organisation står emot cyberattacker är en mycket viktig del i organisationens ”totalförsvar” och har tillämpats länge. Alla organisationer med självbevarandedrift gör regelbundna utvärderingar, kontroller och tester av it-systemen. Ändå tycks de cyberkriminella ständigt ligga steget före.

Ett vanligt sätt att utvärdera och analysera organisationens it-försvar är att samla ihop information om alla system – klienter, servrar, tjänster, applikationer, brandväggar, nätverksutrustning och så vidare – och lista dessa i en ofta enorm förteckning över allt som företaget har och sedan analysera vilka individuella system som är sårbara för olika attacker utifrån vilka versioner av mjukvaror de använder.

Tanken är förstås att uppdaterade system är säkra system, vilket också är sant i bemärkelsen att uppdaterade mjukvaror bör vara skyddade mot kända sårbarheter. Men att hålla systemen uppdaterade är ett ändlöst och omfattande arbete och innebär i sig ofta följdproblem, alltså är nästan aldrig alla system inom en större organisation tillräckligt uppdaterade. Dessutom ger en lista över alla system och deras individuella sårbarheter en tämligen endimensionell riskanalys, och säger väldigt lite om attackvektorer och vilka vägar som leder fram till de mest åtråvärda systemen.

Blir snabbt oerhört komplex

Hotmodellering är ett steg i rätt riktning mot att förstå angriparnas synsätt och metodik. Det handlar om att tänka i grafer och inte i listor, precis som angriparna gör när de letar ingångar och vägar. Traditionell hotmodellering som metod är ofta är en arbetskrävande, i stora stycken manuell, process som kostar mycket pengar, och därför sällan utförs tillräckligt ofta. Modellen blir även snabbt oerhört komplex på grund av det närmast oändliga antalet kombinationer av attackvägar, och eftersom ett it-system aldrig är statiskt är modellen föråldrad redan innan den är klar.

Syftet med att skapa en modell, en slags tvilling av it-systemet inom en organisation, är att man kan simulera attacker mot modellen, och inte mot det verkliga systemet. Simuleringarna i sin tur ska leda fram till kunskaper om de mest sannolika attackvägarna, vilket gör att organisationen kan prioritera var resurserna ska sättas in. Och av samma anledning kan organisationen undvika att lägga resurser på att säkra upp system som det ändå är osannolikt att en angripare kommer att använda, till exempel för att sårbarheterna kräver vissa förutsättningar som inte finns i den aktuella miljön.

Traditionell hotmodellering och automatiserad hotmodellering är i princip samma sak; bägge handlar om att populera och bygga en modell av verkligheten med data från olika källor, däribland information om den egna infrastrukturen och information om aktuella sårbarheter. Skillnaden ligger förstås i att automatiseringen helt eller delvis tar bort den manuella delen av processen, och sparar avsevärt med tid.

Tekniken har idag blivit så pass effektiv, tack vare automatiseringen och att många system körs på molnplattformar, att modellerna kan byggas om inte i realtid så i vart fall tillräckligt snabbt för att de inte blir alltför inaktuella inom kort tid. Det svenska företaget Foreseeti har tagit fram en produkt för automatiserad hotmodellering för system som kör på Amazon Web Services, AWS. Tack vare att information om hela it-miljön kan inhämtas via api:er, i princip som avbildningar av hela miljön, kan modellerna hållas uppdaterade i samma takt som den verkliga miljön förändras.

Ett av de företag i Sverige som nyttjat automatiserad hotmodellering är Klarna, vars it-miljö till stora delar kör på AWS. Mark Strande är CSO på Klarna som började med automatiserad hotmodellering i slutet av 2016.

– Tiden det tar att rita upp en modell för hotmodellering med traditionella metoder skalar inte för snabbt växande företag där it-miljön förändras varje minut; när modellen är klar är den inaktuell för länge sedan, säger Mark Strande.

Matas med säkerhetsinformation

Klarna jobbar med automatiserad hotmodellering över hela sin it-miljö. De använder produkten Securicad Vanguard från Foreseeti för AWS-miljön. Modellen byggs ihop av information från AWS api:er samt manuellt införd information. För att systemet ska kunna ge ett underlag för vilka sårbarheter som ska prioriteras matas det med säkerhets- och sårbarhetsinformation från Klarnas egen sårbarhetsskanner, men det går även att mata in information om sårbarheter från tredjepartsverktyg eller från AWS egna Inspector-verktyg.

– Att vi kan hämta in information om arkitekturen via api:er från AWS gör enorm skillnad; det är ljusår från att jobba med manuell modellering. Vi släpper uppdateringar till systemen ibland flera gånger per dag vilket gör att kartan förändras hela tiden. Genom att allt är kod i molnet så kan information om arkitekturen, applikationer, konfigurationer, IAM Policy och mycket annat, så kan vi bygga upp en väldigt detaljerad och aktuell modell för simulationen, säger Mark Strande.

Mark Strande
Mark Strande, Klarna.

– Så som vår organisation är uppbyggt med autonoma team, där varje team fungerar som ett startup, så innebär hotmodelleringen stora fördelar eftersom vi kan bygga bort mänskliga fel. Våra team behöver inte veta så mycket vad de andra teamen gör; de behöver inte till samma utsträckning hålla reda på förändringar i andras system utan kan fokusera på sina förändringar och system.

Enligt Mark Strande är den stora fördelen med automatiserad hotmodellering i molnmiljöer att systemet kan se hela bredden av it-miljön, vilket traditionell hotmodellering eller till exempel penetrationstester inte riktigt klarar av utan att det tar väldigt lång tid. Att automatisera delar av processen snabbar på hotmodelleringen, vilket utgör ett utmärkt komplement till de djupgående manuella metoderna.

Även om molnleverantörer som AWS erbjuder diverse inbyggda eller medföljande verktyg så som AWS Inspector, som hjälper kunderna att identifiera brister i deras lösningar så ger de inte en bred helhetsbild. De flesta av dessa inbyggda verktyg bygger på fördefinierade regler och kontroller som till exempel talar om hur allvarliga olika sårbarheter är men inte hur exponeringen och miljön påverkar attackvägarna. Andra verktyg såsom Guard Duty kan sedan användas för att övervaka miljön för hot.

– Automatiserad hotmodellering förstår sambanden, vilket är en stor skillnad, säger Mark Strande. När vi kör våra simuleringar på modellerna får vi fram vilka brister som är mest signifikanta. Att kunna se exakt vilka system som är mest utsatta, vilken applikation på vilken maskin vi ska prioritera att patcha först för att hålla så säkra system som möjligt.

– Attacker sker ofta med en kombination av sårbarheter, vilket gör det svårt med traditionella metoder att se vilka system som är mest utsatta, men våra modeller hittar de svaga länkarna. Det är ett kostnadseffektivt sätt att bedöma sårbarheter, och arbetsinsatsen är oöverträffat liten, men framför allt får vi en konsekvent bedömning, något som är nästan omöjligt att få med manuell hotmodellering i större skala. Automatiserad hotmodellering är som att köra Sim City med snabbspolning, säger Mark Strande.

Välkomnar hotmodellering i molnet

Även AWS välkomnar automatiserad hotmodellering i molnet. Johan Broman arbetar på AWS Nordics som Solution Architect Manager.

– Vi tycker det är jättebra att tredje part kommer med denna typ av verktyg för riskanalys. Det är enkelt för kunderna att se vilka resurser de har på AWS, och våra api:er innebär att kunderna snabbt och enkelt kan få ut den information de behöver för att bygga sina hotmodeller.

AWS har inget eget verktyg för just automatiserad hotmodellering, men kunderna kan använda deras Security Hub som samlar in säkerhetsinformation från alla delar av systemet, till exempel Amazon Guard Duty, och ger kunderna en överblick över deras system.

– Vi hanterar säkerheten av molnet, men kunderna ansvarar för säkerheten för det som körs i molnet, och där kommer hotmodellering in i bilden. Vi kan inte se vad kunderna använder AWS infrastruktur till, så det är mycket positivt att kunderna gör vad de kan för att höja sin säkerhet, och hotmodellering är ett kraftfullt verktyg i det arbetet, säger Johan Broman.

När Klarna kommer att ta sig till nästa nivå av automatiserad hotmodellering kommer det att handla om att se in i framtiden med riskanalyser samt kunna se hur förändringar i olika områden påverkar varandra. En stor fördel vore att involvera devops-team för att kunna simulera med antaganden om framtida förändringar.

– Hur skulle en förändring i ett system eller en konfigurationsändring kunna påverka miljön som helhet, frågar sig Mark Strande. Om vi kunde simulera med antaganden skulle vi kunna modellera en framtid som vi inte ens har. Hur påverkar det risken? Vi är på väg dit; jag vill kunna simulera lösningar och se hur de påverkar helheten innan vi implementerar dem och kan därmed optimera för bästa säkerhet, säger Mark Strande.

Läs också:
Nu ska elbolagen hackas – KTH får 1,5 miljoner till white hats
Svensk teknik simulerar cyberattacker – nu testar de Klarnas moln