Skriv ut

Istället för att betala hackers  för att osystematiskt testa att bryta sig in i dina system, kan du låta Foreseetis simulator arbeta en stund och sedan lista alla dina säkerhetsproblem i prioritetsordning.

Foreseeti i Stockholm har utvecklat ett verktyg som hjälper företag och myndigheter att rangordna riskerna i sina datasystem. Det hjälper dem att prioritera säkerhetsarbetet.

Securicad heter den första produkt som nu släpps öppet, men det finns redan ett flertal kommersiella användare, både kunder och partners.

Robert
Lagerström

– De inkluderar ledande bolag inom kritisk infrastruktur, finans, och säkerhetskonsulter, säger Robert Lagerström, en av grundarna.

Företaget grundades år 2014 efter finansiering från investerargruppen Innoenergy och i december i fjol fick företaget in ytterligare nio miljoner kronor.

– Vi tog in finansiering för att gå ut bredare på marknaden och skala upp våra affärer. Nu har vi pengar ett bra tag framåt. 

Företaget är redan etablerat såväl i Norden som i Tyskland (via partner) och Storbritannien. 

Totalt jobbar 20 personer på Foreseeti.

– Teamet har en stark mix av djup teknisk expertis, inklusive professorer och doktorer, och kommersiella och militära säkerhetsexperter. Plus stor kommersiell erfarenhet.

Skyddar även mot risker du inte känner till

Vissa säkerhetshål är omöjliga att förutse, exempelvis sådana som orsakas av buggar i koden, eller så kallade nolldagssårbarheter som bara är kända för angriparen. 

Men till och med sådana säkerhetsproblem kan Securicad ta hänsyn till. Det finns metoder för att skatta risken för att buggar och okända säkerhetshål existerar. Företaget deltar själv i forskningen kring detta.

– Detta är oerhört kraftfullt, speciellt när man utvärderar säkerheten gentemot en mer avancerad hotprofil. 

Dessa sannolikheter är vad Foreseetis algoritmer bollar vidare med. En del sannolikheter är kalkylerade och andra är parametrar som användaren kan variera.

– Analyserna måste ju göras och besluten måste tas, trots att det finns många osäkerhetsfaktorer. Vårt verktyg tar hänsyn till osäkerheterna samtidigt som du får ett distinkt och kvantitativt beslutsunderlag. 

För den tekniskt intresserade är det bland annat bayesianska nätverk som Foreseeti applicerar på sanno-lik-heterna.

– Våra simuleringar är baserade på data från tio års forskning där vi kombinerar attackgrafer, UML-lika modeller, Bayesiansk statistik och estimeringsalgoritmer från numerisk analys.

Verktyget Securicad testar IT-systems datasäkerhet. Det är ett alternativ till det idag vanliga upplägget att betala en så kallad penetrationstestare för att försöka ta sig in. Securicad genomför istället simulerade attacker i en modell av IT-systemet.

Simuleringen visar vilka öppningar för attacker som det finns i systemet och uppskattar hur lång tid det tar att bryta sig in.

En faktor som påverkar resultatet är hotbilden – är det en stat med mycket resurser som är det primära hotet, eller en ensam ung hackare? Beroende på systemet och hotbilden kan Securicad rangordna de olika säkerhetsbristerna och se vilka åtgärder som bör prioriteras, och hur man kan skydda sig. 

Det är inte alltid lätt att veta om man prioriterar rätt mellan åtgärderna A, B och C.

– Efter att Securicad använts kan det mycket väl vara så att man kommit fram till att det är åtgärd D som gäller. 

– Det räcker med att en enda mjukvaruport är öppen och alla pengar du någonsin lagt ner på att skydda dig blir en värdelös investering. 

Tiden är en faktor – en attack som tar hundra dagar kan tilldelas en låg prioritet jämfört med en attack som tar tio dagar, om den sker mot en kritisk funktion.

Forskningen bakom produkten har under tio år sysselsatt en lektor, två professorer och ett antal doktorander på KTH. Forskningen handlar inte bara om hur IT-system kan modelleras och analyseras, utan också om vad IT-säkerhet egentligen är.

”CAD” i Securicad är samma CAD som i Datorstödd konstruktion. Foreseeti gör anspråk på att dess verktyg – för ovanlighetens skull i IT-världen – befinner sig på en mognadsgrad i nivå med klassiska ingenjörsdiscipliner och liksom dessa kan arbeta med mogna teorier som grund.

Ska en ingenjör rita en bro finns parametrar som godstjocklek för en stålbalk angivet, så att bron håller. Securicad arbetar med motsvarande storheter för datasäkerhet.

– Vi och andra har forskat fram vad bra och fungerande IT-säkerhet är, och hur vi kan analysera och modellera IT-system utifrån denna kunskap. 

Unikt med Securicad är exempelvis att verktyget jobbar med sannolikheter. Det betyder att det tar hänsyn till osäkerheter och tittar på IT-säkerhet baserat på riskkalkyler. 

– Detta har ett antal fördelar när man på ett effektivt sätt be-höver ta proaktiva beslut för hur man ska stärka säkerheten på bästa, mest affärsmässiga, sätt.

Användaren kompletterar sannolikheterna för olika systemhot genom att ange hotens konsekvenser. Securicad tar därefter fram en riskkalkyl baserat på detta. Att en hemsida lätt kan hackas är ett mindre problem än att ett kontrollrum kan hackas, även om sannolikheten för det senare skulle vara mycket mindre. 

Banker och kärnkraftverk är Robert Lagerströms första exempel på institutioner som enligt skulle ha nytta av verktyget. Han ser en god potentiell marknad i Sverige.

– På det hela taget är Sverige ganska omoget när det kommer till IT-säkerhet, jämfört med exempelvis Storbritannien och Tyskland.

Vilka sorters system stöder ni?

– Det finns inga sådana restriktioner. Alla typer av IT-system går att modellera och Securicad kan då simulera attacker på dessa.

Även inbyggda system?

– Där är det mycket relevant. Inbyggda system har specifika krav som gör att det inte går att använda alla avancerade säker-hetslösningar. Att då se på alternativ och systemstrukturer kan vara mycket givande. 

– Många inbyggnadslösningar är skräddarsydda av ingenjörer som kan tekniken och de funktionella kraven men kanske inte är lika tränade när det kommer till säkerhet. Där kan vårt verktyg fylla ett viktigt tomrum. En ingenjör som ska lösa ett specifikt, funktionellt isolerat problem, missar lätt helheten. 

IoT?

– Absolut. IoT-prylar består liksom andra IT-system av klienter som kopplar upp sig mot värddatorer och ber om tjänster, så dem kan vi modellera och analysera precis som vilka nätverk som helst.

Denna artikel har tidigare publicerats i magasinet Elektronik­tidningen. För dig som jobbar i den svenska elektronik­branschen är Elektronik­tidningen gratis att prenumerera på – våra annonsörer betalar kostnaden.
Här ansöker du om prenumeration (länk).

Mognadsnivån inom IoT är dessutom typiskt lägre än inom IT-området. Operativsystemen kan sakna moderna säkerhetsfunktioner, som exempelvis ASLR (address space layout randomization) vilket gör dem mer utsatta för angrepp. 

– Dessutom släpar de typiskt efter med att installera de sen-aste säkerhetsuppdateringarna. 

En fördel med Securicad är att den gör det möjligt att adressera datasäkerhet redan då nya funktioner och system utvecklas.

– Att simulera med hjälp av Securicad minskar behovet av externa säkerhetsresurser samtidigt som investeringar kan läggas där de ger optimal effekt. 

Utdata från simuleringarna utgör i sig en tydlig beskrivning av säkerheten och något som lätt kan kommuniceras, både externt och internt.

Ett aktuellt tillämpningsområde är fordon.

– I ett nystartat Vinnovaprojekt ska vi i Foreseeti tillsammans med KTH och Scania titta närmare på IT-säkerhet i nästa generations fordon. 

Vidareutvecklar ni verktyget på något vis?

– Det finns alltid vidareutveckling att göra. Verktyget är idag lättanvänt för den säkerhetskunnige, men kan bli ännu enklare.

– Verktyget baseras på mycket data och avancerade algoritmer. Vi utvecklar detta kontinuerligt. Och så  gör vi forskning för bättre precision och specialsydda komponenter för olika branscher.

– Balansen mellan översikt och detaljer är superviktig för oss. Vi detaljerar modellerna kontinuerligt, men översikten och beslutsfattandet är centralt. Man får inte tappa översikten när man går in i detaljerna.