Kan resonnering rundt sikkerhetsarkitektur automatiseres? – en studie i sikkerhetsattributter og automatisk resonnering

Abstract

En virksomhetsarkitektur er en strukturert tilnærming som beskriver relasjonen mellom organisering, prosesser og IT-løsninger. I denne rapporten anser vi sikkerhetsarkitektur som sikkerhetsaspektene ved virksomhetsarkitekturen.

Ett av målene med en sikkerhetsarkitektur er å gi et helhetlig bilde av sikkerheten, blant annet for å kunne gi bedre støtte til planlegging og utvikling av sikkerhet. En slik støtte krever også en evne til helhetlig resonnering rundt viktige sikkerhetsaspekter ved virksomheten. Vår erfaring tilsier at en slik resonnering i all hovedsak utføres manuelt i dag. Støtteverktøy brukes hovedsakelig av visualiseringsgrunner for å støtte den manuelle resonneringen eller for å kommunisere konklusjonen av resonneringen.

En slik visualisering er ofte veldig nyttig. Med noen små endringer i hvordan man modellerer virksomheten, kan man øke graden av automatisk resonnering rundt arkitekturen betraktelig. Disse endringene krever imidlertid mer konsistens og en klarere semantikk i modelleringen.

I denne rapporten introduserer vi en ny tilnærming som kan gi en slik støtte. Her utvider vi arkitekturmodeller med sikkerhetsattributter som gjør det mulig å inkludere ytterligere sikkerhetsrelatert informasjon. Disse attributtene kan blant annet brukes til å spesifisere krav som det må resonneres rundt, og å spesifisere egenskaper som kan brukes i en automatisert resonnering. Rapporten indikerer derfor hvilket potensiale slike automatiske resonneringsteknikker og sikkerhetsattributter har for sikkerhetsarkitektur spesielt, og virksomhetsarkitektur generelt.

Resonneringen foregår gjennom en tolkning av semantikken til arkitekturmodellene ved hjelp av formell logikk. Den formelle representasjon gjør det mulig å automatisere resonneringen rundt viktige sikkerhetsrelaterte egenskaper ved arkitekturen. Det er viktig å understreke at det formelle aspektet er gjemt for brukeren.

I rapporten demonstrerer vi potensialet for slike teknikker gjennom flere eksempler som viser ulike muligheter. Vi viser at dette lar seg implementere ved å utvide Enterprise Architect, som er et rammeverktøy brukt blant annet av Forsvaret. Alle eksemplene lar seg automatisere med denne utvidelsen. Til slutt ser vi også nærmere på andre potensielle anvendelsesområder for slike teknikker, som vi håper vil stimulere til diskusjon og debatt i det videre arbeidet. Forsvaret anser i sin digitaliseringsstrategi virksomhetsarkitektur som et strategisk område og vi mener at arbeidet påbegynt her har stort potensiale for Forsvaret, blant annet for sikkerhetsstyring og endringsstyring av prosjektporteføljen.

An enterprise architecture is a structured approach that describes the relationship between organisation, processes and CIS solutions. For this report, we consider enterprise security architecture to consist of the security aspects of the enterprise architecture.

Enterprise security architecture aims to provide a holistic view of an enterprise’s CIS security, which may, for instance, help to support the planning and development of new security capabilities and measures. Such support requires the ability to reason comprehensively about crucial security aspects of the architecture models. Our experience has shown that such reasoning is largely a manual activity, where the tool support is merely used for visualization purposes, in order to both support the reasoning, and to communicate its conclusions.

Although visualisation has many merits, it does not exploit the full potential of automating the required reasoning process. Minor changes to how the enterprise security architecture is modelled can increase the level of automation considerably. These changes include, in particular, more consistent modelling and clear semantics of the modelling language.

In this report we introduce a new approach towards achieving the desired automated support. The language used for modelling is extended with security attributes, which are labels with additional security-related information. These attributes can be used to specify desirable security properties, as well as auxiliary properties used to support the reasoning process itself. The report thus provides an indication of the potential that automated reasoning techniques and security attributes have for use with enterprise security architecture in particular, and with enterprise architecture more generally.

The reasoning is achieved through a formal interpretation of the semantics of the architecture models by means of formal logic. This formal representation enables automated reasoning of crucial security-related properties of the architecture. The formal aspects and reasoning will remain hidden from the user.

The report demonstrates the potential for such reasoning techniques through several examples, illustrating a range of opportunities. Technical feasibility is shown through an extension to the Enterprise Architect toolset, which is able to automate the reasoning required by the examples. The report concludes with a discussion of other potential applications of such techniques, which we hope will stimulate debate on the next steps.