Rozdělení hrozeb



Yüklə 492,5 Kb.
tarix07.11.2018
ölçüsü492,5 Kb.
#78211



Rozdělení hrozeb

  • Rozdělení hrozeb

  • Typy útočníků a jejich cíle

  • Obranné mechanismy

  • Autentizace a autorizace

  • Bezpečnost databází

  • Bezpečnostní požadavky na IS

  • Bezpečnost na úrovni OS





Fyzická – technické závady, zcizení, …

  • Fyzická – technické závady, zcizení, …

  • Přírodní – IS nemá schopnost vyrovnat se s objektivními faktory – blesk, záplava, požár, …

  • Technologická - IS/ICT svými konstrukčními charakteristikami neumožňuje zajistit např. požadovaný trvalý plynulý provoz

  • Fyzikální – IS/ICT pracuje na takových fyzikálních principech, které umožňují jejich zneužití (např. odposlech)

  • Lidská – působení lidí – úmyslné /neznalost, omyl



Technické závady

    • Technické závady
    • Přírodní katastrofy
    • Výpadky dodávky elektrické energie


Počítačové viry - program, který se šíří bez vědomí uživatele http://www.antivirovecentrum.cz http://www.viry.cz

  • Počítačové viry - program, který se šíří bez vědomí uživatele http://www.antivirovecentrum.cz http://www.viry.cz

    • Souborové, bootovací, stealth, polymorfní, makroviry, retroviry
  • Trojské koně - skrytá část programu nebo aplikace provádějící funkce, se kterou uživatel nesouhlasí

  • Červi (worms) - šíření založeno na bezpečnostních chybách

  • Back-doors – vstup do systému bez hesla

  • Zapomenuté funkce z doby vývoje

  • Phishing - podvodný email snažící se vylákat důvěrné informace-hesla atd.

  • Hoax – poplašná zpráva http://www.hoax.cz

  • Spyware – sw sleduje uživatele nebo informace o jeho počítači a data odesílá

  • Rootkit – program k zamaskování určitých aktivit na počítači



Příklady hrozeb:

  • Příklady hrozeb:

  • Virová nákaza

  • Průnik do sítě

  • Útoky typu DoS (Denial of Services)

  • Odposlech provozu (bezdrátové sítě, vyzařování CRT monitorů…)

  • Přístup k nezabezpečeným kanálům



Můžeme rozlišit tři úrovně:

  • Můžeme rozlišit tři úrovně:

  • Vnitřní – síť je využívána pro předávání informací (např. informace ukryté v obrázcích)

  • Lokální kyberútok – samostatný přímý útok na technologii nebo službu

  • Souběžný útok – paralelní útoky na konkrétní oblasti či cíle



Krádež dat a informací

  • Krádež dat a informací

  • Zničení dat

  • Destabilizace systému

  • Blokování místa nebo určitých zdrojů



Hacker

  • Hacker

    • Začátečník -> uznání, seberealizace
    • Profesionál -> překonání intelektuálních výzev, ideál o svobodném přístupu informací...
  • Virový tvůrce – „zrazení idealisté“, „nedocenění odborníci“,…

  • Vnitřní nepřítel („Insider thread“) – odplata vůči zaměstnavateli, pocit křivdy, …

  • Informační válečník – vlastenecké motivy – destabilizace nepřátelských zdrojů

  • Zloděj – snaha o zisk financí, př. Fishing

  • Politický aktivista – fanatik, idealista…



Programátorské chyby

  • Programátorské chyby

  • Návrhové chyby

  • Konfigurační chyby

  • Fyzické narušení

  • Chyby obsluhy



  • Obranné mechanismy



Fyzické a přírodní ohrožení:

  • Fyzické a přírodní ohrožení:

  • Zálohování – úplná/inkrementální

  • Zabezpečení – UPS, přepěťové ochrany

  • - Kategorie systémů odolných vůči výpadkům:

    • Fault-tolerant systém – systém odolný vůči výpadkům – výpadek části systému (elektřina, komponenta, síť) nezpůsobí významné přerušení funkce systému; řešení pomocí zdvojení kritických komponent
    • Disaster-tolerant systém - systém odolný vůči katastrofám; jako FT řešeno zdvojením ale i fyzickým oddělením záložního systému


Replikace

  • Replikace

  • Mirroring

    • Oracle Data Guard (od Oracle 7)
    • MS SQL Server (od verze 2005)
    • Caché mirroring
  • Doporučený text:

  • http://www.oracle.com/technetwork/database/features/availability/dataguarddatabasemirroring-094251.html



Principal

  • Principal

  • Mirror

  • Whitness



Softwarové ohrožení:

  • Softwarové ohrožení:

  • Firewall, antivirové programy, …

  • Sítě – VPN (Virtual Private Network) –

  • Autentizace a řízení přístupových práv

  • Bezpečnostní politika, plán obnovy činnosti, havarijní plán



Firewall, tzv.„bezpečnostní brána“, je zařízení či software oddělující provoz mezi dvěma sítěmi (např. interní podniková a veřejný internet), přičemž propouští jedním nebo druhým směrem data podle určitých předem definovaných pravidel.

  • Firewall, tzv.„bezpečnostní brána“, je zařízení či software oddělující provoz mezi dvěma sítěmi (např. interní podniková a veřejný internet), přičemž propouští jedním nebo druhým směrem data podle určitých předem definovaných pravidel.

  • Brání tak zejména před neoprávněnými průniky do sítě a odesílání dat ze sítě bez vědomí a souhlasu uživatele.



Aplikační filtr

  • Aplikační filtr

  • Paketový filtr – síťová vrstva, částečně propustný router

  • NAT (Network Address Translation)

  • Bridging Firewall



  • Autentizace = ověření uživatele

  • Autorizace = ověření práv



Přístup přes uživatelská jména a hesla nebo PIN

  • Přístup přes uživatelská jména a hesla nebo PIN

    • Expirační doba hesel
    • Omezený počet pokusů přihlášení (heslo, PIN)
    • „Strong“ password – minimální počet znaků, povinné kombinace čísel a písmen, zákaz používání smysuplných slov
    • Zákaz „prázdného“ hesla
  • Ověření uživatele

    • Vlastnictví určitého předmětu – karta, čárový kód, token
    • Ověření fyziologických charakteristik – biometrie
  • Využití časových intervalů (automatické odhlášení při delší nečinnosti)



Biometrie:

  • Biometrie:

      • Otisky prstů
      • Snímek oční sítnice a duhovky
      • Rozpoznání obličeje, dlaně
      • Rozpoznání hlasu
      • Dynamika podpisu, psaní na klávesnici


Problémy biometrických metod

  • Problémy biometrických metod

    • Obtížnost měření biometrických informací
    • Ověření, že je uživatel živý (liveness-test)
    • Závislost měření na prostředí a fyzické kondici uživatele
  • Chyby biometrických systémů

    • Oprávněnému uživateli je odmítnut přístup do systému (False Rejection Error)
    • Neoprávněný uživatel je biometrickým zařízením označen jako oprávněný (False Acceptance Error)


User-centric - ověřuje se uživatel

  • User-centric - ověřuje se uživatel

    • OpenID, LiveID, OpenAuth, Facebook Connect
  • Institution-centric - ověřuje se oprávnění k roli v rámci instituce

    • Shibboleth


  • Síťový autentizační protokol

  • Symetrická kryptografie

  • Pro model klient-server a poskytuje vzájemnou autentizaci





Příliš mnoho hesel do různých systémů

  • Příliš mnoho hesel do různých systémů

  • Nejednoznačnost identity (v jiném systému pod stejným uživatelským jménem vystupuje někdo jiný)



  • Bezpečnost databázových systémů



zabezpečení dat v databázi proti zneužití

  • zabezpečení dat v databázi proti zneužití

  • zabezpečování přihlašovacích informací

  • zabezpečení komunikace mezi aplikací a databází

  • zabezpečení dotazů proti SQL-injection

  • SQL injection je technika, která útočníkovi umožní přidat do příkazu SQL pro databázi kód, který tam původně nebyl.



Bezpečnost informační (utajení)

  • Bezpečnost informační (utajení)

  • Zachování integrity (technická stránka)



Trusted Subject Architecture - Databázový a operační systém jsou jedna entita

  • Trusted Subject Architecture - Databázový a operační systém jsou jedna entita

  • Woods Hole Architecture - Uživatele pracují s množinou nedůvěryhodných rozhraní, které komunikují s důvěryhodným rozhraním (front end). Samotný databázový systém je opět nedůvěryhodný.







SQL injection – útok přes nezabezpečené webové rozhraní

  • SQL injection – útok přes nezabezpečené webové rozhraní

  • Př. SQL injection

  • $dotaz = "select * from clanky where id = '$_GET["id"]'";  



$dotaz = "select * from clanky where  id = '$_GET["id"]'";  

  • $dotaz = "select * from clanky where  id = '$_GET["id"]'";  

  • Clanek.php?id=1 

  • Test zabezpečení:

  • clanek.php?id=1 and 1=1 /* 



Jestliže test projde, projde i toto:

  • Jestliže test projde, projde i toto:

  • clanek.php?id=1 and truncate table clanky/*  



Zálohování – důraz na rychlou obnovu v případě havárie

  • Zálohování – důraz na rychlou obnovu v případě havárie

  • Archivace – důraz na dlouhodobé uchování dat



CD, DVD

  • CD, DVD

  • Disky

  • Pásky

  • USB – nevhodné, statická elektřina

  • NAS

  • FTP server

  • On-line



Rozpor mezi požadavky na obnovu a použité zálohovací médium

  • Rozpor mezi požadavky na obnovu a použité zálohovací médium

  • Automatizace zálohování (eliminace lidského činitele)

  • Kontrola záloh (nejsou vadné sektory na disku?)

  • Kontrola mechanismu obnovy



  • BEZPEČNOSTNÍ POŽADAVKY

  • a

  • BEZPEČNOSTNÍ POLITIKA



„Národní strategie informační bezpečnosti ČR - Příloha č.2“ (www.micr.cz ). Obecně je lze formulovat jako:

  • „Národní strategie informační bezpečnosti ČR - Příloha č.2“ (www.micr.cz ). Obecně je lze formulovat jako:

  • zachování důvěrnosti („confidentiality“), kdy přístup k aktivům mají pouze autorizované subjekty, tj. osoba, proces nebo zařízení disponující oprávněními k provádění činností v IS/ICT.

  • zachování dostupnosti („availability“), kdy autorizované subjekty mohou na své vyžádání vykonat činnosti a není jim odepřen k činnosti přístup.

  • zachování integrity, kdy ke změně aktiva nemůže dojít neautorizovaným subjektem, nepovolenou činností či nekompletním provedením změn.



Vlastnosti systému ovlivňujících jeho bezpečnost:

  • Vlastnosti systému ovlivňujících jeho bezpečnost:

  • zajištění prokazatelnosti („authentication“), kdy lze vysledovat jakoukoliv akci, která v systému proběhla s tím, že lze zjistit původce takové akce,

  • zajištění nepopíratelnosti („non-repudiation“), kdy subjekt nemůže odmítnout svoji účast na provádění nějaké akce,

  • zachování spolehlivosti („reliability“), kdy reálné chování systému je konsistentní s chováním systému, tak jak je dokumentováno.



Popis informačního systému

  • Popis informačního systému

  • Cíle bezpečnostní politiky

  • Definice citlivosti informací

  • Definice možných hrozeb

  • Zásady personální politiky

  • Stanovení politiky zálohování

  • Plán obnovy pro havárii

  • Metodiku řešení krizových stavů



Bezpečnostní politika je soubor zásad a pravidel (dokument), s jejichž pomocí organizace chrání svá aktiva.

  • Bezpečnostní politika je soubor zásad a pravidel (dokument), s jejichž pomocí organizace chrání svá aktiva.

  • Bezpečnostní politika je kontinuálně aktualizována v souladu se změnami prostředí a může zahrnovat:

  • politiku přípustného užívání aktiv,

  • specifikaci vzdělávacího procesu svých zaměstnanců v oblasti ochrany aktiv,

  • objasnění způsobu uskutečňování a vynucování bezpečnostních opatření,

  • proceduru vyhodnocení účinnosti politiky vedoucí k provedení její změny.



BP má za úkol zajistit bezpečnost IS s přihlédnutím k nákladové efektivitě a musí odpovídat na tyto otázky:

  • BP má za úkol zajistit bezpečnost IS s přihlédnutím k nákladové efektivitě a musí odpovídat na tyto otázky:

  • Kdo nese zodpovědnost?

  • Kdy to bude efektivní?

  • Jak to bude vynuceno?

  • Kdy a jak to bude uvedeno do praxe?



Nejsou věci „bezpečné“ a „nebezpečné“, jsou jen různé míry rizika.

  • Nejsou věci „bezpečné“ a „nebezpečné“, jsou jen různé míry rizika.

  • Různí lidé akceptují v různých situacích různou míru rizika.



Řešení bezpečnosti – nekončící proces.

  • Řešení bezpečnosti – nekončící proces.

  • Některá řešení přinášejí nové problémy:

  • - šifrování – problémy se správou klíčů

  • - nasazení firewallů – zpomalení systému



studie informační bezpečnosti – aktuální stav,

  • studie informační bezpečnosti – aktuální stav,

  • riziková analýza,

  • tvorba bezpečnostní politiky - vytýčení cílů,

  • bezpečnostní standardy – pro naplnění cílů bezpečnostní politiky,

  • bezpečnostní projekt – technická opatření,

  • implementace bezpečnosti – nasazení výše uvedeného,

  • monitoring a audit – prověřování, zda vytvořené bezpečnostní mechanismy odpovídají dané situaci.



Co se stane, když informace nebudou chráněny?

  • Co se stane, když informace nebudou chráněny?

  • Jak může být porušena bezpečnost informací?

  • S jakou pravděpodobností se to stane?



Zákon č. 106/1999 Sb., o svobodném přístupu k informacím

  • Zákon č. 106/1999 Sb., o svobodném přístupu k informacím

  • Zákon č. 101/2000 Sb., o ochraně osobních údajů

  • Zákon č. 227/2000 Sb., o elektronickém podpisu (poslední úpravy zákon č. 110/2007 Sb.) a 304/2001 Sb. Prováděcí vyhláška

  • Zákon č. 365/2000 Sb., o informačních systémech veřejné správy (poslední úprava . 81/2006 Sb.),

  • Zákon č. 22/1997 Sb., o technických požadavcích na výrobky

  • Zákon české národní rady č. 20/1993 Sb., o zabezpečení výkonu státní správy v oblasti technické normalizace, metrologie a státního zkušebnictví.

  • Zákon č. 412/2005 Sb., o ochraně utajovaných informací a o bezpečnostní způsobilosti.



Úřad pro ochranu osobních údaj - ÚOOÚ

  • Úřad pro ochranu osobních údaj - ÚOOÚ

  • Národní bezpečnostní úřad - NBÚ

  • Ministerstvo vnitra – MV ČR

  • Český normalizační institut - ČNI

  • Úřad pro technickou normalizaci, metrologii a státní zkušebnictví - ÚNMZ



  • Bezpečnost elektronického bankovnictví



zabezpečení přenášených dat

  • zabezpečení přenášených dat

    • šifrování
  • Bezpečná identifikace klienta

    • Přístup přes uživatelské jméno a heslo
    • Certifikát elektronického podpisu
    • Autentizace čipovou kartou - PIN
    • Autentizační kód – potvrzovací kód přes SMS


Aktualizace operačního systému

  • Aktualizace operačního systému

  • Aktualizace internetového prohlížeče

  • Firewall

  • Antivirové a antispamové programy

  • Autentizace



  • Bezpečnost operačních systémů



Aktualizace balíčků, zejména bezpečnostních záplat

  • Aktualizace balíčků, zejména bezpečnostních záplat

  • Kontrola výskytu podezřelých (modifikovaných) daemonů

  • Používání služeb, jejíchž provoz je šifrován (ftp, telnet, pop3 aj. přijímají hesla uživatelů v nezašifrované podobě

  • Přístup na služby Linuxového serveru povolit jen určitým klientům – TCP-wrappers, IP-tables

  • Kontrola log souborů (balíček „logcheck“)

  • Kompilace jádra – Security options



Linux a viry - http://www.linux.cz/viry.html

  • Linux a viry - http://www.linux.cz/viry.html

  • Nástroje pro sledování sítě:

  • Netstat, Ntop, Nmap, Tcpdump, Ethereal, Kismet, Airsnort



Operační systém Microsoft Windows nabízí od verze Windows 2000 možnost vytvořit uživatele s různou úrovní oprávnění (od Windows Vista je k dispozici UAC)

  • Operační systém Microsoft Windows nabízí od verze Windows 2000 možnost vytvořit uživatele s různou úrovní oprávnění (od Windows Vista je k dispozici UAC)

  • Uživatel s „omezeným přístupem“ – nemá možnost instalovat aplikace a přístup do systémových složek

  • Windows Update – záplaty

  • Secunia Personal Software Inspector



USB disky -> pozor na AUTORUN – doporučuje se vypnout (úprava v registrech)

  • USB disky -> pozor na AUTORUN – doporučuje se vypnout (úprava v registrech)

  • Před likvidací malware/virů je vhodné dočasně vypnout funkci „obnova systému“ (jinak se zlikvidovaný sw bude vracet)

    • Klikněte pravým tlačítkem myši na ikonu TENTO POČÍTAČ (MY COMPUTER).
    • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte záložku OBNOVENÍ SYSTÉMU (SYSTEM RESTORE).
    • Zatrhněte volbu VYPNOUT NÁSTROJ OBNOVENÍ SYSTÉMU NA VŠECH JEDNOTKÁCH.


POZOR!! Je-li fyzický přístup k počítači a je povolen boot z CD, lze pomocí utilit na bázi Linuxu provést reset hesla účtu Administrator

  • POZOR!! Je-li fyzický přístup k počítači a je povolen boot z CD, lze pomocí utilit na bázi Linuxu provést reset hesla účtu Administrator

  • (SAM soubor C:\Windows\System32\config\SAM).



Pro Mac OSX existují jen 3 viry

  • Pro Mac OSX existují jen 3 viry

  • Snow Leopard je umí odchytit, antivir není potřeba

  • Time Machine – zálohovací software

  • Firewall u systému Leopard standardně vypnutý (Snow Leopard už má zapnutý)

  • Konfigurace bezpečnosti a záplatování zcela automatické

  • Záplaty nepřicházejí pravidelně jako u Windows



http://www.viry.cz

  • http://www.viry.cz

  • http://www.antivirovecentrum.cz

  • http://www.ictsecurity.cz

  • http://www.security-portal.cz

  • http://zdrojak.root.cz



Yüklə 492,5 Kb.

Dostları ilə paylaş:




Verilənlər bazası müəlliflik hüququ ilə müdafiə olunur ©genderi.org 2024
rəhbərliyinə müraciət

    Ana səhifə