Bezpieczeństwo Informacji

Informacja biznesowa jest podstawowym źródłem rozwoju i dochodowości przedsiębiorstwa

Chronione są atrybuty informacji

• Poufność - udostępnienie informacji (różnymi metodami) tylko wybranym osobą lub instytucjom podczas procesu tworzenia, gromadzenia, przetwarzania i udostępniania.

• Dokładność - jakość informacji nie zmienia się wraz z upływem czasu. Początkowa postać informacji musi być podana z maksymalną (dostępną) dokładnością

• Integralność informacji - informacja nie może być zmieniona, zniekształcona przez nieuprawnione podmioty

• Dostępność informacji - możliwość wykorzystania istniejących zasobów informacyjnych dla właściwych grup użytkowników. Brak dostępu do zasobów informacji pomimo jej obecności jest równoznaczny dla podmiotów z brakiem informacji w określonym przedziale czasu.

Bezpieczeństwo - ograniczanie ryzyka

Zapewnienie 100% bezpieczeństwa informacyjnego nie jest możliwe. Zwiększanie poziomu bezpieczeństwa wymusza zwiększone działania administracyjne i kontrolne oraz ograniczenia w swobodnym dostępie do informacji.

Poziom bezpieczeństwa całego systemu jest taki jak poziom bezpieczeństwa najgorzej zabezpieczonego miejsca - teoria - „najsłabszego ogniwa”.

Koszty związane z zapewnieniem odpowiedniego poziomemu bezpieczeństwa rosną nieproporcjonalnie do wzrostu bezpieczeństwa przedsiębiorstwa.

Wycena stosowanego poziomu zabezpieczeń musi uwzględniać nie tylko koszty zakupu i wdrożenia systemu ale również poniesione koszty będące konsekwencją zaniechania wprowadzenia zabezpieczeń.

Podstawowe pojęcia związane z przetwarzaniem informacji.

DOSTĘP - Metoda pozyskiwania informacji. Sposób dostępu do źródeł danych.
Sieci transmisyjne, telefon, faks, przesyłki pocztowe itp. Ochrona musi być adekwatna do ścieżki przekazywania danych.

IDENTYFIKACJA - Zdolność jednoznacznego rozróżniania podmiotów, które pragną wykorzystywać zasoby źródeł danych. Mogą to być osoby, procesy, programy, sprzęt (komputery, urządzenia sieciowe), sieci komputerowe.

UWIERZYTELNIANIE - Zdolność jednoznacznego wykazania że podmiot jest tym za kogo się podaje. Uwierzytelnienie dotyczy osób, ale również procesów, programów, zasobów sprzętowych. Źródło informacji musi mieć zaufanie do podmiotu, któremu przekazuje dane.

AUTORYZACJA (UPRAWNIENIA) - Zdolność jednoznacznego określenia jakie zasoby informacyjne mogą być określonemu podmiotowi udostępnione. Określanie uprawnień zawęża dostęp do źródła danych.

ROZLICZALNOŚĆ - Zdolność powiązania działań z tymi osobami lub procesami które je wykonywały. Uzyskanie informacji o rozliczalności jest możliwe pod warunkiem monitorowania procesów dostępu do informacji. Podmiot pozyskujący informację nie może wyprzeć się (zaprzeczyć), że takie działanie wystąpiło. Rozliczalność jest podstawą do uzyskania audytu w zakresie bezpieczeństwa (oceny systemu bezpieczeństwa przez niezależną instytucję).

UŚWIADOMIENIE - Zrozumienie i poznanie stosowanych metod ochrony informacji przez użytkowników. Celem uświadomienia jest uwrażliwienie użytkowników na stosowanie właściwych środków ochrony oraz zwrócenie uwagi na postać informacji (przekłamane lub niepełne dane)

ADMINISTRACJA - Proces zarządzania bezpieczeństwem systemu ochrony danych. Zakres administracji obejmuje nie tylko systemy informatyczne i zasoby sieciowe ale również dostęp fizyczny do źródeł danych, pracowników, itp.

PLANOWANIE BEZPIECZEŃSTWA INFORMACJI

INSPEKCJA - Określenie, które z podstawowych funkcji i zasobów przedsiębiorstwa podlegają ochronie i w jakim stopniu. Poznanie stanu aktualnego w dziedzinie ochrony.

OCHRONA - Działania aktywne mające na celu zmniejszenie ryzyka zakłócenia (przerwania) działalności przedsiębiorstwa. Wskazanie miejsc oraz metod ochrony.

WYKRYWANIE - Planowanie działań mających na celu wykrycie zdarzeń mogących naruszyć bezpieczeństwo danych. Symulowanie ataku na podstawie modelu atakującego. Opracowanie metod kontroli umożliwiających wykrycie ataku lub prób pozyskiwania informacji potrzebnych do przeprowadzenia ataku.

REAKCJA - Planowanie działań związanych z naruszeniem bezpieczeństwa informacji. Zdefiniowanie, udokumentowanie i przetestowanie różnych scenariuszy postępowania przy wystąpieniu określonego typu zdarzeń. Plan reagowania musi zapewnić ciągłość działania przedsiębiorstwa (reakcja nie może powodować większych strat niż atak). Należy utworzyć plan działań związanych z nieprzewidzianymi formami ataku.

REFLEKSJA - Proces analizy zdarzeń związanych z zakłóceniem ochrony danych. Ocena zastosowanych metod ochrony, wykrywania i planów reagowania. Wprowadzenie udoskonaleń do planu bezpieczeństwa na poziomie ochrony, wykrywania i reakcji.

INSPEKCJA

• Zasoby przedsiębiorstwa

• Ludzie,

• Własność (aktywa)

• Informacja

• Infrastruktura (telekomunikacyjna, informatyczna, energetyczna)

• Reputacja

• Określanie zagrożeń

• Błędy ludzkie

• Awarie systemu (hardware, software)

• Katastrofy naturalne

• Działania rozmyślne

• Typy potencjalnych szkód

• Odmowa usługi - utrata dostępności

• Ujawnienie - utrata poufności

• Zniszczenie lub uszkodzenie - utrata integralności

INSPEKCJA

Podatność - słabość lub luka w systemie przetwarzania danych ( strukturze fizycznej, procedurach, organizacji, zarządzaniu, administrowaniu, sprzęcie lub oprogramowaniu), która może zostać wykorzystana do przeprowadzenia ataku. Wykrycie podatności następuje zwykle po ataku w wyniku analizy incydentu zagrażającego bezpieczeństwu.

• Wady projektowe programu (pod względem bezpieczeństwa)

• Stosowanie przestarzałego środowiska programowania.

• Wady oprogramowania niskopoziomowego (związanego ze sprzętem)

• Nieautoryzowane źródła oprogramowania

• Niepoprawne wdrożenia (domyślna instalacja, łatwiejsze zarządzanie i administracja systemem)

• Nadużycia w wykorzystaniu oprogramowania - innowacyjne (niezgodne z przeznaczeniem zastosowanie)

• Inżynieria społeczna

INSPEKCJA

Inwentaryzacja zasobów

• Wyposażenie aktywa fizyczne (sprzęt komputerowy urządzenia sieciowe, systemy archiwizacji, itp.)

• Oprogramowanie (licencje, nośniki)

• Algorytmy (opatentowane, chronione stanowią własność przedsiębiorstwa)

• Informacja (zgromadzone dane uporządkowane w sposób hierarchiczny)

Przypisanie własności (rozliczalność)

1. Twórca informacji - właściciel informacji

2. Utrzymujący - odpowiada za właściwą postać informacji zarządzający informacją.

3. Użytkownik - grupy osób mające prawo do korzystania z zasobów informacyjnych w stopniu określonym przez utrzymującego.

Przypisanie wartości

1. Koszt ponownego wytworzenia

2. Koszt niedostępności

3. Koszt ujawnienia

Klasyfikacja bezpieczeństwa

Na podstawie wartości i ryzyka następuje przypisanie odpowiedniej klasyfikacji bezpieczeństwa.

SZACOWANIE ZAGROŻEŃ

• Identyfikacja zagrożenia - wskazanie na procesy i użytkowników mogących potencjalnie spowodować straty.

• Określenie prawdopodobieństwa

Typowe zagrożenia:

• Błąd ludzki

• Naturalne katastrofy

• Niezawodność sprzętu - awarie sprzętu

• Niezawodność oprogramowania - dysfunkcja programu

• Złożoność oprogramowania

• Ewolucja oprogramowania

• Testowanie oprogramowania

• Przepełnienie bufora

• Zależności czasowe (wieloprocesorowość)

• Obsługa wyjątków

• Interfejs programistyczny

• Zarządzanie zmianami

• Niezawodność infrastruktury (telekomunikacyjnej, energetycznej, informatycznej)

• Działania złośliwe (włamania do systemów)

Złośliwe oprogramowanie

• Przepełnienie bufora pamięci

• Bomba logiczna - czasowa lub zdarzeniowa

• Pasożyt - program nieniszczący wykorzystywany do gromadzenia lub zmiany informacji

• Programy węszące (sniffer) -program wyszukujący określonych informacji (haseł, identyfikatorów, numerów kart płatniczych itp.)

• Podszywanie się (spoofing) - osoba lub program przechwytujący tożsamości innej osoby lub programu.

• „Koń trojański” - programy użytkowe zawierające ukryty kod wykonujący niepożądane działania

• Wirusy

• Robak - wykorzystywany do transportowania innych programów. Wykorzystuje luki i niedoskonałości oprogramowania sieciowego np. poczty elektronicznej.

Straty przedsiębiorstw

1. Odmowa usługi

2. Kradzież zasobów

3. Uszkodzenie informacji

4. Zniszczenie informacji

5. Kradzież informacji

6. Ujawnienie informacji

7. Kradzież oprogramowania

8. Kradzież systemów

9. Uszkodzenie systemów nadzoru komputerowego

PROJEKTOWANIE ZABEZPIECZEŃ

Spójność - działanie zabezpieczeń jest niezależne od platformy sprzętowej, systemu operacyjnego, miejsca i jednostki organizacyjnej.

Kompletność - systemy zabezpieczające w przedsiębiorstwie (organizacji) osiągają ten sam poziom ochrony we wszystkich obszarach działalności.

Efektywność kosztowa - koszty ochrony informacji są adekwatne do wartości informacji i prawdopodobieństwa ryzyka.

Unikanie ryzyka

• Likwidowanie miejsc podatnych na uszkodzenia

• Ograniczenie dostępu

• Zwiększanie zabezpieczeń

• Przeniesienie ryzyka

• Ubezpieczenie

Ograniczenie ryzyka

• Ograniczenie zakresu zniszczeń

• Ulepszenie systemów wykrywania (czasu wykrywania)

• Szybka reakcja

OCENA STANU AKTUALNEGO

• Ocena procedur i zasad

• Ocena jakości zastosowanych rozwiązań

• Sprawdzenie zgodności procedur i zasad z rozwiązaniami stosowanymi w praktyce.

• Testowanie

• Analiza statyczna - metoda nieinwazyjna obejmuje przegląd programów ich konfiguracji wersji oprogramowania, zasad udzielania przywilejów i metod administracji. Sprawdzanie miejsc podatnych na atak.

• Analiza dynamiczna - metoda inwazyjna testowania systemu ochrony poprzez symulowany atak.

• Testy bezpieczeństwa elektronicznego (informatycznego) próby wymuszenia nieautoryzowanego dostępu.

• Testy bezpieczeństwa fizycznego - próby obejścia zabezpieczeń fizycznych zbierania informacji i wynoszenia poza siedzibę przedsiębiorstwa

• Testy bezpieczeństwa związane z czynnikiem ludzkim - próby pozyskania informacji od osób mających do niej dostęp.

UŚWIADOMIENIE - bezpieczeństwa

• Modele właściwego zachowania
  (uprawnienia, zakres odpowiedzialności, kary)

• Programy uświadamiania
  (ciągłe, spójne, efektywne, aktualne, nagradzanie)

IDENTYFIKACJA

• Umożliwia jednoznaczne ustalenie tożsamości
  dotyczy to użytkowników, oprogramowania, sprzętu, sieci.

• Unikalny - jednoznaczność związku

• Uniwersalny (tego samego typu i formatu )

• Weryfikowalny

• Przenośny

• Łatwy w użyciu

• Trudny do sfałszowania

Identyfikacja fizyczna - utrzymanie bezpieczeństwa w zakresie dostępu fizycznego

Identyfikacja elektroniczna - utrzymanie bezpieczeństwa w zakresie dostępu fizycznego i dostępu elektronicznego.

DOSTĘP

• Dostęp fizyczny

• Dostęp bezpośredni (łącza dzierżawione)

• Dostęp sieciowy
  (sieci WAN, sieci korporacyjne, LAN)

• Dostęp zdalny
  (sieci telekomunikacyjne -przewodowe, bezprzewodowe)

• Dostęp społeczny (czynnik ludzki)

DOMENY BEZPIECZEŃSTWA - część systemu informacyjnego, znajdująca się pod wspólną kontrolą o określonym poziomie bezpieczeństwa. Domeny bezpieczeństwa łączą się z innymi domenami przez punkty dostępu. Punkty dostępu są głównymi punktami kontroli bezpieczeństwa.

DOMENY ZAUFANIA - są częścią domen bezpieczeństwa, w których stosuje się jeden model zaufania - jedną metodę uwierzytelnienia. W ramach domeny zaufania informacje uwierzytelniające przychodzące z dowolnego miejsca domeny są traktowane jak własne. Złamanie zasad bezpieczeństwa w jednym obiekcie domeny zaufania powoduje naruszenie bezpieczeństwa całej domeny zaufania.

Wirtualne sieci prywatne VPN - (Virtual Private Network) umożliwiają łączenie domen zaufania wykorzystując sieci publiczne.

Serwery dostępu realizują określone metody dostępu (np. dostęp dialup, zdalny terminal ) i kontrolę w punkcie dostępu.

BEZPIECZEŃSTWO SIECIOWE

• Ograniczenie przepływu informacji

• Monitorowanie ruchu w sieci

• Tworzenie rejestrów połączeń, sesji, nazwy użytkowników, metody uwierzytelniania i inne

• Przełączniki (Switch)

• Mosty (Bridge)

• Routery

• Zapory ogniowe (FireWall)

• Proxy (serwery pośredniczące)

UWIERZYTELNIENIE

• Metody uwierzytelnienia

• Coś, co jest znane (hasło)

• Coś, co się posiada ( karta, token)

• Coś, czym się jest (cechy biometryczne)

• Metody dodatkowe

• Fizyczna lokalizacja

• Logiczna lokalizacja

• Metody złożone

• połączenie uwierzytelnienia i lokacji

Modele uwierzytelniania

• Wielokrotne uwierzytelnianie

• Pojedyncze uwierzytelnianie

• Wielopoziomowe uwierzytelnienie

Hasła

• Hasła wielokrotne

• Hasła jednorazowe

• Hasła typu Pytanie - Odpowiedź

Urządzenia uwierzytelniające HHAD (Handhold Autentication Devices)

• Karty sekwencyjne (zmiana ustawień po użyciu)

• Karty czasowe (zmiana ustawień w czasie)

• Karty z certyfikatem cyfrowym

ATAKI NA UWIERZYTELNIENIE

• Ataki bezpośrednie

• Odgadywanie

• Obliczanie (łamanie) haseł

• Ataki pośrednie

• Śledzenie komunikacji uwierzytelniania
  podglądanie (snooping)

• Przechwytywanie i odtwarzanie

• Ataki społeczne

• Ujawnianie haseł

• Odgadnięcie (skojarzenie z danymi osobowymi)

• Podglądanie procesu uwierzytelniania

• Przeszukiwanie fizyczne (zapisanego hasła)

AUTORYZACJA

Uprawnienia i przywileje

• Kontrola i rozliczalność

• Uprawnienia centralne lub rozproszone

• Zasada minimalizacji przywilejów

• Granulacja uprawnień

• Uprawnienia zgrubne

• Dostęp

• Używalność

• Modyfikowanie

• Tworzenie

• Usunięcie

• Zarządzanie

• Uprawnienia szczegółowe

DOSTĘPNOŚĆ INFORMACJI

• Dostępność danych sieciowe obszary przechowywania - SANS (Storage Area Network Solution)

• Dostępność systemu

• Dostępność aplikacji

• Dostępność Infrastruktury

• Dostępność zasilania

• Dostępność sieci

Modele dostępności

• Systemy odporne

• Systemy samonaprawiające się wykrywanie i korekta błędów)

• Systemy nadmiarowe

• Systemy z wymianą części (Hot swappable)

• Systemy z odtworzeniem (powrót do stanu przed awarią)

KLASYFIKACJE DOSTĘPNOŚCI wg. HRG (Harvard Research Group)

AE4 - stałe przetwarzanie bez możliwości przerw i błędów oraz obniżenia wydajności, jakości, ciągłość działania 24 h * 7 dni

AE3 - wymagana jest ciągłość połączenia, okresowe obniżenie jakości usług, nie wszystkie transakcje muszą być zrealizowane

AE2 - dopuszczalne minimalne przerwy w połączeniu, możliwe powtórzenia transakcji po odtworzeniu z pliku, pogorszenia jakości i wydajności w godzinach szczytu

AE1 - zapewnienie dostępności do danych z czasowym zawieszeniem wykonania działań, niedokończone transakcje mogą być odtwarzane z plików dzienników i rejestrów zdarzeń na dyskach nadmiarowych

AE0 - występują przerwy w dostępie i przerwy w realizacji transakcji. Przerwy w pracy użytkownika, zawieszenie systemu bez możliwości odzyskania transakcji. Dane mogą ulec utraceniu i zniszczeniu.

DOKŁADNOŚĆ INFORMACJI

• Dokładność zależy od źródła i jego wiarygodności. Wielokrotne potwierdzenie ze źródeł niewiarygodnych nie czyni informacji dokładniejszą. (źródła w sieci Internet)

• Zapewnienie dokładności wymaga:

• Ochrony podczas przechowywania

• Ochrony podczas przesyłania

• Ochrony podczas przetwarzania

• Transakcja - operacja polegająca na wykonaniu wielu czynności skoordynowanych i związanych w jedno zdarzenie. Zakończenie transakcji sukcesem powoduje zapisanie zmian w danych.

• Weryfikacja dokładności informacji jest procesem trudnym i wymagającym gromadzenia dodatkowych informacji o stanie danych w różnych okresach czasowych. Stosowane metody weryfikacji to:

• Porównywanie

• Obliczenia (sumy kontrolne)

ROZLICZALNOŚĆ

Modele rozliczalności

• Rozliczalność indywidualna (odpowiedzialność jednostki za działania)

• Rozliczalność grupowa (współdzielenie odpowiedzialności wewnątrz grupy )

• Hierarchia poleceń (odpowiedzialność jednostki za działania grupy osób) - hierarchia służbowa

Zasady rozliczalności

• Powiadamianie - użytkownicy informacji znają zakres swoich praw i obowiązków przedstawiony w formie dokumentu zaakceptowanego przez dwie strony. Dokumenty w różnej postaci są odpowiednio oznaczone. Przekroczenie zakresu uprawnień jest wiadome.

• Identyfikacja - rozliczalność jest możliwa przy jednoznacznej identyfikacji zdarzeń oraz podmiotu, który wywołał te zdarzenia.

• Niezaprzeczalność - jednoznaczne uzyskanie potwierdzenia, że podmiot który wywołał zdarzenie jest tym za kogo się podaje. (podpis cyfrowy)

• Monitorowanie - działania podmiotów muszą być monitorowane i rejestrowanie. Rejestry zdarzeń stanowią podstawę do rozliczeń i audytu bezpieczeństwa - scentralizowany system archiwizacji

• Audyt - analiza zapisów działań użytkowników pozwalająca na wykrycie działań nieuprawnionych. System audytu umożliwia analizę po dokonaniu włamania i stanowi materiał dowodowy.

• Alarmowanie - system alarmowania umożliwia śledzenie zdarzeń w czasie rzeczywistym. Wykorzystanie tego narzędzia oraz systemu powiadamiania daje możliwość zapobieżenia działaniom nielegalnym i ujęcie sprawcy w trakcie włamania.

• Przymus stosowania zasad bezpieczeństwa - musi być określony i przejrzysty, wdrożony w całym przedsiębiorstwie, łącznie z systemem kar i nagród.

PROFILE INTRUZÓW (zdefiniowanie typowego włamywacza)

Intruzi zewnętrzni (nieznane powody ataku i cel ataku)

• Hakerzy

• Hakerzy do wynajęcia

• Przestępczość zorganizowana

• Aktywiści polityczni lub społeczni

• Terroryści

Intruzi wewnętrzni

• Niezadowoleni pracownicy

• Pracownicy kontraktowi i okresowi

• Firmy partnerskie

Motywy działań

• Finansowe

• Społeczne lub polityczne

• Personalne

Metody wtargnięć

• Techniczne

• Podsłuch elektroniczny

• Fizyczny dostęp do zasobów (pomieszczenia biurowe, zdalni pracownicy, urządzenia przenośne)

• Inżynieria społeczna

REAKCJA

Profile reakcji

• Obserwacja i ostrzeganie

• Blokowanie i naprawianie

• Ściganie i karanie ?

Rozpoznanie incydentu zagrażającego bezpieczeństwu

• nieznane pliki w katalogach systemowych

• nieznane programy i procesy

• zużycie zasobów

• załamanie się systemu

• aktywność o użytkowników lub procesów o zaskakującej porze

• obecność nieznanych kont

• informacje pracowników o ataku

• powiadomienia z systemu wykrywania wtargnięć

• użycie uśpionego konta

• zmiany w rejestrach lub plikach konfiguracyjnych

• obecność programów hakerskich

• powiadomienie przez partnerów

• powiadomienie przez hakera!

8

---