gazati felkszts a hazai ELI projekttel sszefgg kpzsi
- Slides: 37
„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" 2015. 01. 15 -16. YYYY. MM. DD Adatbiztonság a méréstechnológiában képzők képzése Előadás címe Szerző: Dr. Németh L. Zoltán TÁMOP-4. 1. 1. C-12/1/KONV-2012 -0005 projekt
1. Előadás 2. Kockázatmenedzsment Dr. Németh L. Zoltán
Az informatikai biztonság alapvető céljai 1. C = Confidentiality (bizalmasság) Csak azok érhessék el az információt, akik arra jogosultak. Pl. titkosított adattovábbítás és tárolás. 2. I = Integrity (sértetlenség) Védelem az adatok jogosulatlan módosítása ellen, pl. beszúrás, törlés, helyettesítés. Pl. adatbáziskezelés, pénzügyi tranzakciók lebonyolítása. 3. A = Availability (rendelkezésre állás) Az adat vagy szolgáltatás garantált elérhetőségét biztosítja. Pl. webserver, naplózás. E három legalapvetőbb cél elérése és fenntartása jelenti az informatikai biztonságot. 3 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Az informatikai biztonság területeinek csoportosítása �Fizikai védelem: �zárak, beléptető rendszerek, tűzjelző rendszerek, biztonsági kamerák és őrök stb. �Logikai védelem: � titkosítási algoritmusok, kommunikációs protokollok, tűzfalak, stb. �Adminisztratív védelem: �kockázatmenedzsment, biztonsági szabályzatok, szabványok és ajánlások, törvényi szabályozás. 4 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Néhány példa biztonsági kontrollra 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 5 Biztonsági szabályzatok Biztonsági mentések Vészhelyreállítási tervek Titkosítás Elektronikus aláírás Tűzfalak Zárak Beléptető rendszerek Vírusírtók Többfaktoros hitelesítés, stb. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
A biztonságmenedzsment alapfogalmai � Informatikai értékek (Information Assets) � Biztonsági szabályzat (Security Policy) � Incidens (Incident) – Katasztrófa (Disaster) � Fenyegetés (Threat) � Sérülékenység (Vulnerability) � Kockázat (Risk) � Kihasználás (Exploit) 6 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Assets (értékek) IT biztonság szempontjából az értékek csoportosítása: � Hardver � Szoftver � Adat Az informatikai biztonság feladata ezek � C: bizalmasságának (Confidentiality), � I: sértetlenségének (Integrity) és � A: rendelkezésre állásának (Avilability) biztosítása. A személyek és egyéb vagyontárgyak védelmét nem szoktuk idesorolni, bár alapvető, és néha ütközik az IT biztonsággal. Pl. Fail-safe vs. Fail-open beléptető rendszer. 7 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Biztonsági szabályzat I. �Azt definiálja, hogy mit jelent, hogy egy rendszer, szervezet vagy bármi más biztonságos. �Azaz az elvárt biztonságos működés megfogalmazása. �Lehet implicit vagy explicit, azaz nincs feltétlenül írásba foglalva. 8 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Biztonsági szabályzat II. �Követelményeket fogalmaz meg, mind a rendszerelemekkel mind a védelmi mechanizmusokkal szemben. �BETARTATHATÓSÁGRA (Enforcement) �ELLENTMONDÁSMENTESSÉGRE (Consistency), és �TELJESSÉGRE (Completness) kell törekedni, ha - különösen az utóbbi - nehéz is. 9 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Felső szintű szabályzat – alszabályzatok (subpolicies) �Felső szintű szabályzat: általános. �Pl: ISO 27002 Security Policy Template „ 9. 1. Critical or sensitive information processing facilities will be housed in secure areas. ” 10 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Felső szintű szabályzat – alszabályzatok (subpolicies) � Alszabályzatok (Subpolicies): konkrét rendelkezések. � Pl: SANS Information Security Policy Templates Automatically Forwarded E-mail Policy: „Unless approved by an employee's manager Info. Sec, email will not be automatically forwarded to an external destination… ” �Nem szabad csak az alszabályzatokban elveszni! 11 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Biztonsági esemény (Incident) � Biztonsági incidens a biztonsági szabályzat megsértése vagy a védelmi kontrollok kijátszása (vagy annak kísérlete). � Lehet egyszeri vagy sorozatos alkalom (akár éveken át). � Lehet �automatikus: pl. vírustámadás, �manuális: pl. alkalmazott általi adatlopás. 12 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Biztonsági esemény (Incident) � Mindig rosszindulatú, emberre visszavezethető. Ezzel szemben biztonsági esemény lehet még, � természeti katasztrófa, � meghibásodás, � hanyagság, vagy akár vétlen károkozás is. 13 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázat (Risk) �Minden, olyan esemény lehetősége, amely a biztonságot veszélyezteti. �Általános, pl. hackertámadás, vagy természeti katasztrófa. �Általában nem zárható ki teljesen. „Ha biztonságos számítógépet akarsz, akkor húzd le az internetről, kapcsold ki, öntsd 1 köbméter betonba, s ásd el 100 m mélyre. ” 14 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázat (Risk) �Összetevői: fenyegetés (Threat) és sérülékenység (Vulnerability). �Jellemzői: valószínűség (Probability) és (ki)hatás (Impact). �Mindezek széles skálán mozoghatnak. �A kockázatelemzés általában nem egyszerű feladat. 15 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
valószínűség A kockázatok egyszerűsített értékelése magas közepes magas nagyon magas közepes alacsony közepes magas alacsony elenyésző alacsony közepes magas kihatás (Impact) 16 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Sérülékenység (Vulnerability) I. � Biztonsági rés, a rendszer olyan gyengesége (sőt legtöbbször hibája) mely incidensre vagy katasztrófára ad lehetőséget. � Elég, hogy lehetőséget ad, nem kell hozzá, hogy azt ki is használják. � Ez már konkrét, sokszor orvosolható. 17 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Sérülékenység (Vulnerability) II. � Pl. egy az alkalmazás egy konkrét szubrutinja puffer túlcsordulásra (Buffer Overflow) ad lehetőséget. � Ez akkor is sérülékenység, ha senki nem tört még be rajta keresztül, vagy csak az alkalmazás megbénítására (Denial of Sevice, Do. S) lehet használni. � Persze a súlyossága egészen más … 18 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
0 -day sérülékenységek I. � Olvasd: Zéró-day = olyan hiba, melyre a gyártó még nem adott ki javítást. � Különösen nagy veszélyt jelenthetnek, elterejdtségüktől és kihasználhatóságuktól függően. �Hogyan lehet felfedezni őket? Pl. : Fuzzing �Hogyan védekezhetünk akkor ellenük? Pl. : rétegzett védelemmel. 19 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
0 -day sérülékenységek II. � Az etikus hackerek először a gyártót értesítik, ha ilyenre bukkannak. � A nem etikus hackerek kihasználják őket, vagy a feketepiacon kereskednek velük. � A biztonság értékelésekor számolni kell a létezésükkel. 20 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Fenyegetés (Threat) I. �Veszély, azaz olyan személy vagy körülmények együttese, mely biztonsági esemény okozója lehet. �Katasztrófa (árvíz, tűz, elhagyott biztonsági mentés) vagy támadó (pl. hacker kívülről, belső alkalmazott, vagy robot). �Legalább olyan fontos ismerni, mint a sérülékenységeket, pl. : milyen erős, mi a motivációja? 21 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Fenyegetés (Threat) II. �APT = Advanced Persistent Threat (magas szintű állandó fenyegetés) -> pl. kormányok titkosszolgálatai � 2010. Stuxnet féreg az iráni atomlétesítmények ellen � 2011. szept. Duqu (a Crysys Lab elemezte) � 2012. május Flame … 22 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Fenyegetések típusai I. �Külső fenyegetések (External Threats): A támadónak nincs semmilyen hozzáférése a rendszer belső erőforrásihoz, csak a kívülről publikusan elérhető információkat, szolgáltatásokat látja. Pl. idegen hacker. 23 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Fenyegetések típusai II. � Belső fenyegetések (Internal Threats): A támadó hozzáfér bizonyos belső erőforrásokhoz, pl. tipikusan egy felhasználói fiókhoz, belső hálózathoz vagy csupán a biztonsági eljárások gyakorlatához. A támadó célja lehet jogosultságának kiterjesztése (Privilage Escalation), azaz, hogy privilegizált accunthoz is hozzáférést szerezzen. Pl: alkalmazottak, korábbi – rossz esetben sértődött – alkalmazottak, szerződéses partnerek. 24 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kihasználás (Exploitation) � Az a folyamat, amelyben egy fenyegetés ki is használja a sérülékenységet. � Ez lehet manuális vagy automatikus (ekkor eszköz hajtja végre). � Az etikus hackerek is írnak exploitokat, hogy ezzel bizonyítsák, demonstrálják a sérülékenységeket. � Mert, addig nem hisznek nekik… (Sajnos, néha még utána se …) � Ez a Proof of Concept (Po. C), azaz a bizonyíték a hibára. Risk 25 Vunerability Exploit Incident Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Malware I. Malicious Software = Rosszindulatú kód, szoftver �Vírus (általában fájlhoz kötődő kártevő) �Féreg (a vírussal szemben önállóan terjed) �Trójai (más hasznos programnak adja ki magát) �Rootkit (a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök, melyek pl. hátsóajtót /Backdoor/ nyitnak a támadónak. ) �Kémprogram (Spyware) 26 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Malware II. �Ransomware (váltságdíjat követelő program) �Aggresszív reklámprogram (Adware) �Billentyűzetfigyelő (Keylogger) �Betárcsázó (Dialer) �Bot (támadó által irányított zombi-gépek hálózatának (botnet) kliens programja). Célja, pl. : �további malwerek terjesztése (akár megrendelésre is!) �kémkedés �spam (levélszemét) küldése �DDo. S (Distributed Denial of Service) támadás �számítások (jelszótörés, Bit. Coin bányászat, stb. ) 27 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Védelmi kontrollok (Controls) vagy mechanizmusok (Mechanisms) �Olyan eszköz, cselekedet, eljárás vagy technika, mely megszünteti vagy csökkenti a sérülékenységeket. �Más elnevezések: Defense, Safeguard, Countermeasure Pl. : �tűzfal (Firewall), �biztonsági mentés (Security Backup), �biztonság-tudatossági képzés (Security Awarness Training), �titkosítás (Encryption), stb. 28 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Védelmi kontrollok (Controls) vagy mechanizmusok (Mechanisms) � Általában a sérülékenységeket, és az általuk hordozott kockázatot teljesen megszüntetni nem lehet. � Ezért a jelszó: csillapítani (mitigate), csillapítani … 29 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázatelemzés és belőle fakadó biztonsági döntések � A kockázatok mindennaposak. � De, például mindig bezárod-e �a lakásod/szobád ajtaját? �a kocsid ajtaját? A hétköznapi életben sokszor nagy magabiztossággal, szinte észrevétlenül hozunk kockázatelemzésen alapuló döntéseket. 30 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázatelemzés és belőle fakadó biztonsági döntések � Milyen alapon hozzuk döntéseinket? �Szabály alapú (Rule-based) döntések �Ha nem tartod be a biztonsági szabályzatot, elbocsáthatnak. �Relatív döntések �Mivel a szomszédom/barátom/mindenki más zárva tartja a kertkaput, én is. �Racionális, tényeken alapuló döntések �Felmérve a kockázatot, nem zárom be a kocsim ajtaját, mert úgy is itt vagyunk kint a barátom udvarán. 31 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázatelemzés � A IT biztonsági kockázatelemzés, sok szempontból hasonló a mindennapi és az üzleti kockázatelemzéshez. � Számos kidolgozott különböző módszertan van rá. � Lehet �quantitatív: számszerűsíthető mindent számokra fordít le, vagy �qualitatív: nem számszerűsíthető prioritásokat fogalmaz meg. 32 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázatelemzés �Ugyanakkor az informatika területén messze nincs annyi adat és tapasztalat, mint pl. az életbiztosításokhoz. �A fenyegetések és sérülékenységek gyorsan változnak. �Vitatott, hogy mennyi időt, energiát kell/érdemes kockázatelemzésre fordítani. 33 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
A védekezés folyamata 1. 2. 3. 4. 5. 6. Értékek azonosítása, (Identication of Assets) Kockázatelemzés (Risks Analysis) A biztonsági szabályzat meghatározása A védelmi mechanizmusok implementálása A védelem monitorozása Helyreállítás támadások után (Recovery) S a tapasztalatok fényében kezdhetjük az egészet elölről. 34 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Összefoglalás � 100%-os biztonság nincs. �Csillapítani, csillapítani… �Mindig kockázatarányos védelemre van szükség. �A kockázatok felmérése után mérlegelni, egyensúlyozni kell: �a biztonsági szint, �az erőforrások (nem csak pénz!) és �a használhatóság között. 35 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Összefoglalás II. � Az igazán jó védelem a lehetőségekről kell, hogy szóljon, � nem csak a lehetséges támadások, kockázatok tekintetében, � hanem az alkalmazható védelmi mechanizmusokat illetően is. � Számos megoldás van vagy összerakható, � Ami nehézzé teszi a védekezést: �egyenszilárdságra kell törekedni (láncszemek), �a kockázatok és a rendszer dinamikus változása. 36 Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Hivatkozások 1. 2. 3. 4. 5. 37 W. A. Conklin, G. White, D. Williams, Ch. Cothren, R. Davis, Comp. TIA Security+ All-in-One Exam Guide, Mc. Graw-Hill Osborne, 2011. B. D. Payne, W. K. Edwards, A Brief Introduction to Usable Security http: //www. cc. gatech. edu/~keith/pubs/ieee-introusable-security. pdf. Richard E. Smith, Elementary Information Security, Jones & Bartlett Learning, 2011. Virrasztó Tamás, Titkosítás és adatrejtés: Biztonságos kommunikáció és algoritmikus adatvédelem, Net. Academia Kft. , Budapest, 2004. Information Security and Risk Management in Context, Washington University, https: //www. coursera. org/course/inforiskman. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Gazati
Eli eli lama azavtani analiza pjesme
Ligeti perje
Kazuár tojás
Gyümölcsök csoportosítása
Eli kaminsky
Anna y reed and eli weaver
Anak asuh imam eli adalah
Eli np
Chapter 7 balancing nationalism and sectionalism
Puolustusmekanismit eli defenssit
Marco eli chereze
Números complexos
Eli rivkin
Francis cabot lowell invention
Lessons from eli
Pençe eli
Eli ghazel
Eli tomac 2019
Anna y. reed and eli weaver
Eli pilkku
Ilmari karimies
Eli weaver human services
Eli madagascar
Eli whitney invents the cotton gin
Phasor relationship for circuit elements
Eli weaver counseling
Eli program
Pdf merge online
1851
Eli whitney
Return from babylon
Eli 1010 spectrum
Eli
Eflow ocr
Eli waxman
Eli the ice man
Eli whitney
