1 / 42

OSNOVE BEZBEDNOSTI I ZAŠTITE IS

OSNOVE BEZBEDNOSTI I ZAŠTITE IS. TEMA 6 TAKSONOMIJA PRETNJI I RIZIKA ZA IS. CILJ. Razumeti: značaj taksonomija pretnji osnovne tipove malicioznih napada (virusi, crvi, trojanci,...) mere zaštite i oporavka sistema od malicioznih napada. KLJUČNI TERMINI. Taksonomija pretnji Crv

aleta
Download Presentation

OSNOVE BEZBEDNOSTI I ZAŠTITE IS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. OSNOVE BEZBEDNOSTI I ZAŠTITE IS TEMA 6 TAKSONOMIJA PRETNJI I RIZIKA ZA IS UNIVERZITET SINGIDUNUM - FPI

  2. CILJ Razumeti: • značaj taksonomija pretnji • osnovne tipove malicioznih napada (virusi, crvi, trojanci,...) • mere zaštite i oporavka sistema od malicioznih napada UNIVERZITET SINGIDUNUM - FPI

  3. KLJUČNI TERMINI • Taksonomija pretnji • Crv • Haker • Logička bomba • Maliciozni kôd . • Mobilni malware kôd • Trojanac • Virus • Zamka (trapdor) UNIVERZITET SINGIDUNUM - FPI

  4. Taksonomije pretnji 1. Definicija taksonomije: • princip klasifikacije na bazi definisanih kriterijuma 2. Cilj taksonomije: • obezbedi lakše definisanje i identifikovanje različitih tipova kombinovanih, dinamički promenljivih pretnji za IS 3. Taksonomija izvora pretnji (najčešća): • slučajne-Sl i namerne-Na. 3. Taksonomija tipa pretnji (najčešća): • Maliciozne zloupotrebe ranjivosti IKTS i kompjuterski kriminal • Nebriga • Ljudska greška • Pad sistema • Uticaj okruženja UNIVERZITET SINGIDUNUM - FPI

  5. Taksonomije pretnji -1 4. Taksonomijakombinovanih napada: • Posledica uticaja: štetan-Št, neškodljiv-Nš, • Izvor nastanka: iznutra-Un, spolja-Va • Način izvođenja: sofisticiran – So, nesofisticiran – Ns, • Kombinovani napadi: ŠtSoUn, ŠtSoVa, ŠtNsUn, ŠtNsVa, NšSoUn, NšSoVa, NšNsUn, NšNsVa 5. Redukovana taksonomijaizvora pretnji: • za izbor U, O, T k/z i pokrivanje identifikovanih pretnji: • greške • prirodne događaje • namerne napade UNIVERZITET SINGIDUNUM - FPI

  6. Taksonomija napada i napadača • Taksonomija napada: • Destrukcije • Izmena podataka • Prekid servisa (DoS napad) • Špijunaža • Neovlašćeno korišćenje • Profili napadača: • Amateri • Profesionalci • Hakeri (kreativci, • destruktivci, kriminalci) • Krakeri • Vandali • Kriminalci UNIVERZITET SINGIDUNUM - FPI

  7. Potencijalni napadi sa Interneta • virusni napadi– uništavanje podataka • odbijanje servisa (DoS/DDoS) – onemogućavanje funkcionisanja servisa • ponavljanje poruka(spam) –sprečavanje prenosa podataka • pogađanje lozinke – neovlašćeni pristup podacima • Trojanci– distribucija zlonamernih programa na radne stanice • lažno predstavljanje(društveni inženjering)– neautorizovani pristup podacima • prisluškivanje – neovlašćeno pristupanje podacima • kriptoanaliza – otkrivanje tajnih ključeva i podataka • ...... UNIVERZITET SINGIDUNUM - FPI

  8. Tipični napadi malicioznih programa -Propagacija virusa u toku dana- UNIVERZITET SINGIDUNUM - FPI

  9. Tipične bezbednosne grešake • Upravne strukture: • neobezbeđenje odgovarajućeg broja stručnih lica u zaštiti • primena samo organizacionih vidova zaštite bez primene k/z • rešavanje samo pojedinačnih bezbednosnih problema • korišćenje samo mrežnih barijera (firewall) • neshvatanje vrednosti informacija • primena kratkotrajnih rešenja zaštite • ignorisanje bezbednosnih problema • Korisnika: • otvaranje nezahtevanog e-mail • ne instaliranje bezbednosnih patch-eva (zakrpa) • instaliranje i download-ovanje screen saver-a i igrica • izostanak operacija bekapovanja • korišćenje modema dok je PC vezan u LANu UNIVERZITET SINGIDUNUM - FPI

  10. Tipične bezbednosne grešake • Informatičkih profesionalaca • priključivanje RS na Internet bez primene • priključivanje test/razvojnih RS na Internet sa default lozinkama • neažuriranje nekih bezbednosnih problema • korišćenje nešifrovanih protokola za upravljanje • davanje/izmena lozinki preko tel. bez autentikacije • propust u procedurama bekapovanja sistema • korišćenje nepotrebnih Internet servisa • primena slabo konfigurisanih mrežnih barijera • propust u implementaciji i ažuriranju AVP • propust u obuci korisnika (prijava incidenta) UNIVERZITET SINGIDUNUM - FPI

  11. Maliciozni program(M/P) -Definicija- • Definicija: • Tajno ubačen kôd u drugi program da: • uništi p/i, • pokrene destruktivni program, • kompromituje bezbednost, • naruši P/I/R p/i, aplikacija ili sistema. UNIVERZITET SINGIDUNUM - FPI

  12. Maliciozni program (M/P) • Opšte karakteristike: • M/P najznačajnija pretnja za IKT sistem • granice između različitih M/P slabe • Internet - preplavljen M/P Primer (FBI): • 2000. g. generisano 30.000 M/P dnevno • za 3 meseca 2009 - 5 miliona raznih pretnji na Internetu • Vrste: • virusi • Trojanci • crvi • mobilni kôdovi • kombinovani napadi (lažni virus/trojanac) UNIVERZITET SINGIDUNUM - FPI

  13. Kompjuterski virus • Krakteristike: • program: ˝inficira˝ ostale programe • modifikuje: legalne programe • koristi: autorizaciju korisnika da inficira program • pokreće se: aktiviranjem izvršavanja inficiraju datoteke • širi se: kroz sistem/mrežu • inficiran program: ponaša se kao virus • razmnožavanje: "ugnjezde" se u druge datoteke • šteta: brišu ili menjaju datoteke na disku • Najčešći prenosioci: • Boot sektor • Master boot zapis (MBR) • Izvršne datoteke (npr. sa .COM i .EXE) • Datoteke sa izvršnim kôdom (npr. Word-a i Excel-a) UNIVERZITET SINGIDUNUM - FPI

  14. Taksonomija virusa • Virusi BOOT sektora • „kače“ se uz MBR program u boot sektoru HD/pr. medija • najnezgodniji, nalaze se u najdubljem delu OS • mogu preuzeti kontrolu i nadgledati apsolutno svaku operaciju • nakon uključenja, prvi se aktiviraju • detekcija/uklanjanje - reinstalacija OS sa butabilnog CD-a, uz AVP • kad se otkriju lako se uklanjaju Primer: Michelangelo,Stoned, ... • Virusi komandnog procesora: • slični su prethodnim • učitavaju se malo kasnije u procesu podizanja OS • smanjenu moć nad OS • kada se otkriju, lako se uništavaju UNIVERZITET SINGIDUNUM - FPI

  15. Taksonomija virusa • Univerzalni virusi (infektori) • najraširenija kategorija virusa 1. lepe se za određene tipove datoteka • nemaju veze sa OS cilj .EXE i .COM datoteke • učitaju se u prvi zaraženi program • sele se u memoriju, čekaju da zaraze naredni .exeprogram 2. modifikuju način na koji računar otvara neku datoteku • virus se aktivira prvi, a onda se aktivira program • glavna strategija nastupa da od .exedat. naprave Trojanca • Primer:Jerusalem i Cascade. UNIVERZITET SINGIDUNUM - FPI

  16. Taksonomija virusa • Složeni virusi • veoma opasni - kombinuju tehnike vrlo su fleksibilni • vrhunac su tehnologije programiranja virusa • Usmereni virusi • strogo su namenski programi • uništavaju određeni broj određenih tipova datoteka • Šifrovani virusi • sakrivaju kôd ili inficiranu datoteku • jedini otvoreni tekst - procedura dešifrovanja • najčešće šifrovani jedinstvenom procedurom • (XOR-e svakog bajta slučajnim ključem za svaku novu kopiju). • detekcija - pronalaženje procedure za dešifrovanje na početku kôda UNIVERZITET SINGIDUNUM - FPI

  17. Šifrovani virusi UNIVERZITET SINGIDUNUM - FPI

  18. UNIVERZITET SINGIDUNUM - FPI

  19. Taksonomija virusa • Makrovirusi • preovlađujući tipovi virusa napisani u makro jezicima • najčešći su makrovirusi za MS Word, Excel, Office, Accessbaze i dr. • preuzimaju kontrolu kada se otvori/ zatvori virusom inficirana datoteka. • sami se zakače za dokument koriste makro programski jezik neke aplikacije • zahvataju standardne funkcije programa • zatim inficiraju svaku narednu datoteku koja se otvori • oštećuju sam sadržaj datoteke Primeri:Concept, Marker i Melissa. • Lažni virusi • daju lažna upozorenja virusnog napada • opisuje se alarmantnim upozorenjem o napadu • zahteva se trenutna akcija za zaštitu • česti su, izazivaju neznatne štete, troše operativno vreme i mogu nositi Trojanca Primeri:Good Times i Bud Frogs. UNIVERZITET SINGIDUNUM - FPI

  20. Mehanizam širenja i efikasnost virusa • Direktni infektori • direktno inficiranju datoteku • ne ostaju u memoriji i nisu univerzalni • mehanizam inficiranja nije preterano efikasan • indikator je dodatna aktivnost diska • Indirektni infektori • pri pokretanju inficiranog programa smešta se u memoriju • inficira svaku datoteku, učitanu radi izvršavanja • Brzi infektori • inficiraju sve datoteke koje se izvršavaju i one kojima se pristupa • koristi čak i AVP da zarazi datoteke • Spori infektori • inficiraju samo datoteke u fazi kreiranja/modifikacije • zaobilaze programe za kontrolu integriteta (ispravna veličina datoteke sa virusom) UNIVERZITET SINGIDUNUM - FPI

  21. Trojanci • Opšta svojstva: • prosta forma, zabavna manifestacija • kopiraju, brišu datoteke/diskove • nisu virusi, ne inficiraju/umnožavaju, čekaju pokretanje • Štete: • uništiti sva dokumenta na disku • prebaciti dokumenta na računar napadača • potrošiti Internet-vreme korisnika • iskoristiti računar radi zloupotrebe/kriminala • ubacuju se: direktnim ili indirektnim unosom • Modeli: • nastavljajući funkciju orig.programa, izvršavaju maliciozne programe • nastavljajući i modifikujući funkciju orig. programa, izvršavaju malicioznu aktivnost • izvršavaju maliciozne funkcije koje kompletno zamenjuju funkcije orig. programa UNIVERZITET SINGIDUNUM - FPI

  22. Trojanci-Cilj- • udaljeni pristup i puna kontrolu nad računarom • klijentsku i serversku komponentu • klijentska komponenta - na udaljenom računaru napadača • serverska komponenta - na napadnutom host računaru • uspostavljena veza: napadač izvršava komande • agenti distribuiranih DoS napada • većina prikrije dokaz o kompjuterskom incidentu (skupljaju pasvorde i šalju pasvord-liste e-poštom i dr.) UNIVERZITET SINGIDUNUM - FPI

  23. Trojanci-Vremenske bombe- • slične Trojancima imaju mogućnost da unište podatke • imaju ugrađeni vremenski tempirani “triger” • aktivira se u određeno vreme i napravi neželjeno dejstvo • aktivira se u unapred isprogramiranom trenutku • ne slučajnim i nesvesnim pokretanjem od strane korisnika. UNIVERZITET SINGIDUNUM - FPI

  24. Crvi (Worms) • Programi koji menjaju ili uništavaju podatke • šire svoje kopije, na druge sisteme preko mreža • svrstavaju ih u mrežne “viruse” • ne zahtevaju host programe i ne prilepljuju se uz glavne izvršne programe • samostalni su programi sa malicioznim dejstvom • razmnožavaju se u što više primeraka • izazivaju zagušenje HD, mreže ili e-mail servera • Primer:Happy 99 exe,Blaster worm,SQL Slammer worm. UNIVERZITET SINGIDUNUM - FPI

  25. Mobilni (aktivni) kôdovi-skriptovi- • aktivni program, prenosi sa udaljenog na lokalni sistem • izvršava se na lokalnom sistemu bez instrukcije korisnika • služi kao mehanizam za prenos virusa/crva/trojanaca • koristi ranjivosti sistema da izvrši svoje akcije • Primer:Java applets, ActiveX, JavaScript, VBScript. UNIVERZITET SINGIDUNUM - FPI

  26. Kombinovani napad (Blended Attack) Koristi višestruke metode za širenje • E-mail • Windows zajedničke datoteke • Web servere • Web klijente • slanja poruka i zajedničke dat. u direktnoj arhitekturi Primer: Nimda (karakt. virusa, crva i mobilnog kôda) UNIVERZITET SINGIDUNUM - FPI

  27. Maliciozni napadi-statistika- • Štetne posledice virusa: • gubitak produktivnosti (62%) • smetnje (41%) • uništene datoteke (32%) • izgubljeni podaci (30%) • nepoverljive aplikacije (24%) • pad sistema (DoS) (23%) • gubitak poverenja (20%) • oštećen E-mail (9%) • opasnost gubitka posla (3%) UNIVERZITET SINGIDUNUM - FPI

  28. UNIVERZITET SINGIDUNUM - FPI

  29. UNIVERZITET SINGIDUNUM - FPI

  30. Maliciozni napadi-statistika- • (Symantec's izveštaj o pretnjama na Internetu (Sept. 2006) • Kompjuterski kriminal na Inernetu: • pomera se od jednostavne krađe identiteta i prava pristupa na velike poslovne sisteme • druga ciljna grupa su finansijski servisi, kao što su: • prevare u online trgovini akcijama (USA, Kanada), • kompromitacija online brokera sa keylogerima i spyware. • Kompromitovani PC računari postaju deo armije botnetova. • U prvoj polovini 2006 identifikovao je: • više od 4,6 miliona različitih, aktivnih botnet računara • 57.717 aktivnih botnet računara prosečno dnevno UNIVERZITET SINGIDUNUM - FPI

  31. Maliciozni napadi-statistika- • Vektor napada pomera se sa korporacija na individualne korisnike • 86% od svih napada odnosi se na korisnike PC • Kombinovani napadi: • adware, spayware i fišing napadi, SPAM, DDOS • Novi maliciozni kodovi – teški za detektovanje • koriste ranjivosti u aplikacijama krajnjeg korisnika, kao što su web brauzeri i desktop aplikacije, a manje servera i firewalls. UNIVERZITET SINGIDUNUM - FPI

  32. Maliciozni napadi-statistika- • ETrade Financil izgubila 18 miliona $ u lažnoj online trgovini u periodu od 90 dana • Najčešći napad botnet računara na PC računare su: • Kompromitacijom parametara za logovanje • Izlaganjem poverljivih informacija kroz deljenje fajlova i uplodovanje i • Koordinirane SPAM i DDOS napade • Danas pažnju treba usmeriti na: • zaštitu udaljenih računara i • zaštitu Laptop i mobilnih računara koji mogu ugroziti mobilnim radom poslovanje organizacije. UNIVERZITET SINGIDUNUM - FPI

  33. Tipične pretnje i napadi za WS-statistika- • Izmena poruke (IP) • Falsifikovanje poruke (FP) • Gubitak poverljivosti (GP) • Čovek u sredini (ČS) • Lažno predstavljanje principala (LPP) • Lažno predstavljanje (LP) • Ponovljeno slanje delova poruke (PSDP) • Ponovljeno slanje poruke (PSP) • Odbijanje izvršavanja servisa (DoS/DDoS) • Implementacija defektnog softvera (IDS)

  34. Primeri napada na web servise (2008)

  35. Tipičan metod napada

  36. Profil hakeri/stopa otkrivanja (Oracle 2009)

  37. Ključni servisi za sveobuhvatnu zaštitu WS-a Servisi za upravljanje SOA WS-a: obezbeđuju mehanizme za instalaciju, održavanje, monitoring i otklanjanje grešaka u funkcionisanju WS-a Servisi za komunikacije SOAP WS-a: obezbeđuju podršku za različite tipove modela komunikacija između WS-a Proceduralni servisi (politika i procedura): obezbeđuju okvir za kreiranje, administriranje i upravljanje politikama infrastrukture za zaštitu, alokaciju resursa i performansi WS-a Servisi za zaštitu (Tehničke kontrole zaštite): obezbeđuju podršku za različite modele zaštite, mehanizme, protokole i tehnologije koje proširuju ključne protokole zaštite WS-a

  38. Mere zaštite • razvoj svesti o potrebi zaštite • višeslojna AV zaštita – AVP na serveru i r/st • kriptološki mehanizmi – zaštita tajnosti podataka i lozinki • primena DS – za autentifikaciju, integritet, neporecivost • jaka autentikacija – bezbedna međusobna autentifikacija • jaki Kz ključevi, česta izmena – otežava i sprečava KA • zaštita IP adresa servera – zaštita od DoS napada, • PKI (d. sertifikati) –jednoznačni ID parametri • smart kartice - za generisanje DS i čuvanje Kz parametara UNIVERZITET SINGIDUNUM - FPI

  39. Izbor k/z za smanjenje rizika 1. Napad postoji: mera zaštite:impementirati adekvatne TKZ 2. Napad iskoristiv (postoji ranjivost): mera zaštite:primeniti slojevitu zaštitu i projektovati adekvatnu arhitekturu IS i sistema kontrola zaštite 3. Troškovi napada < od dobiti napadača: mera zaštite: povećati TKZ da se povećaju troškovi napada 4. Gubitak suviše velik: mera zaštite:primeniti GAISP principe, projektovanje višeslojne arhitekture zaštite, izbor optimalnih U,O i T k/z, ograničiti obim osetljivih objekata 10.9.2014 UNIVERZITET SINGIDUNUM - FPI 39

  40. Specifikacija standardnih kontrola zaštite SOA

  41. Problemi nedostatka politike zaštite? • >25% zaposlenih nije pročitalo ni jednu politiku zaštite u 2007 godini* • ≈ 50% nije pročitalo sve politike zaštite koje su im namenjene u 2007 • <30% nije imalo obuku ni razvoj svesti o potrebi zaštite u 2007 • ≈ 65% organizacija ne prati da li zaposleni čitaju politiku zaštite (potpišu izjavu o prihvatanju i razumevanju politike) • > 75% zaposlenih ignoriše politike zaštite čak i kada su svesni njihovog postojanja * • 46% routinski deli pasvorde * • 50% organizacija nema politiku za izveštavanje o bezbednosnom incidentu i ranjivostima sistema • ≈ 67% organizacija ističe da je ključni prioritet u sledećoj (2009) podizanje svesti o potrebi zaštite • ≈ 22% organizacija imaju program za razvoj svesti o potrebi zaštite • ≈ 13% organizacija ima časove obuke iz oblasti zaštite informacija *CSI/FBI & Information Security shield anketa

  42. Zaključak • Taksonomija pretnji/napada: olakšava definisanje i identifikovanje pretnji i napada na IS • Maliciozni napadači su uvek u prednosti • Kvalitetno profilisanje napadača - ključna aktivnost za uspešnu odbranu • Razvijati scenarije napada i izučavati mentalitet i kapacitete napadača na osnovu ciljeva i načina napada • Određivati vrednost objekata zaštite iz perspektive napadača UNIVERZITET SINGIDUNUM - FPI

More Related