1 / 70

Wprowadzenie

Wprowadzenie. Celem jakichkolwiek działań z zakresu bezpieczeństwa teleinformatycznego jest ochrona informacji, a nie komputerów!. Wprowadzenie. Dlaczego chronimy informację? Ponieważ jest towarem (może mieć znaczenie strategiczne) Jest podstawowym elementem procesów biznesowych

aman
Download Presentation

Wprowadzenie

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Wprowadzenie Celem jakichkolwiek działań z zakresu bezpieczeństwa teleinformatycznego jest ochrona informacji, a nie komputerów! informatyka +

  2. Wprowadzenie Dlaczego chronimy informację? • Ponieważ jest towarem (może mieć znaczenie strategiczne) • Jest podstawowym elementem procesów biznesowych • Ze względu na obowiązujące wymagania prawne (np. Ustawa o ochronie danych osobowych) informatyka + 3

  3. Wprowadzenie Określenie zagrożenia – przed czym się bronimy? • Włamywacz odczytuje poufne dane • Włamywacz zmienia dane • Włamywacz usuwa dane • Włamywacz powoduje odmowę usługi • Włamywacz przeprowadza inne ataki z wykorzystaniem zaatakowanego komputera informatyka + 4

  4. Definicja problemu Kim są wrogowie? Krakerzy i hakerzy Rozczarowani pracownicy Rozczarowani byli pracownicy Konkurencja Szpiedzy Przestępcy Ekstremiści oraz terroryści informatyka + 5

  5. Definicja problemu Bezpieczeństwo teleinformatyczne - to poziom uzasadnionego zaufania, że potencjalne straty wynikające z niepożądanego (przypadkowego lub świadomego) ujawnienia, modyfikacji, zniszczenia lub uniemożliwienia przetwarzania informacji przechowywanej lub przesyłanej za pomocą systemów teleinformatycznych nie zostaną poniesione. informatyka + 6

  6. Definicja problemu Atrybuty informacji związane z jej bezpieczeństwem: Poufność – stopień ochrony jakiej informacja ma podlegać; jest on określany przez osoby lub organizacje dostarczające i otrzymujące informację) Integralność – oznacza, że dane i informacje są poprawne, nienaruszone i nie zostały poddane manipulacji Dostępność – właściwość systemu teleinformatycznego oznaczająca dostępność danych, procesów lub aplikacji zgodnie z wymaganiami użytkownika informatyka + 7

  7. Definicja problemu Bezpieczeństwo teleinformatyczne jest elementem szerszego kontekstu, nazywanego wiarygodnością systemu komputerowego. Wyróżnione są cztery atrybuty wiarygodności: • dyspozycyjność (available) – dostępny na bieżąco • niezawodność (reliable) – odporny na awarie • bezpieczeństwo (secure) – zapewniający ochronę danych • bezpieczeństwo (safe) – bezpieczny dla otoczenia, przyjazny dla środowiska informatyka + 8

  8. Definicja problemu • Znaczenie bezpieczeństwa teleinformatycznego w zakresie: • roli systemów informatycznych • trudności związanych ze skonstruowaniem i eksploatacją systemu spełniającego wysokie wymagania w zakresie bezpieczeństwa • elementarnego konfliktu interesów występującego pomiędzy użytecznością systemu a ryzykiem związanym z jego wykorzystaniem informatyka + 9

  9. Definicja problemu • Większość działań skierowanych przeciwko bezpieczeństwu komputerowemu w świetle aktualnego prawa traktowana jest jako przestępstwo: • włamanie do systemu komputerowego • nieuprawnione pozyskanie informacji • destrukcja danych i programów • sabotaż (sparaliżowanie pracy) systemu • piractwo komputerowe, kradzież oprogramowania • oszustwo komputerowe i fałszerstwo komputerowe • szpiegostwo komputerowe • Zagrożenia bezpieczeństwa mogą być przypadkowe, powstać w efekcie celowego działania, mogą wynikać z nieświadomości użytkownika, być motywowane chęcią zysku, poklasku czy odwetu. Zagrożenia mogą pochodzić z zewnątrz systemu lub od jego środka. informatyka + 10

  10. Odpowiedzialność prawna • W Polsce, w odniesieniu do naruszenia bezpieczeństwa teleinformatycznego, mają zastosowanie: • artykuły 267-269 Kodeksu Karnego, • artykuł 287 Kodeksu Karnego. • W polskim prawodawstwie przestępstwa komputerowe sankcjonowane są głownie przez przepisy kodeksu karnego. • http://www.gazeta-it.pl/prawo/przestepstwa_komputerowe.html informatyka + 11

  11. Odpowiedzialność prawna • Na podstawie art. 267 § 1 o naruszeniu bezpieczeństwa systemu informatycznego, karze podlega sposób pozyskania informacji (a nie sam fakt jej posiadania), • Artykuł 267 § 2 przewiduje odpowiedzialność karną za podsłuch komputerowy, • Na podstawie art. 267 § 3 karane jest także ujawnienie informacji uzyskanych w sposób określony w §2 poprzez przekazywanie haseł, identyfikatorów i innego rodzaju nielegalnie uzyskanych informacji, • Artykuł 268 § 2 chroni integralność oraz dostępność zapisu informacji. informatyka + 12

  12. Odpowiedzialność prawna • Artykuł 269 § 1 i 2 określa karalność sabotażu komputerowego, • Artykuł 270 § 1 sankcjonuje fałszerstwo dokumentu dokonane przez osobę, która "podrabia lub przerabia dokument lub takiego dokumentu jako autentycznego używa„, • Art. 271 § 1 sankcjonuje poświadczenie nieprawdy w dokumencie "co do okoliczności mającej znaczenie prawne" przez uprawnioną osobę, • Art. 272 i 273 przewidują karę za wyłudzanie poświadczenia nieprawdy poprzez wprowadzenie w błąd osoby upoważnionej do wystawienia dokumentu, a także karalność używania takiego dokumentu. informatyka + 13

  13. Odpowiedzialność prawna • Zgodnie z art. 274, karalne jest zbywanie własnego lub cudzego dokumentu stwierdzającego tożsamość,  • Art. 276 sankcjonuje niszczenie, ukrywanie lub usuwanie dokumentu, którym dana osoba nie ma prawa wyłącznie rozporządzać, • Artykuł 278 § 2 k.k. określa jako karalne nielegalne uzyskanie programu komputerowego, bez zgody uprawnionej osoby, • Poprzez art. 287 § 1 k.k. sankcjonowane jest działanie osoby, która "w celu osiągnięcia korzyści majątkowej bez upoważnienia, wpływa na automatyczne, przetwarzanie, gromadzenie lub przesyłanie informacji •  Artykuł 130 § 3 określa karalność szpiegostwa komputerowego. informatyka + 14

  14. Bezpieczeństwo informacji: informacje we wszelkiej znanej postaci Bezpieczeństwo teleinformacyjne: informacja przekazywana za pomocą technicznych środków łączności Bezpieczeństwo teleinformatyczne: informacja przetwarzana, przechowywana i przesyłana w systemach teleinformatycznych Bezpieczeństwo teleinformatyczne Związki między różnymi rodzajami bezpieczeństwa informacji informatyka + 15

  15. Bezpieczeństwo teleinformatyczne Osiągnięcie założonego poziomu bezpieczeństwa teleinformatycznego można przedstawić na trójetapowym schemacie: Planowanie bezpieczeństwa teleinformatycznego Wdrażanie koncepcji bezpieczeństwa teleinformatycznego Utrzymywanie bezpieczeństwa teleinformatycznego informatyka + 16

  16. Zagrożenia wewnętrzne • Najczęstsze efekty działań: • usuwanie wartościowych danych przedsiębiorstwa • publikowanie lub rozpowszechnianie danych poufnych • zmiana uprawnień, haseł, itd. • obraźliwe maile informatyka + 17

  17. Zagrożenia zewnętrzne • Atak zewnętrzny – atak zainicjowany ze stacji pracującej poza zaporą firewall. • Atak często wykonywany przez: • Scriptkiddies • White hathakers • Black hathakers informatyka + 18

  18. informatyka + 19

  19. Zagrożenia internetowe Złośliwe oprogramowanie – diagram identyfikacji oprogramowania malware informatyka + 20 http://www.microsft.com

  20. Zagrożenia w systemach informatycznych Ewolucjazagrożeńinternetowych • Front rosnący: • Narzędziaszpiegowskie (Keyloggery) • Rootkity • SiecitypuBotnet • Targetowany phishing • Front stabilny: • Robaki • Spam • Front zanikający: • Wirusy informatyka + 21

  21. Zagrożenia w systemach informatycznych * Na podstawie http://www.kaspersky.pl Liczba nowych modyfikacji złośliwych programów wykrytych w ciągu jednego miesiąca informatyka + 22

  22. Zagrożenia w systemach informatycznych Liczba nowych modyfikacji oprogramowania klasy TrojWare, wykrywanych każdego miesiąca przez analityków firmy Kaspersky Lab Liczba nowych modyfikacji koni trojańskich informatyka + 23 * Na podstawie http://www.kaspersky.pl

  23. Zagrożenia w systemach informatycznych Liczba nowych programów z klasy VirWare wykrywanych przez analityków firmy Kaspersky Lab w poszczególnych miesiącach informatyka + 24

  24. Typowe ataki na infrastrukturę sieciową • Najczęściej spotykane współcześnie techniki ataków (4 klasy): • 1. Sniffing/Scanning: • networksniffing • networkscanning • 2. Spoofing: • session hijacking • TCPspoofing • UDPspoofing • 3. Poisoning: • ARP spoofing/poisoning • DNScachepoisoning (pharming, także znany jako birthdayattack) • ICMPredirect informatyka + 25

  25. Typowe ataki na infrastrukturę sieciową, cd. • Najczęściej spotykane współcześnie techniki ataków (4 klasy): • 4. Denial of Service (DoS, DDOS): • SYN flood • Ping of Death • Smurf • Fraggle • Land • Tribalflood • Teardrop • ICMPdestinationunreachable informatyka + 26

  26. Typowe ataki na infrastrukturę sieciową • Keyloggery • Phishing • Socjotechnika informatyka + 27

  27. Keylogger – definicja • Termin keylogger odnosi się do funkcji programu. Większość źródeł definiuje keylogger jako oprogramowanie, którego celem jest monitorowanie i rejestrowanie wszystkich uderzeń klawiszy bez wiedzy użytkownika. Keylogger może być urządzeniem. • Keylogger zewnętrzny • Klawiatura z wbudowanym keyloggerem • Bezprzewodowy RadioControl informatyka + 28

  28. Phishing i socjotechnika • Schemat działania: • Użytkownik proszony jest o zapłacenie pewnej kwoty za usługi internetowe • 2. Użytkownik proszony jest o zapłacenie bardzo niewielkiej kwoty (w tym przypadku 1 dolara) Okno dialogowe wyświetlane przez trojana Trojan-Spy.Win32.Agent.ih 3. W celu skłonienia użytkownika do zapłaty wykorzystuje się oszustwo 4. Forma przygotowanej wiadomość ma zwiększyć jej wiarygodność informatyka + 29

  29. Phishing i socjotechnika informatyka + 30

  30. Keyloggery – przypadki wykorzystania 1. Bank Nordea 2006 r. 2. Biura Sumitomo Mitsui 2005 r. 3. Afera szpiegowska Izrael 2005 r. 4. Brazylia 2006 r. 5. Francja 2006 r. informatyka + 31

  31. Keyloggery – wzrost popularności • Popularność keyloggerów wśród cyberprzestępców potwierdzają firmy zajmujące się bezpieczeństwem IT. • Raport VeriSign • Raport Symantec • SANS Institute • Kaspersky Lab informatyka + 32

  32. Keyloggery – wzrost popularności Większość współczesnych szkodliwych programów to hybrydy, które implementują wiele różnych technologii. Z tego względu wszystkie kategorie szkodliwych programów mogą zawierać programy z funkcjonalnością keyloggera. informatyka + 33

  33. Keyloggery – ochrona Najbardziej logiczne sposoby ochrony przed nieznanymi keyloggerami: 1.wykorzystanie jednorazowych haseł lub dwuskładnikowego uwierzytelnienia 2.wykorzystanie systemu z ochroną proaktywną przeznaczonego do wykrywania keyloggera programowego 3.wykorzystanie wirtualnej klawiatury informatyka + 34

  34. Scam – nowa forma zagrożeń Oferowanie użytkownikom możliwości zainwestowania pieniędzy w zamian za bardzo atrakcyjny procent - tak atrakcyjny, że aż trudno oprzeć się pokusie. informatyka + 35

  35. Wymuszenia – nowa forma zagrożeń W 2006 roku ujawnił się niebezpieczny trend: w Rosji i innych krajach Wspólnoty Niepodległych Państw szybko ewoluują wymuszenia cybernetyczne. Raport Trend Micro: W drugim kwartale 2009r. wzrośnie liczba ataków za pomocą oprogramowania typu ransomware oraz prób wymuszenia okupu. Ransomware (ang. ransom – okup) to rodzaj oprogramowania używanego w przestępczości internetowej. informatyka + 36

  36. Testowanie/skanowanie sieci • Najczęściej używanymi programami tego typu są: • windump • nessus • tcpdump • niffit • ettercap • dsniff • ethereal/wireshark • snort (pełni także funkcję sieciowego systemu wykrywania intruzów) informatyka + 37

  37. Testowanie/skanowanie sieci • Metody ukrywania skanowania portów: • Skanowanie portów w losowej kolejności • Powolne skanowanie • Fragmentacja pakietów • Odwrócenie uwagi • Fałszowanie adresu nadawcy • Skanowanie rozproszone informatyka + 38

  38. Najczęściej skanowane porty informatyka + 39

  39. Najczęściej skanowane porty informatyka + 40

  40. Nowoczesna ochrona • Metoda proaktywna kontroluje następującą aktywność: • Podejrzane zachowanie • Uruchamianie przeglądarki internetowej z parametrami • Ingerencja w inny proces • Ukryte procesy (rootkit) • Window Hook • Podejrzane wpisy w rejestrze • Podejrzana aktywność systemu. informatyka + 41 * Na podstawie http://www.kaspersky.pl

  41. Nowoczesna ochrona

  42. IDS – Intrusion Detection System Zadanie systemu wykrywania intruzów polega na identyfikacji i reagowaniu na nieautoryzowaną działalność skierowaną przeciwko chronionym zasobom sieciowym. Wyróżnia się trzy główne rodzaje systemów IDS: • hostowe (HIDS – Host IDS) • sieciowe (NIDS – Network IDS) • hybrydowe (NNIDS – Network NodeIDS). Różnią się one lokalizacją w sieci oraz zakresem działania. informatyka + 43

  43. HIDS – Host Intrusion Detection System NIDS – Network Intrusion Detection System informatyka + 44

  44. Hybrydowe rozwiązanie NNIDS – Network Node IDS informatyka + 45

  45. IDS – Intrusion Detection System Systemy HIDS można podzielić na trzy kategorie: • Tradycyjne - z programem agenta zainstalowanym na każdej chronionej maszynie • Programy badające integralność plików • Systemy zapobiegania włamaniom (IPS – IntrusionProtect System) informatyka + 46

  46. IDS – Intrusion Detection System Z punktu widzenia systemów IDS istnieją trzy kategorie ataków: • Ataki rozpoznawcze, • Właściwe ataki, • Ataki typu odmowa dostępu do usług (Denial of Service). informatyka + 47

  47. IDS – Intrusion Detection System Istnieją też trzy podstawowe techniki wykrywania ataków stosowane w klasycznych systemach IDS: • Sygnatury, • Badanie występowania zdarzeń, • Wykrywanie anomalii statystycznych. informatyka + 48

  48. IDS – Intrusion Detection System (LogSentry) LogSentry to narzędzie, które: ułatwia zarządzanie systemem plików dzienników zwraca uwagę administratora, na rzeczy które mogłoby być niezauważone sprawdza pliki dzienników generowane przez standardowe narzędzie systemu Linux-syslog. informatyka + 49

  49. IDS – Intrusion Detection System Tab. Poziomy wiadomości informatyka + 50

More Related