700 likes | 889 Views
UPRAVLJANJE SIGURNOSNIM SUSTAVIMA. GRUPA : MMAS Biljan Sanja, 23982, FiB Ćorković Marijana, 24281, FiB Čorić Ane, 24226, FiB Šćerba Monika, 24269, FiB. Ciljevi. Poznavanje izvora sigurnosnih prijetnji. Razumijevanje uloge menadžmenta za razvijanje sigurnosnog programa.
E N D
UPRAVLJANJE SIGURNOSNIM SUSTAVIMA GRUPA: MMAS Biljan Sanja, 23982, FiB Ćorković Marijana, 24281, FiB Čorić Ane, 24226, FiB Šćerba Monika, 24269, FiB
Ciljevi • Poznavanje izvora sigurnosnih prijetnji. • Razumijevanje uloge menadžmenta za razvijanje sigurnosnog programa. • Razumijevanje važnosti i elemenata organizacijske sigurnosne politike. • Razumijevanje ciljeva i djelovanja zaštite: tehnička zaštita, zaštita podataka i zaštita ljudi. • Učenje tehnika za pripravnost na katastrofe i oporavak od tih katastrofa. • Prepoznavanje potreba opsega sigurnosti.
Izvori prijetnji Tri izvora sigurnosnih problema su: ljudske greške, zlonamjerno ljudsko djelovanje i prirodni događaji i katastrofe. •Ljudske greške podrazumijevaju slučajne pogreške uzrokovane od zaposlenika i nezaposlenika. - Primjer je jedan zaposlenik koji je pogrešno razumio djelatne postupke i nenamjerno obrisao klijentovu arhivu. - Ova kategorija također ukljućuje i loše napisane namjenske programe i loše dizajnirane procedure.
Izvori prijetnji (nastavak) •Zlonamjerno ljudsko djelovanje uključuje zaposlenike i bivše zaposlenike koji namjerno uništavaju podatke ili druge komponente sustava. - uključuje također i hakere koji probiju u sistem, viruse i “crve” koji zaraze računalne sustave. - uključuje i vanjske zločince koji probiju u sistem da bi krali za novac; također uključuje i terorizam. •Prirodni događaji i katastrofe uključuju požare, poplave, orkane, potrese, tsunamije, odrone snijega i druge prirodne događaje. - problemi ove kategorije ne uključuju samo početni gubitak sposobnosti, također i gubitke od aktivnosti za oporavak od početnog gubitka.
Vrste problema • PET VRSTA SIGURNOSNIH PROBLEMA SU: 1. Neovlašteno objavljivanje podataka. 2. Netočna modifikacija podataka. 3. Loša usluga. 4. Odbijanje usluga. 5. Gubitak infrastrukture.
1. Neovlašteno objavljivanje podataka • Može se dogoditi ljudskom pogreškom kada netko nenamjerno objavi podatke nepridržavajući se politike. - primjer, na fakultetu bi bio novi administrator koji je objavio imena, brojeve i ocjene studenata na javnom mjestu. • Popularnost i korisnost istraživanja mehanizama kreirali su drugi izvor nenamjernog otkrivanja. - zaposlenici koji objavljuju ograničene podatake na Web stranicama, koji se mogu pronaći pretragam mehanizama, mogu pogreškom objaviti zakonom zaštićen ili ogranićen podatak na Web.
Neovlašteno objavljivanje podataka (nastavak) •Pretexting se javlja kada netko vara pretvarajući se da je netko drugi. - obično uključuje telefonske pozivatelje koji se pretvaraju da su iz kampanije kreditnih kartica i tvrde da provjeravaju ispravnost brojeva kreditne kartice. •Phising je slična tehnici za dobivanje neovlaštenih podataka koji koriste pretexting putem e- maila. - phisher sepretvara da je legitimna kompanija i šalje e-mail tražeći povjerljive podatke, kao što su broj računa i drugo.
Neovlašteno objavljivanje podataka (nastavak) •Spoofing je drugi izraz za situaciju kada se netko pretvara da je netko drugi. - ako se pretvaraš da si profesor ti se profesor. •IP spoofing znači da uljez koristi IP adresu druge stranice kao da je na toj (drugoj) stranici. •Email spoofing je sinonim za phishing.
Neovlašteno objavljivanje podataka (nastavak) •Sniffing je tehnika za presretanje kompjuterskih komunikacija. - Kod mreža koje su povezane žicom, sniffing zahtjeva fizičku povezanost s mrežom. - Kod mreža koje nisu povezane žicom, takva povezanost nije potrebna. - Drive- by sniffing uzimajukompjutere sa bežičnom vezom u nekom području i traže nezaštičene bežične mreže. • Ostali računalni zločini su: provaljivanje umrežu kako bi ukrali podatci kao što su korisničke liste, popis proizvoda, podatci o zaposlenima i ostali povjerljivi podaci.
2. Netočna modifikacija podataka • Netočne modifikacije podataka očituju se kroz ljudsku pogrešku, kada zaposlenik netočno slijedi proceduru ili kada je ona netočno dizajnirana. - Npr. netočno povečavanje korisničkog računa ili netočno modificiranje plaće zaposlenika. • Hakiranje znači da osoba neovlašteno ulazi u kompjuterski sistem. - Primjeri uključuju smanjenje korisničkog računa ili slanje pošiljke roba na neovlaštene lokacije i korisnike.
3. Loša usluga •Loša usluga su problemi koji su nastali zbog netočne sistemske operacije. • Loše usluge mogu uključivati netočne modifikacije podataka kao što je prije opisno. • Također uključuje sisteme koji netočno rade, tako da šalju loše robe kupcima ili naručuju robe krivim korisnicima, netočno naplačivanje korisnicima, ili slanje krivih informacija zaposlenima. •Usurpation nastaje kada neovlašteni programi provale u kompjuterski sustav i zamjene legitimne programe. • Loše usluge mogu nastati i kroz oporavkeod prirodnih katastrofa.
4. Odbijanje usluga •Ljudsku uslugu u oraćenju postupaka ili manjak priprema mogu rezultirati odbijanjem. -Npr. ljudi mogu nemarno ugastit web server ili zajednički ulaz u sustav za usmjeravanje poruka kroz mrežu pokretanjem računski intezivne aplikacije. • Napadi za odbijanje usluga mog biti namjerno pokrenuti. - Haker može preplaviti Web server, npr. ,s milijunima prividnih zahtjevnih usluga koje toliko okupiraju server da ne može održati zakonite zahtjeve. - Prirodne katastrofe mogu uzrokovati pad sustava kao rezultat odbijanja usluga.
5. Gubitak infrastrukture • Ljudske pogreške mogu uzrokovati gubitke infrastrukture. - Primjeri: buldožer presijeca cijev sa optičkim komunikacijema i udara u bazu Web servera. - Lopovski i teroristički događaji također utječu na gubirak infrastrukture. - Nezadovoljan bivši zaposlenik može otići sa korporativnim podacima o serveru, usmjerivaču ili podacima o drugoj najvažnijoj opremi. • Prirodne katastrofe predstavljaju najveći rizik za gubitak infrastrukture. - Vatra, poplava, potres ili slični događaji mogu uništiti centre s podacima i sav njihov sadržaj.
Sigurnosni program • Sigurnost ima tri komponente. - Sudjelovanje višeg rukovodećeg osoblja. - Više rukovodeće osoblje mora utvrditi sigurnosnu politiku - Više rukovodeće osoblje mora upravljati rizicima tako da uravnoteži troškove i koristi sigurnosnog sustava. - Zaštita raznih vrsta. - Zaštita je čuvanje od sigurnosnih prijetnji. - Zaštita uključuje hardver i softver, podatke, procedure i ljude. - Reakcija na incident. - Sigurnosni program sadrži planiranu reakcije organizacije na incident.
•Tehnička zaštita • Zaštita podataka • Ljudska zaštita -Identifikacija i -Prava i obveze - Iznajmljivanje autorizacija podataka -Treniranje -Šifriranje - Lozinke -Edukacija -Firewalls - Šifre - Dizajniranje -Malware zaštita - Sigurnosna kopija procedura -Kreiranje aplikacija (backup) i popravak -Administracija - Fizička zaštita - Ocjenjivanje - Poštovanje - Odgovornost • Djelotvorna zaštita zahtjeva uravnoteženje svih pet komponenata. SLIKA 11-2 Zaštita i njezina povezanost sa Pet komponenata Hardware Software Podaci Procedure Ljudi
Priručnik NIST sa sigurnosnim elementima • Kada upravljate odsjekom imate odgovornost za sigurnost informacija u svom odsjeku, iako vam nitko nije tako rekao. • Sigurnost može biti skupa. - Kompjuterska sigurnost mora imati odgovarajući omjer troškova i koristi. - Trošak može biti izravan; kao npr. trošak sindikata, i može biti neopipljiv; kao frustracija zaposlenika ili korisnika. • Menadžeri trebaju odrediti specifične zadatke specifičnim ljudima ili specofočnim poslovnim funkcijama. • Sigurnost je stalna potreba i svaka kompanija mora periodično ocijenjivati svoj sigurnosni program. • Socijalni faktori postavljaju neke granice sigurnosnim programima.
PRIKAZ 11-3 Elementi kompjuterske zaštite • Kompjuterska zaštita treba podupirati misiju organizacije. • Kompjuterska zaštita je integrirani element menadžmenta. • Kompjuterska zaštita treba biti troškovno efektivna. • Odgovornost kompjuterske zaštite mora biti eksplicitno napravljena. • Vlasnici sistema imaju odgovornost za kompjutersku zaštitu izvan njihove organizacije. • Kompkuterska zaštita zahtjeva sveobuhvatan i integriran pristup. • Kompjuterska zaštita treba biti periodično pregledana. • Kompjuterska zaštita je društveno ograničena.
Sigurnosna politika • Sigurnosna politika ima tri elementa: 1) Glavna izjava sigurnosnog programa organizacije. - Menadžment određuje ciljeve sigurnosnog programa i imovinu koju treba zaštiti. - Odjel je predodređen za upravljanje sigurnosnim programima i dokumentima organizacije. 2) Issue-specific politika - npr. manadžment može formulirati politiku za osobnu uporabu kompjutera na poslu i zaštitu e-maila. 3) System-specific politika; namijenjena je specifičnim informacijskim sistemima. - npr. koji korisnički podatak iz ulaznog sistema će biti prodan ili podijeljen s drugom organizacijom?
Menadžment rizika • Rizik je vjerojatnost/mogućnost neprijateljskog događaja. • Menadžment ne može izravno upravljati prijetnjama, ali može upravljati mogućnošću hoće li te prijetnje biti uspješne. • Kompanije mogu reducirati rizike, ali uvijek sa troškom. • Dvojbe se odnose na stvari za koje ne znamo da ih ne znamo.
PRIKAZ 11-4 Ocjenjivanje rizika • 1) Imovina • 2) Prijetnje • 3) Zaštita • 4) Ranjivost • 5) Posljedice • 6) Vjerojatnost • 7) Mogući gubitak
Odluke menadžmenta rizika • Nakon pregleda rizika poslovanja, srednji menadžment mora odlučiti što će napraviti. • Kompanije moraju zaštiti imovinu tako da koriste jeftinu: lako implementiranu zaštitu. • Neki nedostaci su skupi za eliminiranje, i menadžment mora odlučiti jesu li troškovi zaštite vrijedni vjerojatnog smanjenja dobiti.
PRIKAZ 11-5 Tri mjere zaštite • 1. MJERA ZAŠTITE: Tehnička zaštita - identifikacija i autorizacija - šifriranje - firewalls - malware zaštita - kreiranje sigurnosnih aplikacija
Identifikacija i provjera autentičnosti • Svaki informacijski sistem danas bi trebao zahtjevati od korisnika da se prijave uz korisničko ime i lozinku. • Korisničko ime identificira korisnika (proces identifikacije), a lozinka provjerava korisnika (proces provjere autentičnosti).
Smart kartica • Smart kartica je plastična kartica slična kreditnoj kartici, koja ima mikričip. • Mikročip je učitan s identifikacijskim podacima.
Biometrička provjera autentičnosti • Biometrička provjera autentičnosti koristi osobne fizičke karakteristike kao što su otisci prstiju, vanjski izgled i napredno skeniranje za provjeru autentičnosti korisnika. • Biometrička provjera autentičnosti pruža uspješnu provjeru autentičnosti, ali potrebna oprema za to je veoma skupa. • Biometrička provjera autentičnosti je rana faza prihvaćanja.
Pojedinačni početak rada za mnogostruke sisteme • Današnji operacijski sustavi imaju sposobnost provjere tvoje autentičnosti u mreži i drugim serverima. • Prijaviš se na svom računalu i dostavljaš podatke za provjeru autentičnosti; od te točke, tvoj operacijski sistem te identificira na drugu mrežu ili server, koji te dalje mogu idetificirati još na drugoj mreži ili serveru, itd. • Sistem se zove Kerberos provjera autentičnosti korisnika bez slanja njihovih lozinki kroz računalnu mrežu.
Bežični pristup • Drive-by sniffers bežičnim pristupom mogu pretraživati poslovne ili susjedne mreže te tako pronaći još stotinjak takvih bežičnih mreža. • IEEE 802.11 Komitet, grupa koja je razvija i utvrdila bežične standarde, prvoje razvila standarde bežične zaštite koji se zovu Wired Equivalent Privacy (WEP). • Nažalost, WEP je bio nedovoljno testiran prije nego što je bio razvijen, i imao je ozbiljne nedostatke. • IEEE 802.11 Komitet, unaprijedio je standarde bežične zaštite znane kao WPA ( Wi-Fi Protected Access) i noviju, bolju verziju WPA 2. - Samo noviji bežični uređaji mogu koristiti tu tehniku.
Šifriranje • Pošiljatelji koriste šifru za šifriranje teksta poruke i tada šalju šifriranu poruku primatelju, koji koristi šifru za dešifriranje poruke. • Simetričnim šifriranjem, obje strane koriste istu šifru. • Asimetričnim šifriranjem, strane koriste dvije šifre, jednu koja je javna i jednu koja je privatna. • Secure Socket Layer (SSL) - protokol kojim se služe simetrično i asimetrično šifriranje. - sa SSL-om, asimetrično šifriranje odašilja simetrične sifre. Obje strane tada koriste tu šifru za simetrično šifriranje zbog ravnoteže te misije. - verzija 1.0 ina nedostataka. Većina nijh je uklonjena iz verzije 3.0 koju je potvrdio i Microsoft. - kasnija verzija, s više uklonjenih grešaka preimanovana je u Transport Layer Security (TLS).
TEHNIKA KAKO DJELUJE KARAKTERISTIKE Simetrična Pošiljatelj i primatelj koriste istu šifru. Brzo, ali teško da obje strane imaju istu šifru. Digitalni certifikati SSL/TLS Digitalne oznake Asimetrična Pošiljatelj i primatelj odašilju poruku koristeći dvije šifre, jednu javnu i jednu privatnu. Poruka šifrirana s jednom šifrom može biti dešifrirana s drugom šifrom. Javna šifra može biti javno poslana, ali treba certificirano ovlaštenje. Sporije od simetričnog. Radi između 4. i 5. nivoa TCP-OSI arhitekture. Pošiljatelj koristi javnu/privatnu šifru da pošalje simetričnu šifru, čija se oba dijela koriste za simetrično šifriranje- za ograničen, kratak period. Koristi se većinom pomoću uporabe Interneta. Korisnija i izvodljivija od simetrične i asimetrične. Pošiljatelj dijeli poruku i koristi javnu šifru da prijavi poruke stvarajući digitalne oznake; pošiljatelj odašilje kratki prikaz poruke i digitalne oznake. Primatelj rehashira izvorni tekst poruke i dešifrira digitalne oznake javnom šifrom. Ako se kratki prikazi poruke podudaraju, primatelj zna da poruka nije izmijenjena. Osigurava za izvorni tekst poruke ne bude izmijenjen. Pouzdani neovisni proizvođač, certificate authority (CA), opskrbljuju javnu šifru i digitalni certifikat. Primatelj dešifrira poruku javnom šifrom (od CA), označenu sa CA digitalnim oznakama. Uklanja spoofing iz javnih šifri. Zahtijeva od programa za pregledavanje podataka da ima javnu šifru CA-e. SLIKA 11-6 Osnove tehnike šifriranja
Digitalne oznake • Digitalne oznake osiguravaju da izvorni tekst poruke bude primljen bez izmjena. • Izvorni tekst poruke je prvo razdijeljen.. - Hashing je matematička metoda kojom se stvara niz binarnih znakova koji karakteriziraju određenu poruku. - Niz binarnih znakova, koji se zove kratki prikaz poruke, ima određenu, fiksiranu dužinu bez obzira na dužinu izvornog teksta poruke. - Hashing je jednosmjeran proces. - Hashing tehnika je dizajnirana tako da ako netko promijeni bilo koji dio poruke, ponovni hashing promijenjene poruke će stvoriti drugačiji kratki prikaz poruke.
Digitalne oznake (nastavak) • Programi za provjeru autentičnosti koriste kratke prikaze poruka da bi osigurali da izvorni tekst poruke ne bude izmijenjen. • Cilj je stvoriti kratki prikaz poruke za izvornu poruku i poslati poruku i kratki prikaz poruke primatelju. • Primatelj dijeli poruku koju je primio i uspoređuje konačni kratki prikaz poruke sa kratkim prikazom koji je poslan s porukom. • Ako su dva kratka prikaza poruke ista, tada primatelj zna da poruka nije izmijenjena.
SLIKA 11-7 Digitalne oznake za provjeru auteničnosti poruka Stvaranje digitalne oznake: 1) Podijelite izvorni tekst da se stvori kratki prikaz poruke; to NIJE digitalna oznaka. 2) Upišite (šifrirani) kratki prikaz poruke sa pošiljateljo- vom privatnom šifrom da se stvori digitalna oznaka. 3) Kombinirajte izvorni tekst i digitalnu oznaku da se stvori označena poruka. Izvorni tekst Označeno (šifrirano) sa pošiljate- ljovom privatnom šifrom. Izvorni tekst Izvorni tekst Pošiljatelj 4) Odašilje označenu poruku. Primatelj Testiranje digitalne oznake: 5) Podijelite primljeni izvorni tekst sa istim hashira- nim algoritmom koji je koristio pošiljatelj. Tako se dobiva kratki prikaz poruke. 6) Dešifrirajte digitalnu oznaku sa True Party javnom šifrom. Ovo također stvara kratki prikaz poruke. 7) Ako se to dvoje podudara poruka je autentična. Primljeni izvorni tekst. Dešifrirajte sa True Partv javnom šifrom. Jesu li isti?
Digitalni certifikati • Kada se koriste javne šifre, primatelj poruke mora imati valjanu korisničku javnu šifru. • Da se riješi ovaj problem, pouzdani nezavisni proizvođači koje zovemo Certificate stručnjaci (CAs), koji nabavljaju javne šifre.
Firewalls • Firewall je računalni sustav koji sprječava neovlašten pristup mreži. Može biti kompjuter sa posebnom namjenom ili programom na kompjuteru s glavnom namjenom ili na usmjerivaču. • Organizacije obično koriste više firewalla. - Perimeter firewall se nalazi izvan mreže organizacije: to je prvi element koji pridonosi prometu na Internetu - Neke organizacije zapošljavaju interne firewalle unutar organizacijske mreže kao dodatak perimeter forewallu.
Firewalls (nastavak) • Firewall za provjeru pošiljki pregledava svaku pošiljku i odlučuje da li da ju pusti da prođe. • Firewall za provjeru pošiljki može spriječiti neovlaštene korisnike da pokrenu sustav sa svakim korisnikom iza firewalla. - Također mogu zabraniti promet sa određenih stranica. Npr. sa poznatih hakerskih adresa. - Mogu zabraniti promet sa legalnih ali neželjenih adresa. Npr. sa suparnikova računala. • Firewalli mogu provjeravati i svakodnevan promet.
Firewalls (nastavak) • Firewall ima pristup kontrolnom listu (ACL) koji sadrži pravila koja govore koje pošiljke treba dopustiti, a koje zabraniti. • Kompjuter ne bi trebao biti spojen na Internet bez firewall zaštite. • Mnogi ISPs nabavljaju firewalle za svoje korisnike.
SLIKA 11-8 Uporaba mnogostrukih firewalla Osobno računalo 1 Interni Firewall Perimeter Forewall Osobno računalo 2 Osobno računalo 3 Mreža servera Internet Mail Server Web Server Osobno računalo 4
Malware zaštita • Izraz malware ima nekoliko definicija. • Naš prikaz bit će najširi: malware je virus, crvi, Trojanski konj, spayware i adware.
Spyware i Adware • Spayware je program instaliran na korisnički kompjuter bez znanja korisnika. • Spayware rezidencija je pozadina i nepoznata korisniku, promatra korisničke aktivnosti, pritisak tipke na tastaturi, nadzire kompjuterske aktivnosti i dojavljuje korisničke aktivnosti onoj organizaciji koja je poslala taj spayware. • Adware je sličan spyware-u po tome što je instaliran bez korisničkog dopuštenja i nastanjuje se u pozadini i promatra korisničko ponašanje. • Većina adware-a je benigna po tome što ne obavlja maligne aktivnosti i ne krade podatke. • Adware proizvodi pop-up reklame i može promijeniti općenite korisničke podatke ili modificirati rezultate pretraživanja i prebaciti korisničku tražilicu.
SLIKA 11-9 Simptomi Spyware-a i Adware-a Polako podizanje sustava Spore izvedbe sustava Mnogo pop-up reklama Sumnjive promjene stranica Sumnjive promjene na programskoj traci i drugim sistemskim sučeljima Neuobičajena aktivnost na hard disku
Malware zaštita • Instaliranje antivirusa i antispyware-a na kompjuter. • Postaviti anti-malware program da redovito skenira kompjuter. • Nadograditi malware definicije. • Otvoriti dodatak na email-u samo od poznatih izvora. • Brzo instalirati softver nadogradnjom od zakonitih izvora. • Posjećivati samo poznate Internet stranice.
Malware je ozbiljan problem • America Online (AOL) i National Cyber Security Alliance provode malware studiju uz pomoć Internet korisnika iz 2004. • Oni ispituju korisnike i zatim uz korisničko dopuštenje skeniraju njihove kompjutere kako bi utvrdili koliko točno korisnik razumije malware problem na svom kompjuteru.
2. Zaštita:Zaštita podataka • Zaštita podataka su mjere korištene za zaštitu baze podataka i drugih podataka iz organizacije. • Organizacija bi trebala zaštititi osjetljive podatke tako da ih spremi u šifriranom obliku. -Takvo šifriranje koristi jednu ili više šifra u slučaju sličnom onome koji je opisan za komuniciranje podacima u šiframa. •Redovito treba provoditi backup pomoćne kopije podataka • Organizacija bi trebala spremiti barem neki backup baze podataka, po mogućnosti na udaljenu lokaciju. • IT osoblje trebalo bi redovito uvježbavati oporavak, da bi osigurali da su backup kopije važeće i da postoje učinkovite procedure.
PRIKAZ 11-11 Zaštita podataka • Prava i odgovornosti podataka • Prava stečena korisničkim računima koji su ovlašteni lozinkom • Šifrirani podaci • Backup i procedure za popravak • Fizička zaštita
3. Zaštita:Ljudska zaštita-pozicijske definicije • Učinkovita ljudska zaštita počinje s definicijom preuzetog posla i odgovornosti. • Uzimajući u obzir primjerene opise posla, korisnički računi bi trebali biti definirani tako da daju korisniku što je više moguće povlastica koje su potrebne za obavljanje posla. • Osjetljivost zaštite treba biti određena za svaku poziciju.
Ljudska zaštita-zapošljavanje i odabir • Zaštita razmatranja bi trebala biti dio procesa zapošljavanja. • Kada se zapošljava na visoko-osjetljiva mjesta, poželjni su opsežni intervjui, preporuke i dobro pozadinsko istraživanje. - Ovo se također odnosi na zaposlenike koji su promaknuti na visoko-osjetljiva mjesta.
Ljudska zaštita-provedba i širenje • Zaposlenici trebaju biti svjesni sigurnosne politike, procedura i odgovornosti koje će imati. • Obuka zaštite zaposlenika počinje kroz obuku novih zaposlenika tako da im se objašnjava općenita zaštitna politika i procedure. • Provođenje podrazumijeva tri nezavisne činjenice: dužnosti, odgovornosti i sukladnost.
Ljudska zaštita-odnosi • Kompanije moraju uspostaviti osiguravajuću politiku i procedure za odnose s zaposlenicima. • Standardna ljudska politika treba osigurati da sistemski administratori prime obavijest o napredovanju zaposlenika, da mogu ukloniti lozinke i račune.