1 / 46

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS. TEMA 5 KONCEPTI ZAŠTITE IKTS. CILJ. RazumetI: prednosti i nedostatke reaktivne zaštite prednosti i nedostatke proaktivne zaštite značenje termina i namenu koncepta kontrola zaštite strukturu upravljačkih, operativnih i tehničkih k/z

wray
Download Presentation

OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. OSNOVE BEZBEDNOSTI I ZAŠTITE IKTS TEMA 5 KONCEPTI ZAŠTITE IKTS UNIVERZITET SINGIDUNUM, FPI

  2. CILJ • RazumetI: • prednosti i nedostatke reaktivne zaštite • prednosti i nedostatke proaktivne zaštite • značenje termina i namenu koncepta kontrola zaštite • strukturu upravljačkih, operativnih i tehničkih k/z • izbor kontrola zaštite za sistem osnovne zaštite • metod bezbednosne kategorizacije i klasifikacije IS UNIVERZITET SINGIDUNUM, FPI

  3. KLJUČNI TERMINI • Reaktivna zaštita • Proaktivna zaštita • Kontrola zaštite • Operativne kontrole zaštite • Tehničke kontrole zaštite • Upravljačke kontrole zaštite UNIVERZITET SINGIDUNUM, FPI

  4. Funkcionalni model strategije reaktivne zaštite -zaštita od poznatih pretnji- UNIVERZITET SINGIDUNUM, FPI

  5. Generički model sistema zaštite UNIVERZITET SINGIDUNUM, FPI

  6. Zaštitna funkcija reaktivnog sistema UNIVERZITET SINGIDUNUM, FPI

  7. Proktivni sistemi zaštite 1. Koristimehanizme proaktivne zaštite na više nivoa: • različite brzine reakcije i preciznosti (adaptivne!) • veće ukupne efektivnosti/efikasnosti • za detekciju i adekvatni odgovor na poznate i nepoznate napade • smanjuje operativni rizik i troškove razvoja, rada i održavanja 2. Realizacija sa tri gradivna bloka: • baze znanja o napadima i ranjivostima ( CIRT/CERT) • vodeće tehnologije proaktivne zaštite za: • detekciju napada, • proaktivnu zaštitu od poznatih i nepoznatih pretnji, • adekvatni odgovor na napad, • pojednostavljen proces zaštite UNIVERZITET SINGIDUNUM, FPI

  8. Proktivni sistem zaštite-BAZA ZNANJA- • ISC CBK, NIST, ISF, ISS (10-12 komponenti zaštite): • upravljanje zaštitom, • arhitektura i modeli sistema zaštite, • kontrole pristupa, • zaštita razvoja aplikacija, • operativna, fizička, kriptografska i zaštita telekomunikacija • plan kontinuiteta poslovanja (upravljanje VD i incidentom), • akreditacija i sertifikacija sistema zaštite), istraga • zloupotreba IKT sistema (zakonski okvir, etičke norme) • katalozi kontrola dobre prakse zaštite (ISO/IEC 27002, NIST, ISF) UNIVERZITET SINGIDUNUM, FPI

  9. Proktivni sistem zaštite-Vodeće tehnologije ISS- • Centralnu jedinicuzaštite (Protection engine): • IPS, Protection Engine, reaktivni modul • Komandnu jedinicu (Site Protector) • kontrolne komande, centralizovano upravljanje • Integrator sistema (Fusion System): • digitalnu obradu signala, prepoznavanje obrazaca napada, analizu uticaja DPP napada • Modul za ažuriranje (X-Press Updater): • automatski ažurira bazu podataka o napadima i ranjivostima UNIVERZITET SINGIDUNUM, FPI

  10. Proktivni sistem zaštite-Pojednostavljen proces zaštite- • Virtuelna zakrpa (Virtual Patch): • automatski sanira ranjivosti sistema • sanira ranjivosti pre generisanja i objavljivanja zakrpa na Internetu • u realnom vremenu štiti od poznatih i nepoznatihnapada • preventivno održava sistem zaštite • redefiniše koncept održavanje sistema zaštite • zaštita je deo procesa upravljanja promenama IS • efektivnije/efikasnije planiranje resursa UNIVERZITET SINGIDUNUM, FPI

  11. Prozor proaktivne zaštie UNIVERZITET SINGIDUNUM, FPI

  12. Prošireni prozor proaktivne zaštie UNIVERZITET SINGIDUNUM, FPI

  13. Koncept kontrola zaštite (k/z) - namena • Struktuiranje kataloga k/z: • dinamički, skalabilan skup k/z • osnovni elementi uputstava za korišćenje k/z • Obezbediti: • lakši izbor adekvatnih k/z u sistemu zaštite • konzistentan i ponovljiv pristup za izbor k/z • preporuke za osnovni sistem zaštite (baseline security) sa minimumom k/z • zaštitu objekata IS prema standardima za bezbednosnu kategorizaciju i klasifikaciju UNIVERZITET SINGIDUNUM -FPI

  14. Kontrola zaštite • Generička SE definicija funkcije kontrole: • dovodi izlazni podatak/signal na ulaz • zahteva primenu korektivnih mera (t/n-t) • krajnja klasifikacija mehan./protok. s/z • interfejs mehanizma/protokola i korisnika • neka funkcija arhitekture sistema zaštite: • tehničke (logička AC: log događaja) • operativne (procedura: restrikcija ulaza) • upravljačke (dokument: Politika zaštite) • osnov procesa akreditacije/sertifikacije s/z UNIVERZITET SINGIDUNUM -FPI

  15. Kontrola zaštite-1 • Kodirana zamena atributa : • Etičkog i kulturološkog okruženja: • svest o potrebi, odnos prema zaštiti - obezbeđuju etički okvir • Normativno-pravnog okruženja: • zakoni i standardi zaštite – obezbeđuju i obavezuju • Dokumenata zaštite: • program, plan, politika, procedure - obavezuju i nameću • Organizacione strukture: • praksa zaštite – kontroliše usaglašenost • Tehničkihsistema zaštite: • koje izvršavaju servise zaštite – nameću politiku zaštite UNIVERZITET SINGIDUNUM -FPI

  16. Karakteristike k/z • Osnovne karakteristike k/z zasnovane su na: • hw/sw mehanizmima zaštite (IAA, AC, kriptozaštita) • dokumentima zaštite (politika, sporazumi, .... 2. Kvalitet • robusnost:osnovna (o), srednja (s), visoka (v) • jačina bezbednosne funkcije • nivo zaštite (garantovana bezbednost) • fleksibilnost: • zarazličitepolitike zaštite i potrebe organizacije 3. Kompenzujuće k/z: za sve IS, grupu IS, tipične IS Primer: firewalls UNIVERZITET SINGIDUNUM -FPI

  17. Struktura i organizacija k/z • Katalog kontrola zaštite sadrži tri sekcije: • ciljevi (osnovna, poboljšana, jaka zaštita), • opis (spec. zahtevi i detalji svake k/z za osnovnu, poboljšanu i jaku zaštitu) • mapiranja k/z (da se izbegne nepotrebno dupliranje) UNIVERZITET SINGIDUNUM -FPI

  18. Dimenzije kontrole zaštite 1. Životni ciklus • Dizajn • Implementacija • Upotreba/održavanje • Odlaganje 2. Forma: • politike • procesi • tehnologija • 3. Namena za: • prevenciju • odvraćanje, • detekciju • redukciju, • oporavak, • korekciju, • monitoring, • razvoj svesti UNIVERZITET SINGIDUNUM -FPI

  19. Dimenzije kontrole zaštite • Kategorija događaja: • kontrola gubitaka • kontrola pretnji • kontrola ranjivosti • Karakteistike: • robusnost • fleksibilnost • 3. Relevantni parametri implementacije kontrola: • cena • benefiti • prioriteti UNIVERZITET SINGIDUNUM -FPI

  20. Organizacija k/z (NIST) 1. Klase k/z: • upravljačke kontrole • organizaciono/operativne kontrole • tehničke kontrole zaštite 2. Familije k/z 3. Kontrole zaštite - k/z UNIVERZITET SINGIDUNUM -FPI

  21. Upravljačke kontrole zaštite Sadrži 5 familija (procesa zaštite): • Upravljanje programom zaštite • Bezbednosna procena i autorizacija • Planiranje sistema zaštite • Procena rizika • Akvizicija sistema i servisa zaštite UNIVERZITET SINGIDUNUM -FPI

  22. Operativne kontrole zaštite Sadrži 9 familija: • Svest o potrebi i obuka u zaštiti • Upravljanje konfiguracijom • Planiranje kontinuiteta poslovanja • Upravljanje incidentom • Integritet sistema i informacija • Održavanje sistema zaštite • Zaštita medija • Fizička i zaštita okruženja • Personalna zaštita UNIVERZITET SINGIDUNUM -FPI

  23. Tehničke kontrole zaštite Sadrže 4 familije kontrola: • Revizija i odgovornosti • Kontrola pristupa • Identifikacija i autentifikacija • Zaštita sistema i komunikacija UNIVERZITET SINGIDUNUM -FPI

  24. KATALOG KONTROLA ZAŠTITE • Jedinstvena identifikacija k/z (ID)(T.5) • Klase i familija: • skraćenica, npr. VD za vanredni događaj • alfa-numerički ID nivoa robusnosti k/z: • o - osnovna robusnost • p - poboljšana robusnost • j - jaka robusnost • Broj k/z: redosled u okviru familije - prema prioritetu bezbednosnog značaja Primer: VD-4.o - 4. k/z u familiji Planiranje VD sa osnovnim nivoom robusnosti (o) UNIVERZITET SINGIDUNUM -FPI

  25. SISTEM OSNOVNIH KONTROLA ZAŠTITE (OKZ) 1. Procedura: odrediti odgovarajući set k/z 2. Osnovne Kontrole Zaštite(OKZ) (u OS Win 2k i >): • minimum kontrola zaštite • obezbeđuju minimum zaštite za odgovarajuću B/K 3. Potrebne i rentabilne k/z birati na bazi: • B/K/K objekata IS i informacija • procesa analize rizika 3. Svaka modifikacija mora se dokumentovati 4. U katalogu k/z identifikovana su tri seta OKZ na: • N, S, V nivou zaštite definisanom u procesu B/K/K • lista OKZ daje se respektivno za svaku od tri seta OKZ UNIVERZITET SINGIDUNUM -FPI

  26. Nivoi robusnosti • K/z u svakoj od 3 seta OKZ: • kombinacija k/z od 3 nivoa robusnosti Primer: • za N uticaj pretnji (u/p) OKZ sadrži k/z sa o nivoom robusnosti • za S u/p OKZ – kombinaciju k/z sa o i p nivoima robusnosti • za V u/p OKZ - kombinaciju k/z sa o,p i j nivoima robusnosti UNIVERZITET SINGIDUNUM -FPI

  27. RelacijaNIVO ROBUSNOSTI:OKZ • Ne postoji direktna relacija • Odgovarajuće k/z biraju se za odgovarajuće nivoe OKZ • Primer: neka k/z samo je na raspolaganju kao opcija za dopunu seta k/z • Primer: skup OKZ za N uticaj faktora pretnji – ima ukupno (v. 2009.) 198 k/z • sa o nivoom robusnosti: 42U, 78 O i 78 T k/z UNIVERZITET SINGIDUNUM -FPI

  28. Pridruživanje k/z specifičnim zahtevima za zaštitu (ZZ) • pomoću odgovarajuće matrice za praćenje zahteva – MPZ (RTM-Requirements Traceability Matrix) • početi sa specifičnim i usaglašenim ZZ • svaki ZZ mapira se prema odgovarajućoj k/z unutar izabranih OKZ UNIVERZITET SINGIDUNUM -FPI

  29. Mapiranje ZZ prema k/z može biti • 1:1 (jedan prema jedan) – 1 ZZ rešava se sa 1 k/z • 1:N (jedan prema više) – 1 ZZ rešava se sa (više) N k/z • N:1 (više prema jedan) - više (grupa) ZZ rešava se sa 1 k/z • N:1 (više prema više) - više ZZ rešava se sa (više) N k/z UNIVERZITET SINGIDUNUM -FPI

  30. Primer dela MPZ UNIVERZITET SINGIDUNUM -FPI

  31. Revizija kontrola zaštite • Kontrole zaštite nisu statičke kategorije • Mogu se revidirati i dopunjavati na osnovu: • prakse zaštite i iskustva iz k/kriminala • promena u zahtevima zaštite u organizaciji • pojave novih tehnologija zaštite • neke se k/z eliminišu, a druge dodaju • dodavanje/brisanje/modifikacija k/z - rigoroznu raspravu, reviziju i konsenzus UNIVERZITET SINGIDUNUM -FPI

  32. Proces selekcije kontrola zaštite Početak procesaformiranja s/z sa izborom k/z Poverenje u sistem zaštite i IS: • pažljivom selekcijom OKZ • implementacijom definisanog seta k/z Proces selekcije k/z za IS: • izbor inicijalnog seta OKZ • kreiranje OKZ prema zahtevima (mapiranje) • (idealno) završen u toku rane faze ŽC razvoja IS • predmet analize rizika organizacije (UR) • dokumentovanje konačnog seta k/z u Planu zaštiteIS UNIVERZITET SINGIDUNUM -FPI

  33. Proces selekcije kontrola zaštite 1. korak: B/K/K OBJEKATA IKT SISTEMA 2. korak: IZBOR MINIMUMA ODGOVARAJUĆIH OKZ 3. korak: PRILAGOĐENJE OKZ REZULTATIMA ANALIZE RIZIKA UNIVERZITET SINGIDUNUM -FPI

  34. korak: B/K/K OBJEKATA IS Iz Plana zaštite uzeti: • granice akreditacije i dekompoziciju sistema • kritičnost/osetljivost objekata sistema • izloženost sistema napadima spolja • izloženost sistema napadima iznutra • u izboru OKZ prvi korak je uspostavljanje B/K/K • BK=(Up), (Ui), (Ur)= =(N ili S ili V)( N ili S ili V)(N ili S ili V)=V UNIVERZITET SINGIDUNUM -FPI

  35. 2. korak:IZBOR MINIMUMA ODGOVARAJUĆIH OKZ • izabrati (za N) minimum k/z iz obaveznog seta OKZ • izabrati dodatne minimalne k/z za S ili V procenuuticaja • iz kataloga OKZ izabrati inicijalni set k/z na bazi najveće vrednosti BK: • najveći iuticaj N-izaberu se OKZ za N uticaj pretnji • najveći iuticaj S-izaberu se OKZ za N i S uticaj pretnji • najveći i uticaj V-izaberu se OKZ za N,S iV uticaj pretnji • inicijalni set OKZ - baza k/z, uvećava se po potrebi UNIVERZITET SINGIDUNUM -FPI

  36. 3. korak: PRLAG OĐENJE OKZ REZULTATIMA ANALIZE RIZIKA • Na bazi procene rizika prilagoditi izabrani set k/z • Navesti povučene, zamenjene, modifikovane k/z • Dokumentovati sve k/z u planu zaštite • Planzaštite sadrži sve k/z planirane/instalirane: • dokumentovati konačne k/z selektovane/identifikovane • obrazloženja i glavnerazloge za konačan izbor k/z • objašnjenje zašto k/z ispunjavaju bezbednosne zahteve • osnova za sertifikaciju/akreditacije sistemu zaštite UNIVERZITET SINGIDUNUM -FPI

  37. ZAKLJUČAK • Proaktivna DPP zaštita je efikasnija i efektivnija • Uspešno zamenjuje preovlađujuće, skupe, i spore reaktivne sisteme zaštite • Proaktivna DPP zaštita poboljšava, ubrzava i obezbeđuje pojednostavljen, integralan sistem zaštite • Proaktivna DPP zaštita reducira resurse (osoblje i hw/sw) UNIVERZITET SINGIDUNUM, FPI

  38. ZAKLJUČA K - 1 • Dugoročnu stabilnost procesa i servisa zaštite može obezbediti samo strateški pristup i planiranje • Kratkoročna rešenja obezbeđuju manje zrele procese zaštite • Proces razvoja strateškog plana zaštite sadrži 8 ključnih faza • Dobra strategija zahteva razmatranje zakona i zakonskih regulativa, relevantnih međunarodnih standarda i uputstava zaštite UNIVERZITET SINGIDUNUM, FPI

  39. Zaključak-3 • Kontrolazaštite, krajnja klasifikacija mehanizama zaštite, tipično neka tehnička i/ili netehnička funkcija dizajna sistema. Poseduju dva osnovna atributa: robusnost(otpornost na napade) i adaptivnost (fleksibilnost,skalabilnost). Organizuju se u klase (upravljačke,operativne i tehničke)i familije, koje sadrže konkretne k/z. • Klasa U k/zzaštite sadrži 5 familija k/z upravljanje s/z i rizikom, akviziciju IS, analizu k(z i S&A. • Klasa O k/zsadrži 9 familija k/z za: personalnu, fizičku i zaštitu okruženja, planiranje VD, upravljanje promenama, održavanje hw/sw, integritet IS i informacija, zaštitu medija, upravljanje kompjuterskim incidentom, razvoj svesti o potrebi zaštite i obuku.

  40. Zaključak-4 4. Klasu T k/z, mehanizmi i protokoli zaštite, obuhvata hw/sw kontrole u 4 familije: IA, logičku AC, kontrolisanu odgovornost i zaštitu sistema i komunikacija. 5. Sistem kontrola osnovne zaštite je minimalnih skup k/z za osnovni nivo zaštite. Potrebne i rentabilne k/z određuju se i biraju na bazi B/K/K objekata IKT sistema i procesa analize rizika. Svaka modifikacija osnovnih kontrola mora se dokumentovati u Planu zaštite. 6. Sistem osnovnih kontrola zaštite za N uticaj pretnji sadrži ukupno 198 kontrola zaštite sa niskim (n) nivoom robusnosti: 42 upravljačkih, 78 operativnih i 79 tehničkih kontrola zaštite.

  41. Pitanja za ponavljanje 1. Sa metodološkog aspekta, razvoj reaktivnog sistema zaštite najbolje se može predstaviti procesom upravljanja rizikom. (Tačno ili netačno). 2. Navedite ključne faze opšteg funkcionalnog modela koncepta reaktivne zaštite. 3. Koncept proaktivne zaštite presudno određuje (zaokružite tačne odgovore): • a. veća rentabilnost vremena i troškova od postojećih reaktivnih sistema • b. reagovanje na dinamički promenljive, kombinovane pretnje • c. manja finansijska sredstva za oporavak sistema • d. proaktivna detekcija i zaštita od poznatih i nepoznatih napada • e. velika ušteda u vremenu, analizi i upravljanju rizikom i sistemom zaštite. 4. Navedite ključne module koncepta proaktivne zaštite. UNIVERZITET SINGIDUNUM, FPI

  42. Pitanja za ponavljanje 5. U sistemu proaktivne zaštite Virtual Patch obezbeđuje (Zaokružite tačne odgovore): • proaktivnu zaštitu od nepoznatih napada • obezbeđuje rezervno vreme, omogućavajući organizaciji da bezbedno čeka dok se ne pojavi dovoljno ažurna bezbednosna popravka (update) • zahteva individualno krpljenje i manuelno rebutiranje sistema • obezbeđuje preventivno održavanje sistema zaštite • redefiniše održavanje sistema bezbednosti u deo normalnog procesa upravljanja promenama IKT sistema • ne omogućava mnogo efektivnije i efikasnije planiranje resursa • obezbeđuje sporiji vremenski odziv na poznate i nepoznate pretnje. UNIVERZITET SINGIDUNUM, FPI

  43. Pitanja za ponavljanje 6. Sistem proaktivne DPP zaštite ima sledeće osnovne prednosti u odnosu na reaktivni sistem zaštite (Zaokružite tačne odgovore): • veća brzina reagovanja na napad • sporija reakcija na nepoznati napad • manja tačnost detekcije napada • veća tačnost detekcije napada • veća pouzdanost (manji broj lažnih alarma) • veći nivo zaštite za ista finansijska ulaganja UNIVERZITET SINGIDUNUM, FPI

  44. Pitanja za ponavljanja 7. Navedite osnovne efekte kontrola zaštite na osnovu kojih se procenjuje pokrivanje pretnji u izabranom osnovnom sistemu zaštite. 8. . Kontrolazaštite je između ostalog (Zaokružite tačna saopštenja): • krajnja klasifikacija mehanizama zaštite • implicira da mehanizam zaštite ima punu vrednost samo ako se može kontrolisati • tipično neka funkcija dizajna tehničkog mehanizma zaštite sa kibernetičkom, kontrolnom povratnom spregom

  45. Pitanja za ponavljanja • tipično funkcija normativnog okvira, organizaciono-operativne prakse i tehničkih mehanizama zaštite • poseduju osnovne atribute: robusnosti(otpornost na napade) i adaptivnosti (fleksibilnost i skalabilnost) • statičke su i ne menjaju se u zavisnosti od promena u sistemu upravljanja, operativnim uslovima rada sistema i tehnologijama zaštite. • prema cilju namenei robusnosti: osnovna, poboljšana ili jaka • organizuju se hijerarhijski familije kontrola 9. Definišite opšti metod bezbednosne kategorizacije tipa informacija. 10. Navedite tri glavne faze (koraka) u procesu izbora skupa kontrola osnovnog sistema zaštite.

  46. Pitanja za ponavljanja 6. Povežite klase sa odgovarajućim familijama kontrola zaštite.

More Related