2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

2.10.2011

Systém řízení informační bezpečností: Úvod RNDr. Igor Čermák, CSc.

Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze © Igor Čermák, 2011

Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 2 MI-POA

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

Igor Čermák (ČVUT FIT)

Systém řízení Informační bezpečnosti

MI-IBE 2011, Přednáška 2

Informační bezpečnost (MI-IBE)

2.přednáška Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS) Igor Čermák (ČVUT FIT)



1

2.10.2011

Aktuální hrozby pro informační bezpečnost – současný stav

„Situace je špatná a bude se zhoršovat“ (Autor: nejmenovaný expert renomované konzultační firmy, 2007)




Současný stav • • • •

Množí se počty a složitost útoků Roste profesionalita útočníků Rostou počty cílených útoků na objednávku Roste počet typů a složitost „škodlivých programů“ (malware)




2

2.10.2011

Současný stav • Probíhají předem připravené útoky na atraktivní cíle i všeobecné útoky cílené na získání přístupu do systémů a dat (hesla, čísla karet, čísla pojištění,…) • Využití sociálního inženýrství (znalost prostředí, struktury organizace, sociální návyky zaměstnanců)




Současný stav • Triky na uživatele (nejen) WWW aplikací o Phishing o Pharming o „finty“ s URL o Spyware (a jiný škodlivý kód)




3

2.10.2011

Útoky na WWW aplikace Typ útoku

Popis

SQL injection

nedůsledné ošetření vstupů v některých případech umožňuje útočníkovi modifikovat SQL dotazy spouštěné v databázi, což může vést k neoprávněnému získání/modifikaci dat nebo dokonce ke spuštění vlastního kódu na databázovém serveru

Cross site scripting (XSS)

WWW server trpící touto slabinou může být zneužit jako prostředník při útoku spočívajícím ve spuštění kódu (obvykle Javascript) v prohlížeči uživateleoběti, který považuje zranitelný server za důvěryhodný

URL tampering

manipulace se strukturou URL a/nebo parametry předávanými v rámci URL může u zranitelné aplikace vést k provedení „neočekávaných“ akcí

Hidden field manipulation

útok na často citlivá data předávaná v rámci HTML formulářů v tzv. HIDDEN polích (nejsou viditelná pro běžného uživatele)

HTTP response splitting attack

specifický útok, při kterém je útočník schopen nežádoucím způsobem rozdělit HTTP hlavičku a vytvořit „falešnou“ odpověď pocházející ze zranitelného serveru

Cross site tracing (XST)

možnost zneužití metody TRACE k získání citlivých informací z http hlaviček (session cookies, autentizační údaje)




Jak se bránit? • Technická opatření: – Antivirová ochrana + antispyware – Personální firewall (nejen na noteboocích) – Nastavení a aktualizace operačního systému a prohlížeče

• Organizační opatření: – Poučený, uvědomělý, ostražitý, opatrný uživatel

• Ostatní: – Použití silné autentizace (čipové karty, kalkulátory) – Kvalitně navržená architektura WWW/SSL aplikací – Komplexní bezpečnost stanice uživatele




4

2.10.2011

Ochrana proti útokům • Pravidelné sledování sítí (vulnerability scanning, sledování logů) • Systémy pro řízení přístupu (NAC, firewall,anti-malware) • Bezpečnostní politika • Vzdělávání a osvěta




Současný stav • Počítačový zločin (cyber crime) přerostl v organizovaný zločin se všemi rysy typickými pro tento druh zločinnosti • Není to záležitost nadaných jednotlivců s nízkým prahem morálky • Vývoj od „zranitelností“ a „internetových červů a virů“ (2001) přes spam (2003), spyware (2004), inteligentní botnety (2005) až k etapě „web based malware attacks“ (D.Perry, Trend Micro) Igor Čermák (ČVUT FIT)



5

2.10.2011

Současný stav • Odhady: 1/10 webových stránek je infikována • 7% stanic (75-100 mil.PC) jsou botnety • „Ceníky“: – 500 USD za kreditku s PIN – 100 USD za kartu sociálního pojištění – 7 USD za účet PayPal s heslem




Současný stav • E-mail ztratil kredibilitu • Prostředí WWW je extrémně nebezpečné, zejména pro nezkušené uživatele




6

2.10.2011

Hrozby podle McAffe, Inc. • Vzroste počet stránek zaměřených na krádeže hesel, které využívají „sign-in“ populárních on-line služeb jako je e-Bay, • Bude pokračovat růst spamu, zejména obrázkového, který spotřebovává největší část kapacity připojení • Oblíbenost sdílení videa na Webu nevyhnutelně povede k zaměření hackerů na MPEG soubory jako na způsob šíření škodlivého kódu Igor Čermák (ČVUT FIT)



Hrozby podle McAffe, Inc. • Útoky na mobilní zařízení se stanou stále častější, s tím, jak se tato zařízení stávají stále „chytřejší“ a stále více propojená, • „Adware“ se stane hlavním proudem a bude následovat nárůst komerčních PUP programů (potentially unwanted programs) • Krádeže identity a ztráty dat budou stále „na pořadu dne“ • Parazitní malware (virusy modifikující data) bude slavit „comeback“




7

2.10.2011

Hrozby podle McAffe, Inc. • Použití botů (počítačových programů provádějící automatizované úkoly) jako oblíbených nástrojů hackerů bude narůstat • Počet rootkitů na 32-bitových platformách vzroste, spolu s obrannými možnostmi • Zranitelnosti (vulnerabilities) budou nadále problémem




PSIB ČR • Od r. 1999 probíhá rozsáhlý průzkum stavu informační bezpečnosti v ČR zaměřený na střední a velké organizace (100+) • Každé dva roky, naposled v roce 2011. Paralelně v SR (KPMG) • 2005: 11 okruhů, 407 respondentů • Výstupem je dokument „Průzkum stavu informační bezpečnosti v ČR (PSIB ČR 2011) • Ernst & Young, DSM, NBÚ ČR Igor Čermák (ČVUT FIT)



8

2.10.2011

Jak se proti těmto hrozbám bránit ?




Jak se bránit ? – Antivirová ochrana + antispyware – Personální firewall (nejen na noteboocích); systémy pro řízení přístupu (NAC, firewall,antimalware) – SW pro detekci a prevenci útoků (pravidla chování aplikací vyplývající z definované bezpečnostní politiky) – Nastavení a aktualizace operačního systému a prohlížeče – Komplexní bezpečnost stanice uživatele




9

2.10.2011

Jak se bránit? – Pravidelné sledování sítí (vulnerability scanning, sledování logů) – systémy pro správu bezpečnostních informací (automatizace sběru a analýzy bezpečnostních systémů a zařízení – koincidence) – Systémy pro management bezpečnostních informací a událostí (SIEM) – nástroje pro sběr, korelaci a analýzu a vyhodnocení různých typů bezpečnostních událostí (firewall, IDS, antivirové systémy, RADIUS servery, VPN servery,…..) – klíčová je schopnost nakládat s takto získanými daty (kvalifikovaní zaměstnanci nebo outsorcing) Igor Čermák (ČVUT FIT)



Jak se bránit? – Použití silné autentizace (čipové karty, kalkulátory) – nástroje pro správu identity a řízení přístupů (kontrola přístupů, efektivní řízení životního cyklu) – systémy infrastruktury veřejných klíčů (PKI), – Systémy aktualizace oprav (Patch Management) – Systémy pro zálohování a archivaci dat – Systémy VPN, bezpečné komunikace – Kvalitně navržená architektura WWW/SSL aplikací




10

2.10.2011

Organizační opatření: – Poučený, uvědomělý, ostražitý, opatrný uživatel – Vzdělávání a osvěta – Bezpečnostní politika (informační bezpečnost) – (Information Security) – Systém řízení (Management System) – ISMS (Information Security Management System)




Systém řízení • „Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS)“ • Systém řízení umožňuje: – Určení požadovaných cílů – Stanovení metod jak cílů dosáhnout – Kontrolu dosažení cílů (pomocí určených metod)

• Systém řízení zavádí: – – – –

Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování – implementace zlepšení




11

2.10.2011

Součásti systému řízení • „MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny“ • • • • • •

Politika – Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování – Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz – Budování povědomí, školení Objektivní měření efektivity a výkonu – Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování – Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba

– „Management review“




Information Security Management System (ISMS) • „ISMS je systém managementu bezpečnosti informací“ o Součást „globálního“ systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti • Zajištění systematické prevence vzniku incidentů • Spolehlivé vnitřní kontrolní mechanizmy • Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany




12

2.10.2011

ISMS • Systém řízení informační bezpečnosti – Pravidla fungování ISMS vymezena bezpečnostní politikou – Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) – Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi




Otázky ?

Děkuji za pozornost RNDr. Igor Čermák, CSc. [email protected]




13

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Recommend Documents