Trendy v oblasti bezpečnosti

31.10.2011

Trendy v oblasti bezpečnosti RNDr. Igor Čermák, CSc.

Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze © Igor Čermák, 2011

Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 13 MI-POA

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

Igor Čermák (ČVUT FIT)

Trendy v oblasti bezpečnosti

MI-IBE 2011, Přednáška 13

Informační bezpečnost (MI-IBE)

13.přednáška Trendy v oblasti bezpečnosti




1

31.10.2011

Ochrana informací • Data – – – –

Tištěná, psaná na papíře, mluvené slovo,… Elektronicky uchovávaná, přenášená (emailem či klasickou poštou,…) Pouhé „šanony v registraturách“ mají hodnotu, pouze jsou-li interpretovány tak, že na jejich základě lze činit rozhodnutí: data => informace

• Informace – Má-li informace (např. pro organizaci) hodnotu = aktivum – Aktiva je třeba chránit bez ohledu na formu a způsob zpracování/uložení – Informace je aktivum jako každé jiné => je vhodné je chránit




Hrozby • Informace lze využít i zneužít

• Ohrožení informací – – – – – – –

Zaměstnanci (sabotáže, krádeže informací, stávky…) Nízké bezpečnostní povědomí Nárůst distribuovaného zpracování („domácí kanceláře“) Globální propojení sítí (Internet) Vzrůst komplexnosti a inteligence virů,nástrojů pro hacking E-mail „klasické hrozby“ (požáry, záplavy, zemětřesení…)

• nutnost ochrany informací Igor Čermák (ČVUT FIT)



2

31.10.2011

Bezpečnost informací (InfoSec) • Ochrana informací slouží k zajištění jejich bezpečnosti

• C - Důvěrnost – Informace je přístupná pouze tomu, kdo je k tomu oprávněn

• I - Integrita – Zajištění úplnosti informace a správnosti metod zpracování

• A - Dostupnost – Informace je oprávněným uživatelům dostupná v okamžiku, kdy je to potřeba




Informační bezpečnost • Co je informační bezpečnost? – Bezpečnost - obvykle vnímána pouze v rovině fyzické bezpečnosti objektů (mříže, zámky, zabezpečovací zařízení, ...) – Informační bezpečnost - často zaměňována za bezpečnost počítačových sítí (firewally) a operačních systémů (hesla)

• Informační bezpečnost = bezpečnost informací ve všech jejich formách během celého jejich „životního cyklu“




3

31.10.2011

Informační bezpečnost - definice • Informační bezpečnost je systém ochrany informací ve všech možných podobách – systém - nejde o jednorázové opatření, ale o zavedení jednoho z klíčových procesů organizace (fungujícího a rozvíjejícího se) – ochrana - zajištění základních bezpečnostních principů: důvěrnosti, integrity, dostupnosti (CIA Confidentiality, Integrity, Availability) a dalších – informace - elektronické, papírové; sdílené, vyměňované e-mailem, faxem, telefonem, Igor Čermák (ČVUT FIT)



Role manažera – úspěšné zavedení a provozování ISMS by mělo být hlavním cílem a náplní činnosti manažera společnosti odpovědného za informační bezpečnost (CIO, CISO, bezpečnostní ředitel, jiný člen vedení společnosti,…); – pro dosažení tohoto cíle je nezbytná skutečná podpora vrcholového vedení společnosti (resp. generálního ředitele, CEO, předsedy představenstva,…..) – poskytnutí této podpory je jejich hlavním úkolem; – Rozpočet na oblast bezpečnosti – Organizační struktura – bezpečnostní fórum (rada, výbor, ……) – Metriky pro měření bezpečnosti – Bezpečnostní audity Igor Čermák (ČVUT FIT)



4

31.10.2011

Aktuální hrozby pro informační bezpečnost – současný stav

„Situace je špatná a bude se zhoršovat“ (Autor: nejmenovaný expert renomované konzultační firmy, 2007) Igor Čermák (ČVUT FIT)



Současný stav • • • •

Množí se počty a složitost útoků Roste profesionalita útočníků Rostou počty cílených útoků na objednávku Roste počet typů a složitost „škodlivých programů“ (malware) • Probíhají předem připravené útoky na atraktivní cíle i všeobecné útoky cílené na získání přístupu do systémů a dat (hesla, čísla karet, čísla pojištění,…) Igor Čermák (ČVUT FIT)



5

31.10.2011

Současný stav • Využití sociálního inženýrství (znalost prostředí, struktury organizace, sociální návyky zaměstnanců),




Současný stav • Dle specializovaných časopisů a internetových zdrojů se v roce 2006 objevilo přes 7 tisíc nových druhů možných napadení (20 zranitelností denně) – 40% nárůst proti roku 2005 • 88% zranitelností z roku 2006 může být aplikováno vzdáleně; více než 50 % z nich dovoluje útočníkům plně ovládnout napadený počítač




6

31.10.2011

Současný stav • Triky na uživatele (nejen) WWW aplikací – Phishing – Pharming – „finty“ s URL – Spyware (a jiný škodlivý kód)




Phishing • Co je to phishing (rhybaření)? – Phishing = phreaking + fishing – Cíl: získat citlivé údaje od uživatelů (např. přihlašovací údaje do homebankingu) – založeno na sociálním inženýrství – Způsob: • Maskováním se do věrohodně vypadajícího podvrženého mailu, IM zprávy apod. • Nasměrování oběti k následování zamaskovaného nebo „zatemněného“ URL (vedoucí na server kontrolovaný útočníkem)




7

31.10.2011

Phishing




Současný stav • Phishing a pharming v ČR – Březen 2006: Citybank – Říjen 2006: Česká spořitelna




8

31.10.2011

Phishing v České republice




Phishing v České republice




9

31.10.2011

Pharming • Co je to pharming (farmaření)? – Pharming = phreaking + farming – Cíl: opět získat citlivé údaje od uživatelů (především bankovní) – Způsob: podvržení webových stránek (např. přesměrováním na falešnou IP adresu) – Nejde o čisté sociální inženýrství (často využívá nejrůznější technické triky *DNS+, trojské koně atd.) – Metody: • C:\WINDOWS\SYSTEM32\DRIVERS\ETC\hosts

• Úprava nastavení proxy serveru • Metody typu DNS poisoning




URL „finty“ 1/2 • URL spoofing – Špatně napsaná jména: www.paypa1.com – „očekávané“ překlepy uživatelů • www.gogle.com vs. www.google.com

– Věrohodně znějící, ale falešné domény: http://www.secure-paypal.com – Adresa s uživatelským jménem: http://[email protected]/




10

31.10.2011

URL „finty“ 2/2 • Homograph spoofing – homograf = jedno ze slov se stejným pravopisem, ale jinou výslovností. – Nesprávné rozlišení jména domény v Unicode/UTF8 – Útočník může podvést uživatele: • Máme toto URL: http://www.pаypal.com/ • Prohlížeč ukáže uživateli: http://www.paypal.com/ • Pravý cíl (punycode): http://www.xn--pypal-4ve.com/

–

а = znak v Unicode, který vypadá velmi podobně jako „a“ latinkou, ale který jím není




Útoky na WWW aplikace Typ útoku

Popis

SQL injection

nedůsledné ošetření vstupů v některých případech umožňuje útočníkovi modifikovat SQL dotazy spouštěné v databázi, což může vést k neoprávněnému získání/modifikaci dat nebo dokonce ke spuštění vlastního kódu na databázovém serveru

Cross site scripting (XSS)

WWW server trpící touto slabinou může být zneužit jako prostředník při útoku spočívajícím ve spuštění kódu (obvykle Javascript) v prohlížeči uživateleoběti, který považuje zranitelný server za důvěryhodný

URL tampering

manipulace se strukturou URL a/nebo parametry předávanými v rámci URL může u zranitelné aplikace vést k provedení „neočekávaných“ akcí

Hidden field manipulation

útok na často citlivá data předávaná v rámci HTML formulářů v tzv. HIDDEN polích (nejsou viditelná pro běžného uživatele)

HTTP response splitting attack

specifický útok, při kterém je útočník schopen nežádoucím způsobem rozdělit HTTP hlavičku a vytvořit „falešnou“ odpověď pocházející ze zranitelného serveru

Cross site tracing (XST)

možnost zneužití metody TRACE k získání citlivých informací z http hlaviček (session cookies, autentizační údaje)




11

31.10.2011

Jak se bránit? • Technická opatření: – Antivirová ochrana + antispyware – Personální firewall (nejen na noteboocích) – Nastavení a aktualizace operačního systému a prohlížeče

• Organizační opatření: – Poučený, uvědomělý, ostražitý, opatrný uživatel

• Ostatní: – Použití silné autentizace (čipové karty, kalkulátory) – Kvalitně navržená architektura WWW/SSL aplikací – Komplexní bezpečnost stanice uživatele




Ochrana proti útokům • Pravidelné sledování sítí (vulnerability scanning, sledování logů) • Systémy pro řízení přístupu (NAC, firewall,anti-malware) • Bezpečnostní politika • Vzdělávání a osvěta




12

31.10.2011

Současný stav • Počítačový zločin (cyber crime) přerostl v organizovaný zločin se všemi rysy typickými pro tento druh zločinnosti • Není to záležitost nadaných jednotlivců s nízkým prahem morálky • Vývoj od „zranitelností“ a „internetových červů a virů“ (2001) přes spam (2003), spyware (2004), inteligentní botnety (2005) až k etapě „web based malware attacks“ (D.Perry, Trend Micro) Igor Čermák (ČVUT FIT)



Současný stav • Odhady: 1/10 webových stránek je infikována • 7% stanic (75-100 mil.PC) jsou botnety • „Ceníky“: – 500 USD za kreditku s PIN – 100 USD za kartu sociálního pojištění – 7 USD za účet PayPal s heslem




13

31.10.2011

Současný stav • E-mail ztratil kredibilitu • Prostředí WWW je extrémně nebezpečné, zejména pro nezkušené uživatele




Hrozby podle McAffe, Inc. • Vzroste počet stránek zaměřených na krádeže hesel, které využívají „sign-in“ populárních on-line služeb jako je e-Bay, • Bude pokračovat růst spamu, zejména obrázkového, který spotřebovává největší část kapacity připojení • Oblíbenost sdílení videa na Webu nevyhnutelně povede k zaměření hackerů na MPEG soubory jako na způsob šíření škodlivého kódu Igor Čermák (ČVUT FIT)



14

31.10.2011

Hrozby podle McAffe, Inc. • Útoky na mobilní zařízení se stanou stále častější, s tím, jak se tato zařízení stávají stále „chytřejší“ a stále více propojená, • „Adware“ se stane hlavním proudem a bude následovat nárůst komerčních PUP programů (potentially unwanted programs) • Krádeže identity a ztráty dat budou stále „na pořadu dne“ • Parazitní malware (virusy modifikující data) bude slavit „comeback“




Hrozby podle McAffe, Inc. • Použití botů (počítačových programů provádějící automatizované úkoly) jako oblíbených nástrojů hackerů bude narůstat • Počet rootkitů na 32-bitových platformách vzroste, spolu s obrannými možnostmi • Zranitelnosti (vulnerabilities) budou nadále problémem • (průzkum z roku 2006) Igor Čermák (ČVUT FIT)



15

31.10.2011

Ernst & Young • Průzkum stavu informační bezpečnosti prováděný v r. 2006: Global Information Security Survey – GISS 2006 • 1200 společností • 43 zemí, 23 odvětví, přes 80% CIO, CISO, IT management




Ernst & Young • Závěr: „Technologie přenosných médií (USB), mobilní výpočetní technika (PDA, smart phones), bezdrátové sítě (WiFi) a webové aplikace jsou čtyři hlavní technologie, kterým bude nezbytné věnovat nejvíce pozornosti z hlediska zajištění bezpečnosti.“ Igor Čermák (ČVUT FIT)



16

31.10.2011

PSIB ČR • Od r. 1999 probíhá rozsáhlý průzkum stavu informační bezpečnosti v ČR zaměřený na střední a velké organizace (100+) • Každé dva roky, naposled v roce 2009. Paralelně v SR (KPMG) • 2005: 11 okruhů, 407 respondentů • Výstupem je dokument „Průzkum stavu informační bezpečnosti v ČR (PSIB ČR 2009) • Ernst & Young, DSM, NBÚ ČR Igor Čermák (ČVUT FIT)



2009: spam: 83% Výpadek proudu: 82% Porucha HW: 70% Počítačový virus: 61% Chyba uživatele: 55% Chyba SW: 43% Nejčastější bezpečnostní incidenty Chyba admina: 25% Krádež zařízení: 23%

PSIB ČR

100

spam

86 85

80

%

60

78

výpadek proudu 74

porucha hardware počítačový virus

59 49

chyba uživatele 43

chyba software 34

40

selhání LAN

30 22

20

selhání WAN 9

5

0 1 typ incidentu Igor Čermák (ČVUT FIT)


chyba admina 3

krádež zařízení nepovolený přístup zevnitř přírodní katastrofa nepovolený přístup zvenčí MI-IBE 2011, Přednáška 13

17

31.10.2011

PSIB ČR Hrozby z hlediska informační bezpečnosti internet/el.pošta

100

vlastní uživatelé vnější útočníci

80

nedostatky bezpečnostní politiky

58 57

60

%

nedostatek financí

40

nedostatek lidských zdrojů

30

technická infrastruktura

21 19

20

16 14 14 13 6

nedostatečná podpora ze strany vedení bezdrátové technologie

3

0 1

provozované aplikace

typ hrozby


outsorcing



PSIB ČR Technická opatření 100

93

firewall

86

monitoring virů

80

směrnice na používání Internetu %

60 40

55

monitoring činnosti zaměstnanců na Internetu zabezpečené weby

48 40 20

20

fyz.oddělení Internetu a vnitř.sítě 18

14

10

penetrační testování kontrola dodržování směrnic

0 1 typ opatření Igor Čermák (ČVUT FIT)


kontrola obsahu pošty zaměstnanců


18

31.10.2011

PSIB ČR Motivy pro prosazování bezpečnosti

2009: Útok: 54% Propojování: 37% Rychlý vývoj: 41% Výstup auditu: 32% Propojování uvnitř: 27% Legislativa: 23% Obchodní cíle: 10% hrozba útoku

100

propojování IS směrem ven

80

rychlý vývoj v oblasti IT

55

%

60

48

propojování IS uvnitř organizace

42

40

výsledek auditu/doporučení auditorů

31 22

18 16

20

mobilní zpracování informací

10

9

7

0

legislativa ČR negativní medializace

1

požadavky zákazníků

druh motivu


legislativa EU a EMU



2009: awareness: 39% finance: 24% podpora: 14% legislativa: 12% Chybějící standard ČR: 3% Nazájem státu: 3% Překážky prosazení informační bezpečnosti Nedostatek informací: 3%

PSIB ČR

nízké bezpečnostní vědomí 35

32

finanční náročnost

30

nedostatečná podpora ze strany vedení nedostatečná legislativa

%

25 20

17

16

16

15 8

10 5

6

5 1

0

nedostatek informací

1 překážky Igor Čermák (ČVUT FIT)

neexistence českého bezp. Standardu nezájem státních orgánů


technologická náročnost


19

31.10.2011

PSIB ČR Formálně definovaná a nejvyšším vedením schválená bezpečnostní politika

Ano 48%

Ano Ne

Ne 52%

2007: 53% 2009: 64% Igor Čermák (ČVUT FIT)



PSIB ČR Vývoj procenta organizací se schválenou bezpečnostní politikou 1999-2005 60 50

46

48

2001

2003

2005

35

40 %

43

30 20 10 0 1999

rok



2007: 53% 2009: 64% MI-IBE 2011, Přednáška 13

20

31.10.2011

PSIB ČR Použité standardy pro oblast informační bezpečnosti 50 ISO/IEC 17799/ BS 7799

%

40

jiný standard

30

standardy EU 17

20

16

ISO/IEC TR 13335

13 7

10

5

ITIL 2

0 1

Cobit

2009: ISO/IEC 17799:27%

typ standardu Igor Čermák (ČVUT FIT)



PSIB ČR Zpracovaný a připravený plán obnovy funkčnosti IS

Ano 50%

50%

Ne

2007: 61% 2009: 56% Igor Čermák (ČVUT FIT)



21

31.10.2011

PSIB ČR Testování plánu obnovy funkčnosti IS alespoň jedenkrát ročně 12% 40%

22%

méně často než jednou za dva roky 2009: 1x ročně 36% nikdy 1x (2r.) 32% Méně: 17% Nikdy: 15%

26%


alespoň jedenkrát za dva roky


PSIB ČR Provedení analýzy rizik

33%

36%


2009: Nikdy: 16% Před více než 2 lety: 21% Během posl.2 let: 22% V posledním roce: 41%

nikdy před více než dvěma roky během posledních dvou let

16%


15%


v posledním roce


22

31.10.2011

PSIB ČR-2005-2009 • 57% organizací řeší informační bezpečnost ve spolupráci s externí firmou (63% v r.2009) • 2% organizací informační bezpečnost „neřeší vůbec“ (dtto 2009) • U pouze 19% firem je na informační bezpečnost vyčleněn zvláštní rozpočet (dtto 2009) • U 78 % (70% v r.2009 ) firem je útvarem odpovědným za informační bezpečnost útvar IS/IT (8% žádný útvar – 6% v r.2009, 4% útvar bezpečnosti – 7% v r.2009, 4% ekonomicko/finanční útvar) Igor Čermák (ČVUT FIT)



PSIB ČR-2005-2009 • 52 % společností využívá pro své činnosti elektronický podpis (74% v r.2009) • Podle 55% (69% v r.2009) odpovědí je situace v ČR v oblasti informační bezpečnosti stejná jako v západní Evropě (podle 38% (25%) horší, 3% (1%) výrazně horší a podle 4 % (5%) odpovědí lepší) • U analyzovaných společností má přístup k Internetu 50 % zaměstnanců (proti 17% z průzkumu v roce 1999) – pozn.: VVŠ 100%!! •

(2009: u poloviny firem nad 80%, 1/3 méně než 40%)




23

31.10.2011

PSIB ČR-2005-2009 • Nejzávažnější dopad měly následující bezpečnostní incidenty: – Výpadek proudu (25%) – 31% v r.2009 – Porucha HW (21%) – 17% v r.2009 – Počítačový virus (14%) – 11% v r.2009 – Chyba programu (11%) – 10% v r.2009 – Selhání WAN (7%) – 10% v r.2009 – Chyba admina, nepovolený přístup, krádež 4%




PSIB ČR-2005-2009 • Celkové vlastní hodnocení úrovně řešení bezpečnosti v organizaci: – 69% dobrá úroveň (67% v r. 2009) – 20% nízká úroveň (14% v r. 2009) – 10% výborná úroveň (18% v r. 2009) – 1% nedostatečná úroveň (dtto 2009)

A pak že není málo optimistů ! Igor Čermák (ČVUT FIT)



24

31.10.2011

Trendy • • • • • • • • •

Bezpečnost v rámci virtualizace Bezpečnost v cloudech Identity management SIEM/SEM – Network Behavioral Analyses Long Term Preservation (LTP) Bezpečnost v sociálních sítích Data Loss Prevention Anti-Fraud systémy A další




Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. [email protected] Igor Čermák (ČVUT FIT)



25

Trendy v oblasti bezpečnosti

Recommend Documents