IT Biztonság
Dr. Bakonyi Péter c.Fıiskolai tanár
A hálózati információbiztonság megteremtése • Az információs társadalom kiteljesedése hazánkat minıségileg új kihívásokkal állítja szembe, ahol a terrorizmus, szervezett bőnözés eszközeivel viszonylag kis ráfordítással mind a közigazgatás, mind az üzleti élet rendszereinek mőködése megbénítható, akár több ezer kilométer távolságból. • A biztonság és bizalom a jól mőködı gazdaság alapja és feltétele. Meg kell tehát védeni az információk és információs rendszerek rendelkezésre állását, hitelesíthetıségét, bizalmasságát, sértetlenség és letagadhatatlanságát, és egy esetleges kiesésre való tekintettel ki kell alakítani a rendszerek mőködésének helyreállíthatóságához szükséges védelmi, figyelési/érzékelési és reagálási képességek kialakítását és fenntartását is.
A hálózati információbiztonság megteremtése • A tapasztalatok szerint mind a piaci, mind a közigazgatási szereplık hajlamosak e problémával csak akkor foglalkozni, ha már a baj megtörtént, azonban ennek költségei jóval magasabbak lehetnek, mint az állam által támogatott, irányított és felügyelt, tervszerő felkészülésnek. • Az informatikai biztonsági problémák igen jelentıs gazdasági károkat okoznak, melyek elhárítása fontos feladat az IKT iránti bizalom megteremtése, az IKT megfelelı terjedése és a versenyképesség érdekében. A biztonság ezen ága is közjószág, ezért megteremtésében az állami szerepvállalás elengedhetetlen.
A biztonság kialakításának lépései • Helyzetfelmérés: ennek során meghatározzuk és osztályozzuk a védendı információkat, erıforrásokat, veszélyeket és fenyegetettségeket. • Kockázatelemzés: a helyzetelemzés alapján meghatározzuk a fenyegetettségek által képviselt kockázatokat. • Védelmi intézkedések kidolgozása: a kockázatokat kezelni kell, ezért meghatározzuk a kockázatok kezelésére (csökkentéséhez, elkerüléséhez, elviseléshez) szükséges intézkedéseket. • A védelmi intézkedéseket implementáljuk és mőködtetjük. Ennek során folyamatosan figyelemmel kísérjük és helyesbítjük biztonsági rendszerünket.
Az informatikai biztonság 3/5 pillérei 1. Bizalmasság (Confidentiality): az információhoz csak az arra feljogosítottak férhetnek hozzá. Ez a gyakorlatban azt jelenti, hogy biztosítani kell, hogy illetéktelenek vagy ne férhessenek hozzá az adathoz, vagy az adatok olyan formában – pl. titkosítva – legyenek hozzáférhetıek, hogy azt csak az arra jogosultak (személyek, rendszerek) tudják értelmezni. 2. Sértetlenség (Integrity): az információt csak az arra feljogosítottak módosíthatják. Más szóval ez azt jelenti, hogy az adat mindig olyan állapotban legyen, ahogy az utolsó, módosításra jogosult hagyta. Gyakorlatban meg kell akadályozni a módosítás jellegő hozzáféréseket, illetve megfelelı módszerekkel biztosítani kell a jogosulatlan (vagy véletlen, pl. mőszaki hibából eredı) módosítások felismerését.
Az informatikai biztonság pillérei 3. Letagadhatatlanság (non-repudation) alatt azt értjük, hogy az információ – jogosult – módosítója vagy elıállítója ne tudja letagadni ezt a cselekedetet. Ez nyilvánvalóan alapvetı fontosságú például az elektronikus úton indított közigazgatási eljárások, stb. esetében. 4.
Az elszámoltathatóság/hitelesség (authentication) annak biztosítása, hogy az információval kapcsolatos mőveletek végrehajtója késıbb azonosítható legyen. Ez többek között megfelelı naplózással biztosítható.
Az informatikai biztonság három pillére 5. Elérhetıség (Availability): az információ rendelkezésre áll az arra feljogosítottak számára. Gyakorlatban biztosítani kell, hogy a rendszer, amely az adatot szolgáltatja mőködıképes legyen, ne lehessen támadással megbénítani, mőszaki hiba esetén sem semmisüljenek meg az adatok és az információ értelmezhetı formában álljon rendelkezésre. Megjegyzés: Vannak akik csak három alappillért sorolnak fel, s a sértetlenség körébe sorolják a letagadhatatlanságot és a hitelességet.
Információbiztonság-technikai fenyegetettség • Ez a legkönnyebben érzékelhetı veszély a számítógéphasználók számára. A különféle rosszindulatú kódok – vírusok, kémprogramok - járványszerően jelennek meg. Az ábrán láthatjuk az utóbbi évek nagy nyári vírusinvázióit. A periodicitás okát a szakma még nem tárta föl. • A rosszindulatú – malware – kódok állatrendszertani besorolásával sokan próbálkoztak, de sikertelenül: a besorolás elavul, mire elkészül. Kb. 107.000 különbözı fajú, ismert, rosszindulatú kód tenyészik a világhálón. A megelızést a gyors változás és a rendszerezés lehetetlensége nehezíti, a szakma az utólagos védekezésre rendezkedett be.
Fogalomtár
A havonta detektált új vírusok és férgek száma
A havonta detektált új vírusok és férgek száma 2003. január és 2005. között. A zöld vonal a tendenciát mutatja. (Forrás: Yuri Mashevsky, Kaspersky Lab, Watershed in malicious code evolution http://www.viruslist.com/en/analysis?pubid=167798878)
A havonta detektált új trójai programok száma
A havonta detektált új trójai programok száma 2003 január és 2005 között. A zöld vonal a tendenciát mutatja.
(Forrás: mint elıbb)
Fogalomtár •Phishing-adathalászat: A phishing-támadások általában e-mailben történı megkereséssel kezdıdnek. A csalók gyakorlatilag kéretlen levélként küldik ki felhívásukat, amiben arra próbálják rávenni a címzetteket, hogy látogassanak el hamis weboldalakra, és ott adják meg különféle személyes vagy banki adataikat. •Vhising: A phishing és a pharming óvatossá tette a felhasználókat, ezért a becsapás újabb módját találták ki: levelet írnak vagy telefonos üzenetet hagynak egy szervezet nevében (pl. bank), és kérik, hogy hívják fel az adott telefonszámot, ami természetesen nem az adott szervezethez tartozik. •Pharming: A pharming lényege, hogy a keresett weboldal helyett a felhasználót más weblapra irányítják, és azt a látszatot keltik, mintha jó helyen járna
Phishing üzenetek száma
Phishing üzenetek szektoronként
Fogalomtár DoS (Denial of Service) attack – egy informatikai szolgáltatás részleges vagy teljes megbénítása • •
Gyakran a támadótól is jelentıs erıforrást igényel Patcheléssel, sávszélesség korlátozásával védekezhetünk
DDoS (Distributed DoS) attack – olyan DoS támadás, ahol a szolgáltatásbénítás több forrásból történik • • •
Sok kis erıforrású zombie host egyesítése (botnet) Védekezni nagyon nehéz Kik csinálják: „ellenségek”, maffia (védelmi pénz)
DoS attack
Hype Cycle for information security-2006
Prioritás mátrix
Az információbiztonsági szabványok rendszere BS 7799-2
Irányítás
Mőszaki
ISO/IEC 24743
Audit, tanúsítás
Folyamat Infokom védelem modelljei– IS 13335-1
SSE-CMM – IS 21827
ISO 9001
ISO 62-es útmutató
Hálózatbiztonság – IS 18028 Titkosítás - IS18033 Digitális aláírás – IS 14888
Kockázatkezelés – IS 13335-2
Mérés IS 24742
ISO 19011 EN 45012
BS 15000 (ITIL) EN 45013
Idıbélyegzés – IS 18014 Üzenethitelesítés – IS 9797 Hozzáférés-ell. – IS 15816 Letagadhatatlanság - IS13888 TTP szolgáltatások – IS 15945
Ellenintézkedés Behatolásérzékelés TR 15947
SSE-CMM – IS 21827
Inf.bizt. incidensek kez. – TR 18044
Termék/rendszer értékelés
Az inf. biztonság értékelésének közös szempontjai CC – IS 15408 Inf. biztonságértékelés módszertana – IS 18045
Kulcsgondozás – IS 11770 Lenyomatképzés – IS 10118
EA 7/13
Mőködı rendszerek felmérése – IS 19791 Kriptográfiai modulok biztonsági követelményei – IS 19790
Az inf. biztonság garanciális keretei – IS 15443 Kriptográfiai modulok értékelése – FIPS 140-2
EN 45011 Védelmi profilok nyilv. - IS 15292 Védelmi profilok megadása – IS 15446 Védelmi profilok (pl. NIST)
Incidenskezeléssel foglalkozó csoportok (CERT vagy CSIRT) • Megelızı szolgáltatások • Bejelentés/közlemény • Technológiai figyelmeztetések • Biztonsági audit és értékelés • Konfigurálás és biztonsági eszközök, alkalmazások használata • Behatolásészlelı szolgáltatások • Biztonsággal kapcsolatos információk terjesztése
Reagáló szolgáltatások Riasztás és figyelmeztetés Incidenskezelés • • • •
~ elemzése ~re adott válasz helyben ~re adott válasz támogatása ~re adott válaszok koordinálása
Biztonságot javító szolgáltatások Kockázatelemzés Katasztrófavédelmi terv Biztonsági tanácsadás
Sebezhetıségek kezelése
Tudatosság növelése
~ elemzése ~re adott válasz ~re adott válasz koordinálása
Oktatás/tanfolyamok
• • •
Kártékony inf. termékek kezelése • • •
~ elemzése ~re válasz ~re válasz koordinálása
Termékértékelés/ tanúsítás
Fogalomtár • Adminisztratív biztonság: Az információ védelme adminisztratív eszközökkel. Pl.: jelszókezelési szabályzat. • Algoritmikus biztonság: Az információ védelme informatikai eszközökkel. Pl.: titkosítás. • Autentikáció: Annak a megállapítása, hogy valaki, vagy valami az-e, mint akinek állítja magát. • Autorizáció: Valakinek vagy valaminek a feljogosítása valamely mővelet elvégzésére, vagy valamely infomációhoz való hozzáférésre. • Back-up: biztonsági mentés. • CERT vagy CSIRT – incidenskezeléssel foglalkozó csoportok
Fogalomtár • DoS (Denial of Service) attack – egy informatikai szolgáltatás részleges vagy teljes megbénítása • DDoS (Distributed DoS) attack – olyan DoS támadás, ahol a szolgáltatásbénítás több forrásból történik • Elektronikus aláírás: Olyan eljárás, amely segítségével megbizonyosodhatunk az elektronikus információ forrásáról és sértetlenségérıl. • Fizikai biztonság: Az információt kezelı rendszerek fizikai védelmét megvalósító védelmi intézkedések. Pl.: tőzvédelem, lopás elleni védelem. • Malware: Kórokozó, rosszindulatú program titokban, nemkívánt mőveleteket végrehajtó program.
Fogalomtár • Melissa virus: Melissa vírus volt az elsı olyan vírus, amely e-mailben terjedt, és amely az Outlook segítségével további 50 felhasználónak küldte el magát. Bár maga a vírus nem okozott kárt, vagyis nem módosított vagy törölt adatokat, az általa szétküldött óriási mennyiségő e-mail számos hálózatot a lebénulásig terhelt. Spam kéretlen e-maileket jelent. Ezeket a kéretlen e-maileket általában egyszerre nagyon sok e-mail címre küldik el. Gyakran használnak közvetítı szervereket a kéretlen e-mailek küldésére, ami megbéníthatja a valós e-mailek küldését • Tőzfal: Olyan hálózati eszköz, amely képes valamilyen szabályrendszer alapján számítógép hálózat forgalmát szőrni.
Fogalomtár
• Tanúsítvány: Olyan elektronikus adat, amely megbízható harmadik fél segítségével tanúsítja a kérdéses rendszer, kommunikáló fél azonosságát. • Zombie Computers: DDOS támadásoknál egy automatizált eszköz felkutatja a hálózaton lévı sebezhetı számítógépeket, majd egy rosszindulatú program ezekre telepszik. Ez a gép a zombie. Az ilyen gépek megfelelı utasításra támadnak.
Köszönöm a figyelmet!
