„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" YYYY. MM. DD Előadás címe TÁMOP C-12/1/KONV projekt „Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra" Adatbiztonság a méréstechnológiában képzők képzése Szerző: Dr. Németh L. Zoltán TÁMOP C-12/1/KONV projekt
Dr. Németh L. Zoltán 1. Előadás2. Előadás Kockázatmenedzsment
Az informatikai biztonság alapvető céljai 3 1. C = Confidentiality (bizalmasság) Csak azok érhessék el az információt, akik arra jogosultak. Pl. titkosított adattovábbítás és tárolás. 2. I = Integrity (sértetlenség) Védelem az adatok jogosulatlan módosítása ellen, pl. beszúrás, törlés, helyettesítés. Pl. adatbáziskezelés, pénzügyi tranzakciók lebonyolítása. 3. A = Availability (rendelkezésre állás) Az adat vagy szolgáltatás garantált elérhetőségét biztosítja. Pl. webserver, naplózás. E három legalapvetőbb cél elérése és fenntartása jelenti az informatikai biztonságot. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Az informatikai biztonság területeinek csoportosítása 4 Fizikai védelem: zárak, beléptető rendszerek, tűzjelző rendszerek, biztonsági kamerák és őrök stb. Logikai védelem: titkosítási algoritmusok, kommunikációs protokollok, tűzfalak, stb. Adminisztratív védelem: kockázatmenedzsment, biztonsági szabályzatok, szabványok és ajánlások, törvényi szabályozás. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Néhány példa biztonsági kontrollra 5 1. Biztonsági szabályzatok 2. Biztonsági mentések 3. Vészhelyreállítási tervek 4. Titkosítás 5. Elektronikus aláírás 6. Tűzfalak 7. Zárak 8. Beléptető rendszerek 9. Vírusírtók 10. Többfaktoros hitelesítés, stb. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
A biztonságmenedzsment alapfogalmai 6 Informatikai értékek (Information Assets) Biztonsági szabályzat (Security Policy) Incidens (Incident) – Katasztrófa (Disaster) Fenyegetés (Threat) Sérülékenység (Vulnerability) Kockázat (Risk) Kihasználás (Exploit) Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Assets (értékek) 7 IT biztonság szempontjából az értékek csoportosítása: Hardver Szoftver Adat Az informatikai biztonság feladata ezek C: bizalmasságának (Confidentiality), I: sértetlenségének (Integrity) és A: rendelkezésre állásának (Avilability) biztosítása. A személyek és egyéb vagyontárgyak védelmét nem szoktuk idesorolni, bár alapvető, és néha ütközik az IT biztonsággal. Pl. Fail-safe vs. Fail-open beléptető rendszer. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Biztonsági szabályzat I. 8 Azt definiálja, hogy mit jelent, hogy egy rendszer, szervezet vagy bármi más biztonságos. Azaz az elvárt biztonságos működés megfogalmazása. Lehet implicit vagy explicit, azaz nincs feltétlenül írásba foglalva. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Biztonsági szabályzat II. 9 Követelményeket fogalmaz meg, mind a rendszerelemekkel mind a védelmi mechanizmusokkal szemben. BETARTATHATÓSÁGRA (Enforcement) ELLENTMONDÁSMENTESSÉGRE (Consistency), és TELJESSÉGRE (Completness) kell törekedni, ha - különösen az utóbbi - nehéz is. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Felső szintű szabályzat – alszabályzatok (subpolicies) 10 Felső szintű szabályzat : általános. Pl: ISO Security Policy TemplateISO Security Policy Template „9.1. Critical or sensitive information processing facilities will be housed in secure areas.” Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Felső szintű szabályzat – alszabályzatok (subpolicies) 11 Alszabályzatok (Subpolicies) : konkrét rendelkezések. Pl: SANS Information Security Policy TemplatesSANS Information Security Policy Templates Automatically Forwarded Policy: „Unless approved by an employee's manager InfoSec, will not be automatically forwarded to an external destination… ” Nem szabad csak az alszabályzatokban elveszni! Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Biztonsági esemény (Incident) 12 Biztonsági incidens a biztonsági szabályzat megsértése vagy a védelmi kontrollok kijátszása (vagy annak kísérlete). Lehet egyszeri vagy sorozatos alkalom (akár éveken át). Lehet automatikus: pl. vírustámadás, manuális: pl. alkalmazott általi adatlopás. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Biztonsági esemény (Incident) 13 Mindig rosszindulatú, emberre visszavezethető. Ezzel szemben biztonsági esemény lehet még, természeti katasztrófa, meghibásodás, hanyagság, vagy akár vétlen károkozás is. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázat (Risk) 14 Minden, olyan esemény lehetősége, amely a biztonságot veszélyezteti. Általános, pl. hackertámadás, vagy természeti katasztrófa. Általában nem zárható ki teljesen. „Ha biztonságos számítógépet akarsz, akkor húzd le az internetről, kapcsold ki, öntsd 1 köbméter betonba, s ásd el 100m mélyre. ” Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázat (Risk) 15 Összetevői: fenyegetés (Threat) és sérülékenység (Vulnerability). Jellemzői: valószínűség (Probability) és (ki)hatás (Impact). Mindezek széles skálán mozoghatnak. A kockázatelemzés általában nem egyszerű feladat. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
A kockázatok egyszerűsített értékelése 16 magas közepesmagas nagyon magas közepes alacsonyközepesmagas alacsony elenyészőalacsonyközepes alacsonyközepesmagas Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment valószínűség kihatás (Impact)
Sérülékenység (Vulnerability) I. 17 Biztonsági rés, a rendszer olyan gyengesége (sőt legtöbbször hibája ) mely incidensre vagy katasztrófára ad lehetőséget. Elég, hogy lehetőséget ad, nem kell hozzá, hogy azt ki is használják. Ez már konkrét, sokszor orvosolható. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Sérülékenység (Vulnerability) II. 18 Pl. egy az alkalmazás egy konkrét szubrutinja puffer túlcsordulásra ( Buffer Overflow ) ad lehetőséget. Ez akkor is sérülékenység, ha senki nem tört még be rajta keresztül, vagy csak az alkalmazás megbénítására ( Denial of Sevice, DoS ) lehet használni. Persze a súlyossága egészen más … Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
0-day sérülékenységek I. 19 Olvasd: Zéró-day = olyan hiba, melyre a gyártó még nem adott ki javítást. Különösen nagy veszélyt jelenthetnek, elterejdtségüktől és kihasználhatóságuktól függően. Hogyan lehet felfedezni őket? Pl.: Fuzzing Hogyan védekezhetünk akkor ellenük? Pl.: rétegzett védelemmel. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
0-day sérülékenységek II. 20 Az etikus hackerek először a gyártót értesítik, ha ilyenre bukkannak. A nem etikus hackerek kihasználják őket, vagy a feketepiacon kereskednek velük. A biztonság értékelésekor számolni kell a létezésükkel. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Fenyegetés (Threat) I. 21 Veszély, azaz olyan személy vagy körülmények együttese, mely biztonsági esemény okozója lehet. Katasztrófa (árvíz, tűz, elhagyott biztonsági mentés) vagy támadó (pl. hacker kívülről, belső alkalmazott, vagy robot). Legalább olyan fontos ismerni, mint a sérülékenységeket, pl.: milyen erős, mi a motivációja? Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Fenyegetés (Threat) II. 22 APT = Advanced Persistent Threat (magas szintű állandó fenyegetés) -> pl. kormányok titkosszolgálatai Stuxnet féreg az iráni atomlétesítmények ellen szept. Duqu (a Crysys Lab elemezte) május Flame … Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Fenyegetések típusai I. 23 Külső fenyegetések (External Threats): A támadónak nincs semmilyen hozzáférése a rendszer belső erőforrásihoz, csak a kívülről publikusan elérhető információkat, szolgáltatásokat látja. Pl. idegen hacker. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Fenyegetések típusai II. 24 Belső fenyegetések (Internal Threats): A támadó hozzáfér bizonyos belső erőforrásokhoz, pl. tipikusan egy felhasználói fiókhoz, belső hálózathoz vagy csupán a biztonsági eljárások gyakorlatához. A támadó célja lehet jogosultságának kiterjesztése (Privilage Escalation), azaz, hogy privilegizált accunthoz is hozzáférést szerezzen. Pl: alkalmazottak, korábbi – rossz esetben sértődött – alkalmazottak, szerződéses partnerek. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kihasználás (Exploitation) 25 Az a folyamat, amelyben egy fenyegetés ki is használja a sérülékenységet. Ez lehet manuális vagy automatikus (ekkor eszköz hajtja végre). Az etikus hackerek is írnak exploitokat, hogy ezzel bizonyítsák, demonstrálják a sérülékenységeket. Mert, addig nem hisznek nekik… (Sajnos, néha még utána se …) Ez a Proof of Concept ( PoC ), azaz a bizonyíték a hibára. Risk Vunerability Exploit Incident Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Malware I. 26 Mal icious Soft ware = Rosszindulatú kód, szoftver Vírus (általában fájlhoz kötődő kártevő) Féreg (a vírussal szemben önállóan terjed) Trójai (más hasznos programnak adja ki magát) Rootkit (a rendszerben láthatatlanul megbúvó, egy támadónak emelt jogokat biztosító eszközök, melyek pl. hátsóajtót / Backdoor / nyitnak a támadónak.) Kémprogram (Spyware) Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Malware II. 27 Ransomware (váltságdíjat követelő program) Aggresszív reklámprogram (Adware) Billentyűzetfigyelő (Keylogger) Betárcsázó (Dialer) Bot (támadó által irányított zombi-gépek hálózatának ( botnet ) kliens programja). Célja, pl.: további malwerek terjesztése (akár megrendelésre is!) kémkedés spam (levélszemét) küldése DDoS (Distributed Denial of Service) támadás számítások (jelszótörés, BitCoin bányászat, stb.) Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Védelmi kontrollok (Controls) vagy mechanizmusok (Mechanisms) 28 Olyan eszköz, cselekedet, eljárás vagy technika, mely megszünteti vagy csökkenti a sérülékenységeket. Más elnevezések: Defense, Safeguard, Countermeasure Pl.: tűzfal (Firewall), biztonsági mentés (Security Backup), biztonság-tudatossági képzés (Security Awarness Training), titkosítás (Encryption), stb. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Védelmi kontrollok (Controls) vagy mechanizmusok (Mechanisms) 29 Általában a sérülékenységeket, és az általuk hordozott kockázatot teljesen megszüntetni nem lehet. Ezért a jelszó: csillapítani (mitigate), csillapítani, csillapítani … Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázatelemzés és belőle fakadó biztonsági döntések 30 A kockázatok mindennaposak. De, például mindig bezárod-e a lakásod/szobád ajtaját? a kocsid ajtaját? Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment A hétköznapi életben sokszor nagy magabiztossággal, szinte észrevétlenül hozunk kockázatelemzésen alapuló döntéseket.
Kockázatelemzés és belőle fakadó biztonsági döntések 31 Milyen alapon hozzuk döntéseinket? Szabály alapú (Rule-based) döntések Ha nem tartod be a biztonsági szabályzatot, elbocsáthatnak. Relatív döntések Mivel a szomszédom/barátom/mindenki más zárva tartja a kertkaput, én is. Racionális, tényeken alapuló döntések Felmérve a kockázatot, nem zárom be a kocsim ajtaját, mert úgy is itt vagyunk kint a barátom udvarán. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázatelemzés 32 A IT biztonsági kockázatelemzés, sok szempontból hasonló a mindennapi és az üzleti kockázatelemzéshez. Számos kidolgozott különböző módszertan van rá. Lehet quantitatív: számszerűsíthető mindent számokra fordít le, vagy qualitatív: nem számszerűsíthető prioritásokat fogalmaz meg. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Kockázatelemzés 33 Ugyanakkor az informatika területén messze nincs annyi adat és tapasztalat, mint pl. az életbiztosításokhoz. A fenyegetések és sérülékenységek gyorsan változnak. Vitatott, hogy mennyi időt, energiát kell/érdemes kockázatelemzésre fordítani. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
A védekezés folyamata Értékek azonosítása, (Identication of Assets) 2. Kockázatelemzés (Risks Analysis) 3. A biztonsági szabályzat meghatározása 4. A védelmi mechanizmusok implementálása 5. A védelem monitorozása 6. Helyreállítás támadások után (Recovery) S a tapasztalatok fényében kezdhetjük az egészet elölről. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Összefoglalás %-os biztonság nincs. Csillapítani, csillapítani, csillapítani… Mindig kockázatarányos védelemre van szükség. A kockázatok felmérése után mérlegelni, egyensúlyozni kell: a biztonsági szint, az erőforrások (nem csak pénz!) és a használhatóság között. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Összefoglalás II. 36 Az igazán jó védelem a lehetőségekről kell, hogy szóljon, nem csak a lehetséges támadások, kockázatok tekintetében, hanem az alkalmazható védelmi mechanizmusokat illetően is. Számos megoldás van vagy összerakható, Ami nehézzé teszi a védekezést: egyenszilárdságra kell törekedni (láncszemek), a kockázatok és a rendszer dinamikus változása. Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment
Hivatkozások W. A. Conklin, G. White, D. Williams, Ch. Cothren, R. Davis, CompTIA Security+ All-in-One Exam Guide, McGraw-Hill Osborne, B. D. Payne, W. K. Edwards, A Brief Introduction to Usable Security intro-usable-security.pdf. intro-usable-security.pdf 3. Richard E. Smith, Elementary Information Security, Jones & Bartlett Learning, Virrasztó Tamás, Titkosítás és adatrejtés: Biztonságos kommunikáció és algoritmikus adatvédelem, NetAcademia Kft., Budapest, Information Security and Risk Management in Context, Washington University, Szoftverbiztonság alapjai – 1. előadás – Informatikai biztonság, kockázatelemzés, biztonságmenedzsment