Pobieranie prezentacji. Proszę czekać

Pobieranie prezentacji. Proszę czekać

Holistyczny pogląd na temat bezpieczeństwa przedsiębiorstwa Rafał Łukawiecki Strategic Consultant, Project Botticelli Ltd

Podobne prezentacje


Prezentacja na temat: "Holistyczny pogląd na temat bezpieczeństwa przedsiębiorstwa Rafał Łukawiecki Strategic Consultant, Project Botticelli Ltd"— Zapis prezentacji:

1 Holistyczny pogląd na temat bezpieczeństwa przedsiębiorstwa Rafał Łukawiecki Strategic Consultant, Project Botticelli Ltd Copyright 2005 © Microsoft Corp & Project Botticelli Ltd. E&OE. Ta prezentacja ma wyłącznie charakter informacyjny. Nie udziela się jakichkolwiek gwarancji i przed posłużeniem się tymi informacjami należy je zweryfikować. Można ponownie użyć tej prezentacji pod warunkiem przeczytania, zaakceptowania i stosowania się do wytycznych opisanych w polu Komentarze okna Plik/Właściwości.

2 2Cele Określenie bezpieczeństwa w praktyczny i mierzalny sposób Analiza środowiska Przedstawienie procesu OCTAVE Wprowadzenie do prostej oceny ryzyka Wprowadzenie pojęć dotyczących modelowania zagrożeń bezpieczeństwa przedsiębiorstwa Przegląd głównych technologii zabezpieczeń

3 3 Program sesji Zdefiniowanie pojęć dotyczących bezpieczeństwa Budowanie bezpiecznego środowiska ProcesyOCTAVE Uproszczona analiza zagrożenia bezpieczeństwa Formalne modelowanie zagrożeń Streszczenie

4 4 Zdefiniowanie pojęć dotyczących bezpieczeństwa

5 5Bezpieczeństwo Definicja (wg. Cambridge Dictionary of English) Zdolność do unikania szkód będących wynikiem ryzyka, niebezpieczeństwa lub zagrożenia …a więc w praktyce nieosiągalny cel …a więc w praktyce nieosiągalny cel Cóż więc można zrobić? Zabezpieczyć się stosownie do potrzeb Zdolność do unikania zbyt wielkich szkód dzięki przewidywaniu ryzyka, niebezpieczeństw i zagrożeń (definicja Rafała)

6 6Wyzwanie Bezpieczeństwo musi być zrównoważone z funkcjonalnością (i dostępnością) Najwyższe bezpieczeństwo = bezużyteczność Najwyższa funkcjonalność = brak zabezpieczeń Konieczna znajomość poziomu zrównoważenia Uwzględnić cenę: bezpieczeństwo w powiązaniu z funkcjonalnością mają wysoka cenę

7 7 Koszty zabezpieczeń Właściwe zabezpieczenia to takie, które w oszczędny sposób chronią biznes przed zbędnym ryzykiem związanym z działaniem - Sherwood, 2003 Skalkulowanie kosztów i skuteczności zabezpieczeń wymaga znajomości i oszacowania: Chronionych zasobów Możliwych zagrożeń i strat Kosztów zapobiegania im Kosztów zdarzeń losowych

8 8 Odpowiednie zabezpieczenia Pożyteczna sugestia zespołu CERT: Pożądany stan bezpieczeństwa przedsiębiorstwa to taki, w którym strategie zabezpieczeń krytycznych zasobów i procesów biznesowych organizacji są zrównoważone ze skłonnością do podejmowania ryzyka i z dopuszczalnym ryzykiem. – Skłonność do podejmowania ryzyka – określana decyzjami kierownictwa, wpływa na stopień ryzyka, które warto podjąć w celu osiągnięcia celów i zadań przedsiębiorstwa Dotyczy ryzyka, które należy hamować i którym należy kierować Dopuszczalne ryzyko - pozostałe akceptowane ryzyko Dotyczy ryzyka, które nie będzie hamowane

9 9 1 wniosek Osiągnięcie 100% bezpieczeństwa jest niemożliwe i należy określić, co i jak trzeba zabezpieczać Innymi słowy potrzebne są następujące elementy: Lista zasobów Analiza zagrożeń w celu wskazania niebezpieczeństw Oszacowanie efektu zagrożeń dla poszczególnych zasobów Ciągły proces przeglądania zasobów, zagrożeń i ryzyka Osoba odpowiedzialna za ten proces Procedury działania wobec zmieniających się warunków (awarie, podwyższone zagrożenie etc.)

10 10 Zabezpieczenia cyfrowe jako rozszerzenie fizycznych zabezpieczeń kluczowych zasobów Silne zabezp. fizyczne KZ Silne zabezp. cyforwe Wszędzie dobre zabezp. Słabe zabezp. fizyczne KZ Silne zabezp. cyforwe Środowiskoniezabezp. fizyczne KZ Słabe zabezp. cyforwe Środowiskoniezabezp.

11 11 Aspekty zabezpieczeń Statyczne, pasywne, dominujące Poufność Dane/usługi nie są źródłem przydatnych informacji dla nieupoważnionych osób Dane/usługi nie są źródłem przydatnych informacji dla nieupoważnionych osóbIntegralność Próba manipulowania przy zasobach jest natychmiast widoczna Próba manipulowania przy zasobach jest natychmiast widocznaAutentyczność Można zweryfikować, czy zasób da się przypisać do jego autorów lub opiekunów Można zweryfikować, czy zasób da się przypisać do jego autorów lub opiekunówTożsamość Można zweryfikować, kto jest konkretną osobą związaną z zasobem Można zweryfikować, kto jest konkretną osobą związaną z zasobemNiezaprzeczalność Autor, właściciel lub opiekun zasobu nie może się wyprzeć związków z nim Autor, właściciel lub opiekun zasobu nie może się wyprzeć związków z nim

12 12 Aspekty zabezpieczeń Dynamiczne, aktywne, przejściowe Autoryzacja Jasne jest, jakie działania są dozwolone w odniesieniu do zasobu Jasne jest, jakie działania są dozwolone w odniesieniu do zasobuUtrata Zasób jest nieodwracalnie tracony (lub koszt odzyskania jest zbyt wysoki) Zasób jest nieodwracalnie tracony (lub koszt odzyskania jest zbyt wysoki) Odmowa dostępu (lub odmowa usługi) Dostęp do zasobu jest czasowo niemożliwy Dostęp do zasobu jest czasowo niemożliwy

13 13 Podejścia do osiągania bezpieczeństwa Potrzebne są dwa podejścia: Aktywne, dynamiczne, przejściowe Implementowane za pomocą analizy zachowań i wzorców Pasywne, statyczne, dominujące Implementowane za pomocą kryptografii

14 14 Analiza zachowań (wzorców) Wyklucza sięganie po zasób, jeśli dostęp nie mieści się we wzorcu, np.: Blokowanie hasła po N nieudanych próbach Blokowanie pakietów na routerze, jeśli zbyt wiele pakietów pochodzi z danego źródła Odmowa połączenia na podstawie zasad filtru IPSec Uniemożliwianie użytkownikowi oglądania więcej niż N rekordów bazy danych dziennie Określenie limitu czasu dla bezczynnej bezpiecznej sesji Aktywne Nie zawsze można zapobiec nieautoryzowanemu użyciu zasobu Możliwe zablokowanie uprawnionego dostępu – niezbędne łatwe i bezpieczne mechanizmy odblokowywania Siła zmienia się wraz ze stopniem zaawansowania znanych ataków

15 15Kryptografia Zastosowanie zaawansowanej matematyki do implementowania wspomnianych wcześniej pasywnych aspektów zabezpieczeń Statyczne Brak możliwości wykrywania problemów i zapobiegania im na podstawie wzorców zachowań Uzależnienie od fizycznych zabezpieczeń kluczowych zasobów (takich jak główne klucze publiczne etc.) Siła zmienia się z czasem w zależności od mocy komputerów i postępów kryptoanalizy

16 16 Przyszłe technologie zabezpieczeń Obecnie trwa niezwykły rozwój analizy zachowań Produkty przygotowywane przez firmę Microsoft: Microsoft Operations Manager 2005 Dostępny, w przygotowaniu dalsze reguły Active Protection Zbiór technologii wykrywania włamań, automatycznego reagowania i ciągłej ochrony Na przykład: MOM + systemy IDS oparte na sieci neuronowej + obiekty GPO

17 17 Holistyczny pogląd na temat zabezpieczeń Zabezpieczenia powinny być: Statyczne + Aktywne dotyczyć Wszystkich zasobów oparte na Ciągłej ocenie zagrożeń

18 18 Budowanie bezpiecznego środowiska

19 19 Dogłębna obrona Zastosowanie podejścia warstwowego: Zwiększa szanse wykrycia osoby atakującej Zmniejsza szanse powodzenia ataku Zasady, procedury i świadomość Wzmacnianie syst. op., zarządzanie aktualizacjami, uwierzytelnianie Zapory sieciowe, kwarantanna VPN Strażnicy, zamki, urządzenia rejestrujące, HSM Segmenty sieci, IPSec, NIDS Wzmacnianie aplikacji, antywirusy Listy ACL, szyfrowanie Szkolenie użytkowników w zakresie obrony przed inżynierią społeczną Zabezpieczenia fizyczne Granica Sieć wewnętrzna Host Aplikacja Dane

20 20 Bezpieczne środowisko Bezpieczne środowisko to połączenie: Wzmocnionych hostów (węzłów) Systemu wykrywania włamań (IDS) Procesów działania Standardowych i awaryjnych Modelowania i analizy zagrożeń Odpowiedzialnego, wyspecjalizowanego personelu Kierownik do spraw zabezpieczeń (CSO) odpowiedzialny za wszystkich Ciągły trening Użytkownicy i pracownicy odpowiedzialni za bezpieczeństwo – przeciwko inżynierii społecznej

21 21Procesy Procesy działania Microsoft Operations Framework (MOF) IT Infrastructure Library Norma BS7799 oraz skojarzone normy ISO Nieformalne: standardowe i awaryjne procedury działania Procesy analizy ryzyka i zagrożeń Uproszczona analiza zagrożenia bezpieczeństwa Kierunki ataku i modelowanie zagrożeń Proces OCTAVE

22 22 Procesy działania (operacyjne) W minimalnym zakresie, zdefiniować Standardowe procedury działania Zestaw zasad zabezpieczeń stosowanych w normalnych warunkach Mogą być oparte na zasadach grupy Windows AD Awaryjne procedury działania Surowsze zasady stosowane w warunkach zwiększonego ryzyka lub wystąpienia ataku Dążyć do osiągnięcia zgodności z ogólnymi ramami procesów działania Np. umowy SLA, OLA i UC infrastruktury Microsoft Operation Framework

23 23 Szkolenia i badania Należy co najmniej subskrybować porady dotyczące zabezpieczeń: Usługa powiadamiania o zabezpieczeniach CERT SANS Institute Inne dotyczące konkretnych producentów CISCO, Oracle, IBM itd. Oprócz powiadomień należy studiować wytyczne dotyczące bezpieczeństwa działań

24 24 Proces OCTAVE

25 25 Ocena luk i zasobów krytycznych dla działania (ang. Operationally Critical Threat, Asset and Vulnerability Evaluation) Wytyczne Uniwersytetu Carnegie-Mellon Początek w roku 2001 Stosowany przez armię USA oraz przez coraz większą liczbę większych organizacji

26 26 Idea procesu OCTAVE Analiza oparta na warsztatach Podejście oparte na współpracy Opisany w 18-tomowej publikacji Bardzo szczegółowy, z sugerowanymi harmonogramami, doborem personelu etc. Mniejsza wersja, OCTAVE-S, dla małych i średnich organizacji

27 27 Proces OCTAVE Progresywna seria warsztatów Etap 1 Widok organizacyjny Etap 2 Widok technologiczny Etap 3 Opracowanie strategii i planu Luki technologiczne Planowanie Zasoby Zagrożenia Aktualne praktyki Luki organizacyjne Wymogi dot. zabezp. Zagrożenia Strategia ochrony Plany łagodzenia

28 28 Kroki procesu OCTAVE

29 29 Uproszczona analiza zagrożenia bezpieczeństwa

30 30Przykłady Zasób: Wewnętrzna skrzynka pocztowa dyrektora naczelnego Oszacowanie efektów zagrożeń (przykłady!) Ryzyko straty: średni efekt Ryzyko uzyskania dostępu przez pracowników: istotny efekt Ryzyko uzyskania dostępu przez prasę: katastrofalny efekt Ryzyko uzyskania dostępu przez konkurencję: istotny efekt Ryzyko braku dostępu przez dyrektora naczelnego: średni efekt Ryzyko zmiany zawartości: średni efekt

31 31 Tworzenie listy zasobów Sporządzić listę wszystkich nazwanych zasobów poczynając od najważniejszych Lista nigdy nie będzie kompletna; należy ją cały czas aktualizować Utworzyć domyślny wpis wszystkie pozostałe zasoby Podzielić je na logiczne grupy na podstawie prawdopodobieństwa ataków oraz narażenia ich lokalizacji między granicami

32 32 Ocena efektów (impact) zagrożenia Dla każdego zasobu i zagrożenia określić miarę efektu Jeśli to możliwe, skala pieniężna (trudne) lub względne liczby o uzgodnionym znaczeniu Np.: Banalne (1), Małe (2), Średnie (3), Istotne (4), Katastrofalne (5) Przykład: Zasób: wewnętrzna skrzynka dyrektora naczelnego Ryzyko: uzyskanie dostępu do zawartości przez prasę Efekt: katastrofalny (5)

33 33 Ocena prawdopodobieństwa zagrożenia Teraz dla każdego wpisu należy podać miarę prawdopodobieństwa wystąpienia straty Rzeczywiste prawdopodobieństwo (trudne) lub względna skala (prostsze) jak: Niskie (0,3), Średnie (0,6) oraz Wysokie (0,9) Przykład: Zasób: wewnętrzna skrzynka dyrektora naczelnego Ryzyko: uzyskanie dostępu do zawartości przez prasę Prawdopodobieństwo: niskie (0,3)

34 34 Narażenie (exposure) oraz lista zagrożeń Przemnożyć prawdopodobieństwo przez efekt każdego wpisu Narażenie = Prawdopodobieństwo x Efekt Posortować na podstawie narażenia Zagrożenia o wysokim narażeniu wymagają silnych zabezpieczeń Zagrożenia o niskim narażeniu mogą być objęte domyślnymi mechanizmami lub być zignorowane Przykład: Prasa może uzyskać dostęp do skrzynki dyrektora naczelnego: Narażenie = P(Niskie=0,3) x E(Katastroficzny=5) = 1,5 W naszych przykładach minimalne narażenie wynosi 0,3, a maksymalne 4,5

35 35 Łagodzenie i plany zastepcze (mitigation & contingency) Dla ryzyk o wysokim narażeniu: Łagodzenie: obniżenie prawdopodobieństwa lub efektu (w efekcie narażenia) Transfer: przekazac odpowiedzialnosc za zagrożenie komus innemu Unikanie: unikanie zagrożeń przez pozbycie się zasobu Plany zastepcze (contingency): co robić, gdy zagrożenie stanie się rzeczywiste

36 36 Formalne modelowanie zagrożeń

37 37 Modelowanie zagrożenia Ustrukturowana analiza, której cel to: Znalezienie luk infrastruktury Ocena zagrożeń bezpieczeństwa Określenie środków zaradczych Pochodzi z analizy zagrożeń na etapie opracowywania oprogramowania 1. Określić zasoby 2. Utworzyć przegląd architektury 3. Przeanalizować system 4. Wskazać zagrożenia 5. Udokumentować zagrożenia 6. Ocenić zagrożenia

38 38 Diagram architektury (krok 2) Bob Alice Bill Zasób nr 4 Zasób nr 1Zasób nr 2Zasób nr 3 Zasób nr 5Zasób nr 6 IISASP.NET Serwer sieci Web Login State Main Serwer bazy danych Zapora sieciowa

39 39 Analiza (krok 3) Bob Alice Bill IISASP.NET Serwer sieci Web Serwer bazy danych Zaufanie Uwierzytelnianie za pomocą formularzy Autoryzacja adresów URL DPAPIUwierzytelnianie Windows Zapora sieciowa Login State Main

40 40 STRIDE Technika określania zagrożeń (krok 4) Typ zagrożenia Przykłady Fałszowanie Fałszowanie wiadomości Powtarzanie uwierzytelniania Zniekształcanie Zmiana danych podczas transmisji Zmiana danych w bazie danych Zaprzeczanie Usunięcie istotnych danych i zaprzeczanie temu Zakup produktu i zaprzeczanie temu Ujawnianie informacji Ujawnianie informacji w komunikatach o błędach Ujawnianie kodu w witrynie sieci Web Odmowa usługi Zalewanie usługi sieci Web nieprawidłowymi żądaniami Zalewanie sieci pakietami SYN Podwyższanie uprawnień Uzyskiwanie uprawnień administratora Używanie zestawu w pamięci GAC do tworzenia konta

41 41 Drzewo zagrożeń Umożliwiony atak wewnętrzny Umożliwiony atak wewnętrzny Atak od wewnątrz na kontroler domeny Wstrzyknięcie kodu SQL Aplikacja nie weryfikuje wejścia i dopuszcza złośliwe teksty Serwer programisty Niezabezp. serwer SQL używany przez wewnętrznych programistów Messenger Xfer Niedoświadczony admin używa na serwerze programu do wiad. błyskaw. Inż. społ. Trojan Napastnik wysyła trojana udającego narzędzie sieciowe LUB ORAZ

42 42 Wektor ataku w drzewie zagrożeń Kradzież plików cookies z uwierzyt. Uzyskanie pliku cookie w celu sfałsz. tożsam. Nieszyfrowane połączenie Nieszyfrowane połączenie Pliki cookie przesyłane przez nieszyfrowane łącze HTTP Podsłuch Napastnik używa sniffera do monitorowania ruchu HTTP Skrypty między witrynami Skrypty między witrynami Napastnik dysponuje środkami i wiedzą Podatność na ataki XSS Podatność na ataki XSS Aplikacja jest podatna na ataki XSS LUB ORAZ

43 43 Dokumentowanie zagrożeń (krok 5) OpisCelRyzyko Techniki ataku Środki zapobiegawcze Napastnik uzyskuje poświadczenia Proces uwierzyt. użytkownika Sniffer Zastosować protokół SSL do szyfrowania kanału Wstrzyknięcie poleceń SQL Składnik Data Access Component Dopisanie polecenia SQL do nazwy użytkownika Zweryfikować nazwę użytkownika Sparametryzować przechowywaną procedurę dostępu do danych

44 44 Ocena zagrożeń (krok 6) Ocena ryzyka Prawdopodobieństwo-Efekt-Narażenie Narażenie = Prawdopodobieństwo * Możliwość zniszczeń DREAD

45 45 DREAD* *w języku angielskim dread oznacza strach D – Możliwość zniszczeń (ang. Damage Potential) D – Możliwość zniszczeń (ang. Damage Potential) R – Powtarzalność (ang. Reproducibility) R – Powtarzalność (ang. Reproducibility) E – Możliwość wykorzystania (ang. Exploitability) E – Możliwość wykorzystania (ang. Exploitability) A – Użytkownicy, których dotyczy problem (ang. Affected Users) A – Użytkownicy, których dotyczy problem (ang. Affected Users) D – Możliwość wykrycia (ang. Discoverability) D – Możliwość wykrycia (ang. Discoverability) Przypisać znaczenie każdej kategorii Wysokie (3), Średnie (2) oraz Niskie (1) ZagrożenieDREADRazemOcena Napastnik uzyskuje poświadczenia Wysoka Wstrzyknięcie poleceń SQL Wysoka

46 46Streszczenie

47 47Streszczenie Holistyczne spojrzenie na zabezpieczenia łączy perspektywę ludzką, procesów i technologii oraz wymaga ciągłych badań i kształcenia Cele zabezpieczeń są sprzeczne z celami określanymi przez funkcjonalność Koszt ochrony jest czynnikiem wymuszającym konieczność przeprowadzenia oszacowania ryzyka Procesy takie jak OCTAVE umożliwiają identyfikowanie zagrożeń oraz przygotowanie analizy oszczędności Mniejsze wymagania dotyczące zabezpieczeń można zaspokoić tańszymi, reaktywnymi podejściami Wysokie wymagania dotyczące zabezpieczeń wymagają droższych, formalnych metod


Pobierz ppt "Holistyczny pogląd na temat bezpieczeństwa przedsiębiorstwa Rafał Łukawiecki Strategic Consultant, Project Botticelli Ltd"

Podobne prezentacje


Reklamy Google