2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Transkript

1 Systém řízení informační bezpečností: Úvod RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 2 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 2.přednáška Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS) 1

2 Aktuální hrozby pro informační bezpečnost současný stav Situace je špatná a bude se zhoršovat (Autor: nejmenovaný expert renomované konzultační firmy, 2007) Současný stav Množí se počty a složitost útoků Roste profesionalita útočníků Rostou počty cílených útoků na objednávku Roste počet typů a složitost škodlivých programů (malware) 2

3 Současný stav Probíhají předem připravené útoky na atraktivní cíle i všeobecné útoky cílené na získání přístupu do systémů a dat (hesla, čísla karet, čísla pojištění, ) Využití sociálního inženýrství (znalost prostředí, struktury organizace, sociální návyky zaměstnanců) Současný stav Triky na uživatele (nejen) WWW aplikací o Phishing o Pharming o finty s URL o Spyware (a jiný škodlivý kód) 3

4 Útoky na WWW aplikace Typ útoku SQL injection Cross site scripting (XSS) Popis nedůsledné ošetření vstupů v některých případech umožňuje útočníkovi modifikovat SQL dotazy spouštěné v databázi, což může vést k neoprávněnému získání/modifikaci dat nebo dokonce ke spuštění vlastního kódu na databázovém serveru WWW server trpící touto slabinou může být zneužit jako prostředník při útoku spočívajícím ve spuštění kódu (obvykle Javascript) v prohlížeči uživateleoběti, který považuje zranitelný server za důvěryhodný URL tampering manipulace se strukturou URL a/nebo parametry předávanými v rámci URL může u zranitelné aplikace vést k provedení neočekávaných akcí Hidden field manipulation HTTP response splitting attack Cross site tracing (XST) útok na často citlivá data předávaná v rámci HTML formulářů v tzv. HIDDEN polích (nejsou viditelná pro běžného uživatele) specifický útok, při kterém je útočník schopen nežádoucím způsobem rozdělit HTTP hlavičku a vytvořit falešnou odpověď pocházející ze zranitelného serveru možnost zneužití metody TRACE k získání citlivých informací z http hlaviček (session cookies, autentizační údaje) Jak se bránit? Technická opatření: Antivirová ochrana + antispyware Personální firewall (nejen na noteboocích) Nastavení a aktualizace operačního systému a prohlížeče Organizační opatření: Poučený, uvědomělý, ostražitý, opatrný uživatel Ostatní: Použití silné autentizace (čipové karty, kalkulátory) Kvalitně navržená architektura WWW/SSL aplikací Komplexní bezpečnost stanice uživatele 4

5 Ochrana proti útokům Pravidelné sledování sítí (vulnerability scanning, sledování logů) Systémy pro řízení přístupu (NAC, firewall,anti-malware) Bezpečnostní politika Vzdělávání a osvěta Současný stav Počítačový zločin (cyber crime) přerostl v organizovaný zločin se všemi rysy typickými pro tento druh zločinnosti Není to záležitost nadaných jednotlivců s nízkým prahem morálky Vývoj od zranitelností a internetových červů a virů (2001) přes spam (2003), spyware (2004), inteligentní botnety (2005) až k etapě web based malware attacks (D.Perry, Trend Micro) 5

6 Současný stav Odhady: 1/10 webových stránek je infikována 7% stanic ( mil.pc) jsou botnety Ceníky : 500 USD za kreditku s PIN 100 USD za kartu sociálního pojištění 7 USD za účet PayPal s heslem Současný stav ztratil kredibilitu Prostředí WWW je extrémně nebezpečné, zejména pro nezkušené uživatele 6

7 Hrozby podle McAffe, Inc. Vzroste počet stránek zaměřených na krádeže hesel, které využívají sign-in populárních on-line služeb jako je e-bay, Bude pokračovat růst spamu, zejména obrázkového, který spotřebovává největší část kapacity připojení Oblíbenost sdílení videa na Webu nevyhnutelně povede k zaměření hackerů na MPEG soubory jako na způsob šíření škodlivého kódu Hrozby podle McAffe, Inc. Útoky na mobilní zařízení se stanou stále častější, s tím, jak se tato zařízení stávají stále chytřejší a stále více propojená, Adware se stane hlavním proudem a bude následovat nárůst komerčních PUP programů (potentially unwanted programs) Krádeže identity a ztráty dat budou stále na pořadu dne Parazitní malware (virusy modifikující data) bude slavit comeback 7

8 Hrozby podle McAffe, Inc. Použití botů (počítačových programů provádějící automatizované úkoly) jako oblíbených nástrojů hackerů bude narůstat Počet rootkitů na 32-bitových platformách vzroste, spolu s obrannými možnostmi Zranitelnosti (vulnerabilities) budou nadále problémem PSIB ČR Od r probíhá rozsáhlý průzkum stavu informační bezpečnosti v ČR zaměřený na střední a velké organizace (100+) Každé dva roky, naposled v roce Paralelně v SR (KPMG) 2005: 11 okruhů, 407 respondentů Výstupem je dokument Průzkum stavu informační bezpečnosti v ČR (PSIB ČR 2011) Ernst & Young, DSM, NBÚ ČR 8

9 Jak se proti těmto hrozbám bránit? Jak se bránit? Antivirová ochrana + antispyware Personální firewall (nejen na noteboocích); systémy pro řízení přístupu (NAC, firewall,antimalware) SW pro detekci a prevenci útoků (pravidla chování aplikací vyplývající z definované bezpečnostní politiky) Nastavení a aktualizace operačního systému a prohlížeče Komplexní bezpečnost stanice uživatele 9

10 Jak se bránit? Pravidelné sledování sítí (vulnerability scanning, sledování logů) systémy pro správu bezpečnostních informací (automatizace sběru a analýzy bezpečnostních systémů a zařízení koincidence) Systémy pro management bezpečnostních informací a událostí (SIEM) nástroje pro sběr, korelaci a analýzu a vyhodnocení různých typů bezpečnostních událostí (firewall, IDS, antivirové systémy, RADIUS servery, VPN servery,..) klíčová je schopnost nakládat s takto získanými daty (kvalifikovaní zaměstnanci nebo outsorcing) Jak se bránit? Použití silné autentizace (čipové karty, kalkulátory) nástroje pro správu identity a řízení přístupů (kontrola přístupů, efektivní řízení životního cyklu) systémy infrastruktury veřejných klíčů (PKI), Systémy aktualizace oprav (Patch Management) Systémy pro zálohování a archivaci dat Systémy VPN, bezpečné komunikace Kvalitně navržená architektura WWW/SSL aplikací 10

11 Organizační opatření: Poučený, uvědomělý, ostražitý, opatrný uživatel Vzdělávání a osvěta Bezpečnostní politika (informační bezpečnost) (Information Security) Systém řízení (Management System) ISMS (Information Security Management System) Systém řízení Mechanismem k zajištění všech aspektů provozování složitého celku je systém řízení (MS) Systém řízení umožňuje: Určení požadovaných cílů Stanovení metod jak cílů dosáhnout Kontrolu dosažení cílů (pomocí určených metod) Systém řízení zavádí: Organizační strukturu Systematické zprac. procesů a souvisejících zdrojů Metodologii pro měření a vyhodnocování parametrů Přehodnocování implementace zlepšení 11

12 Součásti systému řízení MS pro zajištění kontinuálního provozu řeší fázi plánování, provozu i reakce na změny Politika Stanovení základního směru a cílů, deklarace souhlasu s dodržováním Plánování Identifikace potřeb, zdrojů, struktury, odpovědností Implementace a provoz Budování povědomí, školení Objektivní měření efektivity a výkonu Monitorování a měření parametrů, řešení incidentů a neshod, audity Zlepšování Provádění nápravných, preventivních a zlepšovacích opatření Zpětná vazba Management review Information Security Management System (ISMS) ISMS je systém managementu bezpečnosti informací o Součást globálního systému řízení organizace o Založen na přístupu vyhodnocování rizik o Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti Zajištění systematické prevence vzniku incidentů Spolehlivé vnitřní kontrolní mechanizmy Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany 12

13 ISMS Systém řízení informační bezpečnosti Pravidla fungování ISMS vymezena bezpečnostní politikou Zavedení ISMS znamená vznik nových organizačních struktur (bezpečnostní ředitel, bezpečnostní fórum, další role) Zavedením ISMS se v organizaci implementují řídící a kontrolní mechanismy, jejichž cílem je monitorovat adekvátnost navržených opatření a jejich uplatňování v praxi Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 13