Trendy v oblasti bezpečnosti

Transkript

1 Trendy v oblasti bezpečnosti RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 13 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 13.přednáška Trendy v oblasti bezpečnosti 1

2 Ochrana informací Data Tištěná, psaná na papíře, mluvené slovo, Elektronicky uchovávaná, přenášená ( em či klasickou poštou, ) Pouhé šanony v registraturách mají hodnotu, pouze jsou-li interpretovány tak, že na jejich základě lze činit rozhodnutí: data => informace Informace Má-li informace (např. pro organizaci) hodnotu = aktivum Aktiva je třeba chránit bez ohledu na formu a způsob zpracování/uložení Informace je aktivum jako každé jiné => je vhodné je chránit Hrozby Informace lze využít i zneužít Ohrožení informací Zaměstnanci (sabotáže, krádeže informací, stávky ) Nízké bezpečnostní povědomí Nárůst distribuovaného zpracování ( domácí kanceláře ) Globální propojení sítí (Internet) Vzrůst komplexnosti a inteligence virů,nástrojů pro hacking klasické hrozby (požáry, záplavy, zemětřesení ) nutnost ochrany informací 2

3 Bezpečnost informací (InfoSec) Ochrana informací slouží k zajištění jejich bezpečnosti C - Důvěrnost Informace je přístupná pouze tomu, kdo je k tomu oprávněn I - Integrita Zajištění úplnosti informace a správnosti metod zpracování A - Dostupnost Informace je oprávněným uživatelům dostupná v okamžiku, kdy je to potřeba Informační bezpečnost Co je informační bezpečnost? Bezpečnost - obvykle vnímána pouze v rovině fyzické bezpečnosti objektů (mříže, zámky, zabezpečovací zařízení,...) Informační bezpečnost - často zaměňována za bezpečnost počítačových sítí (firewally) a operačních systémů (hesla) Informační bezpečnost = bezpečnost informací ve všech jejich formách během celého jejich životního cyklu 3

4 Informační bezpečnost - definice Informační bezpečnost je systém ochrany informací ve všech možných podobách systém - nejde o jednorázové opatření, ale o zavedení jednoho z klíčových procesů organizace (fungujícího a rozvíjejícího se) ochrana - zajištění základních bezpečnostních principů: důvěrnosti, integrity, dostupnosti (CIA - Confidentiality, Integrity, Availability) a dalších informace - elektronické, papírové; sdílené, vyměňované em, faxem, telefonem, Role manažera úspěšné zavedení a provozování ISMS by mělo být hlavním cílem a náplní činnosti manažera společnosti odpovědného za informační bezpečnost (CIO, CISO, bezpečnostní ředitel, jiný člen vedení společnosti, ); pro dosažení tohoto cíle je nezbytná skutečná podpora vrcholového vedení společnosti (resp. generálního ředitele, CEO, předsedy představenstva,..) poskytnutí této podpory je jejich hlavním úkolem; Rozpočet na oblast bezpečnosti Organizační struktura bezpečnostní fórum (rada, výbor, ) Metriky pro měření bezpečnosti Bezpečnostní audity 4

5 Aktuální hrozby pro informační bezpečnost současný stav Situace je špatná a bude se zhoršovat (Autor: nejmenovaný expert renomované konzultační firmy, 2007) Současný stav Množí se počty a složitost útoků Roste profesionalita útočníků Rostou počty cílených útoků na objednávku Roste počet typů a složitost škodlivých programů (malware) Probíhají předem připravené útoky na atraktivní cíle i všeobecné útoky cílené na získání přístupu do systémů a dat (hesla, čísla karet, čísla pojištění, ) 5

6 Současný stav Využití sociálního inženýrství (znalost prostředí, struktury organizace, sociální návyky zaměstnanců), Současný stav Dle specializovaných časopisů a internetových zdrojů se v roce 2006 objevilo přes 7 tisíc nových druhů možných napadení (20 zranitelností denně) 40% nárůst proti roku % zranitelností z roku 2006 může být aplikováno vzdáleně; více než 50 % z nich dovoluje útočníkům plně ovládnout napadený počítač 6

7 Současný stav Triky na uživatele (nejen) WWW aplikací Phishing Pharming finty s URL Spyware (a jiný škodlivý kód) Phishing Co je to phishing (rhybaření)? Phishing = phreaking + fishing Cíl: získat citlivé údaje od uživatelů (např. přihlašovací údaje do homebankingu) založeno na sociálním inženýrství Způsob: Maskováním se do věrohodně vypadajícího podvrženého mailu, IM zprávy apod. Nasměrování oběti k následování zamaskovaného nebo zatemněného URL (vedoucí na server kontrolovaný útočníkem) 7

8 Phishing Současný stav Phishing a pharming v ČR Březen 2006: Citybank Říjen 2006: Česká spořitelna 8

9 Phishing v České republice Phishing v České republice 9

10 Pharming Co je to pharming (farmaření)? Pharming = phreaking + farming Cíl: opět získat citlivé údaje od uživatelů (především bankovní) Způsob: podvržení webových stránek (např. přesměrováním na falešnou IP adresu) Nejde o čisté sociální inženýrství (často využívá nejrůznější technické triky *DNS+, trojské koně atd.) Metody: C:\WINDOWS\SYSTEM32\DRIVERS\ETC\hosts Úprava nastavení proxy serveru Metody typu DNS poisoning URL finty 1/2 URL spoofing Špatně napsaná jména: očekávané překlepy uživatelů vs. Věrohodně znějící, ale falešné domény: Adresa s uživatelským jménem: 10

11 URL finty 2/2 Homograph spoofing homograf = jedno ze slov se stejným pravopisem, ale jinou výslovností. Nesprávné rozlišení jména domény v Unicode/UTF8 Útočník může podvést uživatele: Máme toto URL: Prohlížeč ukáže uživateli: Pravý cíl (punycode): а = znak v Unicode, který vypadá velmi podobně jako a latinkou, ale který jím není Útoky na WWW aplikace Typ útoku SQL injection Cross site scripting (XSS) Popis nedůsledné ošetření vstupů v některých případech umožňuje útočníkovi modifikovat SQL dotazy spouštěné v databázi, což může vést k neoprávněnému získání/modifikaci dat nebo dokonce ke spuštění vlastního kódu na databázovém serveru WWW server trpící touto slabinou může být zneužit jako prostředník při útoku spočívajícím ve spuštění kódu (obvykle Javascript) v prohlížeči uživateleoběti, který považuje zranitelný server za důvěryhodný URL tampering manipulace se strukturou URL a/nebo parametry předávanými v rámci URL může u zranitelné aplikace vést k provedení neočekávaných akcí Hidden field manipulation HTTP response splitting attack Cross site tracing (XST) útok na často citlivá data předávaná v rámci HTML formulářů v tzv. HIDDEN polích (nejsou viditelná pro běžného uživatele) specifický útok, při kterém je útočník schopen nežádoucím způsobem rozdělit HTTP hlavičku a vytvořit falešnou odpověď pocházející ze zranitelného serveru možnost zneužití metody TRACE k získání citlivých informací z http hlaviček (session cookies, autentizační údaje) 11

12 Jak se bránit? Technická opatření: Antivirová ochrana + antispyware Personální firewall (nejen na noteboocích) Nastavení a aktualizace operačního systému a prohlížeče Organizační opatření: Poučený, uvědomělý, ostražitý, opatrný uživatel Ostatní: Použití silné autentizace (čipové karty, kalkulátory) Kvalitně navržená architektura WWW/SSL aplikací Komplexní bezpečnost stanice uživatele Ochrana proti útokům Pravidelné sledování sítí (vulnerability scanning, sledování logů) Systémy pro řízení přístupu (NAC, firewall,anti-malware) Bezpečnostní politika Vzdělávání a osvěta 12

13 Současný stav Počítačový zločin (cyber crime) přerostl v organizovaný zločin se všemi rysy typickými pro tento druh zločinnosti Není to záležitost nadaných jednotlivců s nízkým prahem morálky Vývoj od zranitelností a internetových červů a virů (2001) přes spam (2003), spyware (2004), inteligentní botnety (2005) až k etapě web based malware attacks (D.Perry, Trend Micro) Současný stav Odhady: 1/10 webových stránek je infikována 7% stanic ( mil.pc) jsou botnety Ceníky : 500 USD za kreditku s PIN 100 USD za kartu sociálního pojištění 7 USD za účet PayPal s heslem 13

14 Současný stav ztratil kredibilitu Prostředí WWW je extrémně nebezpečné, zejména pro nezkušené uživatele Hrozby podle McAffe, Inc. Vzroste počet stránek zaměřených na krádeže hesel, které využívají sign-in populárních on-line služeb jako je e-bay, Bude pokračovat růst spamu, zejména obrázkového, který spotřebovává největší část kapacity připojení Oblíbenost sdílení videa na Webu nevyhnutelně povede k zaměření hackerů na MPEG soubory jako na způsob šíření škodlivého kódu 14

15 Hrozby podle McAffe, Inc. Útoky na mobilní zařízení se stanou stále častější, s tím, jak se tato zařízení stávají stále chytřejší a stále více propojená, Adware se stane hlavním proudem a bude následovat nárůst komerčních PUP programů (potentially unwanted programs) Krádeže identity a ztráty dat budou stále na pořadu dne Parazitní malware (virusy modifikující data) bude slavit comeback Hrozby podle McAffe, Inc. Použití botů (počítačových programů provádějící automatizované úkoly) jako oblíbených nástrojů hackerů bude narůstat Počet rootkitů na 32-bitových platformách vzroste, spolu s obrannými možnostmi Zranitelnosti (vulnerabilities) budou nadále problémem (průzkum z roku 2006) 15

16 Ernst & Young Průzkum stavu informační bezpečnosti prováděný v r. 2006: Global Information Security Survey GISS společností 43 zemí, 23 odvětví, přes 80% CIO, CISO, IT management Ernst & Young Závěr: Technologie přenosných médií (USB), mobilní výpočetní technika (PDA, smart phones), bezdrátové sítě (WiFi) a webové aplikace jsou čtyři hlavní technologie, kterým bude nezbytné věnovat nejvíce pozornosti z hlediska zajištění bezpečnosti. 16

17 % PSIB ČR Od r probíhá rozsáhlý průzkum stavu informační bezpečnosti v ČR zaměřený na střední a velké organizace (100+) Každé dva roky, naposled v roce Paralelně v SR (KPMG) 2005: 11 okruhů, 407 respondentů Výstupem je dokument Průzkum stavu informační bezpečnosti v ČR (PSIB ČR 2009) Ernst & Young, DSM, NBÚ ČR PSIB ČR Nejčastější bezpečnostní incidenty typ incidentu : spam: 83% Výpadek proudu: 82% Porucha HW: 70% Počítačový virus: 61% Chyba uživatele: 55% Chyba SW: 43% Chyba admina: 25% Krádež zařízení: 23% spam výpadek proudu porucha hardware počítačový virus chyba uživatele chyba software selhání LAN selhání WAN chyba admina krádež zařízení nepovolený přístup zevnitř přírodní katastrofa nepovolený přístup zvenčí 17

18 % % PSIB ČR Hrozby z hlediska informační bezpečnosti internet/el.pošta vlastní uživatelé vnější útočníci nedostatky bezpečnostní politiky nedostatek financí nedostatek lidských zdrojů technická infrastruktura nedostatečná podpora ze strany vedení bezdrátové technologie provozované aplikace typ hrozby outsorcing PSIB ČR Technická opatření typ opatření firewall monitoring virů směrnice na používání Internetu monitoring činnosti zaměstnanců na Internetu zabezpečené weby fyz.oddělení Internetu a vnitř.sítě penetrační testování kontrola dodržování směrnic kontrola obsahu pošty zaměstnanců 18

19 % % PSIB ČR Motivy pro prosazování bezpečnosti 100 hrozba útoku 2009: Útok: 54% Propojování: 37% Rychlý vývoj: 41% Výstup auditu: 32% Propojování uvnitř: 27% Legislativa: 23% Obchodní cíle: 10% propojování IS směrem ven rychlý vývoj v oblasti IT propojování IS uvnitř organizace výsledek auditu/doporučení auditorů mobilní zpracování informací legislativa ČR 0 1 druh motivu negativní medializace požadavky zákazníků legislativa EU a EMU 2009: awareness: 39% finance: 24% PSIB ČR podpora: 14% legislativa: 12% Chybějící standard ČR: 3% Nazájem státu: 3% Překážky prosazení informační bezpečnosti Nedostatek informací: 3% překážky nízké bezpečnostní vědomí finanční náročnost nedostatečná podpora ze strany vedení nedostatečná legislativa neexistence českého bezp. Standardu nezájem státních orgánů nedostatek informací technologická náročnost 19

20 % PSIB ČR Formálně definovaná a nejvyšším vedením schválená bezpečnostní politika Ne 52% Ano 48% Ano Ne 2007: 53% 2009: 64% PSIB ČR Vývoj procenta organizací se schválenou bezpečnostní politikou rok 2007: 53% 2009: 64% 20

21 % PSIB ČR Použité standardy pro oblast informační bezpečnosti typ standardu 5 2 ISO/IEC 17799/ BS 7799 jiný standard standardy EU ISO/IEC TR ITIL Cobit 2009: ISO/IEC 17799:27% PSIB ČR Zpracovaný a připravený plán obnovy funkčnosti IS 50% 50% Ano Ne 2007: 61% 2009: 56% 21

22 PSIB ČR Testování plánu obnovy funkčnosti IS alespoň jedenkrát ročně 22% 12% 40% alespoň jedenkrát za dva roky 26% méně často než jednou za dva roky 2009: 1x ročně 36% nikdy 1x (2r.) 32% Méně: 17% Nikdy: 15% PSIB ČR Provedení analýzy rizik 2009: Nikdy: 16% Před více než 2 lety: 21% Během posl.2 let: 22% V posledním roce: 41% 36% 33% nikdy před více než dvěma roky během posledních dvou let 16% 15% v posledním roce 22

23 PSIB ČR % organizací řeší informační bezpečnost ve spolupráci s externí firmou (63% v r.2009) 2% organizací informační bezpečnost neřeší vůbec (dtto 2009) U pouze 19% firem je na informační bezpečnost vyčleněn zvláštní rozpočet (dtto 2009) U 78 % (70% v r.2009 ) firem je útvarem odpovědným za informační bezpečnost útvar IS/IT (8% žádný útvar 6% v r.2009, 4% útvar bezpečnosti 7% v r.2009, 4% ekonomicko/finanční útvar) PSIB ČR % společností využívá pro své činnosti elektronický podpis (74% v r.2009) Podle 55% (69% v r.2009) odpovědí je situace v ČR v oblasti informační bezpečnosti stejná jako v západní Evropě (podle 38% (25%) horší, 3% (1%) výrazně horší a podle 4 % (5%) odpovědí lepší) U analyzovaných společností má přístup k Internetu 50 % zaměstnanců (proti 17% z průzkumu v roce 1999) pozn.: VVŠ 100%!! (2009: u poloviny firem nad 80%, 1/3 méně než 40%) 23

24 PSIB ČR Nejzávažnější dopad měly následující bezpečnostní incidenty: Výpadek proudu (25%) 31% v r.2009 Porucha HW (21%) 17% v r.2009 Počítačový virus (14%) 11% v r.2009 Chyba programu (11%) 10% v r.2009 Selhání WAN (7%) 10% v r.2009 Chyba admina, nepovolený přístup, krádež 4% PSIB ČR Celkové vlastní hodnocení úrovně řešení bezpečnosti v organizaci: 69% dobrá úroveň (67% v r. 2009) 20% nízká úroveň (14% v r. 2009) 10% výborná úroveň (18% v r. 2009) 1% nedostatečná úroveň (dtto 2009) A pak že není málo optimistů! 24

25 Trendy Bezpečnost v rámci virtualizace Bezpečnost v cloudech Identity management SIEM/SEM Network Behavioral Analyses Long Term Preservation (LTP) Bezpečnost v sociálních sítích Data Loss Prevention Anti-Fraud systémy A další Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 25