Webové služby a bezpečnosť. Jan Jusko

Podobné dokumenty
Štruktúra údajov pre kontajner XML údajov 1. Dátové prvky pre kontajner XML údajov

PENETRAČNÉ TESTY. Prevencia pred únikom dát

Návrh, implementácia a prevádzka informačného systému

1. Delenie funkcionálnych vrstiev. 2. Vrstva dopytu

Sprístupnenie služieb Štátnej pokladnice pre interné systémy jej klientov

Autentifikačné zariadenia:

Operačný systém Úvodná prednáška

Spoločnosť Wüstenrot monitoruje všetky bezpečnostné informácie a udalosti v informačnom systéme

Katalóg cloudových služieb

Analýza rizík a kontrolné opatrenia

Postup pri aktivácii elektronickej schránky na doručovanie pre právnické osoby, ktoré nie sú zapísané do obchodného registra

LANGMaster etestme.com Možnosti využitia testovacej platformy a cenník služieb

Technická kompetentnosť v audite

Organizačné štruktúry.

Bezpečnostný projekt egovernmentu

Elektronická identifikačná karta projekt realizovaný z prostriedkov Operačného programu Informatizácia spoločnosti

Zásady manipulácie, zberu, prepravy a nakladania s VŽP. Vedľajší živočíšny produkt kuchynský odpad materiál kategórie 3

Návrh postupu pre stanovenie počtu odborných zástupcov na prevádzkovanie verejných vodovodov a verejných kanalizácií v správe vodárenských spoločnosti

Téma : Špecifiká marketingu finančných služieb

CERTIFIKAČNÉ ELEKTRONICKÉ TESTOVANIA - PERSPEKTÍVA

REGISTER RIZÍK A PRÍLEŽITOSTÍ

Enviroportál a jeho zmeny vyvolané novelou zákona č. 24/2006 Z. z. o posudzovaní vplyvov na životné prostredie

Zverejnené informácie k nevyčerpaným prostriedkom z plateného portálu.

Finančný manažment, finančná matematika a účtovníctvo

Certifikát. Prvé kroky s certifikátom na čipovej karte

DISKUSNÝ PANEL. Jaroslav Kmeť Milan Ištván Richard Hollý Peter Weber st. František Baranec - moderátor

Základy algoritmizácie a programovania

Školská sieť EDU. Rozdelenie škôl. Obsah: Deleba škôl podľa času zaradenia do projektu: Delba škôl podľa rýchlosti pripojenia:

Budovanie CSIRT tímov (aj) v kontexte návrhu Zákona o kybernetickej bezpečnosti. Mgr. Lukáš Hlavička, CISSP, CEH, CHFI

Špecifikácia testu. zo slovenského jazyka a literatúry a z maďarského jazyka a literatúry

Návrh tém bakalárskych prác 2009/2010 (6 tém) Ing. Siničák. (Všeobecné strojárstvo-vs, Mechatronika-M, Počítačová podpora strojárskej výroby-ppsv)

Dátové rozhranie pre výmenu dát v stavebníctve NDS. Verzia 1.1

ESET Anti-Ransomware nastavenie. Viacvrstvové zabezpečenie pred nežiaducim zašifrovaním dát útočníkom

Zásobovanie, výroba a odbyt

Zavedenie SEPA a s tým súvisiace zmeny v IS NORIS

Riadiaci pracovník zmien (krízový manažér)

Moderný úrad s pomocou SaaS. QBSW Public Service Support Tools

Testovanie 5. v školskom roku 2015/2016. Testovanie sa uskutoční 25. novembra 2015 (streda). Žiaci budú testy písať v nasledovnom poradí:

Mobilná aplikácia pre zaznamenávanie údajov systému HACCP

Mgr. Zuzana Hirschnerová, PhD.

BusinessBanking Lite a SEPA Uistite sa, že ste pripravení

Príloha k cenníku služieb INTERNET + TELEVÍZIA č. 1 platná od

Task, async, await METÓ DY VÝPOČTOVEJ INTELIGENCIE A C# FA K ULTA E L E K T ROTECHNIKY A INFORMATIKY S LOVENSKÁ T E CHNICKÁ U NIVERZITA

GDPR Nové Nariadenie EÚ o ochrane údajov

Žiadosť o finančný príspevok FORMULÁR. Program cezhraničnej spolupráce Slovenská republika Česká republika

Oprava PC. Odvírenie a bezpečnosť. Inštalácie. Wan Slovakia, spol. s r.o / K. Marxa 10, Levice 0915 /

Príloha 1. Špecifikácia testov

ANALÝZA PRÍPADNÉHO ROZDIELU A SPÔSOB JEHO ODSTRÁNENIA

Dlhodobý strategický výskum a vývoj v oblasti vnútornej bezpečnosti

Produktová rada MyCall

Príručka pre používateľa bezpečnostného tokenu na účel autentifikácie do multiklientskeho platobného portálu -MKPP

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

1. prednáška MARKETING MANAŽMENT

VÝZVA NA PREDLOŽENIE CENOVEJ PONUKY V ZADÁVANÍ ZÁKAZKY S NÍZKOU HODNOTOU

Základy algoritmizácie a programovania

GSM GPRS technológia. Ing. Marek Kudla

ESET Anti-Ransomware nastavenie. Viacvrstvové zabezpečenie pred nežiaducim zašifrovaním dát útočníkom

Centrálny GIS MV SR. Ing. Kamil FAKO, PhD. OA, SITB MV SR

Kryptografie, elektronický podpis. Ing. Miloslav Hub, Ph.D. 27. listopadu 2007

Príloha k cenníku služieb INTERNET + TELEVÍZIA č. 1 platná od

Nové podmienky pre poskytovateľov regulačných služieb

Elektronická verejná správa v Slovenskej republike 24. október 2012 ITAPA kongres

Slnečné kolektory KM SOLAR PLAST

VZOR PROTOKOLU O KOMPILÁCII


Automatické sledovanie pohybu predmetu každé opustenie a návrat predmetu do depozitára je zaznamenávané v ESEZ 4G v údajoch o pohybe predmetu.

Verifikácia a falzifikácia

Príloha k cenníku služieb INTERNET + TELEVÍZIA č. 1 platná od

Curriculum skupiny predmetov

Program "Inventúra program.xlsm"

Ochrana osobných údajov v samospráve v kontexte nového zákona o ochrane osobných údajov JUDr. Lucia Kopná

OCHRANA INOVÁCIÍ PROSTREDNÍCTVOM OBCHODNÝCH TAJOMSTIEV A PATENTOV: DETERMINANTY PRE FIRMY EURÓPSKEJ ÚNIE ZHRNUTIE

D.Viewer2 Používateľská príručka

DOPRAVNÁ MANIPULAČNÁ TECHNIKA 3

MS OFFICE OUTLOOK 2007



Rozvojový projekt grafické systémy

Predstavenie spoločnosti AutoCont SK a.s.

Návod na použite plaftormy ELMARK E- Business obsahuje popis hlavných možností a funkcií programu. Príručka je štruktúrovaná podľa poradia možností.

F akulta B aníctva, E kológie, R iadenia a G eotechnológií. Mozilla Firefox. Ing. Anna Grejtáková SPP D FBERG 2011

Informatika / bezpečnost

B. Žiadosť o schválenie zariadenia užívateľa

ŠTATÚT RADY KVALITY. Technickej univerzity vo Zvolene

DIZAJN MANUÁL KULT MINOR LOGO MANUÁL. Fond na podporu kultúry národnostných menšín

Aupark Tower, Einsteinova 24, Bratislava, Slovenská republika / Strana 1 z 5

PROGRAM SPOLUPRÁCE STREDNEJ ODBORNEJ ŠKOLY, OSTROVSKÉHO 1 V KOŠICIACH A SPOLOČNOSTI AT&T V PRÍPRAVE ŽIAKOV NA BUDÚCE POVOLANIE. Ing.

Od myšlienky po realizáciu stavby - presné vymedzenie predmetu obstarávania. Juraj Nagy

ONLINE školenie. BRC Globálny štandard pre bezpečnosť potravín Verzia č. 8

Test. Ktorý valec by ste použili? A. Jednočinný valec B. Dvojčinný valec. Odpoveď:

Aktuálny stav DRG a ďalšie kroky

Názov: Osmóza. Vek žiakov: Témy a kľúčové slová: osmóza, koncentrácia, zber dát a grafické znázornenie. Čas na realizáciu: 120 minút.

spájame krásu s jednoduchosťou, posúďte sami...

Ing. Marián Vasilečko, TT-IT s.r.o. Trnava GIS MESTA TRNAVA júna Konferencia CGIT 2013 hotel Partizán, Tále

Koncept BYOD. Jak řešit systémově? Petr Špringl

Návod na programovanie inteligentnej elektroinštalácie Ego-n

METODICKÁ SMERNICA NA AKREDITÁCIU METHODICAL GUIDELINE FOR ACCREDITATION SVEDECKÉ POSUDZOVANIE INŠPEKČNÝCH ORGÁNOV

Efektívna správa majetku na báze SAP Michal Pychtin, ORIWIN, s.r.o.

POSTUP GENEROVANIA ŽIADOSTI O KVALIFIKOVANÝ CERTIFIKÁT POMOCOU PROGRAMU COMFORTCHIP.

ELEKTROTECHNIKA. Spoločenskovedné a prírodovedné predmety:

Transkript:

Webové služby a bezpečnosť Jan Jusko

Obsah Druhy bezpečnosti Základné pojmy Modelovanie hrozieb Metriky závažnosti zraniteľností Protiopatrenia

Webové služby a bezpečnosť nasadenie väčšinou vo veľkom merítku citlivé aplikácie e-commerce, e-health, sociálne siete dynamické prostredie s heterogénnymi platformami propagované výhody SOA sú často rizikom pre bezpečnosť lepšia prístupnosť dát, dynamická konfigurácia, autonómne jednotky

Druhy bezpečnosti Komplexnejšie ako zabezpečenie serverov rôzne pohľady na bezpečnosť bezpečnosť správy bezpečnosť servera bezpečnosť klienta súkromie (?)

Bezpečnosť správ bezpečnosť v oblasti správ pracuje s troma aspektami utajenie integrita dostupnosť

Bezpečnosť správ (II) kryptografia symetrické (DES, AES), asymetrické šifry (RSA) digitálne podpisy certifikáty

Bezpečnosť klienta využitie service discovery musíme zaručit, že klient prijíma autentické a správne udaje jednoznačná identifikácia poskytovateľa phishing

Bezpečnosť servera server (poskytovateľ služby) musí chrániť svoje prostriedky a dáta identifikácia autentifikácia autorizácia identifikácia bezpečnostných rizík modelovanie hrozieb

Bezpečnosť servera jedná sa o ochranu celého aplikačného servera, vrátane HTTP servera, XML parsera atp. tieto sú však implementované tretími stranami úloha je teda ochrániť serverovú aplikáciu bezpečnosť sa zohľadňuje už pri návrhu služby iteračne sa upravuje podľa potreby, vrátane fázy implementácie a prevádzky

Štruktúra servera

Bezpečnosť servera (II) Základné definície hrozba (threat) zraniteľnosť (vulnerability) útok cena útoku incident protiopatrenie

Bezpečnosť servera (III) druhy zraniteľností softwarové zraniteľnosti chyba návrhu chyba implementácie konfiguračné zraniteľnosti spustené zbytočné služby nesprávna konfigurácia

Klasifikácia zraniteľností zranitelnosti je možné rozdeliť do niekoľkých tried Validácia vstupov, autentikácia, autorizácia, konfigurácia, kryptografia, audit/logovanie, kontrola výnimiek... Tieto triedy indikujú hrozby, ktoré z nich pramenia

Modelovanie hrozieb metodológia na identifikovanie, ohodnotenie a zdokumentovanie hrozieb, útokov, zraniteľností a protiopatrení dá sa aplikovať na rôzne časti celého systému Cieľom je minimalizovať bezpečnostné rizika počas návrhu, implementácie a prevádzky služby Iteračný proces je zložité odhaliť všetky bezpečnostné hrozby naraz

Modelovanie hrozieb (II) Postup identifikácia assets definícia cieľov bezpečnosti návrh architektúry aplikácie bezpečnostný profil identifikácia hrozieb a rizík dokumentácia hrozieb a rizík ohodnotenie hrozieb

Identikácia assets dáta, ktorými aplikácia disponuje dáta, ktoré nemá aplikácia priamo, ale riadi k nim prístup nehmotné assets, ako napr. reputácia

Bezpečnostné ciele Závisia na stupni požadovaného utajenia, integrity a dostupnosti Závisia aj na dopade prieniku do systému a zneužitia assets

Architektúra aplikácie Identifikácia a zdokumentovanie funkčností, ktoré bude aplikácia ponúkať Architektúry aplikácie fyzického nasadenia a konfigurácie modulov, ktoré bude využívať

Bezpečnostný profil Popisuje dátove toky, privilegovaný kód, vstupné a výstupné body aplikácie Určuje perimeter aplikácie Popisuje, ktoré bezpečnostné funkcie sa budú implementovať (používať)

Bezpečnostný profil (II)

Hrozby a riziká Identifikácia hrozieb typických pre bezpečnostné funkcie, ktoré sa budú implementovať popisuje bežné postupy napadnutia výstupom tohto kroku sú najpravdepodobnejšie typy útokov, ktoré hrozia systému Rôzne kategórie hrozieb a rizík spoofing, tampering, repudiation, DoS, privilege elevation (STRIDE)

Hrozby a riziká (II) Používajú sa aj stromy útokov koreň všeobecný útok list útok, ktorý sa uz nedá bližšie špecifikovať veľké množstvo ciest Vzory útokov Popisujú útok (potrebné znalosti, postup, predpoklady, cieľ, ) Katalógy rizík

Ohodnotenie hrozieb Určenie vážnosti zranitelnosti Určuje ju niekoľko faktorov Zložitosť vykonania útoku, potrebné nástroje na útok, vážnosť dopadu na systém Neexistencia jednotnej metriky Rôzne assets majú rozdielnu hodnotu pre rôzne organizácie

Metriky hrozieb Existuje niekoľko metrík na ohodnotenie hrozieb Microsoft [ ] Severity Rating System US-CERT vulnerability metrics CVSS SANS

Metriky - US-CERT Kvantitatívna metrika, 0 180, nelineárna Závisí od reportingu užívateľov Kritériá: miera rozšírenia vedomostí o zranitelnosti risk pre internetovú infraštruktúru počet ohrozených systémov dopad exploitu zložitosť útoku nutné podmienky na zneužitie exploitu

Metriky - SANS Critical, high, moderate & low Kritériá miera rozšírenia napadnutého produktu jedná sa o server alebo klienta vyskytuje sa zranitelnosť pri základnej konfigurácii ovplyvnené assets a infraštruktúra verejná dostpnosť exploit kódu zložitosť útoku

Protiopatrenia STRIDE definuje základné protiopatrenia Môžu mať formu procesov, odporúčaní Počas vývoja analyzátory kódu, penetračné testy, scannery zraniteľností Počas nasadenia správna konfigurácia Počas behu IDS, IPS scannovanie zraniteľností

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář