Előadás címe

„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra"

YYYY. MM. DD

Előadás címe

„Ágazati felkészítés a hazai ELI projekttel összefüggő képzési és K+F feladatokra"

2015. 01. 15-16.

Adatbiztonság a méréstechnológiában képzők képzése

Szerző: Dr. Németh L. Zoltán

Dr. Németh L. Zoltán

1. Előadás 2. Előadás

Kockázatmenedzsment

Az informatikai biztonság alapvető céljai

1. C = Confidentiality (bizalmasság)

Csak azok érhessék el az információt, akik arra jogosultak. Pl. titkosított adattovábbítás és tárolás.

2. I = Integrity (sértetlenség)

Védelem az adatok jogosulatlan módosítása ellen, pl.

beszúrás, törlés, helyettesítés. Pl. adatbáziskezelés, pénzügyi tranzakciók lebonyolítása.

3. A = Availability (rendelkezésre állás)

Az adat vagy szolgáltatás garantált elérhetőségét biztosítja. Pl. webserver, naplózás.

E három legalapvetőbb cél elérése és fenntartása

jelenti az informatikai biztonságot.

Az informatikai biztonság területeinek csoportosítása

 Fizikai védelem:

 zárak, beléptető rendszerek, tűzjelző

rendszerek, biztonsági kamerák és őrök stb.

 Logikai védelem:

 titkosítási algoritmusok, kommunikációs protokollok, tűzfalak, stb.

 Adminisztratív védelem:

 kockázatmenedzsment, biztonsági

szabályzatok, szabványok és ajánlások,

Néhány példa biztonsági kontrollra

1. Biztonsági szabályzatok

2. Biztonsági mentések

3. Vészhelyreállítási tervek

4. Titkosítás

5. Elektronikus aláírás

6. Tűzfalak

7. Zárak

8. Beléptető rendszerek

9. Vírusírtók

10. Többfaktoros hitelesítés, stb.

A biztonságmenedzsment alapfogalmai

 Informatikai értékek (Information Assets)

 Biztonsági szabályzat (Security Policy)

 Incidens (Incident) – Katasztrófa (Disaster)

 Fenyegetés (Threat)

 Sérülékenység (Vulnerability)

 Kockázat (Risk)

Assets (értékek)

IT biztonság szempontjából az értékek csoportosítása:

 Hardver

 Szoftver

 Adat

Az informatikai biztonság feladata ezek

 C: bizalmasságának (Confidentiality),

 I: sértetlenségének (Integrity) és

 A: rendelkezésre állásának (Avilability) biztosítása.

A személyek és egyéb vagyontárgyak védelmét nem szoktuk idesorolni, bár alapvető, és néha ütközik az IT biztonsággal.

Pl. Fail-safe vs. Fail-open beléptető rendszer.

Biztonsági szabályzat I.

 Azt definiálja, hogy mit jelent, hogy egy rendszer, szervezet vagy bármi más

biztonságos.

 Azaz az elvárt biztonságos működés megfogalmazása.

 Lehet implicit vagy explicit, azaz nincs

feltétlenül írásba foglalva.

Biztonsági szabályzat II.

 Követelményeket fogalmaz meg, mind a rendszerelemekkel mind a védelmi

mechanizmusokkal szemben.

 BETARTATHATÓSÁGRA (Enforcement)

 ELLENTMONDÁSMENTESSÉGRE (Consistency), és

 TELJESSÉGRE (Completness) kell törekedni,

ha - különösen az utóbbi - nehéz is.

Felső szintű szabályzat – alszabályzatok (subpolicies)

 Felső szintű szabályzat: általános.

 Pl: ISO 27002 Security Policy Template „9.1. Critical or sensitive information

processing facilities will be housed in

secure areas.”

Felső szintű szabályzat – alszabályzatok (subpolicies)

 Alszabályzatok (Subpolicies): konkrét rendelkezések.

 Pl: SANS Information Security Policy Templates Automatically Forwarded E-mail Policy:

„Unless approved by an employee's manager InfoSec, email will not be automatically

forwarded to an external destination… ”

 Nem szabad csak az alszabályzatokban

elveszni!

Biztonsági esemény (Incident)

 Biztonsági incidens a biztonsági szabályzat megsértése vagy a védelmi kontrollok

kijátszása (vagy annak kísérlete).

 Lehet egyszeri vagy sorozatos alkalom (akár éveken át).

 Lehet

 automatikus: pl. vírustámadás,

 manuális: pl. alkalmazott általi adatlopás.

Biztonsági esemény (Incident)

 Mindig rosszindulatú, emberre visszavezethető.

Ezzel szemben biztonsági esemény lehet még,

 természeti katasztrófa,

 meghibásodás,

 hanyagság, vagy akár vétlen

károkozás is.

Kockázat (Risk)

 Minden, olyan esemény lehetősége, amely a biztonságot veszélyezteti.

 Általános, pl. hackertámadás, vagy természeti katasztrófa.

 Általában nem zárható ki teljesen.

„Ha biztonságos számítógépet akarsz, akkor húzd

le az internetről, kapcsold ki, öntsd 1 köbméter

betonba, s ásd el 100m mélyre. ”

Kockázat (Risk)

 Összetevői:

fenyegetés (Threat) és sérülékenység (Vulnerability).

 Jellemzői:

valószínűség (Probability) és (ki)hatás (Impact).

 Mindezek széles skálán mozoghatnak.

 A kockázatelemzés általában nem egyszerű

feladat.

A kockázatok egyszerűsített értékelése

magas közepes magas nagyon

magas

közepes alacsony közepes magas

alacsony elenyésző alacsony közepes

v a ló sz ín ű s é g

Sérülékenység (Vulnerability) I.

 Biztonsági rés, a rendszer olyan

gyengesége (sőt legtöbbször hibája) mely incidensre vagy katasztrófára ad lehetőséget.

 Elég, hogy lehetőséget ad, nem kell hozzá, hogy azt ki is használják.

 Ez már konkrét, sokszor orvosolható.

Sérülékenység (Vulnerability) II.

 Pl. egy az alkalmazás egy konkrét szubrutinja puffer túlcsordulásra (Buffer Overflow) ad lehetőséget.

 Ez akkor is sérülékenység, ha senki nem tört még be rajta keresztül, vagy csak az

alkalmazás megbénítására (Denial of Sevice, DoS) lehet használni.

 Persze a súlyossága egészen más …

0-day sérülékenységek I.

 Olvasd: Zéró-day = olyan hiba, melyre a gyártó még nem adott ki javítást.

 Különösen nagy veszélyt jelenthetnek,

elterejdtségüktől és kihasználhatóságuktól függően.

 Hogyan lehet felfedezni őket? Pl.: Fuzzing

 Hogyan védekezhetünk akkor ellenük? Pl.:

rétegzett védelemmel.

0-day sérülékenységek II.

 Az etikus hackerek először a gyártót értesítik, ha ilyenre bukkannak.

 A nem etikus hackerek kihasználják őket, vagy a feketepiacon kereskednek velük.

 A biztonság értékelésekor számolni kell a

létezésükkel.

Fenyegetés (Threat) I.

 Veszély, azaz olyan személy vagy

körülmények együttese, mely biztonsági esemény okozója lehet.

 Katasztrófa (árvíz, tűz, elhagyott

biztonsági mentés) vagy támadó (pl.

hacker kívülről, belső alkalmazott, vagy robot).

 Legalább olyan fontos ismerni, mint a

sérülékenységeket, pl.: milyen erős, mi a

motivációja?

Fenyegetés (Threat) II.

 APT = Advanced Persistent Threat (magas szintű állandó fenyegetés) -> pl.

kormányok titkosszolgálatai

 2010. Stuxnet féreg az iráni atomlétesítmények ellen

 2011. szept. Duqu (a Crysys Lab elemezte)

 2012. május Flame …

Fenyegetések típusai I.

 Külső fenyegetések (External Threats):

A támadónak nincs semmilyen hozzáférése a rendszer belső

erőforrásihoz, csak a kívülről publikusan

elérhető információkat, szolgáltatásokat

látja. Pl. idegen hacker.

Fenyegetések típusai II.

 Belső fenyegetések (Internal Threats):

A támadó hozzáfér bizonyos belső

erőforrásokhoz, pl. tipikusan egy felhasználói fiókhoz, belső hálózathoz vagy csupán a

biztonsági eljárások gyakorlatához. A támadó célja lehet jogosultságának kiterjesztése (Privilage Escalation), azaz, hogy privilegizált accunthoz is hozzáférést szerezzen.

Pl: alkalmazottak, korábbi – rossz esetben

sértődött – alkalmazottak, szerződéses

Kihasználás (Exploitation)

 Az a folyamat, amelyben egy fenyegetés ki is használja a sérülékenységet.

 Ez lehet manuális vagy automatikus (ekkor eszköz hajtja végre).

 Az etikus hackerek is írnak exploitokat, hogy ezzel bizonyítsák, demonstrálják a sérülékenységeket.

 Mert, addig nem hisznek nekik…

(Sajnos, néha még utána se …)

 Ez a Proof of Concept (PoC), azaz a bizonyíték a hibára.

Risk Vunerability Exploit Incident

Malware I.

Malicious Software = Rosszindulatú kód, szoftver

 Vírus (általában fájlhoz kötődő kártevő)

 Féreg (a vírussal szemben önállóan terjed)

 Trójai (más hasznos programnak adja ki magát)

 Rootkit (a rendszerben láthatatlanul

megbúvó, egy támadónak emelt jogokat

biztosító eszközök, melyek pl. hátsóajtót

Malware II.

 Ransomware (váltságdíjat követelő program)

 Aggresszív reklámprogram (Adware)

 Billentyűzetfigyelő (Keylogger)

 Betárcsázó (Dialer)

 Bot (támadó által irányított zombi-gépek

hálózatának (botnet) kliens programja). Célja, pl.:

 további malwerek terjesztése (akár megrendelésre is!)

 kémkedés

 spam (levélszemét) küldése

 DDoS (Distributed Denial of Service) támadás

 számítások (jelszótörés, BitCoin bányászat, stb.)

Védelmi kontrollok (Controls) vagy mechanizmusok (Mechanisms)

 Olyan eszköz, cselekedet, eljárás vagy technika, mely megszünteti vagy

csökkenti a sérülékenységeket.

 Más elnevezések: Defense, Safeguard, Countermeasure Pl.:

 tűzfal (Firewall),

 biztonsági mentés (Security Backup),

 biztonság-tudatossági képzés (Security

Awarness Training),

Védelmi kontrollok (Controls) vagy mechanizmusok (Mechanisms)

 Általában a sérülékenységeket, és az általuk hordozott kockázatot teljesen

megszüntetni nem lehet.

 Ezért a jelszó:

csillapítani (mitigate), csillapítani,

csillapítani …

Kockázatelemzés és belőle fakadó biztonsági döntések

 A kockázatok mindennaposak.

 De, például mindig bezárod-e

 a lakásod/szobád ajtaját?

 a kocsid ajtaját?

A hétköznapi életben sokszor nagy magabiztossággal, szinte

észrevétlenül hozunk

kockázatelemzésen alapuló

Kockázatelemzés és belőle fakadó biztonsági döntések

 Milyen alapon hozzuk döntéseinket?

 Szabály alapú (Rule-based) döntések

 Ha nem tartod be a biztonsági szabályzatot, elbocsáthatnak.

 Relatív döntések

 Mivel a szomszédom/barátom/mindenki más zárva tartja a kertkaput, én is.

 Racionális, tényeken alapuló döntések

 Felmérve a kockázatot, nem zárom be a

kocsim ajtaját, mert úgy is itt vagyunk kint

a barátom udvarán.

Kockázatelemzés

 A IT biztonsági kockázatelemzés, sok

szempontból hasonló a mindennapi és az üzleti kockázatelemzéshez.

 Számos kidolgozott különböző módszertan van rá.

 Lehet

 quantitatív:

számszerűsíthető mindent számokra fordít le, vagy

 qualitatív:

Kockázatelemzés

 Ugyanakkor az informatika területén

messze nincs annyi adat és tapasztalat, mint pl. az életbiztosításokhoz.

 A fenyegetések és sérülékenységek gyorsan változnak.

 Vitatott, hogy mennyi időt, energiát

kell/érdemes kockázatelemzésre fordítani.

A védekezés folyamata

1. Értékek azonosítása, (Identication of Assets)

2. Kockázatelemzés (Risks Analysis)

3. A biztonsági szabályzat meghatározása

4. A védelmi mechanizmusok implementálása

5. A védelem monitorozása

6. Helyreállítás támadások után (Recovery)

S a tapasztalatok fényében kezdhetjük

Összefoglalás

 100%-os biztonság nincs.

 Csillapítani, csillapítani, csillapítani…

 Mindig kockázatarányos védelemre van szükség.

 A kockázatok felmérése után mérlegelni, egyensúlyozni kell:

 a biztonsági szint,

 az erőforrások (nem csak pénz!) és

 a használhatóság

között.

Összefoglalás II.

 Az igazán jó védelem a lehetőségekről kell, hogy szóljon,

 nem csak a lehetséges támadások, kockázatok tekintetében,

 hanem az alkalmazható védelmi mechanizmusokat illetően is.

 Számos megoldás van vagy összerakható,

 Ami nehézzé teszi a védekezést:

 egyenszilárdságra kell törekedni (láncszemek),

Hivatkozások

1. W. A. Conklin, G. White, D. Williams, Ch. Cothren, R. Davis, CompTIA Security+ All-in-One Exam Guide, McGraw-Hill

Osborne, 2011.

2. B. D. Payne, W. K. Edwards, A Brief Introduction to Usable Security http://www.cc.gatech.edu/~

keith/pubs/ieee-intro-usable-security.pdf .

3. Richard E. Smith, Elementary Information Security, Jones &

Bartlett Learning, 2011.

4. Virrasztó Tamás, Titkosítás és adatrejtés: Biztonságos

kommunikáció és algoritmikus adatvédelem, NetAcademia Kft., Budapest, 2004.

5. Information Security and Risk Management in Context , Washington University, https://

www.coursera.org/course/inforiskman.