Szanse i zagrożenia da bezpieczeństwa cyberprzestrzeni ze strony nowych technologii, urządzeń i aplikacji analiza ryzyka

Transkrypt

1 Szanse i zagrożenia da bezpieczeństwa cyberprzestrzeni ze strony nowych technologii, urządzeń i aplikacji analiza ryzyka Który skrzywdziłeś człowieka prostego. Nie bądź bezpieczny. Poeta pamięta, Możesz go zabić - narodzi się nowy. Spisane będą czyny i rozmowy (Miłosz) dr inż. Dobrosław MĄKA 1

2 Społeczny aspekt bezpieczeństwa informacji 2

3 Ewolucja warunków bezpieczeństwa (na przykładzie sztuki wojennej) poziom informatyczny (cywilizacja informatyczna) poziom mechaniczny (cywilizacja rozwój środków walki zbrojnej przemysłowa) Harmonia (równowaga) energetyczno-informacyjna Klasyczna teoria wojen Dominacja energii Teoria Clausewitza Względna równowaga energetyczno-informacyjna Neoklasyczne teorie wojen? Dominacja informacji? Informacyjna (psychotroniczna ) teoria wojen? poziom biologiczny (cywilizacja agrarna) Energetyczny (materialny) potencjał walki zbrojnej Informacyjny potencjał walki zbrojnej czas rewolucja przemysłowa rewolucja informacyjna XVIII/XIX w. XX/XXI w. 3

4 TRANSINFORMATOR Informowanie wierne INFORMATOR PSEUDOINFORMATOR prof. P. Sienkiewicz wykłady AON Informowanie pozorne, rozwlekłe ogólnikowe, niejasne DEZINFORMATOR Informowanie fałszywe zmyślanie, zatajanie, przekręcanie PARAINFORMATOR Informowanie typu domniemywanie trafne, nietrafne, bezpodstawne, niedomyślne, opaczne METAINFORMATOR Informowanie o informacjach 4

5 NADAWCA Wzrost wartości i informacji Informacja nadana FILTR FIZYCZNY Informacja przyjęta FILTR SEMANTYCZNY Informacja zrozumiała Szum fizyczny Szum semantyczny FILTR PRAGMATYCZNY Informacja potrzebna Szum pragmatyczny ODBIORCA prof. P. Sienkiewicz wykłady AON 5

6 SMOG INFORMACYJNY Informacja odebrana INFORMACJA INTERESUJĄCA? Informacja przyjęta INFORMACJA ODPOWIADA POGLĄDOM? Informacja zrozumiała SZUM Fizyczny Semantyczny Pragmatyczny ŚMIETNIK INFORMACJA POTRZEBNA? Informacja potrzebna prof. P. Sienkiewicz wykłady AON BIEŻĄCE ZASOBY INFORMACYJNE ODBIORCY WEWNĘTRZNA INFOSFERA 6

7 HIERARCHIA INFORMACYJNYCH ZAGROŻEŃ I ICH SKUTKÓW STRUCTURED THREAT UNSTRUCTURED THREAT CRIMINALS HACKERS NATIONS TERRORISTS TRANSNATIONAL ENTITIES CRACKERS VANDALS m e d i a Zagrożenia dla bezpieczeństwa międzynarodowego (globalnego społeczeństwa informacyjnego) Destabilizacja krytycznej infrastruktury Zakłócenia funkcjonowania administracji publicznej Straty gospodarcze (zahamowanie rozwoju firm i przedsiębiorstw) DISGRUNTLED EMPLOYEES prof. P. Sienkiewicz wykłady AON Straty osobiste obywateli 7

8 Scenariusze rozwoju społeczeństwa informacyjnego Cztery nurty myślenia, wedle kryterium korzyści i strat, obaw i nadziei, szans i zagrożeń: Pierwszy nurt ujawnia przewagę optymizmu, wskazuje na nadzwyczajne szanse rozwoju Drugi nurt pozostający w sprzeczności z pierwszym zawiera przestrogę przed rosnącym utechnicznieniem ludzkiej egzystencji Trzeci nurt opiera się na założeniu, że skutki społeczne są zależne w decydującym stopniu od tego, czy narzędzi używa się w dobrym, czy złym kierunku Czwarty opiera się na stwierdzeniu, że sposób, w jaki czynimy użytek z nowych technik informacyjnych i komunikacyjnych, tylko w części zależy od nas samych, w części zaś jest zdeterminowany przez naturę samej techniki 8

9 Projekt INDECT - celem jest stworzenie narzędzi do automatycznego wykrywania zagrożeń Propozycja projektu INDECT została zgłoszona przez grupę 17 europejskich partnerów pod przewodnictwem Akademii Górniczo-Hutniczej w Krakowie 9

10 10

11 11

12 12

13 System SORM 13

14 System SORM 14

15 System SORM SORM-1 inwigiluje łączność telefonii stacjonarnej i komórkowej SORM-2 inwigiluje ruch w internecie SORM-3 zbiera informacje z wszystkich form komunikacji, zapewniając długoterminowe magazynowanie wszystkich danych i informacji o abonentach, w tym aktualne nagrania i lokalizacje. Już w latach wszyscy operatorzy telefoniczni w Rosji musieli zainstalować u siebie oprogramowanie SORM-1 w celu zbierania i analizy informacji z sieci telefonicznych. A od początku poprzedniej dekady każdy dostawca internetu został zobowiązany do zainstalowania programu SORM-2 15

16 System SORM МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ (МИНКОМСВЯЗЬ РОССИИ) ПРИКАЗ Москва Операторам связи до 1 июля 2014 г. привести в соответствие с требованиями Правил используемое, а также вводимое в эксплуатацию в сетях передачи данных оборудование коммутации и маршрутизации пакетов информации, включая программное обеспечение, обеспечивающее выполнение установленных действий при проведении оперативно-разыскных мероприятий

17 BEZPIECZEŃSTWO Bezpieczeństwo Teleinformatyczne NARODOWE: Zewnętrzne Militarne Wewnętrzne Obywatelskie Spo połeczne Ekonomiczne Ekologiczne Informacyjne (i Telekomunikacyjne) Bezpieczeństwo Informacyjne Informacja Klasyfikacja Informacji Oznakowanie Informacji Wymiana Informacji Ochrona Informacji Bezpieczeństwo TI (STI) 17

18 Ochrona infrastruktury krytycznej W Polsce zagadnienia związane z ochroną infrastruktury krytycznej pojawiły się po raz pierwszy na początku 2001 roku na konferencji Secure 2001 Bezpieczeństwo nowe wyzwania. Dominującym tematem była kwestia kontroli międzynarodowej cyberprzestępczości oraz podkreślono konieczność podjęcia działań na rzecz podniesienia bezpieczeństwa zasobów znajdujących się w Internecie. Dodatkowym tematem dyskusji była koordynacja działań w skali kraju w odpowiedzi na rosnące zagrożenie informatyczne. 18

19 Rozkład procentowy (geograficzny) źródeł ataków na monitorowane sieci przez system ARAKIS-GOV 19

20 Źródła (geograficzne) ataków cyberterrorystycznych Źródło: Trustwave News & Events, The Web Hacking Incident Database 2010, https://www.trustwave.com/news-events.php [dostęp r.] 20

21 Realizacja polityki bezpieczeństwa informacyjnego wg raportu CERT za 2012 r. W 2012 roku CERT Polska odnotował ponad 10,5 mln automatycznych zgłoszeń dotyczących naruszeń bezpieczeństwa, przede wszystkim przypadków źródeł spamu oraz botów Polska wypada dobrze na tle innych krajów pod względem liczby utrzymywanych w naszym kraju stron związanych z phishingiem i złośliwym oprogramowaniem w statystykach znajdujemy się poza pierwszą dziesiątką. Niestety, znacznie gorzej jest w przypadku problemów związanych z komputerami użytkowników indywidualnych, a więc liczby botów, skanowań i wysyłanego spamu. Przyczyniają się do tego przede wszystkim sieci operatorów komórkowych, oferujących mobilny dostęp do Internetu, a także Netia jeden z największych operatorów telekomunikacyjnych 21

22 Najczęściej atakowaną usługą w przypadku skanowań jest niezmiennie SMB w Microsoft Windows (445/TCP). Robaki propagujące się z wykorzystaniem tej usługi, takie jak Sasser czy Conficker wciąż mają się dobrze, choć powstały 5 i więcej lat temu! Nowością wśród często atakowanych usług jest Zdalny Pulpit w systemach MS Windows (3389/TCP). Ataki polegają przede wszystkim na próbie odgadnięcia haseł do tej usługi, co pozwala na przejęcie kontroli nad pulpitem. Za dużą część takich ataków odpowiada robak Morto Znacząco, bo aż o 56 %, powiększyła się liczba serwerów DNS w polskich sieciach, które skonfigurowane są w nieprawidłowy sposób, narażając na niebezpieczeństwo wszystkich użytkowników sieci. Powodem jest głównie brak świadomości istnienia problemu u ich administratorów 22

23 23

24 24

25 25

26 26

27 27

28 28

29 Techniczne aspekty bezpieczeństwa informacji podejście Polski, Unii Europejskiej, USA 29

30 30

31 31

32 niezbędne jest utworzenie w ramach programu rozwoju sił zbrojnych na lata nowego programu operacyjnego wsparcia kryptograficznego obrony cyberprzestrzeni. Pozwoli to na całościowe ujęcie problemu bezpieczeństwa cybernetycznego w MON "Utworzenie Centrum Operacji Cybernetycznych pozwoli m.in. na integrowanie narodowego potencjału w obszarze kryptologii oraz zaawansowanych technologii cybernetycznych w resorcie obrony narodowej oraz kontynuowanie budowy scentralizowanego systemu obrony cybernetycznej i narodowej zdolności kryptograficznej" 32

33 33

34 EC3 oficjalnie rozpoczęła działalność 1 stycznia 2013 r. z mandatem do zwalczania następujących obszarów cyberprzestępczości: Popełnione przez zorganizowane grupy przestępcze, aby wygenerować duże zyski, takie jak oszustwa online To, co powoduje poważne szkody ofierze, takich jak internetowa pornografia dziecięca Zagrożenia dla krytycznej infrastruktury i systemów informacyjnych w Unii Europejskiej EC3 ma stać się centralnym punktem w walce UE przeciwko cyberprzestępczości, poprzez budowanie zdolności operacyjnych i analitycznych dla badań i współpracy z międzynarodowymi partnerami Europejskie Centrum Cyberprzestępczość jest obsługiwane przez Europol; Europejski organ ścigania przestępczości w Hadze, w Holandii, a więc EC3 może korzystać z istniejącej infrastruktury i sieci Europolu 34

35 35

36 The Department of Homeland Security's Critical Infrastructure Cyber Community C³ Voluntary Program helps align critical infrastructure owners and operators with existing resources that will assist their efforts to adopt the Cybersecurity Framework and manage their cyber risks President issued Executive Order 13636, Improving Critical Infrastructure Cybersecurity, in February

37 Ramowy program Cyber Community C³ Voluntary 37

38 Funkcje wykonawcze Cyber Community C³ Voluntary: ID-PR-DE-RS-RC: identyfikacja zabezpieczenie wykrycie reagowanie przywracanie 38

39 Implementacja programu na podstawie wyników zarządzania ryzykiem 39

40 Szacowanie źródeł zagrożeń 40

41 Zagrożenia rezydujące w stosowanych aplikacjach informatycznych 41

42 Diagram przycznowo-skutkowy Ishikawy typu rybi szkielet CZYNNIKI WARUNKUJĄCE Ustawa o dostępie do informacji zgodność ustaw restryktywnych z prawami i przywilejami jednostki branżowe akty prawne świadectwa bezpieczeństwa przemysłowego Bezpieczeństwo przemysłowe i osobowe CZYNNIKI DECYDUJĄCE Ustawa o ochronie osób i mienia przepisy szczegółowe rodzaje informacji stanowiących tajemnice zawodowe akty wykonawcze, rekrutacja procedury sprawdzeniowe, poświadczenia bezpieczeństwa Bezpieczeństwo fizyczne Ustawa o ochronie danych osobowych prawa i dyrektywy Unii Europejskiej służby Europejska Klasyfikacja Działalności kancelarie i pomieszczenia specjalne ochrona fizyczna i obiektowa Ustawa o ochronie informacji niejawnych dyrektywy, wytyczne, zasady Bezpieczeństwo teleinformatyczne inspekcje i kontrole ochrony państwa standardy i normy krajowe i zagraniczne strefowanie bezpieczeństwo środków łączności bezpieczeństwo środków informatyki bezpieczeństwo emisji szczególne wymagania bezpieczeństwa normy krajowe i zagraniczne organizacja i struktura sprzęt i oprogramowanie kryptografia STAN Oparcie legislacyjne pożądany stan formalny Właściwe warunki przetwarzania, gromadzenia i przechowywania informacji Stan bezpieczeństwa posiadanie odpowiednich świadectw i certyfikatów 42

43 Model elementów analizy ryzyka OTOCZENIE T T R S T T RR S V V V AKTYWA V V S V T RR S LEGENDA: R - ryzyko RR - ryzyko pozostale S - ochrona T - zagrozenia V - podatnosc 43

44 ANALIZARYZYKA ZASOBY ZAGROŻENIA PODATNOŚĆ (WRAŻLIWOŚĆ) RYZYKO ZARZĄDZANIE RYZYKIEM ŚRODKI ZARADCZE 44

45 RYZYKO = ( szansa zaistnienia) x (konsekwencje) stratakonsekwencje R 1 Ryzyko źródłowe ryzyko NIE-akceptowane Ryzyko Ryzyko szczątkowe ryzyko akceptowane R 3 R 2 Szansa zaistnienia (prawdopodobieństwo) częstotliwość MDR = S W + b Zysk + g Gwarancje gdzie: S w b g - część środków własnych - część (procent) przeznaczony na zabezpieczenia - część (procent) rocznego zysku operacyjnego brutto - szacunkowy wskaźnik odszkodowań 45

46 46

47 Narastanie sytuacji terrorystycznej 47

48 Risk Management Solutions, Inc. RMS Global Models Earthquakes Tropical Cyclones Fire Storm Surge Floods Winter Storms Windstorms Severe Convective Storms Terrorism Infectious Disease Źródło: Risk Management Solutions, Inc. 48

49 Ludzie, którzy podejmują ryzyko zmieniają świat (Robert Kiyosaki) Analiza (szacowanie) ryzyka w badaniach bezpieczeństwa 49

50 Bóg jest matematykiem Paul Dirac Matematyczna analiza ryzyka Analiza i ocena prawdopodobieństwa Analiza i ocena podatności Analiza i ocena konsekwencji Dum Deus calculat, mundus fit (Gdy Bóg rachuje, staje się świat) Leibnitz 50

51 Schemat operacyjny metody analizy ryzyka 51

52 52

53 Proces decyzyjny opary na analizie ryzyka Modelowanie możliwych ataków (Technical Ease) (niejawne) Technical ease factors are assessed for each attack mode, but the exact numbers are not reported here due to the sensitivity of the information 53

54 Drzewo zdarzeń Diagram wpływów 54

55 Funkcja DAWDR: D - detect A assess W warn D defend R - recover Wybór priorytetów Wzór na ocenę podatności na atak terrorystyczny (vulnerability) 55

56 Obliczanie scenariusza ataku Obliczanie miary wartości ataku 56

57 Interpolacja funkcji prawdopodobieństwa wykrycia ataku 57

58 58

59 Wykres ryzyka Wykres ryzyka dopuszczalnego 59

60 Prawdziwa wiedza to znajomość przyczyn (Franciszek Bacon) Symulacja podatności obiektu na atak terrorystyczny 60

61 skala 0-1 obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt 5 MAX wykrycie 0,8 0,1 0,2 0,3 0,4 0,8 ocena 0,4 0,2 0,3 0,4 0,3 ostrzeżenie 0,7 0,3 0,2 0,2 0,4 uniemożliwienie 0,9 0,4 0,4 0,5 0,3 pokonanie 0,1 0,5 0,1 0,3 0,7 obiekt 5 obiekt 1 1 0,99 0,98 0,97 obiekt 2 Vx Vx Vx 0, ,9988 0, ,9964 0, ,99952 obiekt 4 obiekt 3 Scenariusz Podatność obiektu 1,2 1 0,8 0,6 0,4 obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt 5 0,2 0 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie 61

62 Straty (np. zakładnicy) Cx TEa 0,4 0,5 0,6 0,7 0,8 Scenariusz Ataku (atrakcyjność medialna) SAx 783, , , , ,968 obiekt SAx Scenariusz ataku Scenariusz ataku ( atrakcyjność medialna) obiekt obiekt 2 obiekt 4 obiekt 3 62

63 Prawdopodobieństwo scenariusza ataku wykrycie l1 0, , , , , ocena l2 0, , , , , ostrzeżenie l3 0, , , , , uniknięcie l4 0, , , , , pokonanie l5 0, , , , , ,35 obiekt 1 0,3 0,25 0,2 0,15 obiekt 5 0,1 obiekt 2 Prawdopodobieństwo przebiegu ataku 0,05 0 wykrycie ocena ostrzeżenie uniknięcie pokonanie obiekt 4 obiekt 3 63

64 MIARA RYZYKA RS obiekt 1 obiekt 2 obiekt 3 obiekt 4 obiekt Symulacja wykazuje, że miara ryzyka jest najbardziej zależna od STOPNIA TECHNICZNEJ WYKONALNOŚCI ATAKU obiekt Miara ryzyka obiekt obiekt 2 obiekt 4 obiekt 3 64

65 Symulacja Straty (np. zakładnicy) Cx Stopień wykonalności ataku TEa 0,4 0,5 0,6 0,7 0,8 wynik obiekt obiekt obiekt 2 0 obiekt 4 obiekt 3 65

66 Symulacja Straty (np. zakładnicy) Cx Stopień wykonalności ataku TEa 0,4 0,5 0,6 0,7 0,2 (wzmocnienie zabezpieczeń) obiekt wynik obiekt obiekt 2 0 obiekt 4 obiekt 3 66

67 Naliczenie budżetu na cele inwestycyjne 67

68 z Narodowego Programu Ochrony Infrastruktury Krytycznej: Zarówno ryzyko, jak i jego czynniki mogą być mierzone ilościowo lub jakościowo (np. opisowo). Kiedy jest to możliwe i uzasadnione ze względu na łatwość porównywania, należy stosować miary ilościowe. Prawdopodobieństwo i skutki powinny być obszarem oceny ilościowej i jakościowej, natomiast podatność jakościowej. W każdym przypadku przydatne jest stosowanie skalowania (przypisania określonym wartościom prawdopodobieństwa, podatności i skutków skal np. 1 5) z użyciem zakresów liczbowych lub szczegółowego opisu. Korzystanie z zakresów liczbowych i/lub szczegółowych opisów skal jest konieczne, ponieważ takie pojęcia jak niskie lub wysokie są przedmiotem różnych interpretacji. Określone w opisany powyżej sposób ryzyko powinno zostać poddane procesowi oceny. W procesie tym dokonuje się akceptacji ryzyka. Decyzja o akceptacji ryzyka powinna uwzględniać najgorszy możliwy scenariusz 68

69 Najlepsza metoda analityczna nie zastąpi procesu decyzyjnego, samej decyzji, jednoznacznie wskazującej ryzyko dopuszczalne w danej sytuacji, decyzji podejmowanej odpowiedzialnie przez kierownika jednostki organizacyjnej. Czy istnieje możliwość wspomagania tego procesu decyzyjnego? Same odwzorowania analizy ryzyka nie przynoszą bezpośredniej odpowiedzi na to pytanie. Do tej pory określenie ryzyka dopuszczalnego miało charakter mniej lub bardziej uznaniowy (przyjmowano z reguły 5 poziomów ryzyka katastroficzne, niedopuszczalne, znaczące, umiarkowane, nieznaczne), dzielono obliczoną miarę ryzyka w funkcji nakładów na zabezpieczenia, nie bacząc na to, że funkcja redukcji ryzyka poprzez stosowanie zabezpieczeń nie ma charakteru liniowego 69

70 Przydatnym, aczkolwiek jeszcze niesprawdzonym w praktyce narzędziem, może okazać się zastosowanie tzw. paradoksu Mayfielda, wykazującego, że spadek miary ryzyka w funkcji nakładów na bezpieczeństwo jest nieliniowy, co powoduje, że w określonym (obliczonym) obszarze ryzyko maleje w sposób słabo odczuwalny pomimo dalszych nakładów na bezpieczeństwo f(p) = p y Mayfield's Paradox: study from Carnegie Mellon University, USA wzór na współczynnik kosztów minimalnych y p y-1 = a y (bp) y-1 ISACA/Journal/Past-Issues/2001/Volume Issues/2001/Volume-2/Pages/Mathematical 2/Pages/Mathematical- Proofs-of of- Mayfields-Paradox a Fundamental- Principle-of of- Information-Security. 70

71 Paradoks: utrzymanie pełnego bezpieczeństwa systemu informacyjnego wymaga nieskończonej ilości pieniędzy, zapewnienie bezpiecznego dostępu do tego systemu także wymaga nieskończonej ilości pieniędzy, ale koszty między tymi skrajnościami są stosunkowo niskie Mayfield's Paradox and a study from Carnegie Mellon University 71

72 nakłady na bezpieczeństwo współczynnik wykonalności ataku strata prawdop miara ryzyka R 0, ,2 0,9 1 0,9 0,81 0,3 0,8 1 0,8 0,64 0,4 0,7 1 0,7 0,49 0,5 0,6 1 0,6 0,36 0,6 0,5 1 0,5 0,25 0,7 0,4 1 0,4 0,16 0,8 0,3 1 0,3 0,09 0,9 0,2 1 0,2 0,04 1 0,1 1 0,1 0,01 Zastosowanie paradoksu Mayfielda do wyznaczenia poziomu nakładów na bezpieczeństwo systemu pośrednie oznaczenie poziomu ryzyka dopuszczalnego obszar kalkulacji nakładów, po przekroczeniu których spadek miary ryzyka jest nieznaczny 3 2,5 2 nakłady na bezpieczeństwo współczynnik wykonalności ataku strata prawdop miara ryzyka R Potęg. (miara ryzyka R) 1,5 1 0,5 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 72

73 W określonych warunkach, wynikających z właściwie przeprowadzonego oszacowania miary ryzyka można na podstawie tego odwzorowania określić miarę nakładów na zabezpieczenia odpowiadającą punktowi, od którego dalszy spadek miary ryzyka jest już słabo odczuwalny. Drugie zdanie z cytatu A. Shamira traci więc swoją aktualność. 73

74 Analiza ryzyka cyberterrorystycznego wobec systemów teleinformatycznych (próba modelowania) 74

75 O B I E K T Y D A W D R skala 0-1 serwery rządowe portale społecz. finanse (bank) firmy media MAX wykrycie 0,8 0,3 0,4 0,3 0,4 ocena 0,4 0,4 0,3 0,4 0,5 ostrzeżenie 0,7 0,3 0,4 0,5 0,4 uniemożliwienie 0,9 0,4 0,5 0,4 0,2 pokonanie 0,7 0,2 0,6 0,3 0,2 Vx 0, , ,9856 0,9928 0,9968 0,99712 Podatność obiektów Vx 1,05 1 0,95 0,9 Vx 0,85 0,8 0,75 serwery rządowe portale społecz. finanse (bank) firmy media 75

76 S T R A T Y O B I E K T Y straty fin , ,5 utrata inf wirusy spam , ,5 Stopień wykonalności ataku TEa 0,2 0,5 0,6 0,7 0,8 Scenariusz Ataku informacje SAx 117, , , , ,60544 serwery rządowe 400 SAx media portale społecz. Scenariusz ataku (straty w zasobach informacyjnych) 0 firmy finanse (bank) 76

77 D A W D R O B I E K T Y Prawdopodobieństwo scenariusza ataku wykrycie l1 0, , , , , ocena l2 0, , , , , ostrzeżenie l3 0, , , , , uniemożliwienie l4 0, , , , , pokonanie l5 0, , , , , serwery rządowe 0,16 0,14 0,12 0,1 0,08 media 0,06 0,04 portale społecz. 0,02 Rozkład scenariuszy ataku 0 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie firmy finanse (bank) 77

78 O B I E K T Y MIARA RYZYKA RS serwery rządowe portale społecz. finanse (bank) firmy media serwery rządowe Miara ryzyka naruszenia bezpieczeństwa zasobów informacyjnych media portale społecz. firmy finanse (bank) 78

79 Wynik analizy ryzyka wg funkcji DAWDR 79

80 Ocena zagrożeń wg NIST 80

81 Statystyka kradzieży danych 81

82 Nowe wyzwania bezpieczeństwa teleinformacyjnego Cloud computing przetwarzanie w chmurze BYOD bring your own device MDM mobile device management BSIMM building security in maturity model W3AF - Web Application Attack and Audit Framework REMnux's reverse-engineering malware tools 82

83 Przetwarzanie w chmurze Architecture, IT Security, & Operational Perspectives Cloud Computing NIST Definition: Model (sposób) umożliwienia sieciowego wykorzystania podzielnego obszaru skalowalnych platform, źródeł, oprogramowania, baz danych i środowisk przetwarzania informacji - poprzez zautomatyzowane systemy dostępowe zarządzane przez dostawcę usług 83

84 Modele usług (dostępu): IaaS: Infrastructure as a Service Użytkownik uzupełnia swoje źródła przetwarzania informacji infrastrukturą dostawcy usług, z wykorzystaniem której może użytkować dowolne oprogramowanie włącznie z systemami operacyjnymi i aplikacjami PaaS: Platform as Service Użytkownik może tworzyć własne aplikacje z wykorzystaniem narzędzi programowania dostawcy usług i korzystać z nich w obszarze infrastruktury przetwarzania w chmurze SaaS: Software as Service Użytkownik wykorzystuje aplikacje dostawcy usług i przetwarza informacje z wykorzystaniem infrastruktury chmury Virtual Machines Virtual Networks IaaS Auto Elastic Continuous Integration PaaS Built for Cloud Uses PaaS SaaS 84

85 Technologie i rozwiązania zania do utrzymania i zarządzania Główne atrybuty przetwarzania w chmurze: 1. Podzielność zasobów/wspólność 2. Duża obszar dostępności 3. Obsługa sieciowa na życzenie 4. Skalowalność i elastyczność 5. Rozliczalność wg czasu dostępu 85

86 Bezpieczeństwo przetwarzania w chmurze? Konieczność współpracy z komercyjnymi dostawcami Potrzeba przeglądu dostępnych i stosowanych mechanizmów bezpieczeństwa 86

87 Statystyka zastrzeżeń wobec przetwarzania w chmurze w odniesieniu do zróżnicowanych zagrożeń 87

88 Problemy bezpieczeństwa przetwarzania w chmurze Stosowane procedury IT Security nie mają wpływu na jakość bezpieczeństwa IT Security może jedynie określić stan bezpieczeństwa po zaistnieniu incydentu użytkownik może nie stwierdzić wystąpienia incydentu nie ma pewności dot. jakości nadzoru bezpieczeństwa przetwarzania w chmurze ze strony dostawcy usług bezpieczeństwo przetwarzanie w chmurze nasuwa wątpliwości w przypadku dostawcy będącego operatorem prywatnym 88

89 BYOD BYOD (przynieść własne urządzenie) - rosnąca tendencja korzystania z urządzeń będących własnością pracowników w przedsiębiorstwie. Smartfony są najczęstszym tego przykładem, ale pracownicy również użytkują własne tablety, laptopy i dyski USB w miejscu pracy. BYOT (przynieść własne technologie) odnosi się do korzystania z urządzeń konsumenckich i aplikacji w miejscu pracy. BYOC (przynieść własny komputer) BYOL (przynieść własnego laptopa) BYOA (przynieść własną aplikację) przynieść własny komputer (BYOPC). Bring Any Device the acronym there is BAD CYOD Choose Your Own Device 89

90 Android security Rosnące zagrożenie bezpieczeństwa informacji wobec systemu Android wymaga, aby zespoły bezpieczeństwa informacji wdrażały politykę bezpieczeństwa Android. Nowy raport firmy McAfee Inc. dot. złośliwego oprogramowania Android przedstawia wzrost nadużyć w systemach mobilnych, związanych głównie z technologią Google Android. 90

91 Testy aplikacji (Application security testing (AST) - DAST - dynamiczne testy bezpieczeństwa aplikacji - najbardziej dojrzałe i powszechnie przyjęte, doskonale nadają się do wykorzystania przez specjalistów od bezpieczeństwa nie posiadających dostępu do kodu źródłowego. - SAST - statyczne testowanie bezpieczeństwa aplikacji, CEST testuje aplikacje z pozycji wyjściowej poprzez analizę kodu źródłowego danej aplikacji, kodu bajtowego, lub, w niektórych przypadkach, kodu binarnego. - IAST - trzecia możliwość interaktywnego testowania bezpieczeństwa aplikacji, która zapewnia interakcję zarówno statyczną (inside-out) i dynamiczną (ouside-in) i możliwości testowania z celem zapewnienia większej dokładności 91

92 Koncepcja magicznego kwadratu 92

93 Protecting Your APIs Against Attack & Hijack Application Programming Interface System przesuwa granicę funkcji ziarnistości do klienta, co daje znacznie większy obszar penetracji da potencjalnego przestępcy 93

94 Aspekt społeczny zagrożeń ze strony aplikacji i bezpieczeństwa urządzeń mobilnych 94

95 Analizy bezpieczeństwa systemów informatycznych o1. - Application security o2. - Authentication o3. - Cloud security o4. - Data loss prevention o5. - security o6. - Encryption o7. - Endpoint security o8. - Enterprise firewalls o9. - Identity and access management o10. - Intrusion detection and prevention o11. - Mobile data security o12. - Network access control o13. - Policy and risk management o14. - Remote access o15. - SIEM (security information and event management) o16. - Unified threat management o17. - Vulnerability management o18. - Web application firewalls 95

96 Konkursy bezpieczeństwa (złamania zabezpieczeń) Pwn2Own is a computer hacking contest held annually at the CanSecWest security conference, beginning in Contestants are challenged to exploit widely used software and mobile devices with previously unknown vulnerabilities. Winners of the contest receive the device that they exploited, a cash prize, and a "Masters" jacket celebrating the year of their win. The name "Pwn2Own" is derived from the fact that contestants must "pwn" or hack the device in order to "own" or win it. The Pwn2Own contest serves to demonstrate the vulnerability of devices and software in widespread use while also providing a checkpoint on the progress made in security since the previous year 96

97 Konkursy bezpieczeństwa (złamania zabezpieczeń) Konkurs piractwa komputerowego Pwn2Own odbywa się corocznie podczas konferencji bezpieczeństwa CanSecWest, począwszy od 2007 roku. Uczestnicy mają za zadanie wykorzystanie powszechnie używanego oprogramowania i urządzeń mobilnych z nieznanymi wcześniej lukami. Laureaci konkursu otrzymują urządzenia, które są wykorzystywane i nagrodę pieniężną. Konkurs Pwn2Own służy do wykazania wrażliwości urządzeń i oprogramowania w powszechnym użyciu, a jednocześnie zapewnia punkt kontrolny postępów w dziedzinie bezpieczeństwa w stosunku do poprzedniego roku 97

98 Perspektywy nowego podejścia do bezpieczeństwa informacyjnego potrzeba indywidualnego wdrażania innych zabezpieczeń niż loginy i hasła; tendencje do weryfikacji zasadności wydanych certyfikatów bezpieczeństwa; dominująca rola aplikacji w bezpieczeństwie teleinformatycznym; rywalizacja firm komputerowych z państwowymi organami bezpieczeństwa (monitoring inwigilacja); wypracowanie metod zabezpieczeń środków mobilnych; wyzwanie wobec internetowej interoperacyjności urządzeń w aplikacjach biznesowych (Internet of Things) wdrażanie zasad obrony głębokiej (Defense in Depth) przeciwko atakom DDos 98

99 ataki dźwiękowe na systemy przetwarzające loginy i hasła, ataki dźwiękowe na systemy przetwarzające loginy i hasła, nie pomaga technologia TEMPEST 99

100 Kill Switch Prawie jedna trzecia kradzieży w USA obejmuje zabór telefonu, według Federalnej Komisji Łączności (FCC). W maju br. Minnesota jako pierwszy stan USA wprowadził przepisy, które wymagają jakiejś formy Kill Switch na wszystkich smartfonach sprzedawanych w stanie od lipca 2015 roku. Skala problemu: wg ekspertów USA przeciętna organizacja traci rocznie 3 razy więcej smartfonów niż laptopów, koszt utraty danych 64 GB/szt. to 400 tys. $ 100

101 Internet of Things i kod Halo 101

102 Do tej pory uważaliśmy, że INFORMACJA JEST TOWAREM, w cywilizacji informacyjnej zaczęto stosować termin KONSUMENT-TOWAREM, obecnie grozi nam kolejna definicja CZŁOWIEK CZUJNIKIEM Kod HALO grupuje osoby fizyczne (dane osobowe), urządzenia (m.in.. BYOD), sieci (Internet), organizacje i biznes tworząc metadane. Inicjatywa ta wpisana jest w nowoczesne działania logistyczne: DRP, ERP, CRM Konkurują : Google, Amazon, Facebook, and Twitter. 102

103 IoT - Internet przedmiotów Odpowiedzią cyberprzestępców na IoT = Botnety - Thingboty Podejście do problematyki bezpieczeństwa pozakomputerowych obiektów podłączonych do sieci publicznej (sprzęt gospodarstwa domowego, inteligentne budynki, urządzenia sterujące windami, ogrzewaniem i klimatyzacją, systemy nawigacji, automatyka powszechnego użytku) (grupa naukowców testując sieciowe aplikacje nawigacyjne zdołała zdalnie doprowadzić wybrany jacht do zmiany kursu, odnotowano także spam rozsyłany przez lodówkę i telewizor) 103

104 Defense in Depth? 104