Date post: | 22-Nov-2014 |
Category: |
Technology |
Upload: | tuesday-business-network |
View: | 945 times |
Download: | 2 times |
Systémové dopady rozvoje IT na bezpečnost
Systémové dopady rozvoje IT na bezpečnost
Jan Müller, CSc.ICZ a.s.
Business&Information Forum 20101.6.2010
Úvaha nad některými aspekty bezpečnosti IT
Všudypřítomnost a provázanost IT technologií a naše rostoucí závislost na IT – vznikají nové hrozby
Tradiční hrozby mohou využívat nové zranitelnosti, které ochotně otevírámezranitelnosti, které ochotně otevíráme
Komplexnost a mnohotvárnost IT bezpečnosti
IT jako kritická infrastruktura
Tradiční aspekty bezpečnosti informací (moderněji spíše služeb)
Důvěrnost IntegritaDostupnost
tradičně důraz na ochranu dat před vyzrazením, tradičně důraz na ochranu dat před vyzrazením, dostupnost spíš ve smyslu zálohování, a to jak v průmyslu a obchodu, tak i ve vojenství apod.Např. vyhláška 523/2005 Sb. o bezpečnosti informačních a komunikačních systémů:
Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity.
Dostupnost služeb je vnímána pouze v kontextu obnovení činnosti po havárii
IT jako kritická infrastruktura
Přesto jsou v obchodním světě v reálném čase po sítích realizovány obrovské objemy obchodů, kdy mnohé (např. na burze) jsou životně závislé na okamžité dostupnostiPodobně ve vojenství se používají RT služby, např. v Afganistánu vyhodnocování UAV v USA:
Global Hawk during OIF: all operations were Global Hawk during OIF: all operations were performed using reach-back to the MCE located in the CONUS
Tzv. útok na Estonsko byl spíš neškodný
ZÁVĚR:
IT služby mají nyní často charakter kritické infrastruktury, nelze podceňovat útoky DoSI zde je nutno řešit základní problém CIP, což je provázanost, způsobující kaskádové efekty v systému
Nová rizika nebo nové zranitelnosti?
Přes některá nová rizika se velmi často jedná o staré hrozby, které pouze využívají nové možnostiSpecificky se to týká mnoha nových forem zločinu:
Willie Sutton, when asked why he robbed banks, answered „because that‘s where the money is“ …
To, že se zločin přesouvá na Internet, se vědělo již To, že se zločin přesouvá na Internet, se vědělo již dlouho a je s tím prostě nutno počítat:
SANS NewsBites December 13, 2002 EXPERTS PREDICT THE FUTURE OF COMPUTER SECURITY
Bruce Schneier:I think the next big Internet security trend is going to be crime. Criminals tend to lag technology by five to ten years, but eventually they figure it out. Just as Willie Sutton robbed banks, modern criminals will attack computer networks.
Nová rizika nebo nové zranitelnosti?
M.C.Libicki: Cyberdeterrence and Cyberwar, RAND:
…organizations are vulnerable to cyberattack only to the extent they want to be …
Nový vývoj umožňuje přístup k různým dříve Nový vývoj umožňuje přístup k různým dříve nepřístupným aktivům proto, že TO SAMI CHCEME. Mezi cíle nyní nepatří jen digitální aktiva, ale i fyzikální systémy – SCADA/DCS v elektrických sítích, zpracování odpadu (Vitek Boden v Austrálii v r. 2000) atp.
Nové zranitelnosti a naše ochota umožnit jejich využití
Zjednodušujeme nabídku služeb uživatelůmŠpatně zabezpečené citlivé služby přes nezabezpečené médium
Zjednodušujeme život uživatelům a administrátorům systémů
Nefunkční mechanismy autentizace/SSO: Microsoft Nefunkční mechanismy autentizace/SSO: Microsoft LM/NTLM, MSCHAPv2, LEAP …
Zjednodušujeme život uživatelům aplikací:automatické spouštění kódu, mobilní kód:Zeus Exploiting PDF Flaw to Infect PCs (April 15, 2010)… Technically, the flaw is not a vulnerability but "a by-design function of Adobe's specification."
Zjednodušujeme život návrhářůmAsynchronní konstrukce v Web 2.0, prototypové jazyky (Javascript) pro rychlé klonování, mashups aj.
Nové zranitelnosti a naše ochota umožnit jejich využití
Gen. V.E.Renuart, USAF commander, NORAD„Information sharing enables everything we do.“
ZÁVĚR:ZÁVĚR:Každá nová služba přináší
Hrozbu DoS díky naší závislosti na této služběVelmi pravděpodobné nové zranitelnosti díky složité vnitřní konstrukci a neprůhledným dopadům vlastností jednotlivých komponent
Každá nová služba musí být vyhodnocena z pohledu těchto rizik
Komplexní povaha IT bezpečnosti
Neexistuje koncensus mezi uživateli, manažery a odborníky co je to IT bezpečnost, jaké jsou hlavní problémy a jaké jsou způsoby řešeníRůzní odborníci se tak soustřeďují (výlučně) na své zájmové oblasti:
IDS/IPS a „perimeter defense“, monitorováníIDS/IPS a „perimeter defense“, monitorováníAV systémyKryptografické systémyAutorizace/autentizaceIncident Response a budování CERT centerManagement SW a uživatelských systémů, zálohováníCertifikace a standardy jako ČSN ISO/IEC 27002 –ISMS, BS 25999 – BCM, IEEE/EIA 12207 – SW life cycle apod.Biometrika, odhalovaní a bičování hackerů, PKI, dvoufaktorová autentizace, forenzní analýza atd. atd.
Komplexní povaha IT bezpečnosti
Rozkouskováním bezpečnosti na samostatné oblasti vzniká antisynergie, kdy odborníci z jedné oblasti:
používají externí výsledky a subsystémy mimo jejich bezpečnostní kontext – typicky v šifrování, jejich bezpečnostní kontext – typicky v šifrování, kdy slabiny nejsou v šifře, ale v jejím použití (IV vektory, WEP, standardní hlavičky, chybné použití 3DES v autentizaci MSCHAPv2, atd.)si nejsou vědomi, jaké dopady budou mít jejich konstrukce na bezpečnost v jiných oblastech –např. mobilní kód, nezabezpečené systémy DNS, předvídatelná sekvenční čísla v hlavičce TCP/IP, hibernování paměti s hesly a vybalenými klíči na disk, autentizace symetrickými klíči atd. atd.
Komplexní povaha IT bezpečnosti
Všechny uvedené aspekty jsou důležité, ale neméně důležité je udržovat je v rovnováze v rámci smysluplného systému – jsou to jen nástroje pro primární cíl bezpečnosti:„ensure business continuity, minimize „ensure business continuity, minimize business risk and maximize ROI“Organizace musí vědět, jaké nástroje se jí proto vyplatí, tj. musí vědět:
Jaká jsou její aktiva – kde má peníze a zdroje a co je poškodíJaké jsou hrozby (někdo ukradne obchodní plán) a zranitelnosti (sekretářka ho nechává na stole)Jaké nástroje a za jakou cenu můžeme použít pro snížení rizik na přijatelnou míru
Komplexní povaha IT bezpečnosti
ZÁVĚR:Pro komplexní pochopení IT bezpečnosti v organizaci je třeba průběžně vyhodnocovat rizika, a zejména u komplexních hrozeb a nových zranitelností sledovat vývoj ve světězranitelností sledovat vývoj ve světěPro komplexní řízení IT bezpečnosti je vhodné mít standardizovaný proces ISMS (Information Security Management System), typicky podle ISO 27002, tak, aby žádné riziko nebylo zapomenuto (může ale být jen sníženo nebo akceptováno)Na konec ale důležité nejsou papíry a certifikace, ale reálné nástroje plnící konkrétní cíle
A na závěr povzbuzení pro manažery odpovědné za IT bezpečnost
You have to run as fast as you can just to stay where you are. If you want to get anywhere, you'll have to run much get anywhere, you'll have to run much faster.
Lewis Carroll, Alice in Wonderland