Systémové dopady rozvoje IT na bezpečnost

Systémové dopady rozvoje IT na bezpečnost

Jan Müller, CSc.ICZ a.s.

Business&Information Forum 20101.6.2010

Úvaha nad některými aspekty bezpečnosti IT

Všudypřítomnost a provázanost IT technologií a naše rostoucí závislost na IT – vznikají nové hrozby

Tradiční hrozby mohou využívat nové zranitelnosti, které ochotně otevírámezranitelnosti, které ochotně otevíráme

Komplexnost a mnohotvárnost IT bezpečnosti

IT jako kritická infrastruktura

Tradiční aspekty bezpečnosti informací (moderněji spíše služeb)

Důvěrnost IntegritaDostupnost

tradičně důraz na ochranu dat před vyzrazením, tradičně důraz na ochranu dat před vyzrazením, dostupnost spíš ve smyslu zálohování, a to jak v průmyslu a obchodu, tak i ve vojenství apod.Např. vyhláška 523/2005 Sb. o bezpečnosti informačních a komunikačních systémů:

Při přenosu utajované informace komunikačním kanálem musí být zajištěna ochrana její důvěrnosti a integrity.

Dostupnost služeb je vnímána pouze v kontextu obnovení činnosti po havárii

IT jako kritická infrastruktura

Přesto jsou v obchodním světě v reálném čase po sítích realizovány obrovské objemy obchodů, kdy mnohé (např. na burze) jsou životně závislé na okamžité dostupnostiPodobně ve vojenství se používají RT služby, např. v Afganistánu vyhodnocování UAV v USA:

Global Hawk during OIF: all operations were Global Hawk during OIF: all operations were performed using reach-back to the MCE located in the CONUS

Tzv. útok na Estonsko byl spíš neškodný

ZÁVĚR:

IT služby mají nyní často charakter kritické infrastruktury, nelze podceňovat útoky DoSI zde je nutno řešit základní problém CIP, což je provázanost, způsobující kaskádové efekty v systému

Nová rizika nebo nové zranitelnosti?

Přes některá nová rizika se velmi často jedná o staré hrozby, které pouze využívají nové možnostiSpecificky se to týká mnoha nových forem zločinu:

Willie Sutton, when asked why he robbed banks, answered „because that‘s where the money is“ …

To, že se zločin přesouvá na Internet, se vědělo již To, že se zločin přesouvá na Internet, se vědělo již dlouho a je s tím prostě nutno počítat:

SANS NewsBites December 13, 2002 EXPERTS PREDICT THE FUTURE OF COMPUTER SECURITY

Bruce Schneier:I think the next big Internet security trend is going to be crime. Criminals tend to lag technology by five to ten years, but eventually they figure it out. Just as Willie Sutton robbed banks, modern criminals will attack computer networks.

Nová rizika nebo nové zranitelnosti?

M.C.Libicki: Cyberdeterrence and Cyberwar, RAND:

…organizations are vulnerable to cyberattack only to the extent they want to be …

Nový vývoj umožňuje přístup k různým dříve Nový vývoj umožňuje přístup k různým dříve nepřístupným aktivům proto, že TO SAMI CHCEME. Mezi cíle nyní nepatří jen digitální aktiva, ale i fyzikální systémy – SCADA/DCS v elektrických sítích, zpracování odpadu (Vitek Boden v Austrálii v r. 2000) atp.

Nové zranitelnosti a naše ochota umožnit jejich využití

Zjednodušujeme nabídku služeb uživatelůmŠpatně zabezpečené citlivé služby přes nezabezpečené médium

Zjednodušujeme život uživatelům a administrátorům systémů

Nefunkční mechanismy autentizace/SSO: Microsoft Nefunkční mechanismy autentizace/SSO: Microsoft LM/NTLM, MSCHAPv2, LEAP …

Zjednodušujeme život uživatelům aplikací:automatické spouštění kódu, mobilní kód:Zeus Exploiting PDF Flaw to Infect PCs (April 15, 2010)… Technically, the flaw is not a vulnerability but "a by-design function of Adobe's specification."

Zjednodušujeme život návrhářůmAsynchronní konstrukce v Web 2.0, prototypové jazyky (Javascript) pro rychlé klonování, mashups aj.

Nové zranitelnosti a naše ochota umožnit jejich využití

Gen. V.E.Renuart, USAF commander, NORAD„Information sharing enables everything we do.“

ZÁVĚR:ZÁVĚR:Každá nová služba přináší

Hrozbu DoS díky naší závislosti na této služběVelmi pravděpodobné nové zranitelnosti díky složité vnitřní konstrukci a neprůhledným dopadům vlastností jednotlivých komponent

Každá nová služba musí být vyhodnocena z pohledu těchto rizik

Komplexní povaha IT bezpečnosti

Neexistuje koncensus mezi uživateli, manažery a odborníky co je to IT bezpečnost, jaké jsou hlavní problémy a jaké jsou způsoby řešeníRůzní odborníci se tak soustřeďují (výlučně) na své zájmové oblasti:

IDS/IPS a „perimeter defense“, monitorováníIDS/IPS a „perimeter defense“, monitorováníAV systémyKryptografické systémyAutorizace/autentizaceIncident Response a budování CERT centerManagement SW a uživatelských systémů, zálohováníCertifikace a standardy jako ČSN ISO/IEC 27002 –ISMS, BS 25999 – BCM, IEEE/EIA 12207 – SW life cycle apod.Biometrika, odhalovaní a bičování hackerů, PKI, dvoufaktorová autentizace, forenzní analýza atd. atd.

Komplexní povaha IT bezpečnosti

Rozkouskováním bezpečnosti na samostatné oblasti vzniká antisynergie, kdy odborníci z jedné oblasti:

používají externí výsledky a subsystémy mimo jejich bezpečnostní kontext – typicky v šifrování, jejich bezpečnostní kontext – typicky v šifrování, kdy slabiny nejsou v šifře, ale v jejím použití (IV vektory, WEP, standardní hlavičky, chybné použití 3DES v autentizaci MSCHAPv2, atd.)si nejsou vědomi, jaké dopady budou mít jejich konstrukce na bezpečnost v jiných oblastech –např. mobilní kód, nezabezpečené systémy DNS, předvídatelná sekvenční čísla v hlavičce TCP/IP, hibernování paměti s hesly a vybalenými klíči na disk, autentizace symetrickými klíči atd. atd.

Komplexní povaha IT bezpečnosti

Všechny uvedené aspekty jsou důležité, ale neméně důležité je udržovat je v rovnováze v rámci smysluplného systému – jsou to jen nástroje pro primární cíl bezpečnosti:„ensure business continuity, minimize „ensure business continuity, minimize business risk and maximize ROI“Organizace musí vědět, jaké nástroje se jí proto vyplatí, tj. musí vědět:

Jaká jsou její aktiva – kde má peníze a zdroje a co je poškodíJaké jsou hrozby (někdo ukradne obchodní plán) a zranitelnosti (sekretářka ho nechává na stole)Jaké nástroje a za jakou cenu můžeme použít pro snížení rizik na přijatelnou míru

Komplexní povaha IT bezpečnosti

ZÁVĚR:Pro komplexní pochopení IT bezpečnosti v organizaci je třeba průběžně vyhodnocovat rizika, a zejména u komplexních hrozeb a nových zranitelností sledovat vývoj ve světězranitelností sledovat vývoj ve světěPro komplexní řízení IT bezpečnosti je vhodné mít standardizovaný proces ISMS (Information Security Management System), typicky podle ISO 27002, tak, aby žádné riziko nebylo zapomenuto (může ale být jen sníženo nebo akceptováno)Na konec ale důležité nejsou papíry a certifikace, ale reálné nástroje plnící konkrétní cíle

A na závěr povzbuzení pro manažery odpovědné za IT bezpečnost

You have to run as fast as you can just to stay where you are. If you want to get anywhere, you'll have to run much get anywhere, you'll have to run much faster.

Lewis Carroll, Alice in Wonderland