Technologie i rozwiązania do utrzymania i zarządzania
Transkrypt
Technologie i rozwiązania do utrzymania i zarządzania
Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Szanse i zagrożenia da bezpieczeństwa cyberprzestrzeni ze strony nowych technologii, urządzeń i aplikacji – analiza ryzyka „Który skrzywdziłeś człowieka prostego. Nie bądź bezpieczny. Poeta pamięta , Możesz go zabić - narodzi się nowy. Spisane będą czyny i rozmowy” (Miłosz) dr inż. Dobrosław MĄKA [email protected] 1 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Społeczny aspekt bezpieczeństwa informacji 2 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Względna równowaga energetyczno-informacyjna „Neoklasyczne” teorie wojen Dominacja energii Teoria Clausewitza ? Harmonia (równowaga) energetyczno-informacyjna Klasyczna teoria wojen (cywilizacja przemysłowa) (cywilizacja agrarna) poziom informatyczny poziom mechaniczny poziom biologiczny Ewolucja warunków bezpieczeństwa (na przykładzie sztuki wojennej) (cywilizacja informatyczna) rozwój środków walki zbrojnej Dominacja informacji? Informacyjna ( psychotroniczna ) teoria wojen? Informacyjny potencjał walki zbrojnej Energetyczny (materialny) potencjał walki zbrojnej czas rewolucja przemysłowa rewolucja informacyjna XVIII/XIX w. XX/XXI w. 3 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie TRANSINFORMATOR Informowanie wierne INFORMATOR PSEUDOINFORMATOR Informowanie pozorne, rozwlekłe ogólnikowe, niejasne DEZINFORMATOR Informowanie fałszywe – zmyślanie, zatajanie, przekręcanie PARAINFORMATOR Informowanie typu domniemywanie – trafne, nietrafne, bezpodstawne, niedomyślne, opaczne METAINFORMATOR prof. P. Sienkiewicz – wykłady AON Informowanie o informacjach 4 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Wzrost wartości i informacji NADAWCA Informacja nadana FILTR FIZYCZNY Informacja przyjęta Szum fizyczny FILTR SEMANTYCZNY Informacja zrozumiała Szum semantyczny FILTR PRAGMATYCZNY Informacja potrzebna Szum pragmatyczny ODBIORCA prof. P. Sienkiewicz – wykłady AON 5 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie SMOG INFORMACYJNY Informacja odebrana INFORMACJA INTERESUJĄCA? Informacja przyjęta INFORMACJA ODPOWIADA „POGLĄDOM”? Informacja zrozumiała SZUM Fizyczny Semantyczny Pragmatyczny „ŚMIETNIK” INFORMACJA POTRZEBNA? Informacja potrzebna BIEŻĄCE ZASOBY INFORMACYJNE ODBIORCY prof. P. Sienkiewicz – wykłady AON WEWNĘTRZNA INFOSFERA 6 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie HIERARCHIA INFORMACYJNYCH ZAGROŻEŃ I ICH SKUTKÓW STRUCTURED THREAT NATIONS TERRORISTS TRANSNATIONAL ENTITIES CRIMINALS CRACKERS HACKERS UNSTRUCTURED THREAT m e d i a Zagrożenia dla bezpieczeństwa międzynarodowego (globalnego społeczeństwa informacyjnego) Destabilizacja krytycznej infrastruktury Zakłócenia funkcjonowania administracji publicznej Straty gospodarcze (zahamowanie rozwoju firm i przedsiębiorstw) VANDALS DISGRUNTLED EMPLOYEES prof. P. Sienkiewicz – wykłady AON Straty osobiste obywateli 7 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Scenariusze rozwoju społeczeństwa informacyjnego Cztery nurty myślenia, wedle kryterium korzyści i strat, obaw i nadziei, szans i zagrożeń: • Pierwszy nurt ujawnia przewagę optymizmu, wskazuje na nadzwyczajne szanse rozwoju • Drugi nurt – pozostający w sprzeczności z pierwszym – zawiera przestrogę przed rosnącym utechnicznieniem ludzkiej egzystencji • Trzeci nurt opiera się na założeniu, że skutki społeczne są zależne w decydującym stopniu od tego, czy narzędzi używa się w dobrym, czy złym kierunku • Czwarty opiera się na stwierdzeniu, że sposób, w jaki czynimy użytek z nowych technik informacyjnych i komunikacyjnych, tylko w części zależy od nas samych, w części zaś jest zdeterminowany przez naturę samej techniki 8 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Projekt INDECT - celem jest stworzenie narzędzi do automatycznego wykrywania zagrożeń Propozycja projektu INDECT została zgłoszona przez grupę 17 europejskich partnerów pod przewodnictwem Akademii Górniczo-Hutniczej w Krakowie 9 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 10 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 11 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 12 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie System SORM 13 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie System SORM 14 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie System SORM SORM-1 inwigiluje łączność telefonii stacjonarnej i komórkowej SORM-2 inwigiluje ruch w internecie SORM-3 zbiera informacje z wszystkich form komunikacji, zapewniając długoterminowe magazynowanie wszystkich danych i informacji o abonentach, w tym aktualne nagrania i lokalizacje. Już w latach 1990. wszyscy operatorzy telefoniczni w Rosji musieli zainstalować u siebie oprogramowanie SORM-1 w celu zbierania i analizy informacji z sieci telefonicznych. A od początku poprzedniej dekady każdy dostawca internetu został zobowiązany do zainstalowania programu SORM-2 15 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie System SORM МИНИСТЕРСТВО СВЯЗИ И МАССОВЫХ КОММУНИКАЦИЙ РОССИЙСКОЙ ФЕДЕРАЦИИ (МИНКОМСВЯЗЬ РОССИИ) ПРИКАЗ № Москва ......... 2. Операторам связи до 1 июля 2014 г. привести в соответствие с требованиями Правил используемое, а также вводимое в эксплуатацию в сетях передачи данных оборудование коммутации и маршрутизации пакетов информации, включая программное обеспечение, обеспечивающее выполнение установленных действий при проведении оперативно-разыскных мероприятий. .......... 16 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie BEZPIECZEŃS BEZPIECZEŃ STWO ST Bezpieczeństwo Teleinformatyczne NARODOW NARODO WE: Ze Zew wnętrzne Militarne Wewnętrzne Obywatel Obywatels Obywatelskie Spo połłeczne Ekonomiczne Ekologiczne Informacyjne (i Telekomunikacyjne) Bezpieczeństwo Informacyjne Informacja Klasyfikacja Informacji Oznakowanie Informacji Wymiana Informacji Ochrona Informacji Bezpieczeń Bezpieczeńs stwo TI (S (STI) 17 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Ochrona infrastruktury krytycznej W Polsce zagadnienia związane z ochroną infrastruktury krytycznej pojawiły się po raz pierwszy na początku 2001 roku na konferencji Secure 2001 „Bezpieczeństwo – nowe wyzwania”. Dominującym tematem była kwestia kontroli międzynarodowej cyberprzestępczości oraz podkreślono konieczność podjęcia działań na rzecz podniesienia bezpieczeństwa zasobów znajdujących się w Internecie. Dodatkowym tematem dyskusji była koordynacja działań w skali kraju w odpowiedzi na rosnące zagrożenie informatyczne. 18 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Rozkład procentowy (geograficzny) źródeł ataków na monitorowane sieci przez system ARAKIS-GOV 19 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Źródła (geograficzne) ataków cyberterrorystycznych Źródło: Trustwave – News & Events, The Web Hacking Incident Database 2010, https://www.trustwave.com/news-events.php [dostęp 27.02.2012r.] 20 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Realizacja polityki bezpieczeństwa informacyjnego wg raportu CERT za 2012 r. W 2012 roku CERT Polska odnotował ponad 10,5 mln automatycznych zgłoszeń dotyczących naruszeń bezpieczeństwa, przede wszystkim przypadków źródeł spamu oraz botów Polska wypada dobrze na tle innych krajów pod względem liczby utrzymywanych w naszym kraju stron związanych z phishingiem i złośliwym oprogramowaniem – w statystykach znajdujemy się poza pierwszą dziesiątką. Niestety, znacznie gorzej jest w przypadku problemów związanych z komputerami użytkowników indywidualnych, a więc liczby botów, skanowań i wysyłanego spamu. Przyczyniają się do tego przede wszystkim sieci operatorów komórkowych, oferujących mobilny dostęp do Internetu, a także Netia – jeden z największych operatorów telekomunikacyjnych 21 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Najczęściej atakowaną usługą w przypadku skanowań jest niezmiennie SMB w Microsoft Windows (445/TCP). Robaki propagujące się z wykorzystaniem tej usługi, takie jak Sasser czy Conficker wciąż „mają się dobrze”, choć powstały 5 i więcej lat temu! Nowością wśród często atakowanych usług jest Zdalny Pulpit w systemach MS Windows (3389/TCP). Ataki polegają przede wszystkim na próbie odgadnięcia haseł do tej usługi, co pozwala na przejęcie kontroli nad pulpitem. Za dużą część takich ataków odpowiada robak Morto Znacząco, bo aż o 56 %, powiększyła się liczba serwerów DNS w polskich sieciach, które skonfigurowane są w nieprawidłowy sposób, narażając na niebezpieczeństwo wszystkich użytkowników sieci. Powodem jest głównie brak świadomości istnienia problemu u ich administratorów 22 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 23 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 24 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 25 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 26 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 27 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 28 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Techniczne aspekty bezpieczeństwa informacji podejście Polski, Unii Europejskiej, USA 29 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 30 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 31 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie „niezbędne jest utworzenie w ramach programu rozwoju sił zbrojnych na lata 2013-2022 nowego programu operacyjnego wsparcia kryptograficznego obrony cyberprzestrzeni. Pozwoli to na całościowe ujęcie problemu bezpieczeństwa cybernetycznego w MON” "Utworzenie Centrum Operacji Cybernetycznych pozwoli m.in. na integrowanie narodowego potencjału w obszarze kryptologii oraz zaawansowanych technologii cybernetycznych w resorcie obrony narodowej oraz kontynuowanie budowy scentralizowanego systemu obrony cybernetycznej i narodowej zdolności kryptograficznej" 32 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 33 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie EC3 oficjalnie rozpoczęła działalność 1 stycznia 2013 r. z mandatem do zwalczania następujących obszarów cyberprzestępczości: Popełnione przez zorganizowane grupy przestępcze, aby wygenerować duże zyski, takie jak oszustwa online To, co powoduje poważne szkody ofierze, takich jak internetowa pornografia dziecięca Zagrożenia dla krytycznej infrastruktury i systemów informacyjnych w Unii Europejskiej EC3 ma stać się centralnym punktem w walce UE przeciwko cyberprzestępczości, poprzez budowanie zdolności operacyjnych i analitycznych dla badań i współpracy z międzynarodowymi partnerami Europejskie Centrum Cyberprzestępczość jest obsługiwane przez Europol; Europejski organ ścigania przestępczości w Hadze, w Holandii, a więc EC3 może korzystać z istniejącej infrastruktury i sieci Europolu 34 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 35 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie The Department of Homeland Security's Critical Infrastructure Cyber Community C³ Voluntary Program helps align critical infrastructure owners and operators with existing resources that will assist their efforts to adopt the Cybersecurity Framework and manage their cyber risks President issued Executive Order 13636, Improving Critical Infrastructure Cybersecurity, in February 2013. 36 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Ramowy program Cyber Community C³ Voluntary 37 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Funkcje wykonawcze Cyber Community C³ Voluntary: ID-PR-DE-RS-RC: •identyfikacja •zabezpieczenie •wykrycie •reagowanie •przywracanie 38 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Implementacja programu na podstawie wyników zarządzania ryzykiem 39 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Szacowanie źródeł zagrożeń 40 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Zagrożenia rezydujące w stosowanych aplikacjach informatycznych 41 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Diagram przycznowo-skutkowy Ishikawy typu “rybi szkielet” Ustawa o ochronie informacji niejawnych Ustawa o ochronie danych osobowych Ustawa o dostępie do informacji Ustawa o ochronie osób i mienia zgodność ustaw restryktywnych z prawami i przywilejami jednostki branżowe akty prawne szczególne wymagania bezpieczeństwa prawa i dyrektywy Unii Europejskiej przepisy szczegółowe rodzaje informacji akty stanowiących wykonawcze, tajemnice rekrutacja zawodowe Bezpieczeństwo przemysłowe i osobowe procedury sprawdzeniowe, poświadczenia bezpieczeństwa kancelarie i pomieszczenia specjalne ochrona fizyczna i obiektowa Bezpieczeństwo fizyczne organizacja i struktura Oparcie legislacyjne pożądany stan formalny inspekcje i kontrole Europejska Klasyfikacja Działalności służby świadectwa bezpieczeństwa przemysłowego dyrektywy, wytyczne, zasady normy krajowe i zagraniczne ochrony państwa standardy i normy krajowe i zagraniczne bezpieczeństwo środków łączności bezpieczeństwo środków informatyki strefowanie bezpieczeństwo emisji Właściwe warunki przetwarzania, gromadzenia i przechowywania informacji sprzęt i oprogramowanie kryptografia Stan bezpieczeństwa posiadanie odpowiednich świadectw i certyfikatów Bezpieczeństwo teleinformatyczne CZYNNIKI WARUNKUJĄCE CZYNNIKI DECYDUJĄCE STAN 42 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Model elementów analizy ryzyka OTOCZENIE T T R T S V S S RR V V V AKTYWA T V V S RR T LEGENDA: R - ryzyko RR - ryzyko pozostale S - ochrona T - zagrozenia V - podatnosc 43 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie AN AL IZ AR Y Z YKA Z A SOB Y Z A GROŻ E NIA PODA T N OŚĆ (W RAŻ L IW OŚĆ ) R YZ YKO Z A RZ ĄD Z ANIE R YZ YKIE M ŚRODKI Z A RADC Z E 44 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie RYZYKO = ( szansa zaistnienia) x (konsekwencje) stratakonsekwencje Ryzyko Ryzyko źródłowe ryzyko NIE-akceptowane R1 Ryzyko szczątkowe ryzyko akceptowane R3 R2 Szansa zaistnienia (prawdopodobieństwo) częstotliwość MDR = SW + b Zysk + g Gwarancje gdzie: Sw - część środków własnych - część (procent) przeznaczony na zabezpieczenia b - część (procent) rocznego zysku operacyjnego brutto g - szacunkowy wskaźnik odszkodowań 45 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 46 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Narastanie sytuacji terrorystycznej 47 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Risk Management Solutions, Inc. RMS Global Models •Earthquakes •Tropical Cyclones •Fire •Storm Surge •Floods •Winter Storms •Windstorms •Severe Convective Storms •Terrorism •Infectious Disease Źródło: Risk Management Solutions, Inc. 48 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie „Ludzie, którzy podejmują ryzyko zmieniają świat” (Robert Kiyosaki) Analiza (szacowanie) ryzyka w badaniach bezpieczeństwa 49 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Bóg jest matematykiem Paul Dirac Matematyczna analiza ryzyka • • • Analiza i ocena prawdopodobieństwa Analiza i ocena podatności Analiza i ocena konsekwencji Dum Deus calculat, mundus fit (Gdy Bóg rachuje, staje się świat) Leibnitz 50 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Schemat operacyjny metody analizy ryzyka 51 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 52 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Proces decyzyjny opary na analizie ryzyka Modelowanie możliwych ataków (Technical Ease) (Technical (niejawne) Technical ease factors are assessed for each attack mode, but the exact numbers are not reported here due to the sensitivity of the information 53 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Drzewo zdarzeń Diagram wpływów 54 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Funkcja DAWDR: D - detect A – assess W – warn D – defend R - recover Wybór priorytetów Wzór na ocenę podatności na atak terrorystyczny (vulnerability) 55 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Obliczanie scenariusza ataku Obliczanie miary wartości ataku 56 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Interpolacja funkcji prawdopodobieństwa wykrycia ataku 57 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie 58 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Wykres ryzyka dopuszczalnego 59 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie „Prawdziwa wiedza to znajomość przyczyn” (Franciszek Bacon) Symulacja podatności obiektu na atak terrorystyczny 60 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie skala 0 - 1 obiekt 1 obiekt 2 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie Vx obiekt 3 obiekt 4 obiekt 5 MAX 0,8 0,4 0,7 0,9 0,1 0,1 0,2 0,3 0,4 0,5 0,2 0,3 0,2 0,4 0,1 0,3 0,4 0,2 0,5 0,3 0,4 0,3 0,4 0,3 0,7 0,8 0,97984 0,9988 0,99952 0,9964 0,98992 0,99952 obiekt 1 1 Vx 0,99 0,98 obiekt 5 obiekt 2 Vx 0,97 obiekt 4 obiekt 3 Podatność obiektu Scenariusz 1,2 1 obiekt 1 0,8 obiekt 2 0,6 obiekt 3 obiekt 4 0,4 obiekt 5 0,2 0 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie 61 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Straty (np. zakładnicy) Cx TEa 2 000 0,4 740 320 460 500 0,5 0,6 0,7 0,8 Scenariusz Ataku (atrakcyjność medialna) SAx 783,872 369,556 191,90784 320,8408 395,968 SAx obiekt 1 800 600 400 obiekt 5 obiekt 2 200 Scenariusz ataku („atrakcyjność” medialna) 0 obiekt 4 obiekt 3 62 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie wykrycie ocena ostrzeżenie uniknięcie pokonanie Prawdopodobieństwo scenariusza ataku l1 0,304099716 0,017920954 l2 0,152049858 0,035841909 l3 0,266087252 0,053762863 l4 0,342112181 0,071683817 l5 0,038012465 0,089604772 0,018612452 0,027918678 0,018612452 0,037224904 0,009306226 0,046675795 0,062234393 0,031117197 0,077792991 0,046675795 0,076807027 0,057605271 0,076807027 0,057605271 0,134412298 obiekt 1 0,35 0,3 0,25 0,2 0,15 obiekt 5 obiekt 2 0,1 wykrycie 0,05 ocena ostrzeżenie 0 Prawdopodobieństwo przebiegu ataku uniknięcie pokonanie obiekt 4 obiekt 3 63 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie MIARA RYZYKA RS obiekt 1 obiekt 2 437 obiekt 3 202 obiekt 4 96 obiekt 5 144 151 Symulacja wykazuje, że miara ryzyka jest najbardziej zależna od STOPNIA TECHNICZNEJ WYKONALNOŚCI ATAKU obiekt 1 450 400 350 300 250 200 obiekt 5 Miara ryzyka 150 100 obiekt 2 50 0 obiekt 4 obiekt 3 64 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Symulacja Straty (np. zakładnicy) Cx Stopień wykonalności ataku TEa 600 740 320 460 500 0,4 0,5 0,6 0,7 0,8 obiekt 1 250 wynik 200 150 obiekt 5 100 obiekt 2 50 0 obiekt 4 obiekt 3 65 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Symulacja Straty (np. zakładnicy) Cx Stopień wykonalności ataku TEa 600 740 320 460 500 0,4 0,5 0,6 0,7 0,2 (wzmocnienie zabezpieczeń) obiekt 1 250 200 wynik 150 obiekt 5 100 obiekt 2 50 0 obiekt 4 obiekt 3 66 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Naliczenie budżetu na cele inwestycyjne 67 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie z Narodowego Programu Ochrony Infrastruktury Krytycznej: Zarówno ryzyko, jak i jego czynniki mogą być mierzone ilościowo lub jakościowo (np. opisowo). Kiedy jest to możliwe i uzasadnione ze względu na łatwość porównywania, należy stosować miary ilościowe. Prawdopodobieństwo i skutki powinny być obszarem oceny ilościowej i jakościowej, natomiast podatność jakościowej. W każdym przypadku przydatne jest stosowanie skalowania (przypisania określonym wartościom prawdopodobieństwa, podatności i skutków skal np. 1–5) z użyciem zakresów liczbowych lub szczegółowego opisu. Korzystanie z zakresów liczbowych i/lub szczegółowych opisów skal jest konieczne, ponieważ takie pojęcia jak „niskie” lub „wysokie” są przedmiotem różnych interpretacji. Określone w opisany powyżej sposób ryzyko powinno zostać poddane procesowi oceny. W procesie tym dokonuje się akceptacji ryzyka. Decyzja o akceptacji ryzyka powinna uwzględniać najgorszy możliwy scenariusz 68 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Najlepsza metoda analityczna nie zastąpi procesu decyzyjnego, samej decyzji, jednoznacznie wskazującej ryzyko dopuszczalne w danej sytuacji, decyzji podejmowanej odpowiedzialnie przez kierownika jednostki organizacyjnej. Czy istnieje możliwość wspomagania tego procesu decyzyjnego ? Same odwzorowania analizy ryzyka nie przynoszą bezpośredniej odpowiedzi na to pytanie. Do tej pory określenie ryzyka dopuszczalnego miało charakter mniej lub bardziej uznaniowy (przyjmowano z reguły 5 poziomów ryzyka – katastroficzne, niedopuszczalne, znaczące, umiarkowane, nieznaczne), dzielono obliczoną miarę ryzyka w funkcji nakładów na zabezpieczenia, nie bacząc na to, że funkcja redukcji ryzyka poprzez stosowanie zabezpieczeń – nie ma charakteru liniowego 69 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Przydatnym, aczkolwiek jeszcze niesprawdzonym w praktyce narzędziem, może okazać się zastosowanie tzw. paradoksu Mayfielda, wykazującego, że spadek miary ryzyka w funkcji nakładów na bezpieczeństwo jest nieliniowy, co powoduje, że w określonym (obliczonym) obszarze ryzyko maleje w sposób słabo odczuwalny pomimo dalszych nakładów na bezpieczeństwo f(p) = py Mayfield's Paradox: study from Carnegie Mellon University, USA wzór na współczynnik kosztów minimalnych y py-1 = a y (bp)y-1 ISACA/Journal/Past-Issues/2001/Volume ISACA/Journal/PastISACA/Journal/Past Issues/2001/Volume-2/Pages/Mathematical Issues/2001/VolumeIssues/2001/Volume 2/Pages/Mathematical2/Pages/Mathematical Proofs--of Proofs of--Mayfields Mayfields--Paradox – a Fundamental Fundamental--Principle Principle--of ofInformation--Security. Information 70 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Paradoks: utrzymanie pełnego bezpieczeństwa systemu informacyjnego wymaga nieskończonej ilości pieniędzy, zapewnienie bezpiecznego dostępu do tego systemu także wymaga nieskończonej ilości pieniędzy, ale koszty między tymi skrajnościami są stosunkowo niskie Mayfield's Paradox and a study from Carnegie Mellon University 71 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie nakłady na bezpieczeństwo 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 współczynnik wykonalności ataku 1 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 strata miara ryzyka R prawdop 1 1 1 1 1 1 1 1 1 1 1 0,9 0,8 0,7 0,6 0,5 0,4 0,3 0,2 0,1 1 0,81 0,64 0,49 0,36 0,25 0,16 0,09 0,04 0,01 Zastosowanie paradoksu Mayfielda do wyznaczenia poziomu nakładów na bezpieczeństwo systemu – pośrednie oznaczenie poziomu ryzyka dopuszczalnego nakłady na bezpieczeństwo 3 współczynnik wykonalności ataku obszar kalkulacji nakładów, po przekroczeniu których spadek miary ryzyka jest nieznaczny strata 2,5 prawdop miara ryzyka R Potęg. (miara ryzyka R) 2 1,5 1 0,5 0 0,1 0,2 0,3 0,4 0,5 0,6 0,7 0,8 0,9 1 72 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie W określonych warunkach, wynikających z właściwie przeprowadzonego oszacowania miary ryzyka można na podstawie tego odwzorowania określić miarę nakładów na zabezpieczenia odpowiadającą punktowi, od którego dalszy spadek miary ryzyka jest już słabo odczuwalny. Drugie zdanie z cytatu A. Shamira traci więc swoją aktualność. 73 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Analiza ryzyka cyberterrorystycznego wobec systemów teleinformatycznych (próba modelowania) 74 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie O B I E K T Y skala 0 - 1 D A W D R wykrycie ocena ostrzeżenie uniemożliwienie pokonanie serwery rządowe portale społecz. finanse (bank) firmy 0,8 0,3 0,4 0,4 0,4 0,3 0,7 0,3 0,4 0,9 0,4 0,5 0,7 0,2 0,6 Vx 0,85888 0,99712 0,9856 media MAX 0,3 0,4 0,5 0,4 0,3 0,4 0,5 0,4 0,2 0,2 0,9928 0,9968 0,99712 Podatność obiektów Vx 1,05 1 0,95 0,9 Vx 0,85 0,8 0,75 serwery rządowe portale społecz. finanse (bank) firmy media 75 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie O S T R A T Y straty fin utrata inf wirusy spam Scenariusz Ataku SAx I E K T Y 500 760 280 100 362,5 551 203 72,5 300 456 168 60 200 304 112 40 187,5 285 105 37,5 0,2 0,5 0,6 0,7 0,8 303,12448 134,83008 Stopień wykonalności ataku TEa informacje B 117,494784 132,0424 serwery rządowe 60,60544 SAx 400 300 200 media 100 portale społecz. 0 Scenariusz ataku (straty w zasobach informacyjnych) firmy finanse (bank) 76 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie O D A W D R wykrycie ocena ostrzeżenie uniemożliwienie pokonanie B I E K T Y Prawdopodobieństwo scenariusza ataku l1 0,093797984 0,074014656 0,096873328 l2 0,046898992 0,098686208 0,072654996 l3 0,082073236 0,074014656 0,096873328 l4 0,105522732 0,098686208 0,12109166 l5 0,082073236 0,049343104 0,145309992 0,056922254 0,075896338 0,094870423 0,075896338 0,056922254 0,081645134 0,102056418 0,081645134 0,040822567 0,040822567 serwery rządowe 0,16 0,14 0,12 0,1 0,08 0,06 media portale społecz. 0,04 0,02 0 wykrycie ocena ostrzeżenie uniemożliwienie pokonanie Rozkład scenariuszy ataku firmy finanse (bank) 77 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie O B I E K T Y MIARA RYZYKA RS serwery rządowe portale społecz. finanse (bank) firmy 52 116 50 media 48 20 serwery rządowe 120 100 80 60 Miara ryzyka naruszenia bezpieczeństwa zasobów informacyjnych media 40 portale społecz. 20 0 firmy finanse (bank) 78 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Wynik analizy ryzyka wg funkcji DAWDR 79 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Ocena zagrożeń wg NIST 80 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Statystyka kradzieży danych 81 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Nowe wyzwania bezpieczeństwa teleinformacyjnego Cloud computing – przetwarzanie w chmurze BYOD – bring your own device MDM – mobile device management BSIMM – building security in maturity model W3AF - Web Application Attack and Audit Framework REMnux's reverse-engineering malware tools 82 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Przetwarzanie w chmurze Architecture, IT Security, & Operational Perspectives Cloud Computing – NIST Definition: “Model (sposób) umożliwienia sieciowego wykorzystania podzielnego obszaru skalowalnych platform, źródeł, oprogramowania, baz danych i środowisk przetwarzania informacji - poprzez zautomatyzowane systemy dostępowe zarządzane przez dostawcę usług” 83 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Modele usług (dostępu): IaaS: Infrastructure as a Service Użytkownik uzupełnia swoje źródła przetwarzania informacji infrastrukturą dostawcy usług, z wykorzystaniem której może użytkować dowolne oprogramowanie włącznie z systemami operacyjnymi i aplikacjami PaaS: Platform as Service Użytkownik może tworzyć własne aplikacje z wykorzystaniem narzędzi programowania dostawcy usług i korzystać z nich w obszarze infrastruktury przetwarzania w chmurze SaaS: Software as Service Użytkownik wykorzystuje aplikacje dostawcy usług i przetwarza informacje z wykorzystaniem infrastruktury „chmury” • Virtual Machines • Virtual Networks • Auto Elastic • Continuous Integration IaaS PaaS • Built for Cloud • Uses PaaS SaaS 84 Technologie echnologie i rozwi rozwiązania rozwią zania do utrzymania i zarządzania bezpieczeństwem w firmie Główne atrybuty przetwarzania w chmurze: 1. 2. 3. 4. 5. Podzielność zasobów/wspólność Duża obszar dostępności Obsługa sieciowa na życzenie Skalowalność i elastyczność Rozliczalność wg czasu dostępu 85 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Bezpieczeństwo przetwarzania w chmurze ? • Konieczność współpracy z komercyjnymi dostawcami • Potrzeba przeglądu dostępnych i stosowanych mechanizmów bezpieczeństwa 86 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Statystyka zastrzeżeń wobec przetwarzania w chmurze w odniesieniu do zróżnicowanych zagrożeń 87 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Problemy bezpieczeństwa przetwarzania w chmurze – Stosowane procedury IT Security nie mają wpływu na jakość bezpieczeństwa – IT Security może jedynie określić stan bezpieczeństwa po zaistnieniu incydentu – użytkownik może nie stwierdzić wystąpienia incydentu – nie ma pewności dot. jakości nadzoru bezpieczeństwa przetwarzania w chmurze ze strony dostawcy usług – bezpieczeństwo przetwarzanie w chmurze nasuwa wątpliwości w przypadku dostawcy będącego operatorem prywatnym 88 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie BYOD BYOD (przynieść własne urządzenie) - rosnąca tendencja korzystania z urządzeń będących własnością pracowników w przedsiębiorstwie. Smartfony są najczęstszym tego przykładem, ale pracownicy również użytkują własne tablety, laptopy i dyski USB w miejscu pracy. BYOT (przynieść własne technologie) odnosi się do korzystania z urządzeń konsumenckich i aplikacji w miejscu pracy. BYOC (przynieść własny komputer) BYOL (przynieść własnego laptopa) BYOA (przynieść własną aplikację) przynieść własny komputer (BYOPC). Bring Any Device – the acronym there is BAD CYOD – Choose Your Own Device 89 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Android security Rosnące zagrożenie bezpieczeństwa informacji wobec systemu Android wymaga, aby zespoły bezpieczeństwa informacji wdrażały politykę bezpieczeństwa Android. Nowy raport firmy McAfee Inc. dot. złośliwego oprogramowania Android przedstawia wzrost nadużyć w systemach mobilnych, związanych głównie z technologią Google Android. 90 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Testy aplikacji (Application security testing (AST) - DAST - dynamiczne testy bezpieczeństwa aplikacji - najbardziej dojrzałe i powszechnie przyjęte, doskonale nadają się do wykorzystania przez specjalistów od bezpieczeństwa nie posiadających dostępu do kodu źródłowego. - SAST - statyczne testowanie bezpieczeństwa aplikacji, CEST testuje aplikacje z pozycji wyjściowej poprzez analizę kodu źródłowego danej aplikacji, kodu bajtowego, lub, w niektórych przypadkach, kodu binarnego. - IAST - trzecia możliwość interaktywnego testowania bezpieczeństwa aplikacji, która zapewnia interakcję zarówno statyczną (inside-out) i dynamiczną (ouside-in) i możliwości testowania z celem zapewnienia większej dokładności 91 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Koncepcja magicznego kwadratu 92 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Protecting Your APIs Against Attack & Hijack Application Programming Interface System przesuwa granicę funkcji ziarnistości do klienta, co daje znacznie większy obszar penetracji da potencjalnego przestępcy 93 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Aspekt społeczny zagrożeń ze strony aplikacji i bezpieczeństwa urządzeń mobilnych 94 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Analizy bezpieczeństwa systemów informatycznych o1. - Application security o2. - Authentication o3. - Cloud security o4. - Data loss prevention o5. - Email security o6. - Encryption o7. - Endpoint security o8. - Enterprise firewalls o9. - Identity and access management o10. - Intrusion detection and prevention · o11. - Mobile data security o12. - Network access control o13. - Policy and risk management o14. - Remote access o15. - SIEM (security information and event management) o16. - Unified threat management o17. - Vulnerability management o18. - Web application firewalls 95 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Konkursy bezpieczeństwa (złamania zabezpieczeń) Pwn2Own is a computer hacking contest held annually at the CanSecWest security conference, beginning in 2007. Contestants are challenged to exploit widely used software and mobile devices with previously unknown vulnerabilities. Winners of the contest receive the device that they exploited, a cash prize, and a "Masters" jacket celebrating the year of their win. The name "Pwn2Own" is derived from the fact that contestants must "pwn" or hack the device in order to "own" or win it. The Pwn2Own contest serves to demonstrate the vulnerability of devices and software in widespread use while also providing a checkpoint on the progress made in security since the previous year 96 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Konkursy bezpieczeństwa (złamania zabezpieczeń) Konkurs piractwa komputerowego Pwn2Own odbywa się corocznie podczas konferencji bezpieczeństwa CanSecWest, począwszy od 2007 roku. Uczestnicy mają za zadanie wykorzystanie powszechnie używanego oprogramowania i urządzeń mobilnych z nieznanymi wcześniej lukami. Laureaci konkursu otrzymują urządzenia, które są wykorzystywane i nagrodę pieniężną. Konkurs Pwn2Own służy do wykazania wrażliwości urządzeń i oprogramowania w powszechnym użyciu, a jednocześnie zapewnia punkt kontrolny postępów w dziedzinie bezpieczeństwa w stosunku do poprzedniego roku 97 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Perspektywy nowego podejścia do bezpieczeństwa informacyjnego •potrzeba indywidualnego wdrażania innych zabezpieczeń niż loginy i hasła; •tendencje do weryfikacji zasadności wydanych certyfikatów bezpieczeństwa; •dominująca rola aplikacji w bezpieczeństwie teleinformatycznym; •rywalizacja firm komputerowych z państwowymi organami bezpieczeństwa (monitoring – inwigilacja); •wypracowanie metod zabezpieczeń środków mobilnych; •wyzwanie wobec internetowej interoperacyjności urządzeń w aplikacjach biznesowych (Internet of Things) •wdrażanie zasad „obrony głębokiej” (Defense in Depth) przeciwko atakom DDos 98 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie ataki „dźwiękowe” na systemy przetwarzające loginy i hasła, nie pomaga technologia TEMPEST 99 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Kill Switch Prawie jedna trzecia kradzieży w USA obejmuje zabór telefonu, według Federalnej Komisji Łączności (FCC). W maju br. Minnesota jako pierwszy stan USA wprowadził przepisy, które wymagają jakiejś formy Kill Switch na wszystkich smartfonach sprzedawanych w stanie od lipca 2015 roku. Skala problemu: wg ekspertów USA przeciętna organizacja traci rocznie 3 razy więcej smartfonów niż laptopów, koszt utraty danych 64 GB/szt. to 400 tys. $ 100 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Internet of Things i kod Halo 101 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Do tej pory uważaliśmy, że INFORMACJA JEST TOWAREM, w cywilizacji informacyjnej zaczęto stosować termin KONSUMENT-TOWAREM, obecnie grozi nam kolejna definicja – CZŁOWIEK CZUJNIKIEM Kod HALO grupuje osoby fizyczne (dane osobowe), urządzenia (m.in.. BYOD), sieci (Internet), organizacje i biznes tworząc metadane. Inicjatywa ta wpisana jest w nowoczesne działania logistyczne: DRP, ERP, CRM Konkurują : Google, Amazon, Facebook, and Twitter. 102 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Odpowiedzią cyberprzestępców na IoT = Botnety - Thingboty IoT - Internet przedmiotów Podejście do problematyki bezpieczeństwa pozakomputerowych obiektów podłączonych do sieci publicznej (sprzęt gospodarstwa domowego, „inteligentne budynki”, urządzenia sterujące windami, ogrzewaniem i klimatyzacją, systemy nawigacji, automatyka powszechnego użytku) (grupa naukowców testując sieciowe aplikacje nawigacyjne zdołała zdalnie doprowadzić wybrany jacht do zmiany kursu, odnotowano także spam rozsyłany przez lodówkę i telewizor) 103 Technologie i rozwiązania do utrzymania i zarządzania bezpieczeństwem w firmie Defense in Depth ? 104