Definicja Bezpieczeństwa Informacji PDF

Definicja bezpieczeństwa informacji Ogólnie mówiąc, bezpieczeństwo oznacza ochronę Twoich zasobów przed na-pastnikami atakującymi sieci komputerowe, klęskami żywiołowymi, wandali-zmem, utratą czy nadużyciem. W zasadzie powinieneś podjąć próbę zabezpie- czenia się przed najbardziej prawdopodobnymi formami ataku i w najlepszym możliwym zakresie, biorąc pod uwagę środowisko, w którym się znajdujesz. bezpieczeństwo informacji definiujemy jako „ochronę informacji i systemów informatycznych przed nieautoryzowanym dostępem, wykorzystaniem, ujawnieniem, zakłóceniem, modyfikacją lub znisz-czeniem". Innymi słowy: musimy chronić nasze dane i systemy przed osobami, które chcą ich nadużywać, celowo lub nieumyślnie, a także przed tymi, które w ogóle nie powinny mieć do nich dostępu. Kiedy jesteś bezpieczny? zwiększając poziom bez-pieczeństwa systemu, zwykle obniżasz poziom jego produktywności. Ponadto zabezpieczając zasoby systemu lub środowiska, należy rozważyć, jak planowany poziom zabezpieczeń ma się do wartości zabezpieczanego elementu. W każdym środowisku, w którym plano-wane jest wprowadzenie podwyższonych poziomów bezpieczeństwa, należy również wziąć pod uwagę potencjalny koszt zastąpienia zasobów w przypadku ich utraty i upewnić się, że poziom ochrony został dobrany adekwatnie do ich wartości. Krótko mówiąc: trudno zdefiniować, kiedy jesteś naprawdę bezpieczny. Z drugiej strony, zdefiniowanie okoliczności, kiedy nie jesteś zabezpieczony, jest znacznie łatwiejsze. Oto kilka przykładów, które mogą po-stawić Cię w takiej sytuacji: Nieinstalowanie lub instalowanie z opóźnieniem poprawek bezpieczeństwa i aktualizacji aplikacji oraz systemów operacyjnych. Używanie słabych haseł, takich jak password czy 1234. Pobieranie programów z internetu. Otwieranie załączników poczty elektronicznej pochodzących od nieznanych nadawców. Używanie sieci bezprzewodowych bez odpowiedniego szyfrowania. Dobrą rzeczą jest to, że po zidentyfikowaniu w środowisku obszarów, które mogą uczynić je podatnym na ataki, możemy podjąć kroki w celu usunięcia tych problemów. Triada poufności, integralności i dostępności Trzy podstawowe atrybuty zapewniające bezpieczeństwo informacji to poufność, integralność i dostępność, powszechnie określane jako triada PID lub triada CIA (od ang. Confidentiality, Integrity and Availability), Triada CIA to model znakomicie ułatwiający myślenie i dyskutowanie o koncep- cjach bezpieczeństwa. Czasami jej nazwa jest również zapisywana jako triada CAI (ang. Confidentiality, Availability and Integrity) lub wyrażana w formie negatyw- nej jako tzw. triada DAD (ang. Disclosure, Alteration and Denial --- ujawnianie, zmiana i odmowa). Poufność (ang. Confidentiality) odnosi się do Twojej zdolności do ochrony da- nych przed osobami, które nie są upoważnione do ich przeglądania. Poufność możesz wdrożyć na wielu poziomach całego procesu.Poufność może zostać naruszona na wiele sposobów. Na przykład możeszzgubić laptopa zawierającego wrażliwe dane. Jakaś osoba może zaglądać Ci przez ramię, gdy wprowadzasz hasło. Integralność (ang. Integrity) to zdolność do zapobiegania zmianom danych w nieu- prawniony lub niepożądany sposób. Aby zachować integralność, nie tylko potrzebu- jesz środków zapobiegających nieautoryzowanym zmianom danych, ale także musisz mieć możliwość cofnięcia niechcianych, autoryzowanych zmian. pliku. Naprzykład właściciel pliku może mieć uprawnienia do odczytu i zapisu, podczasgdy inni użytkownicy mogą mieć uprawnienia tylko do odczytu pliku lub w ogólemogą nie mieć do niego dostępu. Ostatnim atrybutem triady CIA jest dostępność (ang. Availability). Dostępnośćoznacza możliwość dostępu do Twoich danych, gdy ich potrzebujesz. Dostępność można utracić np. z powodu awarii zasilania, problemów z systemem operacyj-nym lub z aplikacjami, ataków sieciowych czy naruszenia bezpieczeństwa systemu. Kiedy takie problemy są spowodowane przez osobę z zewnątrz, np. złośliwegonapastnika, zazwyczaj nazywamy to atakiem typu odmowa usługi (ang. Denial of Service --- DoS). \-\-\-\-\-\-\-\-- Roz-ważmy przesyłkę taśm z kopiami zapasowymi, na których przechowujesz jedyne istniejące,niezaszyfrowane kopie pewnych wrażliwych danych. Gdyby taka przesyłka zaginęła podczas transportu, zdarzenie to powinno zostaćzakwalifikowane jako incydent bezpieczeństwa. Może on oznaczać naruszeniepoufności, ponieważ pliki danych nie były zaszyfrowane. Brak szyfrowania może również powodować problemy z integralnością. Jeżeli kiedyś odzyskasz zagu-bione taśmy, nie będziesz miał pewności, czy potencjalny napastnik nie zmienił zawartości niezaszyfrowanych plików, ponieważ nie będzie dobrego sposobu nazweryfikowanie danych. Jeżeli chodzi o dostępność danych, również będzieszmiał poważny problem, ponieważ nie istnieją inne kopie zapasowe plików (no chyba,że taśmy zostaną odzyskane). Chociaż sytuację w tym przykładzie można opisać ze względną dokładnością za pomocą triady CIA, może się okazać, że model ten jest zbyt ograniczony, aby spraw-dzić się w innych, złożonych scenariuszach. Dla takich przypadków istnieje bar-dziej rozbudowany model, nazywany heksadą Parkera. \-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-\-- Podczas gdy triada CIA zbudowana jest na poufności, integralności i dostępności, w skład heksady Parkera oprócz tych trzech podstawowych elementów wchodzą również: posiadanie lub sprawowa-nie kontroli (ang. Possesion), autentyczność (ang. Authenticity) i użyteczność2 (ang. Utility), co daje w sumie sześć atrybutów, W heksadzie Parkera posiadanie lub sprawowanie kontroli (ang. possession or control) odnosi się do fizycznego dysponowania nośnikiem, na którym przechowy-wane są dane. Atrybut autentyczności pozwala stwierdzić, czy dane zostały przypisane do odpo-wiedniego właściciela lub twórcy. Na przykład jeżeli wysyłasz wiadomość e-mail, która została zmieniona w taki sposób, że wydaje się pochodzić z innego adresu e-mailowego niż ten, z którego została faktycznie wysłana, naruszasz autentycz-ność tej wiadomości. Podobną, ale odwróconą koncepcją jest niezaprzeczalność (ang. non-repudiation), która zapobiega podejmowaniu przez ludzi działań takich jak wysłanie wiado-mości e-mail, a następnie zaprzeczanie, że to zrobili. Atrybut użyteczności (ang. utility) odnosi się do tego, w jaki sposób dane są uży-teczne dla użytkownika. Użyteczność to jedyny atrybut heksady Parkera, który niekoniecznie ma charakter binarny, ponieważ w zależności od danych i ich for-matu mogą istnieć różne stopnie ich użyteczności.kolei taśmy niezaszyfrowane będą dla nich znacznie bardziej użyteczne, ponieważ napastnik lub inna nieupo-ważniona osoba będą mogli bez żadnych problemów uzyskać dostęp do danych. Koncepcje zawarte w triadzie CIA i heksadzie Parkera stanowią praktycznąpodstawę do omówienia wszystkich scenariuszy, w których coś poszło nie tak, jakpowinno, w świecie bezpieczeństwa informacji. Oba modele pozwalają na lepsze opisywanie ataków, z którymi możesz się spotkać, oraz mechanizmów zabezpie-czających, jakie należy wdrożyć, aby takim atakom zapobiegać. Ataki można ogólnie podzielić na cztery kategorie: przechwycenie (ang. intercep-tion), przerywanie (ang. interruption), modyfikowanie (ang. modification) i pod-rabianie (ang. fabrication). Każda z tych kategorii może mieć wpływ na jeden lub więcej atrybutów triady CIA, Granica między kategoriami ataków a ich skutkami jest nieco rozmyta. W zależ-ności od danego ataku można zaliczyć go do więcej niż jednej kategorii i może on wywołać skutki więcej niż jednego rodzaju. Dane w spo-czynku (ang. data at rest) to dane przechowywane, które nie są w trakcie przenoszenia z jednego miejsca na drugie.Tego typu dane są zazwyczaj chronione za pomocą jakiegoś rodzaju szyfrowania, często na poziomie pliku lub nawet całego urządzenia pamięcimasowej. Dane w ruchu (ang. data in motion), określane również jako dane w tranzycie albo dane w locie, to dane, które przemieszczają się z jednego miejsca do dru-giego. Gdy korzystasz z bankowości internetowej, wrażliwe dane przesyłane mię-dzy przeglądarką internetową a bankiem są danymi w ruchu. Dane w ruchu rów-nież są chronione za pomocą szyfrowania, ale w tym przypadku szyfrowanie chroni protokół sieciowy lub ścieżkę używaną do przenoszenia danych z jednegomiejsca do drugiego.dane w użyciu (ang. data in use). Dane w użyciu to dane, do których aplikacja lub osoba fizyczna miała aktywny dostęp lub które mo-dyfikowała. Ochrona danych w użyciu może obejmować odpowiednie upraw-nienia i uwierzytelnianie użytkowników. Ataki przechwytujące umożliwiają nieautoryzowanym użytkownikom dostęp dodanych, aplikacji lub środowiska celu i są przede wszystkim atakami przeciwko poufności. Przechwytywanie może przybrać formę nieautoryzowanego przeglą-dania lub kopiowania plików, podsłuchiwania rozmów telefonicznych lub czyta-nia cudzych wiadomości e-mail, a można je przeprowadzić na dane znajdujące się w stanie spoczynku lub w tranzycie Ataki przerywające czy też zakłócające działanie sprawiają, że Twoje zasoby mogą się stać tymczasowo lub na stałe bezużyteczne lub niedostępne. Ataki wpły-wają na dostępność, na integral-ność. Na przykład atak typu DoS na serwer pocztowy możemy sklasyfikować jako atak na dostępność. Z drugiej strony, jeżeli napastnik manipulował procesami odpowiedzialnymiza funkcjonowanie bazy danych, aby uniemożliwić dostęp do zawartych w niej danych, to ze względu na możliwą utratę lub uszkodzenie danych możemy rów-nie dobrze uznać to za atak na integralność albo za kombinację tych dwóch czyn-ników. Ataki modyfikujące polegają na manipulowaniu zasobami. Takie ataki mogą byćprzede wszystkim uważane za ataki na integralność, ale mogą również zostaćsklasyfikowane jako ataki na dostępność. Jeżeli napastnik uzyska dostęp do plikuw nieautoryzowany sposób i zmieni zawarte w nim dane, narusza to integralność danych zawartych w pliku. Jeżeli jednak plik, o którym mowa, jest plikiem kon-figuracyjnym, który zarządza zachowaniem usługi --- np. serwera WWW --- to zmiana zawartości pliku może wpłynąć na dostępność tej usługi. Co więcej, je-żeli zmiana ustawień w pliku konfiguracyjnym serwera WWW spowoduje zmianę sposobu, w jaki serwer obsługuje połączenia szyfrowane, wówczas możemy to na- wet nazwać atakiem na poufność. Ataki z podrabianiem polegają na generowaniu danych, procesów, komunikacji lub innych podobnych elementów systemu. Podobnie jak dwa ostatnie typy ataków, ataki z podrabianiem wpływają przede wszystkim na integralność, ale mogą również wpływać na dostępność. Na przykład generowanie fałszywych informa-cji w bazie danych możemy zaklasyfikować jako atak z podrabianiem. Jeżeli napastnik wygeneruje wystarczająco dużododatkowych procesów, ruchu sieciowego, wiadomości poczty elektronicznej lub czegokolwiek innego, co zużywa zasoby, może przeprowadzić atak na do-stępność, sprawiając, że usługa obsługująca taki ruch stanie się niedostępna dla swoich prawowitych użytkowników. Można zatem powiedzieć, że zagrożenie to coś, co ma potencjałwyrządzeniaszkody.Zagrożenia są zwykle specyficzne dla określonych środowisk, zwłaszcza w świecie bezpieczeństwa informacji. Na przykład choć dany wirus może sprawiać ogromne kłopoty w systemie Windows, zwykle nie będzie miał żadnego wpływu na funkcjonowanie komputerów z systemem Linux. Podatności to słabe punkty lub luki w zabezpieczeniach, które mogą być wyko-rzystane przez napastnika do wyrządzenia szkody. Ryzyko to prawdopodobieństwo, że wydarzy się coś złego. Aby w danym środo- wisku istniało ryzyko, musi pojawić się w nim zarówno zagrożenie, jak i podatność, którą takie zagrożenie może wykorzystać. Na przykład jeżeli mamy konstrukcję wykonaną z drewna i w jej pobliżu rozpalimy ogień, istnieje zarówno zagrożenie(pożar), jak i odpowiadająca mu podatność (konstrukcja z drewna) --- w takim przypadku zdecydowanie mamy do czynienia z ryzykiem.Najlepszą strategią jest zatem ukierun- kowanie wysiłków na zapobieganie najbardziej prawdopodobnym atakom. Niektóre organizacje, takie jak amerykańska Agencja Bezpieczeństwa Narodowego (ang. National Security Agency --- NSA), dodają do triady zagrożenie -- podatność -- ryzyko jeszcze jeden czynnik, nazywany oddziaływaniem (ang. impact). Oddziały- wanie uwzględnia wartość zagrożonego zasobu i wykorzystuje ją do kalkulacji ryzyka. ![](media/image2.png) ![](media/image4.png) inwentaryzacja chronionych zasobów. Jeżeli nie potrafisz wymienić swoich zasobów i ocenić znaczenia każdego z nich, ich ochrona może stać się naprawdę trudnym wyzwaniem. inwentaryzacja chronionych zasobów. Jeżeli nie potrafisz wymienić swoich zasobów i ocenić znaczenia każdego z nich, ich ochrona może stać się naprawdę trudnym wyzwaniem. Po zidentyfikowaniu wykorzystywanych zasobów kolejnym etapem działania jest określenie, które z nich są krytycznymi zasobami biznesowymi, Po zidentyfikowaniu krytycznych zasobów można przystąpić do identyfikacji za- grożeń, które mogą mieć na nie wpływ. Spróbujmy zastosować heksadę Parkera do przeanalizowania zagrożeń, na jakie może być narażona aplikacja przetwarzająca płatności kartami kredytowymi. Poufność --- jeżeli dane o transakcjach zostaną ujawnione podmiotom do tego nieuprawnionym, będzie to skutkowało wystąpieniem potencjalnego incydentu bezpieczeństwa. Integralność --- jeżeli dane zostaną uszkodzone, płatności kartami kredytowymi mogą być przetwarzane w nieprawidłowy sposób. Dostępność --- jeżeli system lub aplikacja ulegnie awarii, nie będziemy w stanie przetwarzać płatności. Posiadanie --- w przypadku utraty nośników kopii zapasowych będzie to skutkowało wystąpieniem potencjalnego incydentu bezpieczeństwa. Autentyczność --- jeżeli nie posiadamy poprawnych, autentycznych informacji o kliencie, może to prowadzić do przetwarzania sfałszowanych transakcji. Użyteczność --- jeżeli gromadzone dane będą nieważne lub nieprawidłowe, ich użyteczność będzie mocno ograniczona. Oceniając podatności, należy dokonać tego w kontekście potencjalnych zagro- żeń. Dla poszczególnych zasobów możemy zidentyfikować setki czy nawet tysiące potencjalnych zagrożeń, które mogą mieć na nie mniejszy bądź większy wpływ, ale tylko niewielka część tych zagrożeń będzie naprawdę istotna. przyjrzyjmy się im zatem i spróbujmy określić, czy istnieją jakieś podatności, które mogłyby zo- stać przez nie wykorzystane. Poufność --- jeżeli dane o transakcjach zostaną ujawnione podmiotom do tego nieuprawnionym, będzie to skutkowało wystąpieniem potencjalnego incydentu bezpieczeństwa. W naszym przypadku dane są szyfrowane zarówno w stanie spoczynku, jak i w ruchu, a przetwarzające je systemy są regularnie sprawdzane przez zewnętrzną firmę przeprowadzającą zlecone testy penetracyjne. To nie jest ryzyko. Integralność --- jeżeli dane zostaną uszkodzone, płatności kartami kredytowymi mogą być przetwarzane w nieprawidłowy sposób. W ramach procesu przetwarzania danych dokładnie sprawdzamy poprawność danych dotyczących płatności. Nieprawidłowe dane skutkują odrzuceniem transakcji. To nie jest ryzyko. Dostępność --- jeżeli system lub aplikacja ulegnie awarii, nie będziemy w stanie przetwarzać płatności. Nie mamy zaimplementowanej nadmiarowości dla bazy danych na zapleczu systemu przetwarzania płatności. Jeżeli nasza baza danych ulegnie awarii, nie będziemy w stanie przetwarzać płatności. To jest ryzyko. Posiadanie --- w przypadku utraty nośników kopii zapasowych będzie to skutkowało wystąpieniem potencjalnego incydentu bezpieczeństwa. Nasze nośniki kopii zapasowych są zaszyfrowane i przekazywane ręcznie przez kuriera. To nie jest ryzyko. Autentyczność --- jeżeli nie posiadamy poprawnych, autentycznych informacji o kliencie, może to prowadzić do przetwarzania sfałszowanych transakcji. Zapewnienie, że przetwarzane informacje dotyczące płatności kartą rzeczywiście należą do osoby przeprowadzającej transakcję, jest dosyć trudne. Nie ma na to dobrego sposobu. To jest ryzyko. Użyteczność --- jeżeli gromadzone dane będą nieważne lub nieprawidłowe, ich użyteczność będzie mocno ograniczona. Aby chronić użyteczność przetwarzanych danych, sprawdzamy sumy kontrolne numerów kart kredytowych, upewniamy się, że adresy rozliczeniowe i adresy e-mail klientów są prawidłowe, i wykonujemy wiele innych operacji, aby mieć pewność, że przetwarzane dane są poprawne. To nie jest ryzyko. Po zidentyfikowaniu zagrożeń i podatności poszczególnych zasobów możemy ocenić ogólne ryzyko. Jak już wspominałem wcześniej w tym rozdziale, ryzyko to połączenie zagrożenia i podatności. W naszym przykładzie następująca pozycja jest zarówno potencjalnym za- grożeniem, jak i obszarem podatności: Dostępność --- jeżeli system lub aplikacja ulegnie awarii, nie będziemy w stanie przetwarzać płatności. Nie mamy zaimplementowanej nadmiarowości dla bazy danych na zapleczu systemu przetwarzania płatności. Jeżeli nasza baza danych ulegnie awarii, nie będziemy w stanie przetwarzać płatności. To jest ryzyko. Aby zredukować ryzyko, możemy zastosować kilka środków uwzględniających każde zagrożenie. Środki te nazywane są mechanizmami kontrolnymi (ang. controls). Mechanizmy kontrolne można podzielić na trzy kategorie: fizyczne, logiczne i administracyjne. Fizyczne mechanizmy kontrolne (ang. physical controls) chronią środowisko fizyczne, w którym znajdują się systemy lub w którym przechowywane są dane.obejmują takie elementy jak ogrodzenia, bramy, zamki, pachołki, osłony i kamery, ale także systemy utrzymujące środowisko fizyczne, jak systemy ogrzewania i klimatyzacji, systemy gaszenia ognia i rezerwowe generatory mocy. Logiczne mechanizmy kontrolne (ang. logical controls), czasami nazywane też technicznymi mechanizmami kontrolnymi (ang. technical controls), chronią systemy, sieci i środowiska, które przetwarzają, przesyłają i przechowują dane.mogą obejmować takie elementy, jak hasła, szyfrowanie, kontrolę dostępu, zapory sieciowe i systemy wykrywania włamań. Administracyjne mechanizmy kontrolne (ang. administrative controls) opierają się na regułach, prawach, politykach, procedurach, wytycznych i innych elemen- tach, które mają charakter „papierowy". Mechanizmy administracyjne określają, jak powinni zachowywać się użytkownicy danego środowiska. Ważnym aspektem administracyjnych mechanizmów kontrolnych jest możli- wość ich egzekwowania. Jeżeli nie mamy uprawnień lub możliwości upewnienia się, że użytkownicy przestrzegają narzuconych wymagań i ograniczeń, to takie mechanizmy są bardziej niż bezużyteczne, ponieważ stwarzają fałszywe poczucie bezpieczeństwa. Ogólnie mówiąc, proces reagowania na incydenty składa się z następujących etapów: Przygotowanie (ang. Preparation). Wykrywanie i analiza (ang. Detections and analysis). Ograniczanie (ang. Containment). Eliminacja (ang. Eradication). Odzyskiwanie (ang. Recovery). Działania po incydencie (ang. Post-incident activity). Faza przygotowania reakcji na incydent obejmuje wszystkie działania, które można wykonać z wyprzedzeniem, aby lepiej poradzić sobie z incydentem. Jest to zazwyczaj tworzenie polityk działania i procedur, które regulują sposób reagowa- nia na incydenty, prowadzenie szkoleń i edukacji zarówno dla użytkowników zajmujących się obsługą incydentów, jak i tych, którzy będą zgłaszać incydenty, oraz opracowywanie i utrzymywanie odpowiedniej dokumentacji. Faza wykrywania i analizy to moment, w którym rozpoczyna się właściwe działanie. W tej fazie następuje wykrycie problemu, podjęcie decyzji, czy jest to rzeczywi- ście incydent bezpieczeństwa, i rozpoczęcie procedury reagowania. Najczęściej problemy są wykrywane za pomocą narzędzi lub usług bezpieczeń- stwa, takich jak systemy wykrywania włamań (ang. Intrusion Detection Systems --- IDS), oprogramowanie antywirusowe, logi zapory sieciowej, logi serwerów proxy, alerty z systemów monitorowania informacji i zdarzeń bezpieczeństwa (ang. Security Information and Event Monitoring --- SIEM) lub od dostawcy zarzą- dzanych usług bezpieczeństwa (ang. Managed Security Service Provider --- MSSP). Część analityczna tej fazy jest często połączeniem informacji dostarczanych przez zautomatyzowane narzędzia lub usługi, takie jak systemy SIEM, oraz oceny ludzkiej. Chociaż często można ustawić pewne wartości graniczne, pozwalające stwierdzić, że określona liczba zdarzeń w danym czasie jest normalna lub że ja- kaś sekwencja zdarzeń nie jest normalna (np. dwa kolejne nieudane logowania, po których następuje poprawne zalogowanie, Faza ograniczania strat, eliminowania zagrożenia i przywracania normalnego działania jest etapem, na którym odbywa się większość prac mających na celu rozwiązanie incydentu, przynajmniej w krótkim okresie. Ograniczanie strat obejmuje podjęcie kroków mających na celu zapewnienie, że sytuacja nie spowoduje więcej szkód, niż już spowodowała, lub przynajmniej zmniejszy bieżące szkody. Podczas eliminacji próbujemy usunąć skutki incydentu z naszego środowi- ska. Na koniec musimy przywrócić stan, w jakim znajdowało się środowisko użyt- kownika przed incydentem. Odzyskiwanie może obejmować przywracanie urzą- dzeń lub danych z nośników zapasowych, przebudowę systemów lub ponowne ładowanie aplikacji. W fazie działań po zakończeniu incydentu, często nazywanej fazą post mortem (z łac. po śmierci), próbujemy zwykle ustalić, co konkretnie się stało, dlaczego tak się stało i co możemy zrobić, aby to się nie powtórzyło. Obrona wielopoziomowa (ang. defence in depth), nazywana również obroną w głąb, jest strategią wykorzystywaną zarówno w dzie- dzinie wojskowości, jak i bezpieczeństwa informacji. Podstawowa koncepcja tego rozwiązania polega na sformułowaniu wielowarstwowej obrony, która pozwoli na skuteczne stawianie oporu w przypadku, gdy jeden lub więcej mechanizmów obronnych zostanie przełamanych. W najprostszym przypadku obrona w głąb powinna być wdrożona przynajm- niej na poziomie sieci zewnętrznej, sieci wewnętrznej, hosta, aplikacji i danych. Dobrze zaimplementowana obrona na każdym z tych poziomów powinna skutecz- nie utrudnić lub wręcz uniemożliwić napastnikowi przeniknięcie do sieci i prze- prowadzenie bezpośredniego ataku na zasoby. Prawdziwym celem takiego rozwiązania jest wydzielenie i umieszczenie wystarczającej ilości środków obronnych pomiędzy naprawdę ważnymi zasobami a napastnikiem, tak byś mógł zauważyć, że atak jest w toku, i byś miał wystarczająco dużo czasu, aby go skutecznie zneutralizować. Inną taktyką opóźniającą jest wdrożenie złożonych zasad tworzenia haseł. obszary, w których powinieneś przeanalizować możliwość zaimplemen- towania mechanizmów obronnych, to sieć zewnętrzna, perymetr sieciowy, sieć wewnętrzna, hosty, aplikacje i dane. Złożoność modelu zabezpieczeń można zwiększyć poprzez dołożenie kolejnych warstw obrony, takich jak ochrona fizyczna, polityki bezpieczeństwa, szkolenia zwiększające świadomość użytkowników są testy penetracyjne, czyli metoda wyszukiwania po- datności i luk w zabezpieczeniach poprzez wykorzystanie tych samych strategii, których użyłby napastnik podczas ataku. Ćwiczenia Oto kilka pytań, które pomogą Ci utrwalić sobie kluczowe pojęcia omawiane w tym rozdziale. 1\. Wyjaśnij różnicę pomiędzy podatnością a zagrożeniem. zagrożenie to coś, co ma potencjał wyrządzenia szkody. Zagrożenia są zwykle specyficzne dla określonych środowisk, zwłaszcza w świecie bezpieczeństwa informacji. Podatności to słabe punkty lub luki w zabezpieczeniach, które mogą być wyko rzystane przez napastnika do wyrządzenia szkody. Podatności mogą dotyczyć konkretnego systemu operacyjnego lub aplikacji, 2\. Wymień sześć elementów, które mogą być uznane za logiczne mechanizmy kontrolne. hasła, szyfrowanie, kontrolę dostępu, zapory sieciowe i systemy wykrywania włamań. kodów PIN 3\. Jakiego terminu mógłbyś użyć do opisania użyteczności danych? Najlepszym terminem do opisania użyteczności danych jest **\"utility\"** (użyteczność), zgodnie z heksadą Parkera. W kontekście danych odnosi się to do stopnia, w jakim dane są użyteczne dla użytkownika, przy czym różne stopnie użyteczności mogą zależeć od ich formatu, kontekstu i sposobu dostępu. 4\. Jakie kategorie ataków są atakami na poufność? Przechwytywanie Ataki na poufność obejmują głównie **przechwycenie (interception)**. Przykłady takich ataków to: - Podsłuchiwanie transmisji danych (np. w sieciach bezprzewodowych). - Nieautoryzowany dostęp do plików lub baz danych. - Analiza ruchu sieciowego (np. monitoring metadanych komunikacji). 5\. Skąd wiesz, w którym momencie możesz uznać swoje środowisko za bezpieczne? Określenie dokładnego punktu, w którym można uznać, że dane środowisko jest bezpieczne, stanowi pewne wyzwanie. Czy jesteś bezpieczny, jeżeli Twoje systemy są odpowiednio i na czas aktualizowane? Czy jesteś bezpieczny, jeżeli używasz silnych haseł? Czy jesteś bezpieczny, jeżeli jesteś całkowicie odłączony od internetu? Z mojego punktu widzenia odpowiedź na te wszystkie pytania brzmi: nie. Żadna pojedyncza czynność lub działanie nie zapewni Ci bezpie czeństwa w każdej sytuacji. Dzieje się tak dlatego, że nawet jeżeli Twoje systemy są na bieżąco aktuali zowane, zawsze mogą pojawić się nowe ataki, na które Twoje środowisko będzie podatne. Gdy używasz silnych haseł, atakujący wykorzysta inną drogę. Gdy je steś odłączony od internetu, napastnik nadal może fizycznie uzyskać dostęp do Twoich systemów lub je ukraść. Krótko mówiąc: trudno zdefiniować, kiedy jesteś naprawdę bezpieczny. Z drugiej strony, zdefiniowanie okoliczności, kiedy nie jesteś zabezpieczony, jest znacznie łatwiejsze. Oto kilka przykładów, które mogą po stawić Cię w takiej sytuacji: Nieinstalowanie lub instalowanie z opóźnieniem poprawek bezpieczeństwaν i aktualizacji aplikacji oraz systemów operacyjnych. Używanie słabych haseł, takich jak password czy 1234.ν Pobieranie programów z internetu.ν Otwieranie załączników poczty elektronicznej pochodzących od nieznanychν nadawców. Używanie sieci bezprzewodowych bez odpowiedniego szyfrowania.ν 6\. Korzystając z koncepcji obrony w głąb, jakich warstw mógłbyś użyć, aby zabezpieczyć się przed wyniesieniem przez kogoś poufnych danych z Twojego środowiska na dysku USB?  **Fizyczne mechanizmy kontrolne**: Zablokowanie portów USB na urządzeniach, umieszczenie komputerów w strefach o ograniczonym dostępie.  **Logiczne mechanizmy kontrolne**: - Wyłączenie funkcji zapisu na nośniki USB w systemie operacyjnym. - Użycie oprogramowania do monitorowania i blokowania dostępu do urządzeń USB. - Szyfrowanie danych na poziomie systemowym.  **Administracyjne mechanizmy kontrolne**: - Wdrożenie polityki zakazującej używania nośników USB. - Szkolenia pracowników dotyczące zasad bezpieczeństwa danych. - Regularne audyty i monitorowanie logów dostępu do danych. 7\. Zgodnie z heksadą Parkera jakie zasady zostaną naruszone w przypadku utraty przesyłki z zaszyfrowanymi taśmami zawierającymi kopie zapasowe, na których umieszczono dane osobowe i informacje o płatnościach klientów? - **Poufność**: Zaszyfrowane dane są zabezpieczone, ale ich utrata może prowadzić do potencjalnego naruszenia, jeśli klucz szyfrujący zostanie skompromitowany. - **Posiadanie**: Utrata taśm oznacza brak kontroli nad fizycznym nośnikiem danych. - **Dostępność**: Jeżeli dane na taśmach były jedyną kopią, ich utrata może wpłynąć na dostępność danych. 8\. Jeżeli serwery WWW w Twojej firmie oparte są na serwerach IIS firmy Microsoft, a badacze bezpieczeństwa właśnie odkryli nowego wirusa, który atakuje serwery WWW Apache, to czy nowe zagrożenie stanowi ryzyko dla Twojego środowiska? Nie, nowe zagrożenie dotyczące Apache nie stanowi bezpośredniego ryzyka dla serwerów IIS, ponieważ są to różne technologie. 9\. Jeżeli zamierzasz wdrożyć nową politykę bezpieczeństwa dla swojego środowiska, która wymaga stosowania złożonych i automatycznie generowanych haseł, unikalnych dla każdego systemu i składających się z co najmniej 30 losowych znaków, takich jak !Qa4(j0nO\$&xn1%2AL34ca\#!Ps321\$, na co będzie to miało negatywny wpływ? - **Negatywny wpływ**: - **Użyteczność**: Użytkownicy mogą mieć trudności z zapamiętaniem i wprowadzaniem takich haseł. - **Koszty administracyjne**: Wdrożenie systemów do zarządzania hasłami i szkolenia użytkowników mogą zwiększyć koszty. - **Zwiększone ryzyko zapisania haseł**: Użytkownicy mogą zapisywać hasła w niebezpieczny sposób, np. na karteczkach. 10\. Biorąc pod uwagę triadę CIA i heksadę Parkera, jakie są zalety i wady każdego z tych modeli? **Triada CIA (Poufność, Integralność, Dostępność):** - **Zalety**: - Prosta i zrozumiała. - Skupia się na kluczowych aspektach bezpieczeństwa. - **Wady**: - Nie uwzględnia innych ważnych aspektów, takich jak autentyczność czy posiadanie. **Heksada Parkera (Poufność, Integralność, Dostępność, Posiadanie, Autentyczność, Użyteczność):** - **Zalety**: - Bardziej kompleksowa, uwzględnia dodatkowe aspekty, takie jak autentyczność i posiadanie. - **Wady**: - Bardziej skomplikowana w implementacji i analizie. - Może być trudniejsza do zrozumienia dla osób mniej zaznajomionych z bezpieczeństwem. identyfikacja (ang. identification) pozwala stwierdzić, czym jest ktoś lub coś, a uwierzytelnianie (ang. authentication) pozwala ustalić, czy to stwierdzenie jest prawdziwe. Jednym z powszechnych przykładów transakcji wykorzystujących identyfikację i uwierzytelnianie jest użycie kart płatniczych, które wymagają podania osobistego numeru identyfikacyjnego (PIN-u). Gdy zbliżasz kartę do czytnika, potwierdzasz, że jesteś osobą wskazaną na karcie. W tym momencie podajesz swój identyfikator, ale nic więcej. Kiedy zostaniesz poproszony o wprowadzenie kodu PIN przypisa nego do karty, kończysz część uwierzytelniającą transakcji, udowadniając, że jesteś prawowitym posiadaczem karty. poza kilkoma wyjątkami, takie metody identyfikacji nie są unikatowe i jednoznaczne, a co gorsza, niektóre teoretycznie unikatowe metody identyfikacji, takie jak odciski palców, można oszukać Jedną z najważniejszych reguł, które powi nieneś sobie uświadomić, jest to, że samo podanie tożsamości nie wystarczy. Weryfikacja tożsamości to już krok dalej niż identyfikacja, ale nadal wiele jej brakuje do uwierzytelnienia, które omówię w następnej sekcji. Gdy zostaniesz popro szony o pokazanie dowodu osobistego, prawa jazdy, aktu urodzenia lub innej podobnej formy identyfikacji, zwykle ma to na celu weryfikację tożsamości, a nie uwierzytelnienie. Fałszowanie tożsamości Do takich przestępstw dochodzi, ponieważ w wielu działaniach brakuje wymogów dotyczących uwierzytel niania. Choć większość ludzi uważa, że weryfikacja tożsamości jest wystarcza jąca, łatwo ją obejść, używając sfałszowanych form identyfikacji. W dziedzinie bezpieczeństwa informacji uwierzytelnianie to zbiór metod używanych do ustalenia, czy dane twierdzenie o tożsamości jest prawdziwe. Należy pamiętać, że uwierzytelnianie nie decyduje o tym, co uwierzytelniana strona może robić; jest to oddzielne zadanie, znane jako autoryzacja Istnieje kilka elementów związanych z procesem uwierzytelniania: coś, co wiesz, coś, czym jesteś, coś, co masz, coś, co robisz, i to, gdzie jesteś. Poszczególne ele menty często nazywane są składnikami uwierzytelniania. Coś, co znasz (ang. something you know) ---obejmuje hasła lub kody PIN Coś, czym jesteś (ang. something you are) --- to składnik oparty na względnie unikalnych cechach fizycznych danej osoby, często określany jako biometria. Chociaż biometria może obejmować proste cechy, jak wzrost, waga, kolor włosów. częściej stosowane są znacznie bardziej złożone identyfikatory: odciski palców, wzory tęczówki lub siatkówki oka czy też cechy biometryczne twarzy. Coś, co posiadasz (ang. something you have) --- to składnik zazwyczaj oparty na fizycznym posiadaniu, choć może również obejmować pewne koncepcje logiczne. Typowymi przykładami są karty bankomatowe, dowody tożsamości lub tokeny bezpieczeństwa oparte na oprogramowaniu Coś, co robisz (ang. something you do) --- ten składnik jest czasami uważany za odmianę czegoś, czym jesteś; jest składnikiem opartym na działaniach lub zacho waniach danej osoby. Może to obejmować analizę sposobu chodzenia, pisma od ręcznego lub nawet opóźnień między naciśnięciami klawiszy podczas wpisywania hasła. Mają jednak potencjał do nieprawidłowego odrzucania prawo witych użytkowników To, gdzie jesteś (ang. where you are) --- jest składnikiem uwierzytelniania opartym na kryterium geograficznym. Składnik ten działa nieco inaczej niż po zostałe, ponieważ wymaga obecności osoby w określonym miejscu. Na przykład przy zmianie kodu PIN do bankomatu większość banków wymaga, abyś udał się do oddziału, Uwierzytelnianie wieloskładnikowe (ang. multifactor authentication) wykorzy stuje jeden lub więcej składników omówionych w poprzedniej sekcji. Jeżeli uży wasz tylko dwóch składników, takie rozwiązanie jest również czasami nazywane uwierzytelnianiem dwuskładnikowym (ang. two-factor authentication). W tym przypadku używasz cze goś, co znasz (Twój PIN), i czegoś, co posiadasz (Twoja karta bankomatowa). Karta bankomatowa służy zarówno jako składnik uwierzytelniający, jak i forma identyfikacji. Uwierzytelnianie wzajemne (ang. mutual authentication) to mechanizm uwie rzytelniania, w którym obie strony transakcji uwierzytelniają się nawzajem. W takich rozwiązaniach obie strony są zazwyczaj oparte na oprogramowaniu. W przypadku standardowego, jednokierunkowego procesu uwierzytelniania klient uwierzy telnia się na serwerze. We wzajemnym uwierzytelnianiu nie tylko klient uwie rzytelnia się dla serwera, ale także serwer uwierzytelnia się dla klienta. Wzajemne uwierzytelnianie często jest oparte na certyfikatach cyfrowych, jeżeli nie przeprowadzasz wzajemnego uwierzytelniania, narażasz się na ataki wykorzystujące podszywanie się, często określane jako ataki typu man-in-the-middle (człowiek w środku). W takim ataku napastnik umiejscawia się pomiędzy klien tem a serwerem, a następnie zaczyna dla klienta udawać serwer, a dla serwera udawać klienta, Jest to zazwyczaj możliwe, ponieważ atakujący musi podważyć lub sfałszować uwierzytelnienie tylko od klienta do serwera. Możesz również połączyć wzajemne uwierzytelnianie z uwierzytelnianiem wieloskładnikowym, choć to ostatnie zazwyczaj odbywa się tylko po stronie klienta. ![](media/image6.png) gólnie mówiąc, systemy biometryczne można wykorzystać na dwa sposoby. Możemy użyć ich do weryfikacji tożsamości, jak to omawiałem wcześniej, albo możemy odwrócić ten proces i użyć biometrii jako metody identyfikacji. Taki od wrócony proces jest powszechnie stosowany przez organy ścigania do identyfikacji właścicieli odcisków palców pozostawionych na różnych przedmiotach w miejscu przestępstwa Przetwarzanie odcisków palców może również obejmować analizę charakterystycznych cech pojawiających się w określonych częściach ich obrazu; takie elementy nazywane są minucjami Czynniki biometryczne są definiowane przez siedem cech: uniwersalność, unikal ność, niezmienność, mierzalność, wydajność, akceptowalność i niepodrabialność4. - Uniwersalność oznacza, że wybraną cechę biometryczną można znaleźć u więk szości osób, które mają być zarejestrowane w systemie Nawet jeżeli wybierzesz wspólną, powszechnie występującą cechę, czyli odciski palców, powinieneś wziąć pod uwagę fakt, że niektórzy ludzie mogą nie mieć np. palca wskazującego u prawej ręki, i być przy gotowany na kompensację tego faktu. - Unikalność to miara tego, jak unikalna jest dana cecha biometryczna w danej populacji. Na przykład jeżeli jako identyfikatora biometrycznego zdecydujesz się użyć wzrostu lub wagi, - Z tego względu do systemów biometrycznych powinieneś wybierać cechy o wysokim stopniu unikalności, takie jak DNA lub wzór tęczówki oka, ale nawet one mogą się powtarzać lub być celowo powielane --- np. bliźnięta jednojajowe mają ten sam kod DNA - Niezmienność sprawdza, jak bardzo dana cecha jest odporna na zmiany w miarę upływu czasu. - Mierzalność określa, jak łatwo jest zmierzyć daną cechę. - Wydajność opisuje to, jak dobrze funkcjonuje dany system biometryczny w kon tekście szybkości działania, dokładności i poziomu błędów. - Akceptowalność jest miarą tego, na ile dana cecha biometryczna jest akcep towalna dla użytkowników systemu. Ogólnie mówiąc, systemy, które są powolne w działaniu czy trudne lub niewygodne w użyciu, mają zdecydowanie mniejsze szanse na powszechne zaakceptowanie przez użytkowników - Niepodrabialność opisuje, jak łatwo jest oszukać dany system poprzez użycie sfałszowanego czy podrobionego identyfikatora biometrycznego. Klasycznym przykładem ataku na systemy wykorzystujące czytniki linii papilarnych jest tzw. żelowy palec. W takim ataku odcisk palca jest zdejmowany z powierzchni Ćwiczenia 1. Jaka jest różnica pomiędzy weryfikacją a uwierzytelnieniem tożsamości? identyfikacja (ang. identification) pozwala stwierdzić, czym jest ktoś lub coś, a uwierzytelnianie (ang. authentication) pozwala ustalić, czy to stwierdzenie jest prawdziwe. 2\. W jaki sposób można zmierzyć odsetek nieudanych prób uwierzytelnienia uprawnionych użytkowników w systemie biometrycznym? analizę wskaźnika fałszywego odrzucenia (FRR, False Rejection Rate). FRR mierzy, jak często system odrzuca poprawne próby uwierzytelnienia uprawnionych użytkowników. 3\. Jak nazywamy proces, w którym klient uwierzytelnia się dla serwera, a serwer uwierzytelnia się dla klienta? Uwierzytelnianie wzajemne 4\. Do jakich składników uwierzytelniania możemy zaliczyć zwykły klucz? Coś, co posiadasz (ang. something you have) --- to składnik zazwyczaj oparty na fizycznym posiadaniu, choć może również obejmować pewne koncepcje logiczne. Typowymi przykładami są karty bankomatowe, dowody tożsamości lub tokeny bezpieczeństwa oparte na oprogramowaniu, 5\. Jaki czynnik biometryczny opisuje odporność danej cechy na zmiany w czasie? Niezmienność sprawdza, jak bardzo dana cecha jest odporna na zmiany w miarę upływu czasu 6\. Jeżeli używasz dowodu osobistego jako podstawy dla swojego schematu uwierzytelniania, jakie kroki możesz dodać do procesu, aby umożliwić przejście do uwierzytelniania wieloskładnikowego? 1. **Dodanie PIN-u lub hasła** -- użytkownik musiałby podać coś, co wie. 2. **Wprowadzenie tokenu sprzętowego lub aplikacji mobilnej** -- coś, co użytkownik posiada. 3. **Zastosowanie biometrii** -- np. skan odcisku palca, twarzy lub tęczówki oka (coś, czym użytkownik jest). 4. **Geolokalizacja** -- uwzględnienie miejsca, gdzie użytkownik się znajduje, jako dodatkowego składnika uwierzytelniania. 7\. Jeżeli używasz ośmioznakowego hasła składającego się tylko z małych liter, czy zwiększenie jego długości do dziesięciu znaków oznaczałoby znaczący wzrost siły hasła? Dlaczego tak lub dlaczego nie?  Nawet przy użyciu tylko jednego zestawu znaków (małe litery), zwiększenie długości hasła istotnie podnosi poziom bezpieczeństwa.  Oczywiście, jeszcze lepszym rozwiązaniem byłoby użycie większej liczby różnych zestawów znaków (wielkie litery, cyfry, znaki specjalne), co dodatkowo zwiększyłoby złożoność hasła. 8\. Wymień trzy powody, dla których sam dowód osobisty może nie być idealną metodą uwierzytelniania.  **Łatwość sfałszowania** -- dowód osobisty można podrobić.  **Brak potwierdzenia tożsamości posiadacza** -- fizyczne posiadanie dowodu nie gwarantuje, że należy on do osoby go używającej.  **Możliwość kradzieży** -- dowód osobisty można zgubić lub może zostać skradziony. 9\. Jakie składniki można wykorzystać przy wdrażaniu schematu uwierzytelniania wieloskładnikowego dla użytkowników logujących się na stacje robocze, które znajdują się w bezpiecznym środowisku i są używane przez więcej niż jedną osobę?  **Coś, co wiesz** -- hasło lub PIN.  **Coś, co posiadasz** -- karta dostępu, token sprzętowy, aplikacja mobilna.  **Coś, czym jesteś** -- biometryka, np. odcisk palca, skan twarzy.  **To, gdzie jesteś** -- uwierzytelnianie oparte na lokalizacji.  **Coś, co robisz** -- analiza zachowań, np. sposób wpisywania hasła. 10\. Jeżeli opracowujesz system uwierzytelniania wieloskładnikowego dla środowiska, w którym może znajdować się większa niż przeciętnie liczba niepełnosprawnych lub chorych użytkowników, np. szpitala, jakich składników uwierzytelniania mógłbyś używać, a jakich powinieneś unikać? Dlaczego? **Składniki zalecane:** - **Biometria dostosowana do użytkownika** -- np. skan twarzy dla osób z ograniczoną mobilnością. - **Tokeny sprzętowe lub aplikacje mobilne** -- łatwe w użyciu. - **Hasła głosowe** -- dla osób z ograniczeniami ruchowymi. **Składniki do unikania:** - **Tradycyjne hasła lub PIN-y** -- mogą być trudne do wprowadzenia dla osób z niepełnosprawnością ruchową. - **Niektóre metody biometryczne** -- np. skanowanie odcisków palców dla osób z uszkodzeniami dłoni. Rozliczalność działań użytkowników (ang. accountability) oznacza możliwość upewnienia się, że dana osoba jest odpowiedzialna za swoje działania. audytowaniem, czyli procesem przeglądu dokumen tacji, logów i innych źródeł danych. Audyty przeprowadzamy, aby się upewnić, że ludzie przestrzegają przepisów prawa, zasad i innych rozporządzeń organów kontroli administracyjnej. 1. **Rozliczalność**: Umożliwia pociągnięcie użytkowników do odpowiedzialności za ich działania w systemie poprzez monitorowanie ich aktywności w określonym czasie. 2. **Procesy wspierające rozliczalność**: - Identyfikacja. - Uwierzytelnianie. - Autoryzacja. 3. **Powiązanie zdarzeń z użytkownikami**: Kluczowe dla ustalenia, kto wykonał określone działania i na jakiej podstawie. **Mechanizmy audytowania:** 4. **Krytyka nadzoru**: - Nadmierny monitoring może tworzyć niezdrową atmosferę pracy. - Brak monitoringu zwiększa ryzyko naruszeń polityki bezpieczeństwa. 5. **Znaczenie równowagi**: - Zbyt mała kontrola może prowadzić do katastrofalnych incydentów, jak w przypadku Equifax. **Case study: Włamanie do Equifax (2017):** 6. **Przyczyny incydentu**: - Wykorzystanie luki w Apache Struts2 (CVE-2017-5638) umożliwiającej zdalne wykonanie kodu. - Brak szybkiego wdrożenia poprawek bezpieczeństwa. - Słabe mechanizmy ochrony danych: - Brak wydzielenia i ochrony serwerów przetwarzających dane wrażliwe. - Nieskuteczne mechanizmy kontroli dostępu. 7. **Skutki**: - Wykradzenie danych 147 mln Amerykanów. - Krótkotrwały spadek kursów akcji, brak poważniejszych konsekwencji dla firmy. **Regulacje prawne:** 8. **Obowiązki firm**: - Powiadamianie o naruszeniach bezpieczeństwa (np. w USA i UE obowiązują przepisy dotyczące ujawniania incydentów). - Wymogi prawne zmuszają firmy do przestrzegania zasad rozliczalności. 9. **Konsekwencje nieujawnienia incydentów**: - Poważniejsze reperkusje prawne, biznesowe i osobiste w przypadku zatajenia naruszenia. Korzyści dla bezpieczeństwa wynikające z rozliczalności Prawidłowe wdrożenie mechanizmów rozliczalności znacząco wpływa na zwięk szenie bezpieczeństwa środowiska firmy czy organizacji: pozwala na zastosowa nie zasady niezaprzeczalności, stanowi czynnik odstraszający dla użytkowników, którzy w przeciwnym razie mogliby nadużywać dostępu do zasobów, oraz po maga w wykrywaniu włamań i zapobieganiu im. Procesy i rozwiązania stosowane w celu zapewnienia rozliczalności mogą również pomóc w przygotowaniu mate riałów do ewentualnego postępowania sądowego. Niezaprzeczalność (ang. non-repudiation) odnosi się do sytuacji, w której dana osoba nie jest w stanie skutecznie zaprzeczyć, że złożyła dane oświadczenie lub pod jęła działanie, zazwyczaj dlatego, że mamy wystarczające dowody, że to zrobiła. W kontekście bezpieczeństwa informacji niezaprzeczalność można osiągnąć na wiele sposobów. Można przedstawić dowód działania bezpośrednio z dzienników zdarzeń systemowych lub sieciowych lub pozyskać odpowiedni materiał dowo dowy poprzez wykorzystanie informatyki śledczej do przeprowadzenia cyfrowego badania kryminalistycznego systemu lub urządzeń, których dotyczy dane zdarzenie. Niezaprzeczalność można również osiągnąć przy użyciu różnych technologii szyfrowania, takich jak funkcje skrótu, pozwalających na cyfrowe podpisanie komu nikacji lub pliku. Rozliczalność może się również okazać świetnym środkiem odstraszającym przed niewłaściwymi zachowaniami użytkowników w danym środowisku. Kluczem do odstraszania jest uświadomienie użytkownikom, że będą odpo wiadali za swoje działania. Efekt odstraszania zwykle osiąga się za pomocą pro cesów audytu i monitorowania, jeżeli reguły postępowania i konsekwencje ich naruszenia nie zostaną jasno i wyraźnie sprecyzowane, środek odstraszający może utracić większość swojej siły i przestanie pełnić swoją funkcję. Audytując informacje w środowisku firmy, można wykrywać włamania i im za pobiegać zarówno w kontekście logicznym, jak i fizycznym. Narzędzia takie można podzielić na dwie główne kategorie: systemy wykrywania włamań (ang. Intrusion Detection Systems --- IDS) i sys temy zapobiegania włamaniom (ang. Intrusion Prevention Systems --- IPS). Systemy IDS to narzędzia służące wyłącznie do monitorowania i alarmowa nia, które powiadamiają użytkownika o ataku lub innej niepożądanej aktywności. Systemy IPS, które często opierają się na informacjach przesyłanych przez sys temy IDS, mogą podejmować działania na podstawie zdarzeń zachodzących w środowisku. Na przykład po wykryciu ataku system IPS może zablokować cały ruch sieciowy przychodzący ze i wychodzący do źródła ataku. ### **Dopuszczalność zapisów jako materiału dowodowego** 1. **Formalno-prawne wymogi gromadzenia dowodów:** - Zapisy z dzienników zdarzeń i systemów monitorujących mogą być używane jako dowody w postępowaniu sądowym, jeśli są gromadzone zgodnie z określonymi standardami. 2. **Łańcuch dowodowy (ang. *chain of custody*):** - Kluczowy element akceptacji dowodów przez sąd. - Musi być solidny i udokumentowany. - Powinien zawierać informacje: - Jak dowód został pozyskany. - Gdzie i jak był przechowywany. - Kto miał dostęp do dowodu od momentu zebrania do rozpoczęcia postępowania. 3. **Mechanizmy rozliczalności:** - Powinny zapewniać możliwość tworzenia nieprzerwanego łańcucha dowodowego. - Brak takiego mechanizmu może skutkować uznaniem dowodów za poszlakowe, co osłabia ich wartość w sprawie. 4. **Znaczenie zgodności z wymogami:** - Zabezpieczenie dowodów zgodnie z wymogami zwiększa szanse ich akceptacji jako materiału dowodowego. - Nieprzestrzeganie zasad może prowadzić do odrzucenia dowodów lub ograniczenia ich znaczenia w postępowaniu. Audytowanie (ang. auditing) to inaczej mówiąc, niezależna ocena danej organi zacji, systemu, procesu, projektu, zdarzenia czy produktu. Jednym z podstawowych sposobów zapewnienia rozliczalności za pomocą środków technicznych jest prowadzenie dokładnych zapisów dotyczących tego, kto co robił i kiedy to robił, a następnie sprawdzanie takich zapisów. Niektóre firmy i organizacje mogą być również związane wymaganiami kontrak towymi lub prawnymi, które obligują je do poddawania się audytom w regular nych odstępach czasu. W wielu przypadkach takie audyty są przeprowadzane przez niezależne podmioty zewnętrzne, posiadające odpowiednie certyfikaty i uprawnie nia do wykonywania tych zadań. W świecie bezpieczeństwa informacji firmy i organizacje zazwyczaj poddają audy towaniu czynniki, które decydują o dostępie do różnych systemów. Na przykład można audytować hasła, co pozwala na egzekwowanie zasad ich tworzenia i uży Wania. W wielu przypadkach systemy operacyjne mogą automatycznie sprawdzać siłę haseł i automatycznie zarządzać ich zmianami przy użyciu wbudowanych funkcji lub narzędzi zewnętrznych. W tych sytuacjach należy również przeprowadzać audyt takich narzędzi, aby się upewnić, że działają one prawidłowo. Rejestrowanie zdarzeń pozwala na zachowanie historii działań, które zaistniały w danym środowisku. Rejestrowanie zdarzeń jest narzędziem reaktywnym; pozwala na przeglądanie zapisu zdarzenia po jego wystąpieniu. Aby zareagować na jakieś zdarzenie w trakcie jego trwania, należy użyć narzędzi takich jak systemy IDS czy IPS ### Co może podlegać audytowi? #### 1. **Audyt haseł** - **Cel**: Egzekwowanie zasad tworzenia i używania haseł. - **Zakres**: - Sprawdzanie siły haseł. - Monitorowanie częstotliwości zmiany haseł. - Audyt narzędzi zarządzających hasłami (wbudowanych lub zewnętrznych). - **Znaczenie**: Bezpieczne hasła utrudniają złamanie zabezpieczeń przez napastników. #### 2. **Audyt licencji na oprogramowanie** - **Cel**: Upewnienie się, że używane oprogramowanie posiada legalne licencje. - **Organizacje nadzorujące**: - **Business Software Alliance (BSA)**: - Regularne audyty firm. - Wysokie kary za naruszenia (do 250 000 USD za nielegalną kopię + koszty prawne). - Nagrody dla sygnalistów (do 1 000 000 USD). - **Znaczenie**: - Unikanie kar finansowych. - Zapewnienie zgodności z przepisami. #### 3. **Monitoring korzystania z internetu** - **Zakres**: - Odwiedzane strony internetowe. - Aktywność w komunikatorach, e-mailach, przesyłanie plików. - **Narzędzia**: - Serwery proxy: - Kierowanie ruchu przez bramki wyjściowe. - Rejestrowanie, skanowanie i filtrowanie ruchu. - **Znaczenie**: Kontrola i zapobieganie nadużyciom przez pracowników. #### 4. **Rejestrowanie (logowanie) zdarzeń** - **Cel**: Zachowanie historii działań w środowisku IT. - **Zakres logów**: - Zdarzenia krytyczne, błędy, awarie sprzętu. - Próby logowania (udane i nieudane). - Dostęp do zasobów (uprawniony i nieuprawniony). - **Zastosowania**: - Reaktywne przeglądanie zdarzeń po ich wystąpieniu. - Analiza incydentów bezpieczeństwa. - **Znaczenie**: - Regularne przeglądanie logów jest kluczowe. - Użycie narzędzi (np. grep) do analizy dużych zbiorów danych. #### 5. **Ważne praktyki audytowe** - **Planowanie regularnych audytów**: - Haseł, licencji, logów i systemów monitorowania. - **Automatyzacja i narzędzia**: - Wykorzystanie skryptów i narzędzi do analizy logów. - **Działania prewencyjne**: - Eliminowanie problemów przed oficjalnymi audytami. Monitorowanie, będące podzbiorem audytowania, polega na obserwowaniu in formacji o funkcjonowaniu środowiska w celu wykrycia niepożądanych warun ków, takich jak awarie, braki zasobów i problemy bezpieczeństwa, a także tren dów zdarzeń, które mogą sygnalizować nadejście takich warunków. Podobnie jak rejestrowanie zdarzeń, monitorowanie jest w dużej mierze działaniem reaktyw nym, gdyż wszelkie działania podejmuje się na bazie zebranych wcześniej danych, zazwyczaj z logów generowanych przez rozmaite urządzenia. W przypadku wykrycia nietypowego poziomu takiej aktywności, nazywa nego poziomem wyzwalania, system monitoringu może wysłać alert do admini stratora systemu lub pracowników działu bezpieczeństwa, a nawet podjąć bardziej bezpośrednie działania: zablokowanie ruchu z konkretnego adresu IP, audytu z oceną podatności na zagrożenia, który pozwala na zidentyfikowanie potencjalnych podatności i luk w zabezpieczeniach, zanim zrobią to atakujący. : Narzędzia te skanują systemy docelowe w celu wykrycia otwartych portów, a następnie sprawdzają poszczególne otwarte porty, by się do wiedzieć, jakie usługi na nich nasłuchują. Dodatkowo przed rozpoczęciem ska nowania użytkownik może podać dane uwierzytelniające (jeżeli je posiada), aby umożliwić skanerowi podatności zalogowanie się na danym urządzeniu i zebra nie znacznie bardziej szczegółowych informacji, takich jak lista zainstalowanego oprogramowania, informacje o użytkownikach, Testy penetracyjne posuwają proces oceny podatności o kilka kroków dalej. Przeprowadzając taki test, naśladujemy techniki, jakich użyłby rzeczywisty na pastnik, aby włamać się do systemu. Ćwiczenia 1. Jakie korzyści przynosi rejestrowanie zdarzeń? 2\. Omów różnice pomiędzy autoryzacją a rozliczalnością. audytowaniem, czyli procesem przeglądu dokumen tacji, logów i innych źródeł danych. Aby mieć pewność, że w razie wystąpienia incydentu bezpieczeństwa możesz pociągnąć użytkowników do odpowiedzialności za ich działania, należy monito rować wszystkie ich poczynania w danym środowisku w określonym przedziale czasowym. Aby to zrobić, powinieneś używać procesów identyfikacji, uwierzy telniania i autoryzacji do sprawdzenia, z kim są związane poszczególne zdarzenia i jakie uprawnienia pozwoliły na ich wykonanie. 3\. Opisz, na czym polega atrybut niezaprzeczalności. przykładem zastosowania atrybutu niezaprzeczalności jest sytuacja, gdzie system podpisuje cyfrowo każdą wiadomość e-mail, która jest z niego wysyłana, uniemożliwiając zaprzeczenie, że dana wiadomość pochodzi z tego konkretnego systemu. **Opis:** Niezaprzeczalność odnosi się do sytuacji, w której dana osoba nie może skutecznie zaprzeczyć, że wykonała określone działanie lub złożyła dane oświadczenie. Jest to możliwe dzięki posiadaniu wystarczających dowodów potwierdzających to działanie. **Jak osiąga się niezaprzeczalność?** 1. **Dowody techniczne:** - Analiza dzienników zdarzeń systemowych lub sieciowych. - Wykorzystanie informatyki śledczej do cyfrowego badania urządzeń lub systemów. 2. **Technologie kryptograficzne:** - **Funkcje skrótu**: Pozwalają na cyfrowe podpisanie komunikacji lub plików, co zapewnia ich autentyczność. - **Cyfrowe podpisy**: System może podpisywać każdą wiadomość e-mail, uniemożliwiając zaprzeczenie jej pochodzenia. **Przykłady:** - System wysyłający cyfrowo podpisane e-maile, które jednoznacznie identyfikują ich źródło. - Zastosowanie funkcji skrótu do zabezpieczenia integralności i pochodzenia dokumentów 4\. Wymień pięć elementów, które możesz chcieć poddać audytowi.  **Hasła i polityka ich tworzenia** -- sprawdzenie, czy są silne i zgodne z polityką bezpieczeństwa.  **Licencje na oprogramowanie** -- weryfikacja legalności używanego oprogramowania.  **Logi zdarzeń systemowych** -- analiza rejestrowanych działań użytkowników i systemów.  **Dostęp do zasobów** -- audyt poziomów uprawnień i wykorzystywania zasobów.  **Konfiguracja systemów i sieci** -- sprawdzenie, czy są zgodne z najlepszymi praktykami bezpieczeństwa. 5\. Dlaczego rozliczalność jest taka ważna, gdy mamy do czynienia z przetwarzaniem danych o wrażliwym charakterze? Rozliczalność zapewnia możliwość identyfikacji i przypisania odpowiedzialności za działania związane z danymi wrażliwymi. Jest to kluczowe, ponieważ: - Chroni dane przed nadużyciami. - Umożliwia wykrycie i zapobieganie naruszeniom. - Zapewnia zgodność z regulacjami prawnymi (np. RODO). - Buduje zaufanie klientów do organizacji. 6\. Dlaczego przeprowadzenie audytu zainstalowanego oprogramowania jest z reguły bardzo dobrym pomysłem? Audyt oprogramowania pomaga: - Zapewnić zgodność z licencjami, unikając kar finansowych. - Zidentyfikować nielegalne lub przestarzałe aplikacje, które mogą stanowić zagrożenie. - Utrzymać porządek w środowisku IT i optymalizować koszty licencji. - Zwiększyć bezpieczeństwo poprzez eliminację podatnych aplikacji. 7\. Dlaczego wdrożenie rozwiązań zapewniających rozliczalność jest niezbędne, gdy masz do czynienia z wymogami prawnymi lub kontraktowymi? Rozliczalność umożliwia spełnienie wymagań formalno-prawnych, takich jak: - Udokumentowanie działań zgodnych z regulacjami. - Tworzenie łańcucha dowodowego w przypadku sporów prawnych. - Zapewnienie zgodności z umowami kontraktowymi i audytami zewnętrznymi.\ Brak rozliczalności może skutkować sankcjami prawnymi lub finansowymi. 8\. Jaka jest różnica pomiędzy wyszukiwaniem podatności i luk w zabezpieczeniach a testami penetracyjnymi? - **Wyszukiwanie podatności**: Automatyczne skanowanie systemów w celu identyfikacji znanych luk. Jest szybkie i obejmuje szeroki zakres. - **Testy penetracyjne**: Ręczne lub półautomatyczne symulacje ataków, które weryfikują rzeczywiste możliwości wykorzystania luk. Są bardziej szczegółowe i realistyczne. 9\. Jaki wpływ może mieć rozliczalność na dopuszczenie materiału dowodowego w sprawach sądowych? Rozliczalność umożliwia: - Udokumentowanie łańcucha dowodowego, co zwiększa wiarygodność materiału. - Zapewnienie integralności danych, dzięki czemu dowody są trudniejsze do podważenia. - Spełnienie wymogów proceduralnych dotyczących gromadzenia i przechowywania dowodów. 10\. Masz środowisko, w którym działają serwery przetwarzające wrażliwe dane klientów. Część z tych serwerów jest podłączona do internetu. Czy w takim środowisku chciałbyś przeprowadzić wyszukiwanie podatności i luk w zabezpieczeniach, przeprowadzić testy penetracyjne, czy zastosować oba te rozwiązania naraz? Dlaczego? W takim środowisku należy zastosować **oba rozwiązania**: - **Wyszukiwanie podatności**: Pozwala na szybkie wykrycie i załatanie znanych luk. - **Testy penetracyjne**: Umożliwiają ocenę, jak rzeczywiście można wykorzystać luki do ataku.\ Oba podejścia się uzupełniają, zapewniając kompleksowe zabezpieczenie systemu. zazwyczaj nie mamy pełnej kontroli nad pracownikami, którzy mogą klikać niebezpieczne linki, wysyłać poufne informacje niezabezpie czonymi kanałami, przekazywać hasła lub umieszczać ważne dane w widocz nych miejscach. ataków socjotechnicznych (ang. social engineering attacks), w których manipulują ludźmi w celu zdobycia informacji lub dostępu do chro nionych obiektów. Ataki takie często opierają się na wrodzonej gotowości ludzi do pomagania innym, ochronę organizacji przed takimi atakami, ustalając odpowiednie zasady i ucząc pracowników rozpoznawania tego typu zagrożeń techniki socjotechniczne, zadzwoni i spanikowanym głosem poprosi o kopię najnowszego raportu TPS-13 z katalogu sprzedaży na serwerze SalesCom, ponieważ za 15 minut ma spotkanie z panem Kurosawą, a jego laptop właśnie się zepsuł, ma zdecydowanie większe szanse na powodzenie --- taka sy tuacja to przykład ataku socjotechnicznego znanego jako atak pretekstowy (ang. pretexting), Gromadzenie informacji przydatnych do przeprowadzania ataków socjotechnicznych - Rozpoznanie osobowe (ang. human intelligence --- HUMINT), czyli informacje gromadzone i przekazywane przez źródła osobowe, to jedno z najważniejszych narzędzi wywiadowczych wykorzystywanych przez organizacje wojskowe i or gana ścigania na całym świecie. Dane HUMINT mogą obejmować osobiste ob serwacje, rozkłady zajęć, informacje poufne, technik siłowych, takich jak tortury, lub poprzez oszukiwanie uczestników za pomocą wyrafinowanych podstępów - Biały wywiad (ang. open source intelligence --- OSINT) to informacje zebrane z publicznie dostępnych źródeł, jak ogłoszenia o pracy, media społecznościowe, rejestry publiczne czy serwisy informacyjne. - W życiorysach można znaleźć historię pracy danego pracownika czy umiejętno ści i zainteresowania. firmy często ujawniają informacje, które w innym przypadku uważałyby za po ufne, w tym lokalizacje biur i centrów danych, szczegóły dotyczące infrastruktury sieciowej lub bezpieczeństwa oraz używanego oprogramowania. Rekruterzy mogą uznać, że zamieszczenie tych informacji jest konieczne - Napastnicy mogą łatwo zbierać cenne informacje o środowisku celu z mediów społecznościowych, takich jak Facebook i Twitter, obserwując aktywność pracowni ków, wyszukując i analizując listy znajomych i inne kontakty społeczne, a nawet śledząc fizyczną lokalizację. Te informacje mogą być następnie wykorzystywane do monitorowania wybranych osób lub podjęcia bardziej bezpośrednich działań, jak szantaż. - Rejestry publiczne mogą dostarczyć wielu cennych wiadomości na temat środowiska celu, w tym informacji o historii kredytowej, małżeństwach, rozwodach, postępowa niach sądowych czy mandatach - Google i inne wyszukiwarki sieciowe są doskonałym źródłem pozyskiwania informacji, szczególnie gdy używamy bardziej zaawansowanych operatorów wyszukiwania, np.: site --- ogranicza wyniki zapytania do danych z konkretnej witrynyν (site:nostarch.com); filetype --- ogranicza wyniki do określonego typu plików (filetype:pdf);ν intext --- znajduje strony, które zawierają dane słowo lub słowaν (intext:security); inurl --- znajduje strony, które zawierają dane słowo lub słowa w adresieν URL (inurl:security). - Metadane to informacje o danych znajdujące się w prawie każdym pliku, które mogą ujawnić nie tylko prozaiczne informacje, takie jak znaczniki czasu i staty styki plików, ale także bardziej interesujące dane, jak nazwy użytkowników, na zwy serwerów, ścieżki do plików sieciowych, oraz informacje, które w pliku zostały już usunięte lub zaktualizowane. Metadane zapisywane w plikach graficznych i plikach wideo, nazywane danymi EXIF (ang. Exchangeable Image File Format), zawierają wiele inte resujących informacji, takich jak ustawienia migawki aparatu i informacje o urzą dzeniu. Dane EXIF można przeglądać i edytować za pomocą programu ExifTool - Witryna Shodan, wyszukiwarka internetowa, która pozwala na wyszukiwanie informacji o urządzeniach i systemach podłączo nych do internetu. takich informacji, jak konkretne typy urządzeń, oprogramowanie czy otwarte porty. - Pakiet Maltego jest narzę dziem do zbierania informacji, które wykorzystuje relacje między poszczegól nymi punktami danych, zwane transformacjami, do odkrywania nowych informacji powiązanych z informacjami, które już posiadasz. Na przykład pracę z programem możemy zacząć od podania Maltego nazwy domeny strony internetowej, a następnie użyć odpowiednich transformacji, aby znaleźć nazwiska i adresy e-mail wymienione na tej stronie. - Rozpoznanie geoprzestrzenne GEOINT (ang. Geospatial intelligence) ---ν informacje geograficzne, zazwyczaj pochodzące z obserwacji satelitarnych. - Rozpoznanie pomiarowo-badawcze MASINT (ang. Measurement andν signature intelligence) --- dane pomiarowe i sygnatury z czujników, takich jak czytniki optyczne lub pogodowe. MASINT zawiera niektóre rodzaje informacji wywiadowczych specyficzne dla danego czujnika, np. RADINT (ang. Radar intelligence --- rozpoznanie radiolokacyjne), czyli informacje zbierane za pomocą radarów. - Rozpoznanie elektromagnetyczne SIGINT (ang. Signals intelligence) ---ν dane zbierane poprzez przechwytywanie sygnałów przekazywanych między ludźmi lub systemami. SIGINT możemy podzielić na rozpoznanie komunikacyjne (ang. Communication intelligence --- COMINT) w odniesieniu do komunikacji między ludźmi oraz wywiad elektroniczny (ang. Electronic intelligence --- ELINT) w odniesieniu do komunikacji między systemami. - Wywiad techniczny TECHINT (ang. Technical intelligence) --- dane wywiadowcze dotyczące sprzętu, technologii i broni, często gromadzone w celu opracowania środków zaradczych. - Wywiad finansowy FININT (ang. Financial intelligence) --- daneν dotyczące transakcji finansowych firm i osób fizycznych, często pozyskiwane od instytucji finansowych. - Rozpoznanie cyberprzestrzeni CYBINT (ang. Cyber intelligence)/rozpoznanieν sieci cyfrowych DNINT (ang. Digital network intelligence) --- dane wywiadowcze zebrane z systemów i sieci komputerowych. Rodzaje ataków - ataków pretekstowych (ang. pretexting) napastnicy wykorzystują zebrane informacje, Używając fałszywej tożsamości, tworzą wiarygodne scenariusze, które przekonują osobę będącą celem ataku do ujawnienia poufnych informacji lub wykonania czynności, których normalnie nie wykonałaby dla nieznajomych. Napastnik może dokonać próby przeprowadzenia takiego ataku zarówno pod czas bezpośredniego spotkania, jak i za pośrednictwem dowolnego medium komunikacyjnego - Phishing Phishing to technika socjotechniczna, w której napastnik wykorzystuje komuni kację elektroniczną, taką jak poczta elektroniczna, SMS-y lub rozmowy telefo niczne, aby zebrać dane o osobie będącej celem ataku lub zainstalować w jej systemie złośliwe oprogramowanie, zazwyczaj poprzez przekonanie takiej osoby do kliknięcia linku prowadzącego do złośliwej strony internetowej. Fałszywe strony wykorzystywane w internetowych atakach phishingowych zazwyczaj przypominają dobrze znane witryny internetowe, takie jak strony ban ków, mediów społecznościowych czy sklepów internetowych. ataki phishingowe opierają się na nieostrożności odbiorcy, a ich skuteczność zwykle pozostaje stosunkowo niska - Aby osiągnąć wyższy wskaźnik skuteczności, atakujący mogą uciec się do spear phishingu, czyli ataków phishingowych ukierunkowanych na konkretne firmy, organizacje lub osoby. Podczas gdy zwykłe ataki phishingowe mogą się wydawać nieudolne i źle skonstruowane, a ich celem jest oszukanie niewielkiego procenta dużej puli odbior ców,.Napastnik prze prowadzający atak spear phishingu zazwyczaj wysyła znakomicie przygotowane wiadomości, posiadające odpowiednie logo, szatę graficzną i treść, a wszelkie złośliwe linki są starannie zamaskowane. - Tailgating Tailgating, czyli tzw. wchodzenie na ogonie, polega na próbie przejścia przez punkt kontroli dostępu, taki jak zabezpieczone drzwi, bezpośrednio po osobie upraw nionej, bez używania poświadczeń, odznaki lub klucza, które normalnie są potrzebne do wejścia. zdarza się niemal w każdym miejscu, częściowo z powodu nieostrożności uprawnio nych użytkowników, a częściowo dlatego, że większość ludzi ma tendencję do unikania konfrontacji z innymi ludźmi. Kilka dobrze dobranych rekwizytów, np. uniform kuriera czy służby technicznej, oraz odpowiednie wykorzystanie wiedzy psychologicznej mogą umożliwić napastnikowi zdobycie sympatii i zaufania Budowanie świadomości bezpieczeństwa użytkowników poprzez programy szkoleniowe - Aby chronić swoją organizację, należy konsekwentnie budować świadomość bezpieczeństwa wśród użytkowników poprzez wdrożenie wielopoziomowego programu szkoleń z zakresu bezpieczeństwa. Szkolenia takie często składają się z serii wykładów prowadzonych przez instruktora lub z zajęć komputerowych, które są realizowane podczas procesu wdrażania nowych pracowników, a następnie uzupełniane obowiązkowymi quizami. Szkolenia można również powtarzać w regularnych odstępach czasu, aby pracownik dobrze przyswoił sobie prezentowane informacje. - Hasła użytkownicy tworzą silne hasła, nie możesz łatwo kontrolować, co zrobią z nimi później. Należy nakłaniać użytkowników do tworzenia sil nych haseł, nawet jeżeli nie są do tego bezpośrednio zobligowani, informować, że nie powinni zostawiać bądź zapisywać haseł w miejscach, w których mogą one zostać łatwo odnalezione przez osoby trzecie, a także prosić o nieużywanie tego samego hasła wielokrotnie w wielu różnych systemach i aplikacjach. - Szkolenia z zakresu inżynierii społecznej Szkolenie użytkowników w zakresie rozpoznawania ataków socjotechnicznych i re agowania na nie może być niezwykle żmudnym zadaniem, gdyż te ataki wykorzy stują nasze przyzwyczajenia i skłonności behawioralne. powinieneś nauczyć swoich użytkowników, aby byli podejrz liwi wobec wszystkiego, co wydaje się niezwykłe, niespodziewane bądź ewidentnie nie na miejscu, np.: nietypowych próśb, niespodziewanych wiadomości e-mail w skrzynce pocztowej czy obecności nieznanych osób w ich środowisku pracy, nawet jeżeli takie zdarzenia wydają się owinięte w warstwę normalności. Warto wpoić użytkownikom prostą zasadę, aby ufali, ale weryfikowali w przy padku nawet najmniejszych wątpliwości. Niewykształcony użytkownik może założyć, że podłączenie laptopa do sieci w sali konferencyjnej w pracy jest tym samym, co podłączenie do sieci bezprzewo dowej w hotelu czy na lotnisku. Większość ludzi traktuje dostęp do sieci w taki sam sposób, w jaki traktują dostęp do dowolnego innego medium, jak zasilanie z gniazdka ściennego, woda z kranu czy światło emitowane przez lampę: po pro stu oczekują, że tam będzie i zadziała zgodnie z oczekiwaniami. Co gorsza, więk szość ludzi nie myśli zbyt wiele o zagrożeniach w cyberprzestrzeni. Z tego względu należy zawsze pokazywać użytkownikom zachowania, które będą chro nić sieć przedsiębiorstwa. Na przykład należy im uświadomić, że nie mogą po zwalać obcym urządzeniom na połączenie z siecią firmy. Jeżeli załadujesz do swojego laptopa poufne dane, a następnie połączysz się z nieza bezpieczoną, nieznaną siecią w lokalnej kawiarni lub hotelu, możesz przypad kowo udostępnić wrażliwe dane wszystkim innym użytkownikom sieci. Łatwym i bezpiecznym rozwiązaniem tego problemu jest wdrożenie połączeń sieci VPN. wpoić użytkownikom, aby w ogóle unikali podłą czania do niezabezpieczonych sieci urządzeń zawierających poufne informacje. - Złośliwe oprogramowanie Edukacja użytkowników na temat złośliwego oprogramowania powinna obejmować m.in. wyrobienie w nich nawyku, aby nie klikali bez zastanowienia wszyst kiego, co im wpadnie w ręce. zwracać uwagę na następujące sygnały ostrzegawcze: - Załączniki w wiadomościach e-mail otrzymanych od nadawców,ν których nie znają. - Załączniki w wiadomościach e-mail z plikami, które są potencjalnieν wykonywalne i mogą zawierać złośliwe oprogramowanie. - Łącza internetowe wykorzystujące skrócone adresy URL, takie jak http://bit.ly/ν (w razie wątpliwości można sprawdzić miejsce docelowe skróconych adresów URL za pomocą narzędzi takich jak https://linkexpander.com/ czy http://unshorten.me/). - Łącza internetowe o nazwach nieznacznie różniących się od oczekiwanychν (np. myco.org zamiast myco.com). - Aplikacje na smartfony sugerowane do pobrania z nieoficjalnychν repozytoriów oprogramowania. - Pirackie oprogramowanie. - Prywatny sprzęt komputerowy ustalone odpowiednie zasady do tyczące tego, kiedy i w jaki sposób pracownicy mogą korzystać z urządzeń oso bistych w miejscu pracy. W praktyce w większości firm obowiązuje bezwzględny zakaz podłączania prywatnego sprzętu do sieci komputerowej, do której podłą czone są systemy produkcyjne firmy, ale można go podłączyć do bezprzewodo wej sieci przeznaczonej dla gości. - Polityka czystego biurka (ang. clean desk policy) stanowi, że wrażliwe informacje nie powinny być pozostawiane na biurku bez nadzoru przez dłuższy czas, np. przez noc lub podczas przerwy obiadowej. należy również omówić sposób właściwego pozbywania się niepotrzebnych wrażliwych danych przechowywanych na nośnikach fizycznych, takich jak papier, dyski twarde czy taśmy. Można do tego celu wykorzystać odpowiednie pojemniki na ścinki, niszczarki nośników czy wreszcie podpisać umowę ze specjalistyczną firmą oferującą usługi niszczenia danych. - Znajomość polityki bezpieczeństwa i uregulowań prawnych jeżeli oczekujesz od użytkowników przestrzegania zasad, musisz im je skutecznie przekazać. Prawdopodobnie nie uda Ci się osiągnąć zamierzonego efektu, jeżeli po prostu wyślesz wszystkim e-maila z linkiem do rozbudowanego dokumentu opisującego politykę bezpieczeństwa firmy, a następnie poprosisz ich o potwierdzenie zapo znania się z nim. Zamiast tego powinieneś raczej skondensować najbardziej kry tyczne elementy polityki w formie notatek, prezentacji lub przypomnień, jeżeli tworzysz prezentację szkoleniową, powinieneś spróbować uczynić ją bardziej interesującą i wciągającą dla użytkowników. Jeżeli będziesz prezentował informacje w sposób powtarzalny, ale i zróżnicowany, istnieje prawdopodobieństwo, że użytkownicy szybciej przyswoją sobie odpowiednie zachowania i będą je stosować w praktyce. Ćwiczenia zazwyczaj nie mamy pełnej kontroli nad pracownikami, którzy mogą klikać niebezpieczne linki, wysyłać poufne informacje niezabezpie czonymi kanałami, przekazywać hasła lub umieszczać ważne dane w widocz nych miejscach. 2\. Czym jest tailgating? Dlaczego takie zachowania stanowią problem bezpieczeństwa? Tailgating, czyli tzw. wchodzenie na ogonie, polega na próbie przejścia przez punkt kontroli dostępu, taki jak zabezpieczone drzwi, bezpośrednio po osobie upraw nionej, bez używania poświadczeń, odznaki lub klucza, które normalnie są potrzebne do wejścia. Upoważniona osoba może umożliwić wejście napastnikowi przypad kowo lub celowo. 3\. Jak można skuteczniej dotrzeć do użytkowników w ramach działań uświadamiających i szkoleniowych z zakresu bezpieczeństwa? Należy tworzyć wielopoziomowe programy szkoleń, które są interesujące i wciągające, zawierają prezentacje, przypomnienia oraz praktyczne ćwiczenia. Informacje powinny być podawane w sposób powtarzalny, ale zróżnicowany, aby użytkownicy szybciej przyswajali odpowiednie zachowania. 4\. Dlaczego nie powinieneś pozwalać pracownikom na podłączanie osobistego sprzętu do sieci Twojej organizacji? Prywatny sprzęt może stanowić zagrożenie dla bezpieczeństwa sieci, ponieważ może być zainfekowany złośliwym oprogramowaniem lub nieodpowiednio zabezpieczony. W większości firm obowiązuje zakaz podłączania prywatnych urządzeń do sieci produkcyjnych. 5\. W jaki sposób należy szkolić użytkowników w zakresie rozpoznawania ataków phishingowych? Szkolenia powinny obejmować naukę rozpoznawania nietypowych próśb, niespodziewanych wiadomości e-mail, podejrzanych linków i załączników. Użytkownicy powinni być uczeni zasady \"ufaj, ale weryfikuj\" oraz ostrożności wobec nieznanych osób w środowisku pracy. 6\. Dlaczego ważne jest, aby nie używać tego samego hasła do wszystkich kont? Używanie tego samego hasła zwiększa ryzyko, że w przypadku wycieku z jednego serwisu, atakujący uzyskają dostęp do innych kont użytkownika. Silne i unikalne hasła są kluczowe dla bezpieczeństwa. 7\. Na czym polega atak pretekstowy? W przypadku ataków pretekstowych (ang. pretexting) napastnicy wykorzystują zebrane informacje, aby wcielić się w rolę menedżera, klienta, reportera, członka rodziny współpracownika lub innej zaufanej osoby. Używając fałszywej tożsamości, tworzą wiarygodne scenariusze, które przekonują osobę będącą celem ataku do ujawnienia poufnych informacji lub wykonania czynności, których normalnie nie wykonałaby dla nieznajomych. 8\. Dlaczego podłączanie firmowego laptopa do sieci bezprzewodowej w hotelu może być niebezpieczne? Sieci w hotelach są często niezabezpieczone, co może prowadzić do przypadkowego udostępnienia poufnych danych innym użytkownikom sieci. Bezpiecznym rozwiązaniem jest korzystanie z połączeń VPN. możesz przypad kowo udostępnić wrażliwe dane wszystkim innym użytkownikom sieci. 9\. Dlaczego kliknięcie skróconego adresu URL z serwisu takiego jak bit.ly może być niebezpieczne? Skrócone adresy URL maskują prawdziwe miejsce docelowe. Mogą prowadzić do stron zawierających złośliwe oprogramowanie, fałszywe loginy lub inne zagrożenia. 10\. Dlaczego używanie silnych haseł jest takie ważne? Silne hasła utrudniają ich odgadnięcie lub złamanie przez atakujących, co zwiększa poziom ochrony kont i systemów. Bezpieczeństwo fizyczne obejmuje ochronę trzech głównych rodzajów zaso bów: ludzi, sprzętu i danych. Wiele firm i organizacji, zwłaszcza większych, chroni swoje zasoby poprzez opracowywanie i wdrażanie zestawów polityk i procedur określanych zbiorczo jako plan ciągłości działania (ang. business continuity planning --- BCP) oraz plan odzyskiwania danych i przywracania działania po awarii (ang. distaster recovery planning --- DRP). Planowanie ciągłości działania (BCP) odnosi się do planów a14fa99e529d887e55110563af0535c3 wprowadzanych w celu zapewnienia, że krytyczne funkcje biznesowe mogą być kontynuowane w sytuacjach awaryjnych. ![](media/image9.png) Fizyczne środki bezpieczeństwa to urządzenia, systemy, ludzie i metody, które należy wdrożyć w celu zapewnienia bezpieczeństwa fizycznego. Istnieją trzy główne rodzaje fizycznych środków bezpieczeństwa: odstraszające, wykrywające i zapo biegawcze. **Rodzaje środków bezpieczeństwa fizycznego:** - **Odstraszające** -- mają na celu zniechęcenie osób nieupoważ nionych, które mogłyby próbować naruszyć inne zabezpieczenia np. znaki w miejscach publicznych informujące o istnieniu monitoringu wizyjnego czy tabliczki z logo firmy ochroniar skiej na budynkach, ogrodzeniach. - **Wykrywające** --Systemy wykrywania - Detekcyjne środki bezpieczeństwa, takie jak alarmy przeciwwłamaniowe czy inne fizyczne systemy wykrywania incydentów, służą do wykrywania i zgłaszania niepożądanych zdarzeń. np. alarmy, kamery, czujniki dymu, ochrona fizyczna. - **Zapobiegawcze** --wykorzystują różnorodne rozwiązania i me chanizmy fizyczne w celu uniemożliwienia nieupoważnionym podmiotom naru szania bezpieczeństwa fizycznego. np. zamki mechaniczne, wysokie ogrodzenia, pachołki, pracowników ochrony oraz psy - **Zastosowanie fizycznej kontroli dostępu** - Środki prewencyjne stanowią na ogół trzon naszych działań w zakresie bezpieczeń stwa. W niektórych przypadkach mogą być jedynym stosowanym mechanizmem bezpieczeństwa fizycznego. Na przykład niemal w każdym domu znajdziemy zamki w drzwiach, ale w większości z nich nie ma systemów alarmowych ani oznako wań, które mogłyby odstraszyć potencjalnego przestępcę. Zgod nie z zasadą obrony w głąb, im więcej fizycznych warstw zabezpieczeń zostanie zaimplementowanych w danym środowisku, tym lepiej. **Ochrona ludzi** - Ekstremalne temperatury, a nawet te niezbyt ekstremalne, mogą szybko spo wodować, że ludzie przestaną czuć się komfortowo. Podobnie może działać brak lub obecność pewnych płynów, gazów lub nawet toksyn. Podobnie brak gazu, takiego jak tlen, albo jego zbyt duża ilość. Niektóre substancje chemiczne są bezpieczne w odpowiednich stężeniach, ale ich niewłaściwe proporcje mogą stać się groźne dla zdrowia. - Różne organizmy żywe, od zwierząt po niewidoczne gołym okiem pleśnie, grzyby, bakterie, wirusy i inne mikroskopijne organizmy, również mogą być ogromnie niebezpieczne dla ludzi. - Znaczne wibracje, ruch i przesunięcia również mogą być szkodliwe dla ludzi,zwłaszcza gdy są wynikiem trzęsienia ziemi, osunięcia zboczy, lawiny czy osłabienia wytrzymałości strukturalnej budynku. Anomalie energetyczne Na przykład różne urządzenia z uszkodzonym ekra nem albo izolacją, tudzież z innymi usterkami mechanicznymi lub elektrycznymi - inni ludzie - Dym i ogień mogą powodować m.in.: oparzenia, wdychanie dymu i problemy z temperaturą Zapewnienie bezpieczeństwa - Zapewnienie bezpieczeństwa Ponieważ w wielu serwerowniach gaszenia pożarów używa się potencjalnie niebezpiecznych lub szkodliwych dla ludzi substancji chemicz nych, systemy przeciw pożarowe w nadrzędne zabezpieczenia, które uniemożliwiają ich uruchomienie, gdy w pobliżu znajdują się ludzie - Ewakuacja - Gdzie Wszystkie ewakuowane osoby muszą znaleźć się w tym samym miejscu, zapew niającym bezpieczną odległość od miejsca zdarzenia oraz możliwość przeliczenia i sprawdzenia stanu osobowego. - Jak Niezmiernie ważnym czynnikiem jest również trasa, którą będą podążać ludzie, aby dotrzeć do miejsca zbiórki ewakuacyjnej. - Kto - Jak to wygląda w praktyce Pełna ewakuacja, zwłaszcza przeprowadzana w dużych obiektach, może być bardzo skomplikowaną operacją. W przypadku prawdziwego zagrożenia, jeżeli ewaku acja nie zostanie przeprowadzona szybko i prawidłowo, może dojść do narażenia życia lub zdrowia wielu osób. - Kontrole administracyjne Mogą to być różnego rodzaju zasady, procedury, wytyczne, przepisy prawne lub podobne uregulowania ustanowione przez dowolne władze, od zarządów firm po agencje rządowe. bada nia przeszłości (ang. background checks), sprawdzenia potencjalnych kandydatów do pracy. spraw dzenie historii kryminalnej, weryfikację poprzedniego zatrudnienia i wykształce nia, sprawdzenie zdolności kredytowej. Firma może również przeprowadzać różne powtarzające się kontrole, takie jak testy na obecność narkotyków.Kiedy dana osoba odchodzi z pracy, karcie obiegowej. Firma może również po prosić pracownika o podpisanie dokumentów, w których zobowiązuje się on do niepodejmowania działań prawnych przeciwko firmie czy do podpisania dodatko wych umów o zachowaniu poufności (ang. nondisclosure agreements --- NDA). Ochrona danych podstawowym sposobem ochrony danych jest ich szyfrowanie. Jednak samo szyfrowanie często nie jest wystarczające; napastnik może uzyskać dostęp do danych poprzez złamanie algorytmu szyfrowania lub zdobycie kluczy szyfrujących. Ponadto szyfrowanie w żaden sposób nie chroni danych przed zmieniającymi się warunkami fizycznymi. Fizyczne zagrożenia dla danych - Nośniki magnetyczne, takie jak dyski twarde, taśmy i dyskietki, do zapisu da nych wykorzystują połączenie ruchu i materiału wrażliwego na działanie pola magnetycznego. Silne pola magnetyczne mogą naruszyć integralność danych - Nośniki flash, czyli nośniki przechowujące dane na chipach pamięci nieulot nej (np. dyski i pamięci USB), są znacznie bardziej wytrzymałe. - Nośniki optyczne, takie jak płyty CD i DVD, są dosyć delikatne Dostępność danych Pamiętaj, że należy nie tylko chronić fizyczną integralność danych, ale także zapew nić ich dostępność w razie potrzeby. Oznacza to, że zarówno odpowiedni sprzęt, jak i nośniki zawierające dane muszą nadawać się do użytku. Każdy z wymienio nych wcześniej problemów fizycznych może spowodować, że dane staną się nie dostępne lub po prostu bezużyteczne. Aby zapewnić dostępność danych, należy tworzyć kopie zapasowe zarówno danych, jak i sprzętu oraz infrastruktury wykorzystywanej do zapewnienia dostępu do danych. Oprócz tworzenia kopii zapasowych w wielu firmach i organizacjach dane zapisywane są na macierzach RAID (ang. Redundant Arrays of Indepen dent Disks --- nadmiarowa macierz niezależnych dysków) działających w róż nych konfiguracjach. RAID to rozwiązanie pozwalające na zapisywanie danych na macierzy składającej się z dwóch lub więcej dysków Szczątkowe pozostałości danych Pamiętaj, że oprócz konieczności zapewnienia dostępu do danych, gdy są one potrzebne, musisz mieć możliwość uniemożliwienia dostępu do nich, gdy nie są już potrzebne. Na przykład choć zazwyczaj pamiętamy o zniszczeniu dokumen tów zawierających poufne dane przed ich wyrzuceniem, to w praktyce ludzie często zapominają o danych przechowywanych na nośnikach elektronicznych. Poza urządzeniami, które z oczywistych powodów są wyposażone w pamięć masową i przechowują potencjalnie poufne i wrażliwe dane, szczątkowe dane można znaleźć w takich urządzeniach jak kopiarki, drukarki i faksy, które mogą zawierać ulotną lub nieulotną pamięć wewnętrzną, często w postaci dysku twar dego, na którym mogą się znajdować kopie wszelkich przetwarzanych dokumentów, w tym poufnych danych biznesowych. Ochrona wyposażenia Po zabezpieczeniu danych nie należy również zapominać o ochronie sprzętu i po mieszczeń, w których jest on przechowywany. Ta kategoria zajmuje ostatnie miejsce na liście, ponieważ reprezentuje najłatwiejszy i najtańszy segment aktywów do zastąpienia. Nawet jeżeli w wyniku poważnej katastrofy zniszczeniu uległaby siedziba firmy i cały znajdujący się w niej sprzęt komputerowy, firma mogłaby relatywnie szybko wrócić do normalnego funkcjonowania, o ile nadal będzie miała ludzi do działania i dostęp do najważniejszych danych. Fizyczne zagrożenia dla sprzętu  **Ekstremalne temperatury** - Zbyt wysokie temperatury mogą uszkodzić sprzęt. - Utrzymanie temperatury w zakresie 18--25°C za pomocą klimatyzacji jest kluczowe, szczególnie w pomieszczeniach z dużą ilością sprzętu komputerowego.  **Ciecze** - Nawet niewielkie ilości cieczy, np. skroplona woda w wilgotnym powietrzu, mogą prowadzić do: - Korozji urządzeń. - Zwarć elektrycznych. - Całkowitego zniszczenia sprzętu w przypadku powodzi.  **Organizmy żywe** - Owady i małe zwierzęta mogą: - Powodować spięcia elektryczne. - Zakłócać pracę wentylatorów. - Przegryzać przewody.  **Wibracje i ruchy** - Trzęsienia ziemi oraz ruchy konstrukcji mogą uszkodzić sprzęt.  **Anomalie energetyczne** - Fluktuacje parametrów zasilania lub przerwy w dostawie energii mogą być szkodliwe dla urządzeń. - Bezpośrednie uderzenie pioruna stanowi szczególne zagrożenie.  **Dym i ogień** - Wysokie temperatury, problemy elektryczne oraz ruch spowodowane przez pożar mogą zniszczyć sprzęt. - Nieodpowiednie metody gaszenia mogą pogorszyć sytuację, np. zalanie wodą urządzeń elektronicznych. Wybór lokalizacji obiektu Planując budowę nowego obiektu, należy wziąć pod uwagę jego lokalizację. Jeżeli wybrane miejsce znajduje się na obszarze podatnym na klęski żywiołowe, Inne zagrożenia środowiskowe mogą obejmować niepokoje społeczne, niestabilne zasilanie, problemy z niezbędnymi usługami komunalnymi, słabą łączność sie ciową lub ekstremalne warunki temperaturowe. Zabezpieczenie dostępu Często środki bezpieczeństwa fizycznego stosuje się na zewnętrznym peryme trze obiektu. W najprostszym wydaniu może to być rozwiązanie kontrolujące ruch pojazdów, aby się upewnić, że nie wjeżdżają one w niepożądane miejsca. Może to przybrać formę bezpiecznego krajobrazu (ang. security landscaping), który obejmuje drzewa, duże głazy i cementowe donice rozmieszczone we właściwych miejscach przed budynkami i wzdłuż podjazdów tak, aby zapobiec wjazdowi po jazdów w niepożądane miejsca. Wejście do obiektu będzie prawdopodobnie wyposażone w zamki, mechaniczne lub elektroniczne, umieszczone w drzwiach do budynku. Warunki środowiskowe Jeżeli chodzi o sprzęt znajdujący się w obiektach, utrzymanie odpowiednich wa runków środowiskowych ma kluczowe znaczenie dla ciągłości jego działania. Sprzęt komputerowy może być wrażliwy na zmiany parametrów zasilania, tem peratury i wilgotności, a także na zakłócenia elektromagnetyczne. Ćwiczenia 1\. Jakie są trzy główne problemy związane z bezpieczeństwem fizycznym, w kolejności ich ważności?  Ochrona ludzi.  Ochrona danych.  Ochrona sprzętu. 2\. Jakie są trzy główne rodzaje środków bezpieczeństwa fizycznego?  Odstraszające.  Wykrywające.  Zapobiegawcze. 3\. Dlaczego warto stosować macierze RAID? macierzy RAID chroniących przed awariami nośników pamięci RAID to rozwiązanie pozwalające na zapisywanie danych na macierzy składającej się z dwóch lub więcej dysków (w zależności od konfi guracji), zapewniającej odpowiednią redundancję i ochronę danych w przypadku awarii jednego bądź nawet kilku dysków. 4\. Co jest najważniejszą kwestią związaną z bezpieczeństwem fizycznym? Zapewnienie bezpieczeństwa ludzi. 5\. Jaki rodzaj fizycznej kontroli dostępu można zastosować w celu ograniczenia lub zablokowania dostępu pojazdów? Bariery fizyczne, takie jak pachołki, duże głazy, cementowe donice lub systemy kontroli ruchu pojazdów. 6\. Podaj trzy przykłady fizycznych środków bezpieczeństwa, które działają odstraszająco.  Tabliczki informujące o monitoringu wizyjnym.  Logo firmy ochroniarskiej.  Ogrodzenia. 7\. W jaki sposób organizmy żywe mogą stanowić zagrożenie dla Twojego sprzętu?  Powodując spięcia elektryczne.  Zakłócając pracę wentylatorów.  Przegryzając przewody. 8\. Do której kategorii fizycznych środków bezpieczeństwa można zaliczyć zamki montowane w drzwiach? Do środków zapobiegawczych. 9\. Czym są dane szczątkowe i dlaczego mogą stanowić problem dla ochrony bezpieczeństwa danych? Dane szczątkowe to pozostałości danych na nośnikach, które nie zostały odpowiednio zniszczone. Mogą stanowić zagrożenie, gdyż mogą zostać odzyskane przez osoby nieuprawnione. 10\. Jaki środek bezpieczeństwa jest podstawowym rozwiązaniem dla ochrony ludzi? Systemy ewakuacyjne i procedury bezpieczeństwa, takie jak plany ewakuacji oraz systemy przeciwpożarowe.

Definicja Bezpieczeństwa Informacji PDF

Document Details

Tags

Related

Summary

Full Transcript

Upgrade to continue