Zaufanie W Systemach Informatycznych
-
Upload
pawel-krawczyk -
Category
Education
-
view
2.005 -
download
3
Transcript of Zaufanie W Systemach Informatycznych
Zaufanie w systemach informatycznych
Zaufanie
w systemach
informatycznych
Pawe Krawczyk
Kontakt z autorem:
[email protected]. +48-602-776959
Prezentacja udostpniona na licencji Creative Commons BY-NC-SA(uznanie autorstwa, uycie niekomercyjne, na tych samych warunkach)
http://creativecommons.org/licenses/by-nc-sa/3.0/pl/
Literatura:
http://ipsec.pl/http://securitystandard.pl/
Krzysztof Liderman, "Podrcznik administratora bezpieczestwa teleinformatycznego"
Konspekt
Kryteria zaufania
Analiza ryzyka
Funkcje bezpieczestwa
Zaufanie oparte o reputacj
Etyka bezpieczestwa
Zaufanie do systemu informatycznego
Zaufanie, wiarygodno systemu informatycznegoPrzekonanie, e dany system spenia swoje zadanie zgodnie z okrelonymi kryteriami np. polityk bezpieczestwa (PN-I-02000:2002 pkt 3.2.017)
Warunek konieczny: kryteria
Jak opisa kryteria?
Polityki (policies)
Procedury (procedures)
Standardy (standards)
Minimalne wymagania (baselines)
Wytyczne (guidelines)
Polityki bezpieczestwa
Polityki bezpieczestwa
Wysokopoziomowe
Strategiczne
Wytyczaj kierunek
Stabilne
Zawieraj wynik decyzji politycznychNp. "Priorytetem organizacji jest..."albo "...maksymalizacja zysku za cen ryzyka"
albo "...bezpieczestwo i stabilno"
Implementacja polityk
Minimalne wymaganiaOkrelaj ilociowo wymagany poziom siy mechanizmw bezpieczestwa (dugo hasa, dugo kluczy szyfrujcych, czsto zmiany hase)
WytyczneMog mie charakter niewicy, zawieraj zalecenia (recommendations) i najlepsze praktyki postpowania (best practices)
Implementacja polityk
StandardyOpisuj obecno konkretnych mechanizmw bezpieczestwa (hasa, szyfrowanie danych, zapory sieciowe)
ProceduryKrok po kroku opisuj sposb wykonywania okrelonych zada w sposb bezpieczny (np. postpowanie z dokumentami wraliwymi)
Czste bdy w tworzeniu polityk
Sprzeczne cele (oksymorony)"maksymalizacja zysku za cen ryzyka, bezpieczestwo oraz stabilno"
Przemieszanie polityk z procedurami i standardamiTrudno zmian lub zbyt czste zmiany
Zbyt obszerne, nieczytelne i nieprzyswajalne
Tworzenie polityk "na zapas" i mylenie yczenioweZbyt duo priorytetw = brak priorytetw
Nierealne cele polityk
Patologia pierwszaPodniesienie poziomu bezpieczestwa tak wysoko, e zanika zysk krtko- i dugoterminowy
Przykad: e-faktury, podpis kwalifikowany
Patologia drugaUstalenie celw bezpieczestwa tak wysoko, e maj one charakter "mylenia yczeniowego"
Z patologi pierwsz mona si zetkn w przypadku mechanizmw, ktre miay oryginalnie suy optymalizacji pewnych procesw, uatwieniu dostpu do usug lub obnieniu kosztw. Podniesienie wymaga bezpieczestwa na poziom nieuzasadniony analiz ryzyka powoduje, e ich stosowanie staje si nieracjonalne i w konsekwencji nie s one stosowane. Z tak sytuacj mamy do czynienia w przypadku podpisu kwalifikowanego w wikszoci Pastw Czonkowskich UE oraz z fakturami elektronicznymi w Polsce.Patologi drug mona spotka w organizacjach, ktre z rnych powodw wdraaj polityki bezpieczestwa ale robi to w sposb mechaniczny, np. przez skopiowanie polityk modelowych. W rezultacie otrzymuj polityki niedostosowane do swojego profilu ryzyka. Jeli nakadane przez nie wymagania s zbyt wysokie i kolidowayby z dziaalnoci tych organizacji to po prostu s powszechnie ignorowane i stan taki jest tolerowany. Taka fikcja zachca jednak do selektywnego traktowania wszystkich regu postpowania w danej organizacji i prowadzi do specyficznego "dwjmylenia".
Czy wicej bezpieczestwa to lepiej?
Bezpieczestwo suy maksymalizacji zyskuPowicamy krtkoterminowy zysk lub wydajno w celu uniknicia dugoterminowych strat
Dbamy o zysk dugoterminowy
Warto graniczna bezpieczestwa100% bezpieczestwa = 0% dziaania
Racjonalna polityka bezpieczestwaJest dostosowana do profilu ryzyka tej konkretnej organizacji
Przyczynia si do realizacji jej celw
Teoria bezpieczestwa informacji wywodzi si ze rodowisk wojskowych, ktre maj szczeglny profil ryzyka (risk aversive). W rodowiskach tych priorytetem jest unikanie ryzyka lub ograniczanie go niemal do zera. Jest to jednak bardzo kosztowne.Stosowanie tej samej miary do wikszoci wspczesnych zastosowa komercyjnych prowadzioby do paraliowania gospodarki elektronicznej, zamiast jest stymulowania.Std dziaalno komercyjna w znacznie wikszym stopniu skupia si na "yciu z ryzykiem" przez jego ograniczanie tylko w takim stopniu, w jakim jest to uzasadnione wzgldami biznesowymi.Racjonalna analiza ryzyka pozwala na wyznaczenie optymalnego czyli wystarczajcego, ale ani zbyt maego ani nadmiernego poziomu kontroli ryzyka.
Metody racjonalizacji polityk
Rozbudowa na podstawiePotrzeb wewntrznych
Wymaga zewntrznychPrawo, standardy branowe, wymagania klientw, przewaga konkurencyjna
Uporzdkowanie przy pomocy analizy ryzykaJakociowa, ilociowa
Racjonalizacja zabezpieczeAnaliza kosztw i zyskw (cost-benefit)
ROI = Return on Investment
ROSI = Return on Security Investment
Analiza ryzyka
Analiza ryzyka
Racjonalny i obiektywny opis ryzyk organizacjiUmoliwia ich racjonalne kontrolowanie
Analiza jakociowa (qualitative)Wysokie/rednie/niskie
Analiza ilociowa (quantitative)Kade ryzyko ma warto finansow
Rekomendacje i standardy:NIST SP 800-30 "Risk Management Guide forInformation Technology Systems"ISO 27005
Terminologia
Zasoby chronione, aktywa (assets)
Zagroenie (threat)
Czynnik zagroenia (threat agent)
Podatno (vulnerability)
Naraenie na ryzyko (exposure to risk)
Ryzyko (risk)
rodki bezpieczestwa, zabezpieczenia (countermeasures)
Szkoda (impact)
Wyjanienia terminologii
ZagroeniaNiezalene od nas, nie mamy na nie wpywu
Nie musz nas dotyczy, jeli nie istnieje czynnik (agent)
PodatnoIstnieje jeli odpowiada czynnikowi zagroenia i nie istnieje odpowiednie zabezpieczenia
Na podatno mamy wpyw
RyzykoIstnieje, jeli istnieje podatno
Integralno(integrity)
Modyfikacja(alternation)
Zniszczenie(destruction)
Dostpno(availability)
Ujawnienie(disclosure)
Poufno(confidentiality)
Trjkt C.I.A.
Poufno dostp do informacji maj wycznie osoby uprawnione, a osoby nieuprawnione nie maj do niej dostpu.Integralno informacja nie moe by zmodyfikowana, dodana lub usunita bez moliwoci wykrycia ingerencji.Dostpno upowanione osoby mog uzyska dostp do informacji w wymaganym miejscu, czasie i zakresie.
ASSETIMPACTTHREAT
VULNERABILITY
Ryzyko = iloczyn prawdopodobiestwa wystpienia zagroenia i stopnia szkodliwoci jej skutkw (IEC 61508)
Ryzyko = prawdopodobiestwo, e okrelone zagroenie wykorzysta okrelon podatno systemu (PN-I-02000:2002)
rdo: Common Criteria for Information Technology Security Evaluation, Part 1: Introduction and general model, July 2009
Wycena ryzyka w praktyce #1
Okrelenie SLE (Single Loss Expectancy)SLE = AV x EFAV (Asset Value) [$]
EF (Exposure Factor) [%]
PrzykadZysk z jednego dnia emisji reklam rednio 1000 zAV = 1000z
Cigo pracy systemu 98%To nie jest EF!
System przestaje dziaa reklamy si nie wywietlaj EF=100%
Wycena ryzyka w praktyce #2
Agregacja w skali rocznejAVroczny = AV x 365 dni = 365'000 z
ARO (Annual Rate of Occurence)ARO = 2% (100%-98%) = 7,3 dnia w roku
ALE (Annual Loss Expectancy)ALE = SLE x ARO = 7300 z
Obiektywna miara ryzyka w skali rokuZagroenie 2% przerwa w pracy systemu
Wycena ryzyka w praktyce #3
ALE jest wskazwk do dalszych decyzji
Jak postpi z danym ryzykiem?Jeli ogranicza, to ile wyda na zabezpieczenie?Warto zabezpieczenia: ALE ALEzabezp KOSZTzabezp
`Dodatkowe narzdzia ROI i ROSI
ROIG = Gain from investmentC = Cost of investment
ROSIE = Risk exposure before safeguardSm = Risk mitigated by solution (90% = 10% residual)Sc = Total solution cost
Postpowanie z ryzykiem
Ograniczenie (reduction)Zabezpieczenia (safeguards, controls)
Akceptacja (acceptance)wiadoma i racjonalna, oparta na przesankach
Przeniesienie (transfer)Ubezpieczenie, outsourcing
Unikanie (avoidance)Zaprzestanie ryzykownego dziaania
Ignorowanie (ignorance)Patologiczna forma akceptacji
Jak weryfikowa zaufanie?
Zaufanie... co do czego?
Czy dana osoba jest t, za ktr si podaje?
Czy dany obiekt jest tym, jako ktry go opisano?
Czy dana osoba ma prawo czyta dany plik?
Poufno
Formalne modele poufnoci
rodki prawnePenalizacja ujawnienia informacji niejawnej
rodki organizacyjneZasada wiedzy koniecznej (need to know)
rodki techniczneSzyfrowanie danych
Formalne modele dostpu do danych
Wywodz si z polityk wojskowych
Realizuj funkcjePoufnoci kto moe czyta/kopiowa dane
Integralnoci kto moe zapisywa/zmienia dane
Wymagaj klasyfikacji informacjiNp. "tajne", "jawne"
Opisuj relacje midzy klasami
Literatura:
Krzysztof Liderman, "Podrcznik administratora bezpieczestwa teleinformatycznego", 2003
Model Bell-LaPadula
Model poufnoci (kontroli dostpu)
Poziomy klasyfikacji poufnoci"Niszy", "Taki sam jak mj", "Wyszy"
"Read down write up"Mog czyta dane tylko z "nisze" lub "takie same""simple security property"
Mog zapisywa dane tylko "wysze" lub "takie same""star security property" (*-property)
Model BLP (Bell-LaPadula) jest modelem teoretycznym, opisujcym wyacznie problem kontroli dostpu do danych.Osoba posiadajca powiadczenie na poziom "2" moe czyta dokumenty z poziomu "1" lub "2", ale aden dokument, ktry stworzy nie moe by sklasyfikowany jako "1". Poniewa posiada ona wiedz z poziomu "2", blokada tworzenia dokumentw na niszym poziomie uniemoliwia wyciek informacji.Rwnoczenie synteza dwch dokumentw klasy "2" lub "1" moe prowadzi do wnioskw, ktre musz by sklasyfikowane wyej ("3") std dopuszczalno "write up".
Integralno
Dane s zmieniane tylko przez uprawnione osobyTylko uprawniona osoba ma prawo zmianKontrola dostpu do danychNie ma praw zapisu, nie mona zmieni
Nieuprawnione zmiany s wykrywalneKontrola integralnoci za pomoc funkcji skrtu
Ochrona integralnoci moe by realizowana dwiema drogami po pierwsze, uniemoliwiajc modyfikacj danych osobom nieuprawnionym za pomoc kontroli dostpu. Opisujemy to dalej na przykadzie modelu Biba.Po drugie, dugoterminow ochron integralnoci zapewniamy przez wykrywanie nieuprawnionych zmian za kryptograficznych kodw kontrolnych, podpisu elektronicznego itd.Przykadem bardzo rozbudowanej i dugoterminowej ochrony integralnoci i autentycznoci dokumentw s usugi notariatu elektronicznego LTANS (Long-Term Archiving and Notary Services).
Model Biba
Model integralnoci ("czystoci" danych)
Poziomy klasyfikacji integralnoci j.w.
"Read up write down"Mog czyta tylko dane "czystsze" lub "takie same"
Mog zapisywa tylko dane "brudniejsze" lub "takie same"
Integralno danychNp. precyzja pomiarw, zaokrgle, skala map
Poczenie Biba z BLP skutkuje now istotn restrykcj tzw. "strong star property"- jeli mam prawo i zapisu i odczytu, to mog pisa i czyta tylko na swoim poziomie.Wynika to z poczenia restrykcji obu modeli w celu ochrony zarwno poufnoci jak i integralnoci.
Funkcje bezpieczestwa
Poufno (Confidentiality)
Integralno (Integrity)
Dostpno (Availability)
Autentyczno (Authenticity)
Niezaprzeczalno (Non-repudiation)
Rozliczalno (Accountability)
Anonimowo (Anonymity)
Autentyczno pewno, e dany podmiot jest tym, za ktry si podaje a obiekt tym, jako ktry zosta opisany.Niezaprzeczalno moliwo wykazania z duym prawdopodobiestwem, e dany podmiot wykona dan czynno w sytuacji, gdy si tego wypiera.Rozliczalno moliwo jednoznacznego przypisania danego dziaania okrelonemu podmiotowi.Anonimowo niemono przypisania danego obiektu lub dziaania do okrelonego podmiotu.
Model kratowy
Krata (security lattice) opis uprawnieObiekty sklasyfikowane jako {kategoria, poziom}{Osobowe, subowy}
{Osobowe, wraliwe}
{Projekty, subowy}
{Projekty, zastrzeone}
Podmiot ma przypisany zakres dostpuPracownik HR {Osobowe, *}
Pracownik finansw {Osobowe, subowy}
Inynier {Projekty, subowy}
Meneder {Projekty, *}
Modele macierzowe
Zbiory wejcioweS (subjects) podmioty (np. uytkownicy)
O (objects) obiekty (np. Pliki)
UprawnieniaOdczyt, Zapis, Dopisanie, Wykonanie...
Reprezentacja polityki bezpieczestwaA (access) macierz dostpuS1 O O1
S2 O,Z O2
Zastosowanie modeli
kontroli dostpu
Poczenie elementw wszystkich w/w modeli w systemach operacyjnychPrawa dostpu do plikw
Discretionary vs Mandatory Access ControlDAC waciciel decyduje o uprawnieniach
MAC administrator decyduje o uprawnieniach
W praktyceSecurity Enhanced Linux, AppArmor
Windows Vista Mandatory Integrity ControlInternet Explorer Protected Mode
Autentyczno
Podstawa kontroli dostpuAutentyczno podmiotw i obiektw
PrzykadyWiadomoci (message)
Kanau cznoci (peer entity)
Pochodzenia danych (data origin)
Tosamoci osoby (identity)
Uwierzytelnianie
IdentyfikacjaTosamo deklarowana
UwierzytelnianieWeryfikacja i potwierdzenie tosamoci
Wiele metod weryfikacjiRne poziomy pewnoci = rny koszt
Wynik potwierdzenie tosamoci
Wybr poziomu wystarczajcego na podstawie analizy ryzyka
NIST SP 800-63 Electronic Authentication Guideline
Klasyfikacja metod uwierzytelniania
Co, co wiesz (something you know)Haso, kod PIN
Co, co masz (something you have)Token, identyfikator RFID, karta kryptograficzna
Co, czym jeste (something you are)Techniki biometryczne
Techniki kombinowaneUwierzytelnienie dwuskadnikowe (two-factor authentication)
"Co co wiesz" maj charakter niematerialny, s informacjami. Zalet jest wysoka dostpno, wad atwo kradziezy przez skopiowanie bez wiadomoci osoby uprawnionej."Co co masz" s spersonalizowanymi przedmiotami. Zalet jest trudno kradziey bez wiadomoci posiadacza, wad brak dostpnoci w razie awarii lub zgubienia. St konieczno zapewnienia kanaw awaryjnych!"Co czym jeste" unikalne cechy danej osoby (cechy biometryczne). Trudne do skopiowania, pomiar moe by uciliwy oraz obarczony bdem (False Acceptance/Rejection Ration). Zdeterminowany atakujcy moe zniszczy orygina w celu uzyskania kopii.
Strona techniczna
Hasa (password, pass-phrase)
Hasa jednorazowePregenerowane - TAN (Transaction Authentication Numbers), "zdrapki", OTP (One-time password)
Generowane RSA SecurID, SafeWord, YubiKey, CERB, sToken, SMS...
Identyfikatory zblieniowe (RFID)Samo posiadanie identyfikatora, ewentualnie z PIN
Hasa nadal s najbardziej rozpowszechnion technik uwierzytelnienia. Wymagaj najprostszego z moliwych interefejsu czyli klawiatury i ekranu.Problem atwej kradziey hase rozwizuj hasa jednorazowe. Hasa pregenerowane rwnie mog by wyudzane lub kradzione. Sprztowe generatory mog zosta zgubione lub skradzione. Dodatkowe haso (PIN) do tokenu rozwizuje problem kradziey, ale nie rozwizuje problemu dostpnoci w razie zgubienia.
Kryptografia asymetryczna
Dowd posiadania klucza prywatnegoSSL/TLS, ISAKMP/IKE (IPSec), SSH uwierzytelnienie kanau cznoci
Podpis elektroniczny - PGP, S/MIME uwierzytelnienie pochodzenia wiadomoci
Lokalizacja klucza prywatnegoProgram, system operacyjny
Karta kryptograficzna
W obu przypadkach dodatkowe haso (PIN)
Klucz prywatny reprezentacja "wycznej kontroli posiadacza" (pojcie "sole control of owner" z Dyrektywy 1999/93 EC), zgodnie z logik kryptografii z kluczem publicznym.Poziom pewnoci, e kontrola jest "wyczna" moe by sterowany dodatkowymi rodkami takimi jak kod PIN oraz karta kryptograficzna.Odbiorca wiadomoci lub strona komunikacji weryfikuje posiadanie klucza prywatnego przy pomocy klucza publicznego nadawcy. Musi go oczywicie uprzednio posiada i mie pewno, co do jego autentycznoci.
Strona organizacyjna
Identyfikator, haso, klucz, token, karta...Komu wyda?
Jak przywiza je do tosamoci?
Na jakiej podstawie?
rodowisko instytucjonalne i korporacyjneWydzielony dzia z odpowiednimi uprawnieniami
rodowiska heterogeniczneB2B, B2C, G2C
Znacznie bardziej zoony problem
Zaufana trzecia strona
Architektury zaufania"Kady ufa kademu" (mesh, web of trust)Kady weryfikuje tosamo i swoje zaufanie do kadego
Problematyczna skalowalno
Wszyscy ufamy jednemu podmiotowiZaufana trzecia strona (TTP) powiadcza tosamo wszystkich uczestnikw
Usugom TTP towarzysz zobowizania formalne (umowy cywilno-prawne) dotyczce zakresu gwarancji
Model mesh jest pierwszym i naturalnym modelem w kontaktach spoecznych i biznesowych. Kademu uczestnikowi zapewnia pen kontrol nad procesem weryfikacji tosamoci oraz kryteriami zaufania.Rwnoczenie jednak oczekiwania wikszoci podmiotw odpowiadaj moliwym do ustandardyzowania zbiorom kryteriw, ze wzgldu na wykadniczy wzrost iloci relacji w modelu mesh jego skalowalno nastrcza problemy.W zwizku z tym rynek wyksztaci rwnie usugi weryfikacji i powiadczania tosamoci. Robi to niezalene podmioty, ktre wszyscy uczestnicy procesu traktuj jako zaufan trzeci stron TTP (Trusted Third Party).
CentrumCertyfikacji(CA)
Uytkownik
BankInternetowy
CentrumCertyfikacji(CA)BankInternetowy
Uytkownik
LoginHaso
Weryfikacja firmy przyWydaniu certyfikatuCertyfikat X.509 (SSL)
Certyfikat nadrzdny(root CA)
Prosz zwrci uwag na asymetri uwierzytelnienia banku wobec klienta (certyfikat X.509) oraz klienta wobec banku (login+haso).Bank uwierzytelnia si klientowi by ten mia pewno, komu podaje swj login i haso.Login i haso zapewniaj wystarczajc si uwierzytelnienia klienta. Intuicyjnie najbardziej oczywista technika certyfikat X.509 klienta bardzo ograniczaaby interoperacyjno, std bankowo unika ich stosowania. Podnoszenie poziomu pewnoci osiga si technikami takimi jak hasa jednorazowe czy kody SMS.CA uwierzytelnia si wobec klienta za pomoc preinstalowania swojego certyfikatu (root certificate) w przegldarce lub systemie operacyjnym klienta (WebTrust).Bank uwierzytelnia si wobec CA przedstawiajc odpowiednie dokumenty.
Niezaprzeczalno
Ochrona przed wyparciem si danej operacjiPodpisanie umowy, dokonanie zakupu, zoenie zlecenia przelewu, zrzeczenie si praw, zgoda na...
Wyprze si mona zawsze...Przesanki, e wyparcie jest nieuzasadnione
Mog by one gromadzone rodkami prawnymi lub technicznymi
Niektre sposoby gromadzenia materiau dowodowego na potrzeby niezaprzeczalnoci opisuje norma PN ISO/IEC 13881-3.Niezaprzeczalno pochodzenia NRO (non-repudiaton of origin)Podmiot utworzy wiadomo i j nadaWiadomo odnosi si do podpisu, a nie samej wiadomociOsoba lub podmiot nadajcy nie musi zna lub zgadza si z treci wiadomociPrzykad: dokument opublikowany na BIP z podpisem pracownika technicznegoNiezaprzeczalno znajomoci (wiedzy) NRK (non-repudiation of knowledge)Podmiot jest wiadomy treci podpisywanej wiadomociPrzykady: wymg przewinicia umowy licencyjnej do koca lub zaznaczenia kratki
Niezaprzeczalno #1
Uzalenienie usugi od powiadczenia deklaracji"Tak, wyraam zgod na otrzymywanie reklam..."
"Tak, przeczytaem i akceptuj regulamin..."
W razie wyparciaKlient zaznaczy kratk "Tak..."
Bez tego realizacja usugi nie bya moliwa
Musia by wic wiadomy treci deklaracji
Niezaprzeczalno dostarczenia NRD (non-repudiation of delivery)odbiorca odebra wiadomo i zapozna si z jej treci.Niezaprzeczalno przedoenia NRS (non-repudiation of submission)przeznaczone dla nadawcy wiadomoci powiadczenie, e zostaa ona przyjta do przesania przez organ poredniczcy w jej dostarczeniu (np. poczta, kurier, elektroniczna skrzynka podawcza)Niezaprzeczalno nadania NRST (non-repudiation of sending)podmiot nada wiadomo.Niezaprzeczalno przesania NRT (non-repudiation of transmission)przeznaczone dla nadawcy wiadomoci powiadczenie faktu jej dostarczenia adresatowi przez organ poredniczcy w dostarczeniu.Niezaprzeczalno utworzenia NRC (non-repudiation of creation)podmiot utworzy wiadomo.Niezaprzeczalno odbioru NRR (non-repudiation of receipt)podmiot odebra wiadomoale niekoniecznie si z ni zapozna (np. Return-Receipt - RFC 3798)
Niezaprzeczalno #2
Podpis elektroniczny skadany kluczem prywatnymZakaz tworzenia kopii klucza prywatnego (prawny)
Niemono skopiowania klucza prywanego (techniczny)
Dostp do klucza po podaniu PIN (techniczny)
Zakaz udostpniania PIN innym osobom (prawny)
WnioskiTylko waciciel moe zoy podpisLub zama prawo, lub zosta do tego zmuszonym...
Zapotrzebowanie na tego typu funkcje pojawia si np. w elektronicznych serwisach maklerskich lub inwestycyjnych. Ze wzgldu na znaczne ryzyko operacji finansowych wyparcie si zlecenia danej operacji moe by sposobem na uniknicie strat lub odpowiedzialnoci za bdne decyzje.Std serwisy tego typu s jednymi z nielicznych na rynku komercyjnym, gdzie rzeczywicie istnieje silna potrzeba biznesowa zapewnienia niezaprzeczalnoci.
Dostpno
Kontrola dostpuNieautoryzowane osoby nie mog zmieni lub usun danych
rodki techniczneReplikacja, kopie zapasowe, kolokacja
rodki organizacyjnePlany awaryjne, delegacja odpowiedzialnoci, testowanie rodkw technicznych
Rozliczalno
Mozliwo przypisania dziaa podmiotomFunkcja audytu (audit)
Zaley od skutecznego potwierdzenia tosamoci
rodki techniczno-organizacyjneObligatoryjne dziennikiSystemowe (logi), wejcia-wyjcia (pomieszczenia)
Ochrona integralnoci dziennikw
Anonimowo
Dostp do obiektu bez ujawniania tosamoci podmiotuOchrona prywatnoci
Pozorna sprzeczno z rozliczalnoci i kontrol dostpuW praktyce poufno informacji o tosamoci
Anonimowa kontrola dostpu
Model tradycyjnyIdentyfikacja Uwierzytelnienie Uprawnienia
Ograniczone udostpnianie informacji (limited disclosure)"Uprawnienia na okaziciela" (Microsoft U-Prove)
Dowd wiedzy zerowej (zero knowledge proof)
Anonymizacja danych (anonymisation)Tokenizacja (tokenisation),
Gradacja siy
mechanizmw bezpieczestwa
Koszt uycia jest funkcj siy zabezpieczeniaNajmniejsza, wystarczajca sia mechanizmw
Racjonalizacja kosztw i optymalizacja procesu
Puapka unifikacji ("one size fits all")Konieczno dostosowania do procesu o najwyszych wymaganiach
Parali procesw o niszych wymaganiach
Gradacja siy mechanizmw bezpieczestwa jest konieczna ze wzgldu na ich rny koszt co do zasady wyszy poziom bezpieczestwa wie si z wyszymi kosztami wdroenia i stosowania.danie zbyt wysokiego poziomu bezpieczestwa przy dostpie do informacji moe utrudni dostp osobom uprawnionym jest wic przeciwiestwem funkcji dostpnoci (availability). Obie funkcje naley wic rozwane balansowa pomaga w tym analiza ryzyka oraz analiza kosztw i zyskw.
Przykady
Bankowo elektroniczna
IDA (Interchange of Data between Administrations) Authentication Policy
Hasa lub kody PIN
Hasa jednorazowe
Klucze kryptograficzne przechowywane programowo
Klucze kryptograficzne przechowywane sprztowo
FIPS 200 (NIST)
Praktycznym przykadem skutecznej gradacji poziomw bezpieczestwa jest autoryzacja transakcji w bankowych serwisach transakcyjnych w Polsce stosowanych jest prawie 15 rnych technik pokrywajcych szeroki przedzia siy uwierzytelnienia, od hase jednorazowych po "sprztowy" podpis elektroniczny.Warto zwrci uwag na poziom minimalny to hasa jednorazowe, a do autoryzacji transakcji od dawna nie s stosowane hasa statyczne. Rwnoczenie najsilniejsze mechanizmy s stosowane prawie wycznie tam, gdzie ma to uzasadnienie biznesowe (patrz "Niezaprzeczalno").Patrz: "Najbezpieczniejsze banki internetowe w Polsce", raport Bankier.pl, 2009
Zaufanie oparte o reputacj
Zaufanie oparte o reputacj
W odniesieniu do osbSystemy aukcyjne, mikropoyczkowe...
Systemy oceny sklepw, prawnikw, lekarzy...
Systemy historii kredytowej, bazy dunikw...
W odniesieniu do sieciCzarne listy adresw IPDNSBL (DNS Blocklist)
Klasyfikacja treciWCF (Web Content Filtering)
Reputacja a funkcje bezpieczestwa
Reputacja moe by przywizana do mniej lub bardziej anonimowego identyfikatora"marysia123" w serwisach aukcyjnych
10.2.3.4 w czarnych listach adresw IP
http://www.casino124.net/ - w systemach klasyfikacji stron
Potwierdzenie tosamoci stron nie jest kluczowe"Czy chc z nim rozmawia" zamiast "kim on jest?"
Reputacja osb
Odpowied na anonimowo drobnego handlu elektronicznego"Czy chc kupi/sprzeda co tej osobie na odlego?"
"Jaki jest poziom ryzyka tej transakcji?"
Uatwia podjcie decyzji
Poprawia konkurencj
Ogranicza naduycia
Nie jest doskonaa
Reputacja osb
Przykadowe kryteriaDziaajcy adres email email z kodem
Dziaajcy adres pocztowy list z kodem
Telefon komrkowy SMS
Konto bankowe przelew na 0,01 z
Historia w KRD, BIK, InfoMonitor, ERIF
Jest zatrudniony kontakt z pracodawc
Co o nim myl inni uytkownicy komentarze
KRD Krajowy Rejestr Dugw, BIK Biuro Informacji Kredytowej, Biuro Informacji Gospodarczej InfoMonitor (windykacja), ERIF Europejski Rejestr Informacji Finansowej
Przykady:Kokos.pl (mikropoyczki) wszystkie z w/wAllegro.pl (aukcje) przelew 1,01 z na konto Allegro lub wpisanie kodu wysanego poczt tradycyjnSwistak.pl (aukcje) przelew bankowy
Wszystkie serwisy buduj reputacj na komentarzach innych osb handlujcych z ocenianymi osobami liczone s komentarze pozytywne, negatywne i neutralne.
Serwisy aukcyjne stosuj rwnie kategorie uytkownikw - zarwno pozytywne "Zaufany Sprzedawca" w Swistak.pl, "SuperSprzedawca" w Allegro, jak i negatywne np. "uytkownik niezweryfikowany"
Reputacja domen i adresw IP
Odpowied na patologie takie jak spam, wamania do serwerw i phishingSerwer: "Czy chc przyj poczenie z tego IP?"
Klient: "Czy chc wej na t stron?"
Czsto oparte o DNS (DNSBL)Szybka, rozproszona, replikowalna baza danych
Czarne listy IP
Spammerzy"Z tych IP otrzymalimy spam"
Open proxy/open relay"Te serwery s niedostatecznie zabezpieczone"
Podsieci konsumenckie"Te adresy s przydzielane konsumentom i nie powinny na nich dziaa serwery"
Prognozujce (predictive)"Te adresy nale do firm spammerskich"
Na wiecie dziaa kilkadziesit duych baz typu DNSBL, zarwno darmowych jak i komercyjnych. Czsto jeden podmiot udostpnia kilka baz, z ktrych kada zawiera adresy z jednej z w/w kategorii. Historycznie najbardziej znane byy bazy MAPS i ORBS.Wikszo z nich zawiera adresy IP wysyajce spam w poczcie elektronicznej (SMTP). Baza http:BL zawiera kilka kategorii adresw IP, z ktrych wychodz rnego rodzaju ataki HTTP.Do baz prognozujcych mona zaliczy systemy SPEWS oraz Dshield HPB (Highly Predictive Blacklist).Bazy te mog by aktualizowane rcznie (na podstawie zgosze) lub automatycznie na podstawie informacji z systemw IDS lub puapek (honeypot, spam bait).
Klasyfikacja stron WWW
Reputacja strony WWWPrzynaleno do okrelonej kategoriiSystemy WCF- kilkadziesit kategorii i kilkaset podkategorii
"Czarne listy" (OpenDNS, Google Safe Browsing, Microsoft Smart Screen)
Wg adresu URL
Polityka bezpieczestwa okrela dopuszczalny dostp
Wspczesne produkty WCF (Web Content Filtering) klasy korporacyjnej (enterprise) korzystaj z czsto aktualizowanych baz zawierajcych klasyfikacj milionw stron. Kada strona ma przypisan jedn lub wicej kategorii i w odrnieniu od prostych produktw "rodzinnych" (family filter) mog to by kategorie tak ronorodne jak "Travel", "Job search", "Hacking", "News", "Social networking" itd.Klasyfikacja stron jest prowadzona zarwno rcznie (ocena przez czowieka) jak i w sposb automatyczny (sowa kluczowe).Istotne parametry filtrw treci to wielko bazy, sposb klasyfikacji, ilo kategorii, czstotliwo aktualizacji, moliwo dodawania wyjtkw oraz moliwo reklamowania stron bdnie sklasyfikowanych.
Zaufanie w brany bezpieczestwa
Zaufanie do brany
Szczeglne oczekiwania wobec brany bezpieczestwaPor. tajemnica lekarska, adwokacka, maklerska, spowiedzi...
Bezpieczestwo nie tylko dochowanie tajemnicy
Jak buduje si zaufanie do brany i ekspertwCertyfikacje zawodowe
Kodeksy etyki zawodowej
Kompetencje zawodowe
Systemy certyfikacji zawodowejCertyfikaty oglne CISSP, CISA, CISM
Wymg rozwoju zawodowegoCPE publikacje, konferencje, wykady...
Udokumentowane dowiadczenie
Kodeks etyczny
Certyfikaty produktoweMicrosoft, Cisco...
Etyka w bezpieczestwie
Zaufanie do ekspertw i brany
Dylematy moralne i prawneProwizje od producentw
Korupcja
Branowe kodeksy etyczne(ISC)2 Code of Ethics
ISACA Code of Professional Ethics
RFC 1087 "Ethics and the Internet"
Przykad - (ISC)2
Kanon kodeksu (ISC)2Protect society, the commonwealth, and the infrastructure.
Act honorably, honestly, justly, responsibly, and legally.
Provide diligent and competent service to principals.
Advance and protect the profession.
Kolejno istotna!
Kontakt z autorem:
[email protected]. +48-602-776959
Prezentacja udostpniona na licencji Creative Commons BY-NC-SA(uznanie autorstwa, uycie niekomercyjne, na tych samych warunkach)
http://creativecommons.org/licenses/by-nc-sa/3.0/pl/
Literatura:
http://ipsec.pl/http://securitystandard.pl/
Krzysztof Liderman, "Podrcznik administratora bezpieczestwa teleinformatycznego"