Doufám, že tato konsolidace základních konceptů a procesů bude přínosem pro ty, kdo mají zájem stát se členy studijní skupiny CISSP a komunity.
Tento dokument má být doplňkem, nikoli náhradou za oficiálně publikované studijní příručky a knihy. Možná jsem přidal více definic stejného procesu nebo postupu kvůli různým definicím z různých zdrojů, jako jsou oficiální publikace CBK, Sybex, NIST, dokumenty SANS nebo knihy AIO Shon Harris. Pokud narazíte na nějaké konflikty, podívejte se prosím na nejnovější oficiální knihy CISSP CBK, AIO a Sybex. Jako kandidát CISSP byste měli plně rozumět konceptům CISSP, metodologiím a jejich implementacím v rámci organizace.
Pokud jde o čtení knih a získávání znalostí, nezkoušejte žádné zkratky. Tento rychlý odkaz by měl být použit jako rychlá rekapitulace bezpečnostních konceptů. Je nezbytné, abyste si nejprve přečetli oficiální knihy CISSP a poté pomocí těchto poznámek získali rekapitulaci toho, co jste se naučili. Přeji hodně štěstí u zkoušky CISSP.
CISSP
Průvodce procesem
V.20
Od: Fadi Sodah (aka madunix)
CISSP CISA CFR ICATE
Výměna odborníků
Název. Verze CISSP Process Guide. 20 Vydání. 2018
CISSP je registrovaná certifikační známka společnosti [lSC)2, Inc. - Zřeknutí se odpovědnosti: Fadi Sodah není přidružena ani podporována společností (ISC]2
Corporate Governance:
Corporate governance je soubor odpovědností a postupů vykonávaných představenstvem a výkonným managementem s cílem poskytovat strategické řízení, zajišťovat dosažení cílů, ujišťovat se, že rizika jsou řízena přiměřeně a ověřovat, že podnikové zdroje jsou využívány odpovědně.
• Audit dodavatelských řetězců
• Struktura a proces představenstva a managementu
• Společenská odpovědnost a dodržování předpisů
• Finanční transparentnost a zveřejňování informací
• Vlastnická struktura a výkon kontrolních práv
Řízení, rizika a dodržování předpisů (GRC):
Proces, jak organizace spravuje své informační zdroje. Tento proces obvykle zahrnuje všechny aspekty toho, jak jsou pro danou organizaci přijímána rozhodnutí, jako jsou zásady, role a postupy, které organizace k přijímání těchto rozhodnutí používá. Je navržen tak, aby zajistil, že se podnikání soustředí na hlavní činnosti, objasňuje, kdo má v organizaci pravomoc činit rozhodnutí, určuje odpovědnost za jednání a odpovědnost za výsledky a řeší, jak bude hodnocen očekávaný výkon.
Oblasti zaměření IT Governance:
• Strategické sladění
• Poskytování hodnoty
• Správa zdrojů
• Řízení rizik
• Řízení výkonu
Řízení vs. řízení:
• Dohled vs. implementace
• Přidělování oprávnění vs. autorizační akce
• Uplatňování zásad vs. prosazování
• Odpovědnost vs
• Strategické plánování vs. plánování projektu
• Alokace zdrojů vs. využití zdrojů
Poznámka:
Vládnutí: (Co musíme dosáhnout). Řízení se obvykle zaměřuje na sladění interních požadavků, jako jsou podnikové zásady, obchodní cíle a strategie. Management: (Jak)
Bezpečnostní zásady:
• Definujte rozsah
• Identifikujte všechna aktiva
• Určete úroveň ochrany
• Určete osobní odpovědnost
• Vyvinout důsledky pro nedodržení
Význam následujících norem Infosec:
Vytvoření a používání běžných osvědčených postupů je důležitou součástí úspěšného programu zabezpečení informací. Normy nejen podporují proaktivní řízení a účinné zmírňování rizik, ale přijetí a důsledné dodržování normy může každé organizaci přinést další výhody.
• TRUST & DŮVĚRA. Když organizace získají certifikace, které prokazují shodu, vytvářejí pocit důvěry mezi zaměstnanci a třetími stranami, se kterými přicházejí do styku.
• LEPŠÍ VÝSLEDKY. Když mluvíte stejným žargonem, výsledky jsou produktivnější, efektivnější a soudržnější. Například hodnocení dodavatelů může být plynulejší a rychlejší se zavedeným formálním programem infosec.
• KONKURENČNÍ VÝHODA. Vytvoření formálního programu infosec a získání certifikace zvyšuje důvěru klientů a zainteresovaných stran v to, jak jsou rizika infosec řízena a jak jsou v souladu s jejich vlastní ochotou riskovat.
• FIREMNÍ ODPOVĚDNOST. Držení certifikace infosec může organizacím pomoci prokázat náležitou péči a náležitou péči, což jsou povinné požadavky na vedoucí pracovníky společnosti a nezbytné pro zmírnění podnikové nedbalosti.
Poznámka
:
Standardy zabezpečení informací nabízejí osvědčené postupy a sdílejí odborné informace. Tyto standardy umožňují organizacím přijmout, přizpůsobit a implementovat hodnotný program infosec, aniž by musely najímat odborníky na plný úvazek, znovu vynalézat kolo a učit se metodou pokus-omyl, což je nákladné, časově náročné a nebezpečné.
Výzvy implementace a udržování standardů:
• Čas: Implementace a udržování standardů bezpečnosti informací není jednorázový projekt. Je to spíše proces, který vyžaduje oddaný, kvalifikovaný personál, podporu od vyššího vedení a neustálé sledování a zlepšování. Úspěšné úsilí bude vyžadovat zapojení celé organizace.
• Náklady: Implementace standardů může být nákladná a údržba stejně nákladná. Například v případě ISO 27001 musí organizace kromě času a úsilí nutného ke splnění požadavků normy počítat s ročními poplatky za audit, které mohou být značné.
• Zakoupení: Zakoupení vyššího vedení a vlastnictví programu na úrovni C jsou kritickými prvky pro to, aby organizace mohla efektivně nasadit program zabezpečení informací. Tým pro bezpečnost informací musí sdílet metriky, podávat zprávy o efektivitě programu a prokázat jeho hodnotu a strategickou shodu s obchodními cíli organizace, aby si udržela podporu vrcholového vedení.
• Řízení změn: Obecně platí, že každý oceňuje hodnotu zabezpečení informací, dokud nebude vyžadovat změnu. Bezpečnostní týmy zavádějící standardy mají za úkol najít křehkou rovnováhu mezi bezpečností a pohodlím.
• Neustálé zlepšování: Normy mají své životní cykly. Je-li standard aktualizován, je odpovědností všech vyhovujících organizací, aby byly o aktualizacích informovány a implementovaly je ve stanovených termínech nebo co nejdříve, pokud není nařízena časová osa. V některých případech může být standard zastaralý a nový standard je třeba prozkoumat a předložit vyššímu vedení ke schválení k implementaci.
Hlavní požadavky na zabezpečení a jejich dílčí součásti:
•
Zabezpečení sítě
•• Důvěrnost
•• Integrita
•• Autenticita
•• Dostupnost
•
Správa identit
•• Autentizace
•• Autorizace
•• Odpovědnost
•• Odvolání
•
Ochrana soukromí
•• Ochrana osobních údajů
•• Anonymita
•• Pseudonimita
•• Nepropojitelnost
•
Důvěřujte
•• Důvěra k zařízení
•• Důvěra entit
•• Důvěra dat
• Odolnost
•• Odolnost proti útokům
•• Odolnost proti poruchám
Požadováno pro odpovědnost:
• Identifikace
• Ověřování
• Audit
CIA:
• Důvěrnost
Riziko: Riziko ztráty soukromí. Neoprávněné zveřejnění.
Ovládání: Šifrování. Autentizace. Řízení přístupu.
• Integrita
Riziko: Upravená data neautorizovaným zdrojem
Ovládání: Řízení přístupu, kryptografie spolu s hašováním & Přehledy zpráv
• Dostupnost
Riziko: Nedostupnost zdrojů & informace pro oprávněné uživatele
Ovládání: Zálohy, vysoká dostupnost, odolnost proti chybám, společné umístění
Model ACID:
• Atomicita – Nastává, když jsou všechny části provedení transakce buď všechny potvrzeny, nebo všechny odvolány – udělejte to všechno nebo vůbec
• Konzistence – Vyskytuje se, když je databáze transformována z jednoho platného stavu do jiného platného stavu. Transakce je povolena pouze v případě, že dodržuje uživatelsky definovaná omezení integrity.
• Izolace – Je proces, který zaručuje, že výsledky transakce jsou pro ostatní transakce neviditelné, dokud není transakce dokončena.
• Trvanlivost – zajišťuje, že výsledky dokončené transakce jsou trvalé a mohou přežít budoucí selhání systému a médií; to znamená, že jakmile jsou hotové, nelze je vrátit zpět.
Dostupnost další koncepty:
• Použitelnost
• Dostupnost
• Včasnost
• Spolehlivost
Důvěrnost další pojmy:
• Citlivost
• Diskrétnost
• Kritičnost
• Skrytí
• Utajení
• Soukromí
• Odloučení
• Izolace
Některé z technik k zajištění CIA jsou následující:
• Procesní izolace
• Softwarové omezení
• Omezení a omezení
• Zásady nejmenších oprávnění
DAD Triad:
• Zveřejnění – Odhalte informace a sdělení, která mají být soukromá a chráněná.
• Změny — Provádějte neoprávněné úpravy informací a zavádějte chyby nebo závady.
• Odepření – Způsobí selhání nebo špatný výkon systémů a zabrání autorizovaným uživatelům v přístupu k datům, která potřebují.
CIA-AP:
• Důvěrnost: Schopnost omezit přístup k informacím a jejich zpřístupnění pouze oprávněným klientům.
• Integrita: Schopnost zachovat strukturu a obsah informačních zdrojů.
• Dostupnost: Schopnost zaručit nepřetržitý přístup k datům a zdrojům oprávněným klientům.
• Autenticita: Schopnost zajistit, že klienti nebo objekty jsou pravé.
• Soukromí: Schopnost chránit všechny informace týkající se osobní sféry uživatelů.
Kontrola řízení přístupu:
Následuje přehled základních konceptů řízení přístupu.
••Identifikace:
• Subjekty poskytující identifikační informace
• Uživatelské jméno, ID uživatele, číslo účtu
••Ověření:
• Ověření identifikačních informací
• Přístupová fráze, hodnota PIN, otisk palce, čipová karta, jednorázové heslo
••Oprávnění:
• Použití identity subjektu spolu s dalšími kritérii k určení operací, které může subjekt s objekty provádět
• "Vím, kdo jsi, co ti teď dovolím?"
••Odpovědnost:
• Auditujte protokoly a monitorování pro sledování aktivit subjektu s objekty
Postup schvalování autorizace:
• Formalizováno
• Schválení přímým manažerem, vlastníkem dat, bezpečnostním profesionálem
• Přístupová oprávnění se řídí zásadou nejmenšího oprávnění
• Vyvažte zabezpečení s potřebou přístupu
• Nepovolujte příliš mnoho privilegií — Konflikty zájmů
• Odeberte oprávnění, když již není potřeba
Náležitá péče vs. náležitá péče:
• Due Diligence – „Výzkum“ – Zkoumání a pochopení rizik
• Due Diligence – „Vykonávání“ všech nezbytných úkolů potřebných k udržení náležité péče
• Náležitá péče – „Doing“ – Vypracování zásad a postupů pro řešení rizik
• Řádná péče znamená jednat zodpovědně
Data v klidu:
Pojem klidová data označuje data, která jsou uložena v externích nebo pomocných úložných zařízeních, jako jsou pevné disky (HDD), SSD (Solid State Drive), optické disky (CD/DVD) nebo dokonce na magnetické pásce. . Výzvou k ochraně dat v těchto stavech je, že jsou zranitelná nejen vůči aktérům hrozeb, kteří se k nim pokoušejí dostat přes naše systémy a sítě, ale také vůči komukoli, kdo může získat fyzický přístup k zařízení. Strategie ochrany údajů zahrnují bezpečné kontroly přístupu, oddělení povinností a zavádění mechanismů, které vyžadují znalost citlivých údajů.
Data v pohybu:
Data v pohybu jsou data, která se přesouvají mezi výpočetními uzly přes datovou síť, jako je internet. Toto je možná nejnebezpečnější doba pro naše data, když opustí hranice našich chráněných oblastí a vydají se na Divoký západ, kterým je internet. Příklady dat v pohybu zahrnují e-mail, FTP a zasílání zpráv. Strategie ochrany dat pro data v pohybu zahrnují následující: Bezpečné přihlášení a procedury relace pro služby přenosu souborů. Šifrovaná citlivá data. Monitorovací činnosti za účelem zachycení a analýzy obsahu, aby bylo zajištěno, že důvěrné informace nebo informace související se soukromím nebudou přenášeny třetím stranám nebo uloženy na veřejně přístupných místech souborových serverů. Používejte standardní, robustní šifrovací protokoly. Používejte správně nakonfigurované a aktuální SSL/TLS.
Použitá data:
Použitá data se týkají informací, které se aktuálně používají. Používají jej zaměstnanci, jako v případě notebooků nebo přenosných zařízení, a informace, které se tisknou nebo kopírují na USB klíčenku. Toto jsou data dostupná v koncových bodech. Kontroly zabezpečení dat používaných dat by zahrnovaly ochranu portů a šifrování celého disku. Ovládací prvky proti surfování přes rameno, jako je jasná obrazovka a jasné zásady pracovního stolu, jsou také použitelné pro data v uživatelských ovládacích prvcích.
Zabezpečení:
Zabezpečení je nepřetržitý proces, nikoli jednorázový projekt. Životní cyklus zabezpečení neboli bezpečnostní kolo je kontinuální proces, který se skládá z několika na sebe navazujících fází (fází). Slovo cyklus označuje nepřetržitou a nekonečnou povahu takového procesu. ISO 27001 definuje cyklus systému řízení bezpečnosti informací ISMS jako PCDA: Plan-Do-Check-Act.
Ukázky testování triády CIA:
• Funkce zabezpečení: Ověřte, zda se software chová podle požadavků, které by měly zahrnovat zabezpečení.
• Fuzz-testování (neboli fuzzing): Zadejte širokou škálu mimo rozsah
• Dynamická validace: Použijte proměnná data v kódu k zajištění integrity softwaru.
• Testování založené na rizicích: Upřednostněte, které funkce testovat, na základě jejich potenciálního rizika a dopadu jejich selhání.
• Penetrační testování: Hrajte roli útočníka, odhalujte slabiny a pokoušejte se o zneužití.
• Testování autentizace: Ověřte, zda je komunikace přes síť, jako je Internet, chráněna metodami bezpečné identifikace.
• Regresní testování Potvrďte, že novější záplaty, aktualizace a opravy fungují se starším kódem.
Úvahy o bezpečnostních kontrolách zahrnují:
• Odpovědnost (může nést odpovědnost)
• Auditovatelnost (lze ji otestovat?)
• Důvěryhodný zdroj (zdroj je znám)
• Nezávislost (sebeurčující)
• Důsledně aplikováno
• Nákladově efektivní
• Spolehlivý
• Nezávislost na ostatních bezpečnostních kontrolách (žádné překrývání)
• Snadné použití
• Automatizace
• Udržitelný
• Zabezpečení
• Chrání důvěrnost, integritu a dostupnost aktiv
• V případě problému lze „odstoupit“.
• Během provozu nevytváří žádné další problémy
• Nezanechává žádná zbytková data z funkce
Zabezpečení infrastruktury:
Infrastruktura interních informačních technologií (IT) musí být zabezpečená, než budete moci bezpečně rozšířit IT do cloudu...
Zabezpečení infrastruktury
• Rámec pro správu
• Řízení rizik
• Program zabezpečení
• Ochrana dat
• Správa systému a dat
• Školení povědomí o bezpečnosti
• Zajišťování uživatelů
• Monitorování a prosazování
• Reakce na incident
Posouzení obchodního dopadu (BIA):
Systematický proces k určení a vyhodnocení potenciálních dopadů přerušení kritických obchodních operací v důsledku zneužívání, katastrofy, nehody nebo mimořádné události.
Klíčové metriky pro stanovení BIA:
• SLO • RPO • MTD • RTO • WRT • MTBF • MTTR • MOR
Posouzení podnikatelského dopadu:
• Identifikujte priority
• Identifikujte riziko
• Posouzení pravděpodobnosti
• Posouzení dopadů
• Stanovení priority zdrojů
Poznámka:
Riziko nelze nikdy snížit na nulu (neexistuje nic jako „žádné riziko“ nebo „dokonalé zabezpečení“).
Analýza dopadu na podnikání:
• Identifikujte kritické funkce
• Identifikujte kritické zdroje
• Vypočítat MTD pro zdroje
• Identifikujte hrozby
• Vypočítat rizika
• Identifikujte řešení zálohování
Analýza dopadu na podnikání:
• Vyberte jednotlivce, s nimiž budete pohovory za účelem sběru dat
• Vytvářejte techniky shromažďování dat
• Identifikujte kritické obchodní funkce
• Identifikujte zdroje, na kterých tyto funkce závisí
• Vypočítejte, jak dlouho mohou tyto funkce přežít bez těchto zdrojů
• Identifikujte zranitelná místa a hrozby
• Vypočítejte riziko pro každou jinou obchodní funkci
• Dokumentujte zjištění a oznamujte je vedení
Klíčový ukazatel výkonu KPI založený na:
• BIA
• Snaha o implementaci
• Spolehlivost
• Citlivost
Poznámka:
SLA jsou často podmnožinou klíčových ukazatelů výkonu
Metriky bezpečnostních programů:
• KPI se dívá zpět na historickou výkonnost
• KRI se dívá dopředu, ukazuje, jak velké existuje riziko, které může ohrozit budoucí bezpečnost organizace.
Plánování kontinuity podnikání (BCP):
• Zahájení projektu
• Analýza obchodního dopadu
• Strategie obnovy
• Plánujte návrh a vývoj
• Implementace
• Testování
• Průběžná údržba
BCP (NIST 800-34):
• Vypracujte plánovací politiku;
• BIA
• Identifikujte preventivní kontroly
• Vytvářejte strategie pro nepředvídané události
• Vypracujte pohotovostní plány
• Test
• Údržba
PROČ – Plánování kontinuity podnikání (BCP):
• Poskytněte okamžitou a vhodnou reakci na nouzové situace
• Chraňte životy a zajistěte bezpečnost
• Snižte dopad na podnikání
• Obnovte důležité obchodní funkce
• Spolupracujte s externími dodavateli a partnery během období obnovy
• Omezte zmatek během krize
• Zajistit přežití podniku
• Po katastrofě se rychle „zprovozněte“.
DRP vs. BCP:
• BCP – Korektivní kontrola
• DRP – Řízení obnovy
• BCP i DRP – spadají do kategorie kompenzační kontroly
• BCP – není preventivní kontrolou, protože NEMŮŽE zabránit katastrofě
• BCP – pomáhá v kontinuitě fungování organizace v případě katastrofy
• BCP – udržování kritických funkcí při narušení normálního provozu
• DRP – obnovení normálního provozu po přerušení
Plánování kontinuity podnikání (BCP):
• Zásady kontinuity
• Posouzení podnikatelského dopadu (BIA)
• Identifikujte preventivní kontroly
• Vypracujte strategie obnovy
• Vyvinout BCP
• Cvičení/vrtání/test
• Udržujte BCP
Tým DR:
• Záchranný tým: Zodpovídá za řešení bezprostřednosti katastrofy – evakuace zaměstnanců, havárie serverové místnosti atd.
• Tým obnovy: Zodpovídá za zprovoznění a provoz alternativního zařízení a nejprve obnoví nejdůležitější služby.
• Záchranný tým: Zodpovědný za návrat operací do původního nebo trvalého zařízení (rekonstituce) – (dostaňte nás zpět do stadia normálu)
Dokumenty plánování kontinuity podnikání (BCP):
• Kontinuita plánovacích cílů
• Prohlášení o důležitosti a prohlášení o prioritách
• Prohlášení o organizační odpovědnosti
• Prohlášení o naléhavosti a načasování
• Dokument posouzení rizika, přijetí rizika a zmírnění rizika
• Program Vital Records
• Pokyny pro nouzové reakce
• Dokumentace pro údržbu a testování plánu
Plán dokumentů DRP/BCP by měl být:
• Vytvořeno pro podnik s jednotlivými funkčními manažery odpovědnými za plány specifické pro jejich oddělení
• Kopie plánu by měly být uchovávány na více místech
• Uchovávejte elektronické i papírové kopie
• Plán by měl být distribuován těm, kteří to potřebují vědět
• Většina zaměstnavatelů uvidí pouze malou část plánu
Plánování kontinuity podnikání (BCP):
• Rozsah a plánování projektu
•• Analýza obchodní organizace
•• Výběr týmu BCP
•• Požadavky na zdroje
•• Právní a regulační požadavky
• Posouzení dopadu na podnikání
•• Identifikujte priority
•• Identifikace rizik
•• Posouzení pravděpodobnosti
•• Posouzení dopadů
•• Priorita zdrojů
• Plánování kontinuity
•• Rozvoj strategie
•• Ustanovení a procesy
•• Schválení plánu
•• Implementace plánu
•• Školení a vzdělávání
• Schválení a implementace
•• Schválení vrcholovým vedením (SCHVÁLENÍ)
•• Vytváření povědomí o plánu v rámci celého podniku (POVĚDOMÍ)
•• Údržba plánu, včetně aktualizace v případě potřeby (ÚDRŽBA)
•• Implementace
Vývoj plánu obnovy po havárii (DRP):
• Rozsah a cíle plánu
• Organizace obnovy podniku (BRO) a odpovědnosti (tým obnovy)
• Hlavní součásti plánu – formát a struktura
• Scénář k provedení plánu
• Eskalace, upozornění a aktivace plánu
• Program Vital Records a Off-Site Storage
• Program personální kontroly
• Omezení ztráty dat
• Správa plánu
Postupy plánu obnovy po havárii (DRP):
• Reagovat na katastrofu předem definovanou úrovní katastrofy
• Posuďte poškození a odhadněte dobu potřebnou k obnovení provozu
• Proveďte záchranu a opravu
Prvky strategií obnovy:
• Strategie obnovy podniku
•• Zaměřte se na obnovu obchodních operací
• Zařízení & strategie obnovy dodávek
•• Zaměřte se na obnovu zařízení a povolte alternativní místa obnovy
• Strategie obnovení uživatele
•• Zaměřte se na lidi a ubytování
• Technická strategie obnovy
•• Zaměřte se na obnovu IT služeb
• Strategie obnovy dat
•• Zaměřte se na obnovu informačních aktiv
Osm R úspěšného plánu obnovy:
• Důvod plánování
• Rozpoznávání
• Reakce
• Obnova
• Restaurování
• Návrat do normálního režimu
• Odpočívejte a relaxujte
• Přehodnoťte a znovu zdokumentujte
Program obnovy po havárii:
• Posouzení kritické aplikace
• Postupy zálohování
• Postupy obnovy
• Postupy implementace
• Testovací postupy
• Plán údržby
Kontrola po incidentu:
Cílem je, jak se zlepšíme; po provedení testu nebo katastrofy:
• Zaměřte se na to, jak se zlepšit
• Co se mělo stát?
• Co by se mělo stát dál?
• Ne, kdo za to může; to není produktivní
Plánování kontinuity:
Normálně se vztahuje na samotnou misi/podnikání; Týká se schopnosti pokračovat v kritických funkcích a procesech během mimořádné události a po ní.
Pohotovostní plánování:
Platí pro informační systémy a poskytuje kroky potřebné k obnovení provozu celého nebo části určeného informačního systému na stávajícím nebo novém místě v případě nouze.
Plán kontinuity podnikání (BCP):
BCP se zaměřuje na udržení poslání/obchodního procesu organizace během narušení a po něm. Může být použit pro dlouhodobé zotavení ve spojení s plánem COOP, což umožňuje připojení dalších funkcí online podle zdrojů nebo času.
Occupant Emergency Plan (OEP):
Nastiňuje postupy první reakce pro obyvatele zařízení v případě ohrožení nebo incidentu pro zdraví a bezpečnost personálu, životního prostředí nebo majetku.
Plánování reakce na kybernetické incidenty (CIRP):
Je to typ plánu, který se běžně zaměřuje na detekci, reakci a obnovu na bezpečnostní incident nebo událost počítače. Stanoví postupy pro řešení kybernetických útoků na informační systém (systémy) organizace.
Krizový plán informačního systému (ISCP):
Poskytuje zavedené postupy pro hodnocení a obnovu systému po narušení systému. Poskytuje klíčové informace potřebné pro obnovu systému, včetně rolí a odpovědností, informací o zásobách, postupů hodnocení, podrobných postupů obnovy a testování systému.
Kontinuita operačního plánu (COOP):
Zaměřuje se na obnovení základní funkce poslání organizace na alternativním místě a provádění těchto funkcí po dobu až 30 dnů před návratem k normálnímu provozu.
Plán obnovy po havárii (DRP):
Platí pro velká fyzická narušení služby, která na delší dobu odmítají přístup k primární infrastruktuře zařízení. Plán zaměřený na informační systém určený k obnovení provozuschopnosti cílového systému, aplikace nebo infrastruktury počítačového zařízení na alternativním místě po mimořádné události. Řeší pouze poruchy informačního systému, které vyžadují přemístění.
Rizika pro organizaci nalezená v:
• Finanční
• Reputační
• Regulační
Analýza rizik:
• Analýza rizik v prostředí
• Vytváření přehledu nákladů a přínosů pro zabezpečení
• Vyhodnocení hrozby
Rizikové prvky:
• Hrozby
• Majetek
• Polehčující faktory
Metodika analýzy rizik:
• CRAMM (metoda analýzy a řízení rizik CCTA)
• FMEA (režimy poruch a metodologie analýzy účinků)
• FRAP (proces zjednodušené analýzy rizik)
• OCTAVE (hodnocení provozně kritických hrozeb, aktiv a zranitelnosti)
• STISKNĚTE
• Analýza kostry
• SOMAP (Projekt pro správu a analýzu bezpečnostních pracovníků)
• VAR (Hodnota v ohrožení)
RMF CSIAAM: (NIST 800-37)
Risk management framework (RMF) zahrnuje širokou škálu činností pro identifikaci, kontrolu a zmírnění rizik ohrožujících informační systém během životního cyklu vývoje systému. Jednou z aktivit je vývoj ISCP. Implementace rámce řízení rizik může zabránit nebo snížit pravděpodobnost hrozeb a omezit důsledky rizik. RMF zahrnují:
• Kategorizovat informační systém a data
• Vyberte počáteční sadu základních bezpečnostních ovládacích prvků
• Implementujte bezpečnostní kontroly a popište, jak se tyto kontroly používají
• Vyhodnoťte bezpečnostní kontroly
• Autorizujte systémy ke spuštění
• Sledujte ovládací prvky zabezpečení
Proces řízení rizik: (FARM)
• Riziko rámování
• Vyhodnocování rizik
• Reakce na riziko
• Monitorování rizik
Dokument zásad řízení rizik:
• Cíle politiky a zdůvodnění řízení rizik
• Rozsah a charta řízení informačních rizik
• Vazby mezi politikou řízení rizik a strategickými a podnikovými obchodními plány organizace – rozsah a rozsah problémů, na které se tato politika vztahuje
• Pokyny k tomu, co je považováno za přijatelné úrovně rizika
• Odpovědnost za řízení rizik
• K dispozici jsou odborné znalosti, které pomohou osobám odpovědným za řízení rizik
• Stupeň dokumentace vyžadovaný pro různé činnosti související s řízením rizik, např. řízení změn
• Plán kontroly souladu se zásadami řízení rizik
• Úrovně závažnosti incidentů a událostí
• Hlášení rizik a postupy, formát a frekvence eskalace
Životní cyklus řízení rizik:
• Průběžné sledování
• Vyhodnocování
• Vyhodnocování a vykazování rizik.
Řízení rizik:
• Posouzení rizik – Identifikujte aktiva, zranitelnosti hrozeb
• Analýza rizik — Hodnota potenciálního rizika
• Snižování rizik – Reakce na riziko
• Sledování rizik – Riziko je věčné
Řízení rizik zahrnuje hodnocení:
• Hrozby
• Chyby zabezpečení
• Protiopatření
Metodiky hodnocení rizik:
• Připravte se na hodnocení.
• Proveďte hodnocení:
•• Identifikujte zdroje hrozeb a události.
•• Identifikujte zranitelná místa a predisponující podmínky.
•• Určete pravděpodobnost výskytu.
•• Určete velikost nárazu.
•• Určit riziko.
• Komunikujte o výsledcích.
• Udržujte hodnocení.
Příprava hodnocení rizik:
• Účel hodnocení
• Rozsah hodnocení
• Předpoklady a omezení související s hodnocením
• Zdroje informací, které mají být použity jako vstupy pro hodnocení
• Model rizik a analytické přístupy
Posouzení rizik (NIST 800-30):
• System / Asst. Charakterizace
• Identifikace hrozeb
• Identifikace zranitelnosti
• Analýza kontroly
• Stanovení pravděpodobnosti
• Analýza dopadů
• Stanovení rizika
• Kontrolní doporučení
• Dokumentace výsledků
Klíčové výzvy v oblasti řízení rizik třetích stran:
• Zvyšuje složitost sítí třetích stran & je to management
• Riziko selhání při správě dodržování předpisů
• Dodatečné náklady na monitorování třetích stran
• Nedostatek spolupráce mezi stranami
• Riziko úniku informací / dat
Klíčové součásti rámce řízení rizik třetích stran:
Níže jsou uvedeny klíčové součásti rámce pro řízení rizik třetích stran (TPRM):
• Plánování & definice procesu
• Segmentace & Promítání
• Kvalifikace
• Zabezpečení & Oprávnění
• Pracovní postupy
• Snižování rizik
• Nepřetržité monitorování
• Přehledy & Přístrojová deska
• Centralizované úložiště
• Upozornění & Oznámení
Posouzení poškození:
• Určení příčiny katastrofy je prvním krokem při hodnocení škod
• Jak dlouho bude trvat uvedení kritických funkcí zpět online
• Identifikace zdrojů, které je nutné okamžitě vyměnit
• Vyhlásit katastrofu
Posouzení poškození:
•Určete příčinu katastrofy.
•Určete možnost dalšího poškození.
•Identifikujte dotčené obchodní funkce a oblasti.
•Identifikujte úroveň funkčnosti kritických zdrojů.
•Určete prostředky, které je nutné okamžitě vyměnit.
•Odhadněte, jak dlouho bude trvat uvedení kritických funkcí zpět online.
•Pokud bude obnovení provozu trvat déle než dříve odhadované hodnoty MTD, měla by být vyhlášena katastrofa a BCP by měla být uvedena do činnosti.
Poznámka:
• První činností v každém plánu obnovy je posouzení škod, po kterém bezprostředně následuje zmírnění škod.
• Posledním krokem při hodnocení škod je vyhlášení katastrofy.
• Rozhodnutí aktivovat plán obnovy po havárii se učiní po dokončení posouzení a vyhodnocení poškození.
Správa konfigurace:
• Plán
• Schválit základní linii
• Implementovat
• Kontrola změn
• Monitor
• Nahlásit
• Opakovatelné
Správa konfigurace:
• Identifikace konfigurace
• Kontrola konfigurace
• Účtování stavu konfigurace
• Audit konfigurace
Řízení změn:
• Provádějte změny monitorovaným a uspořádaným způsobem.
• Změny jsou vždy pod kontrolou
• Formalizované testování
• Obrácené/vrácení zpět
• Uživatelé jsou o změnách informováni dříve, než k nim dojde, aby se předešlo ztrátě produktivity.
• Účinky změn jsou systematicky analyzovány.
• Negativní dopad změn ve schopnostech, funkčnosti a výkonu
• Změny kontroluje a schvaluje CAB (výbor pro schvalování změn).
Správa změn:
• Žádost o provedení změny
• Schválení změny
• Dokumentace změny
• Testováno a prezentováno
• Implementace
• Nahlásit změnu vedení
Správa změn:
• Žádost
• Kontrola
• Schválit
• Plán
• Dokument
Správa změn:
• Žádost
• Vyhodnoťte
• Test
• Vrácení zpět
• Schválit
• Dokument
• Určit okno změn
• Implementovat
• Ověřte
• Zavřít
Správa oprav:
• Zdroje informací o opravách
• Stanovení priorit
• Plánování
• Testování
• Instalace
• Hodnocení
• Audit
• Konzistence
• Soulad
Správa oprav:
• Vyhodnoťte
• Test
• Schválit
• Nasazení
• Ověřte
Správa oprav:
• Inventář
• Alokovat zdroje
• Sledujte aktualizace
• Test
• Změnit schválení
• Plán nasazení
• Plán vrácení
• Nasaďte a ověřte aktualizace s požadavky zásad
• Dokument
Správa problémů:
• Upozornění na incident
• Analýza hlavních příčin
• Určení řešení
• Žádost o změnu
• Implementujte řešení
• Monitorování/hlášení
Proces bezpečnostního inženýrství informačních systémů (ISSE):
• Objevte potřeby ochrany informací; zjistit účel systému.
• Identifikujte informační majetek, který potřebuje ochranu.
• Definovat požadavky na zabezpečení systému; Definujte požadavky na základě potřeb ochrany.
• Navrhněte architekturu zabezpečení systému; Navrhněte architekturu systému tak, aby splňovala bezpečnostní požadavky.
• Vyvinout podrobný návrh zabezpečení; Na základě bezpečnostní architektury navrhněte bezpečnostní funkce a vlastnosti systému.
• Implementujte zabezpečení systému; Implementujte do systému navržené bezpečnostní funkce a vlastnosti.
• Posoudit účinnost zabezpečení; Posoudit efektivitu aktivit ISSE.
Enterprise Security Architecture (ESA):
• Představuje dlouhodobý strategický pohled na systém
• Sjednocuje bezpečnostní kontroly
• Využívá stávající investice do technologií
Životní cyklus vývoje systémů:
• Zahájení (zvažuje hodnotu, citlivost, shodu s předpisy, klasifikaci atd. aplikace/dat).
• Definujte funkční požadavky (potřeby uživatelů dokumentů a zabezpečení).
• Specifikace návrhu (architektura systému/navržený software).
• Vývoj/Implementace/Testování (generovaný zdrojový kód a testovací případy, řešená kvalita/spolehlivost).
• Ovládací prvky dokumentace/programu (ovládací prvky související s úpravou dat, protokolováním, verzí, ovládáním, kontrolami integrity atd.).
• Certifikace/Akreditace (nezávislé testování dat/kódu zajišťující splnění požadavků, validace dat, kontrola hranic, dezinfekce, autorizace vedení k implementaci).
• Výroba/implementace (systémy jsou aktivní).
SDLC:
• Zahájení a plánování projektu
• Definice funkčních požadavků
• Specifikace návrhu systému
• Vývoj a implementace
• Dokumentace a běžné ovládací prvky programu
• Kontrola testování a hodnocení (certifikace a akreditace)
• Přechod do produkce (implementace)
SDLC:
• Vyžádejte si/shromážděte informace
•• Hodnocení bezpečnostních rizik
•• Posouzení rizika ochrany soukromí
•• Přijetí na úrovni rizika
•• Informační, funkční a behaviorální požadavky
• Design
•• Analýza útočného povrchu + Modelování hrozeb
• Vyvíjet
•• Automatizované nástroje CASE + statická analýza
• Test/Validace
•• Dynamická analýza + Fuzzing + Ruční testování
•• Jednotkové, integrační, akceptační a regresní testování
• Uvolnění/údržba
•• Závěrečná kontrola zabezpečení
Poznámka:
Fuzz testování používané k popisu použití známých špatných nebo náhodných vstupů k určení, jaké nezamýšlené výsledky mohou nastat.
SDLC 10 fází: (životní cyklus systému)
• Iniciace – Identifikace potřeby projektu
• Vývoj koncepce systému – Definování rozsahu a hranic projektu
• Plánování – Vytvoření plánu řízení projektu
• Analýza požadavků – Definování požadavků uživatelů
• Návrh – vytvoření dokumentu návrhu systému, který popisuje, jak projekt dodat
• Vývoj – Převedení návrhu do funkčního systému
• Integrace a testování – Ověření, zda systém splňuje požadavky
• Implementace – Nasazení systému do produkčního prostředí
• Provoz a údržba – Monitorování a správa systému ve výrobě
• Disposition – Migrace dat do nového systému a vypnutí systému
Poznámka:
Životní cyklus systému (SLC) přesahuje SDLC a zahrnuje dva:
• Podpora provozu a údržby (po instalaci).
• Revize a výměna systému.
Metodiky vývoje:
• Vytvářejte a opravujte
Chybí architektonický návrh. Problémy jsou opraveny, jakmile nastanou. Chybí formální cyklus zpětné vazby. Reaktivní místo proaktivní.
• Vodopád
Lineární sekvenční životní cyklus. Každá fáze je dokončena před pokračováním.
Chybí formální způsob provádění změn během cyklu. Projekt je dokončen, než se shromáždí zpětná vazba a začne znovu.
• Ve tvaru V
Založeno na modelu vodopádu. Každá fáze je dokončena před pokračováním.
Umožňuje ověření a ověření po každé fázi. Neobsahuje fázi analýzy rizik.
• Prototypování
Rapid prototyping používá rychlý vzorek k testování aktuálního projektu. Evoluční prototypování využívá postupná vylepšení designu. Provozní prototypy poskytují postupná vylepšení, ale jsou určeny k použití ve výrobě.
• Přírůstkové
Používá několik cyklů pro vývoj jako několik vodopádů. Celý proces se může kdykoli restartovat jako jiná fáze. Snadné zavedení nových požadavků. Poskytuje přírůstkové aktualizace softwaru.
• Spirála
Neustálý přístup k vývoji. Provádí analýzu rizik během vývoje.
Budoucí informace a požadavky jsou zahrnuty do analýzy rizik. Umožňuje testování v raném stádiu vývoje.
• Rychlý vývoj aplikací
Používá rychlé prototypování. Navrženo pro rychlý vývoj. Analýza a návrh jsou rychle demonstrovány. Testování a požadavky jsou často revidovány.
• Agilní
Zastřešující termín pro více metod. Zdůrazňuje efektivitu a iterativní vývoj.
Stav uživatele popisuje, co uživatel dělá a proč. Prototypy jsou filtrovány podle jednotlivých prvků.
Životní cyklus vývoje systémů:
• Iniciace: Během iniciační fáze je vyjádřena potřeba systému a zdokumentován účel systému.
• Vývoj/Akvizice: Během této fáze je systém navržen, zakoupen, naprogramován, vyvinut nebo jinak zkonstruován.
• Implementace/Posouzení: Po testování akceptace systému je systém nainstalován nebo nasazen.
• Provoz/údržba: Během této fáze systém vykonává svou práci. Systém je téměř vždy modifikován přidáním hardwaru a softwaru a řadou dalších událostí.
• Likvidace: Činnosti prováděné během této fáze zajišťují řádné ukončení systému, ochranu životně důležitých systémových informací a migraci dat zpracovávaných systémem do nového systému nebo jejich uchování v souladu s platnými předpisy a zásadami správy záznamů.
Životní cyklus vývoje systémů:
• Koncepční definice
• Stanovení funkčních požadavků
• Vývoj specifikací ovládání
• Kontrola designu
• Návod na kontrolu kódu
• Kontrola testu systému
• Údržba a řízení změn
Nebezpečné
Postupy kódování:
• Komentáře ve zdrojovém kódu
• Nedostatek zpracování chyb
• Příliš podrobné zpracování chyb
• Pevně zakódované přihlašovací údaje
• Podmínky závodu
• Neoprávněné použití funkcí/nechráněných rozhraní API
• Skryté prvky
• Citlivé informace v DOM
• Nedostatek podepisování kódu
Analýza dynamického kódu:
• Vyhledá problémy v kódu během provádění kódu.
• Stejně jako statická analýza může být velmi užitečná při zjištění zdroje závad kvality a zabezpečení.
• Vývojář nebo tester pracující v prostředí vývoje softwaru může být proveden ručně jako sérii testovacích kroků.
• Debuggery jsou dobrým nástrojem pro analýzu kódu během jeho běhu.
• Dynamická analýza může být také skriptována a monitorována pomocí automatizovaných testovacích nástrojů.
Bezpečnostní aspekty v SDLC:
• Připravte si plán zabezpečení
• Zasvěcení
•• Průzkum & porozumět zásadám, standardům a pokynům
•• Identifikujte informační aktiva (hmotná a nehmotná)
•• Definovat klasifikaci informací & úroveň ochrany (kategorizace zabezpečení)
•• Definovat pravidla chování & bezpečnostní
•• Proveďte předběžné posouzení rizik
• Vývoj/akvizice
•• Určete požadavky na zabezpečení
•• Proveďte hodnocení rizik
•• Proveďte analýzu nákladů a přínosů
•• Zahrnout požadavky na zabezpečení do specifikací
•• Bezpečnostní plánování (na základě rizik a CBA)
•• Získejte systém a související bezpečnostní aktivity
•• Vypracujte bezpečnostní test
• Implementace
•• Instalace/zapnutí ovládacích prvků
•• Testování zabezpečení
•• Proveďte bezpečnostní certifikaci & Akreditace cílového systému.
• Provoz/údržba
•• Bezpečnostní operace a správa
•• Provozní zajištění
•• Audity a průběžné monitorování
•• Správa konfigurace & provádí kontrolu změn
• Likvidace
•• Přenos nebo zničení informací
•• Dezinfekce médií
•• Zlikvidujte hardware
Pozitivní/negativní test:
• Pozitivní test – Pracujte podle očekávání (Výstup podle daného vstupu – probíhá podle plánu)
• Negativní test – I neočekávané vstupy jsou zpracovány elegantně pomocí nástrojů, jako jsou obslužné nástroje výjimek
Testování pokrytí:
Při analýze byste si měli být vědomi následujících typů testování pokrytí:
• Testování černé skříňky: Tester nemá žádné předchozí znalosti o testovaném prostředí.
• Bílé pole Testování: Tester má před testováním úplné znalosti.
• Dynamické testování: Během testu je monitorován systém, který je testován.
• Statické testování: Systém, který je testován, není během testu monitorován.
• Ruční testování: Testování se provádí ručně.
• Automatizované testování: Skript provádí sadu akcí.
• Strukturální testování: Může zahrnovat prohlášení, rozhodnutí, podmínku, smyčku a pokrytí toku dat.
• Funkční testování: Zahrnuje normální a protinormální testy reakce systému nebo softwaru. Antinormální testování prochází neočekávanými vstupy a metodami k ověření funkčnosti, stability a robustnosti.
• Negativní testování: Tento test záměrně používá systém nebo software s neplatnými nebo škodlivými daty a ověřuje, zda systém správně reaguje
Zabezpečení úložiště kódu:
• Zabezpečení systému
• Provozní zabezpečení
• Zabezpečení softwaru
• Zabezpečená komunikace
• Systém souborů a zálohy
• Přístup zaměstnanců
• Zachování bezpečnosti
• Bezpečnost kreditních karet
Životní cyklus jakéhokoli procesu:
• Plánujte a organizujte
• Implementovat
• Provozovat a udržovat
• Monitorujte a vyhodnocujte
Regresní a akceptační testy zahrnují:
• Opravené chyby okamžitě otestujte.
• Sledujte vedlejší účinky oprav.
• Napište regresní test pro každou opravenou chybu.
• Pokud jsou dva nebo více testů podobné, určete, který je méně účinný, a zbavte se ho.
• Identifikujte testy, které program trvale projde, a archivujte je.
• Zaměřte se na funkční problémy, ne na ty, které se týkají designu.
• Provádějte změny (malé i velké) v datech a zjistěte případné poškození.
• Sledujte účinky změn na paměť programu.
RUM vs. syntetické:
• RUM shromažďuje informace ze skutečné aktivity uživatele, což z něj činí nejrealističtější zobrazení uživatelského chování.
• Syntetické monitorování přibližuje aktivitu uživatele, ale není tak přesné jako RUM
Akvizice softwaru:
• Plánování
• Uzavření smlouvy
• Monitorování
• Přijetí
• Pokračujte
Softwarové požadavky:
• Informační model
• Funkční model
• Behaviorální model
Mechanismy ochrany softwaru:
• Bezpečnostní jádra
• Stavy oprávnění procesoru
• Bezpečnostní ovládací prvky pro přetečení vyrovnávací paměti
• Kontroly pro neúplnou kontrolu a vynucení parametrů
• Ochrana paměti
• Skryté ovládací prvky kanálu
• Kryptografie
• Techniky ochrany heslem
Formáty rozhraní API:
• Representational State Transfer (REST) – je styl softwarové architektury sestávající z pokynů a osvědčených postupů pro vytváření škálovatelných webových služeb.
• Simple Object Access Protocol (SOAP) – je specifikace protokolu pro výměnu strukturovaných informací při implementaci webových služeb v počítačových sítích.
Zabezpečení API:
• Používejte stejné ovládací prvky zabezpečení pro rozhraní API jako pro jakoukoli webovou aplikaci v podniku.
• Použijte ověřovací kód zprávy založený na hash (HMAC).
• Při předávání statických klíčů používejte šifrování.
• Použijte rámec nebo existující knihovnu k implementaci bezpečnostních řešení pro rozhraní API.
• Implementujte šifrování hesel namísto autentizace na základě jediného klíče.
Forenzní:
Proces forenzního vyšetřování musí prokázat, že postupy nakládání s informacemi a provedené akce nezměnily původní data v celém řetězci správy. To může zahrnovat:
• Zaznamenávání jmen a kontaktních informací osob obviněných z udržování spotřebitelského řetězce
• Podrobnosti o načasování události
• Účel přesunu dat
• Identifikace důkazů prostřednictvím záznamu sériových čísel a dalších podrobností
• Zapečetění důkazů důkazní páskou
• Dokumentování umístění úložiště
• Dokumentování pohybu informací
Koncepty jedinečné pro forenzní analýzu:
• Oprávnění ke shromažďování informací
• Právní obhajoba
• Důvěrnost
• Uchovávání a zabezpečení důkazů
• Zapojení donucovacích orgánů
Forenzní proces:
• Identifikace
• Zachování
• Sbírka
• Vyšetření
• Analýza
• Prezentace
• Rozhodnutí
Obecný počítačový forenzní vyšetřovací model:
• Předběžné zpracování
• Získání a uchování
• Analýza
• Prezentace
• Post-process
Proces e-discovery:
• Správa informací
• Identifikace
• Zachování
• Sbírka
• Zpracování
• Kontrola
• Analýza
• Výroba
• Prezentace
CSIRT:
Organizace často vytvoří tým pro reakci na kybernetické bezpečnostní incidenty (CSIRT), který jim pomůže identifikovat a řídit incidenty zabezpečení informací. Jednotlivci, kteří tvoří CSIRT, jsou vyškoleni ve správných technikách shromažďování a uchovávání pro vyšetřování bezpečnostních incidentů. National Institute of Standards and Technology Special Publication (NIST SP) 800-61r2 identifikuje následující modely organizace takového týmu.
• Centrální tým Jeden tým řeší incidenty jménem celé organizace.
• Distribuovaný tým Pro větší nebo geograficky rozptýlené organizace může být vhodnější mít jednotlivé CSIRT pro různé segmenty organizace nebo různé geografické lokality.
• Koordinační tým K poskytování vedení a koordinace mezi distribuovanými týmy lze přidat zastřešující centrální tým.
Nástroje CSIRT:
CSIRT má řadu nástrojů, které mohou použít k řešení bezpečnostních incidentů. Udržování aktuálního souboru nástrojů přispěje k optimálnímu fungování CSIRT. Následující tabulka uvádí několik běžných příkladů.
• Sleuth Kit (TSK) / Multiplatformní
• EnCase / Windows
• Forensic Toolkit (FTK) / Windows
• Forensics Explorer / Windows
• SANS Investigative Forensic Toolkit (SIFT) / Ubuntu (Linux)
• Digital Forensics Framework (DFF) / napříč platformami
• Computer Online Forensic Evidence Extractor (COFEE) / Windows
• WindowsSCOPE / Windows
• HashMyFiles / Windows
• Volatilita / Windows, Linux
• TestDisk / Multiplatformní
• Wireshark / Multiplatformní
Schéma klasifikace dat:
• Identifikujte správce
• Specifikujte hodnotící kritéria
• Klasifikujte a označujte každý zdroj
• Zdokumentujte všechny výjimky
• Vyberte ovládací prvky zabezpečení
• Určete postupy pro odtajnění
• Vytvořte program zvyšování povědomí o podniku
Klasifikace dat:
• Rozsah (hodnota, věk)
• Ovládací prvky klasifikace
• Ujištění
• Značení a štítkování
Klasifikace informací:
• Zadejte kritéria klasifikace
• Klasifikujte data
• Určete ovládací prvky
• Zveřejňovat povědomí o ovládacích prvcích klasifikace
Klasifikační program:
• Definujte úroveň klasifikace
• Identifikujte vlastníka
• Určete úroveň zabezpečení
• Vytvořte postup pro odtajnění
Postupy klasifikace dat:
• Definujte úrovně klasifikace.
• Zadejte kritéria, která určí, jak budou data klasifikována.
• Identifikujte vlastníky dat, kteří budou odpovědní za klasifikaci dat.
• Identifikujte správce dat, který bude odpovědný za údržbu dat a odd. úroveň.
• Uveďte bezpečnostní kontroly, ochranné mechanismy požadované pro každou úroveň třídy
• Zdokumentujte všechny výjimky z předchozích problémů klasifikace.
• Uveďte metody, které lze použít k převodu správy informací na vlastníka rozdílu.
• Vytvořte postup pro pravidelnou kontrolu klasifikace a vlastnictví.
• Sdělte veškeré změny správci dat.
• Uveďte postupy pro odtajnění dat.
• Integrujte tyto problémy do programu pro zvyšování povědomí o bezpečnosti.
Omezení shromažďování dat:
• Sběr dat pouze legálními a spravedlivými prostředky.
• Sběr dat se znalostí a souhlasem subjektu.
• Nepoužívejte osobní údaje k jiným účelům.
• Shromažďování osobních údajů by mělo být relevantní pro daný účel.
• Shromážděná data musí být přesná a aktuální.
• Nesdělujte osobní údaje jiným stranám bez svolení subjektu.
• Zabezpečte osobní údaje proti úmyslnému či neúmyslnému přístupu, použití, zveřejnění,
zničení a úpravy.
Poznámka:
Níže jsou uvedeny některé z důležitých postupů a pravidel souvisejících s ochranou soukromí
svět, který poskytuje rámce a omezení týkající se osobních údajů.
• Obecné nařízení o ochraně osobních údajů (Evropská unie)
• Směrnice o ochraně osobních údajů (EU)
• Zákon o ochraně osobních údajů z roku 1998 (Spojené království)
• Zákon o ochraně osobních údajů, 2012 (Ghana)
• Zákony o ochraně osobních údajů (soukromí) v Rusku
• Zákon o ochraně osobních údajů z roku 2012 (Singapur)
• Zákon o ochraně osobních údajů (Kanada)
Cíl
Řešení incidentů a plánování reakcí:
• Co nejrychleji a nejúčinněji detekuje kompromisy.
• Reaguje na incidenty co nejrychleji.
• Identifikuje příčinu co nejúčinněji.
Účel reakce na incident:
• Obnovte normální službu
• Minimalizujte dopad na podnikání
• Zajistěte zachování kvality a dostupnosti služeb
Reakce na incident:
• Třídění (posuzuje závažnost incidentu a ověřuje)
• Vyšetřování (kontaktujte orgány činné v trestním řízení)
• Zadržování (omezení poškození)
• Analýza
• Sledování
Reakce na incident:
• Příprava
• Detekce -- Identifikace
• Odezva -- Zadržování
• Zmírnění
• Hlášení – Hlásení vrchnímu vedení
• Obnova -- Správa změn & Konfigurace. Řízení
• Náprava -- RCA & Patch M. & Co. Implementujte ovládací prvky
• Poučení – přenos dokumentů a znalostí
Reakce na incident:
• Příprava
• Detekce
• Zadržování
• Vymýcení
• Obnova
• Kontrola po incidentu / poučení
Postup pro řešení incidentů: NIST 800-61
• Příprava lidí
• Identifikace Identifikujte
• Kontejnery
• Konec eradikace
• Skutečná obnova
• Lekce získané životy
Proces reakce na incident: PIC-ERL:
• Příprava
• Identifikace
•• Detekce/analýza
•• Sbírka
• Zadržování
• Vymýcení
• Obnova
• Po incidentu
•• Poučení
••• Analýza hlavních příčin
•• Hlášení a dokumentace
Poznámka:
Analýza mezer zahrnuje přezkoumání aktuální pozice/výkonu organizace, jak je odhalil audit podle daného standardu.
Proces reakce na incident:
• Naplánujte a identifikujte incident.
• Iniciujte protokoly zpracování incidentů.
• Zaznamenejte incident.
• Vyhodnoťte a analyzujte incident.
• Zachyťte následky incidentu.
• Zmírnit a vymýtit negativní dopady incidentu.
• Případně eskalujte problémy příslušnému členovi týmu.
• Vzpamatujte se z incidentu.
• Zkontrolujte a nahlaste podrobnosti o incidentu.
• Vypracujte zprávu o lekcích.
Plány reakce na incidenty:
Použitelný plán IR je dostatečně dynamický, aby řešil mnoho incidentů, ale dostatečně jednoduchý, aby byl užitečný. Některé charakteristiky plánu jsou:
• Stručně Během incidentu je málo času na čtení a pochopení velkých dokumentů a hledání zvýrazněných částí, které mohou být relevantní.
• Jasné incidenty jsou složité a často na začátku nejsou dobře pochopeny.
• Odolné Rigidní a normativní plány reakce na incidenty mohou selhat, když klíčoví účastníci chybí.
• Bydlení Toto není jen plán, který je třeba jednou ročně přezkoumat a (potenciálně) aktualizovat.
Modely plánů reakce na incidenty:
•• Soulad s předpisy
• Navrženo k vyhodnocení reakce po faktu.
• Odráží přístup z auditu a dodržování předpisů (HIPAA, GLBA, PCI-DSS).
• Bezpečnostní inženýři a analytici se na ně během incidentu nezmiňují, s výjimkou případných retrospektivních zpráv.
•• Technická podpora
• Propracované příručky, které sdělují techniky analýzy dat a často jsou nepraktické a záměrně vágní ohledně odpovědnosti.
• Vyvinuto bezpečnostními nebo síťovými inženýry, ale může být frustrující při vyhodnocování odpovědí na zprávy představenstvu nebo vedoucím pracovníkům.
•• Koordinované (řízené dodržováním předpisů + technické řízení)
• Poskytuje rámec pro činnosti, kde jsou více nejednoznačné: mezi týmy a rolemi. Koordinovaný plán popisuje komunikaci a autoritu, takže se o ně během incidentu nejedná, ale také umožňuje využít odbornost týmu bez mikromanagementu ze strany plánu.
Metodika vyšetřování incidentu:
• Analýza a zobrazování
• Forenzní vyšetřování mrtvých schránek
• Shromažďování nestálých dat
• Manipulace se serverem
• Zobrazování koncových bodů
• Obsluha živého systému (shromažďování nestálých dat)
• Blokování zápisu
• Řízené forenzní spouštění (aspekty nestálých dat)
Výzvy ohledně viditelnosti:
• Zjišťování a sledování aktiv
• Zobrazení a ochrana zařízení koncových uživatelů mimo síť
• Hledání zranitelných míst v kódu aplikace, který si organizace vytváří sama
• Identifikace slabin v zařízeních IoT, které by mohly vést ke kompromisu
• Hodnocení systémů kritické infrastruktury bez přerušení provozu
Nepřetržité monitorování zabezpečení informací:
• Definovat
• Vytvořit
• Implementovat
• Analyzujte
• Odpovězte
• Kontrola
• Aktualizovat
• Opakujte
Požadavek na zabezpečení záznamu:
• Modelování hrozeb
• Klasifikace dat
• Hodnocení rizik
Modelování hrozeb:
• Rozsah hodnocení
• Modelování systému
• Identifikujte hrozbu
• Identifikujte zranitelnost
• Historie hrozeb zkoušky
• Dopad
• Odezva
Modelování hrozeb: (STRIDE):
• Spoofing: Útočník předpokládá identitu subjektu
• Manipulace: Data nebo zprávy jsou pozměněny útočníkem
• Odmítnutí: Neoprávněné odmítnutí události
• Zveřejňování informací: Informace jsou získávány bez oprávnění
• Denial of Service: Systém přetížení útočníků, který odepře legitimní přístup
• Zvýšení oprávnění: Útočník získá vyšší úroveň oprávnění, než je povoleno
Hrozba
DREAD:
Microsoft DREAD hodnotící model staví na tradičním rizikovém modelu: riziko = pravděpodobnost x
Dopad. Předpokládejme například, že jste vyhodnotili konkrétní hrozbu a přiřadili jí hodnotu 10 bodů
každou z následujících otázek, jak je uvedeno.
• Snadné využití:
• Zjistitelnost – Jak snadno může útočník tuto hrozbu objevit? (8, relativně snadné)
• Reprodukovatelnost – Jak snadné je reprodukovat útok, aby fungoval? (10, velmi snadné)
• Využitelnost – Kolik času, úsilí a odborných znalostí je potřeba k zneužití hrozby? (7, relativně snadné)
• Dopad:
• Dotčení uživatelé – jaké procento uživatelů bude ovlivněno? (10, týká se všech uživatelů)
• Poškození – Jak velké by bylo poškození při úspěšném útoku? (9, velmi vysoká)
Modelování hrozeb:
• Rozsah hodnocení
• Modelování systému
• Identifikujte hrozby
• Identifikujte zranitelnosti
• Zkoumání historie hrozeb
• Hodnocení dopadu na podnikání
• Vypracování plánu reakce na bezpečnostní hrozby
Nástroje pro modelování hrozeb:
• Microsoft – Nástroj pro modelování hrozeb
• MyAppSecurity – Modelování hrozeb
• Nástroj IriusRisk Threat – Modeling Tool
• Skandinávský – securiCAD
• Bezpečnostní kompas – prvky SD
Proces modelování hrozeb:
• Definujte obecné bezpečnostní cíle a rozsah
• • Znáte svá aktiva/data (nejen fyzická).
• • Sbírejte data, jako je stávající dokumentace, politika, rámec, směrnice, databáze, příběhy uživatelů, chyby Zkontrolujte přesnost shromážděných dat.
• • Shromážděte požadavky na zabezpečení, které pro vás již byly definovány prostřednictvím souladu, vládních nařízení a průmyslových standardů.
Určete, jak můžete řešit zabezpečení a implementovat požadavky na zabezpečení z hlediska regulace/ochrany osobních údajů.
• Rozložit
• • Poznejte modely připojení vaší organizace. Identifikací dílčích komponent, závislostí a bodů interakce se ujistěte, že nebyly zapomenuty žádné prvky.
• • Identifikujte prostředky, které by útočníka mohly zajímat, kdo by měl mít povolen přístup ke každé oblasti a jak je přístup řízen.
• • Rozdělte svou aplikaci/systém na koncepční vstupní body, komponenty a hranice, kde by s nimi mohl útočník interagovat.
• • Označte všechny nedůvěryhodné datové vstupy.
• • Znázorněte, jak data procházejí aplikací/systémem pomocí diagramů toku dat (DFD). DFD bude představovat, jak se data přesouvají mezi procesy, úložištěm a externími systémy/službami.
• Identifikujte a seřaďte hrozby
• • Uveďte všechny možné kategorie hrozeb, např. průzkum, sociální inženýrství, hackování systémů, webové hrozby, malware, únosy a předstírání jiné identity, odepření služby Hrozby založené na mobilních zařízeních, cloudové hrozby atd.
• • Stávající hrozby by měly být identifikovány předtím, než jsou uvedeny kontroly pro každou hrozbu, ale pořadí těchto hrozeb určí, které kontroly budou implementovány. Hodnocení hrozeb je klíčové, protože pravděpodobnost nebo dopad hrozby mohou být tak nízké, že provedení kontroly nestojí za náklady.
• • Myslete jako útočník. Je hrozné havarovat, ale horší je mít špatné informace a ani o nich nevědět. Prozkoumejte svou aplikaci a zjistěte, kde existují hrozby, jako je kontrola návratových kódů, chyb, úrovně přístupu, sdílení dat a všech vstupů, pokud je to možné.
• • Zajistěte začlenění požadavků na zabezpečení do testovacích případů.
• • Použijte analýzu hlavních příčin.
• • Používejte metodologii jako STRIDE (spoofing, manipulace, odmítnutí, zpřístupnění informací, odmítnutí služby a eskalace privilegií), která vám pomůže identifikovat a seřadit hrozby.
• • Pokud používáte součásti, knihovny a služby třetích stran, zvažte a zahrňte své vlastní modely hrozeb.
• Čelit každé hrozbě
• • Při řešení konkrétních typů hrozeb postupujte podle vzorů návrhu zabezpečení.
• • Poskytněte protiopatření pro každou hrozbu, kterou potřebujete řešit.
• • Zaveďte průběžné monitorování, abyste zjistili, kdy se v průběhu času objeví nové bezpečnostní problémy.
• • Otestujte zmírnění v případě, že se z nezmírněných hrozeb stanou bezpečnostní chyby ve vašem úložišti chyb.
Cyber Kill Chain:
• Průzkum
• Vyzbrojení
• Doručení
• Vykořisťování
• Instalace
• Příkaz a ovládání
• Akce týkající se cílů
Provozní životní cyklus kybernetické bezpečnosti:
• OBJEVUJTE: Identifikujte a zmapujte každé aktivum v jakémkoli prostředí. Odtud můžete
základní aktuální a požadovaný provozní stav.
• POSOUZIT: Při každé změně automaticky vyhodnotí aktuální stav oproti základnímu stavu
prostředí, včetně nesprávných konfigurací, zranitelností a dalších klíčových ukazatelů stavu zabezpečení, jako je zastaralý antivirus nebo vysoce rizikoví uživatelé.
• ANALÝZA: Přidejte kontext k expozici aktiva, abyste upřednostnili nápravu na základě obchodní kritickosti aktiva a závažnosti zranitelnosti.
• FIX: Upřednostněte, které expozice opravit jako první, pokud vůbec, a vyberte vhodnou
technika nápravy, ať už jde o dočasnou kontrolu zabezpečení nebo úplnou opravu.
Exfiltrace dat:
• Skryté kanály
• Služby sdílení souborů
TOCTOU:
Typ sporu nazývaný čas kontroly do času použití, protože problém nastává, když se sdílená data změní mezi časem, kdy byla původně zkontrolována, a časem jejich použití. Podmínky závodu jsou často nedeterministické, což znamená, že nemůžete předvídat výsledek, protože je založen na načasování. Závodní podmínky je často těžké ladit, protože běh v debuggeru přidává časové zpoždění, které mění výsledek. Předcházejte podmínkám závodů tím, že zabráníte více současným požadavkům (uzamykání) nebo prostřednictvím mechanismu synchronizace.
Úložiště a časové kanály:
Skryté kanály lze také chápat z hlediska dvou různých kategorií: úložiště a načasování. Kanál skrytého úložiště obsahuje jeden proces zapisující do paměťového místa a další proces čtení z tohoto místa. Skrytý časový kanál obsahuje jeden proces měnící systémový zdroj, takže změny v době odezvy mohou signalizovat informace procesu příjemce. Některé použití skrytých kanálů kombinuje oba aspekty ukládání a načasování.
Příklady skrytých kanálů zahrnují následující:
• Přenos dat přes zřídka používaný port, který brána firewall neblokuje.
• Skrývání dat v hlavičkách paketů TCP/IP, aby se zabránilo vniknutí do analýzy signatur
detekční systémy.
• Rozdělení dat do více paketů, které mají být odeslány v různých časech, aby se zabránilo
analýza podpisu.
• Přenos dat přes sdílený zdroj, který se obvykle nepoužívá jako komunikační kanál
(tj. metadata systému souborů).
• Přenos šifrovaných dat, která nelze zkontrolovat, když opouštějí síť.
Steganografie:
Podobně jako u skrytého kanálu je jednou z technik skrytí dat pro exfiltraci steganografie. Pomocí steganografie by se útočníkovi mohlo podařit vyhnout se detekci narušení a protiopatření proti ztrátě dat, pokud skryje informace v obrázcích nebo videu. Moderní nástroje skrývají digitální informace tak dobře, že lidské oko nerozezná rozdíl; podobně, počítačové programy, které nejsou vybaveny pro steganografickou analýzu, také nemusí zaznamenat skryté informace.
Auditor informačních systémů:
• Audituje činnosti zabezpečení informací z hlediska souladu; Ověřuje dodržování bezpečnostních cílů, zásad, postupů, norem, předpisů a souvisejících požadavků.
• Ověřuje, zda jsou aktivity informační bezpečnosti řízeny a provozovány tak, aby bylo zajištěno dosažení cílů státní bezpečnosti.
• Poskytuje nezávislou zpětnou vazbu vrcholovému vedení.
Použití auditu:
• Kontrola záznamu
• Adekvátnost kontrol
• Dodržování zásad
• Zjistit škodlivou aktivitu
• Důkazy o pronásledování
• Hlášení a analýza problémů
Audit:
Systematický proces, kterým kompetentní, nezávislá osoba objektivně získává a hodnotí důkazy týkající se tvrzení o ekonomické entitě nebo události za účelem vytvoření názoru na míru, do jaké se tvrzení shoduje s identifikovaným souborem standardy. Audit: Vyhodnoťte bezpečnostní kontroly - Podejte zprávu o jejich účinnosti - Doporučte zlepšení
Plán auditu:
• Definujte cíle auditu
• Definujte rozsah auditu
• Proveďte audit
• Upřesněte proces auditu
Proces auditu:
• Stanovte si cíle
• Zapojte správného vedoucího obchodní jednotky
• Určete rozsah
• Vyberte auditorský tým
• Plánujte audity
• Proveďte audit
• Výsledek dokumentu
• Sdělte výsledek
Revizní zpráva:
• Účel
• Rozsah
• Výsledky zjištěné nebo odhalené auditem
• Problémy, události a podmínky
• Standardy, kritéria a základní linie
• Příčiny, důvody, dopady a následky
• Doporučená řešení a zabezpečení
Audit zabezpečení IT je navržen tak, aby zjistil:
• Špatně fungující ovládací prvky
• Nedostatečné ovládání
• Nesplnění cílových standardů/pokynů
Softwarově definované vše (SDx):
Rozšíření virtualizace, které abstrahuje aplikaci nebo funkci od jejího základního hardwaru, odděluje řídicí a datovou rovinu a přidává programovatelnost. Počínaje softwarově definovanou sítí (SDN), SDx nyní mimo jiné zahrnuje softwarově definované úložiště (SDS), softwarově definované výpočty, softwarově definované zabezpečení a softwarově definovaná datová centra (SDDC).
Definováno softwarem
Síť (SDN):
• Aplikace
• Ovládání
• Infrastruktura
Definováno softwarem
Síť (SDN):
• Správci sítě mohou upravovat síťový provoz za běhu.
• Poskytují vám možnost lépe detekovat anomálie síťového provozu.
• Dodávají síti vyšší úroveň složitosti, která vyžaduje speciální dovednosti.
Komunikační charakteristiky asynchronní:
• Žádná časovací komponenta
• Obklopí každý bajt bity zpracování
• Paritní bit používaný pro kontrolu chyb
• Každý bajt vyžaduje tři bity instrukce (start, stop, parita)
Komunikační charakteristiky Synchronní:
• Komponenta časování pro synchronizaci přenosu dat
• Robustní kontrola chyb, obvykle prostřednictvím kontroly cyklické redundance (CRC)
• Používá se pro vysokorychlostní přenosy s velkým objemem
• Minimální režie ve srovnání s asynchronní komunikací
Síťový hardware:
• Modemy (převádí digitální na analogové/analogové na digitální signály)
• Huby (fungují na fyzické vrstvě, přenášejí signály)
• Opakovače (fungují na fyzické vrstvě, znovu zesilují signály)
• Mosty (fungují na vrstvě 2, filtruje provoz)
• Přepínače (fungují na vrstvě 2, předává vysílání a snímky)
• Směrovače (předávání paketů)
Výhody Content-Distribution Network (CDN):
• Škálování na vyžádání
• Efektivita nákladů
• Lokalita obsahu
• Vylepšení zabezpečení
• Odfiltrujte útoky DDOS
Hlavní protokoly sady IPSec:
• Authentication Header (AH) Poskytuje integritu dat, ověřování původu dat a ochranu před útoky opakovaného přehrávání
• Encapsulating Security Payload (ESP) Poskytuje důvěrnost, ověřování původu dat a integritu dat
• Internet Security Association and Key Management Protocol (ISAKMP) Poskytuje rámec pro vytváření přidružení zabezpečení a výměnu klíčů
• Internet Key Exchange (IKE) Poskytuje ověřený klíčovací materiál pro použití s ISAKMP
Protokol PPTP (Point-to-Point Tunneling Protocol):
• Pracuje v modelu klient/server
• Rozšiřuje a chrání připojení PPP
• Funguje na vrstvě datového spojení
• Přenáší pouze přes sítě IP
Protokol tunelování vrstvy 2 (L2TP):
• Hybrid L2F a PPTP
• Rozšiřuje a chrání připojení PPP
• Funguje na vrstvě datového spojení
• Přenáší přes více typů sítí, nejen přes IP
• V kombinaci s IPSec pro zabezpečení
IPSec:
• Zvládá více připojení VPN současně
• Poskytuje bezpečné ověřování a šifrování
• Podporuje pouze sítě IP
• Zaměřuje se spíše na komunikaci LAN-to-LAN než na komunikaci mezi uživateli
• Pracuje na síťové vrstvě a poskytuje zabezpečení nad IP
Transport Layer Security (TLS):
• Pracuje na vrstvě relace a chrání především webový a e-mailový provoz
• K dispozici je granulární řízení přístupu a konfigurace
• Snadné nasazení, protože TLS je již zabudováno do webových prohlížečů
• Může chránit pouze malý počet typů protokolů
Nevýhody vícevrstvých protokolů:
• Skryté kanály jsou povoleny
• Filtry lze obejít
• Logicky uložené hranice segmentů sítě lze překročit
Výhody vícevrstvých protokolů:
• Lze použít širokou škálu protokolů
• Šifrování
• Flexibilita a odolnost
Funkce MPLS:
• Dopravní inženýrství
• Lepší výkon routeru
• Vestavěné tunelování
Dva hlavní směrovací protokoly MPLS:
• Label Distribution Protocol (LDP) – žádné dopravní inženýrství
• Resource Reservation Protocol with Traffic Engineering (RSVP-TE)
Role/pozice směrovače MPLS s přepínanou cestou (LSP) jsou:
• Label Edge Router (LER) nebo „Ingress Node“ – směrovač, který jako první zapouzdří paket uvnitř MPLS LSP; Také router, který provádí počáteční výběr cesty.
• Label Switching Router (LSR) nebo „Transit Node“ – směrovač, který pouze přepíná MPLS uprostřed LSP.
• Výstupní uzel – Konečný směrovač na konci LSP, který odstraňuje štítek.
Tunel GRE (Generic Routing Encapsulation).
Tunelovací protokol vyvinutý společností Cisco, který dokáže zapouzdřit širokou škálu protokolů síťové vrstvy do virtuálních spojení typu point-to-point přes síť internetového protokolu.
Čtyři úrovně jsou pojmenovány takto:
• Úroveň I: Základní infrastruktura datového centra
• Úroveň II: Redundantní komponenty kapacitní infrastruktury místa
• Úroveň III: Infrastruktura místa s možností souběžné údržby
• Úroveň IV: Infrastruktura místa odolná vůči chybám
Common Criteria CC:
• PP – co zákazník potřebuje
• ST-co poskytuje Vendor
• TOE – Skutečný produkt
• EAL- Rating, který poskytuje hodnocení a ujištění
Poznámka:
EAL je měřítkem toho, jak důkladně byly bezpečnostní funkce, o kterých dodavatel produktu tvrdí, že produkt nabízí, testovány a zkontrolovány a kým. EAL nenabízí žádné skutečné měřítko toho, jak dobře budou tyto bezpečnostní funkce fungovat v produkčním prostředí, zda jsou tyto funkce výhodnější než jiné funkce nabízené konkurenčními produkty, nebo zda je produkt „dobrý“.
EAL: FSM2S2F
• EAL1 – Funkčně testováno (nejnižší hodnocení)
• EAL2 – Strukturálně testováno
• EAL3 – Metodicky testováno a kontrolováno
• EAL4 – Metodicky navrženo, testováno a přezkoumáno (střední hodnocení)
• EAL5 – Poloformálně navržený a testovaný
• EAL6 – Poloformálně ověřeno, navrženo a testováno
• EAL7 – Formálně ověřeno, navrženo a testováno (nejvyšší hodnocení)
Před výběrem typu nástroje pro monitorování zabezpečení:
• Měl by shromažďovat informace z mnoha zdrojů.
• Měl by být schopen spolupracovat s jinými systémy, jako je help desk nebo program pro řízení změn.
• Měl by být v souladu se všemi příslušnými zákony a průmyslovými předpisy.
• Měl by nabízet škálovatelné reporty, abyste získali pohled na zabezpečení na vysoké i nízké úrovni
Správa bezpečnostních informací a událostí (SIEM):
• Korelace
• Soulad
• Upozornění
Úkoly mohou být prováděny automaticky za vás pomocí nástrojů, jako jsou SIEM:
• Odfiltrujte nepotřebná nebo duplicitní data
• Kombinujte zdroje
• Synchronizujte události zaznamenané v různých zdrojích
• Normalizace datových formátů
• Ukládejte data bezpečně
• Sběr, analýza a korelace dat
SIEM on Cloud ... výhody jsou:
• Žádné kapitálové výdaje
• Není třeba investovat do místních strojů
• Není třeba investovat do technické podpory hardwaru
• Žádné instalační poplatky
• Pouze jemné doladění
• Upgrady zaváděné automaticky poskytovatelem cloudu
Režim zabezpečení:
• Vyhrazený bezpečnostní režim (všichni uživatelé mají přístup ke všem datům).
• Režim vysokého zabezpečení systému (na základě potřeby vědět, všichni uživatelé mají přístup k omezeným datům).
• Režim odděleného zabezpečení (na základě potřeby vědět, všichni uživatelé mají přístup k omezeným datům na základě formálního schválení přístupu).
• Režim víceúrovňového zabezpečení (na základě potřeby vědět, všichni uživatelé mají přístup k omezeným datům na základě formálního schválení a povolení přístupu).
Zabránit vkládání SQL (SQLi):
• Proveďte ověření vstupu
• Omezit oprávnění účtu
• Používejte uložené procedury
Při útoku SQL injection by útočník mohl:
• Získávejte a prolamujte hash hesel
• Odstraňte a upravte záznamy zákazníků
• Čtení a zápis systémových souborů
Injekční útoky:
Útok SQL injection se skládá z vložení nebo "vložení" dotazu SQL prostřednictvím vstupu
• Vkládání HTML je typ problému vkládání, ke kterému dochází, když je uživatel schopen ovládat vstupní bod a je schopen vložit libovolný kód HTML do zranitelné webové stránky
• Vkládání příkazů je útok, jehož cílem je provádění libovolných příkazů na hostitelském operačním systému prostřednictvím zranitelné aplikace.
• Vložení kódu umožňuje útočníkovi přidat vlastní kód, který pak aplikace spustí.
Hrozby webových aplikací:
• Otrava sušenkami
• Nezabezpečené úložiště
• Únik informací
• Procházení adresáře
• Manipulace s parametry/formulářem
• Útok DOS
• Přetečení vyrovnávací paměti
• Manipulace s protokoly
• SQL Injection
• Více stránek (XSS)
• Padělání požadavků napříč stránkami
• Chybná konfigurace zabezpečení
• Správa přerušených relací
• Útok DMZ
• Únos relace
• Útoky na síťový přístup
Sociální inženýrství:
Pro každého uživatele je důležité, aby porozuměl sociálnímu inženýrství a jeho taktice. Navíc, když pochopíte základní principy, bude snazší se jimi vyhnout oklamání. Následující části představují tyto principy.
• Autorita
• Zastrašování
• Konsensus / Sociální důkaz
• Nedostatek
• Naléhavost
• Známost/Líbí
• Důvěřujte
Chyby zabezpečení bezdrátového a vysokofrekvenčního připojení:
• Zlé dvojče
• Karma útok
• Útok na nižší verzi
• Dauth. Záchvat
• Útok fragmentace
• Sklízení pověření
• Slabá implementace WPS
• Bluejacking
• Bluesnarfing
• Klonování RFID
• Zasekávání
• Opakování
Základní analýza MALWARE:
• Vyhodnocení malwaru
• Analýza řetězce
• Analýza závislostí
• Setkání se soubory s vymazanými logickými daty
• Analýza izolovaného prostoru
• Online malwarový skener / karanténa
Základní funkce TCB:
• Aktivace procesu
• Přepínání domén provádění
• Ochrana paměti
• I/O operace
Správce paměti:
• Přemístění
• Ochrana
• Sdílení
• Logická organizace
• Fyzická organizace
Ochrana paměti:
• DEP (Data Execution Prevention)
• ASLR (randomizace rozložení adresního prostoru)
• ACL (Access Control List)
Ochrana paměti:
• Segmentace
• Stránkování
• Ochranné klíčování
Problémy se zabezpečením sítě SAN (Storage Area Network).
Sítě SAN jsou vysokorychlostní sítě, které kombinují různé technologie úložiště, včetně pásek, diskových polí a optických jednotek, aby poskytovaly úložiště připojené k síti, které vypadá, jako by bylo místní. Tato zařízení obvykle podporují zrcadlení disku, sdílení dat mezi servery v sítích a operace zálohování/obnovy.
• Řízení přístupu k síti Storage Area Network
Autentizace / Autorizace / Šifrování / Dostupnost
• Útoky Fibre Channel Storage Area Network
Únos relace / útoky maskování LUN / útok muže uprostřed (MITM) / znečištění jmenného serveru / spoofing WWN / přeskakování zón / útok pomocí přepínačů
• Útoky na internetové rozhraní malého počítačového systému
Útok typu Man-in-the-middle / Internet Simple Name Server přeskakování domén /
Útok na ověření.
Útoky (zmírnění):
• Odposlech (šifrování)
• Cyber-squatting (zabezpečte registraci domény)
• SPAM (filtrování e-mailů)
• Slza (záplata)
• Překrývající se fragment (neumožňuje přepisování fragmentů)
• Útok směrování zdroje (blokování paketů směrovaných zdrojem)
• SYN flood Attack (podpora dodavatele při zabezpečení síťového zásobníku)
• Spoofing (záplaty, brány firewall, silné mechanismy ověřování)
• Únos relace (šifrování, pravidelné opětovné ověřování)
Fáze útoků:
• Získání přístupu
• Eskalace oprávnění
• Procházení systému
• Nainstalujte další nástroje
• Další zjišťování
Útoky WLAN:
• Útoky na důvěrnost
•• Analýza provozu
•• Odposlechy
•• Man-in-the-Middle Attack
•• Evil Twin AP
• Útoky řízení přístupu
•• Válečné řízení
•• Rogue Access Point
•• Spoofing MAC adres
•• Neoprávněný přístup
• Útoky na integritu
•• Únos relace
•• Přehrát znovu útok
•• Frame Injection Attack
• Útoky na dostupnost
•• Útok odepření služby
•• Radiofrekvenční (RF) rušení
•• Beacon Flood
•• Povodeň spolupracovníků/ověřování
•• De-autentication & Disasociace
•• Queensland DoS / útok virtuálního nosiče
•• Falešné SSID
•• Krádež AP
• Autentizační útok
•• Slovník & Útok hrubou silou
Zabezpečení sítí WLAN:
• Změňte výchozí SSID.
• Implementujte WPA2 a 802.1X pro zajištění centralizovaného ověřování uživatelů
• Používejte samostatné sítě VLAN
• Nasaďte bezdrátový systém detekce narušení (WIDS).
• Fyzicky umístěte AP do středu budovy.
• Logicky vložte AP do DMZ s firewallem mezi DMZ a vnitřní sítí.
• Implementujte VPN pro bezdrátová zařízení. To přidává další vrstvu ochrany přenášených dat.
• Nakonfigurujte přístupový bod tak, aby do sítě povolil pouze známé adresy MAC.
• Proveďte penetrační testy na WLAN.
Hrozby pro infrastrukturu DNS:
• Stopa
• Útok odepření služby
• Úprava dat
• Přesměrování
• Spoofing
Útoky proti serverům DNS:
• Přenos zón: Zkratka pro shromažďování informací
• Otrava zón: Narušte primární server a změňte soubor zóny na poškozenou doménu
• Otrava mezipaměti: Odesílejte falešné odpovědi na mezipaměťové servery, dokud je neuloží
• Reflection DoS: Odesílejte falešné požadavky do řetězce serverů, které provádějí rekurzivní dotazy
Snížit XSS:
• Ověřování dat
• Dezinfekce dat
• Zabezpečení souborů cookie
• Output Escape
Útoky na zařízení:
• Připojování
• Skákání z plotu
• Potápění v kontejnerech
• Lockpicking
• Uzamknout bypass
• Senzor výstupu
• Klonování odznaku
Man-in-the-middle:
• Spoofing ARP
• Přesměrování ICMP
• Spoofing DHCP
• NBNS spoofing
• Únos relace
• Otrava DNS
Izolace procesů CPU:
• Zapouzdření objektů
• Časový multiplex sdílených zdrojů
• Rozdíly v pojmenování
• Mapování virtuální paměti
Bezpečnostní mechanismy:
• I/O operace
• Aktivace procesu
• Přepínání domén
• Ochrana paměti
• Správa hardwaru
Napadení webových stránek: (Definovat webové stránky)
• Injekce SQL
• XSS / CSRF
• Vzdálené zahrnutí souboru
• Zahrnutí místního souboru
• DDOS
• Využití zranitelnosti
• Procházení adresáře
• Vložení příkazu
Pokyny pro reakci na mimořádné události zahrnují:
• Postupy okamžité reakce
• Seznam osob, které by měly být o incidentu informovány
• Postupy sekundární reakce, které by měli první zasahující absolvovat
ISC2 – Etický kodex:
• Chránit společnost, infrastrukturu Commonwealthu
• Jednat čestně, čestně, spravedlivě, zodpovědně a v souladu se zákonem
• Poskytovat pečlivé a kompetentní služby Zásadám
• Posilujte a chraňte profesi
Ověření pozadí:
• Úvěrová historie
• Kriminální historie
• Záznamy v jízdě
• Testování léků a látek
• Předchozí zaměstnání
• Ověření vzdělávání, licencování a certifikace
• Ověření a ověření čísla sociálního zabezpečení
• Seznam sledovaných osob podezřelých z terorismu
Správa zranitelnosti:
• Inventář
• Hrozba
• Osel
• Stanovit priority
• Přemostění
• Nasazení
• Ověřte
• Monitor
Posouzení zranitelnosti:
• Sbírejte
• Obchod
• Organizujte
• Analýza
• Nahlásit
Zvažování kontroly zranitelnosti:
• Čas spustit skenování
• Použité protokoly
• Topologie sítě
• Omezení šířky pásma
• Omezení dotazu
• Křehké systémy/netradiční aktiva
Posouzení zranitelnosti a testování pera:
• Rozsah
• Shromažďování informací
• Detekce zranitelnosti
• Informační analýza a plánování
• Testování penetrace
• Eskalace oprávnění
• Analýza výsledků
• Hlášení
• Vyčištění
Poznámka:
Posouzení zranitelnosti by mělo být prováděno pravidelně, aby bylo možné identifikovat nové zranitelnosti. VA skenery obvykle nemají více než oprávnění ke čtení.
Petrační test:
• Discovery – Získejte stopu a informace o cíli.
• Výčet – Provádějte skenování portů a identifikaci zdrojů.
• Mapování zranitelnosti – Identifikujte zranitelná místa v systémech a zdrojích.
• Zneužití – Pokuste se získat neoprávněný přístup zneužitím zranitelnosti.
• Hlásit – Hlásit výsledky vedení s navrženými protiopatřeními
Hlavní sekce definované standardem jako základ pro provádění penetračního testování:
• Interakce před zapojením
• Shromažďování informací
• Modelování hrozeb
• Analýza zranitelnosti
• Vykořisťování
• Po zneužívání
• Hlášení
Petrační test:
• Cíl
• Rozpoznání
• Objevování
• Vykořisťování
• Hrubá síla
• Sociální inženýrství
• Převzít kontrolu
• Otáčení
• Důkazy
• Hlášení
• Náprava
Petrační testování:
• Externí testování
• Interní testování
• Testování naslepo – Omezené informace o týmu PT
• Dvojité slepé testování – Žádné informace pro interní bezpečnostní tým
• Cílené testování – s vědomím interního i PT týmu.
Petrační testování:
• Průzkum
• Skenování
• Získání přístupu
• Udržování přístupu
• Zakrytí kolejí
Petrační testování:
• Provedení základního průzkumu k určení funkce systému
• Vyhledávání sítě prohledává otevřené porty
• Skenování zranitelnosti sítě k identifikaci neopravených zranitelností
• Prověřuje zranitelnost webových aplikací a identifikuje chyby webových aplikací
• Použití nástrojů pro využívání k automatickému pokusu o překonání zabezpečení systému
• Ruční sondování a pokusy o útok
Klíčové součásti penetračního testování:
• Emulace hrozeb
• Útok na povrch
• Útočné vektory
• Scénáře útoku
• Metodologie
Techniky penetračního testování:
• Řízení/vytáčení
• Odposlouchávání
• Snímání sítě
• Testování fyzické bezpečnosti
• Sociální inženýrství
Pravidla pro penetrační testování:
• Identifikuje a zjemňuje vhodné testovací metody a techniky s využitím příslušných zařízení a/nebo služeb
• Zatímco rozsah definuje začátek a konec zakázky, pravidla zapojení definují vše mezi tím
Pravidla zapojení (ROE) v testu pera:
• Úvod
• Logistika
• Komunikace
• Cíle
• Provedení
• Hlášení
• Podpisy
Typy penetračních testů:
• Test penetrace sítě
• Test penetrace aplikací
• Penetrační test zařízení / internetu věcí (IoT).
• Enterprise Penetrační test
• Červený tým
• Reverzní inženýrství / Zero-day Research
Petrační testování:
• Pro úspěšný test vyžaduje jeden nebo více cílů
• Rozsah je založen na scénářích útoku
• Úsilí je „časově ohraničené“.
• Odhaluje jak technická, tak i logická zranitelnost
• Zprávy by měly být stručné
• Doporučení jsou strategická
• Vylepšuje procesy interních bezpečnostních operací
Nejúčinnější přehledy testování pera mají společné několik prvků:
• Příprava:
•• Identifikujte cíle a účel penetračního testu.
•• Zvažte, jak nejlépe oslovit publikum, kterému píšete.
•• Ujistěte se, že můžete umístit všechny relevantní události do kontextu času.
• Obsah:
•• Uveďte podrobně metodologii testu, kterou jste ve svých testech použili.
•• Uveďte podrobné výsledky každého testu, identifikujte konkrétní aktiva a zranitelná místa
které poznáte
• Poskytněte svou analýzu a interpretaci výsledků.
• Navrhněte sanační techniky, které je třeba použít.
• Formátování:
•• Naformátujte svou zprávu tak, aby vyhovovala všem příslušným státním orgánům
předpisy a normy.
•• Pište jasným a praktickým jazykem. Vyhněte se technickému žargonu.
•• Formátujte zprávu se skupinami a sekcemi, abyste zlepšili čitelnost.
• Kontrola:
•• Před odesláním dokument zkontrolujte.
•• Požádejte jiného odborníka, aby předtím poskytl druhý názor na zprávu
odeslání.
Výčet:
• Získávání uživatelských jmen pomocí e-mailových ID, výchozích hesel
• Extrahování uživatelských jmen pomocí SNMP
• Extrahování informací pomocí přenosu zóny DNS, OS Finger a portů
Typy skenování:
• DISCOVERY SKENOVÁNÍ: Vyhledávání zjišťování lze provádět velmi jednoduchými metodami, například odesláním paketu ping (skenování ping) na každou adresu v podsíti. Sofistikovanější metody také odhalí operační systém a služby odpovídajícího zařízení.
• KONTROLA SHODY: Kontrolu shody lze provádět ze sítě nebo na zařízení (například jako kontrola stavu zabezpečení). Pokud se provádí v síti, bude obvykle zahrnovat testování otevřených portů a služeb v zařízení.
• KONTROLA ZRANITELNOSTI: Kontrola zranitelnosti může buď otestovat podmínky zranitelnosti, nebo zkusit zranitelnost aktivně využít. Skenování zranitelnosti lze provádět nerušivým způsobem nebo za předpokladu, že i test na určité zranitelnosti může ovlivnit dostupnost nebo výkon cíle.
Červená
vs.
Modrá
:
Červené týmy testují účinnost bezpečnostního programu nebo systému tím, že se chovají jako útočníci. Červené týmy se někdy nazývají tygří týmy. Modré týmy jsou obránci a mohou působit proti červeným týmům nebo skutečným útočníkům.
•
Červený tým
Červený tým je vnitřní skupina, která výslovně zpochybňuje firemní strategii, produkty a předpojaté představy. Rámuje problém z pohledu protivníka nebo skeptika, aby našel mezery v plánech a aby se vyhnul chybám, červený tým simuluje hackery.
•
Modrý tým
Modrý tým je vnitřní skupina, která se snaží bránit majetek společnosti. V ideálním případě se jedná o skupinu
odborníci na síťovou bezpečnost brání věci před hackerským týmem.
Operace červeného týmu:
• Napodobujte taktiku skutečných aktérů hrozeb
• Školení pracovníků Blue Team / Incident Response
• Aktivně využívat celou smyčku odezvy na incidenty
• Změřte minimální dobu pro detekci a minimální dobu pro zotavení
• Analýza útočných dat po vykořisťování
Různé typy hackerů:
•White hat – Hackuje software primárně pro benevolentní účely, jako je bezpečnostní výzkum, aby našel způsoby, jak zlepšit zabezpečení softwaru.
•Blackhat – hackování hlavně pro kriminální účely (jako je vydírání, krádeže a kyberterorismus).
•Šedý klobouk – nehodí se do ostatních dvou kategorií. Primárně motivováni ziskem, prodejem informací, které odhalili, například vládním agenturám.
Firewall:
• 1. generace: Brány firewall pro filtrování paketů.
• 2. generace: aplikační (proxy) firewally
• 3. generace: uveďte plné paketové firewally
• 4. generace: dynamické filtrování
• 5. generace: kernel proxy
Protokoly brány firewall:
• Připojení povolena nebo zamítnuta
• Aktivita IDS
• Adresa pro audit překladu
• Aktivita uživatele
• Přerušovaná proxy aktivita
• Využití šířky pásma
• Použití protokolu
Cíle standardu PCI Data Security Standard:
• Vybudujte a udržujte zabezpečenou síť
• Chraňte data držitele karty
• Udržujte program správy zranitelnosti
• Implementujte přísná opatření pro kontrolu přístupu
• Pravidelně monitorujte a testujte sítě
• Udržujte zásady zabezpečení informací
Poznámka:
PCI DSS umožňuje, aby informace o držiteli karty v klidu byly zabezpečeny buď tokenizací, nebo šifrováním, ale použití jednoho z nich je povinné.
Mobilní zařízení jsou hlavním vektorem ztráty dat; oblasti, na které by se měl odborník zaměřit:
• Zabezpečená komunikace
• Antimalware
• Silné ověřování
• Hesla
• Ovládání softwaru třetí strany
• Samostatné zabezpečené mobilní brány
• Uzamčení, audity
• Penetrační testy
• Zásady zabezpečení mobilních zařízení
Základní typy mobilních hrozeb:
• Odepření služby – Odepřete nebo zhoršíte službu uživatelům. Rušení bezdrátové komunikace, přetěžování sítí falešným provozem, ransomware, krádeže mobilních zařízení nebo mobilních služeb.
• Geolokace Fyzické sledování uživatelů. Pasivní nebo aktivní získávání přesných trojrozměrných souřadnic cíle, případně včetně rychlosti a směru.
• Zpřístupnění informací Neoprávněný přístup k informacím nebo službám.
Zachycení přenášených dat, únik nebo exfiltrace uživatelů, aplikací nebo podnikových dat, sledování polohy uživatele, odposlouchávání hlasové nebo datové komunikace, tajná aktivace mikrofonu nebo kamery telefonu za účelem špehování uživatele.
• Spoofing Předstírání identity něčeho nebo někoho. E-mail nebo SMS zpráva předstírá, že je od šéfa nebo kolegy (sociální inženýrství); podvodný přístupový bod Wi-Fi nebo mobilní základní stanice napodobující legitimní.
• Manipulace Úprava dat, softwaru, firmwaru nebo hardwaru bez oprávnění. Úprava dat při přenosu, vložení neoprávněného hardwaru nebo softwaru do dodavatelského řetězce, přebalení legitimních aplikací s malwarem, úprava konfigurace sítě nebo zařízení (např. útěk z vězení nebo rootování telefonu).
Rámec kybernetické bezpečnosti:
• Identifikovat – Rozvíjejte organizační znalosti pro řízení rizik kybernetické bezpečnosti pro systémy, aktiva, data a schopnosti. Činnosti ve funkci Identifikace jsou základem efektivního používání rámce. Porozumění obchodnímu kontextu, zdrojům, které podporují kritické funkce, a souvisejícím rizikům kybernetické bezpečnosti umožňuje organizaci zaměřit své úsilí a stanovit priority v souladu s její strategií řízení rizik a obchodními potřebami. Příklady výsledků Kategorie v rámci této funkce zahrnují správu aktiv; Podnikatelské prostředí; řízení; Odhad rizika; a Strategie řízení rizik.
• Chránit – Vyvinout a implementovat vhodná ochranná opatření k zajištění poskytování služeb kritické infrastruktury. Funkce Protect podporuje schopnost omezit nebo omezit dopad potenciální události kybernetické bezpečnosti. Příklady výsledků Kategorie v rámci této funkce zahrnují: Řízení přístupu; Povědomí a školení; Bezpečnost dat; Procesy a postupy ochrany informací; Údržba; a ochranné technologie.
• Detekce – Vyvinout a implementovat vhodné aktivity k identifikaci výskytu události kybernetické bezpečnosti. Funkce Detect umožňuje včasné odhalení událostí kybernetické bezpečnosti. Příklady výsledných kategorií v rámci této funkce zahrnují anomálie a události; Zabezpečení Nepřetržité monitorování; a detekční procesy.
• Reagovat – Vyvinout a implementovat vhodné aktivity k přijetí opatření ohledně zjištěné události kybernetické bezpečnosti. Funkce Respond podporuje schopnost omezit dopad potenciální události kybernetické bezpečnosti. Příklady výsledků Kategorie v rámci této funkce zahrnují plánování reakcí; Komunikace; Analýza; Zmírnění; a vylepšení.
• Obnova – Vyvíjejte a implementujte vhodné aktivity pro udržení plánů odolnosti a obnovení veškerých schopností nebo služeb, které byly narušeny v důsledku události kybernetické bezpečnosti. Funkce obnovení podporuje včasné obnovení normálních operací, aby se snížil dopad události kybernetické bezpečnosti. Příklady výsledků Kategorie v rámci této funkce zahrnují plánování obnovy; vylepšení; a komunikace.
Útoky (1):
• Pasivní útoky – těžké odhalit, protože útočník neovlivňuje protokol. Příklady jsou odposlouchávání, odposlechy sítě a zachycování dat při jejich průchodu, které se používají ke shromažďování dat před aktivním útokem.
• Aktivní útoky – pozměňování zpráv, úprava systémových souborů a maskování jsou příklady, protože útočník skutečně něco dělá.
• Útoky šifrovaného textu – Útočník získá šifrovaný text několika zpráv, přičemž každá zpráva je zašifrována pomocí stejného šifrovacího algoritmu. Cílem útočníka je odhalit klíč. K většině běžných útoků je snadné získat šifrovaný text, ale k úspěchu je nejtěžší útok.
• Útok známým prostým textem – Útočník má k dispozici šifrovaný text několika zpráv, ale také prostý text těchto zpráv. Cílem je objevit klíč pomocí reverzního inženýrství a pokusů/omyl
• Zvolený prostý textový útok – Útočník má nejen přístup k šifrovanému textu a souvisejícímu prostému textu pro několik zpráv, ale také si vybere prostý text, který bude zašifrován. Výkonnější než útok se známým prostým textem, protože útočník si může vybrat konkrétní bloky prostého textu k zašifrování, které mohou poskytnout více informací o klíči.
• Útok vybraným šifrovaným textem: Útočník si může vybrat různé šifrované texty, které mají být dešifrovány, a má přístup k dešifrovanému otevřenému textu. Tento útok je těžší provést a útočník by musel mít kontrolu nad systémem, který obsahuje kryptosystém.
• Adaptivní útoky: Každý z útoků má odvozeninu se slovem adaptivní před sebou. To znamená, že útočník může provést jeden z těchto útoků a v závislosti na tom, co bylo získáno z prvního útoku, může být další útok upraven. Jedná se o proces reverzního inženýrství nebo kryptoanalýzy útoků.
• Narozeninový útok: Kryptografický útok, který využívá matematický princip narozeninového problému v teorii pravděpodobnosti, který si vynucuje kolize v rámci hašovacích funkcí.
• Útoky hrubou silou: neustále zkouší různé vstupy k dosažení předem definovaného cíle. Hrubá síla je definována jako „vyzkoušení všech možných kombinací, dokud není identifikována ta správná“.
• Přetečení vyrovnávací paměti: Do vyrovnávacích pamětí, které tvoří zásobník, je uloženo příliš mnoho dat. Běžný vektor útoků používají hackeři ke spuštění škodlivého kódu na cílovém systému.
• Skriptování mezi stránkami: označuje útok, kdy je na webu nalezena zranitelnost, která útočníkovi umožňuje vložit škodlivý kód do webové aplikace.
• Slovníkové útoky: Soubory tisíců slov jsou porovnávány s heslem uživatele, dokud není nalezena shoda.
• Otrava DNS: Útočník přiměje server DNS přeložit název hostitele na nesprávnou IP adresu
• Fraggle attack: Typ útoku DDoS na počítač, který zaplaví cílový systém velkým množstvím ozvěny UDP na IP adresy vysílání.
• Pharming: přesměruje oběť na zdánlivě legitimní, ale falešnou webovou stránku
• Phishing: typ sociálního inženýrství s cílem získat osobní údaje, přihlašovací údaje, číslo kreditní karty nebo finanční údaje. Útočníkova návnada nebo ryba pro citlivá data různými metodami
• Mailové bombardování: Jedná se o útok používaný k zahlcení poštovních serverů a klientů nevyžádanými e-maily. K ochraně proti tomuto útoku lze použít filtrování e-mailů a správné nastavení funkce přenosu e-mailů na poštovních serverech.
Útoky (2):
• Ping of Death: Typ útoku DoS na počítač, který zahrnuje odesílání poškozených nebo příliš velkých paketů ICMP do cíle.
• Replay attack: forma síťového útoku, při kterém je se zlým úmyslem nebo podvodem opakován platný přenos dat s cílem získat neoprávněný přístup.
• Replay Attack: Útočník, který zachytí provoz z legitimní relace a přehraje jej, aby ověřil svou relaci
• Únos relace: Pokud útočník dokáže správně předpovědět sekvenční čísla TCP, která oba systémy použijí, může vytvořit pakety obsahující tato čísla a oklamat přijímající systém, aby si myslel, že pakety přicházejí z autorizovaného odesílajícího systému. Ta pak může převzít TCP spojení mezi dvěma systémy.
• Útoky postranním kanálem: Nerušivé a používají se k odhalení citlivých informací o tom, jak komponenta funguje, aniž by se pokoušely kompromitovat jakýkoli typ chyby nebo slabosti. Neinvazivní útok je takový, kdy útočník sleduje, jak něco funguje a jak to reaguje na různé situace, místo aby se to snažil „napadnout“ rušivějšími opatřeními. Útoky na postranní kanály jsou generování chyb, diferenciální analýza výkonu, elektromagnetická analýza, načasování a softwarové útoky.
• Šmoulí útok: Typ útoku DDoS na počítač, který zaplaví cílový systém falešnými vysílanými pakety ICMP.
• Sociální inženýrství: Útočník falešně přesvědčuje jednotlivce, že má potřebné oprávnění pro přístup ke konkrétním zdrojům.
• Spoofing at Login: Útočník může použít program, který uživateli zobrazí falešnou přihlašovací obrazovku, která uživatele často přiměje k pokusu o přihlášení.
• SYN flood: DoS útok, při kterém útočník posílá řadu SYN paketů s cílem zahltit systém oběti tak, že nebude reagovat na legitimní provoz.
• Útok TOC/TOU: Útočník v softwaru manipuluje s krokem „kontrola stavu“ a „používáním“, aby umožnil neoprávněnou aktivitu.
• War dialing: War dialer vloží dlouhý seznam telefonních čísel do programu pro válečné vytáčení v naději, že najde modem k získání neoprávněného přístupu.
• Útok červí dírou: Dochází k němu, když útočník zachytí pakety na jednom místě v síti a tuneluje je na jiné místo v síti, kde je druhý útočník použije proti cílovému systému.
• Útok odepření služby (Dos): Útočník zasílá do počítače oběti několik servisních požadavků, dokud nakonec systém nezahltí, způsobí jeho zamrznutí, restart a nakonec nebude schopen provádět běžné úkoly.
• Man-In-The-Middle Attack: Vetřelec se vrhne do probíhajícího dialogu mezi dvěma počítači, aby mohla zachytit a přečíst si předávané zprávy tam a zpět. Těmto útokům lze čelit pomocí digitálních podpisů a technik vzájemného ověřování.
• Teardrop: Tento útok posílá poškozené fragmentované pakety oběti. Systém oběti obvykle nedokáže pakety správně sestavit a v důsledku toho zamrzne. Protiváhou k tomuto útoku je záplata systému a použití filtrování vstupu k detekci těchto typů paketů.
Bezdrátový útok:
• Rogue AP
• Rušení
• Zasekávání
• Zlé dvojče
• Válečné řízení
• Válečné křídování
• IV útok
• Útoky WEP/WPA
Bezpečná konfigurace hardwarových zařízení:
• Zabezpečené sestavení
• Zabezpečte počáteční konfiguraci
• Vytvrzení hostitele – odstraňte vše, co není potřeba
• Záplatování hostitele
• Uzamčení hostitele
• Zabezpečte průběžnou konfiguraci a údržbu
Útoky RFID:
• RFID padělání
• RFID Sniffing
• Sledování
• Odepření služby
• Spoofing
• Odmítnutí
• Vložit útoky
• Přehrání útoků
• Fyzické útoky
• Viry
Útoky RFID:
• Odposlechy/skimming
• Analýza provozu
• Spoofing
• Denial of Service Attack/Distributed Denial of Service Attack
• Integrita čtečky RFID
• Osobní soukromí
Útoky na VLAN:
• MAC Flooding Attack
• Útok na značkování 802.1Q a Inter-Switch Link Protocol (ISL)
• Dvojitě zapouzdřený 802.1Q/vnořený útok VLAN
• ARP
Útoky
• Multicast Brute Force Attack
• Spanning-Tree Attack
• Random Frame Stress Attack
Metody kryptoanalytických útoků:
• Útok pouze na šifrovaný text (pouze šifrovaný text)
• Známý prostý text (k dispozici prostý i šifrovaný text)
• Zvolený prostý text (známý algoritmus, adaptivní, kde lze prostý text změnit)
• Zvolený šifrovaný text (známý algoritmus, adaptivní, kde lze šifrový text změnit)
Běžné zranitelnosti a hrozby bezpečnostní architektury:
• Špatná správa paměti
• Skryté kanály (ukládání a načasování)
• Nedostatečná redundance systému
• Špatná kontrola přístupu
• Selhání hardwaru
• Zneužití oprávnění
• Přetečení vyrovnávací paměti
• Útoky na paměť
• DoS
• zpětné inženýrství,
• hackování,
• Emanace
• Útoky státu (závodní podmínky)
Honeypot lze použít:
• Shromažďování informací o hrozbách
• Rozptylování útočníků
• Zdržování útočníků
Ochrana koncového bodu:
• Vestavěná funkce brány firewall.
• Funkce systému detekce narušení (IDS) / systému prevence narušení (IPS).
• Funkce ochrany před ztrátou dat (DLP).
• Funkce přidávání aplikací na seznam povolených/černých.
• Úplné šifrování disku.
• Rozhraní pro správu pro konfiguraci každého koncového bodu nebo skupin koncových bodů.
• Centralizovaný interní server pro distribuci aktualizací signatur malwaru.
Poznámka:
Nástroj pro vyhledávání je primární součástí řešení DLP. To může být použito pro účely identifikace a sběru příslušných dat.
Obecné typy virů:
• File Infectors – Infikuje soubory programu nebo objektů.
• Infektory spouštěcích sektorů – Připojte nebo nahraďte zaváděcí záznamy
• System Infectors – Připojuje se k systémovým souborům nebo struktuře systému
• Doprovodný virus – Fyzicky se nedotýká cílového souboru
• Email Virus – Uvědomuje si e-mailový systém.
• Vícedílné – Reprodukuje více než jedním způsobem
• Macro Virus – Používá makro programování aplikace. Infikovat datové soubory
• Script Virus – Samostatné soubory, které může spustit překladač
• Hostitel skriptu – .vbs jako hostitel skriptu viru.
RAID:
Některé z možností ochrany RAID jsou:
• RAID0 – Prokládané
• RAID 1 odolává selhání jednoho disku v rámci jednoho ze zrcadlených párů. Počet požadovaných jednotek je dvojnásobkem množství potřebného k uložení dat.
• RAID2 – Hammingův kód vyžaduje 14 nebo 39 disků
• RAID3 – prokládaná sada s vyhrazenou paritou (úroveň bajtů)
• RAID4 – prokládaná sada s vyhrazenou paritou (úroveň bloku)
• K dispozici je také ochrana RAID 5. Datové bloky jsou vodorovně pruhovány napříč členy skupiny RAID 5 a každý člen vlastní některé datové stopy a některé paritní stopy.
• RAID 6 chrání data při selhání až 2 disků na skupinu RAID.
• RAID1+0 – prokládaná sada zrcadlených disků
Výkon:
• Blackout: Generátor
• Brownout: (UPS) nepřerušitelný zdroj napájení
• Přepěťová ochrana: Přepěťová ochrana
• Hrot: Přepěťová ochrana
• Hluk: Kondicionér napájení
• Čistý výkon: Není potřeba žádné řešení
Hašování:
• Algoritmus MDS Message-Digest – 128bitový výtah
• SHA – 160bitový výtah
• HAVAL
• RIPEMD-160
• Možné narozeninové útoky
Symetrické algoritmy:
• Data Encryption Standard (DES)
• 3DES (Triple DES)
• Blowfish
• Dvě ryby
• International Data Encryption Algorithm (IDEA)
• RC4, RCS a RCG
• Advanced Encryption Standard (AES)
• Rutina bezpečného a rychlého šifrování (SAFER)
• Had
• ODESLAT
Asymetrické algoritmy:
• RSA - faktorizace součinu dvou velkých prvočísel
• Diffie-Hellmannův algoritmus
• EI Gamal – diskrétní protokoly
• Elliptic Curve Cryptography (ECC)
Šifrování:
• Používejte šifrování, které je dostatečně silné na ochranu dat.
• Ale čím silnější je šifrování, tím déle bude trvat dešifrování.
• Ať už používáte jakékoli šifrování, nemělo by pro většinu vašich uživatelů nepřijatelně zpomalovat výkon.
Další způsoby použití šifrování zahrnují:
• Neodmítnutí • Správa digitálních práv (DRM) • Digitální podpis • Tunelování
Zrušení certifikátu:
•Certifikáty zrušeny, když:
•• Jejich platnost vyprší.
•• Bezpečnost soukromého klíče je na pochybách.
•CRL
•• Seznam sériových čísel certifikátů vydávaných pravidelně CA, které byly odvolány.
•• Uvádí důvody pro odvolání.
•• CRL má digitální podpis, který zabraňuje spoofingu nebo útokům DoS.
•• Seznam má krátkou životnost.
•OCSP
•• Používá požadavek HTTP k získání stavu odvolání od CA.
•• Poskytuje rychlejší potvrzení než CRL
Kryptografie:
• Soukromí
• Ověřování
• Integrita
• Neodmítatelnost
Bezpečnostní koncepty:
• Need-to-Know (přístup pouze k tomu, co je potřeba k provedení úkolu/úlohy).
• Oddělení povinností (jedna osoba nemůže provádět všechny kroky kritických procesů nebo se zapojit do škodlivé činnosti bez tajné dohody).
• Monitorujte speciální oprávnění (protokoly auditu pro systémové operátory/administrátory/zaměstnance datových center zajišťují, že privilegovaní uživatelé nemohou obcházet bezpečnostní politiku, neměli by mít přístup ke své zaznamenané aktivitě, provádět vyšetřování na pozadí).
• Rotace úloh (snižuje nekalé dohody).
• Životní cyklus informací: (vytváření, používání, ničení dat, informace/vlastník dat pomáhá chránit data klasifikací a určováním jejich kritičnosti a citlivosti).
Černobílá listina (BL/WL):
• Černá listina je výslovné odmítnutí.
• Whitelist je implicitní odmítnutí.
• Černá listina = "Pokud jste na seznamu, NENÍ povolen."
• Whitelist = "Pokud NENÍ na seznamu, NENÍ povolen."
Zranitelnosti klienta, klientský systém by měl mít:
• Licencováno jako běžící
• Aktuální antivirus a antimalware
• HIDS
• Silné šifrování
• Omezené účty bez oprávnění správce
• Nepřetržité monitorování
• Odolná mobilní zařízení
Chyby zabezpečení založené na serveru, systém serveru by měl:
• Určete, jak bude zřízen vzdálený přístup
• Zkontrolujte, zda je provedena správa konfigurace
• Řízení toku dat
Metody pro překonání přepínače:
• MAC Spoofing Nastavte MAC adresu síťové karty na stejnou hodnotu jako jiné
• MAC Flooding Zahltí tabulku CAM přepínače tak, aby přešla do režimu rozbočovače
• ARP Poisoning Vložení nesprávných informací do mezipaměti ARP dvou nebo více koncových bodů.
Nejdůležitější prvky, které zaznamenávají stavová data na síťových zařízeních:
• Směrovací tabulky
• Tabulky CAM
• NAT tabulky
• Mezipaměť DNS
• Mezipaměť ARP
Logické zabezpečení:
• Fail Open/Soft (dostupnost je zachována, ale data nemusí být zabezpečena)
• Fail Secure/Closed (data jsou zabezpečena, ale dostupnost není zachována) Fyzické zabezpečení
• Fail Safe/Open (systémy jsou vypnuty / vchody odemčeny – lidé jsou v bezpečí)
• Fail Secure/Closed (vchody jsou uzamčeny)
• Failover je koncept odolnosti proti chybám (redundance). Pokud máte dvě redundantní síťové karty; primární a záložní – a primární selže, použije se záloha.
Databázový model by měl poskytovat:
• Trvalost transakcí
• Odolnost/obnovení chyb
• Sdílení
• Bezpečnostní kontroly
Hrozby pro DBMS zahrnují:
• Agregace (kombinace dat za účelem vytvoření citlivých informací)
• Obcházení útoků (vyhýbání se kontrolám přístupu k informacím)
• Ohrožení pohledů databáze (úprava/přístup k omezeným pohledům)
• Souběžnost (procesy běžící současně bez řádných zámků)
• Kontaminace (korupce)
• Zablokování (zablokování uživatelů, kteří mají současně přístup k informacím)
• DoS (zabránění autorizovanému přístupu)
• Nevhodná úprava (náhodná/úmyslná)
• Odvozování (odvozování omezených informací pozorováním)
• Zachycování dat
• Přístup k serveru
• Polymorfismus
• Polyinstanciace
• TOC/TOU (škodlivá změna dat v určitou dobu)
• Problémy se zabezpečením webu
• Neoprávněný přístup
Agregace vs. dedukce:
Inference (rozumějte podnikání, analýze rizik, rozhovoru s vlastníkem); kombinací více zpráv nebo zdrojů informací se vám podaří uhodnout nebo vymyslet nové informace. Agregace (rozuměj data a pole); součet může představovat úroveň zabezpečení vyšší než každá z částí. Buďte si vědomi těchto podmínek:
• Polyinstanciace: Zabraňuje inferenčním útokům
• Zobrazení databáze: Omezená rozhraní, omezující rozhraní
• Řízení přístupu závislé na kontextu: Ovládací prvky závislé na obsahu
• Šum a rušení: Řeší inferenční útoky
• Buněčná suprese: Technika používaná proti závěru
Hluk a rušení: Technika vkládání falešných informací v naději, že dojde k nesprávnému nasměrování útočníka nebo k zmatení věci natolik, že skutečný útok nebude plodný.
Tokeny – „Synchronní“ vs. „Asynchronní“:
• Synchronní dynamické tokeny hesel Hardwarové tokeny, které vytvářejí synchronní dynamická hesla, jsou časově závislé a synchronizované s ověřovacím serverem. Pravidelně generují nové heslo, například každých 60 sekund. To vyžaduje, aby token a server měly přesný čas.
• Asynchronní dynamické tokeny hesla nepoužívají hodiny. Místo toho hardwarový token generuje hesla na základě algoritmu a zvyšujícího se čítače. Při použití inkrementačního čítače vytvoří dynamické jednorázové heslo, které zůstane stejné, dokud nebude použito pro ověření. Některé tokeny vytvářejí jednorázové heslo, když uživatel zadá do tokenu PIN poskytnutý ověřovacím serverem.
Využití tokenu: (NIST 800-63)
• Autentizace jedním tokenem
• Ověřování pomocí více tokenů
Typy tokenů pro elektronickou autentizaci: (NIST 800-63)
• Zapamatovaný tajný token
• Předem zaregistrovaný token znalostí
• Vyhledání tajného tokenu
• Token mimo pásmo
• Zařízení s jednofaktorovým (SF) jednorázovým heslem (OTP).
• Jednofaktorové (SF) kryptografické zařízení
• Vícefaktorový (MF) softwarový kryptografický token
• Zařízení s vícefaktorovým (MF) jednorázovým heslem (OTP).
• Vícefaktorové (MF) kryptografické zařízení
Tokenové hrozby:
• Něco, co máte, může být útočníkem ztraceno, poškozeno, ukradeno nebo naklonováno.
• Něco, co znáte, může být prozrazeno útočníkovi. Útočník by mohl uhodnout heslo/PIN.
• Něco, čím jste, může být replikováno.
Strategie zmírnění hrozeb tokenu:
• Úspěšné útoky je obtížněji proveditelné díky více faktorům.
• K ochraně odcizeného tokenu před duplikací mohou být použity fyzické bezpečnostní mechanismy.
• Zavedení pravidel pro složitost hesla může snížit pravděpodobnost úspěšného útoku na hádání.
• K zabránění útočníkovi v získání přístupu do systému nebo instalaci škodlivého softwaru mohou být použity bezpečnostní kontroly systému a sítě.
• Může být prováděno pravidelné školení, aby se zajistilo, že Účastník rozumí tomu, kdy a jak nahlásit kompromitaci (nebo podezření na kompromitaci) nebo jinak rozpoznat vzorce chování, které mohou znamenat, že se útočník pokouší kompromitovat token.
• K ověření důkazu o vlastnictví registrovaných zařízení (např. mobilních telefonů) lze použít techniky mimo pásmo.
Token hrozba/útok: (NIST SP800-63)
• Krádež – Používejte vícefaktorové tokeny, které je třeba aktivovat pomocí PIN nebo biometrických údajů.
• Duplikace – Používejte tokeny, které se obtížně duplikují, jako jsou hardwarové kryptografické tokeny.
• Zjišťování – Používejte metody, ve kterých nelze snadno zjistit odpovědi na výzvy.
• Odposlouchávání
•• Používejte tokeny s dynamickými autentizátory, kde je znalost jednoho autentizátora
nepomáhá při odvození následného autentizátoru.
•• Používejte tokeny, které generují autentizátory na základě vstupní hodnoty tokenu.
•• Vytvořte tokeny prostřednictvím samostatného kanálu.
• Offline cracking
•• Použijte žeton s tajemstvím tokenu s vysokou entropií
•• Použijte token, který se po několika opakovaných neúspěšných pokusech o aktivaci uzamkne.
• Phishing nebo pharming – Použijte tokeny s dynamickými autentizátory, kde znalost jednoho autentizátora nepomáhá při odvození dalšího autentizátora.
• Sociální inženýrství – Použijte tokeny s dynamickými autentizátory, kde znalost jednoho autentizátora nepomáhá při odvození dalšího autentizátora.
• Online hádání – Používejte tokeny, které generují autentizátory s vysokou entropií.
Klíčové stavy a přechody: (NIST 800-57)
• Stav před aktivací: Klíč byl vygenerován, ale ještě není autorizován k použití
• Aktivní stav: Klíč lze použít ke kryptografické ochraně informací
• Stav deaktivace: Doba šifrování klíče vypršela, ale klíč stále potřebuje provádět kryptografické operace
• Stav zničení: Zde je zničen klíč
• Stav ohrožení: Klíč byl uvolněn nebo určen neoprávněnou entitou
• Stav zničení kompromitace: Klíč je zničen po kompromitaci nebo je kompromitace nalezena po zničení klíče
Správa klíčů:
• Bezpečné generování klíčů
• Bezpečné uložení klíčů
• Bezpečná distribuce klíčů
• Bezpečné zničení klíčů
Bezpečná správa klíčů:
• Generování klíčů: Jak, kdy a na jakém zařízení jsou klíče generovány
• Odvození klíče Sestavení kryptografických klíčů z jiných klíčů a proměnných
• Zřízení klíče: Algoritmický výpočet klíčovacího materiálu dvěma stranami
Bezpečné zabalení a odeslání klíčů z jednoho zařízení do druhého
• Úložiště klíčů: Bezpečné úložiště klíčů (často šifrovaných pomocí „šifrovacích klíčů“) a v jakém typu zařízení.
• Životnost klíče: Jak dlouho by měl být klíč používán, než bude zničen (vynulován)
• Key Zeroization: Bezpečné zničení klíčového materiálu
• Účetnictví: Identifikace, sledování a účtování o vytváření, distribuci a ničení klíčového materiálu mezi subjekty
Klíčové faktory řízení:
• Opatření kontroly klíčů: Určete, kdo má přístup ke klíčům a jak jsou přiřazeny.
• Obnova klíčů: Způsob obnovení ztracených klíčů.
• Úložiště klíčů: Bezpečné úložiště pro záznamy přiřazení klíčů.
• Vyřazení/zničení klíče: Jak jsou klíče odstraněny z používání a jak jsou zničeny.
• Změna klíče: Jak se klíče pravidelně mění.
• Generování klíčů: Jak jsou klíče generovány, aby bylo zajištěno, že jsou náhodné.
• Krádež klíče: Co dělat, když byly klíče prozrazeny.
• Frekvence používání klíčů: Jak omezit dobu používání klíčů a frekvenci opětovného použití klíčů.
• Uschování klíče – Poskytuje orgánům činným v trestním řízení a dalším orgánům oprávněný přístup k zašifrovaným informacím. Klíče mohou být uloženy na různých místech
Rychlý průvodce řízení projektu:
• Pracovní balíček je NEJNIŽŠÍ úrovní na WBS.
• WBS nezobrazuje pořadí pracovních balíčků ani žádné závislosti mezi nimi.
• Slovník WBS – Podrobný popis komponenty WBS
• Cost Benefit: Podívejte se, kolik budou vaše kvalitní aktivity stát
• Zainteresované strany jsou POUZE zainteresované subjekty, které jsou interní nebo externí vůči organizaci.
• Přístup k životnímu cyklu projektu je řízení projektu a je popsán v plánu řízení projektu.
• Riziko a nejistota jsou největší na začátku projektu.
• Součástí Reportingu je také analýza projektových prognóz (včetně času a nákladů).
• Ochota riskovat je míra nejistoty, kterou je účetní jednotka ochotna přijmout v očekávání odměny.
• Tolerance rizika je míra, množství nebo objem rizika, kterému organizace nebo jednotlivec vydrží.
• Prahová hodnota rizika se týká míry nejistoty nebo úrovně dopadu, na které může mít zúčastněná strana konkrétní zájem.
• Pozitivní a negativní rizika se běžně označují jako příležitosti a hrozby.
• Riziko projektu může existovat v okamžiku zahájení projektu.
• Zadávací SOW popisuje potenciální prodejce, pokud jsou schopni poskytovat produkty, služby nebo výsledky.
• PMO spravuje metodiky, standardy, celková rizika/příležitosti, metriky a vzájemné závislosti mezi projekty na podnikové úrovni. Podpora, kontrola a směrnice jsou typy struktur PMO v organizacích.
• JEDNOSTRANNÉ: jedná se o zvláštní kategorii smluv, ve kterých prodávající nemusí nabídku výslovně přijmout, aby mohla být uzavřena smlouva. Jedná se o jednostrannou smlouvu a nejlepším příkladem je nákupní objednávka (PO)
• Rizika vyšší moci, jako jsou zemětřesení, záplavy, teroristické činy atd., by měla být zahrnuta do Postupů obnovy po havárii namísto řízení rizik.
Metriky kvality služby:
• Dostupnost
• Doba výpadku
• Střední doba mezi poruchami (MTBF)
• Metrika kapacity
• Metriky výkonu
• Metrika procenta spolehlivosti
• Metrika kapacity úložného zařízení
• Metrika kapacity serveru
• Metrika doby spuštění instance
• Metrika doby odezvy
• Metrika času dokončení
• Metrika průměrné doby do přechodu
• Metrika střední doby obnovení systému
• Metriky škálovatelnosti komponent
• Metrika škálovatelnosti úložiště
• Metrika škálovatelnosti serveru
Životní cyklus správy identit a přístupu (IAM):
• Zajišťování: Přidělování příslušných práv uživatelům pro soubory/složky
• Přezkum: Pravidelné sledování stávajících práv pro trvalou potřebu
• Zrušení: Odebrání práv, když již nejsou potřebná nebo zaručená
Fáze IAM:
• Zajišťování a rušení zajišťování
• Centralizované adresářové služby
• Správa privilegovaných uživatelů
• Autentizace a správa přístupu
Klíčové problémy se službami identity:
• Rozhraní API: Přestože dodavatelé IAM nabízejí konektory pro nejběžnější cloudové služby, je nepravděpodobné, že poskytnou všechny konektory, které potřebujete.
• Mapování autorizace: Existuje mnoho možných způsobů, jak určit pravidla autorizace, například podle role vs. podle atributu.
• Audit: Vnitropodnikové systémy lze propojit se správou protokolů a systémy SIEM za účelem vytváření zpráv o shodě a poskytování monitorování a detekce bezpečnostních událostí.
• Soukromí: Uživatelé, uživatelské atributy a další informace jsou často přenášeny mimo vaši podnikovou síť a do jednoho nebo více cloudových datových úložišť.
• Latence: Přenesení změn pravidel z interního IAM do cloudového IAM může nějakou dobu trvat. Latence je předmětem diskuse s vaším poskytovatelem IAM i poskytovatelem cloudových služeb.
• Správa privilegovaných uživatelů: To byl problém již dlouhou dobu a cloud přidává novou vrásku. Historicky privilegovaní uživatelé byli všichni zaměstnanci, a pokud by věci měly tvar hrušky, mohli byste to pojmout jako HR událost. V mraku, který se rozpadá.
• Identita aplikace: Jakmile budete uživatele přihlášeni, možná budete muset ověřit aplikaci, kterou používá – nebo možná neexistuje žádný uživatel, pouze middleware.
• Mobilní: mobilní připojení ke cloudovým službám se vyskytují mimo hranice normálu.
• Umístění úložiště identit: Pokud společnosti přesouvají své aplikace a data do cloudových služeb, přesunou také stávající úložiště identit?
Komplexní a efektivní proces bezpečnostního zpravodajství může přinést:
• Rychlejší detekce a náprava hrozeb.
• Lepší dodržování předpisů.
• Snížení počtu podvodů, krádeží a úniku dat.
• Snížení úsilí potřebného k zajištění bezpečnosti a řešení problémů souvisejících s narušeními.
• Schopnost odhalit potenciální slabiny dříve, než k zneužití skutečně dojde.
Životní cyklus kolekce Security Intelligence:
• Plánování a směřování
• Sbírka
• Zpracování
• Analýza a produkce
• Šíření a integrace
Modely cloudových služeb:
• Software jako služba (SaaS)
•• Aplikace poskytovatele běží v cloudu
•• Klienti používají pro přístup k SaaS tenké aplikace (např. prohlížeč).
• Platforma jako služba (PaaS)
•• Klientské aplikace nasazené a spuštěné v cloudu
• Infrastruktura jako služba (IaaS)
•• Zpracování, úložiště a síťové služby
•• Klient řídí operační systémy a konfigurace hostitele
Poznámka:
Zůstáváte zodpovědní – bez ohledu na jakoukoli použitou cloudovou službu.
Outsourcing:
• Zajištění toho, že organizace má zavedené vhodné kontroly a procesy pro usnadnění outsourcingu.
• Zajištění toho, že ve smlouvě o outsourcingu jsou příslušná ustanovení o řízení informačních rizik.
• Zajištění toho, aby bylo provedeno posouzení rizik u procesu, který má být outsourcován.
• Zajištění náležité úrovně náležité péče před podpisem smlouvy.
• Řízení informačního rizika u outsourcovaných služeb na každodenní bázi
• Zajištění, že podstatné změny ve vztahu jsou označeny a podle potřeby jsou prováděna nová hodnocení rizik.
• Zajištění toho, aby byly při ukončení vztahů dodržovány správné procesy.
Smlouvy se třetími stranami zahrnují:
• Smlouva, že prodejce bude dodržovat platné zákony a předpisy o bezpečnosti informací a soukromí.
• Zabezpečení informací a ochrana soukromí.
• Právo na audit
• Oznámení v případě narušení dat.
• Kde bude k datům přistupováno, kde je budou ukládány a/nebo zpracovávány. Je důležité znát konkrétní umístění a zajistit, že dodavatel upozorní primární entitu, pokud je potřeba přidat, změnit nebo odebrat umístění.
• Vrácení nebo zničení dat při ukončení smlouvy.
• Prověrky zaměstnanců/ověření zaměstnání.
• Očekávání od školení zaměstnanců.
• Schopnost dodavatele zadávat práci subdodavatelům.
• Plány kontinuity provozu / obnovy po havárii. V jakém časovém rámci musí být funkce dodavatele funkční v případě katastrofy?
Smlouvy s třetími stranami:
• NDA/NDC
• Soulad s předpisy
• Upozornění na incident
• SLA/SLC
Vyhodnoťte třetí stranu:
• Posouzení na místě
• Výměna a kontrola dokumentů
• Kontrola procesu/zásad
Oblíbené služby:
• IaaS: Amazon EC2, Windows Azure, Rackspace (záložní)
• PaaS: Google App Engine, Cloud Foundry,force.com
• SaaS: Office 365, Dropbox, salesforce.com, Google Apps
• Správa cloudu: CloudStack, OpenStack
Hodnocení zabezpečení cloudové služby:
• Jaké je zabezpečení zařízení provozujícího servery?
• Jsou data klientů šifrována? Pokud ano, jaká metoda šifrování se používá?
• Je interní systém poskytovatele cloudu oddělený od jeho cloudových serverů připojených k internetu?
• Má poskytovatel bezpečnostní audit, který s námi může sdílet?
• Jaká ochranná opatření používají na rozhraní webových služeb a/nebo API?
• Zálohují svá data pravidelně a provádějí testovací obnovení pro řádné zotavení po havárii?
• Jaké obecné zásady ochrany osobních údajů a narušení jsou zavedeny?
• Jsou data klientů sdílena s nějakými třetími stranami?
Zásady uchovávání dat v cloudu:
• Regulace
• Mapování dat
• Klasifikace dat
• Postupy
• Monitorování a údržba
Cloud Secure (SDLC):
• Definování
• Navrhování
• Vývoj
• Testování
• Zabezpečené operace
• Likvidace
Cloud computing ovlivňuje čtyři oblasti správy a řízení rizik:
• Řízení zahrnuje zásady, procesy a vnitřní kontroly, které zahrnují způsob řízení organizace.
• Řízení podnikových rizik zahrnuje řízení celkových rizik pro organizaci v souladu s řízením a tolerancí vůči rizikům.
• Řízení informačních rizik zahrnuje řízení rizik pro informace, včetně informačních technologií.
• Informační bezpečnost jsou nástroje a postupy pro řízení rizik ohrožujících informace.
Zabezpečení cloudu – obecné oblasti zájmu:
• Správa a řízení podnikových rizik
• Právní otázky: Smlouvy a elektronické zjišťování
• Soulad a audit
• Správa informací a zabezpečení dat
• Přenositelnost a interoperabilita
• Tradiční zabezpečení, kontinuita podnikání a obnova po havárii
• Provoz datového centra
• Reakce na incident, oznámení a náprava
• Zabezpečení aplikací
• Šifrování a správa klíčů
• Správa identity a přístupu
• Virtualizace
• Zabezpečení jako služba
Dokument o zabezpečení cloudu ENISA:
• ZTRÁTA ŘÍZENÍ; CSP se nezavazuje k nezbytnému úkolu
• VENDOR LOCK-IN, vysoké náklady na přechod k jinému dodavateli
• SELHÁNÍ IZOLACE: jeden nájemce ovlivňuje druhého.
• RIZIKA SOULADU: tj. audit nemožný nebo žádné důkazy
• KOMPROMIS ROZHRANÍ ŘÍZENÍ
• OCHRANA DAT; ochranu nelze prokázat
• NEZABEZPEČENÉ NEBO NEÚPLNÉ VYMAZÁNÍ DAT
• MALICIOUS INSIDER: tj. poskytovatel cloudu nebo auditor
Zabezpečení cloudového úložiště:
• Šifrování
• Ověřování
• Autorizace
Zabezpečení v cloud computingu:
• Segregace dat
• Správa identit
• Správa dostupnosti
• Správa zranitelnosti
• Správa řízení přístupu
Kroky, které je třeba podniknout v cloudu, abyste se vyhnuli uzamčení dodavatele:
• Proveďte náležitou péči
• Naplánujte si odchod včas
• Navrhněte aplikaci tak, aby byla volně propojená
• Maximalizujte přenositelnost vašich dat
• Zvažte multi-cloudovou strategii
• Implementujte nástroje a procesy DevOps
Poznámka
: Špatně vytvořená smlouva může vést k uzamčení dodavatele
12 kritických problémů se zabezpečením cloudu:
• Narušení dat
• Slabá správa identity, pověření a přístupu
• Nezabezpečená rozhraní API
• Chyby zabezpečení systému a aplikací
• Odcizení účtu
• Škodliví zasvěcenci
• Pokročilé trvalé hrozby (APT)
• Ztráta dat
• Nedostatečná náležitá péče
• Zneužívání a nekalé používání cloudových služeb
• Odepření služby
• Problémy se sdílenými technologiemi
Riziko cloudu:
• Přístup privilegovaných uživatelů
• Soulad s předpisy
• Umístění dat
• Segregace dat
• Obnova
• Dlouhodobá životaschopnost
SLA v cloudu:
• Dostupnost (např. 99,99 % během pracovních dnů, 99,9 % v noci/víkendech)
• Výkon (např. maximální doba odezvy)
• Zabezpečení/ochrana soukromí dat (např. šifrování všech uložených a přenášených dat)
• Očekávání obnovy po havárii (např. závazek obnovy v horším případě)
• Umístění dat (např. v souladu s místní legislativou)
• Přístup k datům (např. data, která lze získat od poskytovatele v čitelném formátu)
• Přenositelnost dat (např. možnost přesunout data k jinému poskytovateli)
• Proces identifikace problémů a očekávání řešení (např. call centrum)
• Proces správy změn (např. změny – aktualizace nebo nové služby)
• Proces zprostředkování sporu (např. proces eskalace, důsledky)
• Strategie ukončení s očekáváním poskytovatele, aby byl zajištěn hladký přechod
Poznámka:
Požadavky na dostupnost a dostupnost jsou klíčovou součástí smlouvy o úrovni služeb (SLA).
Příprava na použití v cloudu:
• Rámec pro cloud Governance
• Plánování využití cloudu
• Ovládací prvky zabezpečení pro použití v cloudu
• Školení povědomí o bezpečnosti pro uživatele cloudu
• Provádění náležité péče u zamýšlených poskytovatelů cloudových služeb (CSP)
Smlouva CSP:
• Požadované služby, úrovně služeb, doba provozuschopnosti, redundance, obnova
• Důvěrnost / Nezveřejňování / Vlastnictví / Přístup
• Dodržování zaručuje oznámení a sankce za porušení
• Detekce porušení / incidentu, upozornění, reakce a náprava
• Obezřetné řízení obchodu CSP
• Monitorování, auditování, kontroly, udržování metrik, zprávy
Základní vlastnosti cloudu:
• Sdružování zdrojů. Více zákazníků
• Samoobsluha na vyžádání. Jednostranné dotování
• Široký přístup k síti. Síť a klient
• Rychlá elasticita. Rychlé zřizování a rušení
• Měřená služba. Platba za použití
Životní cyklus cloudových dat:
• Create: Creation je generací nového digitálního obsahu
• Ukládání: Ukládání je akt předávání digitálních dat
• Použití: Data jsou prohlížena, zpracovávána nebo jinak používána
• Sdílet: Informace jsou zpřístupněny ostatním
• Archivovat: Data opouštějí aktivní používání a vstupují do dlouhodobého úložiště
• Zničit: Data jsou trvale zničena
Identita jako IDaaS služby:
Identita jako služba (IDaaS) je infrastruktura ověřování, kterou vytváří, hostuje a spravuje poskytovatel služeb třetí strany. IDaaS lze považovat za jednotné přihlášení (SSO) pro cloud. To může poskytnout výhody včetně integrace s cloudovými službami a odstranit režii na údržbu tradičních on-premise systémů identity, ale také to může představovat riziko kvůli kontrole identit třetími stranami a spoléhání se na externí infrastrukturu identit. Řešení IDaaS prostřednictvím poskytovatele cloudu obvykle zahrnuje následující:
• Jednotné přihlášení
• Zajišťování
• Správa hesel
• Řízení přístupu
Obava zabezpečení Cloud API:
Cloudové API se v zásadě používá k integraci aplikací za účelem vylepšení cloudového prostředí a zajištění kompatibility mezi cloudy. Jsou obecně rozděleny do dvou kategorií: rozhraní API v procesu a vzdálená rozhraní API.
• Zajištění náležitých bezpečnostních opatření k ochraně hypervizoru před jakýmkoli druhem bezpečnostní hrozby.
• Před přijetím jakékoli z nich je třeba provést pečlivé posouzení bezpečnostních postupů implementovaných poskytovateli cloudových služeb.
• Správné smlouvy SLA mezi zákazníkem a poskytovatelem služeb, definující bezpečnostní požadavky organizací, které je třeba řešit.
• O používaná API je třeba pečovat a pečlivě je kontrolovat. V současném scénáři většina organizací preferuje integraci bezpečnostních technik s jejich modely služeb. Měli by si být vědomi bezpečnostních důsledků spojených s používáním těchto cloudových služeb. Spoléhání na slabá API může ohrozit bezpečnost důležitých organizačních dat.
Výhody Identity as a Service IDaaS:
• Ověřování SSO
• Federace
• Kontrola granulární autorizace
• Administrace
• Integrace s interními adresářovými službami
• Integrace s externími službami
Technologie jednotného přihlášení:
• Kerberos
• SEZAM
• LDAP
• Microsoft Active Directory
Tok OAuth:
• Požádejte o token požadavku
• Získejte dočasné přihlašovací údaje
• Vyměňte za přístupový token
Rizika virtualizace:
• VM Spawl
• Citlivá data ve virtuálním počítači
• Zabezpečení offline a dormantních virtuálních počítačů
• Zabezpečení předkonfigurovaných virtuálních počítačů (zlatý obrázek) / aktivních virtuálních počítačů
• Nedostatek viditelnosti a kontroly nad virtuálními sítěmi
• Vyčerpání zdrojů
• Zabezpečení hypervizoru
• Neoprávněný přístup k Hypervisoru
• Odcizení účtu nebo služby prostřednictvím samoobslužného portálu
• Pracovní zátěž různých úrovní důvěryhodnosti umístěných na stejném serveru
• Riziko vyplývající z API poskytovatele cloudových služeb
Zabránění zranitelnostem v infrastruktuře virtuálních strojů:
• Ujistěte se, že je zaveden systém správy oprav.
• Poskytujte minimální přístup potřebný pro virtuální stroje a virtuální sítě.
• Zaznamenávejte a kontrolujte aktivity uživatelů a systému ve virtuálním prostředí.
• Věnujte zvláštní pozornost tomu, jak konfigurujete virtuální síťová zařízení.
• Důsledně zachycujte snímky nebo stav virtuálního prostředí.
• Pečlivě sledujte počet virtuálních počítačů, abyste zabránili rozrůstání virtuálních počítačů.
• Ochrana před únikem VM
Protokoly ověřování a autorizace:
• SAML:
•• Autentizace a autorizace/podnik
•• Jednotné přihlášení pro podnikové uživatele
• SPML:
•• Zřizování účtů/Správa účtů, SPML spárované se SAML
• XACML:
•• Zásady kontroly
• OAuth:
•• Přístup ke zdrojům integrovaný s OpenID
•• Autorizace API mezi aplikacemi
• OpenID:
•• Autentizace a autorizace/komerční/mobilní aplikace
•• Jednotné přihlášení pro spotřebitele
MDM řešení zahrnují:
• Registrace a ověření zařízení.
• Dálkové zamykání a vymazání.
• Lokalizaci zařízení pomocí GPS a dalších technologií.
• Vysílání aktualizací OS, aplikací a firmwaru do zařízení.
• Zabránění přístupu root nebo útěku zařízení.
• Vytváření šifrovaného kontejneru na zařízeních pro uchovávání citlivých dat organizace.
• Omezení určitých funkcí a služeb na základě zásad řízení přístupu.
Hrozby v prostředích BYOD:
• Deparametrizace
• Neopravená a nezabezpečená zařízení
• Napjatá infrastruktura
• Forenzní komplikace
• Ztracená nebo odcizená zařízení
Ovládací prvky pro ochranu soukromí a dat:
• Oddělení povinností
• Školení
• Postupy ověřování a autorizace
• Hodnocení zranitelnosti
• Procesy zálohování a obnovy
• Protokolování
• Řízení uchovávání dat
• Bezpečná likvidace
Poznámka:
Data protokolu by měla být chráněna alespoň na stejné úrovni citlivosti jako systémy, ze kterých byla shromážděna.
Ochrana dat (jak na to...):
• Fyzická bezpečnost – zamčené dveře, bezpečnostní stráže, kontroly přístupu
• Zabezpečení sítě – Autentizace, autorizace, auditování, firewally, IDS/IPS
• Zabezpečení systému – Patching, AV, konfigurační ovládací prvky, schválené aplikace
• Zabezpečení aplikací – Bezpečné kódování, kontrola kódu, designové standardy
• Zabezpečení uživatelů – zásady, školení, poskytování, monitorování, vynucování
• Zabezpečení administrátorů – Zásady, doplňková školení, poskytování, monitorování, specializovaný audit, vymáhání
Protokolování:
Při implementaci protokolování aplikací nezapomeňte protokolovat události zabezpečení. Operátoři systému a
specialisté na zabezpečení považují tyto informace za užitečné pro:
• Detekce útoků a dalších událostí souvisejících se zabezpečením
• Získávání dat pro vyšetřování incidentů
• Stanovení základních linií pro bezpečnostní monitorovací systémy
• Sledování odmítnutí a implementace souvisejících kontrol
• Monitorování porušování zásad
Zabezpečení protokolů:
• Ovládejte objem dat
• Filtrování událostí nebo úroveň oříznutí určuje množství protokolu
• Nástroje auditu mohou snížit velikost protokolu
• Stanovte postupy předem
• Vyškolte personál v příslušné kontrole protokolu
• Chraňte a zajistěte neoprávněný přístup
• Zakázat auditování nebo mazání/mazání protokolů
• Chraňte protokoly auditu před neoprávněnými změnami
• Bezpečně ukládat/archivovat protokoly auditu
Rámce:
• Zachman Framework – není specifické pro architekturu zabezpečení
• Rámec Sherwood Applied Business Security Architecture (SABSA) – řetězec sledovatelnosti
• IT Infrastructure Library (ITIL) – strategie služeb, návrh služeb, přechod služeb, operace služeb a neustálé zlepšování služeb. Procesy umožňující správu IT služeb vyvinuté Úřadem vlády pro obchod ve Spojeném království
• TOGAF: Model a metodika pro vývoj podnikových architektur vyvinutá společností The Open Group
• Six Sigma: Strategie řízení podniku, kterou lze použít ke zlepšení procesů
• Capability Maturity Model Integration (CMMI): Organizační vývoj pro zlepšování procesů vyvinutý Carnegie Mellon
Model vyspělosti schopností (IRDMO):
• Počáteční fáze – nepředvídatelná, špatně kontrolovaná a reaktivní
• Opakovatelná fáze – charakterizovaná pro projekty, opakovatelná
• Definovaná fáze – charakterizovaná celou organizací a je proaktivní.
• Řízená fáze – kvantitativně měřená a kontrolovaná
• Optimalizace fáze – neustálé zlepšování. (Rozpočet)
Model vyspělosti schopností (IRDMO):
• Úroveň 1: Počáteční – Proces vývoje softwaru je charakterizován jako ad-hoc. Úspěch závisí na individuálním úsilí a hrdinství.
• Úroveň 2: Opakovatelné - Základní procesy projektového řízení (PM) jsou zavedeny ke sledování výkonu, nákladů a harmonogramu.
• Úroveň 3: Definováno – Procesy softwarového inženýrství a vývoje jsou zdokumentovány a používány v celé organizaci.
• Úroveň 4: Řízená – Podrobná měřítka zlepšení produktu a procesu jsou kvantitativně kontrolována.
• Úroveň 5: Optimalizace – Průběžné zlepšování procesů je institucionalizováno.
Další modely zralosti:
• Model vyspělosti DevOps: Dalším způsobem, jak přemýšlet o vyspělosti organizace (alespoň z hlediska vývoje softwaru), je zvážit, jak efektivní je při integraci svých vývojových a provozních týmů (DevOps). Tento model je pozoruhodný tím, že se kromě rozvoje a obchodních záležitostí zaměřuje na kulturu a lidi.
• Open Source Maturity Model (OSMM): Organizacím, které využívají open-source software, OSMM umožňuje měřit a zlepšovat efektivitu jejich procesů. Zaměřujeme se zde nejen na vývoj (nebo dokonce jen používání) open-source softwaru, ale na to, být součástí
pohyb tím, že jej rozvíjíte, používáte a aktivně se zapojujete do komunity.
• Model vyspělosti správy softwarových produktů: Tento model se zaměřuje na obchodní záležitosti týkající se vývoje softwarových produktů. Zvažuje například otázky, jako jsou podmínky na trhu, produktové řady a portfolia a dohody o partnerství.
DevOps:
DevOps a cloud computing spolupracují a pomáhají organizacím uvádět nové služby a aplikace na trh rychleji a s nižšími náklady. DevOps je o zefektivnění vývoje, zatímco cloud nabízí zdroje na vyžádání, automatizované zřizování a snadné škálování, aby vyhovoval změnám aplikací. Mnoho nástrojů DevOps lze získat na vyžádání v cloudu nebo jako součást větší cloudové platformy. Pro podporu nasazení hybridního cloudu (pracovní zátěže s možností pohybu mezi cloudy) by podniky měly vybrat platformy DevOps s rozhraním pro poskytovatele cloudu, které budou používat. DevOps prosazuje štíhlé a agilní poskytování kvalitního softwaru, který přidává hodnotu podnikání a zákazníkům.
Reference DevOps
:
• Plánujte a měřte
• Vyvíjet a testovat
• Uvolněte a nasaďte
• Monitorujte a optimalizujte
Principy DevOps:
• Vyvíjet a testovat proti produkčním systémům
• Nasazení s opakovatelnými a spolehlivými procesy
• Monitorujte a ověřujte provozní kvalitu
• Zesílit zpětnovazební smyčky
Postupy DevOps:
• Plánování vydání
• Nepřetržitá integrace
• Nepřetržité doručování
• Průběžné testování
• Průběžné monitorování a zpětná vazba
Poznámka:
DevOps a cloud computing spolupracují a pomáhají organizacím uvádět nové služby a aplikace na trh rychleji a s nižšími náklady. DevOps je o zefektivnění vývoje, zatímco cloud nabízí zdroje na vyžádání, automatizované zřizování a snadné škálování, aby vyhovoval změnám aplikací. Mnoho nástrojů DevOps lze získat na vyžádání v cloudu nebo jako součást větší cloudové platformy. Pro podporu nasazení hybridního cloudu (pracovní zátěže s možností pohybu mezi cloudy) by podniky měly vybrat platformy DevOps s rozhraním pro poskytovatele cloudu, které budou používat.
SOC:
Zprávy SOC nejčastěji pokrývají návrh a účinnost kontrol po 12měsíční období činnosti s nepřetržitým pokrytím rok od roku, aby byly splněny požadavky uživatelů z hlediska finančního výkaznictví nebo správy. V některých případech a
Zpráva SOC může zahrnovat kratší časové období, například šest měsíců. Zpráva SOC se také může týkat pouze návrhu kontrol ve stanoveném časovém okamžiku pro nový systém/službu nebo pro počáteční kontrolu (audit) systému/služby.
• SOC1: Zaměřeno na finanční kontroly
• SOC2: Zaměřeno na CIA a soukromí – soukromé
• SOC3: Zaměřeno na CIA a soukromí – veřejné
Poznámka:
Certifikace ISO 27001 je určena pro systém řízení bezpečnosti informací (ISMS), což je celý bezpečnostní program organizace. SAS 70 a SSAE 16 jsou standardy auditu pro poskytovatele služeb a zahrnují určité přezkoumání bezpečnostních kontrol, ale ne soudržný program (a SAS 70 je zastaralý); Zprávy SOC popisují, jak jsou prováděny audity SSAE 16. SOC 1 je pro finanční výkaznictví; SOC 2, typ 2 má přezkoumat implementaci (nikoli návrh) kontrol; a SOC 3 je pouze potvrzením, že byl proveden audit.
SOC :
• Účel rozsahu zprávy SOC 1 by měl pokrývat informační systémy (manuální i automatizované) procesy, které se používají k poskytování zkoumaných služeb. Existují dva typy možností hlášení SOC 1:
•• SOC 1 Typ 1: Návrh zprávy o kontrolách. Tato možnost vyhodnocuje a podává zprávu o návrhu ovládacích prvků uvedených do provozu k určitému okamžiku.
•• SOC 1 Typ 2: Zahrnuje návrh a testování kontrol pro podávání zpráv o provozní účinnosti kontrol za určité časové období (obvykle 12 měsíců).
• Účelem zprávy SOC 2 je vyhodnotit informační systémy organizace relevantní pro zabezpečení, dostupnost, integritu zpracování, důvěrnost a/nebo soukromí.
•• SOC 2 Typ 1: Zprávy se týkají zásad a postupů, které byly uvedeny do provozu v konkrétním okamžiku.
•• SOC 2 Typ 2: Zprávy se týkají politik a postupů po dobu minimálně – systémy musí být vyhodnoceny (běžně 6 – 12 měsíců v trvání).
To obecně činí přehledy SOC 2 typu 2 komplexnější a užitečnější než přehledy typu I při zvažování přihlašovacích údajů možného poskytovatele služeb.
Rámec SOC 2 obsahuje 5 klíčových částí:
• Zabezpečení – Systém je chráněn proti neoprávněnému fyzickému a logickému přístupu.
• Dostupnost – Systém je k dispozici pro provoz a používání podle závazku nebo dohody.
• Integrita zpracování – Systémové zpracování je úplné, přesné, včasné a autorizované.
• Důvěrnost – Informace označené jako důvěrné jsou chráněny jako potvrzené nebo dohodnuté.
• Soukromí – Osobní údaje jsou shromažďovány, používány, uchovávány, zveřejňovány a likvidovány v souladu se závazky uvedenými v oznámení subjektu o ochraně osobních údajů.
Strategie zabezpečení informací:
• Strategické plánování – dlouhodobé (3 až 5 let) a musí být v souladu s obchodními cíli.
• Taktické plánování – Krátkodobé (6 až 18 měsíců) používané k dosažení konkrétních cílů. Může se skládat z více projektů.
• Provozní a projektové plánování – Specifické plány s milníky, daty a odpovědností poskytují komunikaci a směr pro dokončení projektu.
Uzavření, hranice a izolace:
• Uzavření – omezuje proces na čtení a zápis do určitých paměťových míst.
• Hranice – jsou limity paměti, které proces nemůže překročit při čtení nebo zápisu.
• Izolace – je režim, ve kterém proces běží, když je omezen pomocí paměťových hranic.
Značkovací jazyk:
• GML: Generalized Markup Language – značkovací jazyk nejvyšší úrovně
• SGML: Standardized Generalized Markup Language – odvozeno z GML
• SPML: Service Provisioning Markup Language – umožňuje výměnu dat poskytování mezi systémy. SPML: Formát založený na XML pro výměnu informací o uživatelích a zdrojích a řízení poskytování.
• SAML: Security Assertion Markup Language – standard, který umožňuje výměnu dat ověřování a autorizace mezi bezpečnostními doménami. SAML může vystavit systém špatné identifikaci nebo autorizaci. SAML: poskytuje rámec založený na XML pro výměnu informací souvisejících se zabezpečením přes sítě.
• XACML: Extensible Access Control Markup Language – používá se k vyjádření zásad zabezpečení a přístupových práv poskytovaných prostřednictvím webových služeb a aplikací
• XML: Může obsahovat značky pro popis dat jako cokoliv požadovaného. Databáze od různých dodavatelů mohou importovat a exportovat data do a z formátu XML, což z XML činí společný jazyk používaný k výměně informací. XML je zranitelné vůči injekčním útokům. XML je univerzální formát pro ukládání informací.
Životní cyklus důkazů:
• Shromažďování a identifikace
• Skladování, konzervace a přeprava
• Prezentace u soudu
• Vrácení důkazů
Životní cyklus zařízení:
• Definování požadavků
• Získání a implementace
• Provoz a údržba
• Likvidace a vyřazení z provozu
Vyřazení z provozu:
Když se organizace rozhodne vyřadit systém nebo službu z provozu nebo když dosáhnou konce své životnosti, musí být tyto služby vyřazeny z provozu, aniž by byla ohrožena data, jiné systémy nebo personál. Systémy a služby musí být řádně ukončeny, aby se eliminovalo riziko pro zbývající systémy. Níže je uvedeno několik kroků v procesu vyřazení z provozu s konverzí:
• Plán migrace
• Proveďte migraci
• Plán vyřazení z provozu
• Proveďte vyřazení z provozu
• Kontrola po vyřazení z provozu
Odstranění dat:
• Mazání – operace odstranění
• Clearing – operace přepsání
• Čištění – intenzivnější forma čištění opakováním
• Odtajnění – vyčistěte média, aby byla vhodná pro použití v zabezpečeném prostředí
• Sanitizace – kombinace procesu, který odstraňuje data ze systému nebo média
• Demagnetizace – použití silného magnetického pole
• Destrukce - drcení, Spalování, Drcení, dezintegrace
Archivace dat:
• Formát
• Regulační požadavky
• Testování
Stanovte požadavky na informace a nakládání s majetkem:
• Bezpečná likvidace médií: Média obsahující citlivá data musí být zlikvidována bezpečným způsobem. Skartace v případě papírových dokumentů a drcení v případě digitálních médií jsou některé z metod používaných při likvidaci médií.
• Označování: Vhodné označení je důležité pro citlivá data, aniž by bylo nutné uvádět typ
obsah.
• Omezení přístupu: Pochopte princip, který je třeba přijmout při navrhování a implementaci omezení přístupu k citlivým datům.
• Data oprávněného příjemce: Příjemci, kteří mají oprávnění k přístupu k datům, by měli být zdokumentováni a schváleni.
• Ukládání médií: Ukládání médií by mělo odpovídat specifikacím výrobců a osvědčeným postupům v oboru.
• Distribuce dat: Měly by být zavedeny vhodné kontroly, které zajistí, že data budou distribuována pouze schváleným a oprávněným pracovníkům s ohledem na seznam oprávněných příjemců.
• Jasné značení Označení na citlivých datech musí být jasné a srozumitelné
identifikace a manipulace. Označení může používat kódy pro srovnání označení, které může pouze
používat pro účely identifikace.
• Kontrola distribučních seznamů: Pravidelná kontrola distribučních seznamů je nezbytná, aby bylo zajištěno, že data budou sdílena pouze s oprávněnými osobami.
• Veřejně dostupné zdroje: Měly by být prokázány vhodné kontroly, které zajistí, že citlivá data nebudou zveřejněna nebo zveřejněna na veřejně dostupných úložištích nebo webových stránkách.
Ovládání médií:
• Přesně a rychle označte všechna média pro ukládání dat
• Zajistěte správné skladování médií v prostředí
• Zajistěte bezpečné a čisté zacházení s médii
• Záznamová datová média poskytující kontrolu fyzické inventury
Postup Uchovávání údajů:
• Vyhodnoťte zákonné požadavky, soudní povinnosti a obchodní potřeby
• Klasifikujte typy záznamů
• Určete doby uchování a zásady zničení
• Navrhněte a zdůvodněte zásady uchovávání záznamů
• Vyškolte personál
• Audit postupů uchovávání a ničení
• Pravidelně kontrolujte zásady
• Dokumentujte politiku, implementaci, školení a audity
Zásady uchovávání by měly řešit:
• Úložiště
• Uchování
• Zničení / Likvidace
Dokumentace:
Veškerá dokumentace by měla podléhat efektivnímu procesu kontroly verzí a také standardnímu přístupu k označování a manipulaci; a viditelně označeny stupněm utajení, datem a číslem revize, datem účinnosti a vlastníkem dokumentu.
Obecné úvahy o zálohování dat:
• Rozsah záloh/celková velikost
• Důležitost
• Zabezpečení
• Frekvence změn
• Doba zotavení
• Testování integrity záloh
Citlivost vs. kritičnost:
• Citlivost popisuje rozsah škod, které by byly způsobeny, kdyby byly informace zveřejněny
• Kritičnost popisuje časovou citlivost dat. To je obvykle způsobeno pochopením toho, jaké příjmy konkrétní aktivum generuje, a bez tohoto aktiva dojde ke ztrátě příjmů
Faktory efektivního biometrického systému kontroly přístupu:
• Přesnost
• Rychlost/průchodnost
• Požadavky na ukládání dat
• Spolehlivost
• Přijatelnost
Biometrické nevýhody:
• Přijetí uživatelem
• Časový rámec registrace
• Propustnost
• Přesnost v průběhu času
Strategie hloubkové obrany:
• Vývoj bezpečnostních politik, postupů
• Řešení zabezpečení v průběhu životního cyklu
• Implementace topologie sítě má více vrstev
• Zajištění logického oddělení mezi podnikovými a síťovými zařízeními
• Použití architektury sítě DMZ
• Zajištění, že kritické komponenty jsou redundantní a jsou v redundantních sítích.
• Navrhování kritických systémů pro plynulou degradaci (odolné vůči chybám)
• Deaktivace nepoužívaných portů a služeb
• Omezení fyzického přístupu k síti a zařízením.
• Omezení uživatelských oprávnění
• Zvažte použití samostatných ověřovacích mechanismů a přihlašovacích údajů
• Používání moderních technologií
• Zavádění bezpečnostních kontrol
• Používání bezpečnostních technik
• Rychlé nasazení bezpečnostních záplat
• Sledování a monitorování auditních záznamů
Fyzické zabezpečení:
• Ochrana života je primárním cílem fyzické bezpečnosti
• Fyzické zabezpečení pomáhá předcházet provozním přerušením
• Primárním cílem fyzického programu je řízení přístupu k zařízení
• Uspořádejte bariéry ve vrstvách s progresivním zabezpečením blíže ke středu/nejvyšší ochranné oblasti
• Proveďte posouzení bezpečnostních rizik/zranitelnosti s cílem identifikovat hrozby (přirozené i způsobené člověkem) pro majetek a dopady ztráty
• Během hodnocení se zaměřte na kontrolu zabezpečení během pracovní doby/po pracovní době, kontrolu přístupu, dohled, zásady/postupy, BCP atd.
• Aplikujte obranu do hloubky
Správa systémového inženýrství:
• Analýza rozhodování
• Technické plánování
• Požadavky na hodnocení
• Konfigurace, rozhraní
• Technické údaje
• Řízení rizik
Klíčové komponenty průmyslového řídicího systému (ICS):
• Ovládací smyčka
• Rozhraní člověk-stroj (HMI)
• Nástroje pro vzdálenou diagnostiku a údržbu
Hlavní řídicí komponenty průmyslových řídicích systémů (ICS):
• Ovládací server
• SCADA server nebo hlavní terminálová jednotka (MTU)
• Jednotka vzdáleného terminálu (RTU)
• Programmable Logic Controller (PLC)
• Inteligentní elektronická zařízení (IED)
• Rozhraní člověk-stroj (HMI)
• Datový historik
• Vstupní / výstupní (IO) server
Zranitelnost platformy v průmyslových řídicích systémech (ICS):
• Chyby zabezpečení konfigurace platformy
• Chyby zabezpečení platformy
• Chyby zabezpečení platformy
• Chyby zabezpečení platformy Malware Protection
Vývoj komplexního bezpečnostního programu pro ICS:
• Získejte odkup vyššího managementu
• Vybudujte a vyškolte mezifunkční tým
• Definujte chartu a rozsah
• Definujte konkrétní zásady a postupy ICS
• Definování a inventarizace majetku ICS
• Proveďte posouzení rizik a zranitelnosti
• Definujte ovládací prvky zmírnění
• Poskytovat školení a zvyšovat povědomí o bezpečnosti pro zaměstnance ICS
Zabezpečení ICS:
• Zakázat nepotřebné porty & služby
• Segmentace sítě
• Vynutit šifrování tam, kde je to možné
• Vynutit správu oprav
• Aplikace pro řízení rizik pro ICS
• Implementace zásady nejmenších oprávnění
• Audity
• Redundance & Odolnost proti chybám
Velká data:
Kolekce dat, které jsou tak velké a složité, že je obtížné je spravovat tradičními databázovými nástroji. Podniky jsou často vyzvány k restrukturalizaci své stávající architektury, aby ji zvládly.
Velká data:
Cloud Secure Alliance (CSA) kategorizovala různé výzvy v oblasti zabezpečení a ochrany soukromí do čtyř různých aspektů ekosystému velkých dat. Těmito aspekty jsou zabezpečení infrastruktury, soukromí dat, správa dat a integrita a reaktivní bezpečnost. Každý z těchto aspektů čelí podle CSA následujícím bezpečnostním výzvám:
• Zabezpečení infrastruktury
•• Zabezpečené distribuované zpracování dat
•• Zabezpečení Nejlepší akce pro nerelační databáze
• Ochrana osobních údajů
•• Analýza dat prostřednictvím dolování dat Ochrana soukromí dat
•• Kryptografická řešení pro zabezpečení dat
•• Granulární řízení přístupu
• Správa dat a integrita
•• Zabezpečené úložiště dat a protokoly transakcí
•• Granulární audity
•• Údaje o původu
• Reaktivní zabezpečení
•• End-to-End filtrování & Validace
•• Dohled nad úrovní zabezpečení v reálném čase
Běžné hrozby pro velká data:
• Porušení soukromí
• Eskalace oprávnění
• Odmítnutí
• Forenzní komplikace
Bezpečný životní cyklus velkých dat
Životní cyklus velkých dat má šest hlavních fází: vytváření a objevování, přístup k datům a tok dat, zpracování, sdílení, ukládání a ničení.
• Klíčové výzvy při vytváření a objevování jsou:
••Identifikace všech koncových bodů v síti, které přispívají k datům.
••
Identifikace duševního vlastnictví a určení hodnoty a obchodního dopadu jednotlivých dat v
shluk velkých dat.
••Definování původu dat.
• Bezpečnostní problémy v přístupu a toku dat jsou:
••Implementace zabezpečení v distribuovaných programovacích rámcích.
••Implementace podrobného řízení přístupu (citlivá data vs. role uživatele).
••Definování ovládacích prvků zabezpečení pro nerelační zdroje dat.
••Identifikace toku dat mezi koncovými body.
• Bezpečnostní problémy při zpracování dat:
••Implementace škálovatelnosti, ochrany soukromí a zabezpečení během dolování dat a analýzy dat.
••Zavádění podrobných auditů dat.
• Bezpečnostní problémy při sdílení dat jsou:
••Zavádění podrobných auditů dat.
••Implementace reaktivního zabezpečení pro zajištění integrity dat.
• Bezpečnostní problémy při ukládání dat jsou:
••Implementace bezpečného úložiště dat a protokolů a souborů transakčních dat.
• Likvidace dat je nejdůležitější fází životního cyklu velkých dat. Data ve špatných rukou mohou být katastrofální. Aby bylo zajištěno, že data budou dostupná pouze oprávněným uživatelům, měly by být zavedeny bezpečnostní zásady na úrovni organizace pro implementaci metod bezpečného likvidace dat a odebrání přístupových práv při výstupních pohovorech zaměstnanců/uživatelů.
Výzvy současných velkých dat:
• Ve většině výpočtů distribuovaných systémů jsou omezené úrovně ochrany.
• Bezpečnostní řešení nejsou schopna neustále uspokojovat poptávku s několika nerelačními databázemi
• Chybí vhodné bezpečnostní procesy pro přenos automatizovaných dat.
• Aktualizace systému, audity, opravy nejsou vždy prováděny.
• Přicházející informace by měly být neustále ověřovány, aby byla zajištěna jejich důvěryhodnost a přesnost
• Útok na systémy, které obsahují citlivé informace zákazníků, může zákazníky ohrozit.
• Některé organizace nezavádějí žádný druh řízení přístupu k rozlišení mezi důvěrností
• Monitorování a sledování systémů je v současném rozsahu aplikací Big Data obtížné.
Umělá inteligence, strojové učení a hluboké učení:
• Umělá inteligence: Jakákoli technika, která umožňuje počítačům napodobovat lidské chování
• Strojové učení: Podmnožina technik umělé inteligence, které využívají statistické metody, aby umožnily strojům zlepšovat se díky zkušenostem.
• Hluboké učení: Podmnožina ML, která umožňuje provádět výpočty vícevrstvých neuronových sítí.
Umělá inteligence (AI):
• Expertní systémy
• Umělé neuronové sítě
• Skutečné neuronové sítě
• Bayesovské filtrování
• Genetické algoritmy a programování
OWASP Top 10 IoT zranitelností (2014):
• Nezabezpečené webové rozhraní
• Nedostatečná autentizace/autorizace
• Nezabezpečené síťové služby
• Nedostatek transportního šifrování/ověření integrity
• Obavy o soukromí
• Nezabezpečené cloudové rozhraní
• Nezabezpečené mobilní rozhraní
• Nedostatečná konfigurovatelnost zabezpečení
• Nezabezpečený software/firmware
• Špatné fyzické zabezpečení
Následuje seznam 10 hlavních rizik ochrany osobních údajů OWASP:
• P1: Chyby zabezpečení webových aplikací
• P2: Únik dat na straně operátora
• P3: Nedostatečná odezva na porušení dat
• P4: Nedostatečné vymazání osobních údajů
• P5: Netransparentní zásady, termíny a podmínky
• P6: Shromažďování dat, která nejsou vyžadována pro primární účel
• P7: Sdílení dat s třetí stranou
• P8: Zastaralé osobní údaje
• P9: Chybějící nebo nedostatečné vypršení platnosti relace
• P10: Nezabezpečený přenos dat
OWASP:
Projekt Open Web Application Security Project (OWASP) začlenil tyto principy do svého seznamu deseti „principů zabezpečení podle návrhu“. Principy jsou:
• Minimalizujte plochu povrchu útoku.
• Vytvořte zabezpečené výchozí nastavení.
• Nejmenší oprávnění.
• Obrana do hloubky.
• Bezpečně selhat.
• Nedůvěřujte službám.
• Oddělení povinností.
• Vyhněte se zabezpečení neznámým.
• Udržujte zabezpečení jednoduché.
• Správně opravte problémy se zabezpečením
Kroky procesu modelování rizik hrozeb OWASP:
• Identifikujte bezpečnostní cíle
• Prohlédněte si aplikaci
• Rozložte to
• Identifikujte hrozby
• Identifikujte zranitelnosti
Architektura internetu věcí:
• Vrstva vnímání
• Síťová vrstva
• Aplikační vrstva
Charakteristiky internetu věcí:
• Existence
• Sebevědomí
• Konektivita
• Interaktivita
• Dynamika
• Škálovatelnost
• Výpočetní omezení
• Omezení zdrojů
Stavební blok IoT se skládá z pěti hlavních modulů:
• Modul senzoru
• Modul zpracování
• Ovládací modul
• Komunikační modul
• Energetický modul
Oblasti IoT útoků:
Níže jsou nejčastější oblasti útoku na síť IoT:
• Řízení přístupu.
• Extrakce firmwaru.
• Eskalace oprávnění.
• Resetování do nezabezpečeného stavu.
• Webové útoky.
• Firmwarové útoky.
• Útoky síťových služeb.
• Nešifrované místní úložiště dat.
• Problémy s důvěrností a integritou.
• Útoky cloud computingu.
• Škodlivé aktualizace.
• Nezabezpečená rozhraní API.
• Hrozby mobilních aplikací.
Zabezpečení IoT: (Sedm kroků k minimalizaci rizika IoT v cloudu)
• Zabezpečená cloudová infrastruktura
• Využijte osvědčené postupy založené na standardech
• Design pro zabezpečení
• Zabezpečená zařízení IoT
• Zabezpečená připojení zařízení
• Zabezpečené služby a aplikace IoT
• Zabezpečení uživatelů a přístupu
Výzvy zabezpečení zařízení IoT:
• Produkty IoT mohou být nasazeny v nezabezpečených nebo fyzicky exponovaných prostředích
• Bezpečnost je pro mnoho výrobců novinkou a ve vývojových metodologiích existuje omezené plánování zabezpečení
• Zabezpečení není hnacím motorem podnikání a při vývoji produktů IoT je sponzorování a správa zabezpečení omezená.
• Chybí definované standardy a referenční architektura pro bezpečný vývoj IoT
• Existují potíže s náborem a udržením potřebných bezpečnostních dovedností pro vývojové týmy IoT, včetně architektů, inženýrů bezpečného softwaru, inženýrů zabezpečení hardwaru a pracovníků pro testování zabezpečení.
• Nízká cena zvyšuje počet potenciálních protivníků
• Omezení zdrojů ve vestavěných systémech omezuje možnosti zabezpečení
Pokyny pro bezpečný vývoj IoT:
• Metodika bezpečného rozvoje
• Bezpečné vývojové a integrační prostředí
• Identity Framework a funkce zabezpečení platformy
• Vytvořte ochranu soukromí
• Hardware Security Engineering
• Chraňte data
• Zabezpečené přidružené aplikace
• Ochrana rozhraní/API
• Poskytujte možnost zabezpečené aktualizace
• Implementujte Secure Authn/z
• Vytvořte zabezpečenou správu klíčů
• Poskytněte mechanismy protokolování
• Provádějte bezpečnostní kontroly
Zabezpečení IoT (DOPORUČENÉ POSTUPY):
• Zajistěte odolnost hardwaru proti neoprávněné manipulaci
• Poskytujte aktualizace/záplaty firmwaru
• Proveďte dynamické testování
• Specifikujte postupy pro ochranu dat při likvidaci zařízení
• Používejte silné ověřování
• Používejte silné šifrování a zabezpečené protokoly
• Minimalizujte šířku pásma zařízení
• Rozdělte sítě na segmenty
• Chraňte citlivé informace
• Podporujte etické hackerské útoky a odhalení zranitelnosti
• Vytvořte certifikační radu IoT Security and Privacy Certification Board
Dodavatelé/vývojáři produktů by měli zvážit níže uvedené kroky ke zlepšení zabezpečení internetu věcí:
• Zabezpečte webové/desktopové/mobilní aplikace pomocí správného ověření a autorizace.
• Pokud je to možné, implementujte a povolte ve výchozím nastavení dvoufaktorové ověřování, výrazně to zlepší zabezpečení zařízení IoT.
• Dodržujte metody bezpečného kódování a vždy provádějte ověření vstupu, abyste se vyhnuli zranitelnosti v oblasti skriptování mezi weby (XSS), vkládání SQL a přetečení vyrovnávací paměti (BoF). Další informace o těchto zranitelnostech získáte pomocí hypertextových odkazů.
• Vynucování účinných zásad hesel
• Používejte captcha, metody zásad uzamčení účtu, abyste se vyhnuli útokům hrubou silou.
• Dodavatelé by měli poskytovat aktualizace zabezpečení včetně podrobností o opravách zabezpečení, dopadu zranitelnosti a poskytovat jednoduché kroky k nasazení aktualizací zabezpečení.
• Je-li to možné, vždy používejte pro komunikaci šifrování.
• Zajistěte pravidelné zálohování (alespoň dvou nebo více dat) na bezpečném místě.
• Vyhněte se zveřejňování informací. tj. vyhněte se zveřejňování údajů zákazníka
• Při přidávání nových funkcí by se měli dodavatelé ujistit, že tím nevznikne bezpečnostní díra.
• Prodejci by měli myslet na snadnost použití vs. zabezpečení
• Aplikujte OWASP Top 10 IoT zranitelností, které by měly být řešeny během návrhu IoT.
Typy testů, které lze použít pro vývoj zařízení IoT:
• Statické testování zabezpečení aplikací (SAST)
• Dynamické testování zabezpečení aplikací (DAST)
• Interaktivní testování zabezpečení aplikací (IAST)
• Útok na povrch a vektory
• Knihovna třetí strany
• Fuzzing
• Přizpůsobeno podle vektoru hrozby
Forenzní výzvy IoT:
• Rámec vyšetřování
• Rozmanitost zařízení
• Omezení IoT
• Nedostatek standardizace
• Nesprávné nakládání s důkazy
•• Identifikace, shromažďování a uchovávání důkazů
•• Analýza a korelace důkazů
• Zabezpečení spotřebitelského řetězce
Útoky v IoT:
• Manipulace s uzlem / Kompromitovaný uzel
• Denial of Service (DoS)
• Distribuovaný DoS
• Spoofing zařízení
• Porušení soukromí
• Malware
• Útoky založené na aplikacích
• Muž uprostřed útočí
NIST:
• Příručka NIST 800-12NIST Úvod do počítačové bezpečnosti
• Bezpečnostní pokyny NIST 800-13 Telecomm pro Telecomm Mgmt. Síť
• Obecně uznávané zásady a postupy zabezpečení informací NIST 800-14
• NIST 800-18AUP / Pravidla chování
• NIST 800-30 Risk Management/Assessment
• NIST 800-34 pohotovostní plánování
• NIST 800-37 Rámec řízení rizik
• NIST 800-40 Vytvoření programu pro správu oprav a zranitelnosti
• NIST 800-41 Guidelines on Firewalls and Firewall Policy
• Směrnice NIST 800-44 o zabezpečení veřejných webových serverů
• NIST 800-45 Guidelines on Electronic Mail Security
• Průvodce zabezpečením NIST 800-47 pro propojení IT systémů
• Průvodce zabezpečením starších bezdrátových sítí IEEE 802.11 NIST 800-48
• NIST 800-50 Budování informačního a školícího programu o bezpečnosti IT
• NIST 800-53 Kontroly zabezpečení a soukromí pro federální informační systémy
• Zabezpečení protokolu Border Gateway NIST 800-54
• Bezpečnostní metriky NIST 800-55 IS
• Doporučení NIST 800-57 pro správu klíčů
• Průvodce NIST 800-60 pro mapování typů informací a informací
• Zpracování incidentů zabezpečení počítače NIST 800-61
• Elektronické ověřování NIST 800-63
• Bezpečnostní aspekty NIST 800-64 v SDLC
• Problémy s ochranou soukromí NIST 800-66Healthcare
• NIST 800-86 Průvodce integrací forenzních technik do IR
• NIST 800-82 Guide to Industrial Control Systems (ICS) Security
• NIST 800-83 Průvodce prevencí a řešením incidentů malwaru
• NIST 800-86 Průvodce integrací forenzních technik do reakce na incidenty
• Dezinfekce médií NIST 800-88
• NIST 800-94IDS/1PS
• Příručka NIST 800-100IS
• Testování a hodnocení zabezpečení NIST 800-115IS
• Pokyny NIST 800-119 pro bezpečné nasazení IPv6
• NIST 800-122Protect PII
• NIST 800-137 kontinuální monitorování zabezpečení informací (ISCM)
• NIST 800-145Cloud computing
ISO:
• Model ISO 7498:OSI
• ISO 27000: ISMS-Přehled a slovník
• ISO 27001: Požadavek ISMS
• ISO 27002: Kodex postupů
• ISO 27003: Implementace ISMS
• ISO 27004: Rámec měření a metrik
• ISO 27005: Řízení rizik
• ISO 27006: Požadavky certifikačního orgánu
• ISO 27007: ISMS-audit
• ISO 27008: Řízení bezpečnosti informací
• ISO 27011: Telekomunikační organizace se směrnicí ISMS
• ISO 27014: Řízení informační bezpečnosti
• ISO 27017: Používání cloudových služeb
• ISO 27018: Přehled ochrany soukromí v cloudu
• ISO 27031: Připravenost komunikačních technologií pro kontinuitu podnikání
• ISO 27032: Odolnost kybernetické bezpečnosti
• ISO 27034: Bezpečnostní aplikace
• ISO 27035: Správa bezpečnostních incidentů
• ISO 27037: Pokrývá identifikaci, shromažďování a uchovávání digitálních důkazů.
• ISO 27799: Směrnice o ochraně osobních zdravotních informací
• ISO 31000: Rámec řízení rizik
• ISO 22301: BCM – Kontinuita podnikání
• ISO 15408: Společná kritéria
• ISO 28000: Řízení dodavatelského řetězce
• ISO 42010: Popis architektury systémů a softwarového inženýrství
• ISO 14443: Standardizace čipových karet
IEEE:
• IEEE 802.11: Bezdrátové sítě LAN
• IEEE 802.15: Bezdrátové sítě PAN
• IEEE 802.16: Širokopásmové bezdrátové MAN
• IEEE 802.20: Mobilní širokopásmový bezdrátový přístup
Bezdrátové:
IEEE navrhla standardy 802.11 pro bezdrátovou komunikaci. V bezdrátovém síťovém hardwaru byly vyvinuty různé verze, včetně 802.11a 802.11b, 802.11g, 802.11n, 802.11ac, jak je popsáno v tabulce níže:
802.11 2 Mb/s 2,4 GHz
802.11a 54 Mb/s 5 GHz
802.11b 11 Mb/s 2,4 GHz
802.11g 54 Mb/s 2,4 GHz
802.11n 200+ Mb/s 2,4 GHz nebo 5 GHz
802.11ac 1 Gb/s 5 GHz
ISO 27002 zahrnuje:
• Zásady zabezpečení
• Organizace a zabezpečení informací
• Správa aktiv
• Zabezpečení lidských zdrojů
• Fyzická a environmentální bezpečnost
• Řízení komunikace a provozu
• Řízení přístupu
• Akvizice, vývoj a údržba informačních systémů
• Správa incidentů zabezpečení informací
• Řízení kontinuity podnikání
• Soulad
Důležité funkce FISMA:
• Pravidelné hodnocení rizik.
• Zásady a postupy založené na hodnocení.
• Kvalitativní model zabezpečení založený na hodnocení rizik.
• Podřízené plány pro zabezpečení informací pro sítě, zařízení a další subsystémy.
• Školení pro zaměstnance v oblasti povědomí o bezpečnosti.
• Pravidelné testování a hodnocení účinnosti zásad, postupů, praktik a kontrol v oblasti bezpečnosti informací alespoň jednou ročně.
• Proces řešení nedostatků v zásadách zabezpečení informací (POAM).
• Postupy pro detekci, hlášení a reakci na bezpečnostní incidenty.
• Postupy a plány pro zajištění kontinuity provozu informačních systémů, které podporují provoz a aktiva organizace.
Důležité funkce HIPAA:
• Standardy elektronických transakcí a sad kódů: Vyžaduje stejné transakce zdravotní péče, sady kódů a identifikátory.
• Pravidla ochrany soukromí: Poskytuje federální ochranu osobních zdravotních informací držených zahrnutými subjekty a dává pacientům řadu práv s ohledem na tyto informace.
• Bezpečnostní pravidlo: Specifikuje administrativní, fyzické a technické zabezpečení pro zahrnuté subjekty, které mají použít k zajištění důvěrnosti, integrity a dostupnosti elektronicky chráněných zdravotních informací.
• Požadavky na národní identifikátory: Vyžaduje, aby poskytovatelé zdravotní péče, zdravotní plány a zaměstnavatelé měli standardní národní čísla, která je identifikují při standardních transakcích.
• Pravidlo prosazování: Poskytuje standardy pro prosazování všech pravidel pro zjednodušení správy.
Důležité funkce HITECH:
• Rozšíření bezpečnostních standardů HIPAA na „obchodní partnery“, kteří provádějí činnosti zahrnující použití nebo zveřejnění individuálně identifikovatelných zdravotních informací.
• Zvýšení občanskoprávních trestů za "úmyslné zanedbání."
• Požadavky na oznámení o narušení dat pro neoprávněné použití a zveřejnění „nezabezpečených PHI“.
• Přísnější práva jednotlivců na přístup k elektronickým lékařským záznamům a omezení zveřejňování určitých informací.
• Nová omezení prodeje chráněných zdravotních informací a také marketingové a fundraisingové komunikace.
Funkce směrnice EU o ochraně osobních údajů:
• Upozornění: Subjekty údajů by měly být informovány o shromažďování jejich údajů.
• Účel: Data by měla být používána pouze k uvedenému účelu.
• Souhlas: Údaje by neměly být zveřejněny bez souhlasu subjektu.
• Zabezpečení: Shromážděná data by měla být chráněna před jakýmkoli potenciálním zneužitím.
• Zveřejnění: Subjekty údajů by měly být informovány o tom, kdo shromažďuje jejich údaje.
• Přístup: Subjektům údajů by mělo být umožněno přistupovat ke svým údajům a provádět opravy jakýchkoli nepřesných údajů.
• Odpovědnost: Subjekty údajů by měly mít dostupnou metodu, jak povolat sběratele údajů k odpovědnosti za dodržování těchto šesti výše uvedených zásad.
COBIT:
• Zásada 1: Uspokojení potřeb zainteresovaných stran
• Princip 2: Pokrytí Enterprise End to End
• Zásada 3: Použití jednotného integrovaného rámce
• Zásada 4: Umožnění holistického přístupu
• Zásada 5: Oddělení správy od vedení
Výhody ITIL:
• Zvýšená spokojenost uživatelů a zákazníků se službami IT.
• Vylepšená dostupnost služeb, která přímo vede ke zvýšeným obchodním ziskům a výnosům.
• Finanční úspory díky menšímu počtu předělávek, ztrátě času, lepší správě a využití zdrojů.
• Lepší doba uvedení nových produktů a služeb na trh.
• Lepší rozhodování a optimalizované riziko.
OECD:
Organizace pro hospodářskou spolupráci a rozvoj (OECD) navrhuje, aby zákony na ochranu soukromí zahrnovaly:
• Princip omezení inkasa
• Princip kvality dat
• Princip specifikace účelu
• Použijte princip omezení
• Princip zabezpečení
• Princip otevřenosti
Zabezpečení informací:
Klíčovým cílem informační bezpečnosti je snížit nepříznivé dopady na organizaci na přijatelnou úroveň. Následují některé další rámce pro správu zabezpečení & metodiky pro bezpečnostní profesionály, které zahrnují vývojové standardy, bezpečnostního architekta, bezpečnostní kontroly, metody řízení & proces řízení:
•ISO/IEC 17799:2005 Informační technologie – Bezpečnostní techniky – Pravidla pro řízení bezpečnosti informací
• Řada systémů řízení bezpečnosti informací ISO/IEC 27000
• ISO/IEC 27001 Správa zabezpečení informací
• Kodex ISO/IEC 27002 pro řízení bezpečnosti informací
• Common Criteria (CC) nebo ISO/IEC 15408
• Knihovna infrastruktury informačních technologií (ITIL)
• Zachmanův rámec
• TOGAF
• DoDAF
• MODAF
• COBIT
Struktura dokumentace TOGAF:
• ČÁST I: (Úvod) – Tato část poskytuje na vysoké úrovni úvod do klíčových konceptů podnikové architektury a zejména přístupu TOGAF. Obsahuje definice pojmů používaných v rámci TOGAF a poznámky k vydání podrobně popisující změny mezi touto verzí a předchozí verzí TOGAF.
• ČÁST II: (Metoda vývoje architektury) – Tato část je jádrem TOGAF. Popisuje TOGAF Architecture Development Method (ADM), postupný přístup k vývoji podnikové architektury.
• ČÁST III: (Pokyny a techniky ADM) – Tato část obsahuje sbírku pokynů a technik dostupných pro použití při aplikaci TOGAF a TOGAF ADM.
• ČÁST IV: (Architecture Content Framework) – Tato část popisuje obsahový rámec TOGAF, včetně strukturovaného metamodelu pro architektonické artefakty. Využití opakovaně použitelné architektury, stavebních bloků a přehledu typických architektonických výstupů.
• ČÁST V: (Enterprise Continuum & Tools) – Tato část pojednává o vhodných taxonomích a nástrojích pro kategorizaci a ukládání výstupů činnosti architektury v rámci podniku.
• ČÁST VI: (Referenční modely TOGAF) – Tato část poskytuje výběr architektonických referenčních modelů, které zahrnují architekturu nadace TOGAF a referenční model integrované informační infrastruktury (III-RM).
• ČÁST VII: (Architecture Capability Framework) – Tato část pojednává o organizaci, procesech, dovednostech, rolích a odpovědnostech, které jsou nutné k vytvoření a provozování funkce architektury v rámci podniku.
SABSA:
SABSA se skládá ze série integrovaných rámců, modelů, metod a procesů používaných nezávisle nebo jako holistické integrované podnikové řešení, včetně:
• Inženýrský rámec obchodních požadavků (známý jako profilování atributů)
• Rámec řízení rizik a příležitostí
• Policy Architecture Framework
• Architektura orientovaná na bezpečnostní služby
• Rámec řízení
• Security Domain Framework
• Správa celoživotních bezpečnostních služeb & Rámec řízení výkonnosti
GDPR definuje tři relevantní subjekty:
• Subjekt údajů Jednotlivec, kterého se údaje týkají
• Správce údajů Jakákoli organizace, která shromažďuje údaje o obyvatelích EU
• Zpracovatel dat Jakákoli organizace, která zpracovává data pro a
správce údajů
Sada GDPR chráněných typů osobních údajů:
• Jméno
• Adresa
• Identifikační čísla
• Webová data (poloha, IP adresa, soubory cookie)
• Zdravotní a genetické údaje
• Biometrické údaje
• Rasové nebo etnické údaje
• Politické názory
• Sexuální orientace
Klíčová ustanovení GDPR zahrnují:
• Souhlas Správci údajů a zpracovatelé údajů nemohou používat osobní údaje bez výslovného souhlasu subjektů údajů.
• Právo být informováni Správci údajů a zpracovatelé údajů musí informovat subjekty údajů o tom, jak jsou, budou nebo by mohly být použity jejich údaje.
• Právo na omezení zpracování Subjekty údajů mohou souhlasit s uložením jejich údajů sběratelem, ale zakázat jejich zpracování.
• Právo být zapomenut Subjekty údajů mohou požádat o trvalé vymazání jejich osobních údajů.
• Porušení ochrany údajů Správci údajů musí nahlásit porušení zabezpečení do 72 hodin od okamžiku, kdy se o něm dozvědí.
SNS:
Kritické ovládací prvky zabezpečení pro efektivní kybernetickou síť Centra pro internetovou bezpečnost (CIS).
Obrana (CSC) je doporučená sada akcí pro kybernetickou obranu, které poskytují konkrétní a použitelné způsoby, jak zastavit dnešní nejrozšířenější a nejnebezpečnější útoky.
• Základní ovládací prvky CIS
•• Inventarizace a kontrola hardwarových aktiv
•• Inventář a kontrola softwarových aktiv
•• Průběžná správa zranitelnosti
•• Řízené používání administrativních oprávnění
•• Zabezpečená konfigurace hardwaru a softwaru pro mobilní zařízení, notebooky, pracovní stanice a servery
•• Údržba, monitorování a analýza protokolů auditu
• Základní ovládací prvky CIS
•• Ochrana e-mailu a webového prohlížeče
•• Ochrana proti malwaru
•• Omezení a kontrola síťových portů, protokolů a služeb
•• Možnosti obnovy dat
•• Zabezpečená konfigurace pro síťová zařízení, jako jsou brány firewall, směrovače a přepínače
•• Obrana hranic
•• Ochrana dat
•• Řízený přístup na základě potřeby vědět
•• Řízení bezdrátového přístupu
•• Sledování a kontrola účtů
• Organizační ovládací prvky CIS
•• Implementujte program zvyšování povědomí o bezpečnosti a školení
•• Zabezpečení aplikačního softwaru
•• Reakce na incidenty a řízení
•• Penetrační testy a cvičení červeného týmu
Odkazy a reference
Oficiální (ISC)2 průvodce po CISSP CBK, čtvrté vydání ((ISC)2 Press)
CISSP (ISC)2 Certified Information Systems Security Professional Oficiální studijní příručka 7. vydání
Oficiální cvičné testy CISSP (ISC)2
Příručka ke zkouškám CISSP All-in-One, sedmé vydání
Oficiální (ISC)2 průvodce CCSP CBK
(ISC)2prezentace isc2.org
CISM CRM – ISACA isaca.com
Cloud Secure Alliance (CSA)
Sybextestbanks.wiley.com
Cccure.org (CCCURE)
Komunita Isc2.org
Issa.org (ISSA)
Cloudsecurityalliance.org
Publikace NIST
Cyber Security First Responder CFR – Logické operace
Dokumentace SANS
CCSP Certified Cloud Security Professional, Prezentace – Kelly Handerhan
CISSP Certified Information Systems Security Professional,
Kelly Handerhan
IBM Cloud Services ibm.com
Nezařazeno do kategorie
https://safecode.org/publications/
https://adam.shostack.org/blog/category/threat-modeling/
https://www.merlot.org/merlot/InformationTechnology.htm
(IJACSA) International Journal of Advanced Computer Science and Applications
http://www.diocc.com/artificial-intelligence-training.html
DOPORUČENÉ POSTUPY ZABEZPEČENÍ INTERNETU VĚCÍ (IOT) květen 2017
Hacking Internet of Things (IoT) Případová studie o zranitelnosti DTH
ČSA zavádí osvědčené postupy pro zmírnění rizik ve virtualizovaných prostředích
PROBLÉMY TÝKAJÍCÍ SE BEZPEČNOSTNÍCH PRINCIPŮ V CLOUD COMPUTINGU
Zajištění propojeného světa na budoucnost: 13 kroků k vývoji bezpečných produktů IoT (pracovní skupina IoT | Zajištění propojeného světa na budoucnost)
ZHOU, Jun a kol. Zabezpečení a soukromí pro cloudový IoT: výzvy. IEEE komunikace
https://www.researchgate.net/publication/316867894
http://www.pentest-standard.org
https://www.experts-exchange.com/articles/32132/Better-Security-in-the-Cloud.html
https://www.experts-exchange.com/articles/33288/Secure-SDLC-Principles-and-Practices.html
https://www.experts-exchange.com/articles/31793/Vulnerability-Assessments-versus-Penetration-Tests.html
https://www.experts-exchange.com/articles/31763/Incident-Handling-and-Response-Plan.html
https://www.experts-exchange.com/articles/32551/BYOD-and-Secure-Mobile-Computing.html
https://www.experts-exchange.com/articles/31744/Cloud-Security-Threats-Risks-and-Concerns.html
https://www.experts-exchange.com/articles/33009/Disaster-Recovery-Solution-Design.html
https://www.experts-exchange.com/articles/32316/What-Gives-SIEM-a-Good-Name.html
https://www.experts-exchange.com/articles/33330/Threat-Modeling-Process-Basics-and-Purpose.html
https://www.experts-exchange.com/articles/33356/Internet-of-Things-Guidelines-to-prevent-common-IoT-security-risks.html
https://www.isc2.org/Certifications/References
https://www.studynotesandtheory.com/
https://www.facebook.com/groups/InformationAudit/
https://www.facebook.com/groups/1525346961013038/
https://www.facebook.com/groups/ThorTeaches/
https://www.cybrary.it/
https://github.com/DoGByTe-ZN/infosec-resources4all/https://thorteaches.com/
https://thorteaches.com/cissp-process-guide-fadi-sodah-madunix/
https://www.linkedin.com/groups/8592316
Blog Fortinet: https://blog.fortinet.com
Nahé zabezpečení: https://nakedsecurity.sophos.com
Blog Securosis: https://securosis.com/blog
Uncommon Sense Security: https://blog.uncommonsensecurity.com
Schneier on Security: https://www.schneier.com
Krebs o zabezpečení: https://krebsonsecurity.com
StackOverflow: https://stackoverflow.com/questions/tagged/security
Bulletiny zabezpečení společnosti Microsoft: https://technet.microsoft.com/en-us/security/bulletins.aspx
Aktualizace zabezpečení Apple: https://support.apple.com/en-us/HT201222
Bulletiny zabezpečení systému Android: https://source.android.com/security/bulletin/
Oznámení o zabezpečení Ubuntu: https://www.ubuntu.com/usn/
Nejnovější bulletiny Amazon Web Services: https://aws.amazon.com/security/securitybulletins/
Blog aktualizací jQuery: https://blog.jquery.com/
MyAppSecurity ThreatModeler (komerční aplikace) http://threatmodeler.com/
Microsoft Threat Modeling Tool 2016 (bezplatná aplikace) https://www.microsoft.com/en-us/download/details.aspx?id=49168
SeaSponge (bezplatná webová aplikace) http://mozilla.github.io/seasponge/#/
Trike (bezplatná šablona tabulky) http://octotrike.org/