1 / 119

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 10 -20 11 Εξάμηνο: Η’

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 10 -20 11 Εξάμηνο: Η’. Ασφάλεια Π.Σ. Ενότητα Α: Εισαγωγικές Έννοιες. http://di.ionio.gr/~emagos/security/lectures.html. Εμμανουήλ Μάγκος. Syllabus. Λίγα λόγια για το μάθημα Η έννοια της Ασφάλειας

balin
Download Presentation

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 20 10 -20 11 Εξάμηνο: Η’

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Ιόνιο ΠανεπιστήμιοΤμήμα ΠληροφορικήςΑκαδημαϊκό Έτος 2010-2011Εξάμηνο: Η’ Ασφάλεια Π.Σ. Ενότητα Α: Εισαγωγικές Έννοιες http://di.ionio.gr/~emagos/security/lectures.html Εμμανουήλ Μάγκος

  2. Syllabus • Λίγα λόγια για το μάθημα • Η έννοια της Ασφάλειας • Γιατί η Ασφάλεια είναι τόσο σημαντική σήμερα • Απειλές-Ευπάθειες-Κίνδυνοι-Μηχανισμοί προστασίας • Το γνωστικό αντικείμενο

  3. Α. Προκαταρκτικά Μαθήματος • Σελίδα μαθήματος: http://e-class.ionio.gr/courses/DCS169/ … Ο χώρος επικοινωνίας μας

  4. Β. Ασφάλεια – Ορισμοί Security: (Oxford Dictionary) Freedom from danger or anxiety Ασφάλεια: (Μπαμπινιώτης) Η κατάσταση στην οποία … αισθάνεται κανείς ότι δεν απειλείται. Η αποτροπή κινδύνου ή απειλής…

  5. Ασφάλεια – Ορισμοί Ασφάλεια (Security) & Ασφάλεια (Safety) Security: Προστασία έναντι εχθρού Safety: Προστασία έναντι σφαλμάτων, λαθών, ατυχημάτων, παραλείψεων Η “ασφάλεια” στα ελληνικά: Ένα σημαίνον για δύο σημαινόμενα

  6. Ένας Ορισμός… Το γνωστικό αντικείμενο που ασχολείται με: Την πρόληψη, ανίχνευση και αντιμετώπιση μη εξουσιοδοτημένων πράξεων, οι οποίες γίνονται από χρήστες υπολογιστικών συστημάτων Forester and Morrison (1994) defined a computer crime as: a criminal act in which a computer is used as the principal tool.

  7. C. Μα, γιατί μιλάμε για την ασφάλεια; • Κακόβουλο λογισμικό (botnets, trojans),…. • Παράνομη εισβολή σε συστήματα, (Hacking,…), • Μη εξουσιοδοτημένη πρόσβαση σε πληροφορία (read, write) • Επιθέσεις Άρνησης Εξυπηρέτησης (DOS). • Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading), Κλοπή Ταυτότητας (Identity Theft) • Υποκλοπές Επικοινωνιών, Πρόσβαση σε προσωπικά δεδομένα • Μη ζητηθείσα επικοινωνία (spam), «Ηλ. Ψάρεμα» (Phishing) • Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας • …

  8. Spoofing / Masquerading

  9. Phishing

  10. Phishing -Kοινωνική μηχανική (social engineering)

  11. Μα, γιατί μιλάμε για την ασφάλεια; Cisco 2010 Annual Sec. Report

  12. Facebook clickjacking Quarterly Report, Panda Labs, April-June 2010

  13. Tabnapping

  14. Cisco2010 Annual Sec. Report

  15. Quarterly Report, Panda Labs, April-June 2010

  16. Video time

  17. Cisco2010 Annual Sec. Report

  18. D. Τι σημαίνει «Ασφαλές Σύστημα»; http://www.ptatechnologies.com/PTA3.htm

  19. Τι σημαίνει «Ασφαλές Σύστημα»; Δρ. Π. Κοτζανικολάου, «Τεχνολογία και Πολιτικές Ασφάλειας», Πανεπιστήμιο Πειραιώς, 2009

  20. Αγαθό (Asset) Κάθε αντικείμενο ή πόρος το οποίο αξίζει να προστατευθεί. Φυσικά Αγαθά (Physical Assets): Κτίρια, Υπολογιστές, Δικτυακή Υποδομή, Έπιπλα, κτλ Αγαθά Δεδομένων (Data Assets): Αρχεία (ηλεκτρονικά, έντυπα) ΑγαθάΛογισμικού (Software Assets): Λογισμικό Εφαρμογών, Λειτουργικά Συστήματα, κτλ Βασικοί όροι στην Ασφάλεια

  21. Φόρμα Καταγραφής Αγαθών

  22. Φόρμα Εκτίμησης Άμεσης Αξίας Φυσικών και Λογισμικών Αγαθών

  23. Συνέπεια (Impact) Η απώλεια που θα προκληθεί από την προσβολή ενός αγαθού Άμεσες Συνέπειες – π.χ. Kόστος επαναγοράς και διαμόρφωσης Έμμεσες Συνέπειες – π.χ. Πρόκληση δυσφήμησης Νομικές συνέπειες Απώλειες από διακοπή ή παρεμπόδιση λειτουργιών Βασικοί όροι στην Ασφάλεια

  24. Φόρμα Εκτίμησης Συνεπειών

  25. Απειλή (Threat) Οποιοδήποτε γεγονός το οποίο προκαλεί αρνητικές συνέπειες (impact) σε κάποιο αγαθό Φυσικές Απειλές: Φωτιά, Σεισμός, Πλημμύρα,… Ανθρώπινες Εσκεμμένες: Κλοπή, Βανδαλισμός, Αλλοίωση, Αποκάλυψη Πληροφορίας Ανθρώπινες Τυχαίες: Κακή χρήση πόρου, πρόκληση ζημιάς, τυχαία αποκάλυψη πληροφορίας κτλ Βασικοί όροι στην Ασφάλεια

  26. Απειλές στην Ασφάλεια – 1η Θεώρηση • Παθητικές επιθέσεις: τις κάνει η Eve (eavesdrop) • Packet sniffing • Traffic analysis • Αλλά και: Password cracking / breaking a crypto key • … • Ενεργητικές επιθέσεις: τις κάνει ο Mallory • Πλαστοπροσωπία: Masquerading, Spoofing, MIM • Επιθέσεις επανάληψης (replay) • Επιθέσεις άρνησης εξυπηρέτησης (Denial Of Service – DOS) • Επιθέσεις Τροποποίησης (modification) • …

  27. Υποκλοπή (Interception) Διακοπή (Interruption) Αλλοίωση (Modification) Εισαγωγή (Fabrication) Απειλές στην Ασφάλεια–2η Θεώρηση

  28. Υποκλοπή (Interception) Μία μη εξουσιοδοτημένη οντότητα αποκτά πρόσβαση σε αγαθό Παραδείγματα Packet sniffing Traffic analysis Shoulder surfing … Απειλές στην Ασφάλεια – 2η Θεώρηση

  29. Διακοπή (Interruption) Ένα αγαθό/υπηρεσία καταστρέφεται, γίνεται μη διαθέσιμο, ή άχρηστο Παραδείγματα Διαγραφή δεδομένων/προγραμμάτων Καταστροφή υλικού Διακοπή επικοινωνίας … Απειλές στην Ασφάλεια – 2η Θεώρηση

  30. Αλλοίωση (Modification) Μία μη εξουσιοδοτημένη οντότητααλλοιώνει-τροποποιεί ένα αγαθό Παραδείγματα: Τροποποίηση δεδομένων σε αρχείο, Τροποποίηση εγγραφών σε μια ΒΔ Τροποποίηση μηνυμάτων που μεταδίδονται Αλλοίωση του κώδικα προγράμματος Αλλαγή δεδομένων συναλλαγής Απειλές στην Ασφάλεια – 2η Θεώρηση

  31. Εισαγωγή (Fabrication) Ένα (μη αυθεντικό) αντικείμενο εισέρχεται στο σύστημα Παραδείγματα Εισαγωγή πλαστών μηνυμάτων σε επικοινωνία/συναλλαγή Εισαγωγή πλαστών εγγραφών σε ΒΔ Αλλά και: Phishing, Spoofing, Man-in-the-Middleattacks Απειλές στην Ασφάλεια – 2η Θεώρηση

  32. Απειλές στην Ασφάλεια – 3η Θεώρηση • Ένας άλλος τρόπος να θεωρήσουμε τις απειλές είναι ως προς την παραβίαση μιας εκ των «πασίγνωστων» στόχων ασφάλειας: • Απειλές κατά της Εμπιστευτικότητα • π.χ. Interception attacks • Απειλές κατά της Ακεραιότητας • π.χ. Modification & Fabrication attacks • Απειλές κατά της Διαθεσιμότητας • π.χ. Interruption attacks

  33. Απειλές στην Ασφάλεια – 4η Θεώρηση Εξωτερικές Απειλές: Χρήστες εκτός Επιχείρησης / Οργανισμού Outsiders: Hackers / Crackers / Vandals / Hacktivists Outsiders: Κοινωνικοί Μηχανικοί (Social Engineers) Εσωτερικές Απειλές: - Χρήστες εντός Επιχείρησης/Οργανισμού Insiders: Παράκαμψη ελέγχου πρόσβασης «εκ των έσω» π.χ. Δυσαρεστημένοι υπάλληλοι, λάθη & απροσεξίες

  34. Απειλές στην Ασφάλεια – 5η Θεώρηση ΤυχαίεςήΕσκεμμένες Φυσικές π.χ. φωτιά Διακοπή ρεύματος; Ανθρώπινες e.g. Λάθη χρήστη, hackers, Ιοί. Εξοπλισμός π.χ. CPU, Δίκτυο, Σκληρός δίσκος, - Σφάλμα εφαρμογής, - Buffer overflow attacks

  35. Ενδεικτικός Πίνακας Απειλών Παράδειγμα

  36. Ευπάθειες (Vulnerabilities) Ευπάθεια ή Αδυναμία (Vulnerability) Οποιαδήποτε χαρακτηριστικά κάνουν ευάλωτο ένα αγαθό σε κάποια απειλή, δηλαδή αυξάνουν την πιθανότητα εκδήλωσης της απειλής Π.χ: εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται, το αρχείο έχει μεγάλη αδυναμία στην απειλή της κλοπής Οτιδήποτε μεγιστοποιεί τις συνέπειες από την εκδήλωση μίας απειλής Π.χ: εάν δεν υπάρχει σύστημα αυτόματης πυρόσβεσης σε ένα χώρο, η συνέπειες από μία πιθανή πυρκαγιά θα είναι πολύ μεγάλες

  37. Φόρμα αντιστοίχησης Απειλών και Αδυναμιών σε Αγαθά Παράδειγμα

  38. http://csrc.nist.gov/publications/nistpubs/800-12/800-12-html/images/figure5.jpghttp://csrc.nist.gov/publications/nistpubs/800-12/800-12-html/images/figure5.jpg

  39. Χαρακτηρισμός Επιπέδων Απειλής και Αδυναμίας Παράδειγμα

  40. Φόρμα Εκτίμησης Επιπέδων Απειλών και Αδυναμιών σε Αγαθά Παράδειγμα

  41. Ανάλυση Κινδύνου (Risk Analysis) Risk = Threat x Vulnerability x Impact (Asset value)

  42. Ανάλυση & Διαχείριση Πληροφοριακού Κινδύνου Ανάλυση Κινδύνου (Risk Analysis) Διαδικασία εντοπισμού των ευάλωτων σημείωνενός Π.Σ. και προσδιορισμού των επιμέρους κινδύνων οι οποίοι σε περίπτωση εκδήλωσης θα είχαν αρνητικές συνέπειες για τον υπό μελέτη οργανισμό. Διαχείριση Κινδύνου (Risk Management) Η διαδικασία αντιμετώπισης των κινδύνων που έχουν εντοπιστεί στην προηγούμενη φάση με την κατάλληλη μέθοδο, με βάση τις αποφάσεις της Διοίκησης ενός οργανισμού. 44

  43. Ανάλυση Κινδύνου • Παράδειγμα πίνακα εκτίμησης κινδύνου

  44. Πίνακας Υπολογισμού Επιπέδου Κινδύνου

  45. Πίνακας Επεξήγησης Κωδικών Παράδειγμα

  46. Διαχείριση Κινδύνου

  47. Μια θεώρηση από τη σκοπιά των Οικονομικών της Ασφάλειας (Security Economics) Στόχος της ασφάλειας (Infosec goal) Ο σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού: επιθυμητή ισορροπία μεταξύ του κόστους και της συνέπειας από την επίθεση σε αγαθά Κόστος Μηχανισμών Ασφάλειας << Κόστος Αγαθών Κόστος Επίθεσης >> Ενδεχόμενο Όφελος

  48. Πίνακας Σύνοψης Επιπέδου Κινδύνων Παράδειγμα

More Related