Download
osnove bezbednosti i za tite is n.
Skip this Video
Loading SlideShow in 5 Seconds..
OSNOVE BEZBEDNOSTI I ZAŠTITE IS PowerPoint Presentation
Download Presentation
OSNOVE BEZBEDNOSTI I ZAŠTITE IS

OSNOVE BEZBEDNOSTI I ZAŠTITE IS

284 Views Download Presentation
Download Presentation

OSNOVE BEZBEDNOSTI I ZAŠTITE IS

- - - - - - - - - - - - - - - - - - - - - - - - - - - E N D - - - - - - - - - - - - - - - - - - - - - - - - - - -
Presentation Transcript

  1. OSNOVE BEZBEDNOSTI I ZAŠTITE IS Metodološko tehnološke osnove Tema 7: SERVISI I MEHANIZMI ZAŠTITE -Tehnologije zaštite računarskog sistema- UNIVERZITET SINGIDUNUM - FPI

  2. CILJEVI Razumeti: • značenje termina servis zaštite • prirodu različitih podela servisa zaštite • koncept opšteg, sveobuhvatnog modela servisa zaštite • servise zaštite u distribuiranom IKT sistemu • proces implementacije servisa zaštite • servise poverljivog provajdera zaštite (TTPS) • značaj tehnologije zaštite RS i RM • opštu podelu alata (mehanizama i protokola) za zaštitu RS i RM • osnovne alate za zaštitu RS • koncept višeslojne zaštite UNIVERZITET SINGIDUNUM - FPI

  3. TERMINI • Servisi zaštite (primarni i sekundarni) • Sistemi za detekciju i sprečavanje upada u RS (HIDPS) • Host-orijentisani alati • Kriptografski mehanizam • Mehanizmi zaštite NOSSS • Skeneri sadržaja • Skeneri zaštite RS UNIVERZITET SINGIDUNUM - FPI

  4. SERVISI ZAŠTITE • Primarni: upravljački, operativni, tehnički • Sekundarni za: podršku, oporavak • Tehnički orijentisan model servisa zaštite: • Kriterijum: primarna funkcionalna namena • Kontekst: međuzavisnosti primarnih i sekundarnih servisa • Klasifikacija u servise za: • podršku (proaktivnu) • sprečavanje (proaktivno) • oporavak (reaktivan) UNIVERZITET SINGIDUNUM - FPI

  5. Bezbednosna misija Bezbednosna misija sistema zaštite: • raspoloživst podataka i informacija (RS ili funkcija RS, aplikacija, servisa…), • integritet podataka i informacija (RS…) • poverljivost podataka, informacija (RS…) • Uključujući: • odgovornost do individualnog nivoa • garantovanu bezbednost(securityassurance) UNIVERZITET SINGIDUNUM - FPI

  6. Bezbednosni ciljevi- primarni- • Zaštita raspoloživosti p/i: • tehničkai funkcionalna • od namernog/slučajnog neovlašćenog korišćenja p/i, resursa IS i odbijanja servisa (DoS/DDoS) • Zaštita integriteta p/i: • sadržaja p/i,konfiguracije, sesije, konekcije • Zaštita poverljivosti p/i: • uskladištenih, procesiranih i prenošenih UNIVERZITET SINGIDUNUM - FPI

  7. Bezbednosni ciljevi-sekundarni- (4). Utvrđivanje odgovornosti (prava i obaveza): • korisnika-od glavnog menadžera do individualnog nivoa • Princip: zahteva se u politici zaštite • Uključuje: neporecivost, odvraćanje, izolaciju grešaka, detekciju, sprečavanje upada, oporavak, normativni okvir (5). Garantovana bezbednost (assurance): • osnova za sticanje poverenja da U/O/T k/z korektno rade • bitan je bezbednosni cilj, • neprekidan je proces (ciklično se obnavlja), • obezbeđena realizacijom bezbednosnih ciljevaa (1-4), kroz: • korektnu implementacija k/z • dovoljan nivo zaštite od slučajnih grešaka (korisnika ili hw/sw) • dovoljnu otpornost s/z na namerni proboj ili zaobilaženje UNIVERZITET SINGIDUNUM - FPI

  8. Međuzavisnost bezbednosnih ciljeva UNIVERZITET SINGIDUNUM - FPI

  9. Opšti tehnički model servisa zaštite UNIVERZITET SINGIDUNUM - FPI

  10. Servisi zaštite u distribuiranom IS • fizički i logički distribuirani (domen zaštite, RM) • svi servisi konačno zavise od mehanizama OS • garantovana bezbednost (pouzdanost) s/z je ključni elemenat bezbednosti IS • pouzdanost s/z obuhvata sve kapacitete zaštite • upravljanje sistemom je drugi važan aspekat efikasnih mera zaštite UNIVERZITET SINGIDUNUM - FPI

  11. Distribuirani servisi zaštite UNIVERZITET SINGIDUNUM - FPI

  12. Garantovana bezbednost • poverenje da su ispunjeni svi ciljevi zaštite • direktno zavisi od arhitektureIKT sistema i kontrola zaštite • razvijene su tehnologije za merenje bezbednosnih nivoa (SSE CMM) • Garantovana bezbednost se može povećati sa: • primenom manje kompleksnih tehničkih rešenja, • korišćenjem poverljivih/pouzdanih komponenti IS/SZ • modularnim projektovanjem sistema (ograničava uticaj proboja i ranjivosti) • implementacijom IDS/IPS komponenti • implementacijom komponenti za oporavak sistema • integracijom tehnologije adekvatne okruženju UNIVERZITET SINGIDUNUM - FPI

  13. NOSSS servisi zaštite • Servisi zaštite OS • Svaki s/z u krajnjem zavisi od NOSSS (Native OS Security Subsystem) • Ako su ovi servisi slabi, s/z IS može se zaobići/probiti • Bezbednost IS ne može biti veća od bezbednosti nosećeg OS • Neki servisi ostaju na posebnom logičkom nivou OS • Neki distribuirani servisi su implementirani kroz distribuirane mehanizme na nekoliko nivoa (nižem, srednjem, aplikativnom nivou) Primer: • identifikacija i autentifikacija • korisnički interfejs (na aplikativnom nivou, prezent., sesijskom, mrežnom) UNIVERZITET SINGIDUNUM - FPI

  14. Servisi zaštite u domenu zaštite (D/Z) • Koncept domena zaštite: • osnova i okruženje zaštite IS na bazi zajedničke politike zaštite • skup aktivnih entiteta (lica, procesa, uređaja), njihovih informacionih objekata • obezbeđuje restrikciju toka i/p i procesa unutar i između D/Z • demilitarizovana zona (DMZ) deli domene zaštite (Primeri) UNIVERZITET SINGIDUNUM - FPI

  15. UNIVERZITET SINGIDUNUM - FPI

  16. Domeni zaštite (D/Z) • Podela: logički i fizički • Podela IS sistema u D/Z analogna fizičkoj zaštiti: • ograda oko zgrade = različiti tipovi logičkih barijera (firewalls) • kapija = gateways • fizičko obezbeđenje = tehnički i proceduralni servisi zaštite (AC, IAA) • D/Zsedefinišu pomoću jednog/više kriterijuma: • fizički (n.p.r. zgrade, kamp, region, i.t.d.) • poslovni procesi (tj. personal, finansije, i.t.d.) • mehanizmi zaštite (tj. na nivou OS, na nivou RM i.t.d.) • Ključni elementi: • fleksibilnost • projektovana i implementirana zaštita • međusobne relacije domena • Bezbednosni efekat deljenja IS u D/Z (gataways): • ograničava oštećenja u slučaju proboja sistema zaštite UNIVERZITET SINGIDUNUM - FPI

  17. RAZVOJ I IMPLEMENTACIJA SERVISA ZAŠTITE • Vrše organizacije ili poverljivi provajder zaštite • U skladu sa GAISP i najboljom praksom zaštite • Za celokupni životni ciklus sistema zaštite • Projektovanje servisa zaštite kroz 6 faza: • Faza 1: Inicijacija (priprema) • Faza 2: Procena • Faza 3: Rešavanje (dizajniranje ili projektovanje) • Faza 4: Implementacija • Faza 5: Operativni rad • Faza 6: Odlaganje UNIVERZITET SINGIDUNUM - FPI

  18. KLASIFIKACIJA ALATA ZA ZAŠTITU UNIVERZITET SINGIDUNUM - FPI

  19. KLASIFIKACIJA ALATA ZA ZAŠTITU RS/RM • Servisno orijentisana, za: • kontrolu pristupa RS/RM • identifikaciju, autentifikaciju i autorizaciju u RS/RM • monitoring sistema zaštite RS/RM • zaštitu integriteta RS/RM • zaštitu poverljivosti, integriteta i raspoloživosti p/i UNIVERZITET SINGIDUNUM - FPI

  20. MEHANIZMI ZAŠTITE RS-HOST ORIJENTISANI- • Bezbednosni, apstraktni slojevi RS: • Koncept slojevite zaštita • OS najznačajniji apstraktni sloj • NOSSS određuje najviši nivo zaštite IS UNIVERZITET SINGIDUNUM - FPI

  21. Generički servis kontrole pristupa (AC) UNIVERZITET SINGIDUNUM - FPI

  22. Servis i mehanizmi za upravljanje pristupom • Servis logičke kontrole pristupa (AC): • obavezna (MAC- Mandatory Access Control) • diskreciona (DAC- Descretionary Access Control) • na osnovu uloga (RBAC- Role Based AC) • MAC i RBAC- na osnovu utvrđenih pravila • DAC -vlasnik sistema upravlja AC svojom odlukom 2. Mainframe mehanizmi za logičku AC: • Identifikacija: predstavljanje identiteta korisnika sistemu (korisničko ime) • Autentifikacija: verifikacija identiteta korisnika (lozinka, PIN, biometrika…) • Autorizacija: upravljanje pravima pristupa legalnih korisnika (R,W,M..) • Log in: obezbeđuje generisanje kontrolnih tragova UNIVERZITET SINGIDUNUM - FPI

  23. Mehanizmi za upravljanje pristupom (2) • Sw mehanizmi za logučku AC mainfraim RS nalazi se u većini NOSSSsavremenih RS • Razvijena su univerzalna rešenja za kontrolu pristupa RS u LAN RM Primer: EUA - Enterprise User Administration: • interaktivno rade sa postojećim NOSSS • centralizuju upravljanje sa AC u distribuiranom okruženju Proizvod:ESM (Enterprise Security Mnagement), korisi ga Informatika AD, Beograd UNIVERZITET SINGIDUNUM - FPI

  24. Mehanizmi za upravljanje pristupom (3) 3. EUA softverski mehanizmi: • upravljanje sa pravima pristupa u velikom broju OS, b/p i aplikacija sa sopstvenim modelom zaštite • obezbeđuju centralnu administraciju prava pristupa svim slojevima sw na različitim platformama • ne implementiraju direktno sam AC mehanizam u OS • Nedostaci su EUA: • težak pregled ACpodataka iz više platformi • potreba upravljanja promenama na kontrolnim nalozima • ograničeno kretanje administratora • neefikasan tok procesa autorizacije sa niskim nivoom automatizacije UNIVERZITET SINGIDUNUM - FPI

  25. Skener zaštite RS (SZRS) • SZRSkontrolišu integritet RS: • Periodično monitoriše stvarnu konfiguraciju platforme, poredi sa predefinisanom, a neki automatski koriguju • Mogu raditi na svim apstrakcionim nivoima (retki su na aplikativnom) • Glavna upotreba - skeneri ranjivosti OS (manjih IS) • Ranjivost RS: greške hw, greške sw, greške u konfiguraciji • Skeneri zaštite za osiguranje bezbednog okruženja (sr. i veći IS) • Ocena efektivnost SZRS meri se kroz redukciju rizika: • Dovođenjem osnovne konfiguracije S/Z na željeni nivo rizika • Efikasnom/efektivnom korekcijom ranjivosti S/Z (kontrolama zaštite) UNIVERZITET SINGIDUNUM - FPI

  26. Skener ranjivosti u IKTS srednje veličine UNIVERZITET SINGIDUNUM - FPI

  27. Antivirusni programi (AVP) - Koncept - • ispituje otkriveni maliciozni program (M/P) • identifikuje osobene strukture kôda (potpis,definiciju, heš, DS) • detektuje prisustvo poznatih M/P skeniranjem OS, b/p i aplikacije, tražeći potpise M/P uskladištenih u bazi podataka definicija • kada otkrije M/P sa poznatom definicijom aktivira se set instrukcija za uklanjanje (izolaciju) te definicije • teže je kad se koristi Kz za skrivanje potpisaM/P • savremeni AVP su dizajnirani za aplikativni sloj OS: • mogu skenirati veliki obim objekata, • poseduju napredne tehnike (dešifrovanje, uklanjanje u karantin) UNIVERZITET SINGIDUNUM - FPI

  28. Skeneri sadržaja (SS) • komplementarni su AVP • evaluiraju sadržaje (poruka e-pošte ili preuzete sa Interneta) u odnosu na predefinisane politike zaštite • izvršavaju akcije ako ne ispunjava zahteve politika zaštite • obično ispituju pakete u prenosu između dva sistema • rade na aplikativnom nivou UNIVERZITET SINGIDUNUM - FPI

  29. Skeneri sadržaja (SS)-1 • SS su potencijalno moćniji od AVP detekcije: • slede pravila na bazi različitih kriterijuma • nisu ograničeni na statička svojstava M/P a. Jednostavni skeneri sadržaja e-pošte: • vrše leksičku analizu i odlažu u karantin poruke sa predefinisanim rečima ili frazama b. Sofisticirani skener sadržaja: • rade u realnom vremenu • otkrivaju prisustvo mobilnih kodova (Java, JavaSkript i ActiveX) UNIVERZITET SINGIDUNUM - FPI

  30. Skeneri sadržaja (SS)-2 Većina SS obezbeđuje: • više načina reagovanja na povredu politike zaštite • administratoru da konfiguriše akcije na bazi pravila • odlaganje u karantin ili brisanje dodataka e-pošte • odbacivanje poruka u junk direktorijum • blokiranje preuzetih sadržaj mobilnih kodova • prenos sumnjivih sadržaja TTPS provajderu na analizu • logovanje i slanje alarma korisniku UNIVERZITET SINGIDUNUM - FPI

  31. Web filteri Namena za: • Prepoznavanje i odgovor na sadržaj • Filteri e-pošte imaju ugrađene AVP • AVP počinju ugrađivati funkcionalnosti SS • Dva mehanizma zaštite (AVP i SS) konvergiraju u jedinstven mehanizam zaštite UNIVERZITET SINGIDUNUM - FPI

  32. Skeneri sadržaja i e-mail filteri • Detektuju potencijalne povrede sistema zaštite analizom: • preuzetih mobilnih kodova i e-mail poruka • Izvršavju akcije odgovora na pretnje • Iste tehnike za zaštitu integriteta OS i podataka • Mogu detektovati ugrađene slike i interpretirati tekst i smestiti ih u karantin za dalju analizu UNIVERZITET SINGIDUNUM - FPI

  33. Monitoring zaštite RS - IDPS (Intrusion Detection&Protction Systems) • Sistemi za detekciju i sprečavanje upada u RS - HIDPS(Host IDPS) i RM - NIDPS (Network IDPS): • prepoznaju indikacije pokušaja upada • upozoravaju korisnika ili koriguju akcije (IPS) • analiziraju podatke o upadu • razlikuju se po načini rada i tipu informacija koje procesiraju • obično dizajnirani za određene OS • koriste različite mehanizme za detekciju upada na bazi : • potpisa, anomalija i pseudorelacione analize kontrolnih tragova • kombinaciju mehanizme potpisa i detekcije anomalija • vrše proveru integriteta datoteka (heš vrednosti) UNIVERZITET SINGIDUNUM - FPI

  34. Monitoring zaštite RS-IDPS (1) • Detektori upada u RS (IDS): • brzo ažuriraju definicije napada • vrše direktnu intercepciju i interpretaciju pristupa • generalno-imaju dobre sisteme izveštavanja • glavna ranjivost - mogućnost proboja u log datoteku • Sistemi za sprečavanje upada u RS – IPS: • pored funkcija IDS omogućava inteligentne zamke za napadača (tipa ćupa meda-honey pot) i korektivnu akciju • skreću pažnju i izučavaju osobenosti napadača • preventivno štite od sledećeg napada Primer: IPS koncept – COBRADOR, ISS UNIVERZITET SINGIDUNUM - FPI

  35. IPS koncept UNIVERZITET SINGIDUNUM - FPI

  36. Mehanizmi za upravljanje log datotekama • Obezbeđuju: • selektivan pristup log dat. kontrolnih tragova bezbednosno relevantnih događaja • zaštitu svim slojevima sw u RS, filtriranjem podataka na osnovu pravila • skupljanje i kombinovanje login informacija sa različitih platformi • administratoru da prati napade ili indikacije Primeri: Splunk 4.0, Zenoss itd. UNIVERZITET SINGIDUNUM - FPI

  37. Mehanizmi za upravljanje log datotekama (1) • Problemi korišćenja log datoteka: • veliki obim podataka za analizu • zahtev za jasna pravila za proaktivnu i reaktivnu analizu • praćenje sumnjive aktivnosti koje se šire kroz mrežu • Nedostaci filtracije log podataka: • mogu se odstraniti važne informacije • teško prepoznavanje podataka istog tipa na različitim platf. • označavanje tragova za proaktivnu ili reaktivnu analizu • sinhronizacija časovnika za konsolidaciju hronologije napada • usmeravanje alata za analizu logova web lokacija na b. događaje umesto - posete klijenata UNIVERZITET SINGIDUNUM - FPI

  38. Kriptografski mehanizmi • Mehanizmi za zaštitu poverljivosti i integriteta p/i: • Transformišu (ne skrivaju) informacije - Kz ključem • Ovlašćeni korisnici poseduju: • isti ključ (simetrična kriptografija) • odnosni ključ iz matematičkog para javnog/privatnog ključa (asimetrična kript. ili PKI-Public Key Infrastructure) • Samo određena grupa korisnika može izvući OT • Ključ: bezbednost više u ključu nego u algoritmu • Algoritam: nemoguće čuvati u tajnosti u komercijalnom okruženju • Tajnost ključa: problem upravljanja Kz ključem UNIVERZITET SINGIDUNUM - FPI

  39. Kriptografski mehanizmi -1 • Integrišu servise zaštite: autentifikacije, poverljivosti, integriteta i neporecivosti informacija • U NOSSS RS: zaštita integriteta i poverljivosti p/i - šifrovanje celog HD, b/p, datoteka, bita (Vista) • U RM: šifrovanje podataka u prenosu, autentifikacija i neporecivost (češće primene) • Zaštita integriteta p/i manje očigledna primena: • od originalnih p/i pravi se hash otisak (sažetak) - MD (Massage Digest), koji se šifruju • ako se izmene p/i - ne može se rekontsruisati hash • vlasnik može dokazati verifikacijom - poseduje ključ • skeneri zaštite - koriste hash za detekciju izmene datoteka UNIVERZITET SINGIDUNUM - FPI

  40. UNIVERZITET SINGIDUNUM - FPI

  41. UNIVERZITET SINGIDUNUM - FPI

  42. Zaključak • Model sveobuhvatnih servisa zaštite obuhvata primarne i sekundarne (tehničke i netehničke) servise zaštite i njihove međuzavisnosti i komplementarnosti. • Podela u logičke i fizičke domene zaštite ograničava oštećenja u slučaju proboja sistema zaštite. • Objektno-orijentisana klasifikacija deli tehničke alate (T/A) na host-orijentisane, mrežno orijentisane i infrastrukturnu podršku (PKI, smart kartice i autentifikacioni uređaji) UNIVERZITET SINGIDUNUM - FPI

  43. ZAKLJUČAK-1 4.U odnosu na servise zaštite T/A se dele na alate za: autentifikaciju i autorizaciju (RS ili RM) – protokoli, uređaji, zaštitu integriteta (RS ili RM) – skeneri sistema zaštite, kontrolu pristupa (RS ili RM), monitoring (RS ili RM) - IDS, IPS i Kz mehanizme za zaštitu poverljivosti, integriteta (uključujući autentifikaciju i neporecivost) i raspoloživosti p/i i servisa. 5. Važno je razumeti razlike između integriteta informacija i podataka, RS i RM. UNIVERZITET SINGIDUNUM - FPI