Ľudský faktor – najslabšíčlánok bezpečnosti (internetové služby)

Autor: Martin Zajíček

(zajicek@dcit-consulting.sk)

DCIT Consulting, http://www.dcit-consulting.sk

2

Obsah prednášky

1. Vnímanie problematiky prostredníctvom výsledkov prieskumov

2. Skutočnosť

3. Prejavy

4. Možnosti minimalizácie dopadov

3

1. Vnímanie problematiky 1

Zdroje:

�PSIB SR ´04, KPMG Slovensko, DSM-data securitymanagement, NBÚ -

� historicky prvý prieskum v SR

�PSIB ČR ´05, Ernst & Young, DSM-data security management, NBÚ -

� historicky už 4. prieskum opakujúci sa každé dva roky (prvý

bol zrealizovaný v roku 1999)

4

1. Vnímanie problematiky 2

Zdroj: PSIB SR '04

Výskyt bezpečnostných incidentov v percentách

3828

24

85

75

60

59

18

42

chyba programovéhovybaveniazlyhanie LAN

zlyhanie WAN

chyba administrátoraalebo obsluhyvýpadok prúdu

počítačový vírus

porucha hardwaru

chyba užívateľa

iné

5

1. Vnímanie problematiky 3

Zdroj: PSIB SR '04

Bezpečnostné incidenty s najvážnejším dopadom

5 67

18

1436

184

42

chyba užívateľa

zlyhanie WAN

chyba programovéhovybavenia

zlyhanie LAN

počítačový vírus

prírodná katastrofa

výpadok prúdu

porucha hardwaru

chyba administrátoraalebo obsluhy

iné

6

1. Vnímanie problematiky 4

Zdroj: PSIB SR '04

Najväčšie hrozby z hľadiska informačnej bezpečnosti

58

3227

20

17

1519

15

51

internet a/alebo elektronickápošta

vlastní užívatelia

vonkajší útočníci

nedostatok financií

neexistujúca/nevhovujúcaBP a/alebo bezpečnostnéštandardynedostatok ľudských zdrojov

nedostatočná podpora zostrany najvyššieho vediena

neadekvátna technickáinfraštruktúra/zastarelétechnológieiné

7

1. Vnímanie problematiky 5

Zdroj: PSIB ČR '05

Výskyt bezpečnostných incidentov za posledných šesť rokov

0

20

40

60

80

100iné

chyba administrátora aleboobsluhy

zlyhanie WAN

zlyhanie LAN

chyba programovéhovybavenia

chyba užívateľa

porucha hardwaru

počítačový vírus

výpadok prúdu

1999

2001

2003

8

1. Vnímanie problematiky 6

Zdroj: PSIB ČR '05

20012003

2005

72

8989

5656

33

44

3236

31

155 13

20

10

20

30

40

50

60

70

80

90

Výskyt bezpečnostných incidentov v súvisloti s využívaním internetu

zničenie/poškodenie obsahuWWW stránok

neautorizovaný prístup dosystému

zneužitie internetu a elektronickejpošta vlastnými zamestnancami

održanie fingovaných/podvodnýchemailov

vírus získaný zo súborovstiahnutých z internet

vírus získaný z prílohy velektronickej pošte

9

1. Vnímanie problematiky 7

Zdroj: PSIB ČR '05

17

62

31

32

89

33 47

89

56

50

7256

0

10

20

30

40

50

60

70

80

90

1999 2001 2003 2005

Percento zamestnancov s prístupom na internet a rast počtu vírusov stiahnutých z internetu

percento zamestnancovs prístupom na Internet

percento spoločností svýskytom vírusu z prílohyemailu

percento spoločností svýskytom vírusustiahnutého z internetu

10

1. Vnímanie problematiky 8

Zdroj: PSIB SR '04

6

22

23

42

63

0 20 40 60 80

percentuálny podiel

zamestnanecká príručka

príloha k pracovnej zmluve

pravidelné školenia

kontrolná činnosť

interne publikované smernice

Formy, ako prispievajú organizácie ku zvyšovaniu bezpečnostného vedomia svojich zamestnancov

11

2. Skutočnosť 1

Kde sa môže problém s ľudským faktorom objaviť

• Dodávatelia IS

• Vlastní užívatelia (správcovia IT, užívatelia)

• Externí užívatelia (klienti)

12

2. Skutočnosť 2

Dodávatelia IS

• tvorba WWW aplikácií, ktoré trpia známymi slabinami

- SQL Injection, Cross site scripting (XSS), URL

tampering, Cross site tracing (XST), Session

hijacking, atď.

• nevhodná implementácia riešenia (default nastavenia

služieb WWW, SQL servera a ďalších)

13

2. Skutočnosť 3

Vlastní užívatelia (správcovia IT, užívatelia), externí užívatelia (klienti)

• správa IT – dôsledky neznalosti problematiky a/alebo

pohodlnosti

• využívanie administrátorských práv pri bežnej práci

• absencia auditovania a jeho kontroly

• absencia reálneho riadenia užívateľských práv

• absencia viacvrstvovej ochrany (víry, spyware a ďalší

malware)

• užívatelia

• žiadna alebo slabá znalosť hrozieb = naivita

14

Príklad - phishing

15

Príklad - phishing

16

Príklad - phising

17

Príklad

18

2. Skutočnosť 4

Možné dopady?

• únik dát

• zneužitie, zneprístupnenie infraštruktúry (SPAM,

„zombie“, trójske kone, červy)

• v prípade zmanipulovaných transakcií reklamačné

konania

• a ďalšie

19

Možnosti minimalizácie-všeobec.

Mať systém riadenia bezpečnosti inform.• zmapovať inf. aktíva, definovať vlastníka dát, vytvoriť

kategórie, postupy a zodpovednosti

Zvyšovať bezpečnostné povedomie interných i externých užívateľovNa technickej úrovni

• GPO, prípadne lokálna aplikácia opatrení

• viacvrstvové ochrany (AV)

• úprava konfigurácie, alternovanie WWW klientov

• ovládanie užívateľských práv

• monitorovanie a spracovávanie logov !!!

20

Možnosti minimalizácie - konkr.1

Dodávatelia IS

• súčasťou implementačného projektu IS má byť

nezávislé preverenie treťou stranou –

audit/preverenie aplikácie, penetračný test

Vlastní užívatelia

• monitorovanie a pravidelné spracovávanie logov !!!

• automatizovaná pravidelná aktualizácia OS i aplikácií

• minimalizovať rozsah užívateľských práv (používanie

skupín Users, Power Users, využitie GP)

21

Možnosti minimalizácie - konkr.2

Vlastní užívatelia - pokračovanie• konfigurácia WWW a email klientov (obmedzenie

povolených príloh, ďalšie parametre použitím Resource kitu k MS Office balíku, obmedzenie ActivXkomponentov) i na centrálnej úrovni (emailový server, proxy server)

• zvážiť používanie alternatívnych WWW a email klientov

• pretestovať pozornosť užívateľov

• pri užívateľoch s mobilnými zariadenia zvážiť použitie osobných firewallov

• venovať sa problematike spyware

22

Možnosti minimalizácie - konkr.3

Vlastní užívatelia - pokračovanie

• venovať sa aj svojim klientom (oboznámenie s

hrozbami, priebežné informovanie o nových

hrozbách, poskytnúť konkrétne doporučenia)

23

Možnosti minimalizácie - konkr.4

Group policy (GP) - podrobnejšie

• GP (skupinové politiky) – definujú užívateľské a

počítačové nastavenia pre celé skupiny užívateľov a

počítačov

• možnosti – inštalácia aplikácií, práca so skriptami

(logon/logoff, start-up, shutdown), nastavenie

systému (plocha, ponuky, IE), politiky zabezpečenia,

atď.

• Kombináciou lokálnej GPO, Site-based GPO,

Domain based GPO a OU-based GPO (org.

jednotky) je možné vytvoriť tzv. efektívnu politiku

24

Možnosti minimalizácie - konkr.5

Group policy (GP) – podrobnejšie (pokrač.)

• efektívna politiku, alebo tiež RSoP (Resultant Set of

Policy)

25

Možnosti minimalizácie - konkr.5

Group policy (GP) – podrobnejšie (pokrač.)

• čo je možné nastaviť/nastaviť:

• nastavenia na úrovni GUI (kozmetika)

• bezpečnostné nastavenia (Account Policy, Local Policies,

EventLog, Services, Registry, File System, IPSEC, PKI)

26

Možnosti minimalizácie - konkr.6

Group policy (GP) – podrobnejšie (pokrač.)

• pri GP je možné nastavovať ACL, právo Apply,

možnosti filtrov (read, write)

27

Možnosti minimalizácie - konkr.6

Group policy (GP) – podrobnejšie (pokrač.)

• pri GP je možné nastavovať prioritu definovaných

politík

28

Možnosti minimalizácie - konkr.6

Group policy (GP) – podrobnejšie (pokrač.)

• táto oblasť má však aj svoje úskalia

• „nenávratnosť“ niektorých nastavení (potrebné

špecifické reverzné politiky a „dekontaminačné“

kontajnery)

• špeciálne v rozsiahlych prostrediach sa môžu

doménové GPO „vymknúť kontrole“

29

Krátke resume

Existujú možnosti, ako čiastočne eliminovať ľudské činnosti, použitím existujúcich (vstavaných) riešení a ich kombinovaním. Akákoľvek činnosť v tejto oblasti a odklon od „default“ nastavení je pozitívna.

Niektoré z oblastí, ktoré zostali otvorené:

• sociálne inžinierstvo

• interný audit zameraný na IT (odd. auditu alebo

bezp. manažér)

30

Zaver

Otázky?

Martin Zajíček, zajicek@dcit-consulting.sk