Lectures for 2008 - KTH

More documents

Recommendations

Info

KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ Exempel på oavsiktliga hot är mänskliga misstag och naturkatastrofer. Det är svårt att beskriva en enstaka, entydlig, hotbild mot IT. Hotbilden är en samlad bedömning av vilka hot som föreligger vid en viss given tidpunkt. Inte minst på grund av att förutsättningar för hur ett hot skall realiseras är olika beroende på olika scenarion, tekniska parametrar och så vidare. Definition 16: Hotbild är en föreställning om aktuella eller framtida risker, om en situation eller händelseutveckling där värden eller tillgångar som är viktiga för en individ eller organisation kan sättas på spel. Definition 17: Risk brukar definieras som sannolikheten för att en oönskad händelse, ett hot, skall realiseras. Ibland uttrycks detta i termer av sannolikhet, som innebär möjligheten att något inträffar, samt konsekvens, effekterna av att något inträffar: Risk = Sannolikhet ! Konsekvens Denna tillsynes enkla och ingenjörsmässiga formel är dock förrädisk, då uppskattning av sannolikheten att något säkerhetsproblem inträffar såväl som konsekvenserna av det inträffade kan vara extremt svårt. Definition 18: Riskanalys är metoden att systematiskt utföra en värdering av risk mot, eller vid användning av, system eller funktioner. Det existerar olika metoder och modeller för att försöka göra riskbedömningar och riskanalys av system, tjänster, projekt och organisationer. En i Sverige vanligt förekommande riskbedömningsmetod är den så kallade SBA-metoden, där man använder olika scenarion för att försöka beskriva de olika hoten och riskerna. Inom vissa företag och organisationer används dessa för att bygga skyddsbarriärer som är anpassade efter de mer initierade bedömningar man gjort. Tyvärr är det vanligt att konsekvensanalys eller riskanalys inte föregår ett projekt eller är inkluderat i det. Det innebär att man genomför förändringar utan att egentligen förstå hur dessa påverkar säkerheten. Att göra realistiska och korrekta riskanalyser är extremt svårt. Det finns mängder med parametrar som påverkar slutresultatet. Har man gjort rimliga sannolikhetsbedömningar för att ett hot ska inträffa? Har man fått med alla relevanta hot? Hur lång tid håller sig bedömningarna aktuella? Är effekterna och konsekvenserna av riskerna tillräckligt utvärderade? I IT-säkerhetssammanhang är det ännu svårare att göra bra bedömningar än inom den traditionella riskanalysen. Några av orsakerna är att man har mindre erfarenhet av riskbedömningar inom IT eftersom det är en yngre bransch där man fortfarande provar vingarna, att system och nätverk – speciellt Internet- är så komplexa att få personer, om ens någon, har helhetsbilder, samt att det inom IT kan ske snabbare och större svängningar eller förändringar än vad de flesta är medvetna om. Det som är säkert och vedertaget ena dagen kan vara förkastligt eller osäkert dagen efter. Definition 19: En sårbarhet eller svaghet är skillnaden i form av bristande förmåga att motstå hot, mellan önskad säkerhet och verklig säkerhet i ett system eller i en verksamhet, vid ett visst givet tillfälle, Definition 20: En katastrof är en mycket stor olycka eller händelse, i vissa fall med omfattande materiell förödelse, efter vilken man har svårt att tänka sig ett återställande eller en fortsättning. Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 22 (139)
KURSKOMPENDIUM NÄTVERKSSÄKERHETSKURS ___________________________________________________________________________ Sårbarheter i programvara är ofta programfel som existerat en tid, varit latenta, tills någon vid ett senare tillfälle, av misstag eller systematisk analys, upptäcker dem och på något sätt förhåller sig till denna nya kunskap. Antingen genom att kommunicera sin upptäckt till leverantören, att publicera sin upptäckt på via olika kanaler såsom exempelvis Internet, eller helt enkelt behålla kunskapet för sig själv. Mängden upptäckta, men ännu inte publikt kända säkerhetshål, är enligt flera bedömmare hög. Hotmodellering (eng. threat modelling) är en metod för att systematiskt försöka hitta de hot som existerar mot ett system, en komponent eller ett användningsfall. Hotmodellering är en viktig komponent i flera utvecklingsmodeller, exempelvis Microsofts Secure Software Development Lifecycle (SDLC), för att under analys- och designfasen förebyggande lyckas införa rätt skydd, och skydd till rätt nivå. Attackträdsmodellering är en hotmodelleringsmetod som är besläktad med felträdsmodellering. Rotvärdet i den uppochnervända trädstrukturen är det mål som skall uppnås, t.ex. ett lyckat intrång, och stammen och grenarna i trädet är moment eller förutsättningar som måste uppnås för att kunna ta sig närmare målet. Metoden utvecklades ursprungligen av Bruce Schneier 19 . Attackträdsanalys har blivit en standardmetod för att modellera hot mot kommunikationsprotokoll, industrikommunikationsprotokoll 20 och finns ofta används i de RFCer som beskriver olika IETF-utvecklade protokoll. En liknande metod för att upptäcka sårbarheter och brister är AVA, Adversarial Vulnerability Assessment 21 , som innebär att man ikläder sig angriparens roll och försöker hitta sårbarheter och blottor. Det finns en mängd omständigheter som kan leda till att man drabbas av angrepp. Det uppenbara är att man riskerar bli ett utvalt mål. Men vad som ofta förbises, både i det vardagliga tankesättet och i mer strukturerade genomgångar såsom riskanalyser, är att man kan bli drabbad mer eller mindre slumpmässigt. På Internet existerar ett konstant ”bakgrundsbrus” av aktiva attacker och felkonfigurerad utrustning eller programvara, som gör att hot existerar även för som försöker hålla en låg profil. Risken att bli drabbad av någon spontan elektronisk avsökning eller att slumpvis bli utvald till IT-varianten av drive-by shooting är betydande. För att hantera hot och risker måste man införa säkerhetstänkande och säkerhet i det vardagliga arbetet. Ett lågt säkerhetsmedvetande och dåligt engagemang hos personal och ansvariga kan vara den absolut största risken. Mot detta hjälper inte införande av moderna tekniska skyddsmekanismer som brandväggar och kryptoteknologi. Kontinuerlig utbildning, lättillgänglig säkerhetsinformation och lättförståeliga regler är några viktiga komponenter för att öka medvetande och engagemang. En organisations säkerhetskultur är det förhållningssätt och attityder som organisationen själv och dess anställda har till risker. Definition 21: Attackyta är den del av en mjukvara som är nåbar för olika typer av angrepp. Attackytor beskriver attackerbarheten som en egenskap hos ett program eller en mjukvarukomponent Definition 22: Attackvektor är den väg eller metod som ett angrepp nyttjar för att nå en given sårbarhet. 19 Schneier, Bruce (1999). Attack Trees - Modeling security threats. Artikel i Dr. Dobbs Journal, december 1999. http://www.ddj.com/documents/s=896/ddj9912a/ 20 E.J. Byres, M. Franz & D. Miller (2004). The Use of Attack Trees in Assessing Vulnerabilities in SCADA Systems. International Infrastructure Survivability Workshop (IISW '04), IEEE, 21 http://www.ne.anl.gov/capabilities/vat/philosophy.html Copyright (c) 2003-2008 Robert Malmgren AB. All rights reserved Sid 23 (139)
Page 1 and 2: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 21: KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 73 and 74:
KURSKOMPENDIUM NÄTVERKSSÄKERHETSK
Page 75 and 76:
Page 77 and 78:
Page 79 and 80:
Page 81 and 82:
Page 83 and 84:
Page 85 and 86:
Page 87 and 88:
Page 89 and 90:
Page 91 and 92:
Page 93 and 94:
Page 95 and 96:
Page 97 and 98:
Page 99 and 100:
Page 101 and 102:
Page 103 and 104:
Page 105 and 106:
Page 107 and 108:
Page 109 and 110:
Page 111 and 112:
Page 113 and 114:
Page 115 and 116:
Page 117 and 118:
Page 119 and 120:
Page 121 and 122:
Page 123 and 124:
Page 125 and 126:
Page 127 and 128:
Page 129 and 130:
Page 131 and 132:
Page 133 and 134:
Page 135 and 136:
Page 137 and 138:
Page 139:
show all

Lectures for 2008 - KTH

Create successful ePaper yourself

Delete template?

Save as template?