Introduksjon til informasjonssikkerhet. Edwin Nilsson. 8. oktober 2014



Like dokumenter
Kan vi lage forsvarbare informasjonssystem?

Kompetansemål fra Kunnskapsløftet

Mobiltelefon som autentiseringsfaktor. Håvard Raddum Selmersenteret, Universitetet i Bergen

Elektroniske spor. Innsynsrett, anonymitet. Personvernutfordringer. Innsynsrett. Informasjonsplikt og innsynsrett

Fagkurs for kommuner Krav til informasjonssikkerhet (105 minutter)

FIRE EFFEKTIVE TILTAK MOT DATAANGREP

NTNU Retningslinje for fysisk sikring av IKTinfrastruktur

Cyberforsvaret. - Forsvarets nye «våpengren» Cybertrusselen Nye sikkerhetsutfordringer i cyberspace. Gunnar Salberg

Teori om sikkerhetsteknologier

Agenda. Hva er cybersikkerhet? Hackeren, trusselbilde og sårbarheter Eksempler på angrep: masseproduserte og målrettede.

Konfidensialitet: Tilgjenglighet: Autensitet: Validitet: Trussel: Risiko: Eks på risiko:

Blant de mest omtalte Internett tilpassningene i dag er brannmurer og virtuelle private nett (VPN).

Symmetrisk En hemmelig nøkkel ( passord ) som brukes både ved kryptering og dekryptering.

Ifølge Stortingsmelding nr. 17 ( ) «Et informasjonssamfunn for alle» bygger begrepet IKT-sikkerhet på tre basisegenskaper:

Angrep. Sniffing ( eavesdropping )

7. Sikkerhet. Per Erik Gjedtjernet og Geir Martin Pilskog

Handbok i informasjonstryggleik. Presentasjon Geir Håvard Ellingseter, dokumentsenteret

Oppsett av brannmur / router 1.0. Innholdsfortegnelse

Forelesning 4: Kommunikasjonssikkerhet

Deres ref Vår ref (bes oppgitt ved svar) Dato GS/- KONSESJON TIL Å BEHANDLE PERSONOPPLYSNINGER PRIVAT BARNEVERNINSTITUSJON

2015 GLOBAL THREAT INTELLIGENCE REPORT SAMMENDRAG

Forelesning 3: Nøkkelhåndtering og PKI

Trusler, trender og tiltak 2009

Datasikkerhet. Er din PC sikker? Helt sikker?

Sikkerhet og tilgangskontroll i RDBMS-er

Komposisjon av risikomodeller:

NASJONAL SIKKERHETSMYNDIGHET. Hvordan forebygge, oppdage og håndtere dataangrep HÅNDTERING AV DIGITAL SPIONASJE

Jon Hammeren Nilsson, Anders Emil Rønning, Lars Grini og Erling Fjelstad

Hvordan kan den enkelte virksomhet bidra til å skape tillit? Olav Petter Aarrestad, IT-direktør 12/06/2019

Forelesning 3: Nøkkelhåndtering og PKI

MEDISINSK UTSTYR OG DIGITALE SÅRBARHETER

en arena for krig og krim en arena for krig og krim?

1. Systemsikkerhet Innledning. Innhold

Kjenn din PC (Windows7)

Egenevalueringsskjema

Vår digitale hverdag Et risikobilde i endring

Hvor svart kan en svart vegg bli? -Følg med.

Brukerveiledning Tilkobling internett

Truverdige mobile trådlause ad hoc-nett ein illusjon?

HØGSKOLEN I SØR-TRØNDELAG

Internett og pc Brukerveiledning

Resymé: I denne leksjonen vil vi se på typer brannmurer, konfigurering av brannmurer og IDS

HØGSKOLEN I SØR-TRØNDELAG

Bredbånd og pc Brukerveiledning. Dette er en utdatert brukerveiledning som kan omhandle utgåtte tjenester og utstyr

HelseCERT Situasjonsbilde 2018

Internkontroll i mindre virksomheter - introduksjon

Risikovurdering for folk og ledere Normkonferansen 2018

Arkivmessige forhold og elektroniske skjemaer Gjennomgang for Oslo kommune v/ Byarkivet

Cyber Symposium 2016

Hvordan gjennomføres id-tyverier og hva kan gjøres. Tore Larsen Orderløkken Leder NorSIS

Brukerveiledning Tilkobling internett ALT DU TRENGER Å VITE OM BRUKEN AV INTERNETT

INF329,HØST

Informasjonssikkerhet og etikk hvordan henger dette sammen DRI

Tjenester i skyen hva må vi tenke på?

Forskning på cybersikkerhet ved UiO. Audun Jøsang Universitetet i Oslo

Risikoanalysemetodikk

IT Grunnkurs. Nettverk. Foiler av Bjørn J. Villa, Førsteamanuensis II Presentert av Rune Sætre, Førstelektor

Laget av Dato Orginal plassering fil. Johnny Andre Sunnarvik. Nov 2016

Sikkerhetshendelse hos Kartverket i Oppfølging på kort og lang sikt. Pål Asmund Røste Seksjonsleder IT Applikasjonsdrift- 10/04/2019

VEDLEGG 7 SIKKERHET 1. KRAV TIL SIKRING AV DATAFILER VED OVERFØRING TIL/FRA BANKEN

Risikoanalyser i petroleumsvirksomheten. Behov for å endre/justere kursen? Vidar Kristensen

eid for meg og for oss

Datasikkerhetserklæring Kelly Services AS

Trusler og mottiltak Mike Andersen Dell SecureWorks

Manual MicroBuild.no Engineering

Risiko- og sårbarhetsanalyse i forbindelse med bruker med begrenset tilgang for inn- og utregistrering

Kan cyber-risiko forsikres?

Slik tar du i bruk nettbanken

Informasjonssikkerhet i kommunene. Gaute Wangen, seniorrådgiver Seksjon for digital sikkerhet, NTNU

Pasientinformasjon "på veggen"

Håkon Olsen Overingeniør Lloyd s Register Consulting

Kom i gang med TI-Nspire Navigator NC Teacher Software - IT-administratorer

Nettfiske og målrettet nettfiske blant de største sikkerhetstruslene. Tradisjonell antispam beskytter ikke mot truslene!

blir enda viktigere en før fordi tjenestene bllir meget tilgjengelige på Internett

Brukerdokumentasjon Promed Online Booking

UNIK - Academic Forum on Security. Invitert presentasjon: BankID - noen myter og sannheer August 2008

Sikkerhetshåndbok for Utdanningsetaten. kortversjon

HVEM ER JEG OG HVOR «BOR» JEG?

Sikker deling og kommunikasjon F-SECURE PROTECTION FOR SERVERS, AND COLLABORATION

Anvendelsesområder for bruk av e-id med og i offentlig sektor- forprosjekt

Følger sikkerhet med i digitaliseringen?

Slik stoppes de fleste dataangrepene

Brukerveiledning Tilkobling Altibox Fiberbredbånd

INNHERRED SAMKOMMUNE LEVANGER KOMMUNE VERDAL KOMMUNE

NOKIA-PRODUSENTENS BEGRENSEDE GARANTI FOR NOKIA MED WINDOWS-TELEFON

Introduksjon til Informasjonsteknologi

Veileder for bruk av tynne klienter

Brukerveiledning Tilkobling internett

Informasjon Prøveeksamen IN1020 høsten 2017

PUNKT TIL PUNKT-KOBLING KOBLING. Versjon 10/10. Hvordan kobler jeg controlleren til en pc 1

Forelesning 12: Applikasjonssikkerhet og GDPR

Datasikkerhet internt på sykehuset

Sikkerhet, risikoanalyse og testing: Begrepsmessig avklaring

VI BYGGER NORGE MED IT.

TTM4175: Etisk hacking. Lab E5: Nettverkssniffing

HANDLINGSPLAN MOT MOBBING SALHUS BARNEHAGE

Bokføringsloven. Transaksjonsdata og faste opplysninger. Er data som forventet? Kontroller i IT-systemer. Bokføringen styres av kravet til

Forelesning 2: Kryptografi

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

Transkript:

Introduksjon til informasjonssikkerhet Edwin Nilsson 8. oktober 2014 Hva er sikkerhet Sikkerhet og trygghet Ordet sikkerhet kan ha to forskjellige betydninger. Dersom en ser det fra et engelsk perspektiv har ordet sikkerhet kan ha to forskjellige betydninger, Safety og security Safety Er sett som trygghet på norsk Security Vern mot skade på system og verdier Er sett som sikkerhet på norsk Sikkerhet(security) er ofte en forutsetning for trygghet(safety). Informasjonssikkerhet Informasjonssikkerhet er et tiltak for å sikre konfidensialitet, integritet og tilgjengelighet av informasjon. Konfidensialitet Informasjon som ikke er tilgjengelig for uautoriserte Integritet 1

Informasjon er ikke endret eller ødelagt ved uhell eller på uautorisert vis Tilgjengelighet Autoriserte parter har tilgang til informasjon når den trengs Cybersikkerhet Cybersikkerhet er til for å verne kritisk infrastruktur som helt eller delvis er i cyberspace. Systemintegritet Systemet funksjonerer etter intensjonen uten uautorisert manipulasjon System tilgjengelighet Systemet kan aksesseres og brukes av autoriserte parter når der trengs Distribuert tjenesteangrep (DDoS) Denial of Service (DoS) Overbelastning av en server (eller annen ressurs) Kan gjøres ved hjelp av en flom av TCP-, ICMP- eller HTTP meldinger Gjøres for å hindre legitim tilgang til den angripede ressursen Distributed DoS(DDoS) Meldingsflommer kommer fra et botnet Et botnet er et nettverk av infiserte maskiner(bots, zombies) Nettverket styres av en kommando og kontroll - server 2

Website Defacement Uautorisert endring av utsende eller innhold på et web-side Utføres som regel av en angriper som har fått administratortilgang eller FTP-tilgang til web-siden Kan også gjennomføres som et angrep på DNS-server for å få den til å omsette URL til feil IP-adresse DNS poisoning DNS spoofing 3

Sikkerhettiltak Grunnleggende sikkerhettiltak Sikkerhet er et tiltak for å kunne sikre. Autentisering og autorisering Perimetersikring/overvåkning Kryptografi Load balancing/replikering/redundans Autentisering Autentisering er en betegnelse for mekanismer som er med på å sikre ektheten av data(f.eks. et dokument) eller en identitet. Bevis for ektheten av et dokument Signatur/sertifikat Segl o.l Vitne Bevis for ektheten av identitet Noe du vet(hemmelighet): Passord eller PIN-kode Noe du har (fysisk): Adgangskort, nøkkel, SIM-kort, kodebrikke Noe du er (fysisk): Biometri, ID-kort, vitne Flerfaktor-autentisering: Kombinasjon av to eller flere autentiseringsfaktorer Eksempel på dette kan være: Adgangskort(noe du har) og PIN(noe du vet) 4

Autentisering i datasystem Ektheten av data/dokument Digitale sertifikat og signaturer Ektheten av identitet Innlogging med passord Biometri(i mindre grad): Skanning av fingeravtrykk eller iris(øyegjenkjenning) Tofaktor-autentisering Passord og engangskode Smartkode og PIN SIM-kort og PIN Utfordringer med autentisering Skille på autentisering og identifisering Tillitskjeder Autorisering Sikkerhetsdefinsjonene som har blitt nevnt tidligere (konfidensialitet, integritet og tilgjengelighet) baserer seg på noe eller noen som er autorisert. Kort sakt så kan vi si at autorisering er tilgangsregulering basert på autensitet. Eksempler: Passordbeskytting av web-tjenester Brukertilgang og brukerrettigheter i et operativsystem Brukertilganger og -rettigheter En bruker har tilganger(permissions/access rights) og rettighet(privileges) Tilganger regulerer hva operasjoner på filer(og mapper) som er tilatte 5

Brukerrettigheter Rettigheter(privileges) regulerer hva hvilke systemoperasjoner som er tillat. Eksempelvis: Endre systemkonfigurasjoner Lese systemkonfigurasjoner Opprette brukere Endre brukerrettigheter Prosesser En prosess er en kjørendre instans av et program. Det får tildelt en del av minnet(ram) til kode og data. Prosesser er ofte assosiert med brukeren soms tarter prosessen kan være en bruker som representerer operativsystemer: SYSTEM, ROOT Prosessrettigheter En prosess arver rettighetene fra foreldre-prosessen og fra brukeren som startet prosessen. Dvs. rettighetene er en kombinasjons av foreldre-rettigheten og rettighetene til brukeren Kan generelt ikke være høgere enn rettighetene til foreldre-prosessen eller brukeren Perimotersikring/overvåking Vi deler gjerne perimetersikring/overvåkning i tre grupper: Nettverks topologi Flaskehalser Demilitarized Zone Filtrering av trafikk 6

Brannmur Proxy Overvåking Intrusion Detection Systems(IDS) Anti-virus Logging/logganalyse Kryptografi Kryptografi er matematiske teknikker for å skjule innholdet i meldinger eller dokument. Kryptografi er en sentral mekanisme for å kunne sikre konfidensialiteten til data og kommunikasjon. Signering Kryptografisk teknikk for å sikre intergitet og autensitet av data og kommunikasjon Digitale sertifikat Benytter signering for å skape tillitskjeder Knytter kryptografi til tillitskjedene Load balancing/replikering/redundans Disse er mekanismer for å sikre tilgjengelighet av data og tjenester. Load balancing: spre arbeidet F.eks. over flere web-tjenester Replikering: Kopier av data eller tjenester Redundans: Replikering av kritiske komponenter, funksjoner eller tjenester 7

Problemer med tradisjonelle sikkerhetstiltak Perimeter sikringen er utilstrekkelig. Noe må uansett inng og ut Sidekanaler kan unngå perimeterkontrollen Vanskelig å oppdage en trussel som er på innsiden Vanskelig å ha kontroll på det som går ut Vanskelig å definere systemgrensene i distribuerte system Tradisjonelle sikkerhetstiltak er ofte reaktive. Patching: Tette kjente sikkerhetshull Anti-virus: Identifisere kjent malware(malware-signaturer) Brannmur/IDS: Se etter kjente trafikkmønstre (signaturer) Dermed kan man stille seg spørsmålet, hvordan skal man oppdage en trussel som du ikke kjenner? Svaret er at det kan man som oftest ikke, og dermed må være flink til å reagere på det man oppdager. 8

Forsvarbarhet Richard Bejtlich introduserte i sin bok The Tao of Network Security Monitoring de fire prinsipper som et forsvarbart nettverk skal ha: Can be watched Limit and intruder s freedom to maneuver Offer a minimum number of services Can be kept current I Cyberforsvaret har vi laget vår egen variant, som har tydelig inspirasjon fra Betjlich. En forsvarbar informasjons infrastruktur skal kunne: Overvåkes Kontrolleres Minimeres Oppdateres Spores Cyberoperasjoner Når vi snakker om overvåkning og kontroll ligger det implisitt at det finnes en operasjonell side ved forsvarbare systemer. Når det kommer til defensive cyberoperasjoner(cyber Defence) deler vi det som oftest i tre deler: Proactive network operations Grunnleggende sikkerhetstiltak Defensive Counter Cyber Kontrollere Defensive Countermeasures Overvåke 9

Kritikk av forsvarbarhetstanken Forsvarbare nettverk: Løser i avgrenset grad de problematiske sidene ved sikkerhet I stor grad fortsatt bare perimetersikring I stor grad reaktiv Hva er egentlig forskjellen mellom et nettverk og e informasjonstruktur? Informasjonstruktur = nettverk + informasjonssystem Informasjonssystem Samling av hardware, software, data, nettverk, prosedyrer og menneske Brukt til å samle, prosessere og analysere informasjon for et spesifikt formål. Sikre system må være brukervennlige Lage system slik at brukere ikke tvinges til å være en sikkerhetsrisiko Best-practice for brukersentrert systemutvikling Oppsummering forsvarbarhet Forsvarbarhet er en egenskap, et pro-aktivit tiltakt som kan: Øke motstandskraften Legge til rette for bedre forsvar Kan derimot ikke utgjøre forsvaret. Forsvar er en prosess/operasjon som krever en mulighet for handling. Prinsippet om forsvarbarhet er operasjonelt, men reaktivt. 10

Programvarsikkerhet Programvaresikkerhet har som mål å kunne skape programmer som har følgende egenskaper: Attack resistance Hindre at en angriper kan utføre et angrep Attack tolerance Fortsette å fungere selv om angrep har vært velykket Attack resilience Isolere og avgrense skadene av et angrep, gjenopprette normal funksjon så raskt som mulig Problemer med programvaresikkerhet er at det tar sikkerhet som en statisk egenskap. Det bruker 3. parts komponenter, samt det kan være potensiell konflikt mellom Software Security Engineering og brukersentrering. Etteretningsbasert cyberforsvar Dersom vi utfører etterretning og for en bedre forståelse av fienden kan vi bedre: Forutse hva fienden vil gjøre Vite hvilke indikatorer vi skal se etter Forstå hva vi observerer Gjøre tiltak før eller tidlig i angrepet Sette inn passende tiltak for passende tidspunkt For å kunne ha en effektiv etterretning må vi stille visse krav til etterretningen. Overvåkning av egen infrastruktur Rapporter fra egne Oppdatert informasjon om sårbarheter og malware 11

Sikkerhetstrender Samfunnsmessige trender Bransjespesifikk etterretning Risikoanalyse Etterretningsbaserte cyberoperasjoner må være risikoorienterte Analysen av etterretningen må informeres som en forståelse av sårbarhetene i systemet Tiltak må informeres som en forståelse av Konsekvensene av handlingsalternativ kost/nytte Cyberoperasjoner må være informerte om risiko Oppsummering Etter å ha lest gjennom dette skriver har vi sett på forskjellige tilnærminger til sikkerhet Tradisjonell sikkerhet Forsvarbarhet Software security engineering/programvaresikkerhet Etteretningsbasert cyberforsvar Det er ingen av de forskjellige tilnærmingene som er fullstendige korrekte. Alle trenger, og er under utvikling, for å kunne bedre de tiltak som er i dag for våre systemer. 12

Kilder Forelesnings notater PowerPoint presentasjon: intro-is-2014 13

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding