Professional Documents
Culture Documents
Лекція1
Лекція1
Вінт Серф
Тріада CIA
• Конфіденційність (Confidentiality)
– секретність, приватність
• Цілісність (Integrity) – точність та
достовірність інформації
• Доступність (Availability) –
інформація повинна бути
доступною
ТРІАДА CIA
Конфіденційність, цілісність та доступність є керівним принципом безпеки інформації для організації.
Конфіденційність - гарантує конфіденційність даних, обмежуючи доступ до них через механізм
аутентифікації. Цілісність гарантує точність і достовірність інформації. Доступність гарантує, що
інформація доступна для авторизованих користувачів.
Конфіденційність (Confidentiality)- приватність. Політика компанії повинна обмежувати доступ до
інформації колом авторизованих користувачів та забезпечувати відображення цих даних лише для
них. Доступ до даних надається відповідно до політики безпеки або рівня секретності інформації.
Наприклад, розробник Java-програми не повинен мати доступу до персональних даних усіх
співробітників. Крім того, працівники повинні пройти навчання, щоб зрозуміти кращі практики захисту
конфіденційної інформації, для того, щоб захистити себе та компанію від атак. Методи забезпечення
конфіденційності включають шифрування даних, ідентифікатор користувача та пароль, двофакторну
аутентифікацію та мінімізацію розголошення конфіденційної інформації.
Цілісність (Integrity) - точність, узгодженість та надійність даних впродовж всього їх життєвого циклу.
Дані не повинні змінюватись під час передавання через мережу та не змінюватись неавторизованими
суб'єктами. Права на файли та контроль доступу користувачів можуть запобігти неавторизованому
доступу. Контроль версії може бути використаний для запобігання випадкових змін авторизованими
користувачами. Резервні копії повинні бути доступні для відновлення всіх пошкоджених даних, а хеш
(контрольна сума) може бути використаний для перевірки цілісності даних під час передавання.
Доступність (Availability). Обслуговування обладнання, проведення ремонту апаратного забезпечення,
оновлення операційних систем та програмного забезпечення і створення резервних копій
забезпечуються доступністю мережі та даних для авторизованих користувачів. Має бути план
швидкого відновлення систем після природних катаклізмів або техногенних катастроф.
Цілісність
Контрольна сума використовується для
перевірки цілісності файлів або рядків
символів після того, як вони були перенесені з
одного пристрою на інший через вашу
локальну мережу або Інтернет. Контрольна
сума розраховується за допомогою хеш-
функцій. Деякі популярні функції обчислення
контрольних сум - MD5, SHA-1, SHA-256 та SHA-
512. Хеш функція використовує математичний
алгоритм для перетворення даних у значення
фіксованої довжини, що представляє дані.
Значення хешу є простим для порівняння.
Вихідні дані не можуть бути отримані
безпосередньо з хеш-значення. Наприклад,
якщо ви забули свій пароль, він не може бути
відновлений з хеш-значення. Пароль потрібно
скинути.
Наслідки порушення безпеки Захистити організацію від будь-якої можливої
кібератаки неможливо з кількох причин.
Експертна оцінка, що необхідна для
налаштування та підтримки безпеки мережі,
може мати високу вартість. Зловмисники завжди
будуть шукати нові способи атак на мережі. Тож
просунута та цілеспрямована кібератака буде
успішною. У такому вирадку, пріоритетним буде
те, наскільки швидко команда безпеки може
зреагувати на атаку, щоб мінімізувати втрати
даних, час простою та втрати прибутку.
Грошова вартість збитків набагато вища, ніж просто заміна будь-яких втрачених або
викрадених пристроїв, інвестування в існуючу безпеку та зміцнення фізичної безпеки
будівлі. Компанія повинна повідомити про злам клієнтів, на яких це може вплинути, та
бути готовою до судових позовів. Через усі ці потрясіння співробітники можуть звільнитись
з компанії. Компанії, можливо, буде потрібно більше зосередитись на відновленні своєї
репутації, а не на зростанні.
Приклад 1. Порушення безпеки
В липні 2015 року інтернет-менеджер паролів LastPass виявив незвичну активність у своїй
мережі. Виявилося, що хакери викрали електронні адреси користувачів, нагадування про зміни
паролів та хеші аутентифікації. На щастя для користувачів, хакери не змогли отримати доступ до
сховищ зашифрованих паролів.
Навіть незважаючи на порушення безпеки, LastPass зміг захистити інформацію облікових
записів користувачів. LastPass вимагає перевірки електронної пошти або багатофакторної
аутентифікації, коли з'являється новий логін з невідомого пристрою або невідомої IP-адреси.
Хакерам також потрібно мати майстер-пароль для доступу до облікового запису.
Користувачі LastPass також несуть певну відповідальність за захист своїх власних облікових
записів. Користувачі повинні завжди використовувати складні майстер-паролі та періодично їх
змінювати. Користувачі завжди мають остерігатися фішингових атак. Прикладом атаки з фішингу
може бути ситуація, коли зловмисник надсилає підроблені електронні листи, у яких вказується,
що вони надіслані з LastPass, та закликають користувачів натиснути на вбудоване посилання та
змінити пароль. Посилання в електронному листі переадресовує на шахрайську версію веб-
сайту, що використовується для викрадення майстер-пароля. Користувачі ніколи не повинні
натискати вбудовані посилання в електронному листі, а також повинні бути обережні з
відновленням пароля. Відновлення паролю не повинно повертати ваші паролі. Найголовніше це
те, що користувачі повинні вмикати багатофакторну автентифікацію, якщо це доступно, для
будь-якого веб-сайту, який це пропонує.
Таким чином, можна зробити висновок, що користувачі та постачальники послуг повинні
використовувати належні інструменти та процедури для захисту інформації користувачів, і
тільки тоді дані користувачів можуть бути захищені, навіть у випадку порушення безпеки.
Приклад 2. Порушення безпеки
Високотехнологічний виробник дитячих товарів Vtech, зазнав порушення системи безпеки
своєї бази даних в листопаді 2015 року. Це порушення могло вплинути на мільйони клієнтів у
всьому світі, включаючи дітей. Злам даних розкрив конфіденційну інформацію, включаючи
імена клієнтів, адреси електронної пошти, паролі, фотографії та історії чату. Ціллю для
хакерів став ігровий планшет.
Клієнти ділилися фотографіями та використовували функції чату з ігрових планшетів.
Інформація не була належним чином захищена, а веб-сайт компанії не підтримував безпечне
SSL-з'єднання. Занепокоєння з приводу хакерського втручання було настільки великим, що
навіть незважаючи на те, що "дірка" в системі безпеки не містила жодної інформації про
кредитні картки та особисті ідентифікаційні дані, компанія була відсторонена на фондовій
біржі.
Під час проникнення виявилось, що Vtech мав неостатньо надійний захист інформації
про клієнтів. Незважаючи на те, що компанія інформувала своїх клієнтів про те, що їх паролі
хешовані, хакери все ж змогли розшифрувати їх. Паролі в базі даних були хешовані за
допомогою хеш-функції MD5, але секретні питання та відповіді на них зберігалися у
звичайному тексті. На жаль, функція хешування MD5 має відомі вразливості. Хакери можуть
визначити оригінальні паролі, порівнюючи мільйони попередньо розрахованих значень хешу.
Інформацію, розкриту під час цього зламу, кіберзлочинці могли використовувати для
створення облікових записів електронної пошти, подання заявок на отримання кредитів та
вчинення інших злочинів, перш ніж діти стануть достатньо дорослими. Оскільки багато людей
повторно використовують свої паролі на різних веб-сайтах і в облікових записах, батьки цих
дітей також потенційно постраждали, тому що кіберзлочинці могли використовувати їх
онлайн-рахунки.
Висновки: порушення безпеки не лише вплинуло на конфіденційність споживачів, але й
знищило репутацію компанії, коли її усунули з фондової біржі. Для батьків, це порередження
бути пильними та дбати про конфіденційність своїх дітей в Інтернеті, вимагати кращої безпеки
для дитячих товарів. Виробники товарів, що пов'язані з мережею, повинні бути більш
активними у захисті даних клієнтів та їх конфіденційності, як зараз так і в майбутньому,
оскільки ландшафт кіберзагроз еволюціонує.
Класифікація зловмисників
Нападники - це особи або групи, які намагаються використати кібер-вразливість для
особистої або фінансової вигоди. Вони зацікавлені у всьому, від кредитних карток до
дизайну продукту та будь чого, що має цінність.
Аматори (Amateurs) – цих людей іноді називають скріпт-дітьми (Script Kiddies). Як правило,
це зловмисники, які практично не мають навичок і часто для запуску атак використовують
існуючі інструменти або знайдені в Інтернеті інструкції. Деякі з них роблять це просто з
цікавості, а інші намагаються продемонструвати свою майстерність і завдати шкоди. Вони
можуть використовувати базові інструменти, але результати можуть бути руйнівними.
Хакери (Hackers) - група зловмисників, яка з метою отримати доступ, зламує комп'ютери
або мережі. Залежно від наміру вторгнення ці зловмисники класифікуються як Білі, Сірі або
Чорні капелюхи. Білі капюлюхи втручаються в мережі або комп'ютерні системи, щоб
виявити слабкі місця та покращити безпеку цих систем. Ці вторгнення виконуються за
попереднім дозволом і всі результати повідомляються власнику. З іншого боку, Чорні
капелюхи використовують будь-яку вразливість для незаконної особистої, фінансової або
політичної користі. Сірі капелюхи знаходяться десь посередині між Білими та Чорними. Сірі
капелюхи можуть виявити вразливість у системі та повідомити про вразливість власників
системи, звичайно, якщо це збігається з їх планами. Деякі Сірі капелюхи публікують факти
про вразливість в Інтернеті, щоб інші нападники могли їх використовувати.
Організовані хакери (Organized Hackers) – до таких хакерів відносяться організації
кіберзлочинців, хактивісти, терористи та хакери, що фінансуються державою. Вони
зазвичай є групами професійних злочинців, орієнтованих на контроль, владу та багатство.
Ці злочинці дуже витончені та організовані, вони навіть можуть надавати кіберзлочинність,
як сервіс іншим злочинцям. Хактивісти роблять політичні заяви, щоб проінформувати про
важливі для них питання. Нападники, які фінансуються державою, здійснюють розвідку чи
саботаж від імені свого уряду. Ці нападники, як правило, якісно підготовлені та добре
Профіль кібер-нападника
Внутрішні загрози
безпеці
Внутрішній
користувач,
наприклад
працівник або
бізнес-партнер,
може випадково
чи навмисно:
• Неправильно вказати конфіденційні дані.
• Загрожувати функціонуванню внутрішніх серверів або пристроїв мережевої
інфраструктури.
• Сприяти зовнішнім атакам шляхом підключення заражених USB-носіїв до
корпоративної комп'ютерної системи.
• Випадково завантажити шкідливе програмне забезпечення у мережу через
шкідливі електронні листи або веб-сайти.
Зовнішні загрози безпеці
InfaGard є прикладом
широкого розповсюдження
кібер-інформації та
розвідданих.
Програма InfaGard –
об’єднання приватних
організацій, наукових
установ, державних та
місцевих правоохоронних
органів.
Учасники обмінюються
інформацією та
розвідданими для ворожих
кібератак.
Міжнародне право та кібербезпека
Сфера законів про кібербезпеку значно новіша, ніж сама
кібербезпека. Як згадувалося раніше, в більшості країн
існують свої закони, і їх кількість буде збільшуватись.
Міжнародне багатостороннє партнерство проти кібер-загроз
(IMPACT) - це перше, міжнародне публічно-приватне
партнерство, яке зосереджується на кіберзагрозах.
IMPACT це глобальне партнерство світових урядів,
представників промисловості та академічної спільноти, що
спрямоване на покращення глобальних можливостей у
боротьбі з кіберзагрозами.
ЗАКОН УКРАЇНИ «ПРО ОСНОВНІ ЗАСАДИ
ЗАБЕЗПЕЧЕННЯ КІБЕРБЕЗПЕКИ УКРАЇНИ»
05.10.2017 20.10.2017
прийнято підписано Головою
Верховною Радою України Верховної Радою України
07.11.2017 09.05.2018
підписано набирає чинності
Президентом України