Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Η παρουσίαση φορτώνεται. Παρακαλείστε να περιμένετε

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα 1: Εισαγωγικά Θέματα στην.

Παρόμοιες παρουσιάσεις


Παρουσίαση με θέμα: "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα 1: Εισαγωγικά Θέματα στην."— Μεταγράφημα παρουσίασης:

1 Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα 1: Εισαγωγικά Θέματα στην Ασφάλεια Εμμανουήλ Μάγκος

2 Syllabus A. Λίγα λόγια για το μάθημα B. Κίνητρα για την Ασφάλεια C. Η έννοια της Ασφάλειας Συστημάτων και Δικτύων D. Το γνωστικό αντικείμενο της Ασφάλειας

3 Ιστορία της Ασφάλειας (1/3) 1940s: Πρώτοι Η/Υ (Colossus, EDVAC, ENIAC) 1960’s Πολυχρηστικά συστήματα (multi-user). Ανάγκη προστασίας: 1. Του συστήματος από τους χρήστες 2. Των χρηστών (μεταξύ τους) 1970’s: H εποχή των Mainframes: RAND Report, Anderson Report Μοντέλο Bell-Lapadula Multics project Data Encryption Standard (DES) Public Key Cryptography (Graham, 1968) (Ware, 1970) (Anderson, 1972) (Bell and LaPadula, 1973) (Organick, 1972) (USDoC, 1977) (Diffie-Hellmann, 1976)

4 Ιστορία της Ασφάλειας (2/3) 1980’s: Η εποχή των PC’s Single-user systems… (more or less security?) Orange Book MLS, Information Flow,… Internet Worm (1988) 1990’s: Η Εποχή του Internet Internet security ≡ Communications Security (?) Buffer Overflow, Mail Worms, DOS attacks Digital Rights Management (DRM) (DoD 1985) (Clark & Wilson 1987, Brewer & Nash, 1989) (Shoch and Hupp 1980, Cohen, 1985) (Phrack, 1996) (Grover, 1992)

5 Β. Μα, γιατί μιλάμε για την ασφάλεια; Κακόβουλο λογισμικό (botnets, trojans, rootkits),…. Παράνομη εισβολή σε συστήματα, (Hacking, cracking…), Μη εξουσιοδοτημένη πρόσβαση σε πληροφορία (read, write) Επιθέσεις Άρνησης Εξυπηρέτησης (DOS, DDOS). Επιθέσεις Πλαστοπροσωπίας (Spoofing / Masquerading), Κλοπή Ταυτότητας (Identity Theft) Υποκλοπές Επικοινωνιών, Πρόσβαση σε προσωπικά δεδομένα Μη ζητηθείσα επικοινωνία (spam), «Ηλ. Ψάρεμα» (Phishing) Ηλεκτρονικό έγκλημα (cyber-crime), παιδική πορνογραφία,… Παραβίαση δικαιωμάτων πνευματικής ιδιοκτησίας …

6 Spoofing / Masquerading

7 Μα, γιατί μιλάμε για την ασφάλεια; Cisco, Annual Security Report, 2011

8

9 Phishing -Kοινωνική μηχανική (social engineering)

10 Social engineering

11 Facebook clickjacking Panda Labs, Quarterly Report, April-June 2010

12 Tabnapping

13 Cisco 2011 Annual Sec. Report

14 Quarterly Report, Panda Labs, July-September 2011

15 Cisco 2011 Annual Sec. Report

16 Cisco 2011 Annual Sec. Report

17 Cyber-Physical Security (CPS) Case: Stuxnet Worm Case: Stuxnet Worm

18 C. Ασφάλεια – Ορισμοί Security: (Oxford Dictionary) Freedom from danger or anxiety Ασφάλεια: (Μπαμπινιώτης) Η κατάσταση στην οποία … αισθάνεται κανείς ότι δεν απειλείται. Η αποτροπή κινδύνου ή απειλής… Ασφάλεια (Security) & Ασφάλεια (Safety) Security: Προστασία έναντι εχθρού Safety: Προστασία έναντι σφαλμάτων, λαθών, ατυχημάτων, παραλείψεων Η “ασφάλεια” στα ελληνικά: Ένα σημαίνον για δύο σημαινόμενα

19 Τι σημαίνει «Ασφαλές Σύστημα»; Θεώρηση από τη σκοπιά της «Ανάλυσης και Διαχείρισης Κινδύνων»

20 Τι σημαίνει «Ασφαλές Σύστημα»; Δρ. Π. Κοτζανικολάου, «Τεχνολογία και Πολιτικές Ασφάλειας», Πανεπιστήμιο Πειραιώς, 2009

21 Computer Security - The CIA Triad (NIST, 1995) The protection afforded to an automated information system in order to attain the applicable objectives of preserving the integrity, availability and confidentiality of information system resources includes hardware, software, firmware, information/data, and telecommunications The CIA Security Requirements Triad

22 CIA Security Triad (FIPS PUB 199)

23 CIA Security Triad (NIST FIPS Standard, 2004)

24 Αγαθά, Αξία Αγαθών (Σχετ: Συνέπεια) & Κατηγοριοποίηση Αγαθών 3 Levels of Impact (from a security breach) 1. Low 2. Moderate 3. High A. Security Categorization applied to Information Τypes (FIPS PUB 199)

25 Αγαθά, Αξία Αγαθών (Σχετ: Συνέπεια) & Κατηγοριοποίηση Αγαθών 3 Levels of Impact (from a security breach) 1. Low 2. Moderate 3. High B. Security Categorization applied to Information Systems (FIPS PUB 199)

26 Απειλές στην Ασφάλεια (RFC 2828, 2000) – Internet Security Glossary

27 Απειλές στην Ασφάλεια – 1 η Θεώρηση 1. Παθητικές επιθέσεις: τις κάνει η Eve (eavesdrop) Packet sniffing Traffic analysis Αλλά και: Password cracking / breaking a crypto key … 2. Ενεργητικές επιθέσεις: τις κάνει ο Mallory Πλαστοπροσωπία: Masquerading, Spoofing, MIM Επιθέσεις επανάληψης (replay) Επιθέσεις άρνησης εξυπηρέτησης (Denial Of Service – DOS) Επιθέσεις Τροποποίησης (modification) …

28 Απειλές στην Ασφάλεια – 2 η Θεώρηση Information Source Information Destination Normal Information Source Information Destination Interruption Information Source Information Destination Interception Information Source Information Destination Modification Information Source Information Destination Fabrication (Pfleeger, 2003)

29 A Taxonomy of Attacks Passive Interception (confidentiality) Release of Message contents Traffic analysis Active Modification (integrity) Fabrication (integrity) Interruption (availability) (Pfleeger, 2003)

30 Απειλές στην Ασφάλεια – Άλλες Θεωρήσεις (1/2) 1. Εξωτερικές Απειλές: Χρήστες εκτός Επιχείρησης / Οργανισμού Outsiders: Hackers / Crackers / Vandals / Hacktivists Outsiders: Κοινωνικοί Μηχανικοί (Social Engineers) 2. Εσωτερικές Απειλές: - Χρήστες εντός Επιχείρησης/Οργανισμού Insiders: Παράκαμψη ελέγχου πρόσβασης «εκ των έσω» π.χ. Δυσαρεστημένοι υπάλληλοι, λάθη & απροσεξίες

31 Απειλές στην Ασφάλεια – Άλλες Θεωρήσεις (2/2) Τυχαίες ή Εσκεμμένες Φυσικές π.χ. φωτιά Διακοπή ρεύματος; Εξοπλισμός π.χ. CPU, Δίκτυο, Σκληρός δίσκος, - Σφάλμα εφαρμογής, - Buffer overflow attacks Ανθρώπινες e.g.Λάθη χρήστη, hackers, Ιοί.

32 Ενδεικτικός Πίνακας Απειλών Παράδειγμα

33 AvailabilityConfidentialityIntegrity HardwareEquipment is stolen or disabled, thus denying service. SoftwarePrograms are deleted, denaying access to users. An unauthorized copy of software is made. A working program is modified to cause it to fail or to cause it to do some unintended task. DataFiles are deleted, denying access to users. An unauthorized read of data is performed. An analysis of statistical data reveals underlaying data. Existing files are modified or new files are fabricated. Communication Lines Messages are destroyed or deleted. Messages are read. Traffic patterns are observed. Messages are modified, destroyed, reordered, duplicated. False messages are injected. Threats (attacks) and assets (Stallings & Brown, 2008)

34 Ευπάθειες (Vulnerabilities) Ευπάθεια ή Αδυναμία (Vulnerability) a) Οποιαδήποτε χαρακτηριστικά κάνουν ευάλωτο ένα αγαθό σε κάποια απειλή, δηλαδή αυξάνουν την πιθανότητα εκδήλωσης της απειλής Π.χ: εάν η πρόσβαση σε ένα απόρρητο αρχείο δεν προστατεύεται, το αρχείο έχει μεγάλη αδυναμία στην απειλή της κλοπής b) Οτιδήποτε μεγιστοποιεί τις συνέπειες από την εκδήλωση μίας απειλής Π.χ: εάν δεν υπάρχει σύστημα αυτόματης πυρόσβεσης σε ένα χώρο, η συνέπειες από μία πιθανή πυρκαγιά θα είναι πολύ μεγάλες

35

36 Ανάλυση Κινδύνου (Risk Analysis) Risk = Threat x Vulnerability x Impact (Asset value)

37 Διαχείριση Κινδύνου

38 Μια θεώρηση από τη σκοπιά των Οικονομικών της Ασφάλειας (Security Economics) Στόχος της ασφάλειας (Infosec goal) Ο σκοπός του ιδιοκτήτη ή χρήστη ενός αγαθού: επιθυμητή ισορροπία μεταξύ του κόστους και της συνέπειας από την επίθεση σε αγαθά, π.χ. Κόστος Μηχανισμών Ασφάλειας << Κόστος Αγαθών Κόστος Επίθεσης >> Ενδεχόμενο Όφελος

39 Απόκριση Back-up, Digital forensics, malware removal, hot sites,… Πρόληψη Φυσική ασφάλεια, access control, replication, Firewalls, Κρυπτογράφηση, Ψηφ. Υπογραφή, Προγράμματα antivirus, Ασφαλής Προγραμματισμός, Πολιτική κωδικών ασφάλειας,… Ανίχνευση Συστήματα Ανίχνευσης Εισβολών (IDS), Αρχεία καταγραφής, penetration testing,… Μηχανισμοί Ασφάλειας - 1 η Θεώρηση

40 Μηχανισμοί Ασφάλειας - 2 η Θεώρηση NIST I.S. Handbook: A Guide for Managers *

41 Κατηγορία Ελέγχου`ΠρόληψηΑνίχνευσηΑντιμετώπιση Φυσικής πρόσβασης (παραδείγματα) ΦράχτεςXX Προσωπικό ΑσφαλείαςXXΧ Έξυπνες Κάρτες (smartcards), ΒιομετρίαX Διαχειριστικός (παραδείγματα) Πολιτικές ΑσφάλειαςXXΧ Έλεγχος και ΕποπτείαXX Εκπαίδευση υπαλλήλωνXXΧ Λογικής Πρόσβασης (παραδείγματα) Λίστες Ελέγχου Πρόσβασης (ACLs), MAC, RBAC,…X Passwords, CAPTCHAsX Λογισμικό Antivirus, Anti-spam, Anti-Spyware,..XXX Κρυπτογράφηση Δεδομένων και ΕπικοινωνιώνXX Firewalls (Packet Filters, Application Gateways)XX Συστήματα Ανίχνευσης & Αποτροπής Εισβολών (IDS/IPS)XXX

42 D. To Γνωστικό Αντικείμενο – 1 η Θεώρηση ΑΣΦΑΛΕΙΑ ΑΣΦΑΛΕΙΑ ΥΠΟΛΟΓΙΣΤΙΚΩΝ ΣΥΣΤΗΜΑΤΩΝ ΚΑΙ ΕΦΑΡΜΟΓΩΝ ΑΣΦΑΛΕΙΑ ΔΙΚΤΥΩΝ ΚΑΙ ΥΠΟΔΟΜΩΝ ΑΣΦΑΛΕΙΑ ΠΛΗΡΟΦΟΡΙΩΝ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΕΜΠΙΣΤΕΥΤΙΚΟΤΗΤΑ ΑΚΕΡΑΙΟΤΗΤΑ ΦΥΣΙΚΗ ΑΣΦΑΛΕΙΑ ΛΕΙΤΟΥΡΓΙΚΗ ΑΣΦΑΛΕΙΑ ΑΣΦΑΛΕΙΑ ΠΡΟΣΩΠΙΚΟΥ ΔΙΑΘΕΣΙΜΟΤΗΤΑ ΑΥΘΕΝΤΙΚΟΤΗΤΑ

43 Model A for Security (Stallings, 2010)

44 Model B for Security (Stallings, 2010)

45 To Γνωστικό Αντικείμενο – 3 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

46 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

47 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

48 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

49 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

50 To Γνωστικό Αντικείμενο – 2 η Θεώρηση Πού γίνεται έρευνα; Πού γίνεται έρευνα;

51 Το Γνωστικό Αντικείμενο – 3 η θεώρηση Ενοποίηση Θεμάτων Ασφάλειας (Τμήμα Πληροφορικής)

52 1. Έλεγχος Πρόσβασης (Access Control) Έλεγχος Λογικής Πρόσβασης: Αυθεντικοποίηση Οντότητας Passwords, CAPTCHA’s, τεχνικές πρόκλησης – απάντησης, συστήματα ενιαίας πρόσβασης (single sign-on),… Έλεγχος Φυσικής Πρόσβασης Αυθεντικοποίηση Οντότητας Βιομετρία, smartcards, tokens… Έλεγχος Φυσικής Πρόσβασης σε υποδομές και αγαθά

53 2. Μοντέλα Εξουσιοδότησης και Ασφάλεια Συστήματος ACLs, Ασφάλεια MLS and information flow Sandboxing & Virtualization Application Security Memory security File system Security Digital Forensics Database Security OS Kernel Security Trusted Computing Hardware Security Tempest and Side Channel Attacks Assurance and Evaluation

54 3. Κακόβουλο Λογισμικό Bots, Botnets Worms & Trojans Rootkits Spam, Phishing & Fraud Intrusion Detection Wireless & Cellular Malware …

55 4. Ασφάλεια στο Web Web browser security Web app & web server security Web privacy Web-based malware …

56 5. Η Κρυπτογραφία στην Υπηρεσία της Ασφάλειας Κρυπτογραφικές τεχνικές στην Ασφάλεια Επικοινωνιών & Δικτύων Προηγμένες τεχνικές αυθεντικοποίησης οντότητας και δεδομένων Κρυπτογραφικές τεχνολογίες εμπιστευτικότητας και ακεραιότητας Κρυπτογραφικές τεχνικές για την προστασία της ιδιωτικότητας Ασφάλεια και Ιδιωτικότητα σε Κατανεμημένες Εφαρμογές …

57 6. Ασφάλεια Δικτύων TCP/IP Security (Application, Transport, IP, MAC layers,…) Personal and Network Firewalls Penetration testing Network Authentication Network intrusion Detection Security in Wireless networks Network security policies …

58 7. Ασφάλεια Κατανεμημένων Συστημάτων Security Domains E-commerce transactions E-voting/ e-auctions Distributed Databases Security Distributed applications Security Distributed File Systems Security Web Services (WS) Security Security and Privacy in Pervasive Computing Environments Security and Privacy in Location-based Services (LBS) Security in banking/health sector

59 8. Κοινωνικά και Θεσμικά Ζητήματα της Ασφάλειας User anonymity & Privacy Freedom-of-Speech & Censorship Security and Usability Security Psychology Security Economics … Αλλά και: Νομικά και Θεσμικά Ζητήματα Κυβερνο-έγκλημα (Cyber crime) Πνευματικά Δικαιώματα Δεοντολογία & Κυβερνο-ηθική (Cyber-ethics) …

60 9. Διαχείριση Ασφάλειας Δικτύων και Πληροφοριακών Συστημάτων

61 Βιβλιογραφία D. Gollmann. Computer Security. 3 rd Edition, Wiley, 2011 W. Stallings. Cryptography and Network Security, Principles and Practice. 5 th Edition, Pearson, 2010 R. J. Anderson. Security Engineering. 2 nd Edition, Wiley, 2008 S. L. Pfleeger. Security in Computing. 3 rd Edition. Prentice Hall, 2003


Κατέβασμα ppt "Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Ακαδημαϊκό Έτος 2012-2013 Εξάμηνο: Δ’ Ασφάλεια Υπολογιστών και Προστασία Δεδομένων Ενότητα 1: Εισαγωγικά Θέματα στην."

Παρόμοιες παρουσιάσεις


Διαφημίσεις Google