• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
03 IT Biztonsági ökölszabályok
 

03 IT Biztonsági ökölszabályok

on

  • 2,001 views

 

Statistics

Views

Total Views
2,001
Views on SlideShare
1,738
Embed Views
263

Actions

Likes
0
Downloads
0
Comments
0

4 Embeds 263

http://infobiz.hu 191
http://www.infobiz.hu 67
http://www.slideshare.net 4
http://infobiz.mediacenter6.hu 1

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    03 IT Biztonsági ökölszabályok 03 IT Biztonsági ökölszabályok Presentation Transcript

    • Információbiztonsági ökölszabályok
    • 1. ökölszabály
      • Biztonságot utólag „adni” egy rendszerhez drágább és kevésbé hatásos, mint kezdetektől a rendszerrel együtt tervezni
      • „ A biztonság nem egy termék, hanem egy eljárás.”
        • Az informatikai biztonságnak már a rendszer tervezésénél meg kell jelennie mind a követelmények meghatározásánál, mind a megfelelő védelmi intézkedések kiválasztásánál. Utólag a biztonságot „hozzáadni” egy rendszerhez jóval drágább és legtöbbször sokkal kevésbé hatásos.
        • A biztonságot nem lehet úgy kezelni, mint egy extra funkciót, az gyakorlatilag az egész rendszert jellemző adottság.
    • 2. ökölszabály
      • Nincs 100 %-os biztonság
        • A biztonság fogalmának meghatározása nehéz.
        • Időbeliség : Jelen időben beszélünk arról, hogy egy rendszer biztonságos, és azt értjük alatta, hogy a múltbéli tapasztalatokra építve úgy várható, hogy a rendszer a jövőben az elvárásoknak megfelelően fog működni , a nem kívánt eseményeket ki tudja védeni, illetve le tudja kezelni.
        • Ezért a legkomolyabb védekezés esetén sem beszélhetünk 100%-os biztonságról .
    • 3. ökölszabály
      • Biztonsági lyukak voltak, vannak és lesznek …
        • Mindennaposak a számítástechnikai rendszereknél a programhibákból eredő biztonsági lyukak ról szóló híradások.
        • Sajnálatos módon a mai technológiai, fejlesztési és gazdasági környezet nem teremt olyan motivációs illetve érdekeltségi környezetet , hogy a biztonsági lyukak visszaszorulására, eltűnésére vagy gyakoriságuk csökkenésére belátható időn belül számítani lehetne.
    • 3. ökölszabály
      • Biztonsági lyukak voltak, vannak és lesznek …
        • Ennek oka több negatív tényezőből fakad:
          • Az „összes” biztonsági lyuk felfedezése és megszüntetése nehéz, azonban elég egyetlen lyukat találni egy sikeres visszaéléshez .
          • A támadók több ezren vannak és gyakran évek állnak a rendelkezésükre , míg a szoftver fejlesztői/tesztelői csupán korlátozott erőforrással rendelkeznek és a terméket hamar a piacra kell dobniuk.
          • A biztonsági lyukakból keletkező kár a felhasználóknál csapódik le , így a fejlesztők csak közvetve, néha még annyira sem érdekeltek a probléma megnyugtató megoldásában.
        • Ezek a körülmények nem hatnak pozitívan arra, hogy a biztonsági lyukak lététől belátható időn belül megszabaduljunk, sajnos így inkább a velük való együttélésre kell felkészülni.
      • Addig nem hiszik el az emberek, hogy valami biztonsági esemény érheti őket, amíg meg nem történik velük.
        • Elkerülendő, hogy csak akkor vegyék komolyan a biztonságot, amikor biztonsági esemény történik, érdemes demonstrálni a fenyegetettséget és a sikeres támadás hatásait .
        • Egy ilyen akció segíti a megelőzésre való törekvést, bővíti az észleléshez szükséges tapasztalatokat és előkészti a munkát a katasztrófa-terv elkészítéséhez.
      4. ökölszabály
    • 5. ökölszabály
      • A hamis biztonságérzet, vagy a túlzott veszélyérzet egyaránt káros
      • „ Jobb félni, mint megijedni, de nem lehet folyamatos rettegésben élni.”
        • Nagyon fontos hogy elkerüljük mind a hamis biztonságérzet, mind pedig a túlzott veszélyérzet kialakulását .
        • Mind a veszélyérzet hiánya, a hamis biztonságérzet, mind a túlzott félelem komoly veszélyt jelent. Ezért rendkívül fontos az oktatás és felkészülés révén a valós kockázat megismerése, a kockázat-arányos védekezés kialakítása és a maradék kockázat tudatos vállalása.
    • 6. ökölszabály
      • Jobb megelőzni, mint javítani
      • „ Okos ember más kárán tanul, a buta sajátján.”
        • Nagy általánosságban igaz, hogy sokkal olcsóbb a veszélyek bekövetkezését megfelelő intézkedésekkel megelőzni, mint az esetleges bekövetkezés során az okozott hatást elhárítani, javítani. Ezért a biztonsági rendszerek tervezésekor célszerűbb hatékony megelőző ( preventív ) védelmi intézkedések foganatosítása , de mivel tökéletes védelem általában nem adható, a felismerő ( detektív ) és elhárító ( korrektív ) intézkedésekről sem szabad megfeledkezni . Fontos tehát e három – úgynevezett PreDeCo – védelmek között a megfelelő arány kialakítása.
    • 7. ökölszabály
      • A redundancia nem feltétlenül növeli a megbízhatóságot
        • Körültekintően kell eljárni a redundáns struktúrák alkalmazásával, mert könnyen előfordulhat, hogy a drágább, nagyobb komplexitású többszörözött rendszer kisebb rendelkezésre állást eredményez – azaz hamarabb elromlik –, mint az egyszerű egyedülálló rendszer a komplexitás növekedésének köszönhetően.
        • Példa: Amennyiben egy adott statisztikai gyakorisággal meghibásodó eszköz helyett két ugyanilyen eszközt alkalmazunk úgy, hogy a jó működéshez mindkét eszköz együttes rendelkezésre állása szükséges, akkor kétszer akkora statisztikai gyakorisággal fog a kettő közül egy meghibásodni.
      • Egy számítógép annyira biztonságos, amennyire megbízható a rendszergazdája.
        • Általában a belső alkalmazott nagyobb veszélyt tud jelenteni a rendszerre, mint egy külső támadó.
        • Ennél csak a rendszergazda tud nagyobb veszélyt jelenteni. Ezért fontos a rendszergazdák megbecsülése (ő is ember), de ugyanakkor felügyelése is (pl. napló fájlokat más nézze át rendszeresen, időszakosan visszatérő audit alá kerüljön az ő tevékenysége is).
      8. ökölszabály
    • 9. ökölszabály
      • Egy rendszer mindig annyira erős, mint a leggyengébb eleme
      • „ A legerősebb lánc is a leggyengébb láncszeménél szakad.”
        • A támadók egy rendszerben mindig a leggyengébb pontot keresik, és azt kihasználva törnek be. Vagyis a védekezés tervezése során is a leggyengébb láncszemeket kell feltárni és elsődlegesen azok ellen kell védekezni .
        • Az az ideális, ha egyenszilárdságú védelmet valósítunk meg. Azaz nem hagyunk nyitva a rendszer védelmében a többi védelemhez képest gyenge láncszemet eredményező kiskaput , illetve (pénzügyi okokból) nem alkalmazunk túlzottan erős (és így feleslegesen drága) megoldást, hiszen a biztonság eredő szintjét úgyis a leggyengébb elem határozza meg nagyságrendileg .
      • Ártalmatlan információ pedig nem létezik …
        • A „social engineer”-ek a kollegák jóhiszeműsé-gét, bizalmát vagy hiszékenységét használják ki, hogy elérjék céljaikat. – Sokszor sikerrel.
        • Az egyes „ártalmatlannak tűnő” információk segítségével egy külső támadó már könnyebben tudja megnyerni a bizalmat, hogy hozzáférhessen a bizalmas információhoz.
        • Egy kirakós játék darabjaihoz hasonlóan önmagukban az egyes információk nem sokat érnek. Azonban a részeket egymás mellé rakva összeáll a kép.
      10. ökölszabály
    • 11. ökölszabály
      • A jelszavak titkosságát feltételezni illúzió
      • „ Hamis biztonságérzetben ringatózni veszélyes.”
        • A jelszó alapú azonosítás egyszerű, költség-hatékony, viszont azon biztonsági módszerek körébe tartozik, amelyek erőssége korlátozott , azaz egy adott szintnél jobban nem fokozható.
        • A jelszavak feltörésének számtalan technikai és egyéb módszere van, amellyel a jelszavak (különösen a statikus jelszavak) feltörhetők vagy megszerezhetők.
        • Ebből az is következik, hogy a jelszó alapú felhasználó-azonosítási módszerek önmagukban nem (vagy csak korlátozottan) tekinthetőek biztonságosnak .
    • 12. ökölszabály
      • Ne küldj tovább sok címzettnek kéretlen levelet!
      • „ Nem minden az, aminek látszik.”
        • Az elektronikus kommunikációs formáknak ugyanúgy meg kell tanulni a szabályait, mint bármilyen más társadalmi érintkezésnek.
        • Az Internetes levelezés egyik legzavaróbb tényezője a kéretlen levelek nagy száma.
        • A kéretlen leveleknek két nagy csoportja van:
          • Az egyik a kérés nélkül sok címzettnek továbbított reklámlevél, a spam .
          • A kéretlen levelek másik csoportja az úgynevezett ugratás avagy hoax . Ebben az esetben nem egy személy vagy szervezet küld szét sok címzettnek egy levelet, hanem maga a levél szólítja fel olvasóját, hogy küldje azt tovább ismerőseinek.
    • 13. ökölszabály
      • Mindenki célpont az Interneten
      • „ Rád találnak, bárhol is vagy...”
        • Sokan úgy gondolják, hogy az ő Internetre kötött számítógépüket nem szükséges védeni, mert azon nincs semmi érdekes, úgysem akar arra betörni senki. Akik ezt gondolják, azok súlyosan tévednek...
        • Soha nem szabad lebecsülni a fenyegetettségeket, és arra gondolni, hogy ,,velem úgysem történhet meg”. A támadók sokszor olyan automatikus eszközökkel keresik a gyenge pontokat, melyek nem foglalkoznak az egyéniségünkkel, csak azzal, hogy egyszerűen kitalálható-e a jelszavunk vagy sem.
      • A biztonság akkor fog jól működni, ha a biztonságos megoldás egyben az egyszerű megoldás.
        • A biztonsági intézkedések sokszor kényelmetlenséggel járnak, ezért az emberek végső esetben szabotálhatják is a rendszert, ami végül rosszabb helyzethez vezet, mint amilyen az intézkedések bevezetését megelőző helyzet volt.
        • Az egyszerű megoldást könnyebb elfogadtatni és a beidegződése is gyorsabb.
      14. ökölszabály
      • Rendszered biztonságára annyit költs, hogy a támadónak többet kelljen költeni a sikeres támadáshoz.
        • Az alábecslés után a túlértékelést is el kell kerülni.
        • Nagyon sok esetben a gyakorlat nem tudja követni ezt az ideális modellt, ezért a kívánt és a rendelkezésre álló erőforrásokból megvalósított biztonsági megoldások közötti rés a kockázati tényező forrása.
        • A kockázatelemzés már tapasztalt szakemberek területe, ezt mindenképpen érdemes rájuk bízni, mielőtt koncepciókialakításba vagy anyagi befektetésekbe fogunk.
      15. ökölszabály
      • Köszönöm megtisztelő figyelmüket!