03 IT Biztonsági ökölszabályok

1,493 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,493
On SlideShare
0
From Embeds
0
Number of Embeds
323
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

03 IT Biztonsági ökölszabályok

  1. 1. Információbiztonsági ökölszabályok
  2. 2. 1. ökölszabály <ul><li>Biztonságot utólag „adni” egy rendszerhez drágább és kevésbé hatásos, mint kezdetektől a rendszerrel együtt tervezni </li></ul><ul><li>„ A biztonság nem egy termék, hanem egy eljárás.” </li></ul><ul><ul><li>Az informatikai biztonságnak már a rendszer tervezésénél meg kell jelennie mind a követelmények meghatározásánál, mind a megfelelő védelmi intézkedések kiválasztásánál. Utólag a biztonságot „hozzáadni” egy rendszerhez jóval drágább és legtöbbször sokkal kevésbé hatásos. </li></ul></ul><ul><ul><li>A biztonságot nem lehet úgy kezelni, mint egy extra funkciót, az gyakorlatilag az egész rendszert jellemző adottság. </li></ul></ul>
  3. 3. 2. ökölszabály <ul><li>Nincs 100 %-os biztonság </li></ul><ul><ul><li>A biztonság fogalmának meghatározása nehéz. </li></ul></ul><ul><ul><li>Időbeliség : Jelen időben beszélünk arról, hogy egy rendszer biztonságos, és azt értjük alatta, hogy a múltbéli tapasztalatokra építve úgy várható, hogy a rendszer a jövőben az elvárásoknak megfelelően fog működni , a nem kívánt eseményeket ki tudja védeni, illetve le tudja kezelni. </li></ul></ul><ul><ul><li>Ezért a legkomolyabb védekezés esetén sem beszélhetünk 100%-os biztonságról . </li></ul></ul>
  4. 4. 3. ökölszabály <ul><li>Biztonsági lyukak voltak, vannak és lesznek … </li></ul><ul><ul><li>Mindennaposak a számítástechnikai rendszereknél a programhibákból eredő biztonsági lyukak ról szóló híradások. </li></ul></ul><ul><ul><li>Sajnálatos módon a mai technológiai, fejlesztési és gazdasági környezet nem teremt olyan motivációs illetve érdekeltségi környezetet , hogy a biztonsági lyukak visszaszorulására, eltűnésére vagy gyakoriságuk csökkenésére belátható időn belül számítani lehetne. </li></ul></ul>
  5. 5. 3. ökölszabály <ul><li>Biztonsági lyukak voltak, vannak és lesznek … </li></ul><ul><ul><li>Ennek oka több negatív tényezőből fakad: </li></ul></ul><ul><ul><ul><li>Az „összes” biztonsági lyuk felfedezése és megszüntetése nehéz, azonban elég egyetlen lyukat találni egy sikeres visszaéléshez . </li></ul></ul></ul><ul><ul><ul><li>A támadók több ezren vannak és gyakran évek állnak a rendelkezésükre , míg a szoftver fejlesztői/tesztelői csupán korlátozott erőforrással rendelkeznek és a terméket hamar a piacra kell dobniuk. </li></ul></ul></ul><ul><ul><ul><li>A biztonsági lyukakból keletkező kár a felhasználóknál csapódik le , így a fejlesztők csak közvetve, néha még annyira sem érdekeltek a probléma megnyugtató megoldásában. </li></ul></ul></ul><ul><ul><li>Ezek a körülmények nem hatnak pozitívan arra, hogy a biztonsági lyukak lététől belátható időn belül megszabaduljunk, sajnos így inkább a velük való együttélésre kell felkészülni. </li></ul></ul>
  6. 6. <ul><li>Addig nem hiszik el az emberek, hogy valami biztonsági esemény érheti őket, amíg meg nem történik velük. </li></ul><ul><ul><li>Elkerülendő, hogy csak akkor vegyék komolyan a biztonságot, amikor biztonsági esemény történik, érdemes demonstrálni a fenyegetettséget és a sikeres támadás hatásait . </li></ul></ul><ul><ul><li>Egy ilyen akció segíti a megelőzésre való törekvést, bővíti az észleléshez szükséges tapasztalatokat és előkészti a munkát a katasztrófa-terv elkészítéséhez. </li></ul></ul>4. ökölszabály
  7. 7. 5. ökölszabály <ul><li>A hamis biztonságérzet, vagy a túlzott veszélyérzet egyaránt káros </li></ul><ul><li>„ Jobb félni, mint megijedni, de nem lehet folyamatos rettegésben élni.” </li></ul><ul><ul><li>Nagyon fontos hogy elkerüljük mind a hamis biztonságérzet, mind pedig a túlzott veszélyérzet kialakulását . </li></ul></ul><ul><ul><li>Mind a veszélyérzet hiánya, a hamis biztonságérzet, mind a túlzott félelem komoly veszélyt jelent. Ezért rendkívül fontos az oktatás és felkészülés révén a valós kockázat megismerése, a kockázat-arányos védekezés kialakítása és a maradék kockázat tudatos vállalása. </li></ul></ul>
  8. 8. 6. ökölszabály <ul><li>Jobb megelőzni, mint javítani </li></ul><ul><li>„ Okos ember más kárán tanul, a buta sajátján.” </li></ul><ul><ul><li>Nagy általánosságban igaz, hogy sokkal olcsóbb a veszélyek bekövetkezését megfelelő intézkedésekkel megelőzni, mint az esetleges bekövetkezés során az okozott hatást elhárítani, javítani. Ezért a biztonsági rendszerek tervezésekor célszerűbb hatékony megelőző ( preventív ) védelmi intézkedések foganatosítása , de mivel tökéletes védelem általában nem adható, a felismerő ( detektív ) és elhárító ( korrektív ) intézkedésekről sem szabad megfeledkezni . Fontos tehát e három – úgynevezett PreDeCo – védelmek között a megfelelő arány kialakítása. </li></ul></ul>
  9. 9. 7. ökölszabály <ul><li>A redundancia nem feltétlenül növeli a megbízhatóságot </li></ul><ul><ul><li>Körültekintően kell eljárni a redundáns struktúrák alkalmazásával, mert könnyen előfordulhat, hogy a drágább, nagyobb komplexitású többszörözött rendszer kisebb rendelkezésre állást eredményez – azaz hamarabb elromlik –, mint az egyszerű egyedülálló rendszer a komplexitás növekedésének köszönhetően. </li></ul></ul><ul><ul><li>Példa: Amennyiben egy adott statisztikai gyakorisággal meghibásodó eszköz helyett két ugyanilyen eszközt alkalmazunk úgy, hogy a jó működéshez mindkét eszköz együttes rendelkezésre állása szükséges, akkor kétszer akkora statisztikai gyakorisággal fog a kettő közül egy meghibásodni. </li></ul></ul>
  10. 10. <ul><li>Egy számítógép annyira biztonságos, amennyire megbízható a rendszergazdája. </li></ul><ul><ul><li>Általában a belső alkalmazott nagyobb veszélyt tud jelenteni a rendszerre, mint egy külső támadó. </li></ul></ul><ul><ul><li>Ennél csak a rendszergazda tud nagyobb veszélyt jelenteni. Ezért fontos a rendszergazdák megbecsülése (ő is ember), de ugyanakkor felügyelése is (pl. napló fájlokat más nézze át rendszeresen, időszakosan visszatérő audit alá kerüljön az ő tevékenysége is). </li></ul></ul>8. ökölszabály
  11. 11. 9. ökölszabály <ul><li>Egy rendszer mindig annyira erős, mint a leggyengébb eleme </li></ul><ul><li>„ A legerősebb lánc is a leggyengébb láncszeménél szakad.” </li></ul><ul><ul><li>A támadók egy rendszerben mindig a leggyengébb pontot keresik, és azt kihasználva törnek be. Vagyis a védekezés tervezése során is a leggyengébb láncszemeket kell feltárni és elsődlegesen azok ellen kell védekezni . </li></ul></ul><ul><ul><li>Az az ideális, ha egyenszilárdságú védelmet valósítunk meg. Azaz nem hagyunk nyitva a rendszer védelmében a többi védelemhez képest gyenge láncszemet eredményező kiskaput , illetve (pénzügyi okokból) nem alkalmazunk túlzottan erős (és így feleslegesen drága) megoldást, hiszen a biztonság eredő szintjét úgyis a leggyengébb elem határozza meg nagyságrendileg . </li></ul></ul>
  12. 12. <ul><li>Ártalmatlan információ pedig nem létezik … </li></ul><ul><ul><li>A „social engineer”-ek a kollegák jóhiszeműsé-gét, bizalmát vagy hiszékenységét használják ki, hogy elérjék céljaikat. – Sokszor sikerrel. </li></ul></ul><ul><ul><li>Az egyes „ártalmatlannak tűnő” információk segítségével egy külső támadó már könnyebben tudja megnyerni a bizalmat, hogy hozzáférhessen a bizalmas információhoz. </li></ul></ul><ul><ul><li>Egy kirakós játék darabjaihoz hasonlóan önmagukban az egyes információk nem sokat érnek. Azonban a részeket egymás mellé rakva összeáll a kép. </li></ul></ul>10. ökölszabály
  13. 13. 11. ökölszabály <ul><li>A jelszavak titkosságát feltételezni illúzió </li></ul><ul><li>„ Hamis biztonságérzetben ringatózni veszélyes.” </li></ul><ul><ul><li>A jelszó alapú azonosítás egyszerű, költség-hatékony, viszont azon biztonsági módszerek körébe tartozik, amelyek erőssége korlátozott , azaz egy adott szintnél jobban nem fokozható. </li></ul></ul><ul><ul><li>A jelszavak feltörésének számtalan technikai és egyéb módszere van, amellyel a jelszavak (különösen a statikus jelszavak) feltörhetők vagy megszerezhetők. </li></ul></ul><ul><ul><li>Ebből az is következik, hogy a jelszó alapú felhasználó-azonosítási módszerek önmagukban nem (vagy csak korlátozottan) tekinthetőek biztonságosnak . </li></ul></ul>
  14. 14. 12. ökölszabály <ul><li>Ne küldj tovább sok címzettnek kéretlen levelet! </li></ul><ul><li>„ Nem minden az, aminek látszik.” </li></ul><ul><ul><li>Az elektronikus kommunikációs formáknak ugyanúgy meg kell tanulni a szabályait, mint bármilyen más társadalmi érintkezésnek. </li></ul></ul><ul><ul><li>Az Internetes levelezés egyik legzavaróbb tényezője a kéretlen levelek nagy száma. </li></ul></ul><ul><ul><li>A kéretlen leveleknek két nagy csoportja van: </li></ul></ul><ul><ul><ul><li>Az egyik a kérés nélkül sok címzettnek továbbított reklámlevél, a spam . </li></ul></ul></ul><ul><ul><ul><li>A kéretlen levelek másik csoportja az úgynevezett ugratás avagy hoax . Ebben az esetben nem egy személy vagy szervezet küld szét sok címzettnek egy levelet, hanem maga a levél szólítja fel olvasóját, hogy küldje azt tovább ismerőseinek. </li></ul></ul></ul>
  15. 15. 13. ökölszabály <ul><li>Mindenki célpont az Interneten </li></ul><ul><li>„ Rád találnak, bárhol is vagy...” </li></ul><ul><ul><li>Sokan úgy gondolják, hogy az ő Internetre kötött számítógépüket nem szükséges védeni, mert azon nincs semmi érdekes, úgysem akar arra betörni senki. Akik ezt gondolják, azok súlyosan tévednek... </li></ul></ul><ul><ul><li>Soha nem szabad lebecsülni a fenyegetettségeket, és arra gondolni, hogy ,,velem úgysem történhet meg”. A támadók sokszor olyan automatikus eszközökkel keresik a gyenge pontokat, melyek nem foglalkoznak az egyéniségünkkel, csak azzal, hogy egyszerűen kitalálható-e a jelszavunk vagy sem. </li></ul></ul>
  16. 16. <ul><li>A biztonság akkor fog jól működni, ha a biztonságos megoldás egyben az egyszerű megoldás. </li></ul><ul><ul><li>A biztonsági intézkedések sokszor kényelmetlenséggel járnak, ezért az emberek végső esetben szabotálhatják is a rendszert, ami végül rosszabb helyzethez vezet, mint amilyen az intézkedések bevezetését megelőző helyzet volt. </li></ul></ul><ul><ul><li>Az egyszerű megoldást könnyebb elfogadtatni és a beidegződése is gyorsabb. </li></ul></ul>14. ökölszabály
  17. 17. <ul><li>Rendszered biztonságára annyit költs, hogy a támadónak többet kelljen költeni a sikeres támadáshoz. </li></ul><ul><ul><li>Az alábecslés után a túlértékelést is el kell kerülni. </li></ul></ul><ul><ul><li>Nagyon sok esetben a gyakorlat nem tudja követni ezt az ideális modellt, ezért a kívánt és a rendelkezésre álló erőforrásokból megvalósított biztonsági megoldások közötti rés a kockázati tényező forrása. </li></ul></ul><ul><ul><li>A kockázatelemzés már tapasztalt szakemberek területe, ezt mindenképpen érdemes rájuk bízni, mielőtt koncepciókialakításba vagy anyagi befektetésekbe fogunk. </li></ul></ul>15. ökölszabály
  18. 18. <ul><li>Köszönöm megtisztelő figyelmüket! </li></ul>

×