# Bezpečnost 4IT424 2019 [toc] <style> .toc li:first-child { display: none; } </style> # 1. Informační bezpečnost (definice, principy, přínosy) ## Definice bezpečnost informací ve všech jejich formách během celého jejich „životního cyklu“ je systém ochrany informací ve všech možných podobách - systém - nejde o jednorázové opatření, ale o zavedení jednoho z klíčových procesů organizace (fungujícího a rozvíjejícího se) - ochrana - zajištění základních bezpečnostních principů: důvěrnosti, integrity, dostupnosti (CIA -Confidentiality, Integrity, Availability) a dalších - informace – elektronické, papírové; sdílené, vyměňované e-mailem, faxem, telefonem ## Principy CIA - Důvěrnost – omezení přístupu na subjekty, které k tomu mají oprávnění, obrana proti vyzrazení informací neoprávněným osobám - Integrita – správnost a úplnost zpracovávaných informací vzhledem k definovaným požadavkům, znemožnění neoprávněného pozměňování a poškozování informací - Dostupnost – přístupnost informací a s nimi souvisejících aktiv oprávněným uživatelům kdykoliv je potřebují k plnění svých úkolů - další principy: Určení zodpovědnosti, Autentičnost, Nepopiratelnost, Spolehlivost ## Přínosy - minimalizace rizik prokazatelně existujících hrozeb (počítačové viry, neoprávněná manipulace s daty, ztráta nebo vyzrazení citlivých dat, průniky z internetu apod.) - jasné postupy řešení neočekávaných situací (minimalizují potenciální ztráty – důsledky případných výpadků a havárií) - vymezení povinností a zodpovědnosti zaměstnanců (snižuje riziko bezp. incidentů, zajišťuje nepopiratelnost) - naplnění legislativních požadavků # 2. Systém řízení bezpečnosti informací (ISMS) – definice, přínosy, důvody zavádění, předpoklady zavedení) ## Definice „ISMS je systém managementu bezpečnosti informací“ - Založen na přístupu vyhodnocování rizik - Komplexní mechanismus průběžné analýzy, implementace, kontroly, údržby a zlepšování systému informační bezpečnosti - Zajištění systematické prevence vzniku incidentů - Spolehlivé vnitřní kontrolní mechanizmy - Stanovení vymahatelných pravidel a povinností pro všechny zainteresované strany ## Přínosy Informační bezpečnost zajišťuje hlavní procesy organizace (např. business procesy) a chrání tím organizaci před uplatněním hrozeb ohrožujících splnění jejich cílů, umožňuje organizaci plnit legislativní a smluvní požadavky, snižuje dopady bezpečnostních incidentů, havárií a výpadků. ## Důvody - zvýšení bezpečnosti informací ve společnosti preventivní (posílení vnitřních kontrolních mechanismů, „obavy“ IT nebo jiných útvarů, výstup provedených auditů) - reakce na „vlastní“ incident - reakce na medializovaný „cizí“ incident - marketingová (obchodní) výhoda (certifikát ISMS) - zákony a regulatorní požadavky (např. z mateřské společnosti) - sebevědomí společnosti, taktika CIO, CISO,…. ## Předpoklady - podpora a odpovědnost vedení společnosti - kvalifikovaný tým pro zavedení ISMS - konzultační podpora - zavedené funkční řídící procesy ve společnosti (ISMS je součástí systému řízení společnosti): ISO 9000 (kvalita), ISO 14000 (životní prostředí), ISO 20000 (procesy řízení IT služeb) - funkční řídící dokumentace – definovaný rozsah ISMS # 3. Implementace ISMS, PDCA cyklus - Proces správy a řízení rizik je základem ISMS - Bezpečnost informací nelze ztotožnit s bojem proti „hackerům“ a „spamu“ - Výběr vhodné metodologie a nástroje analýzy rizik (CRAMM, Octave, FRAAP, RA Tool,…….) - Využití standardů při zavádění ISMS (COBIT) - norma doporučuje zřízení kontinuálního a systematického procesu řízení bezpečnosti - ISMS není třeba nasazovat plošně. ## PDCA cyklus **P** – Plan – Ustanovení ISMS v souladu s ISO 27001. Stanovení rozsahu a hranic rozsahu ISMS, určení politiky, analýza rizik, prohlášení o aplikovatelnosti **D** – Do – Dělej – zavádění a provozování ISMS **C** – Control – Kontroluj – Monitorování a přezkoumání ISMS **A** – Act – Jednej – Udržování a zlepšování ISMS # 4. IT Governance a role manažerů ## IT Governance Souhrn vztahů a procesů sloužících k řízení a kontrole organizace při používání informačních technologií a procesů Účelem je: - Dosažení podnikatelských cílů - Získání přidané hodnoty - Udržování rovnováhy míry rizik a zisku IT Governance dává organizaci možnost efektivněji a bezpečněji využít zdroje IT Skládá se z: - Vedení - Organizačních struktur - Procesů, které mají zajistit, že IT v organizaci podporuje a rozšiřuje strategie a cíle organizace IT Governance: - fungování a transformace IT, aby plnilo současné i budoucí potřeby businessu a jeho zákazníků: - Řízení přidané hodnoty dodávané IT - Řízení IT rizik - Strategický soulad IT s businessem (sjednocení strategií) - Řízení IT zdrojů - Měření výkonnosti ## Role manažerů Jde o propojení řízení IT s řízení celé organizace - CIO (ředitel informatiky) - Orientace IS/ICT na základní cíle podniku (obchodní orientace) - Spolupodílet se na formulaci těchto cílů (inicializace cílů využívající nové možnosti IS/ICT) - Zajištění integrity IS/ICT podniku a koordinace všech projektů - Chief Information Security Officer (CISO) - Ochrana informačních aktiv organizace - Před ztrátou (důvěrnost aktiv, dostupnost aktiv) - Před zneužitím (důvěrnost aktiv) - Před pozměněním nebo poškozením (integrita a dostupnost aktiv) - Informační aktiva = informace, které mají pro organizaci hodnotu. - Informační bezpečnost= bezpečnost informací ve všech jejich formách během celého jejich „životního cyklu“ - Security Manager (SM) - Otázky bezpečnosti v rámci organizace - Fyzická ochrana - Požární ochrana - Ochrana zdraví a života - Kontinuita provozu # 5. Bezpečnostní politika, technická a organizační opatření ## Bezpečnostní politika - je základním kamenem informační bezpečnosti - základní dokument pokrývající bezpečnostní aspekty veškerých činností prováděných v organizaci - vyžaduje podporu vedení společnosti, aby byla zaručena její dostatečná účinnost - obsahuje základní záměry, cíle, role, vymezení pravomocí, obecné zásady a konkrétní opatření - má tři úrovně - strategickou - taktickou - operativní ## Opatření - Technická opatření - Antivirová ochrana + antispyware Personální firewall (nejen na noteboocích) - Nastavení a aktualizace operačního systému a prohlížeče - Organizační opatření: - Poučený, uvědomělý, ostražitý, opatrný uživatel - ISMS - Opatření technická a organizační - Použití silné autentizace (čipové karty, kalkulátory) - Kvalitně navržená architektura WWW/SSL aplikací - Komplexní bezpečnost stanice uživatele # 6. Management rizik, aktiva, zranitelnosti, hrozby, dopady ## Management rizik - předmětem management jsou aktiva. Koordinovaná činnost k řízení a kontrole organizace s ohledem na rizika ## Aktiva - všechna důležitá aktiva se musí evidovat (fyzická, informace/data, SW, knowhow, image firmy) ## Zranitelnost - slabá stránka aktiva nebo skupiny aktiv, která může být využita jednou nebo více hrozbami (ke způsobení škody nebo ztráty) - Nezbytnost monitoringu existujících zranitelností, identifikace zranitelností ## Hrozby - potenciální příčina incidentu, která může mít za následek poškození aktiv. Pro způsobení škody využívá existující zranitelnosti aktiv. - dělení: přírodní nebo lidský původ, náhodné nebo úmyslné. Proměna hrozeb -> nové zranitelnosti ## Dopady - důsledek nežádoucího incidentu, který má vliv na aktiva # 7. Základní standardy (normy) ISMS, legislativa ## Legislativa - Zákon č. 181/2014 Sb., o kybernetické bezpečnosti a o změně souvisejících zákonů (zákon o kybernetické bezpečnosti) Hlavním cílem zákona je: - stanovit základní úroveň bezpečnostních opatření, - zlepšit detekci kybernetických bezpečnostních incidentů, - zavést hlášení kybernetických bezpečnostních incidentů, - zavést systém opatření k reakci na kybernetické bezpečnostní incidenty, - upravit činnost dohledových pracovišť. Další příklady - Zákon o ochraně osobních údajů, ochraně utajovaných informací, o ochraně autorských práv, trestní a občanský zákoník, zákon o archivnictví a spisové služby, o elektronických úkonech a autorizované konverzi dokumentů... ## Základní standardy (normy) ISMS Normy: - Významná podpora pro zavádění informační bezpečnosti (metodický nástroj) - Důležitý prvek informační bezpečnosti sjednocující formy bezpečnostních opatření a přístupy k informační bezpečnosti - Využití „best practices“ („nejlepších zkušeností“) pomáhá při řešení bezpečnostních otázek - Konfrontace s realitou v organizaci - přizpůsobení Zatímco norma ISO 27002 poskytuje podrobný přehled (katalog) bezpečnostních opatření, které mohou být vybrány při budování ISMS, norma ISO 27001 specifikuje požadavky na to jak ISMS v organizaci správně zavést. # 8. Kybernetická bezpečnost, legislativa, základní pojmy ## Kybernetická bezpečnost - proces ochrany informací prostřednictvím prevence útoku˚, detekce útoku˚ a reakce na útoky (NIST, 2014). NIST dále definuje 5 funkcí kybernetické bezpečnosti: identifikační, ochranná, detekční, reakční zotavující - je definovaná jako zachování důvěrnosti, integrity a dostupnosti informace v kyber prostoru. Je proces ochrany informací prostřednictvím prevence útoků, detekce útoků a reakce na útoky. ## Základní pojmy - Kyber Prostor – je komplexní prostředí vyplývající z interakce lidí, softwaru a služeb na Internetu prostřednictvím zařízení a sítí, technologií k němu připojených, které neexistuje v žádné fyzické podobě - Kyber ochrana – stav ochrany proti fyzickým, sociální, duševním, finančním, politickým, citovým, profesním, psychologickým důsledkům selhání škody, chyby, nehod atd. v kyber prostoru, která by mohla být považována za nežádoucí. - Útok – pokus zničit, odkrýt, změnit, ukrást nebo získat neoprávněný přístup k aktivu. - Potenciál útok – potenciál pro úspěch útoku - Vektor útoku – cesta nebo prostředek, kterým útočník může získat přístup k počítači nebo síťovému serveru k provedení škodlivé činnosti Zranitelnost – slabina aktiva, která se může stát hrozbou - Hrozba – je potenciální příčina nechtěného incidentu, která může vést k poškození systému, jedince nebo org Hacking - umýslné přistupování do systému počítače bez opravnění - Hacker – člověk, který se snaží získat neautorizovný přístup do PC systému Etický hacker – to stejný akorát se svolením - Penetrační testování – reálný test učinnosti ochrany prostřednictvím simulace opravdového útoku ## Legislativa viz 7. # 9. Kritéria hodnocení bezpečnosti, bezpečnostní audity, penetrační testy Předmět bezpečnostního auditu:  ## Bezpečnostní audit - posouzení bezpečnosti konkrétních provozovaných technologií - předmětem auditu - informační systém - počítačová síť - vnitřní procesy, - dokumentace, - havarijní plány - konkrétní servery a jejich operační systémy - pracovní stanice - antivirový systém - aplikace, - databáze - internetové připojení - celá organizace - Interní vs externí audity(ty jsou často využívány pro certifikaci) - Technické bezpečnostní audity - obvykle nezabíhají mimo IT - Organizační bezpečnostní audity - Jsou zaměřené na organizačně procesní aspekty, dokumentaci, postupy, procedury - Certifikační audity - audit musí splňovat formální pravidla daná typem certifikace - Penetrační testy - Vulnerability Assessment (VA) - Posouzení bezpečnosti automatizovaným způsobem # 10. Monitoring sítí (Network behavior analyses, monitorování toků NetFlow, vztahy k SIEM, FW, SNMP, deep packet inspection, IPS, principy, výhody, přínosy, pohled CIO, ITadmin, security oddělení, srovnání klasických a nových metod monitoringu) ## Network behaviour analysis - způsob, jak zvýšit bezpečnost vlastní sítě prostřednictvím sledování provozu a zaznamenávání neobvyklých akcí nebo odchylek od běžného provozu. - Analýza chování sítě. Data si bere z NetFlow - Detekce změny chování a podezřelého chování. Založeno na analýze Ip statistik. - Detekce i neodhalených hrozeb. Je i pro šifrovaný provoz - detekce na základě pravidel / pokročilé metody AI <br> - NetFlow (protokol) – sleduje kdo, ským, co a jak dloho komunikoval, kolik dat se přeneslo. Přehledn o dění v síti, obsahuje efektivní troubleshooting - SIEM - Security Information and Event Management - Firewall - SNMP (protokol) – kolik paketů, bajtů proteklo přes daný port, pouze zákl info o množství provozu, pouze základní troubleshooting (sledování vytíženosti) - IPS – detekce útoků vyhledáváním aplikačních vzorů v paketech, ochrana proti známým hrozbám (databáze, heuristiky), neúčinné pro šifrovaný provoz, dokáže provoz aktivně blokovat - Flow monitoring – analýza na úrovni komunikací. Kompletní přehled o dění v síti včetně struktury provozu. Přehled dění v celé sítí. Umožňuje sledování trendů, bezpečnostní monitoring, performance monitoring... Účinné i pro šifrovaný provoz. - Paketová analýza – detailní analýza – na úrovní jednotlivých paketů a jejich obsahu, monitoring v konkrétním čase na konkrétním místě. Časově náročnější a pokud nevíme co hledáme musíme zpracovat obrovské množství dat. ## Přínosy - zvýšení vnější, ale především vnitřní bezpečnosti sítě - detekce skenování sítě, portů, DDoS, P2P přenosu, komunikace malware (s botnet sítí - CNC) - profilování zařízení a detekce změn v komunikaci # 11. Mobilní zařízení, největší výzvy firemní bezpečnosti, útoky na mobilní zařízení, BYOD, slabiny mobilních aplikací, způsoby ochrany) ## Útoky na mobilní zařízení - uživatelé na nich používají aplikace jako na desktopu (práce s emaily, firemní aplikace, bankovnictví ...) - Android zařízení jsou standardně krátkodobě podporována (nižší modely bez Android One mohou dostat například jen jednu aktualizaci za celou dobu používání, Google aktualizuje svá zařízení maximálně tři roky) - velmi častým vektorem útoku bývá instalace aplikací (i z oficiálních obchodů) - často používáná funkcionalita (baterka) - využívají podobná jména známých aplikací - phishingové odkazy, neoficiální obchody, apk ke stažení (např. placené verze programů) - obvykle zobrazují reklamy, kradou data, ale mohou zařízení i připojit do botnetu, zasílat prémiové sms atd. - ochrana: lze kontrolovat seznam oprávnění, nestahovat z neověřených zdrojů - napadení komunikace - Wifi, bluetooth, cellular ... - wifi - KRACK (efektivní "zničení" šifrování komunikace); rogue AP; sledování komunikace na otevřené wifi bez šifrování - bluetooth - BlueBorne (šíření malwaru s využitím bluetooth) - cellular - IMSI catcher, česky Agáta (simuluje BTS - provádí MITM útok - lze využít pro odposlechy, sledování datových toků z telefonu a jeho lokalizaci) - ochrana: vypínání wifi, gps, bluetooth, pokud nejsou potřeba; využívání airplane mode; na internet využívat zásadně šifrovaná spojení, popř. tunelovat přes VPN - fyzický přístup - zkopírování dat z uložiště telefonu/SD karty... - ochrana: zamykání, šifrování uložiště - zneužití chyby v prohlížeči/operačním systému - může v nejhorším případě vést až k získání roota ## BYOD - lze využít MDM pro správu mobilních zařízení - uživatel si nainstaluje aplikaci, která mu nakonfiguruje telefon, nainstaluje potřebné aplikace X někdy bývá zneužíváno ke sledování zaměstnanců ## Slabiny mobilních aplikací M1 Nevhodné použití platformy M2 Nezabezpečené úložiště dat - plaintext (ukládání citlivých dat mimo TEE - trusted execution environment /SEP - secure enclave processor) M3 Nezabezpečená komunikace - využívání http nebo jiného nešifrovaného protokolu M4 Nezabezpečená autentizace M5 Nedostatky v kryptografii - využivání zastaralých šifer popř. vlastních algoritmů (?!) M6 Nezabezpečená autorizace M7 Kvalita kódu na straně klienta M8 Neoprávněné zasahování do kódu M9 Reverzní inženýrství - u Androidu poměrně jednoduché (apktool) M10 Nadbytečná funkcionalita # 12. Cloud Security (definice, modely nasazení, typy cloudů, rizika, důvěryhodnost, komunikace, data a kontrola nad cloudem, autentizace, identita, audity, certifikace, útoky na cloudová řešení, trendy) ## Definice (není jednoznačná, je to **buzzword**) - velké množství snadno použitelných a dostupných virtuálních zdrojů (HW, služeb), které mohou být snadno nakonfigurovatelné. Většinou model pay per use. ## Modely - Public Cloud (veřejný cloud) – cloud je dostupný pro širokou veřejnost uživatelů a je vlastněn organizací prodávající služby cloudu - Private Cloud (Privátní cloud) – infrastruktura cloudu je provozována výhradně pro jednotlivou organizaci. Může být provozována jinou organizací (outsourcing) a může existovat v rámci prostor organizace (on-premises) tak mimo prostory organizace (off-premises) - Community cloud - infrastruktura cloudu je sdílena mezi více organizacemi a podporuje to, co tyto organizace sdílejí a mají společného - Hybrid cloud (Hybridní cloud) – infrastruktura cloudu je složena ze dvou a více cloudů (privátního, community, public), které zůstávají ohraničené, ale jsou spolu propojené, ## Typy - Podle toho jak je dodávan - SaaS - IaaS - PaaS ## Rizika - umístění dat a jejich vlastnictví - dostupnost služby a garance výkonu - regulatorní a legislativní problémy - důvěryhodnost poskytovatele - integrace s interními systémy společnosti - omezení stanovená bezpečnostními politikami uživatele - zpětné získání dat při zániku dodavatele - problémy přesunu od jednoho poskytovatele cloudu k jinému ## Autentizace/identita - SSO - jedny přihlašovací údaje napříč službami - využití MFA(multifactor authentification) ## Certifikace (complience) - potvrzení, že daný poskytovatel splňuje určité požadavky; specifické pro konkrétní země/odvětví (př. HIPAA, PCI DSS, EU Privacy shield, GDPR...) https://azure.microsoft.com/cs-cz/overview/trusted-cloud/compliance/ https://aws.amazon.com/compliance/programs/ ## Útoky - brute force útoky na přihlašovací údaje - DDoS útoky - side channel útoky (standardně mezi virtuály; viz Intel CPU problémy) ## Trendy - využití kontejnerů - větší automatizace (např. při load balancingu) - serverless computing # 13. Biometrie (definice, verifikace, identifikace, autentizace, metody autentizace, typy biometrických prvků, princip zpracování, vlastnosti pro identifikaci, FAR, FRR, příklady biometrie – krevní (žilní) řečiště) ## Definice - automatické rozpoznání lidí na základě jejich charakteristických anatomických rysů a chování ## Verifikace - proces, při kterém se biometrický systém pokouší potvrdit totožnost jedince, která se prokazuje, srovnáním naskenovaného vzorku s již dříve zapsaným ## Identifikace - proces, kdy se biometrický systém pokouší určit totožnost neznámého jedince. Informace je naskenována a porovná se všemi uloženými vzorky. ## Autentizace - stejný jako u rozpoznávání, na konci akorát dostane určitý status. ## Metody autentizace - heslo - předmět - biometrická autentizace ## Typy biometrických prvků – otisk prstu, sítnice a duhovka oka, geometrie ruky, struktura žil, dentální obraz, ucho, DNA, obličej, hlas, pach, dynamika podpisu. Princip zpracování – pořízení datového souboru (obraz, zvuk), který obsahuje bio vlastnost. Prověření kvality, Vyextrahování požadované biometrické veličiny. Zápis (uložení šablony do archívu referenčních šablon). Ověřování (porovnání). Výsledek ověřování FAR – False Acceptance Rate – neoprávněná osoba jako oprávněná FRR – False Rejection Rate – pravděpodobnost oprávněný uživatel odmítnut. # 14. Bezpečnostní rizika webových aplikací dle OWASP Top 10 - A1 Injection (Injektování) - A2 Broken Authentication (Chybná autentizace) - A3 Sensitive Data Exposure (Expozice citlivých dat) - A4 XML External Entities (XXE) - A5 Broken Access Control (Chyby v řízení přístupu) - A6 Security Misconfiguration (Nebezpečná konfigurace) - A7 Cross-Site Scripting (XSS) - A8 Insecure Deserialization (Nechráněná deserializace) - A9 Using Components with Known Vulnerabilities (Používání komponent se známými zranitelnostmi) - A10 Insufficient Logging & Monitoring (Nedostatečné logování a monitorování) # 15. Techniky bezpečnostního testování v různých fázích SDLC (Software development life cycle)  - navíc: penetrační testování, fuzzing, regresní testy Bezpečný provoz je zajištěn: monitoring, incident a problém management, vulnerability a patch management. # 16. Formulace bezpečnostních požadavků v rámci SDLC Bezpečnostní požadavky by měly zohlednit následující oblasti: - Důvěrnost, integrita, dostupnost (CIA) - Klasifikace dat Autentizaci a autorizaci - Audit Požadavky plynoucí z interních předpisů - Dodržení souladu s externími požadavky (compliance) - Požadavky specifické pro případy užití (use cases) Požadavky specifické pro integraci, nasazení a provoz Měly by být specifikovány následující oblasti: - způsob validace bezpečnostních požadavků jakým způsobem (metodou, technikou) a v jakých fázích životního cyklu má probíhat - volba taxonomie pro hrozby a protiopatření – klasifikace a kategorizace - způsob analýzy a hodnocení rizik Typy bezp. Požadavků: funkční a založené na riziku # 17. Penetrační testování: pojmy, principy, metodiky Pojmy jsou v [8.](#8-Kybernetická-bezpečnost-legislativa-základní-pojmy) ## Typy testů - podle množství informací, které o předmětu testu poskytne klient - black/grey/white box - podle prostředí – externí/interní testy, testy prováděné v testovacím/akceptačním/produkčním prostředí - podle předmětu testu – testy infrastruktury, OS, služeb, aplikací, mobilní app. - z hlediska informování o provedení test - předem ohlášený test / neohlášený test - z hlediska použitých/povolených technik – destruktivní techniky, DoS, social engineering Průběh - Záhájení – smluvní zajištění - Nepřímé získání informací bez interakce (google, Shodan) - Získání informací na základě interakce s předmětem testu - Penetrační testování – aktivní scany, testy konfigurací, testy známých zranitelností, testy 0day zranitelností (pokud je předmět testu vytvořen na míru) - Reporting - Opakované penetrační testování – zajišťuje jestli byly správně opraveny chyby - Aktualizace reportu - Uzavření projektu ## Metodiky - OWASP Testing Guide - PTES (Penetration Testing Execution Standard) - OSSTMM (Open Source Security Testing Methodology Manual) - PCI Penetration testing guide - https://www.owasp.org/index.php/Penetration_testing_methodologies # 18. Výzkum zranitelností a jejich životní cyklus - source code audit (hledání zranitelností v kódu, např. využívání nebezpečných funkcí v C) - reverse engineering (v případě black boxu) ## Životní cyklus 1. vytvoření zranitelnosti 2. nalezení zranitelnosti 3. vytvoření mechanismů pro využití zranitelnosti(exploit) 4. zveřejnění 5. dostupnost záplaty(patch) 6. instalace záplaty ###### tags: `4it424`