SIECI Zarzadzanie Ryzykiem

ZARZDZANIE
RYZYKIEM
W SIECIACH
- 1 -
Cele normy PN ISO/IEC 13335
G Zdefiniowanie i opisanie pojęć związanych z zarządzaniem bezpieczeństwem systemów
informatycznych.
G Zidentyfikowanie zależności pomiędzy zarządzaniem bezpieczeństwem systemów
informatycznych a zarządzaniem systemami informatycznymi w ogóle.
G Zaprezentowanie kilku modeli, które mogą być użyte do opisu bezpieczeństwa systemów
informatycznych.
G Dostarczenie ogólnych wytycznych do zarządzania bezpieczeństwem systemów
informatycznych.
Norma PN ISO/IEC 13335 składa się z kilku arkuszy. Arkusz 1 zawiera przegląd
podstawowych pojęć i modeli używanych do opisywania zarządzania bezpieczeństwem
systemów informatycznych. Materiał ten będzie przydatny kierownictwu odpowiedzialnemu za
bezpieczeństwo systemów informatycznych oraz osobom, które są odpowiedzialne za
całościowy program bezpieczeństwa w instytucji.
Arkusz 2 opisuje aspekty zarządzania i planowania. Będzie przydatny kierownictwu z zakresem
odpowiedzialności powiązanym z systemami informatycznymi w instytucji. Mogą to być:
G kierownicy działów systemów informatycznych, odpowiedzialni za nadzorowanie
projektowania, wdrożenia, testowania, zakupu i eksploatacji systemów informatycznych, lub
- 2 -
G kierownicy odpowiedzialni za czynności, których wykonywanie wymaga wykorzystywania
systemów informatycznych.
Arkusz 3 opisuje techniki bezpieczeństwa przydatne do użycia przez osoby zaangażowane w
działania kierownicze w trakcie trwania projektu, takie jak planowanie, projektowanie,
wdrażanie, testowanie, nabywanie i eksploatacja.
Użyteczne definicje
1. analiza ryzyka (risk analysis): proces identyfikacji ryzyka, określania jego wielkości i
identyfikowania obszarów wymagających zabezpieczeń.
2. bezpieczeństwo systemu informatycznego (IT security): wszystkie aspekty związane z
definiowaniem, osiąganiem i utrzymywaniem poufności, integralności, dostępności,
rozliczalności, autentyczności i niezawodności.
3. podstawowa ochrona (baseline controls): minimalny zbiór zabezpieczeń ustalony dla
systemu lub instytucji.
4. polityka bezpieczeństwa instytucji w zakresie systemów informatycznych (IT security
policy): zasady, zarządzenia i procedury, które określają, jak zasoby włącznie z
informacjami wrażliwymi - są zarządzane, chronione i dystrybuowane w instytucji i jej
systemach informatycznych.
5. rozliczalność (accountability): właściwość zapewniająca, że działania podmiotu mogą być
przypisane w sposób jednoznaczny tylko temu podmiotowi.
- 3 -
6. ryzyko (risk): prawdopodobieństwo, że określone zagrożenie wykorzysta podatność
zasobu lub grupy zasobów, aby spowodować straty lub zniszczenie zasobów.
7. ryzyko szczątkowe (residual risk): ryzyko, które pozostaje po wprowadzeniu
zabezpieczeń.
8. zabezpieczenie (safeguard): praktyka, procedura lub mechanizm redukujący ryzyko.
9. zarządzanie ryzykiem (risk management): całkowity proces identyfikacji, kontrolowania
i eliminacji lub minimalizowania prawdopodobieństwa zaistnienia niepewnych zdarzeń,
które mogą mieć wpływ na zasoby systemu informatycznego.
10.zasoby (assets): wszystko, co ma wartość dla instytucji.
Funkcje zarządzania bezpieczeństwem
G Zarządzanie bezpieczeństwem systemów informatycznych jest procesem stosowanym w celu
osiągnięcia i utrzymywania odpowiedniego poziomu poufności, integralności, dostępności,
rozliczalności, autentyczności i niezawodności. Na funkcje zarządzania bezpieczeństwem
systemów informatycznych składają się między innymi:
" określenie celów, strategii i polityk bezpieczeństwa systemów informatycznych w instytucji,
" określenie potrzeb bezpieczeństwa systemów informatycznych w instytucji,
" identyfikowanie i analizowanie zagrożeń dla zasobów systemów informatycznych
instytucji,
- 4 -
" identyfikowanie i analizowanie ryzyka,
" specyfikowanie odpowiednich zabezpieczeń,
" monitorowanie wdrożenia i eksploatacji zabezpieczeń w celu racjonalnej ochrony informacji
i usług w instytucji,
" opracowanie i wdrożenie programu uświadamiania w zakresie bezpieczeństwa,
" wykrywanie i reagowanie na incydenty.
Elementy procesu zarządzania zabezpieczeniami
" opracowanie polityki bezpieczeństwa instytucji w zakresie systemów informatycznych,
" identyfikacja ról i odpowiedzialności w instytucji,
" zarządzanie ryzykiem, w skład którego wchodzi identyfikacja i określenie: (1) zasobów
podlegających ochronie, (2) zagrożeń, (3) podatności, (4) wpływów, (5) ryzyk, (6)
zabezpieczeń, (7) ryzyka szczątkowego, (8) ograniczeń,
" zarządzanie konfiguracją,
" zarządzanie zmianami,
" planowanie awaryjne i planowanie odtwarzania po katastrofach,
" wybór i wdrożenie zabezpieczeń,
- 5 -
" świadomość w zakresie bezpieczeństwa oraz
" działania bieżące, w tym: (1) obsługa, (2) audyt bezpieczeństwa, (3) monitorowanie, (4)
przeglądy, (5) obsługa incydentów.
Elementy bezpieczeństwa
Zasoby:
" zasoby fizyczne (np. sprzęt komputerowy, urządzenia komunikacyjne, budynki),
" informacje/dane (np. dokumenty, bazy danych),
" oprogramowanie,
" zdolność produkowania lub świadczenia usług,
" ludzie i/lub
" dobra niematerialne (np. reputacja, wizerunek).
G Z perspektywy bezpieczeństwa, wdrożenie i obsługa skutecznej polityki bezpieczeństwa nie
będzie możliwe, jeśli zasoby instytucji nie zostaną zidentyfikowane.
G W wielu przypadkach proces identyfikacji zasobów może być wykonany na bardzo wysokim
poziomie ogólności i nie musi wymagać kosztownej, szczegółowej i czasochłonnej analizy.
- 6 -
G Poziom szczegółowości takiej analizy powinien być mierzony stosunkiem czasu i kosztów do
wartości zasobów. W każdym przypadku poziom szczegółowości należy określać w oparciu o
politykę bezpieczeństwa. W wielu przypadkach pomocne jest grupowanie zasobów.
Zagrożenia:
G Zasoby podlegają wielu rodzajom zagrożeń. Zagrożenie może być potencjalną przyczyną
niepożądanego incydentu, który może spowodować szkodę dla systemu lub instytucji i jej
zasobów. Zagrożenia mają charakterystyki, które dostarczają użytecznej informacji dotyczącej
samych zagrożeń, np:
LUDZKIE ŚRODOWISKOWE
Rozmyślne Przypadkowe
Podsłuch Pomyłki i pominięcia Trzęsienie
ziemi
Modyfikacja Skasowanie pliku Piorun
informacji
Włamania do Nieprawidłowe Powódz
systemu skierowanie
Złośliwy kod Wypadki fizyczne Pożar
Kradzież
- 7 -
" zródło, tj. zewnętrzne czy wewnętrzne,
" motywacja, np. zyski finansowe, wyprzedzenie konkurencji,
" częstotliwość pojawiania się,
" dotkliwość.
Podatność
G Podatność związana z zasobami oznacza pewną słabość fizyczną, organizacyjną,
proceduralną, osobową, zarządzania, administracji, sprzętu komputerowego, oprogramowania
lub informacji.
G Podatność może być wykorzystana przez zagrożenie, co może spowodować szkodę dla
systemu informatycznego lub celów działania instytucji.
G Podatność jako taka nie powoduje szkody; podatność jest jedynie warunkiem lub zbiorem
warunków, które mogą pozwolić zagrożeniu wpłynąć na zasoby.
G Podatność obejmuje słabości w systemie, które mogą być wykorzystane i mogą prowadzić do
niepożądanych konsekwencji. Stanowią one okazję, które mogą pozwolić zagrożeniu
wyrządzić szkodę. Np. brak mechanizmu kontroli dostępu jest podatnością, która może
pozwolić zaistnieć zagrożeniu w postaci włamania i utraty zasobów.
G W danym systemie lub instytucji nie wszystkie podatności będą podlegać zagrożeniom.
Należy natychmiast zająć się tymi podatnościami, które posiadają związane z nimi zagrożenia.
- 8 -
Środowisko może zmieniać się dynamicznie tak więc należy monitorować wszystkie
podatności, aby zidentyfikować te, które zostały narażone na stare lub nowe zagrożenia.
G Analiza podatności polega na badaniu słabości, które mogą być wykorzystywane przez
zidentyfikowane zagrożenia. Analiza ta musi brać pod uwagę środowisko i istniejące
zabezpieczenia. Podatność konkretnego systemu lub zasobu jest określeniem łatwości, z jaką
temu systemowi lub zasobowi może być wyrządzona szkoda.
Następstwa
G Następstwa są konsekwencją niepożądanego incydentu, spowodowanego rozmyślnie lub
przypadkowo, który wpływa na zasoby.
G Konsekwencją może być zniszczenie pewnych zasobów, zniszczenie części lub całości
systemu informatycznego, utrata poufności, integralności, dostępności, rozliczalności,
autentyczności lub niezawodności.
G Ilościowego i jakościowego określenia następstw można dokonać na różne sposoby, takie jak:
" określenie kosztu finansowego,
" przypisanie empirycznej skali szkodliwości (np. od 1 do 10),
" użycie przymiotników z uprzednio zdefiniowanej listy (np. niski, średni, wysoki).
- 9 -
Ryzyko:
G Ryzyko jest prawdopodobieństwem określającym możliwość wykorzystania określonej
podatności przez dane zagrożenie w celu spowodowania straty lub zniszczenia zasobu lub
grupy zasobów, a przez to negatywnego bezpośredniego lub pośredniego wpłynięcia na
instytucję. Jedno lub wiele zagrożeń może wykorzystać jedną lub wiele podatności.
G Ryzyko jest opisywane poprzez kombinację dwu czynników: prawdopodobieństwa
wystąpienia incydentu oraz związanych z nim następstw.
Zabezpieczenia:
G Zabezpieczenia to praktyki, procedury lub mechanizmy, które mogą chronić przed
zagrożeniem, redukować podatność, ograniczać następstwa, wykrywać niepożądane incydenty
i ułatwiać odtwarzanie. Efektywna ochrona wymaga zwykle kombinacji różnych zabezpieczeń
w celu utworzenia warstw ochronnych dla zasobów.
G Zabezpieczenia realizują jedną lub więcej następujących funkcji:
" wykrywanie,
" odstraszanie,
" zapobieganie,
" ograniczanie,
" poprawianie,
- 10 -
" odtwarzanie,
" monitorowanie,
" uświadamianie.
G Przykładami obszarów użycia zabezpieczeń mogą być:
" środowisko fizyczne,
" środowisko techniczne (sprzęt komputerowy, oprogramowanie, urządzenia komunikacyjne),
" personel,
" administracja.
G Przykładami zabezpieczeń są:
" mechanizmy kontroli dostępu,
" oprogramowanie antywirusowe,
" szyfrowanie w celu uzyskania poufności,
" podpisy cyfrowe,
" sieciowe zapory ogniowe,
" narzędzia monitoringu i analizy sieci,
" zasilanie rezerwowe,
- 11 -
" kopie zapasowe.
Ryzyko szczątkowe:
G Ryzyko jest zwykle redukowane jedynie częściowo przez zabezpieczenia. Częściowa redukcja
jest najczęściej wszystkim, co można osiągnąć, a im więcej chce się osiągnąć, tym większe są
też koszty. Oznacza to, że zwykle istnieje ryzyko szczątkowe.
G Elementem podejmowania decyzji o adekwatności zabezpieczeń do potrzeb instytucji jest
akceptacja ryzyka szczątkowego. Proces ten znany jest jako akceptacja ryzyka.
Ograniczenia
G Ograniczenia są zwykle ustalane lub uznawane przez kierownictwo instytucji, a wpływ na nie
ma środowisko, w którym działa instytucja. Niektóre ograniczenia, które należy wziąć pod
uwagę, mogą być natury:
" organizacyjnej, finansowej, środowiskowej,
" osobowej, czasowej,
" prawnej,
" technicznej,
" kulturowej / społecznej.
- 12 -
Procesy zarządzania bezpieczeństwem systemów informatycznych
- 13 -
Zarządzanie konfiguracją
G Proces śledzenia zmian w systemie, realizowanych formalnie, lub nieformalnie.
Podstawowym celem bezpieczeństwa w zarządzaniu konfiguracją jest zapewnienie, aby
zmiany w systemie nie obniżały efektywności zabezpieczeń i całkowitego bezpieczeństwa
instytucji.
Zarządzanie zmianami
G Proces używany w celu identyfikacji nowych wymagań bezpieczeństwa, w momencie, gdy
następują zmiany w systemie informatycznym.
Zmiany w systemach informatycznych to między innymi:
" nowe procedury,
" nowe funkcje,
" aktualizacje oprogramowania,
" zmiany sprzętowe,
" nowi użytkownicy, w tym grupy użytkowników zewnętrznych i anonimowych,
" dodatkowe połączenia sieciowe i międzysieciowe.
- 14 -
Zarządzanie ryzykiem
G Proces zarządzania ryzykiem polega na porównywaniu określonego ryzyka z zyskami i/lub
kosztami zabezpieczeń oraz tworzeniu strategii wdrożenia i polityki bezpieczeństwa
instytucji w zakresie systemów informatycznych zgodnej z polityką bezpieczeństwa
instytucji oraz celami działania instytucji.
G Należy rozważyć różne rodzaje zabezpieczeń oraz wykonać analizę kosztów i/lub zysków.
Zabezpieczenia są wybierane dla odpowiednich ryzyk i potencjalnych następstw. Należy
także wziąć pod uwagę poziom akceptowalnego ryzyka szczątkowego.
Analiza ryzyka
G Analiza ryzyka identyfikuje ryzyko, które ma być kontrolowane lub zaakceptowane.
G W kontekście bezpieczeństwa systemów informatycznych, analiza ryzyka dla systemów
informatycznych składa się z analizy wartości zasobów, zagrożeń i podatności.
G Ryzyko określane jest poprzez potencjalne następstwa spowodowane naruszeniem poufności,
integralności, dostępności, rozliczalności, autentyczności i niezawodności. Wynikiem
analizy ryzyka jest określenie prawdopodobnego ryzyka dla zasobów.
G Analiza ryzyka jest częścią zarządzania ryzykiem i może być ukończona bez zbędnego
poświęcania czasu i angażowania zasobów poprzez przeprowadzenie początkowej skróconej
analizy wszystkich systemów. Określi to, które systemy mogą być odpowiednio chronione
poprzez procedury postępowania lub podstawową ochronę.
- 15 -
Rozliczalność
G Skuteczne zabezpieczenia wymagają rozliczalności i bezpośredniego przypisania i przyjęcia
do wiadomości obowiązków z zakresu bezpieczeństwa.
G Obowiązki i rozliczalność powinny być przypisane do właścicieli zasobów, dostawców
zasobów i użytkowników systemów informatycznych. W konsekwencji istotna dla
bezpieczeństwa jest własność zasobów i związane z tym obowiązki z zakresu bezpieczeństwa
oraz audyt bezpieczeństwa.
Uświadamianie w zakresie bezpieczeństwa
G Uświadamianie w zakresie bezpieczeństwa jest kluczowym elementem skutecznych działań
w zakresie bezpieczeństwa.
G Brak uświadomienia w zakresie bezpieczeństwa i słaba praktyka personelu w tej dziedzinie
może znacząco zredukować skuteczność zabezpieczeń.
G Pracownicy instytucji są generalnie uważani za jedne z najsłabszych punktów w
zabezpieczeniach. W celu zapewnienia odpowiedniego poziomu uświadomienia w zakresie
bezpieczeństwa w instytucji, ważne jest rozpoczęcie i realizacja programu uświadamiania w
zakresie bezpieczeństwa.
G Celem programu uświadamiania w zakresie bezpieczeństwa jest objaśnienie pracownikom,
partnerom i dostawcom:
" celów bezpieczeństwa, strategii i polityk bezpieczeństwa,
- 16 -
" potrzeby wdrożenia zabezpieczeń i związanych z tym ról i obowiązków.
Monitorowanie
G Używanie zabezpieczeń powinno być monitorowane w celu zapewnienia ich prawidłowego
działania, upewnienia się, że zmiany w środowisku nie wpłynęły na efektywność działania
zabezpieczeń oraz, że zapewniona jest rozliczalność.
G Automatyczne narzędzia do przeglądania i analizy dzienników działań są pomocne w
zapewnieniu zamierzonej skuteczności działania zabezpieczeń. Narzędzia te mogą także być
użyte do wykrywania niepożądanych zdarzeń, a ich użycie ma efekt odstraszający.
Planowanie awaryjne i odtwarzanie po katastrofie
G Plany awaryjne zawierają informacje o tym, jak prowadzić działalność, gdy procesy ją
wspomagające są osłabione lub niedostępne.
G Plany te powinny opisywać wszystkie możliwe składniki różnych scenariuszy sytuacji
awaryjnych, w tym: (1) różne okresy trwania awarii, (2) utratę różnych rodzajów funkcji, (3)
całkowitą utratę fizycznego dostępu do budynków instytucji, (4) potrzebę powrotu do stanu,
który istniałby, gdyby przerwa w działaniu nie nastąpiła.
G Plany odtwarzania po katastrofie opisują jak przywrócić działanie systemów
informatycznych po wystąpieniu niepożądanego incydentu, który wpłynął na ich
funkcjonowanie.
- 17 -
G Plany odtwarzania po katastrofie zawierają: (1) kryteria definiujące katastrofę, (2)
odpowiedzialność personalną za wprowadzenie w życie planu odtwarzania, (3)
odpowiedzialność za różne działania odtwarzające, (4) opis działań odtwarzających.
Modele zarządzania bezpieczeństwem
Zależności pomiędzy elementami bezpieczeństwa
- 18 -
Związki w zarządzaniu ryzykiem
- 19 -
Związki w zarządzaniu ryzykiem - widok od strony zagrożenia
- 20 -
Związki w zarządzaniu ryzykiem - widok od strony podatności
- 21 -
Związki w zarządzaniu ryzykiem - widok od strony wpływu.
- 22 -
Zarządzanie ryzykiem w sieci LAN.
Oszacowanie ryzyka
G Dokonując oszacowania w sieci LAN należy odnieść się do wartości ryzyka użycia
dostępnych usług. Na podstawie takiego szacunku można wybrać usługi oraz zabezpieczenia,
pozwalające utrzymać założony poziom ryzyka.
G Obok oszacowania ryzyka wystąpienia zagrożenia oszacowane zostaną konsekwencje
skutków wystąpienia zagrożenia. Oszacowanie ryzyka może bazować na ocenie:
" Poziomu złożoności danej usługi wraz ze wzrostem złożoności rośnie
prawdopodobieństwo powstania luk w bezpieczeństwie.
" Sposobu nadużycia danej usługi czyli możliwości wykorzystania danej usługi do ataku na
nią samą lub na inną usługę.
" Informacji, jakie dostarcza dana usługa czy informacje, jakie udostępnia usługa nie są
niebezpieczne.
" Ilość informacji wymienianej podczas dialogu, na jaki zezwala usługa prosta usługa jest
bezpieczniejsza.
" Stopnia konfigurowalności oraz programowalności im mniejszy stopień tym usługa jest
bezpieczniejsza.
- 23 -
" Wykorzystywania uwierzytelnienia usługa wymagająca uwierzytelnienia stanowi
zagrożenie ze względu na może ma zbyt słaby protokół uwierzytelniania lub zbyt proste
hasła używane przez użytkowników.
" Znaczenia usługi dla wykorzystującej jej organizacji ocena na ile nadużycie usługi może
być niebezpieczne dla organizacji.
" Istnienia technik nadużywających usługę istnieją techniki umożliwiające nadużycie usługi.
G W różnych organizacjach te same usługi mogą mieć różny poziom ryzyka.
G Istotne jest również odniesienie czasowe do usługi, ponieważ może dojść do sytuacji, że
znaleziona luka w bezpieczeństwie wyeliminuje usługę z użytku lub też nowe zabezpieczenie
zminimalizuje ryzyko.
G Wprowadza się także współczynnik prawdopodobieństwa powstania ryzyka w obszarze
chronionym, np. przez firewall. Współczynnik ocenia ryzyko powstałe w strefie chronionej,
czyli minimalizowane przez systemy ochrony.
G Korekcie podlegają współczynniki, które dotyczą operacji, które mogą być chronione przez
ściany ogniowe, lub są elementem tego systemu. Wnika to z tego, że zablokowany np.
protokół NetBT przez filtr pakietów powoduje, że staje się niegrozny natomiast wypuszczony
poza filtr pakietów otwiera sieć na ataki.
G Należy zwrócić uwagę jest fakt, że blokada protokołu nie powoduje, że staje się on bardziej
bezpieczny w sieci wewnętrznej, gdzie agresor może z niego bez ograniczeń korzystać.
- 24 -
G Oszacowania prawdopodobieństwa można dokonać na podstawie przedstawionej tabeli.
Tabela. Oceny prawdopodobieństwa ryzyka i skutków jego zaistnienia
Poziom Opis Waga Prawdopodobieństwo
prawdopodobie skutków [%] powstania ryzyka P()
ństwa /
skutków
1 Prawie <1 < 0,01
niemożliwe /
minimalne
2 Mało 1 10 0,01 0,1
prawdopodobne
/ mało znaczące
3 Umiarkowanie 10 20 0,1 0,2
możliwe
(średnie) /
znaczące
4 Prawdopodobne 20 50 0,2 0,5
/ poważne
5. Prawie pewne / > 50 > 0,5
katastrofalne
G Dodatkowo wprowadzono zmienną waga skutków , jakie zostaną poniesione w kontekście
bezpieczeństwa, gdy zostanie przełamany protokół lub usługa. Wartość wagi skutków jest
szacunkowa i wyraża się w procentach utraty bezpieczeństwa . Określa to na ile system
bezpieczeństwa został przełamany.
- 25 -
G Sto procentowe przełamanie określa, że stracone dane pozwalają intruzowi na przejście przez
wszystkie zabezpieczenia.
G Jednak takie stwierdzenie nie jest do końca prawdziwe, ponieważ nawet przy utracie hasła do
wewnętrznego routera ekranującego powinien być on tak skonfigurowany, aby nie możliwe
było zalogowanie do systemu z kierunku sieci zewnętrznej. Można w ten sposób zyskać czas
na zapobieżenie penetracji podsystemów wewnętrznych.
Ryzyko i skutki przełamania wybrany protokołów i usług. (*- usługa może być wykorzystana do
wykrywania hostów, wtedy jej waga skutków wzrośnie x 100, **- waga zależna w dużej mierze od
przenoszonych informacji )
1 2 3 4 5 6
Lp. Nazwa Uwagi Zaistnienie Skutki Firewall
[P()] [%] [P()]
1. Auth Udostępnia informacje, 0,2 50 0,004
113 TCP hasła
2. BootP Podszycie się pod serwer 0,2 70 0,001
67 UDP
3. COBRA Udostępnia informacje 0,01 0,5 50 0,004
4. DCOM Protokół pośredniczący 0,01 20 0,01
5. DHCP Podszycie się pod serwer 0,3 70 0,001
68 UDP
6. Charge DoS innych 0,3 10 0,0001
19 UDP/TCP
1 2 3 4 5 6
7. Daytime Data, czas 0,001 0,1* 0,0001
- 26 -
13 UDP
8. Discard Testowy 0,001 0,1* 0,0001
9 UDP/TCP
9. DNS Podszycie, transfer 0,4 40 0,1
53 UDP informacji
10. Echo Echo* 0,001 0,1* 0,0001
7 UDP
11. Finger Udostępnianie informacji 0,9 50 0,1
79 TCP
12. FTP Udostępnia dane, 0,2 70 0,2
20,21 TCP rozszerzenie uprawnień
13. Gopher Udostępnia dane 0,1 20 0,1
70 TCP
14. HTTP Udostępnia dane, droga 0,4 50 0,1
80 TCP do innych systemów
15. ICA Zdalna praca 0,1 50 0,01
1494 TCP,
1604 UDP
16. ICMP DoS, wykrywanie hostów 0,2 50 0,1
17 ICQ DoS, udostepnia dane 0,4 30 0,4
18. IGMP Informacje o trasowaniu 0,01 10 0,01
19. IIOP Udostępnia dane 0,2 30 0,004
20. IMAP Udostępnia dane 0,02 10 0,004
143
21. IPsec Transmisja danych 0,005 50 0,005
- 27 -
1 2 3 4 5 6
22. IRC DoS, Udostępnia dane 0,4 50 0,3
6667
(najczęściej)
23. IRDP Odkrywanie routerów 0,3 10 0,004
24. Kerberos Uwierzytelnianie 0,1 50 0,1
25. L2TP Enkapsulacja 0,04 50 0,04
1701 UDP
26. LDAP Udostępnia dane 0,05 40 0,004
389 UDP/TCP 100**
27. NetBT Udostępnia dane i system 0,7 100 0,001
138 UDP, 139
TCP
28. NetBIOS Udostępnia dane i system 0,7 100 0,001
137, 138, 139
TCP
29. NetMeeting DoS, Udostępnia dane 0,4 30 0,3
30. NFS Udostępnia dane 0,8 70 0,1
2049 UDP/TCP
31. NIS Udostępnia dane i hasła 0,8 100 0,1
32. NTLM Uwierzytelnianie 0,5 50 0,1
33. NTP Synchronizacja zegarów 0,5 15 0,15
34. OSPF Informacje o trasowaniu 0,3 10 0,05
35. PAM Uwierzytelnienie 0,15 60 0,1
- 28 -
36. POP3 Udostępnia dane, hasła 0,5 50 0,04
110 TCP poczty
37. PPTP Udostępnia informacje 0,2 50 0,2
negocjacyjne
38. Quote Brak* 0,001 0,1 0,0001
17 UDP
39. RADIUS Udostępnia informacje 0,6 30 0,004
1812,1813,164
5, 1646 UDP
40. RCP(Sun) Zlecenia do wykonania na 0,8 90 0,04
111 TCP odległym hoście
41. RDP Zdalny interfejs graficzny 0,1 50 0,004
3389 TCP
42. RIP Informacje o trasowaniu 0,6 10 0,1
520 UDP
43. RIP-2 Informacje o trasowaniu 0,3 10 0,05
520 UDP
44. RSH Zdalny powłoka 0,7 80 0,004
514 TCP systemowa
45. SMB Uwierzytelnianie 0,2 50 0,004
46. SMTP DoS, rozszerzenie 0,4 30 0,3
25 TCP uprawnień
47. SNMP Informacje, zdalne 0,8 50 0,01
- 29 -
161 UDP, 162 zarządzanie
TCP
48. SNMPv3 Informacje, zdalne 0,02 50 0,004
161 UDP, 162 zarządzanie
TCP
49. SSH Zdalny powłoka 0,015 20 0,015
22 TCP systemowa
50. SSL Transfer danych 0,02 20 0,02
1 2 3 4 5 6
51. Syslog Przeciążenie serwerów 0,5 40 0,004
514 UDP syslog
52. TACACS Udostępnia dane, hasła 0,7 70 0,004
49 UDP
dowolny TCP
53. TACACS+ Udostępnia dane, hasła 0,05 70 0,0004
49 TCP (szyfruje)
54. Telnet Zdalny interpreter poleceń 0,5 40 0,4
23 TCP
55. TFTP Udostępnia informacje 0,5 30 0,2
69 UDP
54. TLSv3 Transport danych 0,01 20 0,01
55. WINS Udostępnia informacje 0,5 30 0,004
137 UDP/TCP
(NetBT), 42
TCP
56. Whois Udostępnia informacje 0,1 5* 0,0001
43 TCP
- 30 -
57. X11 Udostępnia środowisko 0,9 50 0,08
6000+n (n-ty graficzne
serwer),
177 (XDMCP),
7100 (serwer
czcionek)
58. XTACACS Udostępnia dane, hasła 0,7 70 0,004
49 UDP
dowolny TCP
G W tabeli nie przedstawiono ryzyka związanego z wykorzystaniem systemu operacyjnego
serwera, producenta routera i jego systemu operacyjnego, filtra pakietów, Proxy.
G Związane jest to z tym, że ocenę można przedstawić mając do dyspozycji dany zakres tych
elementów i widząc ich umiejscowienie w podsystemie, co wiąże się głownie z ustaleniem
wagi skutków.
G Generalnie można przyjąć, że używając elementów profesjonalnych renomowanych
producentów i dodatkowo skonfigurowane pod kątem największego bezpieczeństwa, ryzyko
kształtuje się:
" System operacyjny serwera na poziomie 0,01 (np. serwer Windows w technologii NT,
dystrybucje Linux-a skierowane na bezpieczeństwo, Novell Netware bardzo dobrze
skonfigurowany).
- 31 -
" Router wraz z systemem operacyjnym - na poziomie 0,01 (np. Cisco z IOS, Lucent z
interno).
" System Firewall - na poziomie 0,01 (np. Ipchains, Socket 5, Firewall-1).
" System wykrywania włamań na poziomie 0,01.
G Dla celów analizy należy wprowadzić dodatkowy wskaznik związany z ryzykiem o nazwie
ranga R będący iloczynem szacowanego ryzyka SR oraz wagi skutków WG.
R = SR "WG "100
G Rangę przyjmiemy jako bezwymiarowy współczynnik, którego poziom pozwoli na ocenę
rozwiązania i ustalenie empirycznych progów dla potrzeb oceny.
G Dodatkowo w celu planowania ryzyka należy wprowadzić pojęcie punktu powstawania
ryzyka (PPR), czyli punkty technicznego, w którym ryzyko powstaje. Punkt powstawania
ryzyka jest obarczony ryzykiem najwyższym z notowanych a generowanych w tym punkcie.
G Ranga punktu RP będzie iloczynem maksymalnego procentowego ryzyka w punkcie SRmax
i sumy wag strat WG oraz pomniejszonym o wartość podnoszącą bezpieczeństwo dzięki
zastosowania dodatkowych technik ochrony D.
�ł
RP = �łSRmax "100 " śł
"WG - D
i
�ł i=1
- 32 -
gdzie i jest kolejną wagą strat.
G Widać, że istotnym elementem przy budowie systemu zabezpieczeń będzie dokładne
ustalenie wagi strat, jakie mogą zaistnieć. Równie ważne jest ustalenie dopuszczalnej rangi
punktu powstawania ryzyka.
G Kolejnym wskaznikiem, który pomoże zaprojektować system bezpieczeństwa jest ranga
podsystemu ochrony RO, który powstanie poprzez uśrednienie wartość rang punktów
powstawania ryzyka.
"R
Pn
n=1
RO =
n
czyli
�ł łł
�ł �ł
�ł - Dśł
"�ł�ł SRmax "100 ""WGi
n=1 �ł i=1 łł
�ł �łn
RO =
n
gdzie n jest kolejną rangą punktu powstawania ryzyka.
G Przedstawione obliczenia są prawdziwe wtedy, gdy podczas budowy podsystemu ochrony
zachowane zostaną podstawowe zasady bezpieczeństwa typu odmiennych haseł, w każdym
elemencie podsystemu.
- 33 -
G Dodatkowym warunkiem oceny podsystemu ochrony jest, aby rangi elementów krańcowych
RK były najmniejsze. Elementy krańcowe są to elementy odpowiedzialne za wpuszczenie
ruchu do podsystemu chronionego z sieci zewnętrznej RKZ oraz pozwalające na dostęp do
sieci wewnętrznej RKW.
RKZ < RKW < min RP
Zarządzanie ryzykiem pozostałym
G Pod pojęciem zarządzania ryzykiem pozostałym jest rozumiane ogół czynności, jakie należy
podjąć w celu zminimalizowania ryzyka, jakie stwarzają elementy użyte do budowy systemu.
G Zarządzanie ryzykiem jest procesem ciągłym z jednej strony analizującym i monitorującym
istniejące ryzyko a z drugiej strony poszukującym nowych punktów ryzyka. Wszystkie
elementy procesu są pod ciągłym wpływem otoczenia zewnętrznego, które wpływa na oceny
i na punkty ryzyka.
" Identyfikacja ryzyka polega na określeniu miejsca gdzie to ryzyko istnieje.
" Ocena ryzyka stara się oszacować na ile to ryzyko jest realne.
" Analiza ryzyka pozwala na określenie przyczyn ryzyka i jakie skutki może przynieść.
" Planowanie obsługi ryzyka na podstawie poprzednich danych tworzony jest plan
obsługi ryzyka, tzn.
- 34 -
Proces zarządzania ryzykiem.
Otoczenie zewnętrzne
Planowanie
Zarządzanie Identyfikacj Ocena Analiza Redukcja Monitoring
obsługi
ryzykiem ryzyka ryzyka ryzyka ryzyka ryzyka
ryzyka
- Przyjęcie ryzyka pogodzenie się z zaistniałym ryzykiem i poprzestanie na jego
monitorowaniu.
- 35 -
- Usunięcie ryzyka pozbycie się elementów stwarzających ryzyko o ile jest to
możliwe.
- Zabezpieczenie wykonanie czynności, które mogą zmniejszyć ryzyko.
- Dogłębna analiza przeprowadzenia dogłębnych badań nad przyczynami ryzyka
pozwalają je czasami zmniejszyć.
- Przeniesienie można spróbować przenieść ryzyko na kogoś innego, np. wynajęcie
serwera WWW w innej firmie znanej z dbałości o zabezpieczenia.
- Zmniejszenie próba zmniejszenia rangi ryzyka.
" Redukcja ryzyka wykorzystanie dostępnych narzędzi i technik do minimalizacji ryzyka
i jego skutków.
" Monitorowanie mówi o ciągłym nadzorze nad elementami stwarzającymi ryzyko.
G Zarządzanie ryzykiem pozostałym polega w głównej mierze na jego stałym monitorowaniu i
poszukiwaniu dróg, aby to ryzyko lub jego skutki minimalizować. Monitorowanie pozwoli na
wczesne wykrycie momentu, kiedy ryzyko zamienia się w zagrożenie i określenie reakcji na
zaistniałą sytuacje.
Metody redukcji ryzyka.
G Mając do dyspozycji paletę środków i metod ochrony, można budować podsystem ochrony
odnosząc się jednocześnie do dopuszczalnego poziomu ryzyka w podsystemie.
- 36 -
G Poziomem rangi ryzyka można sterować kilkoma metodami przyjmując za podstawę
przedstawione poprzednio wzory i tabele ryzyka. Obniżenie rangi ryzyka:
" poprzez budowę w podsystemie systemu firewall,
" rozdzielenie ryzyka na wiele punktów powstawania ryzyka,
" użycie usług i protokołów posiadających jak najmniejsze ryzyko,
" dodatkowy system monitorowania punktów powstawania ryzyka,
" wykorzystanie bezpieczniejszych metod autoryzacji w systemach i usługach.
G Dla celów analizy można przyjąć punktowe wartości elementów poprawiających rangę
ryzyka. Rangi są odejmowane malejąco, gdyż założono, że im bardziej bezpieczny system
tym mniejszą poprawę można uzyskać.
" Monitor sieci systemu wykrywania włamań odejmujemy od rangi PPR wartości
przedstawione w tabeli poniżej. Odejmować rangę możemy tylko raz. Założono, że ilość
takich systemów w podsieci nie wpływa na wzrost poziomu bezpieczeństwa.
Zmniejszenia rangi PPR zależnie od wartości początkowej dla monitora sieci systemu
wykrywania włamań.
Ranga punktu Wartość zmniejszenia
>3000 1000
2000 3000 800
- 37 -
1500 1999 650
1000 1499 500
500 999 200
250 499 100
100 249 50
50 100 10
30 49 5
10 29 1
<9 0
" Monitor hosta systemu wykrywania włamań odejmowane wartości przedstawiono w
tabeli poniżej.
Zmniejszenia rangi PPR zależnie od wartości początkowej dla monitora hosta systemu
wykrywania włamań.
Ranga punktu Wartość zmniejszenia
>1500 500
500 999 200
250 499 100
- 38 -
100 249 50
50 100 10
30 49 5
10 29 1
<9 0
" Hasła jednorazowe odejmowane wartości przedstawiono w tabeli poniżej
Zmniejszenia rangi PPR zależnie od wartości początkowej systemu haseł jednorazowych.
Ranga punktu Wartość zmniejszenia
>1500 100
1000 1499 50
500 999 40
250 499 30
100 249 20
30 100 5
10 29 2
<9 0
- 39 -
Przykład analizy ryzyka
G Przyjmujemy, że analizowana siec LAN (z przyłączem do Internetu) ma następującą
architekturę:
G Sieć tworzy:
" Ekranujący router ma za zadanie filtrować ruch głównie przychodzący ograniczając go
do wybranych usług (porczta, ftp, http, ssh, DNS, telnet). Możemy złożyć zainstalowanie
routera firmy Cisco z zaintalowna scianą ogniową PIX (Private Internet eXchange)
charakteryzująca się posiadaniem zaawansowanego filtru pakietów i z możliwością
blokowania skryptów Java. Dodatkową zaletą produktu Cisco jest duża wydajność
systemu, która przy filtrowaniu nie powoduje redukcji wydajności (170 Mb/s), co jest o
tyle istotne w proponowanym przypadku, że mamy na trasie pakietu trzy punkty
przetwarzające i zsumowane opóznienia na każdym punkcie mogłoby być istotne w
eksploatacji.
" Hosty bastionowe usług internetowych założone podział serwowanych usług na trzy
hosty w celu utrzymania założonych wartości rang ryzyka.
- Host pocztowy biorąc pod uwagę na istotną wartość poczty dla organizacji a każda
następna usługa podnosiłaby prawdopodobieństwo udanego ataku.
- Host zdalnego dostępu serwuje mało bezpieczne usługi dostępowe dla zdalnego
klienta. Pozwala on na wymianę danych ze zdalnym klientem będąc zapasem dla
serwera pocztowego.
- 40 -
Internet
Zewnętrzny router
ekranujący
Host bastionowy
monitor IDS
Host bastionowy
poczta
Host bastionowy
ftp, ssh, telnet
Host dwusieciowy
Proxy, filtr pakietów,
NAT, IDS
Host bastionowy
Host bastionowy
WWW, DNS
monitor IDS
Wewnętrzny router
ekranujący
Serwer plików
Laptop
Serwer
baz danych
Stacja robocza
Stacja robocza
- 41 -
DMZ
DMZ
Podsieć wewnętrzna
- Host WWW i DNS kolejny serwer obsługuje firmowe strony WWW oraz serwer
DNS dla organizacji.
" Host monitor istnieją dwa takie komputery w sieciach DMZ Mają być z jednej strony
komputerami pułapkami, każda próba dostępu jest alarmem gdyż nie posiadają żadnych
usług dla klientów, z drugiej strony podsłuchują ruch w sieci poszukując sygnatur ataku.
Hosty te mogą być systemami Linuxowymi z zainstalowanym oprogramowaniem IDS
Snort oraz oprogramowaniem do mierzenia obciążenia sieci np. IPTraf .
" Host dwusieciowy stanowi drugą i główną linię obrony. Obsługuje on system Proxy dla
klientów sieci wewnętrznej, mechanizm NAT, stanowy filtr pakietów oraz system IDS.
System ma za zdanie zabronić przejścia połączeń z sieci zewnętrznej i udostępniać
Internet hostom wewnętrznym. Komputer ma wyłączone trasowanie, więc blokuje dostęp
do Internetu z pominięciem systemu Proxy. Proxy jest chroniony dodatkowo filtrem
pakietów, który logicznie jest przed systemem Proxy nie pozwalając na nieuprawnione
jego wykorzystanie oraz blokując dostęp do hosta. W takiej konfiguracji możemy użyć
firmowego oprogramowania Chceckpoint Firewall -1 zapewniającą bardzo dobrą ochronę
wraz kilkoma dodatkowymi narzędziami jak możliwość skanowania antywirusowego
poczty. Produkt ten może pozwolić na nie używanie systemu Proxy dzięki
rozbudowanemu stanowemu filtrowi pakietów wraz z dodatkowymi filtrami protokołów
(http, smtp, ftp) zbliżonymi funkcjonalnością do Proxy. Innym rozwiązaniem może być
korzystanie z filtru pakietów IPChains oraz serwera Proxy typu TIS FWTK lub
SOCKS 5 .
- 42 -
" Wewnętrzny router ekranujący ostatnia linia obrony, ma za zadanie blokować otwarcie
połączeń z zewnątrz do wewnątrz oraz filtrować ruch wypływający na poziomie portów.
Podobnie jak z routerem zewnętrznym możemy to zastosować produkt Cisco oraz PIX.
" System IDS pozwoli na monitorowanie sieci pod kątem naruszeń bezpieczeństwa.
Możemy wykorzystać tutaj systemy darmowe typu Snort oraz skrypty
przeprowadzające kontrole dzienników audytów. Dostępne są też produkty komercyjne
takie jak Real Secure , Net Ranger mające tą zaletę, że przy mocno rozproszonym
środowisku sondowania łatwiej jest dokonać integracji analizy danych.
G Dla analizowanej sieci przyjęto następujące progi rang:
" krańcowe elementy podsystemu ochrony RK < 200 (routery ekranujące),
" hosty bastionowe realizujące funkcje ochronne RP < 500,
" hosty bastionowe usługowe RP < 2500,
" całość podsystemu RO <1000.
G Najsłabszym punktem systemu jest w kontekście bezpieczeństwa są host bastionowe
serwujące usługi dla użytkownika zewnętrznego. Przejęcie, na nim kontroli pozwoli
intruzowi na zdobycie przyczółka w DMZ, który może w efekcie doprowadzić do
przełamania obrony. Dlatego też ten host bastionowy musi być szczególnie uważnie
konfigurowany, zaopatrzony w najnowsze łaty oprogramowania oraz monitorowany na
bieżąco.
- 43 -
G Przedstawiona architektura spełnia wymogi strategii, jakie możemy przedstawić architekturą:
" Minimalne przywileje użytkownik ograniczony przez filtry może jedynie używać
uprawnionych protokołów.
" Dogłębna obrona przedstawiono wiele mechanizmów obrony umiejscowionych w
trzech liniach obrony.
" Wąskie przejście host dwusieciowy jest wąskim przejściem sprawującym kontrolę nad
całym ruchem do i z sieci wewnętrznej.
" Najsłabszy punkt został wyszczególniony i podano zasady, jakie muszą być spełnione
dla minimalizacji zagrożenia.
" Bezpieczeństwo w razie awarii awaria któregoś, z routerów spowoduje odcięcie sieci
awaria hosta dwusieciowego również automatycznie zabezpieczy sieć wewnętrzną.
Awaria oprogramowania na hoście dwusieciowym może dotyczyć (zależnie od użytych
produktów) jednego komponentu problemem może być awaria filtru pakietów, która
odsłoni serwer Proxy. Nie jest to poważny problem, ponieważ Proxy będzie nadal
wykorzystywany do zapewnienia bezpieczeństwa a awaria filtru powinna być szybko
wychwycona. Awaria systemu Proxy spowoduje odcięcie połączenia na nietrasowalnym
hoście.
" Zróżnicowana obrona przyjęte tutaj rozwiązanie wykorzystuje technologie, które są
dystrybuowane przez różnych producentów, więc zasada ta została zachowana.
- 44 -
" Prostota o ile system zabezpieczeń może być prosty o tyle prostata ta została
zachowana w tej propozycji.
G Szacunek ryzyka dla elementów podsystemu ochrony.
1 2 3 4 5 6 7
Lp. PPR Elementy SR WG R RP
1. Zewnętrzny System 0,01 10 10
router operacyjny
ekranujący
Filtr 0,01 10 10
pakietów
20
2. Host System 0,01 20 20
bastionowy operacyjny
Monitor IDS
SSH 0,015 10 15
Monitor 0,01 10 10
sieci IDS
ICMP 0,1 10 100
500
- 45 -
Monitor -200
sieci IDS
300
3. Host System 0,01 20 20
bastionowy operacyjny
poczta
SMTP 0,3 25 900
POP3 0,04 25 120
SSH 0,015 15 30
ICMP 0,1 15 150
3000
Monitor -1000
sieci IDS
2000
4. Host System 0,01 20 20
bastionowy ftp, operacyjny
ssh, telnet
ftp 0,2 15 400
ssh 0,015 15 30
telnet 0,4 15 800
ICMP 0,1 15 150
3200
Monitor -1000
sieci IDS
- 46 -
2200
5. Host System 0,01 20 20
bastionowy operacyjny
WWW, DNS
HTTP 0,4 15 600
DNS 0,1 25 300
ssh 0,015 15 30
ICMP 0,1 10 100
3400
Monitor -1000
sieci IDS
2400
6. Host System 0,01 90 90
bastionowy operacyjny
Proxy, filtr
ssh 0,015 90 135
pakietów, IDS
Filtr 0,01 90 90
pakietów
Proxy 0,01 90 90
Monitor 0,01 90 90
systemu
IDS
675
Monitor -200
systemu
IDS
475
- 47 -
Monitor -100
sieci IDS
375
7. Host System 0,01 50 50
bastionowy operacyjny
Monitor IDS
SSH 0,015 50 75
Monitor 0,01 50 50
sieci IDS
225
Monitor -50
sieci IDS
175
8. Zewnętrzny System 0,01 100 100
router operacyjny
ekranujący
Filtr 0,01 100 100
pakietów
200
Monitor -50
sieci IDS
150
- 48 -
G Szacunek ryzyka dla całości systemu wygląda następująco:
"R 7370
Pn
n=1
RO = = = 921,25
n 8
G Przeprowadzone szacowanie ryzyka do założeń wygląda następująco:
- założono RK < 200, uzyskano RKZ = 20, RKw = 150,
- założono hosty bastionowe realizujące funkcje ochronne RP < 500, uzyskano RP2 = 50, RP6
= 375, RP7 = 175,
- hosty bastionowe usługowe RP < 2500, uzyskano RP3 = 2000, RP4 = 2200, RP5 = 2400,
- całość podsystemu RO<1000, uzyskano RO = 921,25.
G Na podstawie przedstawionych wyników widać, że największa uwaga musi być zwrócona na
systemy usługowe, które mają najwyższe rangi w sensie ryzyka.
- 49 -

Wyszukiwarka

Podobne podstrony:
07 zarzadzanie ryzykiem
zarzadzanie ryzykiem cz1
zarzadzanie ryzykiem darmowy ebook pdf
Zarzadzanie ryzykiem VII wyklad
Zarzadzanie ryzykiem V wyklad
zarzadzanie ryzykiem
zarzadzanie ryzykiem
Zarządzanie ryzykiem pełny
Zarzadzanie ryzykiem VIII wyklad
Zarządzanie ryzykiem w sektorze publicznym

więcej podobnych podstron