General Security Concepts

Question 1

Definition of information security (ISO27000)

Answer 1

Definisjonen av informasjonssikkerhet i følge ISO27000 er bevaring av konfidensialitet, integritet og tilgjengelighet av informasjon. I tillegg kan andre egenskaper som authenticity, accountability, non-repudiation og reliabilty bli involvert.
Ordrett: “The preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved. “

Question 2

Definitions of CIA services

Answer 2

De tre hoved sikkerhetstjenestene og målene Confidentiality, Integrity and Availability.

Question 3

Privacy

Answer 3

Data privacy. Protecting personal data. Data Privacy
To protect specific aspects of information that may be related
to natural persons (personal information).
• Prevent unauthorized collection and storage of personal information
• Prevent unauthorized use of collected personal information
• Make sure your personal information is correct

Question 4

GDPR

Answer 4

General Data Protection Regulation (Personvernsloven)

Question 5

authentication

Answer 5

Bekrefter identiteten til brukeren eller systemet som opprettet informasjonen

Question 6

non-repudiation

Answer 6

Sikrer at avsenderen ikke kan benekte å ha sendt meldingen.(Strong form of Data Authentication)
Goal: Making sending and receiving messages undeniable through unforgible evidence.
– Non-repudiation of origin: proof that data was sent.
– Non-repudiation of delivery: proof that data was received.

Threat:
– Sender falsely denying having sent message
– Recipient falsely denying having received message

Control: digital signature

Question 7

access control

Answer 7

Selektiv begrensning av tilgang til data og ressurser.

Question 8

authorization

Answer 8

Ved å bevise identitet, blir personen deretter utstyrt med nøkkelen eller passordet som vil gi tilgang til en eller annen ressurs

Question 9

3 categories of security controls

Answer 9

physical, technical, administrative

Question 10

physical security control

Answer 10

• Facility protection
• Security guards
• Locks
• Monitoring
• Environmental controls
• Intrusion detection

Question 11

technical security control

Answer 11

• Logical access control
• Cryptographic controls
• Security devices
• User authentication
• Intrusion detection
• Forensics

Question 12

administrative security control

Answer 12

• Policies & standards
• Procedures & practice
• Personnel screening
• Awareness training
• Secure System Dev.
• Incident Response

Question 13

Preventive security controls

Answer 13

prevent attempts to exploit vulnerabilities

Example: encryption of files

Question 14

Detective security controls

Answer 14

warn of attempts to exploit vulnerabilities

Example: Intrusion detection systems (IDS)

Question 15

Corrective security controls

Answer 15

correct errors or irregularities that have been detected.

Example: Restoring all applications from the last known good image to bring a corrupted system back online

Question 16

Security controls during storage

Answer 16

Information security involves protecting information assets from harm or damage.
• Information storage containers
• Electronic, physical, human

Question 17

Security controls during transmission

Answer 17

Information security involves protecting information assets from harm or damage.
• Physical or electronic

Question 18

Security controls during processing (Use)

Answer 18

Information security involves protecting information assets from harm or damage.
• Physical or electronic

Question 19

Confidentiality

Answer 19

The property that information is not made available or
disclosed to unauthorized individuals, entities, or
processes. (ISO 27000).

Går ut på at informasjonen ikke er tilgjengelig eller avslørt for uautoriserte individer, enheter eller prosesser. Den kan bli delt inn i tre deler: secrecy, privacy og anonymity. Secrecy går ut på å beskytte business data, privacy går ut på beskyttelse av personlig data og anonymity på å gjemme hvem som tar del i ulike aktiviteter. Kontrollene her kan være gjennom kryptering, tilgangskontroll, perimeter defence (sikkerhetsbarriere) som generelle kontroller, inkluderes også : sikker systemutvikling og hendelses respons.

Threat: Information theft, unintentional disclosure.

Controls: Encryption, Access Control, Perimeter defence

Question 20

Integrity

Answer 20

Kan deles i to hovedkategorier: 1. Data integrity: The property that data has not been altered or destroyed in an unauthorized manner.
2. System integrity: The property of accuracy and completeness.

Integrity er opprettholdt når man er sikker på at nøyaktigheten og reliabiliteten av informasjonen og systemet er gitt og hvilken som helst uautorisert modifikasjon er forhindret. Hardware, software og kommunikasjon mekanismer må fungere sammen i enighet for å opprettholde og prosessere data riktig og flytte data til tiltenkte destinasjoner uten uforventede endringer

Threat: Data and system corruption, loss of accountability

Controls:
– Hashing, cryptographic integrity check and encryption
– Authentication, access control and logging
– Software digital signing

Question 21

Availability

Answer 21

The property of being accessible and usable
upon demand by an authorized entity (ISO 27000).

(Tilgjengelighet) beskyttelse som forsikrer reliabilitet og presis tilgang til data og ressurser til autoriserte individer. Nettverksenheter, datamaskiner og applikasjoner bør gi tilstrekkelig funksjonalitet til å bli utført i en forutsigbar måte, med et akseptabelt nivå av ytelse. De burde være i stand til å gjenopprette seg fra avbrudd på en sikker og rask måte, slik at effektiviteten ikke blir påvirket negativt.

Threat: Denial o Service (DoS)

Controls:
– Redundancy of resources,
– Load balancing,
– Software and data backups

Question 22

Security services

Answer 22

Mål man ønsker å oppnå som er uavhengig av implementasjonen og støttet av spesifikke sikkerhetskontroller

Question 23

Security controls

Answer 23

Praktiske mekanismer, handlinger, verktøy eller prosedyrer brukt til å kunne tilby security services

Question 24

User authentication

Answer 24

Verifiseringsprosessen av en claimed identity of a (legal) user when accessing a system or an application.

Threat: Spoofed identity and false login

Question 25

Organisation authentication

Answer 25

Verifiseringsprosessen av en claimed identity of a (legal)
organisation in an online interaction/session.

Threat:

• Network intrusion
• Masquerading attacks,
• Replay attacks
• (D)DOS attacks

Question 26

System authentication

Answer 26

The verification that a system in an association (connection, session) is the one claimed.

Mål:
– Establish the correct identity of organisations/remote hosts

Question 27

Data origin authentication (message authentication)

Answer 27

The corroboration (verification) that the source of data received is as claimed.

Mål: Mottaker av en melding kan verifisere at hevdet avsenderidentitet er korrekt

Threat:

• False transactions
• False messages and data

Question 28

Identification vs Authentication

Answer 28

Identification
– Who you claim to be
– Method: (user)name, biometrics.

User authentication
– Prove that you are the one you claim to be

Question 29

Access management

Answer 29

Beskriver prosessen av access control (tilgangskontroll)

Question 30

Threat

Answer 30

Threat Actor: En aktiv enhet eller individ som kan utføre et threat scenario.
Threat Scenario: Et sett med trinn, utført for å foreta et (potensielt) cyber attack

Question 31

Vulnerabilities

Answer 31

Svakheter eller muligheter som tillater et threat scenario å bli utført.

Question 32

Security Control

Answer 32

En metode for å bli kvitt vulnerabilities og redusere security risk

Question 33

Security Risk

Answer 33

Sannsynligheten, kombinert med den potensielle skaden som kan oppstå ved en hendelse.

Question 34

Accountability

Answer 34

Mål: Spore handlingene til en spesifikk bruker og holde vedkommende ansvarlige.

Threat:

• manglende evne til å identifisere kilden til hendelsen
• Manglende evne til å holde the attacker ansvarlig.

Controls:
– Identify and authenticate users
– Log all system events (audit)
– Electronic signature
– Non-repudiation based on digital signature

Question 35

Hva er forskjellen på access control og Autherization? (Viktig til eksamen)

Answer 35

Autorisasjon er definisjonen av access policy. Dvs. at du må få en autorisasjon for å få access. Mens access control er at du bruker autorisasjonen til å oppnå accessen du er utdelt.