General Security Concepts Flashcards
Definition of information security (ISO27000)
Definisjonen av informasjonssikkerhet i følge ISO27000 er bevaring av konfidensialitet, integritet og tilgjengelighet av informasjon. I tillegg kan andre egenskaper som authenticity, accountability, non-repudiation og reliabilty bli involvert.
Ordrett: “The preservation of confidentiality, integrity and availability of information; in addition, other properties such as authenticity, accountability, non-repudiation and reliability can also be involved. “
Definitions of CIA services
De tre hoved sikkerhetstjenestene og målene Confidentiality, Integrity and Availability.
Privacy
Data privacy. Protecting personal data. Data Privacy
To protect specific aspects of information that may be related
to natural persons (personal information).
• Prevent unauthorized collection and storage of personal information
• Prevent unauthorized use of collected personal information
• Make sure your personal information is correct
GDPR
General Data Protection Regulation (Personvernsloven)
authentication
Bekrefter identiteten til brukeren eller systemet som opprettet informasjonen
non-repudiation
Sikrer at avsenderen ikke kan benekte å ha sendt meldingen.(Strong form of Data Authentication)
Goal: Making sending and receiving messages undeniable through unforgible evidence.
– Non-repudiation of origin: proof that data was sent.
– Non-repudiation of delivery: proof that data was received.
Threat:
– Sender falsely denying having sent message
– Recipient falsely denying having received message
Control: digital signature
access control
Selektiv begrensning av tilgang til data og ressurser.
authorization
Ved å bevise identitet, blir personen deretter utstyrt med nøkkelen eller passordet som vil gi tilgang til en eller annen ressurs
3 categories of security controls
physical, technical, administrative
physical security control
- Facility protection
- Security guards
- Locks
- Monitoring
- Environmental controls
- Intrusion detection
technical security control
- Logical access control
- Cryptographic controls
- Security devices
- User authentication
- Intrusion detection
- Forensics
administrative security control
- Policies & standards
- Procedures & practice
- Personnel screening
- Awareness training
- Secure System Dev.
- Incident Response
Preventive security controls
prevent attempts to exploit vulnerabilities
Example: encryption of files
Detective security controls
warn of attempts to exploit vulnerabilities
Example: Intrusion detection systems (IDS)
Corrective security controls
correct errors or irregularities that have been detected.
Example: Restoring all applications from the last known good image to bring a corrupted system back online
Security controls during storage
Information security involves protecting information assets from harm or damage.
• Information storage containers
• Electronic, physical, human
Security controls during transmission
Information security involves protecting information assets from harm or damage.
• Physical or electronic
Security controls during processing (Use)
Information security involves protecting information assets from harm or damage.
• Physical or electronic
Confidentiality
The property that information is not made available or
disclosed to unauthorized individuals, entities, or
processes. (ISO 27000).
Går ut på at informasjonen ikke er tilgjengelig eller avslørt for uautoriserte individer, enheter eller prosesser. Den kan bli delt inn i tre deler: secrecy, privacy og anonymity. Secrecy går ut på å beskytte business data, privacy går ut på beskyttelse av personlig data og anonymity på å gjemme hvem som tar del i ulike aktiviteter. Kontrollene her kan være gjennom kryptering, tilgangskontroll, perimeter defence (sikkerhetsbarriere) som generelle kontroller, inkluderes også : sikker systemutvikling og hendelses respons.
Threat: Information theft, unintentional disclosure.
Controls: Encryption, Access Control, Perimeter defence
Integrity
Kan deles i to hovedkategorier: 1. Data integrity: The property that data has not been altered or destroyed in an unauthorized manner.
2. System integrity: The property of accuracy and completeness.
Integrity er opprettholdt når man er sikker på at nøyaktigheten og reliabiliteten av informasjonen og systemet er gitt og hvilken som helst uautorisert modifikasjon er forhindret. Hardware, software og kommunikasjon mekanismer må fungere sammen i enighet for å opprettholde og prosessere data riktig og flytte data til tiltenkte destinasjoner uten uforventede endringer
Threat: Data and system corruption, loss of accountability
Controls:
– Hashing, cryptographic integrity check and encryption
– Authentication, access control and logging
– Software digital signing
Availability
The property of being accessible and usable
upon demand by an authorized entity (ISO 27000).
(Tilgjengelighet) beskyttelse som forsikrer reliabilitet og presis tilgang til data og ressurser til autoriserte individer. Nettverksenheter, datamaskiner og applikasjoner bør gi tilstrekkelig funksjonalitet til å bli utført i en forutsigbar måte, med et akseptabelt nivå av ytelse. De burde være i stand til å gjenopprette seg fra avbrudd på en sikker og rask måte, slik at effektiviteten ikke blir påvirket negativt.
Threat: Denial o Service (DoS)
Controls:
– Redundancy of resources,
– Load balancing,
– Software and data backups
Security services
Mål man ønsker å oppnå som er uavhengig av implementasjonen og støttet av spesifikke sikkerhetskontroller
Security controls
Praktiske mekanismer, handlinger, verktøy eller prosedyrer brukt til å kunne tilby security services
User authentication
Verifiseringsprosessen av en claimed identity of a (legal) user when accessing a system or an application.
Threat: Spoofed identity and false login
Organisation authentication
Verifiseringsprosessen av en claimed identity of a (legal)
organisation in an online interaction/session.
Threat:
- Network intrusion
- Masquerading attacks,
- Replay attacks
- (D)DOS attacks
System authentication
The verification that a system in an association (connection, session) is the one claimed.
Mål:
– Establish the correct identity of organisations/remote hosts
Data origin authentication (message authentication)
The corroboration (verification) that the source of data received is as claimed.
Mål: Mottaker av en melding kan verifisere at hevdet avsenderidentitet er korrekt
Threat:
- False transactions
- False messages and data
Identification vs Authentication
Identification
– Who you claim to be
– Method: (user)name, biometrics.
User authentication
– Prove that you are the one you claim to be
Access management
Beskriver prosessen av access control (tilgangskontroll)
Threat
Threat Actor: En aktiv enhet eller individ som kan utføre et threat scenario.
Threat Scenario: Et sett med trinn, utført for å foreta et (potensielt) cyber attack
Vulnerabilities
Svakheter eller muligheter som tillater et threat scenario å bli utført.
Security Control
En metode for å bli kvitt vulnerabilities og redusere security risk
Security Risk
Sannsynligheten, kombinert med den potensielle skaden som kan oppstå ved en hendelse.
Accountability
Mål: Spore handlingene til en spesifikk bruker og holde vedkommende ansvarlige.
Threat:
- manglende evne til å identifisere kilden til hendelsen
- Manglende evne til å holde the attacker ansvarlig.
Controls: – Identify and authenticate users – Log all system events (audit) – Electronic signature – Non-repudiation based on digital signature
Hva er forskjellen på access control og Autherization? (Viktig til eksamen)
Autorisasjon er definisjonen av access policy. Dvs. at du må få en autorisasjon for å få access. Mens access control er at du bruker autorisasjonen til å oppnå accessen du er utdelt.
