Specialization IB - Question 1 (Audit, laws, etc.) Flashcards
Cil auditu?
Zkontrolovat/zajistit, ze bezpecnostni politiky a procedury jsou dobre definovany a implementovany.
Kontrola by mela byt zajistena nezavislou treti stranou, at je audit duveryhodnejsi (nezavisla strana by mela zajistit nestrannost a ze vystup bude spis pravdivy nez klamavy)
Jak probiha audit
- Rozhovory se zamestnanci ve firme
- Analyza systemu
- Testovani system v predem definovanych podminkach
Typy testu v auditu
Blackbox (blind) - auditor ma k dispozici pouze verejne informace, o systemu toho nevi moc (resp. nic), Administratori vedi o auditu
Double Blind - auditor ma k dispozici pouze verejne informace, o systemu toho nevi moc (resp. nic), Administratori nevedi o auditu
Gray Box - kombinace blackbox/whitebox
White Box - auditor ma k dispozici i privatni informace o systemu
Tandem - obe strany vedi detaily testu/systemu v auditu dopredu
Reversal - Pouze auditor vi detaily o testu/systemu. Simluje utok
Rizeni bezpecnosti (Security management)
ISMS (InfoSec Management System) - dokumentovy system, ktery obsahuje definovana chranena aktiva a jak bude rizena bezpecnost. Je to cyklus: plan - do - check - act
Melo by tedy dojit k analyze, navrhu (plan). Vykonej/testuj zmeny (do). Udelat review (check). Rozhodni dalsi kroky - je potreba neco zlepsit/co je treba zlepsit/je to potreba ihned? da se odlozit? (act).
Rizeni bezpecnosti musi byt site na miru firme (v souhre s cily firmy a finance zdravy), schvalene nejvyssim vedenim (aby se uvolnilo financovani) a prosazovat ji (managment hlidal dodrzovani bezpecnostnich politik, Security architect navrhnul reseni, IT team implementoval).
Rizeni bezpecnosti (ISMS) - jake jsou dulezite standardy
ISO/IEC 27000 - standard definuje ucel ISMS
ISO/IEC 27001 - standard definujici detaily implementace, udrzby, zlepsovani ISMS
ISO/IEC 27002 - standard poskytujici best practices pri implementaci a udrzby ISMS
Co je řízení rizik?
Procesy ktere vedou k redukci rizik na akceptovatelnou uroven. Nejlepsi moznost je eliminovat vsechny rizika, realne neni mozne (finance/technologie brani) - proto redukce.
Jak probiha vytvareni a prosazovani Bezpecnostnich Politik?
- Posuzuji se vstupni, vypracuje se deklarace politiky
- Provedeni ohodnoceni rizik
- Vypracovani projektu politiky
- Implementace a prosazeni politiy (navrh a implementace ISMS)
- Plneni cinnosti organizace v souladu s bezpecnostni politikou
- Vyhodnoceni adekvatnosti bezpecnostnich politik
- Znova zacit dalsi kolo od provedeni ohodnoceni rizik
Kdo je role CISO
Chief of Information Security Officer
Vytvari bezpecnostni politiku, urcuje jeji cile, strategie. Informuje ridici vybor o aktualnich pracech, hrozbach, krocich. Vypracovava zpravy o bezpecnostnich incidentech pro vybor a i dalsich problemech.
Protiopatreni
Pravidla definovana v bezpecnosti politice, ktera se uplatnuji pro snizeni pozadovanych rizik na pozadovanou/akceptovatelnou uroven.
Hodnoceni bezpecnosti, co to je/standardy
Je hodnoceni, jestli byla dosazena uroven bezpecnosti. K hodnoceni se vyuziva standard ISO/IEC 15408 a kriteria OWASP
Procesy hodnoceni
Formou auditu
Pro oficialniho ohodnoceni - auditor musi mit licenci
Kriteria hodnoceni - co to je, kym hodnoceni probiha, k cemu je?
seznam podmínek které vyvíjený / kupovaný produkt nebo systém má být schopný ( musí ) plnit .
Hodnoceni probiha nezavislou duveryhodnou stranou (bud komercni licence nebo vladni organizaci)
Je to pro zakaznika pro vyber vhodneho produktu. Pro vyrobce, aby svuj produkt lepe prodaval (zarucil se za nej). Vyrobek dostane certifikat od hodnotitele
Kriteria hodnocneni - druhy
Common Criteria (ISO/IEC 15408) - nejcasteji
ITSEC (IT Security Evaluation Criteria)
TCSEC (Trusted Computer System Evaluation Criteria)
Kriteria hodnoceni CC - skala
Common criteria (ISO/IEC 15408)
Skala: EAL0 - EAL 7
EAL=Evaluation Assurance Level
Kazda uroven oznacuje hloubku hodnoceni
EAL0=zadna
EAL1=Nejnizssi (pouze overi na zaklade uzivatelske dokumentace)
EAL7=Nejvyssi (obsahuje vse co predchozi urovne + formalni verifikace)
Kriteria hodnoceni CC - Dulezite pojmy
Common criteria (ISO/IEC 15408)
TOE = Target of Evaluation (Produkt podroben evaluaci)
ST = Security target (teoreticky koncept/cil) napr. smarcard je tamper-resistant
PP = Protection Profile (skupina bezpecnostnich pozadavku urcite skupiny TOE) napr. pouziti cipovych karet pro nepopiratelnost u podepisovani
Hodnoceni - odpovida TOE v realite teorii (ST)?
EAL (skala) udava miru duvery, ze TOE vskutku odpovida ST
ceritifakt obsahuje i popis:
* profil bezpecnosti (cipove karty, biometrika, atp)
* vlastnosti systemu (anonymita, pseudoanonymita) - obsahuje nebo ne (ano/ne hodnoceni)
Vyssi EAL neznamena vyssi bezpecnost! (muze byt TOE s EAL7 a RSA klicem 2k a TOE s EAL1 a RSA klicem 4k)
Kriteria hodnoceni TCSEC - skala
CLASS D: minimal/no sec
CLASS C: Discretionary Access Control (data owners a admini muzou urcovat, kdo ma pristup k souborum)
CLASS B: system ma Mandatory Access Control (need to know basis)
CLASS A: highest (math formalism)
Co je standard v IT, jake mame typy standardu?
Standard je dokument vysvetlujici domluvu na technicke specifikaci produktu/procesu
2 typy:
De facto standard (officialni, vytvoren organizaci/narodni)
De iure standard (neofficialni, vytvoren komunitou expertu)
Standardy v oblasti IT bezpecnosti a kryptografie - de facto
RFC (Request For Comment) - pro internet a sitove protokoly
OWASP (Open Web Application Security Project) - pro vyvoj web aplikaci
PKCS (Public-Key Cryptography Standard by RSA Labs) - ruzne crypto standardy (jak na padding atp)
Standardy v oblasti IT bezpecnosti a kryptografie - de iure
ISO (International Standardization Organization)
NIST (National Institute for Standard and Technology) - USA vlada (treba AES) - vydavaji FIPS
IEEE
CSNI (ceska narodni)
ANSI
Legislativa tykajici se kryptologie
Staty (CR, EU) schvaluji vybrane sifry/hashovaci funkce, ktere lze pouzivat treba v ramci digitalnich podpisu. V CR dokument s minimalnimi pozadavky vydava NUKIB.
Schvalene jsou treba scrypt, sha-2
neschvalene sha-1
Digitalni podpis - co potvrzuje?
Prvek potvrzujici shlednuti podepsaneho dokumentu (integrita + potvrzeni, ze zpravu jsem cetl/vytvoril)
Elektronicky podpis
Pod elektronicky podpis spada oskenovany rucni podpis, pismena na konci mailu napsana na klavesnici, a pod.
Digitalni podpis spada tez pod elektronicky podpis
Digitalni podpis - konstrukce
Spolehlivy asym alg (RSA, DSA), schvaleny/silny hash alg
Vytvori se hash zpravy, podepise se hash (priv klicem). Prijemce si overi podpis verejnym klicem
Privatni klic musi byt strezen - ukradnuti priv klice znamena, ze zpravu muze podepsat i dalsi osoba
Certifikat s klicem urcuji identitu (vime cloveka, co podepsal zpravu). Ale ukradnuty privatni klic muze tez podepsat
Digitalni podpis - certifikat - format? k cemu verejny klic, co dosahujem spravou verejnych klicu
Verejnym klicem jsme schopni potvrdit, ze dokument byl podepsan privatnim klicem. Pres certifikat je mozne k verejnemu klici je mozne pripojit i dalsi informace - certifikat format x.509 (jmenom, prijmeni).
Duveru v obsah certifikatu (ze jmeno je pravdive) je potreba dal zajistit (Certifikacni Autorita, Signing party - veri tomu certifikatu, clovek ktereho znam, budu mu spis verit i ja).
Chain of trust
CA root podepise certifikat, ktery podepise dalsi certifikat, ktery podepise dalsi certifikat. Overujeme kazdy certifikat v tomto retezi, jestli je spravny (je podepsany spravne, neni revoked = duverujem mu)
Certifikacni proces (k RSA, dig podpis)
Odesilatel zada CA o certifikat pro svuj verejny klic
CA overi uzivatele (pres RA) a certifikat vyda (zamitne pokud neoveri)
CA ulozi certifikat do verejneho repozitare
Odesilatel podepise zpravu a pripoji certifikat
Prijemce overi podpis verejnym klicem odesilatelem. Certifikatem overi verejny klic, jestli opravdu patri odesilateli (respektivne v repozitari prislusne CA nebo lokalne)
Certifikat ma urcitou platnost
Digitalni podpis - certifikacni autority
CA vydava certifikaty
Revokuje - zrusi platno certifikatu
CA je vrchol stromu (musi se nastavit, ze se jim duveruje) napr. Ceska Posta je korenovy CA
Digitalni podpis - infrastruktura verejneho klice (PKI), kompententy, co dela
Komponenty PKI
* CA (Certifikacni Autorita) - poskutoval certifikacni sluzby, vydavatel certifikatu
* RA (Registracni Autorita) - Zaregistruje zadatele a overi jeho identitu
* Adresarova sluzba - seznam platnych klicu a seznam zneplatnenych (revoked) klicu (CRL - certificate revoked list)
PKI spojuje vlastnika verejneho klice s realnym subjektem vystaveni certifikatu. Certifikat je mozne overit, ze je podepsany privatnim klicem CA (a CA my verime)
Prvky PKI musi dodrzovat definovane pravidla BP, procedury. Kdyz dojde ke ztrate duvery CA, je problem
Digitalni podpis - legislativa (TODO)
TODO
Zaruceny elektronicky podpis
Overuje integritu zpravy - digitalni podpis bez overene identity
Uznavana elektronicka znacka (pecet)
Elektronicky podpis ale je i pro pravnicke osoby, organizacni slozky statu atd. Ochrana soukromeho klice je silnejsi
certifikatu se rika systemovy certifikat
Uznavany elektronicky podpis
Digitalni podpis ktery overuje integritu zpravy a certifikat ma overenou i identitu. Je vystaven fyzickym hodnotam
Obsah certifikatu dle legislativy (kvalifikovany certifikat)
Jmeno prijmeni podepisujiciho
Jmeno prijmeni nebo firma podepsaneho
Unikatni cislo certifikatu
Platnost certifikatu
Omezeni
Kdo muze poskytovat certifikacni sluzby dle legislativy
Firma plnici specifikovane podminky, ma akreditaci od ministertva
Overovani uzivatelu v pocitacovych systemech - cilem, kategorie overeni
Primárním cílem autentizace je zabránit neautorizovaným uživatelům v používání počítačového systému . Sekundárním cílem je znalost systému , který uživatel s ním vlastně pracuje – tak , aby systém mohl řídit přístup uživatele k datům a službám podle daných pravidel .
Overeni delime do 3 kategorie
- na zaklade znalost (co kdo zna)
- na zakladne vlastnistvi (co kdo ma)
- na zaklade biometriky (co kdo je)
Metody se daji kombinovat (multi-factor authentification) - zkombinujem treba co kdo zna (heslo), s tim, co kdo ma (treba mobil - OTP)
Priklady tajnych informaci pri overovani uzivatelu
Heslo (casto osolene, zahashovane - scrypt/bcrypt)
pin (4-8)
Priklady tokeu pri overovani uzivatelu
Klic (fyzicky, Yubikey)
Tokeny - kalkulacky (casovy vstup)
Smart card - aktivni prvek (ma nezanedbatelnout vypocetni silu - muze tak pouzit AES, DES, RSA, Podepisovat veci)
Biometrie - chyby/problemy s tim spojene
FRR - False Rejection Rate (opravnenemu uzivateli odepren pristup)
FAR - False Acceptance Rate (neopravnenemu uzivateli pristup povolen)
FTA - Fail to Acquire Rate (Nepodarilo se odebrat vzorek - nizka kvalita napr)
FTE - Fail to Enroll - nepodarilo se zaregistrovat odebrany vzorek
chybejici ruka napr.
Priklady biometrie pri overovani uzivatelu
Retina scan
finger print scan
- opticky
- kapacitni
- ultrazvukovy
chuze
tlukot srdce
hlas
Identifikacni systemy
Identifikaci identity - identita se hleda napric systemem (1:n). Oproti autorizaci (kde se porovnavaji identity)
pr. sejmeme otisk prstu - hledame dany otisk prstu v DB porovnavanim jeden po jednom. Nasli jsme shodu (velice podobny vzorek) = nasli jsme identitu
Je potrebna regisrace vzorku!
Sprava identit
Seznam/databaze zaregistrovanych identit
Ridi a rozhoduje, jestli dany clovek (identita) je zaregistrovana a ma pripadne pristup k danemu zdroji. Mel by zabranit pristupu neautorizovanym osobam
Napr. Open LDAP (linux), Active Directory (windows), kerberos, single sign-on (SSO), SAML, Keycloack
Co je aktivum? (asset)
Hodnotna cast systemu (duverne informace o zakaznicich, firemni)
Co je Hrozba (threat)
Okolnosti ktere muzou poskodit system - muze byt umyslne i neumyslne
Co je zranitelnost (Vulnerability)
Slabina, ktera muze byt zneuzita
Co je risk?
popis hrozby - jaka je sance, jaky je dopad
Co je utok
Snaha prekonat bezpecnost systemu pres zranitelnost (realiazce hrozby).
Co je anonymita (anonymity)
Vlastnost systemu zajistujici uzivani zdroju/sluzeb bez zjisteni identity
Co je pseudoanonimita (Pseudoanonymita)
Vlastnost systemu zajistujici uzivani zdroju/sluzeb bez zjisteni identity, ale uzivatele je mozne stale identifikovat - jsme schopni urcite, co delal (prezdivkou treba)
Co je nespojitelnost
Vlastnost systemu zajistujici opakovatelne uzivani sluzby/zdroje bez moznosti spojit si tato uzivani. (vickrat si dam stahnout soubor, nikdo ostatni neni schopen zjistit, ze ty stahovani byly od jednoho cloveka)
Co je nepozorovatelnost
Vlastnost systemu zajistujici, ze uziti zdroje/sluzby neni pozorovatelne ostatnimi.
Co je Autentizace
Overeni identity s urcitou mirou zaruky
Co je autorizace
Udeleni konkretnich prav
Co je identifikace
Rozpoznani urcite entity v mnozine entity
Co je bezpecnostni politika - BP (Security Policy - SP)
Dokument definujici pravidla na ochranu aktiv
* nastavuje priority (co se bude chranit, jak moco dukladne, proti cemu)
* urcuje odpovednost
* urcuje navrh a implementaci procesu
Duverhodny dokument - musi jednoznacne
Tri typy bezpecnostnich politik
Organizacni - cile, zodpovedni a bezpecnostni hodnoty firmy
issue-specific (functional): detailni vysvetleni specifickych problemu (vsechny PC musi mit antivirus)
system-specific: konretni veci, pro pocitace, sit, applikace atp.
(Windows musi pouzivat AVG)
Rizeni rizik standard
ISO/IEC 27005
* zahrnuje ohodnoceni rizik (risk assesment)
* zvladani rizik (risk mitigation)
* akceptaci rizik (risk acceptance)
* informovani o rizicich (risk communication)
Ohodnoceni rizik (risk assesment)
Analyza rizik (hrozeb, hodnoty zasazenych aktiv, moznosti utocniku) a nasledne jejich ohodnoceni na zaklade analyzy. Cilem by melo mit seznam s riziky a informacemi, ktere by nas meli odpovedet na otazky - musime resit? je pripadna skoda vetsi nez vynalozene usili na eliminaci/redukci rizika?
Prvotni ohodnoceni muze byt orientacni - nasledne se upresnuje:
* Elementarnim ohodnocenim (analogii k podobnemu problemu)
* Neformalni (na zaklade znalosti jedincu)
* Detailni/formalni (vyuziti standardu - strukturovane metody ohodnoceni)
* Kombinace metod
Kvantitativni analyza rizik
Zalozena na soucinech pravdepodobnosti utoku a skod. Casto nepresne - skoda odhadnuta; pravdepodobnost utoku tez.
Kvalitativni analyza rizik
Vyuzivaji se skaly (nema numericke vyjadreni) - urci se pouze oblast. Lepe se odhaduje, ale nema horsi pro analyzu, kdyz neni numericky vyjadreno
Zvladani rizik (risk mitigaton)
Snaha o dostatecne snizeni rizik za nejmensi moznou cenu. Pro velka rizika nastavit preventivni opatreni, pro mensi treba jen napravna opatreni (recovery). Nektera rizika lze i akceptovat
