Brainscape's Knowledge GenomeTM

Browse over 1 million classes created by top students, professors, publishers, and experts.


See full index

Informationsäkerhet > Tentafrågor (17-19) > Flashcards

Tentafrågor (17-19) Flashcards

1
Q

CIA-triangeln bygger på tre grundläggande aspekter som är väsentliga för att säkerställa informations värde för en organisation, Confidentiality (sekretess/konfidentialitet), Integrity (riktighet) och Availability (tillgänglighet). I en allt mer digitaliserad och föränderlig värld anses denna uppdelning inte vara tillräcklig för att fånga den komplexa verklighet vi nu lever i. Därför har ytterligare aspekter som är relevanta i relation till informations värde lagts till för att bättre kunna avbilda och diskutera krav och risker kopplat till den information vi vill skydda. Utöver de som nämns i CIA-triangeln nämns också:
Förklara begreppen i den utökade CIA-triangeln. Du behöver inte förklara Confidentiality (sekretess/konfidentialitet), Accuracy (riktighet) och Availability (tillgänglighet). 6 poäng.

A
  • Riktighet (accuracy) - Beskriver hur data är fritt från fel och har det värdet som en användare förväntar sig. Om information har blivit modifierad (avsiktligt eller oavsiktligt), är den inte längre riktig.
  • Autencitet (authenticity) - Kvalitet eller tillstånd av data som är genuin eller originell, snarare än reproducerad eller tillverkad. Information är autentiserad då den är i samma tillstånd som den skapades i, placerad i, sparad i, eller skickad till.
  • Användbarhet (utility) - Beskriver hur data har ett värde eller användbarhet för ett ändamål.
  • Ägarskap (possession) - Beskriver hur datans ägande eller kontroll är legitim/rättmätig eller auktoriserad/berättigad.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
2
Q

Cobit (Control OBjective for Information and related Technology) är ett ramverk framtaget för IT-styrning. Vad är skillnaden mellan
Styrning och Ledning i kontexten standarder?

A

COBIT är ett it-styrnings ramverk för affärsverksamheter! Detta ska göra att standarder ska vara lättare att förstå för verksamheter och liknande.

  • Styrning “Vad måste göras” (Mål): Styrning kan innebära och bestå av riktlinjer och dokument som en organisation ska följa. Dessa utformas av ledningen eller är standarder
    som ledningen beslutar att följa.
  • Ledning “Hur måste det göras” (Strategi): Ledning är hur en verksamhet (oftast ledningen i en verksamhet) väljer att följa riktlinjerna som utfomats och ska efterföljas.

Ett exempel kan vara att följa just COBIT ramverket och det i sin tur som är styrningsdokument påverkar ledningen av hur ramverken följs.

Om styrnignen svarar på frågan VAD som ska göras och liknande, så är Ledning, HUR det ska göras.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
3
Q

NIST – Risk Management Framework (RMF) består av följande 6 steg: Categorize, Select, Implement, Assess, Authorize och Monitor. Förklara kortfattat varje enskilt steg:

A
  • Categorize:
    Innebär att katogorisera de olika riskerna i en verksamhet. De säkerhetsaspekterna som är kritiska för företaget kan ses som extra viktiga men NIST RMF är väldigt omfattande och ska ta hänsyn till samtliga säkerhetsåtgärder, dock måste dessa alltid prioriteras.
  • Select:
    I select väljer man ut säkerhetsåtgärder för den utvärderade tillgångs risker.
  • Implement:
    Hur man ska bygga om systemet för att riskerna inte ska verka lika farliga och kunna påverka verksamheten. Ibland kan man behöva bygga om systemet, ibland bygga nytt system och andra gånger räcker det med att implementera nya säkerhetsåtgärder t.ex. förbättra brandväggarna.
  • Assess:
    Efter att ett system har implementerats så utvärderas det. Detta för att se om säkerhetsaspekterna som upptäcktes vid steg 1 och 2 har blivit “besvarade”.
  • Authorize:
    I Authorize tar man ett beslut för tillgångens drift baserat på resultatet från Assess.
  • Monitor:
    Sist men inte minst gäller det att underhålla systemet. Så att en verksamheten kan upptäcka eventuella säkerhetshål och aspekter som inte uppkommit tidigare.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
4
Q

I säkerhetsplanen ingår ett SETA program (Security Education, Training och Awareness). Vad innebär de olika delarna och varför är de viktiga för informationssäkerheten? Ge exempel på alla tre:

A

Den största risken i många verksamheter, har visat sig att inte vara systemen och dessa arkitektur utan människorna bakom systemen, dvs. medarbetarna. Människor kan ibland vara naiva och inte se risker med informationssäkerhet och det gör att utbildning av personal är en viktig del i det förebyggande arbetet av informationssäkerhet.

  • Education:
    Utbildning innebär att utbilda personalen i ex. hur hackare tar sig in i system. Detta kan göras genom en eller flera dagars utbildning som innehåller t.ex. föreläsningar mm. Det kan även vara att informera medarbetarna om policys, regler och riktlinjer som verksamheten följer, detta för att visa att man värderar IT- och informationssäkerhet högt i sin organisation.
  • Training:
    Att träna sina arbetare kan består av att låta de upptäcka hackers eller olaga intrång i system, ex. genom att jämför två olika mail där det ena är ett “nigeriabrev” eller ett fejkmail från VDn och det andra ett riktigt brev från VDn. Detta för att arbetare ska förstå vad som skickas mellan medarbetare i företaget och vad som man inte ska tro på.
  • Awareness:
    Innebär att uppmana och uppmuntra medarbetare till kritiskt tänk! Detta för att, om medarbetarna är medvetna, till hur “hackers” och olaga intrång kan se ut i praktiken så kommer de undvika och vara uppmärksamma i arbetet. Det kan vara att upplysa och träna de i att inte klicka på länkar eller ladda ner dokument från okända avsändare för att de ska bli medvetna om att sådant förekommer!
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
5
Q

Vad är beredskapsplanering (Contingency Planning)? Vilka är de tre huvudsakliga elementen i en beredskapsplan?

A

Beredskapsplanering (contingency planning) är ledningens planering för de steg som ska tas för att bedöma effekter och minimera skadorna av en incident eller katastrof, samt återupprätta tillgång till system och data så fort som möjligt. Också förberedande bedömning av inverkan av incidenter på affärsverksamheten (business impact analysis) ingår.
Huvudelementen är:

  • Incidenthantering (identifiering, hantering, återställning av tillgång).
  • Katastrofhantering (samma men för katastrofer och större avbrott).
  • Kontinuitetsplanering (återupptagning av verksamhet genom reserv lösningar såsom hot sites).
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
6
Q

Hur relaterar risk till begreppen sannolikhet, konsekvens, hot och sårbarhet? Förklara med exempel:

A
  • Sannolikheten för att en risk inträffar som leder till att en oönskad händelse inträffar, exempelvis en informationsförlust. Beroende på sannolikhetsnivå får risker olika prioriteringsgrad.
  • Konsekvens relaterat till risk handlar om vad en möjlig händelse som kan orsaka skada skulle kunna få för möjliga effekter på verksamheten t.ex. ekonomiska, personskador eller ryktesskador.
  • Hot är en händelse som kan inträffa och orsaka skada för verksamheten. Hot utgörs av en kategori av objekt, människor, eller andra entiteter som utgör fara för en tillgång. Risk relaterar till hot genom att man brukar mäta risken för att ett visst hot ska inträffa inom IT-säkerhet.
  • Sårbarhet är en svaghet eller ett fel i ett system eller en säkerhetsmekanism som gör det utsatt för attacker eller skador. Ett exempel kan vara ett fel i ett mjukvarupaket. En potentiell sårbarhet som utnyttjas för orsaka skada är en risk för verksamheten och går därför att även se som en risk.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
7
Q

Förklara begreppen risktolerans (risk apetite) och resterande risk (residual risk). Hur relaterar de till riskhantering och organisationens strategi?

A
  • Risktolerans är den risk som ett företag kan “leva med” att ha. Oavsett hur många riskåtgärder man har så kommer det alltid att finnas en risk. Enda sättet att vara helt 100% säker är att koppla ur och stänga ner, men detta är inte rimligt. Man kan tänka att om det kostar mer att införa säkerhetsåtgärd än vad skadan skulle kosta så är det en risk man kan fortsätta ha.
  • Resterande risker är alltså de risker som man fortfarande har efter man infört sina säkerhetsåtgärder. Dessa kommer aldrig vara obefintliga. Dessa är kopplade till företagets strategi då strategin är kopplad till det operativa, hur företaget ska arbeta för att uppnå sin mission. De resterande riskerna som man tolererar får därför inte inkräkta på strategin.

T.ex. har en bank sannolikt en betydligt mindre tolerans för risk än en mindre möbeltillverkare eftersom den är mera beroende av sina system och gott anseende gällande säkerhet, och kommer därmed att acceptera mindre resterande risk.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
8
Q

Riskbedömningar kan göras kvalitativt och kvantitativt. Förklara kvantitativ riskbedömning och beskriv vilka brister i relation till kvalitativa riskbedömningar som kvantitativ riskbedömning försöker komma åt.

A
  • Kvalitativ riskbedömning bygger på att man utifrån tidigare erfarenhet försöker göra en rimlig bedömning hur allvarliga konsekvenserna är som är associeras med en viss risk.
  • Kvantitativ riskbedömning bygger på att man utifrån insamlad data använder statistisk metod för att bedöma risken. Kvantitativ riskbedömning ses som ett sätt att minska godtyckligheten som man finner i kvalitativ riskbedömning.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
9
Q

Det finns fyra tekniska krav för ett system för att åtkomstkontroll ska fungera som det är tänkt. Namnge och beskriv dessa krav kortfattat.

A
  • Identifiering (Identification): Först ska man identifiera användare, detta kan ex. göras genom att denne skriver in sitt användarnamn eller sin e-mailadress.
  • Autentisering (Authentication): För att sedan kontrollera så att användaren är den som den säger sig vara finns det tre metoder att göra detta på. Samtliga metoder kan också kombineras med:
  1. Något användaren VET: det kan ex. vara ett lösenord.
  2. Något användaren HAR: det kan ex. vara en bankdosa, kreditkort, BankID eller passerkort.
  3. Något användare ÄR: Det kan vara biometrics, ex. ansiktsigenkänning eller ett fingeravtryck.
  • Auktorisering (Authorization): När användaren har identifierat sig och autentiseringen godkänns får denna åtkomst till det som användare ska ha åtkomst till. Detta kan enkelt kontrolleras genom en AccessControlList (ACL) som ger en lista av vad denne har tillgång till. En användare ser alltså bara det den har tillgång till (befogenhet att göra).
  • Ansvarsskyldighet: Men ansvarsskyldighet menas att den användaren som loggar in också har ansvar och skyldigheter. Det innebär att användare inte borde låna ut sitt konto och lösenord till andra användare. Om det inträffar någon incident kan därför denne användare stå som skyldig, någon som är viktigt att tänka på. Ex. om man passerar genom en dörr där passerkort krävs, så ska inte användaren släppa in någon obehörig, då den isf. har ansvar för denna. För att se vem som gjort vad kan man använda sig av loggar.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
10
Q

När det kommer till val av anti-virusprogram så har NIST 6 rekommendationer på funktionalitet som antivirusprogrammet skall ha. Beskriv 3 utav dessa kortfattat. Om fler än tre beskrivs så kommer endast de tre första att räknas.

A

NIST rekommenderar att följande funktionalitet ska finnas hos ett antivirus skydd:

  • Skanning av frekvent drabbade områden så som uppstartsfiler för operativsystemet.
  • Övervakning av realtidshändelser i operativsystemet för att upptäcka suspekta aktiviteter.
  • Skanning av alla filer som laddas ner eller finns i bifogade filer i e-mails.
  • Konfiguration för att skanna datorns samtliga filer efter kända virus med jämna mellanrum.
  • Identifiering av vanligt förekommande oönskad kod (malware).
  • Möjlighet till att desinfektera och ta bort oönskad kod.
How well did you know this?
1
Not at all
2
3
4
5
Perfectly
11
Q

Asymmetrisk och symmetrisk kryptering är en förutsättning för många av de aktiviteter som vi gör på webben. Förklara dessa två olika krypteringstekniker och hur de gemensamt används vid kommunikation över internet.

A

Asymmetrisk kryptering: innebär att två användare har både varsin privatnyckel men också varsin publiknyckel. Det innebär att om person A ska skriva till person B så kan denne välja att kryptera meddelandet med person B:s publika nyckel och på så sätt kan endast person B
dekryptera meddelandet. Detta kan vara en fördel och ett smart sätt om person A endast vill att person B ska få meddelandet, då detta gör att person B är den enda som kan dekryptera det. Detta är en säker kommunikation och kan på så sätt vara svår för obehöriga som vill avlyssna och göra intrång. Detta då det är flera nycklar som denne som gör intrång behöver åtkomst till. Asymmetrisk kryptering kan även användas så att person A skickar ett meddelande till en i nätverket som har både publika- och privata nycklar och genom att själv kryptera meddelandet med en publik nyckel så kan mottagaren vara säker på att meddelandet kommer från just person A och ingen annan.
Symmetrisk kryptering: innebär att de som krypterar har båda en privatnyckel och denna ska vara samma för båda parter. Det gör att de kan kryptera och dekryptera varandras meddelanden och ingen utomstående kan läsa meddelanden. Det som kan vara klurigt är dock
överföringen av dessa privata nycklar. För att båda ska få tillgång till dessa krävs det nästan att de ses fysiskt eller att de skickar nycklarna genom en asymmetrisk kryptering, på så sätt kan dessa krypteringsmetoder användas gemensamt vid kommunikation över internet.
Nackdelen med symmetrisk kryptering är att om någon utomstående och obehörig kommer över den privata nyckeln så blottas allt för denne då allt “hänger på” att den nyckeln ska förbli hemlig!

Symmetrisk kryptering kan ses som billigare, då den inte kräver så mycket underhåll och processande, till skillnad från asymmetrisk kryptering. Dock kan asymmetrisk kryptering ta längre tid, just pga. det kräver mer processering och data.

ChatGPT svar:

Symmetrisk kryptering använder samma nyckel för både kryptering och dekryptering av meddelanden. Detta innebär att om någon får tag på nyckeln kan de enkelt avkryptera meddelandet. Symmetrisk kryptering är vanligtvis snabbare än asymmetrisk kryptering, men det finns en större säkerhetsrisk eftersom en nyckel som har delats mellan två parter kan utsättas för stöld eller avlyssning.

Asymmetrisk kryptering använder två olika nycklar för kryptering och dekryptering. Den ena nyckeln, den privata nyckeln, är hemlig och används för att dekryptera meddelanden som har krypterats med den offentliga nyckeln. Den offentliga nyckeln kan delas fritt och används för att kryptera meddelanden som endast kan dekrypteras med den privata nyckeln. Asymmetrisk kryptering är säkrare eftersom den privata nyckeln inte delas, men det är också vanligtvis långsammare än symmetrisk kryptering.

I allmänhet används symmetrisk kryptering för att kryptera stora datamängder, till exempel filer, medan asymmetrisk kryptering används för att kryptera mindre mängder data, till exempel lösenord eller andra känsliga uppgifter.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
12
Q

Del A:
Ett centralt begrepp inom kryptering är kryptosystem. Förklara vad ett kryptosystem är och vad syftet med ett kryptosystem är.

A

Ett kryptosystem är en metod för att kryptera (dvs. koda eller dölja) information så att den inte kan läsas av obehöriga.
Det utgörs av en krypteringsmetod eller process som omfattar en eller flera algoritmer, nyckel/nycklar eller kryptovariabler och procedurer för att kryptera eller dekryptera.
Syftet med ett kryptosystem är att skapa en så säker och openetrerbar kommunikation som möjligt, som samtidigt är distribuerar och resurseffektiv.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
13
Q

Del B:
I samband med krypto system nämns XOR, som i sig är ett svagt krypto men som ändå har en viktig roll, förklara denna.

A

Som en del av ett kryptosystem kan XOR användas för att öka komplexiteten för den som försöker dekryptera meddelandet.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
14
Q

Del C:
Hashfunktioner används inte direkt som ett krypto men har ändå en roll i många kryptosystem. Förklara hashfunktioners roll i kryptosystem.

A

Hashfunktioner används oftast i samband med kryptering av lösenord. Det är färdiga funktioner som göra att om ett lösenord “hashas” så skriver algoritmen ut en “tillsynes” random (slumpmässig) sträng men denna är unik, just för det lösenord som skrivits in. Om en liten sak ändras i lösenordet, ex en bokstav blir stor, så ändras också hela hashen. Detta gör det omöjligt att dekryptera hashade funktioner. I kryptosystem kan en hash användas för att se om innehållet i en text har ändrats. Detta ex. genom att hasha innehållet i originaltexten och sedan hasha innehållet i den “nya” texten och om hasharna är olika så är inte texterna de samma, dvs. något har ändrats, även om det är något mycket liten förändring! På så sätt kan man alltså se om texten är originell, och det är ett sätt som hashfunktioner används till i kryptosystem.

Exempelvis kan det användas för att gömma lösenord i en databas, så att om databasen blir hackad kan inte den som gör intrång få tillgång till lösenordet utan endast en lösenordets hash.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
15
Q

JOA beskrev hur han såg på huvudprocessen för infoskyddet. I denna process är Input - Krav och förväntningar och Output – Verksamheten kan utföras utan att allvarliga störningar inträffar. Uppkommer sådana ska de kunna hanteras. Vilka fyra aktiviteter består denna huvudprocess av? Förklara kortfattat dessa.

A

Input: Krav och förväntning
Output: Verksamheten kan utföras utan att allvarliga störningar inträffar. Uppkommer sådana ska de kunna hanteras.
De fyra aktiviteterna i huvudprocessen är följande:
Byggandet av informationsskydd - ut efter de krav och förväntningarna som en verksamhet har, ska informationsskydd byggas och här måste man också se till behoven i verksamheten. Det kan vara att informationssystemet ska vara användarvänliga. Sedan ska systemet implementeras, det informationsskyddet som har byggts, detta så att det passar andra system som verksamheter har, nyttjar och tillhandahåller. Det ska kunna göra backups så att om en incident eller allvarlig störning inträffar så finns det sparade versioner, detta är ett sätt att tillhandahålla lösningar så att informationssystemet byggs “med flera bärande balkar”. Det kan också vara genom att ha reserv lösningar och andra system som kan tas i bruk.
Systemet som byggs och implementeras måste också testas, detta för att hindra att fel och infosäkehetshål upptäcks innan och inte när systemet väl är i bruk (även om det ofta inträffar, enligt JOA). Det JOA också talade om var att det gäller att implementera brandväggar och
system som reagerar på om en “konstig” händelse är på väg att inträffa. Ett exempel kan vara att implementera IDPS (det sa inte JOA, utan det mitt förslag). Men poängen, att man implementerar infosäkerhet så att själva IT systemet tillhandahåller lösningar och “alarm” och tex. kan sålla mellan vilka som ska kunna besöka och få tillgång till systemet.

How well did you know this?
1
Not at all
2
3
4
5
Perfectly
16
Q

Boken tar upp sju kritiska egenskaper hos information. Beskriv samtliga.

A
  • Tillgänglighet (availability):
    Informationen ska vara tillgänglig för rätt person i rätt format när personen behöver ha tillgång till den.
  • Riktighet (accuracy):
    Beskriver hur data är fritt från fel och har det värdet som en användare förväntar sig. Om information har blivit modifierad (avsiktligt eller oavsiktligt), är den inte längre riktig.
  • Autencitet (authenticity):
    Kvalitet eller tillstånd av data som är genuin eller originell, snarare än reproducerad eller tillverkad. Information är autentiserad då den är i samma tillstånd som den skapades, placerades och sparades i eller blir skickad till.
  • Sekretess/ Konfidentialitet:
    Informationen ska endast vara tillgänglig för de personer som ska ha tillgång till den och ingen obehörig. Får en obehörig tillgång till informationen bryts konfidentialiteten.
  • Integritet (integrity):
    Information har integritet när den är hel, komplett och ofördärvad.
  • Användbarhet (utility):
    Informationen måste ha ett syfte och därigenom skapar den ett värde för ägaren av den.
  • Ägarskap (possession):
    Informationen måste kunna påvisa någon form av ägarskap. Detta går ihop med spårbarhet och oavvislighet. Man ska kunna se vem som gjort vad med informationen.
17
Q

Det finns flera olika sätt att försöka knäcka och komma åt lösenord. Fyra metoder som används för att komma åt lösenord är:

  1. Brute force
  2. Dictionary (lexicon)
  3. Rainbow tables
  4. Social engineering.

Beskriv hur dessa går till. Beskriv även styrkor, svagheter med dessa och hur man kan skydda sig emot dem.

A
  • Brute Force: innebär att en angripare systematiskt testar ett lösenord i taget för att till slut kunna lyckas hitta rätt kombination och på så vis ta sig in. Detta kan utföras på flera sätt, exempelvis med en “dictionary” i grunden som ursprungspunkt för vilka försök som ska göras. Det kan också göras systematiskt med alla tänkbara kombinationer som finns, både med små och stora tecken samt specialtecken. Det senare innebär att det är väldigt
    resurskrävande och kan i de fall som lösenorden är långa kräva väldigt mycket tid innan rätt
    kombination hittas.

En styrka med Brute Force från angriparens perspektiv är att den vet med säkerhet att den kommer kunna hitta rätt lösenord till slut, om än efter lång tid. Då den jobbar sig igenom alla tänkbara varianter systematiskt så missas inga lösenord utan för varje försök som görs så kommer den närmare det rätta svaret.

En svaghet med Brute Force är, som nämnt, att det kan vara väldigt resurskrävande och ta lång tid. Framförallt gäller detta långa och komplicerade lösenord.

För att skydda sig mot Brute Force bör man ha ett långt lösenord med många olika varianter på tecken. Ju längre lösenord, desto svårare att knäcka då det tar exponentiellt mycket längre tid.

  • Dictionary: är en ordbok med väldigt många vanliga ord, fraser och namn som används i lösenord och som på så sätt kan användas som utgångspunkt när en angripare försöker testa sig fram till rätt lösenord. Angriparen använder sig då av dessa ord i kombinationer och i olika varianter för att på så vis kunna effektivt hitta fram till rätt lösenord på ett snabbare sätt. Det innebär dock fortfarande att varje lösenordskombination måste testas en i taget.

Styrkan med detta är att det kan spara väldigt mycket tid jämfört med vanlig Brute Force då många lösenord använder sig av vanliga ord och namn i någon utsträckning. Således behövs inte alla tänkbara kombinationer testas utan varje “vanligt” lösenord kan testas först för att då förhoppningsvis hitta rätt svar snabbare.

Svagheten är att de lösenord som inte använder sig utav vanliga ord och namn då kommer ta ännu längre tid att testa sig fram till eftersom det inte blir något av de första alternativ som testas.

För att skydda sig mot Dictionary attacks bör man använda sig av lösenord som inte innehåller vanliga ord, fraser eller namn utan enbart “ologiska” kombinationer av tecken.

  • Rainbow Tables: Innebär att en väldigt stor samling hashade lösenord sparas i en tabell och sedan används för att söka igenom för att förhoppningsvis hitta en matchande hashning som det lösenord man fått tag i. Varje hashning som är sparad har då också det motsvarande värdet sparat.

Styrkan med detta är att det kan gå väldigt mycket snabbare än att Brute Force:a då man vid Rainbow Tables bara söker igenom värden som redan finns, vilket är mycket effektivare än att testa alla kombinationer.

Svagheten är att det kräver att man har fått tillgång till det hashade lösenordet för att kunna söka efter dess motsvarande värde i tabellen. Likaså krävs det att man vet vilken typ av hash som använts. Slutligen är det väldigt resurskrävande att ta fram dessa Rainbow Tables och de blir väldigt stora tabeller med alla varianter. Skulle det vara ett lösenord som inte sparats i tabellen så går det inte heller att hitta dess värde.

För att skydda sig mot detta gäller det att ha alla lösenord sparade säkert då det krävs ett intrång för att kunna få reda på lösenordets hashade värde och på så sätt sedan kunna söka upp dess ursprungliga värde i klartext. Har man dessutom sparat alla hashvärden genom att först ha använt sig av ett slumpmässigt salt så går det inte för angriparen att hitta det motsvarande värdet i tabellen.

  • Social Engineering: Handlar om att man nyttjar människans naivitet och god tro för att på så sätt kunna få till sig information. Det kan till exempel vara att man kommer till ett företag och säger att man ska in och åtgärda ett fel vid företagets servrar i hopp om att bli insläppt. Ofta kan människor vilja hjälpa till och försöker därför hitta en lösning för att underlätta.

Styrkan med detta från angriparens perspektiv är att det kan vara väldigt enkelt att komma åt extremt känslig information ifall man får hjälp. Det kan vara information som annars hade varit extremt resurskrävande och komplicerad att nå, men som någon människa då kan “släppa förbi” en till att nå på ett enkelt sätt.

Svagheten är att det krävs att det finns någon som medvetet eller omedvetet utför en handling så angriparen kan komma åt den information som den vill. I de fall där det inte tillåts och ges någon möjlighet till detta så finns det inte heller något vidare att göra.

För att skydda sig mot Social Engineering så bör ett företag ha tydliga policys som reglerar dessa frågor och jobba aktivt med att göra sina medarbetare medvetna om den risk som förekommer.

18
Q

NIST – Risk Management Framework (RMF) består av följande 6 steg: Categorize, Select, Implement, Assess, Authorize och Monitor. Förklara kortfattat varje enskilt steg.

A
  • Categorize:
    Innebär att man ska kategorisera informationen för att kunna få ut en “baseline” av åtgärder man kan använda sig av.
  • Select:
    Man väljer ut och skräddarsyr en informations-säkerhetsåtgärd.
  • Implement:
    Man implementerar den lösning man tagit fram, här brukar det vara en fråga om man ska bygga in, bygga om eller bygga nytt.
  • Asses:
    Man utvärderar om lösningen uppfyller sitt syfte och krav man haft från början.
  • Authorize:
    Man fattar beslut utifrån utvärderingen om man ska fortsätta använda sig av lösningen.
  • Monitor:
    Man övervakar den lösning man infört och söker ständig förbättring.
19
Q

Definiera kort följande termer (1-2 meningar) i relation till informationssäkerhets-planering, gärna med exempel:
1. Specifik informationssäkerhetspolicy (issue-specific security policy)
2. Kris/katastrof (crisis/catastrophe)
3. Business impact analysis (BIA)
4. Work recovery time (WRT)
5. Hot site

A
  1. Specifik informationssäkerhetspolicy:
    En specifik informationssäkerhetspolicy gäller för en specifik aktivitet eller verktyg inom verksamheten. Dessa är mer specifika än de allmänna policyerna och är mer kopplade till det operativa. Ett exempel på detta är Clean-desk policy eller policy om e-post användning.
  2. Kris/katastrof:
    En katastrof är en mer omfattande incident som uppstått där inte bara ett hot mot organisationens informationstillgångar har uppstått, utan den utsätts även för att göra ekonomiska förluster då verksamheten inte kan operera som vanligt. Organisationen blir begränsad i att kunna utföra sina processer för att uppnå sina mål. Ett exempel på katastrof skulle kunna vara en brand.
  3. Business Impact Analysis:
    En BIA används när man gör en plan för risk. Den är uppdelad i 3 steg:
    - Identifiera de viktigaste affärsprocesserna för organisationen.
    - Prioritera de viktigaste systemen som behövs för att kunna upprätthålla de viktiga affärsprocesserna i föregående steg.
    - Ta reda på vilka resurser som krävs för att upprätta dessa, i form av personal, dataöverföring etc.
  4. Work Recovery Time:
    WRT är den tid det tar för företaget att återuppta normal verksamhet efter att tillgång till system och data har återupprättats (dvs RTO, recovery time objective). RTO + WRT = MTD (maximum tolerable downtime).
  5. Hot Site:
    En Hot Site är en lokal som ett företag har tillgång till som en del av sin reservplan i händelse av katastrof. I en Hot Site har man allting redo, arbetsstationer och system finns och skulle kunna tas i bruk inom några timmar. En nackdel med en Hot Site dock är att det är väldigt dyrt för företaget att ha, då man har en helt fullt fungerande lokal ståendes tom och endast nyttjar vid händelse av katastrof.
20
Q

Boken nämner ett antal krav som en policy måste uppfylla för att vara effektiv och juridiskt bindande. Nämn åtminstone tre och diskutera vad de innebär.

A

De fem kraven ifrån boken är följande:

  • Distribution (dissemination):
    Organisationen måste kunna visa att policyn har gjorts lätt tillgänglig för alla anställda, t.ex. elektroniskt eller som fysiskt kopia.
  • Granskning (review):
    Organisationen måste kunna visa att policyn har gjorts tillgänglig i en för alla förståelig form, också med beaktande av olika modersmål samt lässvårigheter.
  • Förståelse (Comprehension):
    Organisationen måste kunna visa att den anställda har förstått innehållet, t.ex. genom test.
  • Samtycke (Compliance):
    Organisationen måste kunna visa att den anställda har visat sitt samtycke till policyn, t.ex. genom att godkänna avtal, genom att kruxa i samtycke vid inloggning eller genom banners, varningar eller liknande.
  • Enhetlig tillämpning (Uniform enforcement): Organisationen måste kunna visa att policyn har tillämpats lika på alla anställda oberoende av ställning.
21
Q

Förklara begreppen risktolerans (risk appetite) och resterande risk (residual risk). Hur relaterar de till riskhantering och organisationens strategi?

A
  • Risktolerans är den risk som ett företag kan “leva med” att ha. Oavsett hur många riskåtgärder man har så kommer det alltid att finnas en risk. Enda sättet att vara helt 100% säker är att koppla ur och stänga ner, men detta är inte rimligt. Man kan tänka att om det kostar mer att införa säkerhetsåtgärd än vad skadan skulle kosta så är det en risk man kan fortsätta ha.
  • Resterande risker är alltså de risker som man fortfarande har efter man infört sina säkerhetsåtgärder. Dessa kommer aldrig vara obefintliga. Dessa är kopplade till företagets strategi då strategin är kopplad till det operativa, hur företaget ska arbeta för att uppnå sin mission. De resterande riskerna som man tolererar får därför inte inkräkta på strategin.
22
Q

Boken nämner fem strategier för behandling av risk (risk control), varav en är förebyggande (defense control strategy). Förklara vad en förebyggande strategi går ut på och vilka tre metoder (eller verktyg) som vanligen används.

A

En förebyggande strategi går ut på att minska risken för att en skada uppkommer. Man vidtar alltså åtgärder proaktivt, innan skadan inträffar, till skillnad från t.ex. en mitigerande strategi. Risken kan minskas genom motåtgärder till specifika hot, genom att minimera sårbarheter, minska tillgång eller genom andra tekniska skyddsåtgärder.
De tre huvudsakliga verktygen i en förebyggande strategi blir således:
1. Styrning (dvs implementera policies).
2. Skolning och utbildning (SETA-program).
3. Teknisk arkitektur (såsom brandväggar, IDPS, antivirus, osv).

23
Q

Det finns fyra tekniska krav för ett system för att åtkomstkontroll ska fungera som det är tänkt. Namnge och beskriv dessa krav kortfattat.

A
  • Identifiering:
    Identifiering görs genom något som kan kopplas till en person. T.ex. ett användarnamn eller en e-postadress.
  • Autentisering:
    Autentisering innebär att man bekräftar att man är den man vill identifiera sig som. Detta kan göras på tre olika sätt, där en kombination av dem är det bästa och en kombination av minst två anses vara starkt.
    Dessa är:
    -Genom något man HAR, t.ex. en enhet som en mobiltelefon eller bankdosa.
    -Genom något man VET, t.ex. genom ett lösenord eller pinkod.
    -Genom något man ÄR, t.ex. ett fingeravtryck.
  • Auktorisering:
    Auktorisering innebär att man ges behörighet och åtkomst till det man ska ha tillgång till efter man blivit autentiserad. Detta kan göras med hjälp av en Access Control List (ACL) som är kopplad till olika roller och behörigheter. Man ska få behörighet till de saker som matchar sin roll.Auktoriseringen kan även sträcka sig över flera system. Har man blivit auktoriserad i ett system kan du även ha tillgång till andra system.
  • Ansvarsskyldighet:
    Ansvarsskyldighet går ihop med spårbarhet och oavvislighet. Det som en användare utför ska loggas och göras möjligt att kunna gå tillbaka till och spåras upp senare bl.a. för att rätt person ska kunna stå till svars för en handling i ett system. Därför är det viktigt att man tar ansvar för både handlingar man utför när man är inloggad samt att man inte lånar ut sina inloggningsuppgifter till någon annan person.
24
Q

Förklara vad Virtual Private Network (VPN) är för något. Ange och beskriv en anledning till varför det kan vara relevant för en organisation att använda sig utav VPN.

A

VPN är ett sätt att kunna skapa en krypterad anslutning mellan två enheter, där all trafik däremellan går krypterad. På så vis kan ingen utomstående avlyssna trafiken och se vad för data som skickas utan allting sker på ett säkert och skyddat sätt. Det finns två typer av VPN transportation mode och tunneling mode:
- I transportation mode kan headern i ett paket läsas för att på så vis kunna avläsa metadata om trafiken, exempelvis vem avsändaren och mottagaren är för trafiken.
- I tunneling mode krypteras istället hela paketen inuti ett annat paket vilket gör att även avsändare och mottagare för trafiken kan döljas för utomstående.

Det kan vara relevant för en organisation att använda sig av VPN för att exempelvis kunna tillåta medarbetare att vara utanför sin fysiska arbetsplats och på ett säkert och skyddat sätt ändå kunna koppla upp sig till arbetsplatsens nätverk och ta del av innehåll därifrån.

25
Q

I säker programmeringsföreläsningen behandlar Millan felmeddelanden. Förklara kortfattat varför man ska använda sig av generella felmeddelanden istället för specifika felmeddelanden.

A

Man ska aldrig uppge för användaren vad som är orsaken till att ett fel har uppstått, dvs ett specifikt felmeddelande, då det kan innebära att en användare med potentiellt negativa avsikter då får en möjlighet till att lättare kunna hitta sårbarheter och på så sätt kunna angripa systemet/hemsidan.
Om man istället bara anger generella felmeddelanden så förstår gemene man att det uppstått ett fel, men kan inte tolka något vidare utifrån den informationen. Istället kan då mer
information om felet skickas dolt till administratören som kan använda den specifika informationen om felet för att åtgärda det.

26
Q

Både symmetrisk och asymmetrisk kryptering är viktiga tekniker som ligger till grund för säker kommunikation över internet. Förklara symmetrisk kryptering:

A

Symmetrisk kryptering är en metod för att kryptera information där samma nyckel används för både kryptering och dekryptering av meddelanden. Detta innebär att både avsändaren och mottagaren behöver ha tillgång till samma nyckel för att kommunicera säkert. Den får enbart tillhandahållas av dessa parter för att informationen ska skickas på ett säkert sätt, således är det kritiskt att den inte läcker ut eller delas med utomstående.

27
Q

Vad är fördelen med symmetrisk kryptering:

A

Fördelen med symmetrisk kryptering är att den är lätthanterlig när parterna väl besitter den hemliga krypteringsnyckeln. Eftersom det enbart finns en nyckel krävs ingen större nyckelhantering av flera nycklar. Den nyckel som också används kan nyttjas av flera parter och på så sätt göra det lättare att hantera.
Nyckeln blir inte individuell utan kan användas från flera håll och alla inblandade kan använda samma nyckel för att både kryptera och dekryptera.

28
Q

Förklara asymmetrisk kryptering:

A

Asymmetrisk kryptering innebär att det finns både en privat och en publik nyckel för den information som krypteras. Den privata nyckeln får enbart resp. individ ha tillgång till, den är unik och individuell och måste under alla omständigheter hållas hemlig för andra. Den publika nyckeln å andra sidan finns tillgänglig för alla.
Informationen kan krypteras med den publika nyckeln och sedan dekrypteras endast med den
privata nyckeln. Således kan man veta att endast mottagaren kan läsa den krypterade
informationen.
Alternativt kan informationen krypteras med den privata nyckeln och sedan dekrypteras med den publika. Då innebär det att “vem som helst” som har tillgång till den publika nyckeln kan dekryptera informationen, men man vet också med säkerhet att det bara kan vara avsändaren som krypterat den. På så vis har man identifierat avsändaren.

29
Q

Vad är fördelen med asymmetrisk kryptering:

A

Asymmetrisk kryptering har fördelen att den möjliggör en säkrare kommunikation genom att använda två olika nycklar för kryptering och dekryptering av meddelanden.

Vilket leder till att det med större säkerhet går att veta att informationen enbart går att nå av en viss mottagare, alternativt att informationen enbart kommer från en viss användare. Man kan på detta sätt anse att det är ännu säkrare sätt att kryptera information jämfört med symmetrisk kryptering.

30
Q

Tillsammans används de två teknikerna (Symmetrisk kryptering och Asymmetrisk kryptering) för att säkerställa en säker kommunikation mellan två parter på internet. Förklara hur ett säkert utbyte av krypteringsnycklar går till så att respektive part kan kryptera och dekryptera kommunikationen på ett effektivt sätt.

A
  • Symmetrisk kryptering:
    Låt säga att vi har två användare, A och B, som vill skicka information sinsemellan med symmetrisk kryptering. Då det bara finns en nyckel för både kryptering och dekryptering och det är helt kritiskt att den inte delas med yttre parter måste A och B dela den nyckeln med varandra utan att det finns en risk för att någon utomstående kan ta del av den. Av det skälet bör detta ske på ett säkert sätt, exempelvis genom att nyckeln delas fysiskt mellan användarna med hjälp av ett USB-minne. På så vis finns det ingen utomstående som kan ha fått tag i nyckeln vid överföringen. Sedan kan exempelvis användare A kryptera information med den nyckeln, skicka den krypterade informationen till användare B som sedan dekrypterar med samma nyckel och kan läsa den i klartext.
  • Asymmetrisk kryptering:
    Låt istället säga att vi har två användare, A och B, som vill skicka information sinsemellan med asymmetrisk kryptering. Då finns det en publik och en privat nyckel som användarna kan använda för att kryptera resp. dekryptera informationen. Om exempelvis användare A vill skicka informationen till användare B och veta med säkerhet att ingen utomstående kan läsa den så nyttjar användare A den publika nyckeln för att kryptera informationen. Sedan skickas informationen krypterat mellan A och B varpå användare B nyttjar sin privata nyckel, som endast hen själv har tillgång till, för att dekryptera informationen. Den går då endast att dekryptera med denna privata nyckel och eftersom den privata nyckeln aldrig har delats med någon annan kan båda användarna veta med säkerhet att informationen skickats på ett säkert sätt.
  • Kombinera asymmetrisk och symmetrisk kryptering:
    Det finns även situationer när man vill kombinera dessa två tekniker för att kryptera information. Det kan exempelvis vara för att nyttja fördelarna av symmetrisk kryptering där flera parter kan skicka information sinsemellan med samma nyckel och på så sätt inte behöva hålla koll på vilken privat och publik nyckel som hör ihop med vilken avsändare och mottagare. Då kan användarna skicka den nyckeln som ska användas för den symmetriska krypteringen genom en asymmetriskt krypterad anslutning. Således är det ett sätt att överföra nyckeln på ett säkert sätt, för att sedan kunna dra nytta av att överföra annan information via symmetrisk kryptering.
31
Q

Vad är det för egenskaper som gör att hashfunktioner ofta används som en komponent i kryptosystem?

A

En hashfunktion tar data och, utifrån en given algoritm, konverterar denna till ett fixerat antal tecken. Dessa tecken blir då helt oläsliga och är skapade utifrån den data som matats in. Det går däremot inte att återskapa den information som matats in utifrån den hash som skapats. Det innebär att om exakt samma data matas in två gånger så ska samma hash genereras, vilket gör att man vet med säkerhet att det är samma data som matats in båda gångerna, men däremot finns det inget sätt att gå från en genererad hash tillbaka till den inmatade
datan. Det är därför tänkt att en hashfunktion ska göra att data med olika innehåll aldrig någonsin heller ska kunna generera samma hash utan de ska alltid bli helt unika för respektive data som matas in.
Med hjälp av detta så är det därför väldigt lämpligt att använda sig utav hashfunktioner i ett kryptosystem när man exempelvis vill spara lösenord, för att på så sätt försäkra sig om att ingen kan återskapa lösenordet utifrån den hash som genererats.

32
Q

Det finns många metoder som kan användas för att kryptera en text, tre av dessa är substitutionschiffer, transponeringschiffer och Vernamchiffer. Förklara hur dessa tre chiffer fungerar, ge gärna exempel.

A
  • Substitutionschiffer:
    Substitutionschiffer innebär att man byter ut bokstäverna helt mot andra bokstäver i den text man vill kryptera. Kan delas upp i underkategorierna monoalfabetiska chiffer och polyalfabetsiak chiffer.
    -Monoalfabetiska substitutionschiffer använder sig enbart av ett annat alfabet för kryptering/dekryptering. Ett exempel på detta är Ceasarchiffer där man endast flyttar några steg bakåt eller framåt i alfabetet.
    -Polyaflabetiska substitutionschiffer använder sig av flera alfabeten för kryptering/dekryptering. Ett exempel på detta är Vigenère square där man har flera alfabeten i en matris i kombination med ett nyckelord för att kryptera/dekryptera.
  • Transponeringschiffer:
    Transponeringschiffer innebär att man endast byter plats på bokstäverna inom den text man vill kryptera/dekryptera. Man använder sig av en nyckel som visar vilken position som en siffra eller bokstav ska flyttas från och till.
  • Vernamchiffer:
    Vernamchiffer är en engångskryptering där man använder sig av en pad för kryptering/dekryptering. Man krypterar med hjälp av paden och sen måste den hållas gömd till man vill dekryptera. När man har dekrypterat kan man inte återanvända den för kryptering. Denna metod är bra om man inte behöver kryptera/dekryptera informationen ofta eller flera gånger.
33
Q

CIA-triangeln har länge varit en slags standard för datasäkerhet. Beskriv triangelns begrepp. Beskriv sedan McCumber-kuben. Hur förhåller sig McCumber-kuben till CIA-triangeln?

A

CIA triangeln står för tre av de sju krav på, eller komponenter, av säkerhet för informationstillgångar. De är tre kriterier för informationstillgångar som sätter tillgångens värde och om dessa utsätts för något dåligt kan värdet på informationstillgången sjunka. CIA står för confidentiality (konfidentialitet), intergrity (integritet) och availability (tillgänglighet).
- Konfidentialitet innebär att endast behöriga ska ha tillgång till informationstillgången. Ingen utomstående (obehörig) ska kunna ta del av den.
- Integritet innebär att enbart behöriga har möjlighet att ändra och modifiera tillgången vilket i sig innebär att informationen är korrekt och okorrupterad.
- Tillgänglighet står för att de som är behöriga ska ha tillgång till informationen utan hinder och störningar.
Säkerheten ska helt enkelt inte vara så omfattande att det blir jobbigt för personalen att använda tillgången.
Dessa tre är en aspekt av McCumber kuben. De två andra aspekterna (sidorna) och de sex komponenterna är dels Storage, Processing och Transmission samt Policy, Education och Technology.

McCumber kuben är ett sätt att få med samtliga aspekter i implementerandet och utvärderandet av ett säkerhetssystem. Man får se hur samtliga komponenter påverkar varandra. Det går ut på att under alla stadier av data, om det lagras, processas eller skickas ut/tas in (transmission) så ska man tänka på hur man kan skydda datans värde utifrån dess konfidentialitet, integritet och tillgänglighet. Och detta gör man genom att använda sig av verktygen policy, utbildning och teknologi.

34
Q

Beskriv hur en attack av typen ”denial-of-service” går till. Diskutera konsekvenser av en sådan attack för två olika typer av organisationer.

A

En denial-of-service eller DOS attack är då massor av personer skickar trafik till en server samtidigt så att den blir så överbelastad att den kraschar. Det finns även DDOS attack där en person använder massor av andra datorer/enheter genom remote för att skicka trafik till servern. Då använder man sig av så kallade “zombie” enheter som man infekterat och skickar trafik från, det sitter ingen fysisk person vid dessa datorer.

För en e-handel skulle detta t.ex. innebära att hemsidan läggs in och deras kunder inte kan komma in och beställa varor, det blir alltså en stor ekonomisk förlust innan man fått igång sina servrar igen.

Ett annat exempel kan vara en organisation som livesänder någonting på nätet. Om deras server då blir överbelastade så de inte kan streama längre kan det dels vara en ekonomisk förlust men även förstöra organisationens/kanalens rykte. Tittarna kanske helt enkelt väljer en annan streaming tjänst, en ryktesskada.

35
Q

Beskriv begreppet standard samt ange minst 3 fördelar med att använda sig utav en standard.

A

Standard enligt SIS: “dokument, upprättat i konsensus och fastställt av erkänt organ, som för allmän och upprepad användning ger regler, riktlinjer eller kännetecken för aktiviteter eller deras resultat, i syfte att nå största möjliga reda i ett visst sammanhang.”

Om man följer en standard kan man få en certifiering vilket kan ha många fördelar:

  • För det första kan det ses som bra marknadsföring för företaget att man följer standarder.
  • För det andra kan det ses som en god kvalitéts stämpel, man visar att man följer konstens alla regler.
  • För det tredje är det en beprövad metod och arbetssätt och är därför ett hjälpmedel i säkerhetsarbetet (om vi nu frångår från informationssäkerhetsstandard), det kan göra det enklare för ledningen dels i arbetet men också att det blir bra.
36
Q

Definiera kort följande termer (1-2 meningar) i relation till informationssäkerhets-planering, gärna med exempel:

  • Händelse (event)
  • Incident
  • Defense in depth
  • Demilitarized zone
  • Access Control Lists (ACL)
A
  • Händelse:
    Är någonting som sker inom en organisations operativa miljö.
  • Incident:
    En händelse blir en incident då den är riktad mot en informationstillgång och kan ha negativa effekter på en tillgång.
  • Defense in depth:
    Handlar om att en organisation ska ha flera lager av skydd så att om en skyddsåtgärd slutar fungerar är informationen inte blottad utan det finns andra skyddsåtgärder som skyddar.
  • Demilitarized zone:
    Är det mellan ett internt nätverk och omvärlden som fungerar som en buffertzon då den är mer utsatt. Det är t.ex. här man förvarar webbservrar så omvärlden kan ha tillgång till ett företags hemsida t.ex. utan att de ska komma in i det interna nätverket, allt för att skydda det interna nätverket från yttre hot.
  • Access Control Lists:
    Är listor där man kontrollerar vad den som försöker få åtkomst till systemet har auktoritet till. Man har helt enkelt kontrollerar och laddar upp (till användaren) de sidor och funktioner den får ha tillgång till.
37
Q

Boken nämner tre olika typer av policys: EISP, ISSP och SysSP. Förklara vad de betyder med exempel. (gammal kursbok)

A
  • EISP – Enterprise Information Security Policy (eller general ISP), dvs allmän informationssäkerhetspolicy:
    Den övergripande informationssäkerhetspolicyn inom organisationen. Ett högnivå dokument som motiverar och beskriver den övergripande säkerhetsfilosofin i organisationen, definierar de viktigaste rollerna och deras ansvar för informationssäkerhet, samt påföljder och disciplinära åtgärder. I regel relativt kort och förändras sällan.
  • ISSP – Issue-Specific Security Policy, dvs specifik informationssäkerhetspolicy:
    Regler som berör specifika tillgångar eller verktyg, t.ex. e-post, privat användning av organisationens tillgångar, lösenord, BYOD, privata molntjänster, osv. Ska specificera vem som får använda vad, för vilket ändamål, samt disciplinära påföljder vid missbruk. Kan vara universella för organisationen (centralt administrerade), specifika för någon del av organisationen (decentraliserat administrerade), eller centralt uppgjorda men anpassade till olika delar av organisationen.
  • SysSP – System-Specific Security Policy, dvs systemspecifik säkerhetspolicy:
    Reglerar vem som har tillgång till vilka system i organisationen, samt vad de har rätt att göra i dessa system (Access Control Lists), samt vad systemen kan göra och hur de ska reagera på händelser (Configuration Rule Policies).

Informationsäkerhet (3 decks)

Brainscape helps you reach your goals faster, through stronger study habits.
© 2024 Bold Learning Solutions. Terms and Conditions