"Ryzyko" jest kluczowym pojęciem w cyberbezpieczeństwie. Niektórzy definiują ryzyko w zakresie cyberbezpieczeństwa za pomocą formuły A + T + V = ryzyko. W powyższym równaniu A oznacza aktywa (asset), T oznacza zagrożenie (threat), a V oznacza podatność (vulnerability).
Aktywa: Aktywa to wszystko, co może być uznane za wrażliwe dane lub co umożliwia dostęp do takich danych. Może to być prywatna informacja, urządzenie lub element systemu, który jest postrzegany jako cenny.
Zagrożenie: Zagrożeniem może być szkodliwa działalność hakera, przestępca lub osoba wewnątrz firmy kradnąca informacje, ale zagrożenie może być również przypadkowe, takie jak awaria techniczna lub błąd użytkownika, który może spowodować zagrożenie dla danych (aktywów).
Podatność: Podatność to wada, która może zniszczyć, uszkodzić lub narazić na szwank aktywa. W przypadku oprogramowania podatność jest zazwyczaj błędem w kodzie programu (bug) lub wadą w sposobie, w jaki program ujawnia lub umożliwia dostęp do danych.
Rodzina norm ISO 27000 dotyczących bezpieczeństwa informacji dodaje do definicji także skutki (impact). Celem oceny skutków jest również hierarchizacja ryzyka pod względem priorytetowości. Na przykład ryzyko o wysokim prawdopodobieństwie, ale o naprawdę niewielkich skutkach może zostać umieszczone niżej na liście ryzyka - zamiast tego należy skupić się na ryzyku o niskim prawdopodobieństwie, ale naprawdę poważnych skutkach. Dodanie skutków (impact) do definicji i przeformułowanie równania jako V x T x I = ryzyko uwzględnia wieloczynnikowy charakter oceny ryzyka.
Rodzina norm ISO 27000 to najbardziej rozpowszechnione standardy stosowane przez firmy w Europie. Określają one najlepsze praktyki w zakresie zarządzania bezpieczeństwem informacji, zazwyczaj w kontekście systemu zarządzania bezpieczeństwem informacji (ISMS).
Seria ISO 9000 definiuje zestaw norm dotyczących zapewnienia jakości i zarządzania jakością oraz zapewnia szersze ramy, które wiele firm stara się wdrożyć.
Jeśli myślimy o analogiach z rzeczywistości, aktywa to cenne rzeczy w domu, takie jak nowy telewizor, podatność przypomina niezamknięte drzwi, a zagrożenie to przestępca, który wykorzystuje podatność, co prowadzi do kradzieży telewizora, która stanowi skutek.
Przykładem online byłoby użycie słabego hasła (podatność), aby chronić swoje konto na Facebooku (aktywa) przed kimś, kto chce się zalogować i ukraść Twoją tożsamość (zagrożenie). Skutkiem w tym przypadku jest utrata konta i zawartych na nim informacji.
W obu tych przypadkach mamy do czynienia z ryzykiem, które istnieje tylko dlatego, że istnieją aktywa, podatność, zagrożenie i skutki.
Warto również pamiętać, że podatność niekoniecznie oznacza niezamierzoną wadę, taką jak niezamknięte okno, ale może być świadomie stworzoną słabością, która w przypadku komputerów jest powszechnie nazywana backdoorem.
Rodzaje podatności
Istnieje wiele różnych rodzajów podatności i obejmują one szeroki zakres celów i metod. Podatnością może być na przykład źle wdrożona kontrola dostępu, niewystarczająca obsługa danych wejściowych lub wykorzystanie znanej słabości w chipie komputerowym. Trudno jest zdefiniować ogólną klasyfikację dla tego typu podatności. Jedną z klasyfikacji można znaleźć w normie ISO 27005. Klasyfikuje ona podatności na podstawie aktywów.
Sprzęt
Podatność na wilgoć lub pył
Podatność na niezabezpieczone przechowywanie
Zużycie spowodowane upływem czasu, które powoduje awarię
Przegrzanie
Oprogramowanie
Niewystarczające testowanie
Niebezpieczne kodowanie
Brak ścieżki audytu
Wada projektowa
Sieć
Niezabezpieczone linie komunikacyjne (brak szyfrowania, złe szyfrowanie)
Niebezpieczna architektura sieci
Pracownicy
Niewłaściwy proces rekrutacji
Niewystarczająca świadomość bezpieczeństwa
Zagrożenie wewnętrzne
Lokalizacja fizyczna
Obszar narażony na klęski żywiołowe (takie jak powodzie lub trzęsienia ziemi)
Przerwa w dostawie prądu
Organizacyjne
Brak regularnych audytów
Brak planów ciągłości działania
Brak zabezpieczeń
Ważne jest, aby zrozumieć, że człowiek jest źródłem zaskakująco wielu podatności na zagrożenia. Metody takie jak socjotechnika (podstępne nakłonienie kogoś do ujawnienia informacji) są czasami najłatwiejszymi sposobami uzyskania dostępu do poufnych lub tajnych informacji. Podatności w klasyfikacji pokazują również, że nie wszystkie podatności są powodowane przez kogoś, kto je wykorzystuje - niektóre są również uwarunkowane czynnikami naturalnymi. Trzęsienia ziemi, powodzie i inne klęski żywiołowe mogą spowodować utratę informacji, która może być równie poważna jak kradzież informacji poufnych, jeśli procedury tworzenia kopii zapasowych nie zostały wdrożone i nie działają.
W trakcie tego kursu omówimy niektóre z typów podatności, ale ponieważ jest ich tak wiele, na pewno niektóre z nich pominiemy. Aby zobaczyć więcej informacji o różnych typach podatności, zapoznaj się z tym przykładem.
Backdoory
Według Microsoftu backdoor to "ukryte wejście do systemu komputerowego, które może być wykorzystane do obejścia zasad bezpieczeństwa".
Backdoor można porównać do otwartego okna w zamkniętym budynku lub zapasowego klucza pozostawionego w doniczce z kwiatkiem. Umożliwia on obejście innych mechanizmów stosowanych do zabezpieczenia celu, często bez pozostawienia śladu włamania. Backdoor polega na tym, że nieautoryzowani użytkownicy nie mogą go znaleźć.
Niektóre systemy i usługi posiadają domyślnych użytkowników ze znanymi hasłami, które mogą być przypadkowo pozostawione aktywne, sprawiając, że system staje się podatny na ataki. Różnią się one od dobrze chronionych kont administracyjnych, ponieważ w tym przypadku hasło nie jest powszechnie znane.
Sprzętowe backdoory
Backdoory nie muszą być stosowane tylko w aplikacjach. Mogą być instalowane na sprzęcie, np. na płycie głównej komputera.
Możliwe jest również obejście dostawców technologii, jeśli cały łańcuch dostaw nie jest wystarczająco dobrze monitorowany. Jeśli firma nie kontroluje całego łańcucha dostaw, podmiot może wstawić backdoora w słabym punkcie łańcucha bez zauważenia tego przez producenta. Tego rodzaju backdoory nazywane są backdoorami łańcucha dostaw. Nie jest to tylko problem teoretyczny - amerykańska Agencja Bezpieczeństwa Narodowego już zainstalowała backdoora w ten sposób.
W raporcie “Microsoft Digital Defense Report, September 2020” Microsoft ocenia, że 7% ich zgłoszeń dotyczących bezpieczeństwa dotyczy ataków na łańcuch dostaw.
Ataki na łańcuch dostaw nie ograniczają się tylko do sprzętu. Prawdopodobnie jeszcze bardziej szkodliwą metodą jest naruszenie usług firmy i zmiana aktualizacji oprogramowania, które dostarczają swoim użytkownikom. Jeden z takich ataków został ujawniony w grudniu 2020 roku, kiedy to doszło do włamania się do usług SolarWinds (firmy dostarczającej głównie rozwiązania do zarządzania sieciami), a ich oprogramowanie zostało zmodyfikowane w taki sposób, że zawierało backdoora umożliwiającego atakującemu lub każdemu, kto wiedział gdzie szukać, uzyskanie dostępu do wszystkich firm, które zainstalowały aktualizację. Jak przyznał SolarWinds, aktualizacja została zainstalowana przez "prawie 18 000" firm.
Najbardziej godnymi uwagi firmami, które prawdopodobnie były prawdziwym celem ataku, była większość amerykańskich agencji rządowych i ich sieci. Wśród ofiar znalazł się również amerykański Departament Obrony. Przypuszcza się, że atak pochodzi od rosyjskiej grupy APT o nazwie Cozy Bear, choć nie ma co to tego pewności.
Problem z backdoorami
Głównym problemem z backdoorem jest to, że zakłada on, iż jego istnienie jest tajne. Nazywa się to bezpieczeństwem przez ukrycie. Jeśli atakujący odkryje backdoora, może go użyć w taki sam sposób jak autoryzowany użytkownik. Obecnie rządy i agencje wywiadowcze naciskają na firmy technologiczne, aby instalowały backdoory w swoich technologiach w celu umożliwienia władzom dostępu podczas dochodzeń kryminalnych lub w celu zapobiegania atakom terrorystycznym. Gdyby jednak takie backdoory zostały zainstalowane, najprawdopodobniej zostałyby odkryte również przez osoby nieuprawnione i stałyby się ogromnym zagrożeniem dla prywatności.
Co mogę zrobić w przypadku backdoorów?
Obrona przed istnieniem backdoora jest naprawdę trudna, szczególnie jeśli nawet nie wiesz, że taki backdoor istnieje. Można jednak zmienić domyślne dane uwierzytelniające w urządzeniach takich jak routery Wi-Fi. Należy także wyłączyć konta gości, na które pozwalają niektóre systemy operacyjne.
Modelowanie zagrożeń: myślenie o ryzyku
Specjaliści ds. bezpieczeństwa stosują różne metody oceny ryzyka, aby zdefiniować i ocenić potencjał ryzyka oraz jego wpływ w przypadku jego wystąpienia. W dziedzinie cyberbezpieczeństwa specjaliści często mówią o modelowaniu zagrożeń. Jest to praktyka identyfikacji i priorytetyzacji potencjalnych zagrożeń i środków zaradczych w celu ochrony czegoś wartościowego - aktywów, takich jak poufne dane lub własność intelektualna.
Jedną z często stosowanych metod modelowania zagrożeń jest STRIDE opracowany przez Microsoft. STRIDE jest połączeniem następujących pojęć:
Spoofing – podszywanie się pod coś lub kogoś innego
Tampering – modyfikacja danych lub kodu
Repudiation – zaprzeczanie, twierdzenie, że dana czynność nie została wykonana
Information disclosure – ujawnienie informacji komuś, kto nie jest upoważniony do ich poznania
Denial of service – odmowa lub pogorszenie jakości usługi dla użytkowników
Elevation of privilege – podniesienie przywilejów, uzyskanie danej możliwości bez odpowiedniego upoważnienia
Są to wszystkie możliwe zagrożenia w modelu, które poddane zostają ocenie pod kątem możliwych wektorów ataku. Wektory ataku to różne zidentyfikowane procesy, magazyny danych, interfejsy i granice zaufania w systemie. STRIDE jest częścią modelowania zagrożeń Microsoft Secure Development Lifecycle (SDL). Dowiedz się więcej o STRIDE.
Sign up to solve exercises
Po ukończeniu rozdziału 1 potrafisz już:
wyjaśnić podstawy cyberbezpieczeństwa, co ono oznacza i dlaczego jest ważne
wyjaśnić, kim jest haker
zrozumieć, co oznacza pojęcie "ryzyko" w kontekście cyberbezpieczeństwa
