Senin, 30 September 2013

FORESEC Academy Essentials



FORESEC Academy Essentials
versi 2.2



Legalitas dokumen


Copyright © 2010, The FORESEC Academy. All rights reserved. Seluruh isi publikasi ini adalah milik dari Akademi FORESEC. Pengguna tidak boleh menyalin, mereproduksi, mendistribusikan, menampilkan, memodifikasi, atau membuat karya turunan berdasarkan semua atau sebagian dari publikasi ini dalam media apapun, baik cetak, elektronik, atau sebaliknya, tanpa persetujuan dari Akademi FORESEC tertulis. Tanpa membatasi hal tersebut, pengguna mungkin tidak mereproduksi, mendistribusikan, mempublikasikan kembali, menampilkan, memodifikasi, atau membuat karya turunan berdasarkan semua atau sebagian dari publikasi ini untuk tujuan mengajar komputer atau program keamanan elektronik kepada pihak ketiga tanpa persetujuan persetujuan tertulis dari Akademi FORESEC.




Peringatan dan Sangkalan
Setiap upaya telah dilakukan untuk membuat buku ini selengkap dan seakurat mungkin, namun tidak ada jaminan dari kesesuaian tersirat. Informasi yang diberikan adalah pada isi secara ias. Para penulis dan penerbit tidak akan memiliki kewajiban atau tanggung jawab kepada setiap orang atau badan sehubungan dengan kerugian atau kerusakan yang timbul dari informasi yang terkandung dalam buku ini.
Pertahanan di-Depth

Dalam bab ini, kita melihat ancaman terhadap sistem kami dan mengambil "gambaran besar" melihat bagaimana untuk membela terhadap mereka. Anda akan belajar bahwa perlindungan harus berlapis - prinsip yang disebut pertahanan mendalam. Kami akan menjelaskan beberapa prinsip yang akan melayani Anda dengan baik dalam melindungi sistem Anda dan menggunakan serangan dunia nyata dari sejarah, yang liar "berhasil" untuk menggambarkan mereka. Kami meneliti mengapa serangan itu berhasil dan, lebih penting lagi, langkah-langkah apa yang bisa diambil untuk mengurangi dampak tersebut atau untuk menghentikan mereka sama sekali - pertahanan praktis mendalam.

Akhirnya, kami menunjukkan cara untuk memeriksa sistem Anda untuk kerentanan (sebelum penyerang tidak) dan membekali Anda dengan alat untuk melakukan hal itu. Kita melihat bagaimana memastikan bahwa sistem "mengeras" tinggal mengeras dan dekat dengan studi kasus yang menggambarkan pertahanan mendalam.
Pertahanan di-Depth

Konsep di balik pertahanan mendalam sederhana. Gambaran kami telah dicat sejauh ini adalah bahwa arsitektur keamanan yang baik, salah satu yang dapat menahan serangan, memiliki banyak aspek dan dimensi. Kita harus yakin bahwa jika salah satu penanggulangan gagal, ada lebih di balik itu. Jika mereka semua gagal, kita harus siap untuk mendeteksi bahwa sesuatu telah terjadi dan membersihkan kekacauan secepatnya dan benar-benar, dan kemudian menyesuaikan pertahanan kita agar tidak terjadi kepada kami lagi.

Salah satu serangan paling efektif yang menembus batas-batas standar kode berbahaya. Ini adalah hal-hal seperti virus dan software Trojan. Mereka datang sebagai lampiran pada pesan e-mail, dan pada orang-orang disket kita membawa dari rumah (meskipun kita tidak seharusnya), dan CD-ROM kita membawa pulang dari DEFCON. Ini dapat melakukan banyak kerusakan. Kebanyakan orang telah mendengar tentang BackOrifice dan NetBus, tetapi ada skor Trojan lainnya. Pertahanan terbaik adalah menjaga software anti-virus Anda up-to-date, dan pemindaian pada tingkat firewall, server dan desktop yang. Hal ini tidak terlalu mahal atau sulit, namun butuh disiplin.

Ini biasa untuk menemukan sistem yang bahkan tidak merekam ketika login sukses dan berhasil dan logoffs terjadi. Itu hanya dasar, audit masuk akal dan mereka tidak menyalakannya. Jika ada pernah ada masalah, bagaimana kita menjalankannya ke tanah? Anda mungkin atau mungkin tidak dalam posisi di mana Anda dapat mempengaruhi apakah hal-hal ini dilakukan pada tingkat organisasi Anda, tetapi, Anda sering dapat mengambil tanggung jawab untuk kantor, toko, divisi, atau desktop Anda. Bahkan ada produk perangkat lunak firewall pribadi - seperti TCP Wrapper, BlackICE Defender, Zone Alarm, Norton Internet Security, dan McAfee Personal Firewall. Ini berkisar dari bebas untuk perangkat lunak komersial, dan mereka memberikan perlindungan perimeter di tingkat tuan rumah. Ancaman ini menargetkan kita masing-masing. Apa peran dan tanggung jawab yang Anda bersedia untuk menerima untuk pertahanan mendalam?
Slide ini menunjukkan cara lain untuk berpikir tentang konsep pertahanan mendalam. Di tengah-tengah diagram adalah informasi Anda. Namun, pusat dapat apa pun yang Anda nilai, atau jawaban atas pertanyaan, "Apa yang Anda coba untuk melindungi?" Sekitar pusat bahwa Anda membangun lapisan berturut-turut perlindungan. Dalam diagram, lapisan perlindungan ditampilkan sebagai cincin biru. Dalam contoh ini, informasi Anda dilindungi oleh aplikasi Anda. Aplikasi ini dilindungi oleh keamanan dari host yang berada pada, dan seterusnya. Agar berhasil mendapatkan informasi Anda, penyerang harus menembus jaringan, host Anda, aplikasi Anda, dan pada akhirnya lapis perlindungan informasi Anda.

Menggunakan pertahanan mendalam strategi tidak membuatnya mustahil untuk mendapatkan sumber daya inti - sumber daya di tengah diagram. Namun, pertahanan baik-pikir-out mendalam strategi, memanfaatkan perlindungan terkuat feasibly mungkin pada setiap lapisan, menyajikan pertahanan tangguh melawan calon penyerang.
prinsip

Kita mulai dengan menjelaskan beberapa prinsip dasar yang Anda butuhkan untuk memahami dan menerapkan sehari-hari dalam mengamankan sistem anda. Kami maju dari apa sebenarnya itu tentang sistem kita bahwa kita sedang berusaha melindungi - kerahasiaan, integritas, dan ketersediaan - untuk menghadapi risiko Sistem kita. Setelah melihat ancaman dan kerentanan, kita akan berbicara tentang pendekatan menyeluruh untuk melindungi sistem kami. Kami akan menunjukkan pentingnya perlindungan layering kami, dengan pertahanan yang mendalam. Ini akan memberikan dasar yang baik untuk mengevaluasi dan mengamankan sistem Anda.

Kerahasiaan, Integritas, dan Ketersediaan

Apa sebenarnya tentang sistem atau informasi yang kita ingin lindungi? Secara tradisional, profesional keamanan informasi difokuskan untuk memastikan kerahasiaan, integritas, dan ketersediaan. Cukup "CIA" dalam "infosec" jargon, ini adalah tiga prinsip batuan dasar tentang apa yang kita akan peduli. Sebuah kebiasaan yang baik ketika pertama kali menjelajahi aplikasi bisnis baru atau sistem adalah untuk berpikir tentang kerahasiaan, integritas, dan ketersediaan - dan penanggulangan atau ketiadaan, untuk melindungi. Serangan mungkin datang melawan salah satu atau semua ini.

Kami akan membahas berbagai ancaman yang membahayakan sistem komputer kita. Untuk fokus diskusi itu, kami akan mempertimbangkan beberapa serangan lebih terkenal yang telah terjadi. Sekarang, jaminan informasi bisa sangat kompleks, tetapi ini jenis masalah terurai dengan baik. Seperti kita bekerja dengan cara kami melalui materi, kami akan menunjukkan aspek kerahasiaan, integritas, dan ketersediaan, baik dalam serangan dan juga pertahanan kita bahas.
 situs e -commerce , usaha pertama pada melakukan bisnis secara langsung di Internet . Bagaimana Anda mendekati ini? Apa yang harus Anda pertimbangkan ? Apa yang bisa salah?

Pikirkan CIA - kerahasiaan , integritas , dan ketersediaan . Pelanggan akan mengharapkan bahwa privasi nomor kartu kredit mereka , alamat dan nomor telepon , dan informasi lainnya berbagi selama transaksi dipastikan . Ini adalah contoh dari kerahasiaan . Mereka akan mengharapkan harga dikutip dan ketersediaan produk yang akurat , jumlah mereka memesan pada harga yang mereka sepakat untuk tidak dapat diubah , dan apa pun yang didownload untuk menjadi otentik dan lengkap . Ini adalah contoh dari integritas . Pelanggan akan berharap untuk dapat menempatkan perintah ketika nyaman bagi mereka , dan majikan akan ingin aliran pendapatan untuk melanjutkan tanpa gangguan . Ini adalah contoh dari ketersediaan .

Perlu diingat bahwa dimensi kita telah membahas bisa saling terkait . Seorang penyerang mungkin mengeksploitasi fungsi yang tidak diinginkan pada web server dan menggunakan cgi - bin Program " phf " untuk daftar file password . Sekarang, ini akan melanggar kerahasiaan informasi sensitif ( password file ) . Kemudian , dalam privasi sistem komputer sendiri , penyerang dapat menggunakan kekerasan atau kata sandi serangan kamus -driven untuk mendekripsi password . Kemudian , dengan password dicuri , penyerang dapat mengeksekusi serangan integritas ketika dia mendapatkan masuk ke sistem. Dan dia bahkan dapat menggunakan serangan ketersediaan sebagai bagian dari upaya menyeluruh untuk menetralisir alarm dan sistem pertahanan , sehingga mereka tidak dapat melaporkan keberadaannya . Ketika ini selesai , penyerang dapat sepenuhnya mengakses sistem target dan semua tiga dimensi ( kerahasiaan , integritas , dan ketersediaan ) akan berada dalam bahaya . Selalu berpikir C - I- A .


 Utility, Keaslian, dan Kepemilikan

CIA pasti memiliki karakteristik klasik keamanan informasi dan harus selalu dalam pikiran profesional keamanan. Dalam Memerangi Kejahatan Komputer, Kerangka Baru untuk Melindungi Informasi, Donn B. Parker jelas dan memperluas karakteristik ini menjadi satu set enam elemen dasar: ketersediaan, utilitas, integritas, keaslian, kerahasiaan, dan kepemilikan. Masing-masing adalah (agak halus) berbeda dari yang lain, dan Parker menegaskan bahwa mereka diperlukan untuk mewakili aspek tertentu dari perlindungan informasi. Skenario kehilangan informasi, dan dengan demikian persyaratan untuk keamanan informasi, contoh satu atau lebih dari unsur-unsur dasar.

Parker mendefinisikan utilitas sebagai "manfaat informasi untuk suatu tujuan." Bayangkan bahwa satu-satunya salinan beberapa informasi penting terenkripsi, dan kunci enkripsi telah hilang. Informasi ini masih tersedia, tetapi tidak cocok untuk tujuan yang dimaksudkan dan dengan demikian gagal untuk memenuhi kebutuhan utilitas.

Keaslian adalah "validitas, kesesuaian, dan keaslian informasi." Bayangkan seseorang - yang tidak memiliki hubungan dengan SANS - menulis dan mencetak buku tentang keamanan komputer tetapi mengatakan pada halaman sampul dan judul bahwa ini adalah buku SANS. Buku seperti itu tidak akan menjadi otentik, itu akan melanggar persyaratan untuk keaslian informasi.

Kepemilikan adalah "memegang, kontrol, dan kemampuan untuk menggunakan informasi." Misalkan kaset cadangan organisasi semua dienkripsi, dan bahwa mereka telah dicuri dan ditahan untuk tebusan. Parker berpendapat bahwa informasi yang tersedia (dengan membayar uang tebusan), apa yang kurang adalah kepemilikan.

Jadi, waktu berikutnya Anda berpikir untuk persyaratan keamanan untuk proyek Anda, sistem, atau bisnis, Anda mungkin berpikir CIA, atau Anda mungkin memperluas pertimbangan Anda untuk memasukkan ketersediaan, utilitas, integritas, keaslian, kerahasiaan, dan kepemilikan.

Identitas, Otentikasi, dan Otorisasi

Hal ini penting bagi seorang praktisi keamanan informasi untuk memahami dengan jelas konsep terkait erat identitas, otentikasi, dan otorisasi - maknanya dan perbedaan khas mereka.

Identitas adalah salah satu kata-kata umum yang tampaknya sulit untuk menentukan tanpa menggunakan kata dalam definisi sendiri. Dengan identitas, kita berarti "siapa seseorang atau sesuatu apa," misalnya, nama dengan mana yang diakui. Identitas ini mungkin seorang manusia, sebuah program, komputer, atau data. Identifikasi adalah proses untuk menetapkan siapa seseorang atau sesuatu apa yang diklaimnya.

Otentikasi adalah proses untuk mengkonfirmasi kebenaran identitas diklaim. Seorang pengendara mengidentifikasi dirinya kepada seorang polisi dan menyajikan SIM untuk konfirmasi. Petugas membandingkan foto, deskripsi, dan tanda tangan dengan yang pengendara untuk otentikasi identitas. Apakah Anda melihat perbedaannya? Identitas dan otentikasi tidak berarti hal yang sama.
Akhirnya, otorisasi berarti persetujuan, izin, atau pemberdayaan bagi seseorang atau sesuatu untuk melakukan sesuatu. Membersihkan personil mungkin memiliki otorisasi untuk masuk secara fisik semua kamar dalam organisasi setelah jam. Sebuah proses yang berjalan mungkin diberi wewenang untuk mengakses database penggajian. Bahkan dengan identitas dan otentikasi memberitahu kita dengan keyakinan yang seseorang, kita masih perlu otorisasi untuk memberitahu kami apa yang orang diidentifikasi diperbolehkan untuk dilakukan. Mari kita mengikat bersama ini dengan sebuah contoh. Seseorang muncul sebagai identitasnya gambar KTP pintar untuk penjaga gedung. Penjaga memeriksa gambar dan nama wajahnya dan mungkin menggunakan perangkat biometrik juga, ini adalah otentikasi. Memeriksa nama pada kartu pintar terhadap database memberitahu penjaga bahwa ia diperbolehkan dalam gedung, ini adalah otorisasi. Ia memungkinkan Anda untuk masuk. Dibutuhkan semua tiga untuk akses, ingat, seluruh titik kontrol akses.
Sarana Otentikasi

Kami hanya menggunakan dua otentikasi contoh bagaimana mungkin dapat dilakukan, misalnya memiliki kartu ID dan membandingkan foto dengan wajah. Mari kita menjadi lebih ketat. Klasik, otentikasi telah didasarkan pada:

Sesuatu yang Anda tahu

Sesuatu yang Anda miliki

Sesuatu Anda

Mudah, kan? Saya tahu nama anjing saya adalah Spot, saya memiliki SIM, dan saya 5 '11 ". Jadi sekarang saya bisa melakukan otentikasi ke sistem aman, kan? Hal ini tidak cukup apa yang kita maksudkan.

Sesuatu yang Anda tahu harus sesuatu yang hanya Anda tahu dan bisa menjaga diri. Ini mungkin PIN ke rekening bank Anda atau password. Paling umum, itu adalah password, dan itu harus menjadi sandi yang kuat. Sandi yang kuat biasanya setidaknya tujuh karakter, mengandung atas dan huruf kecil, mengandung karakter numerik dan setidaknya satu karakter khusus, dan bukan sesuatu yang dapat ditemukan dalam kamus.

Sesuatu yang Anda miliki mungkin ID foto atau token keamanan. SecurID RSA adalah keamanan token yang umum digunakan yang datang dalam ukuran dan bentuk yang sama seperti kartu kredit atau sebagai
fob kunci. Token juga dapat plug ke salah satu port komputer Anda atau dalam perangkat lunak. Ini memiliki urutan pseudorandom nomor yang berubah setiap detik enam puluh. Dikombinasikan dengan sebuah PIN, ini adalah dua faktor otentikasi - sesuatu yang Anda miliki dan sesuatu yang Anda tahu.
RSA SecurID

Sistem SecurID RSA umumnya digunakan untuk otentikasi kuat . Sistem ini menggabungkan sesuatu yang Anda miliki, SecurID , dengan sesuatu yang Anda tahu , PIN . Apakah dalam kartu kredit , fob kunci , atau bentuk software , ID menampilkan sejumlah yang nilainya berubah setiap 60 detik sesuai dengan urutan nomor pseudorandom . Setiap SecurID secara unik dan memiliki nomor urutan sendiri . Satu-satunya cara untuk mengetahui nilai ini menit adalah untuk melihat nomor pada token - sesuatu yang harus Anda - atau menguping seperti yang sedang dikirim . Namun, bahkan nilai yang benar hanya baik satu waktu , sehingga lubang kebocoran tidak dapat berhasil mengulangi apa yang didengar .

Sesuatu yang Anda tahu juga merupakan bagian dari skema otentikasi , dalam hal ini PIN . Bentuk yang paling aman dari token SecurID termasuk tombol nomor pada kartu yang sebenarnya di mana pengguna memasukkan PIN -nya . Kartu menghitung dan menampilkan jumlah yang benar untuk mengirim untuk otentikasi , berdasarkan slot menit saat ini dalam urutan nomor pseudorandom dan PIN . Dalam kartu tanpa tombol ini , PIN ditransmisikan dalam bentuk teks bersama dengan nomor menit saat ini . Meskipun nomor acak tidak dapat diketahui tanpa akses ke token , faktor lain , apa yang Anda tahu, adalah rentan terhadap penyadapan .

Di lokasi pusat , biasanya server keamanan khusus , nomor acak yang sesuai dapat dihitung untuk setiap perangkat SecurID unik atau perangkat lunak. Jika nomor yang diajukan oleh pengguna sesuai dengan nomor dihitung terpusat , otentikasi berhasil , tapi hanya satu kali untuk nilai setiap menit .

Karena jam drift, server pusat menghitung " benar " nilai î untuk menit saat ini, menit sebelumnya , dan menit berikutnya . Pencocokan apapun ini akan berhasil . Jika jam sistem SecurID dan tengah telah renggang sehingga pertandingan itu untuk awal atau lebih lambat menit , penyesuaian akan dibuat agar perhitungan selanjutnya akan cocok pada nilai " saat ini" menit . Penyesuaian tersebut akan menjaga jam di sinkron " tanpa batas waktu , dengan penggunaan . Sebuah kartu SecurID harus pergi tidak digunakan selama beberapa bulan sebelum kemungkinan akan melayang keluar dari jendela 3 menit dan perlu resync'd oleh administrator .
Sesuatu yang Anda adalah biometrik berbasis. Ada banyak karakteristik yang berbeda yang dianggap cukup unik dalam dan pada tubuh manusia. Beberapa perangkat yang digunakan untuk otentikasi biometrik iris scanner, scanner retina, tangan substantiaters geometri, scanner jari, dan banyak lainnya juga. . . bahkan scanner wajah. Pemindaian wajah di keramaian, seperti Amerika Serikat sepak bola Super Bowl penonton, untuk identifikasi sudah berita sebelum peristiwa 11 September 2001. Sejak tanggal tersebut, telah terjadi peningkatan minat dalam mempekerjakan biometrik untuk otentikasi.

Meskipun popularitas meningkat, otentikasi biometrik bukan tanpa downsides. Setelah dikompromikan, seperti password atau token, parameter biometrik tidak dapat diubah. Namun, beberapa aspek tubuh dapat disimulasikan untuk detektor, seperti yang terlihat di banyak film mata-mata. Mungkin keterbatasan yang paling praktis adalah sejauh mana positif palsu atau negatif palsu dapat ditoleransi dalam aplikasi tertentu. Karena keterbatasan ini, biometrik khususnya selalu harus dalam konteks pertahanan secara mendalam.

Sekarang kita mengetahui dengan siapa kita berhadapan, berikutnya kita tutup dengan apa yang kita hadapi dan bagaimana data yang berbeda kadang-kadang membutuhkan perlindungan yang berbeda.
Data Klasifikasi

Kenyataannya adalah bahwa tidak ada organisasi memiliki sumber daya yang cukup untuk melindungi semua informasi dengan kekakuan bahwa informasi yang paling sensitif membutuhkan. Tidak semua informasi membutuhkan perlindungan yang dibutuhkan untuk desain senjata nuklir atau rencana perang. Akibatnya, sehingga perlindungan yang tepat dapat diterapkan berdasarkan sensitivitas informasi dan dampak potensial dari kerugian, organisasi sering mengklasifikasikan data mereka ke tingkat yang berbeda. Kerugian mungkin dalam hal kerahasiaan (apa yang biasanya kita pikirkan mengenai pemerintah atau rahasia perusahaan) tetapi juga bisa dalam hal integritas atau ketersediaan.

Pemerintah dan militarizes mereka, seperti Departemen Pertahanan AS (DoD), mulai fenomena pelabelan data dalam rangka menerapkan tingkat yang lebih tinggi perlindungan data yang sangat sensitif sehingga jika itu bocor itu bisa membahayakan keamanan nasional negara mereka. Selanjutnya, ini menjadi biasa di dunia usaha, juga. Sebuah daftar cepat dari tingkat DoD dan federal berikut:

Top Secret - Tingkat tertinggi perlindungan diberikan ke data ini, sangat penting untuk
melindungi.

Rahasia - Data ini penting, dan rilis dapat membahayakan keamanan nasional.

Rahasia - Hal ini penting, dan itu bisa merugikan keamanan nasional jika
dirilis.
Sensitif Tapi Unclassified (SBU) - Ini umumnya adalah informasi yang sensitif dan
tidak boleh dilepaskan (seperti SSNís).

Unclassified - Mereka lebih memilih untuk tetap dari yang dirilis namun bangsa tidak akan
dirugikan jika itu.



Korporasi label data mereka, juga. Hal ini sangat sulit untuk melindungi semua data dalam sebuah perusahaan. Tetapi beberapa data dengan mudah diakui sebagai membutuhkan perlindungan khusus. Mungkin Anda memproduksi perangkat lunak sumber tertutup, bahwa kode sumber akan membutuhkan perlindungan khusus karena rilis dapat mempengaruhi pendapatan Anda secara langsung. Mungkinkah merusak moral perusahaan Anda jika semua orang belajar gaji rekan kerja mereka? Apakah mereka semua mendapatkan jumlah uang yang sama?

Umumnya, strategi terbaik untuk mengelompokkan data dengan menggunakan beberapa kategori jelas digambarkan dan melatih Anda dalam kategori khas digunakan. Pikirkan tentang siapa memiliki kewenangan untuk mengklasifikasikan data dan mengubah klasifikasi data. Pikirkan tentang bagaimana pemerintah AS dan militer seluruh memiliki tetapi beberapa tingkat klasifikasi, mengingat sejumlah besar data yang menangani mereka - dan beberapa menyarankan bahwa mereka memiliki terlalu banyak kategori. Anda hanya perlu kategori yang berbeda bila Anda memiliki jumlah yang signifikan dari informasi yang membutuhkan perlindungan yang berbeda secara signifikan.
Ancaman dan kerentanan

Kami telah berbicara tentang apa yang kita butuhkan untuk melindungi, misalnya kerahasiaan, integritas, dan ketersediaan dari sistem kami. Selanjutnya, kita akan membahas dari apa yang kita butuhkan untuk melindungi mereka - ancaman kepada mereka dan kerentanan mereka terhadap ancaman tersebut. Kita akan melihat bagaimana risiko merupakan fungsi dari ancaman dan kerentanan.

ancaman

Tidak semua hal buruk yang terjadi pada sistem komputer adalah serangan per se. Ada kebakaran, kerusakan air, kerusakan mekanik, kesalahan disengaja oleh administrator sistem, dan kesalahan pengguna biasa. Tapi semua ini disebut ancaman. Kami menggunakan model ancaman untuk menggambarkan ancaman yang diberikan dan membahayakan itu bisa dilakukan jika sistem memiliki kerentanan.

Dalam diskusi keamanan, Anda akan mendengar banyak tentang ancaman. Ancaman, dalam arti keamanan informasi, adalah setiap kegiatan yang merupakan bahaya mungkin untuk informasi atau operasi. Bahaya dapat dianggap sebagai sesuatu yang negatif akan mempengaruhi kerahasiaan, integritas, atau ketersediaan sistem atau jasa. Jadi, jika risiko adalah potensi kerugian dan kehilangan, ancaman dapat dianggap sebagai agen risiko.

Ancaman bisa datang dalam berbagai bentuk dan dari berbagai sumber. Ada ancaman fisik, seperti kebakaran, banjir, terorisme, dan tindakan kekerasan acak. Dan ada ancaman elektronik, seperti hacker, pengacau, dan virus. Set tertentu dari ancaman akan sangat bergantung pada situasi Anda - apa bisnis Anda berada dalam, siapa mitra anda dan
musuh adalah; betapa berharganya informasi Anda, bagaimana disimpan, dikelola, dan aman, yang memiliki akses ke sana, dan sejumlah faktor lainnya.

Intinya adalah bahwa ada terlalu banyak variabel yang pernah melindungi terhadap semua ancaman yang mungkin untuk informasi Anda. Untuk melakukannya akan biaya terlalu banyak uang dan mengambil terlalu banyak waktu dan usaha. Jadi, Anda akan perlu untuk memilih dan memilih menentang apa ancaman yang akan melindungi sistem Anda. Keamanan manajemen risiko sebanyak apapun. Anda akan mulai dengan mengidentifikasi ancaman-ancaman yang paling mungkin terjadi atau paling mengkhawatirkan untuk organisasi Anda.

Cara untuk melakukan ini adalah dengan mengidentifikasi tiga bidang utama ancaman. Yang pertama didasarkan pada tujuan bisnis Anda. Jika bisnis Anda sangat tergantung pada formula dipatenkan, Anda akan mempertimbangkan pencurian formula yang menjadi ancaman kemungkinan. Jika bisnis Anda adalah mentransfer dana melalui jaringan, Anda akan mempertimbangkan serangan pada link jaringan menjadi ancaman kemungkinan. Ini adalah dua contoh dari ancaman berbasis bisnis.

Tipe kedua adalah ancaman yang didasarkan pada data yang divalidasi. Jika situs web Anda berulang kali hack melalui firewall, Anda akan mempertimbangkan hacker internet menjadi ancaman utama. Jika pesaing utama Anda selalu berhasil untuk mengetahui informasi rahasia penting tentang rencana bisnis Anda, Anda akan mulai mempertimbangkan perusahaan spionase ancaman. Ini adalah contoh ancaman diidentifikasi karena kasus divalidasi kerusakan berdasarkan ancaman tersebut. Dalam beberapa hal, ini dapat menjadi yang paling serius karena mereka sudah terjadi dan mungkin terjadi lagi di masa depan.

Jenis terakhir dari ancaman adalah mereka yang secara luas dikenal di industri keamanan. Untuk melindungi terhadap mereka adalah akal sehat hanya baik. Itulah mengapa Anda menempatkan pembaca lencana dan penjaga di gedung-gedung, mengapa Anda menggunakan password pada sistem komputer Anda, dan mengapa Anda menyimpan informasi rahasia terkunci di tempat yang aman. Anda mungkin tidak memiliki serangan terhadap salah satu, tapi biasanya dipahami bodoh untuk tidak melakukannya.
Kerentanan

Dalam hal keamanan, kerentanan adalah kelemahan dalam sistem atau proses yang memungkinkan ancaman terjadi. Namun, hanya memiliki kerentanan dengan sendirinya tidak selalu hal yang buruk. Hanya ketika kelemahan tersebut ditambah dengan ancaman bahwa bahaya mulai mengatur masuk Mari kita lihat sebuah contoh.
 
Misalkan Anda ingin meninggalkan pintu dan jendela untuk rumah Anda terkunci di malam hari. Jika Anda tinggal di tengah hutan, jauh dari orang lain, ini mungkin bukan hal yang buruk. Benar-benar tidak banyak orang yang berkeliaran di sekitar, dan, jika Anda cukup tinggi di atas bukit, Anda akan dapat melihat mereka datang jauh sebelum mereka hadir bahaya. Jadi, dalam hal ini, kerentanan tidak memiliki kunci yang ada, tapi benar-benar tidak ada ancaman untuk mengambil keuntungan dari kerentanan itu.
 
Sekarang anggaplah Anda pindah ke kota besar yang penuh kejahatan. Bahkan, kota ini memiliki tingkat pencurian tertinggi dari setiap kota di negara ini. Jika Anda terus latihan meninggalkan pintu dan jendela terkunci, Anda memiliki persis kerentanan yang sama seperti yang Anda miliki sebelumnya. Namun, di kota ancaman adalah bahwa jauh lebih tinggi. Dengan demikian, bahaya secara keseluruhan dan risiko jauh lebih besar.
 
Kerentanan dapat dikurangi atau bahkan dicegah, asalkan tentu saja bahwa Anda tahu tentang mereka. Masalahnya adalah bahwa banyak kerentanan berbaring tersembunyi, belum ditemukan sampai seseorang tahu tentang mereka. Sayangnya, "seseorang" biasanya orang jahat. Orang-orang jahat tampaknya selalu mencari tahu tentang kerentanan jauh sebelum orang-orang baik.
Berkaitan Risiko, Ancaman dan Kerentanan

Risiko, ancaman, dan kerentanan sangat saling terkait. Hubungan mereka dapat dinyatakan dengan rumus sederhana ini:

Risiko (karena ancaman) = Ancaman x Kerentanan (ancaman itu)

Rumus ini menunjukkan bahwa risiko secara langsung berkaitan dengan tingkat ancaman dan kerentanan Anda, sistem Anda, atau wajah jaringan Anda. Berikut adalah cara rumus bekerja:

• Jika Anda memiliki ancaman yang sangat tinggi, tetapi sangat rendah kerentanan terhadap ancaman itu, risiko Anda sehingga akan hanya moderat. Dalam contoh kita gunakan tadi, jika Anda tinggal di lingkungan kejahatan yang tinggi (dengan demikian, ancaman tinggi) tetapi Anda menjaga pintu dan jendela terkunci (sehingga Anda memiliki kerentanan rendah untuk ancaman itu), risiko Anda secara keseluruhan adalah moderat.

• Jika Anda memiliki kerentanan yang tinggi terhadap ancaman (dengan menjaga pintu dan jendela terkunci), namun ancaman itu sendiri adalah kecil (dengan hidup di hutan), sekali lagi Anda hanya memiliki faktor risiko moderat.

• Namun, jika Anda memiliki tingkat tinggi potensi ancaman (daerah tinggi kejahatan) dan kerentanan Anda terhadap ancaman yang sangat tinggi (ada kunci), Anda memiliki faktor risiko yang sangat tinggi.
dampak

ISO 1779 dan banyak metodologi manajemen risiko meliputi besarnya dampak yang dihasilkan dari ancaman menghubungkan dengan kerentanan dalam menentukan risiko. Kadang-kadang dalam metodologi ini mereka menggunakan aset jangka bukannya dampak. Rumus sederhana kami untuk risiko menjadi:

Risiko (karena ancaman) = Ancaman x Kerentanan (ancaman itu) x Dampak

Semakin besar dampak pada organisasi, semakin besar risiko bahwa ancaman tertentu dan kerentanan merupakan organisasi.
entu saja, formula ini bagus, tetapi perlu diingat bahwa tidak ada yang absolut dalam keamanan. Hal ini menantang untuk menetapkan nilai numerik berarti bagi daerah-daerah seperti ancaman dan kerentanan, tetapi rumus ini dapat digunakan sebagai bantuan untuk membimbing pemikiran Anda - sebagai pengingat konsep - sebanyak perhitungan matematika mutlak. Ketika Anda mulai masuk ke diskusi dan argumen tentang risiko, ancaman, dan kerentanan (dan ya, Anda akan masuk ke argumen tentang hal ini), Anda dapat merujuk kembali ke rumus dasar ini untuk membantu memandu Anda dalam proses pengambilan keputusan Anda.
Ancaman Model

Kerentanan adalah pintu gerbang dimana ancaman diwujudkan. Jadi, untuk model ancaman memiliki makna apapun, harus ada ancaman. Apakah ada orang-orang dengan kemampuan dan kecenderungan untuk menyerang dan sangat mungkin membahayakan sistem komputer dan jaringan? Apa kemungkinan itu terjadi? Pertimbangkan serangan dari Internet sebagai contoh: probabilitas yang tinggi bahwa alamat non-swasta akan ditargetkan beberapa kali sehari, atau bahkan satu jam. Yang paling umum penanggulangan bagi kebanyakan organisasi adalah untuk menyebarkan firewall atau perangkat perimeter lainnya.

Ini dapat secara signifikan mengurangi volume serangan yang berasal dari Internet. Tapi, mereka harus hanya satu komponen pertahanan kami secara keseluruhan. Serangan melewati firewall sepanjang waktu - misalnya, serangan berbasis web terhadap server web Anda - dan serangan dari orang dalam mungkin tidak pernah melewati firewall. Itulah sebabnya pertahanan mendalam harus dipraktekkan, sebagaimana akan kita bahas dalam bagian berikutnya.

Jadi ada ancaman, dan tentunya ada kerentanan, ketika ancaman adalah dapat terhubung ke kerentanan spesifik, hasilnya dapat sistem kompromi. Sekali lagi, taktik yang paling umum adalah untuk melindungi sistem dengan perangkat perimeter seperti firewall. Ini biaya-efektif, itu praktis, dan itu sangat dianjurkan. Bahkan universitas yang paling terbuka, atau lainnya lingkungan penelitian yang membutuhkan dirinya sangat terbuka, harus dapat memiliki beberapa pertahanan perimeter. Mungkin bisa di tingkat departemen atau bangunan atau bahkan pada tingkat tuan rumah.
Pelajaran dari Serangan Historical

Sejauh ini kita telah membahas teori yang memberikan kerangka untuk memahami dan menggunakan alat-alat seperti yang kita bahas dalam manajemen risiko - gambaran besar. Sekarang kita ingin pindah dari teori sedikit ke beberapa aplikasi sejarah kerahasiaan, integritas, dan ketersediaan. Serangan kami akan membahas mewakili beberapa kegagalan pertahanan keamanan informasi paling terkenal:
 
Morris worm - Ketersediaan - 1988

Melissa virus makro - Ketersediaan - 1999

W32.SirCam worm - Kerahasiaan - 2001

Code Red II cacing - Integritas - 2001

Blaster worm - Ketersediaan dan Integritas - 2003
 
Rentang ini 1.988-2.003. Mudah-mudahan, kita bisa belajar dari sejarah cukup untuk membantu mencegah kita dari keharusan untuk mengulanginya. Kami tidak memiliki ruang dalam buku ini untuk mengeksplorasi masing-masing dengan sangat rinci, tetapi Anda harus akrab dengan masing-masing sebagai seorang profesional keamanan. Kami menyarankan Anda mencari di Internet untuk serangan ini dan membaca sedikit lebih. Kami menyediakan beberapa URL untuk membantu Anda memulai. Ada pelajaran keamanan informasi bahwa kita harus bisa belajar dari serangan ini terkenal. Dalam setiap kasus, ada kerentanan sistem komputer, dan itu dieksploitasi.
Dalam setiap kasus, ada tidak adanya pertahanan mendalam. Bahkan, dalam kasus kebanyakan sistem dipengaruhi oleh worm Morris dan serangan Code Red, mengeksploitasi tidak harus menembus setiap perimeter defensif. Jadi, itulah "Pertahanan dalam-dangkal!"

Seperti kita pergi melalui setiap serangan, cobalah untuk melihat keluar untuk tiga dimensi keamanan utama: kerahasiaan, integritas, dan ketersediaan. Pertimbangkan bagaimana pertahanan untuk setiap gagal atau tidak ada di tempat pertama. Kerentanan ini terdaftar dalam setiap kasus, jadi harap perhatikan bagaimana ancaman itu mampu mengeksploitasi celah untuk kompromi atau mempengaruhi sistem target (s).

Tidak ada komentar: