Datasäkerhet och integritet

Transkript

1 OH-10 v1 Lite om svagheter/exploits Faserna i ett säkerhetsprojekt Instruktion och strategier för säkerhetskopiering Instruktion och strategier för virusskydd Alla siter (datorsystem) har svagheter Design svagheter Implementations svagheter Konfigurations svagheter Resurs svagheter Användar svagheter Business Process svagheter Rekommenderad läsning Bilagan Lär känna din fiende en inblick hur en hackare arbetar för att bryta sig in i en it-miljö, ur boken Handbok i IT-säkerhet 2 1

2 Ökningen i antal vulnerabilities (svagheter) inrapporterat till CERT/CC, 2005 = 5990 källa: 3 Ökningen i antal incidenter inrapporterat till CERT/CC, 2003 = källa: 4 2

3 Attack sophistication vs. Intruder Knowledge källa: 5 Svaghetens uppgång och fall källa: 6 3

4 Svagheteras livscykel källa: 7 Faserna i ett säkerhetsprojekt skiljer sig inte från andra projekt Förstudie Förutsättningar, beroenden, riskfaktorer, kostnadskalkyl Design av prototyp Underlag från förstudien, design och implementation Pilot- och acceptanstester Kvittot på förarbete och design Införande av framtagen lösning Drift, förvaltning och underhåll av lösningen 8 4

5 Mer om säkerhetsprojekt Säkerhetspolicy kan vara till hjälp men ofta finnas det inga mätbara svar Analyser om vilka kraven är på integritet, sekretess och tillgänglighet skall finnas för lösningen Konsekvensanalys av ovanstående faktorer Drivande faktorer Förankrat med ledningen och dess IT-mål Tydligt definierat och motiverat Ansvarsfördelning, finns säkerhetsorganisation (kunden/mottagaren)? Hantering av speciell teknik, utbildningsinsatser etc. För att öka intresse och förståelse i organisationen kan man ha workshop övningar 9 Exempel på generell modell för projektarbete med konsultorganisation 1. Projektdefinitioner och förståelse 2. Datainsamling innan uppdragsstart 3. Projekt-kickoff 4. Förstudie, analys och projektplan 5. Designfas 6. Utvecklingsfas 7. Pilot- och acceptanstest 8. Införande 9. Projektavslut 10. Förvaltning 11. Drift och förändringshantering 10 5

6 Kunskapshantering För att bli en duktig säkerhetsexpert eller beställare av säkerhetstjänster krävs mycket arbete Säkerhet är oftast ytterligare ett kunskapssteg efter vanlig ITkompetens Ständigt vara uppdaterad vad som händer Delta i föreningar, konferenser, mässor etc. Konsult versus egna resurser? Kunskapsöverföring Kompetensinventering Taxera personalen Kunskapsglapp? Vidareutbildning eller använda konsulter? Viktigt med någon slags strategi eller modell 11 Instruktion för säkerhetskopiering Aspekter att ta hänsyn till IT-system som används Datavolym Förändringsfrekvens Tillgänglighetskrav Tester för att verifiera funktionalitet Återställande av data IT-säkerhetsansvarig ansvarar för aktiviteten och respektive systemägare för detaljer och implementation 12 6

7 Instruktion för säkerhetskopiering Databeroenden identifieras för varje applikation Checklista skapas Ta reda på tillgänglighetskrav för varje applikation T.ex. Max Tillåten Nedtid Identifiera datavolymerna för varje applikation Antalet MB/GB Identifiera när backup skall göras Ta hänsyn till konfidentiell data, skyddas på samma sätt som data i operativ form Fastställ vilken kompetens IT-organisationens systempersonal har och vad som krävs för att hålla god servicenivå 13 Procedurer för säkerhetskopiering IT-säkerhetsansvarig ansvarar för att initiera och dokumentera uppgiften Innehåller procedurer för varje IT-system och data men även vissa applikationer Val av system för säkerhetskopiering Typ av säkerhetskopia Frekvens och tider för säkerhetskopieringen Mängd av data som skall säkerhetskopieras per gång Typ av media för hanteringen av säkerhetskopiorna Arkiveringskrav för media Ansvarsfördelning för säkerhetskopieringen Livslängd för datamedia Tabell/matris för att se beroenden (proceduerer och styrande faktorer) 14 7

8 Procedurer för säkerhetskopiering Vilken form av säkerhetskopia? Dataspegling (mirroring) Redundans i realtid men kostar Full säkerhetskopia Tar tid men återställning går snabbt Inkrementell säkerhetskopia Endast förändringar sedan föreg., återställning kan ta tid Differentiell säkerhetskopia Endast förändringar sedan full, återställning är snabbare Imagekopiering En total kopia av hårddisken, snabb återställning men systemet kan inte vara online under skapandet Hierarchic Storage Managment (HSM) Differentiell lagring av data på olika media för att minska återställningstiden 15 Procedurer för säkerhetskopiering Dimensionering? Minst 100% överkapacitet då priserna är låga Ansvar? Alla bör förstå vikten av att säkerhetskopieringen fungerar korrekt Praktiska övningar som ger svar på: Är återställning möjlig? Fungerar de framtagna procedurerna? Finns processer väl dokumenterade? Vilka återställningstider krävs efter t.ex. en krasch? 16 8

9 Instruktion för virusskydd IT-chefen ansvarar för instruktioner för virusskydd och dess implementation i organisationen Identifiera vägarna in och hoten genom att definiera varje server och arbetsplats Nätanslutna? Vilka lokala media finns? Etc. Strategi för virusskydd Dataöverföringar i systemen som kan införa virus? Konsekvenser av virusangrepp? IT-personalens periodiska säkerhetsåtgärder? Hur mycket tid finns att ägna åt virusskydd? 17 Strategi för virusskydd Antivirusprogram på varje arbetsplats Inga nackdelar förutom hög licenskostnad Antivirusprogram på alla servrar Fördel vid administration, infektionsrisk på arbetsplatser kvar Antivirusprogram i båda miljöerna Enda nackdelen är kostnaden och administrationen Vilket antivirusprogram skall väljas? En mängd parametrar att ta hänsyn till De mest kritiska är uppdateringsfrekvens och distributionsmekanismerna 18 9

10 Strategi för virusskydd & slutord Personalen bör känna till och vara utbildad inom virusstrategin Programvarors beteende Regler för programinstallationer Rapportera incidenter Levande driftsdokumentation Alla på företaget har ansvar att följa säkerhetspolicyn Information så alla kan ta del av den IT-säkerhetsarbetet värderas kanske inte så högt av företagsledningen idag men kommer troligen att göra det i framtiden i takt med att vi får fler e-tjänster Troligen mer affärsinriktat och pro-aktivt 19 10