01 Zagrożenia, ryzyko i luki w zabezpieczeniach - moojpanie/CyberPodstawy GitHub Wiki

Bezpieczeństwo obejmuje ochornę organizacji i ludzi przed zagrożeniami, ryzykiem i lukami w zabezpieczeniach.

1. Zarządanie ryzykiem

Podstawowym celem organizacji jest ochrona aktywów. ** Zasób** to przedmiot postrzegany jako mający wartość dla organizacji. Zasoby mogą być cyfrowe lub fizyczne. Przykłady zasobów cyfrowych obejmują dane osobowe pracowników, klientów lub dostawców, takie jak:

  • Numery ubezpieczenia społecznego (SSN)
  • Unikane krajowe numery identyfikacyjne przydzielane osobom fizycznym
  • Daty urodzenia
  • Numery kont bankowych
  • Adresy pocztowe (np. Kioski płatnicze, Serwery, Komputery osobiste, Przestrzenie biurowe)

Strategie stosowane do zarządzania ryzykiem:

  • Akceptacja : Akceptacja ryzyka w celu uniknięcia zakłócenia ciągłości biznesowej
  • Unikanie: stworzenie planu pozwalającego całkowicie uniknąć ryzyka
  • Przeniesienie: przeniesienie ryzyka na osobę trzecią w celu zarządzania
  • Łagodzenie: Zmniejszanie wpływu znanego ryzka

Ramy zarządzania ryzykiem NIS lub RMF:

  1. Przygotowanie - działania niezbędne do zarządzaniem zagrożenia dla bezpieczeństwa i prywatności zanim nastąpi naruszenie ( monitorowanie )
  2. Kategoryzowanie - rozwijanie procesów i zadań zarządania ryzykiem. Przemyśleć w jaki sposób poufnośc integralność i dostępność może mieć wpływ na systemy.
  3. Wybór - wybór, dostosowanie dokumentacji kontrolnej chroniących organizacje
  4. Wdrożenie - dostosowanie, wdrożenie planów bezpieczeństwa i prywatności dla organizacji
  5. Ocena - ustalenie czy ustawione kontrole są prawidłowo wdrażane.
  6. Autoryzacja - być odpowiedzialnym za zagrożenia dla bezpieczeństwa prywatności. Generowanie raportów, opracowanie planów działania itp.
  7. Monitorowanie - świadomość jak działają systemy. Ocena i utrzymanie operacji technicznych zadania ( codziennie)

2. Najczęstsze współczesne zagrożenia, ryzyko i luki w

Zagrożenie

każda okoliczność lub wydarzenie, które może mieć negatywny wpływ na aktywa. Niezbędne jest zrozumienie typowych zagrożeń ponieważ będzie to częścią pracy:

  • Zagrożenia wewnętrzne - pracownicy lub dostawcy nadużywają swojego autoryzowanego dostępu w celu uzyskania danych, które mogą zaszkodzić organizacji.
  • Zaawansowane trwałe zagrożenia (APT): ugrupowanie zagrażające utrzymuje nieautoryzowany dostęp do systemu przez dłuższy czas

Ryzyko

wszystko , co może mieć wpływ na poufność, integralność lub dostępność zasobu. Podstawową formułą określania poziomu ryzyka jest to, że ryzyko równa się prawdopodobieństwu zagrożenia. Można o tym pomyśleć: ryzyko polega na spóźnieniu się do pracy, a zagrożenia to ruch uliczny, wypadek, przebicie opony itp.

Czynniki wpływająe na prawdopodobieństwo wystąpienia ryzyka:

  • Ryzyko zewnętrzne: wszystko, co znajduje się na zewnątrz organizacji i może wyrządzić szkodę zasobom organizacji, na przykład podmioty zagrażające próbujące uzyskać dostęp do prywatnych informacji
  • Ryzyko wewnętrzne: obecny lub były pracownik, dostawca lub zaufany partner, który stwarza zagrożenie dla bezpieczeństwa
  • Starsze systemy: stare systemy, które mogą nie zostać uwzględnione lub zaktualizowane, ale nadal mogą mieć wpływ na zasoby, takie jak stacje robocze lub stare systemy mainframe. Na przykład organizacja może mieć stary automat sprzedający, który przyjmuje płatności kartą kredytową, lub stację roboczą, która jest nadal podłączona do starszego systemu księgowego.
  • Ryzyko wielostronne: Zlecanie prac zewnętrznym dostawcom może zapewnić im dostęp do własności intelektualnej, takiej jak tajemnice handlowe, projekty oprogramowania i wynalazki.
  • Zgodność/licencjonowanie oprogramowania: oprogramowanie, które nie jest aktualizowane lub nie jest zgodne, lub poprawki, które nie są instalowane w odpowiednim czasie

Wiele firm udostęnia listy zagrożennia cyberbezpieczeństwa. OWASP Open Web Aplication Security Project publikuje standardowy dokument uśwuadamiający na teamt 10 najważniejszych zarożeń bezpieczeństwa do aplikacji internetowych.

Luka

Słabość, która może zostać wykorzystana przez zagrożenie. Dlatego trzeba regularnie sprawdzać luki w systemach:

  • ProxyLogon: Wstępnie uwierzytelniona luka w zabezpieczeniach serwera Microsoft Exchange. Oznacza to, że ugrupowanie zagrażające może zakończyć proces uwierzytelniania użytkownika w celu wdrożenia złośliwego kodu z lokalizacji zdalnej.
  • ZeroLogon: Luka w protokole uwierzytelniania Netlogon firmy Microsoft. Protokół uwierzytelniania to sposób weryfikacji tożsamości osoby. Netlogon to usługa zapewniająca tożsamość użytkownika przed zezwoleniem na dostęp do lokalizacji witryny internetowej.
  • Log4Shell: umożliwia atakującym uruchomienie kodu Java na cudzym komputerze lub wyciek poufnych informacji. Robi to, umożliwiając zdalnemu atakującemu przejęcie kontroli nad urządzeniami podłączonymi do Internetu i uruchomienie złośliwego kodu.
  • PetitPotam: wpływa na nową technologię Windows Menedżer sieci lokalnej (LAN) (NTLM). Jest to technika kradzieży, która umożliwia atakującemu za pośrednictwem sieci LAN zainicjowanie żądania uwierzytelnienia.
  • Awarie rejestrowania i monitorowania zabezpieczeń: niewystarczające możliwości rejestrowania i monitorowania, w wyniku których osoby atakujące wykorzystują luki w zabezpieczeniach bez wiedzy organizacji
  • Fałszowanie żądań po stronie serwera: umożliwia atakującym manipulowanie aplikacją po stronie serwera w celu uzyskania dostępu do zasobów zaplecza i ich aktualizacji. Może także pozwolić cyberprzestępcom na kradzież danych.

Praca przy zarządzaniu lukami w zabezpieczeniach - monitorowanie systemu w celu identyfikowania ładodzenia luk. Wgrywanie poprawek i aktualizacji. Im szybciej zidentyfikuję lukę i załatam ją, tym szybciej będzie zmniejszyć narażenie organizacji na tę lukę.