Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci

Transkrypt

1 Klasyfikacja i terminologia incydentów naruszających bezpieczeństwo sieci Mirosław Maj CERT POLSKA Mirek.Maj@cert.pl

2 Klasyfikacja Jak to jest w Polsce, jak to jest na świecie... Cele klasyfikacji: obserwacja trendów koordynacja incydentów gromadzenie i łączenie statystyk

3 Zasady poprawnej klasyfikacji wg Edward G. Amoroso wyłączność kategorii kompletność jednoznaczność powtarzalność akceptowalność użyteczność

4 Przykłady klasyfikacji Klasyfikacja na podstawie terminów Klasyfikacja na podstawie skutków ataków Klasyfikacja empiryczna Przykład klasyfikacji wspólnej

5 Przykłady klasyfikacji Klasyfikacja na podstawie terminów Wiretapping Masquerading Traffic analysis Tunelling Salamis Dumpster diving Software Piracy Covert channels Trojan horses Password sniffing Eavesdropping on Emanations Unauthorized data coping Viruses and worms IP spoofing Excess priviliges Denial-ofservice Trap doors Session hijacking Logic bombs Scanning Harassment Degradation of service Timing attacks Data diddling

6 Przykłady klasyfikacji Klasyfikacja na podstawie skutków ataków SKUTEK naruszenie tajemnicy informacji naruszenie integralności naruszenie dostępności usługi

7 Przykłady klasyfikacji Klasyfikacja empiryczna [CERT POLSKA] Skanowanie Atak na system operacyjny Spamming Atak na serwer WWW Odmowa serwisu Atak na system poczty Social engineering Nielegalne oprogramowanie Rozpowszechnianie nieprawdziwych treści Inne...

8 Przykłady klasyfikacji Wspólna klasyfikacja JANET CERT i CERT-NL pierwsza w ramach FIRST potwierdza znane problemy część wspólna/unikalna duże ułatwienie Abusive mail Denial of Service LAN Sniffing Other Probe Root compromise Spam Trojan Unauthorised use Virus Warez

9 Projekt Common Language Projekt Security and Networking Research Group przy Sandia National Laboratories oraz CERT Coordination Center przy Carnegie Mellon University [autorstwa John a D. Howardd a i Thomas a A. Longstaff a] klasyfikacja zlożona możliwość dostosowania istniejących klasyfikacji zbytnia kompletność możliwość stworzenia klasyfikacji praktycznej

10 Common Language Atak komputerowy i jego elementy jako podstawa klasyfikacji Action Akcja Opi s Probe Próbkowanie Próba dostępu do obiektu poprz ez zbadanie jego charakterystyki Scan Skanowanie Próba dostępu do wielu obiektów na raz poprzez ustalenie obiektu z oczekiwaną charakterystyką Flood Przepełnienie Dostęp do obiektu poprzez nagłe przepełnienie jego możliwości przetwarzania Authenticate Uwierzytelnienie Przedstawienie się jako osoba uprawniona oraz w razie konieczności przekazanie informacji potrzebnej do poprawnego uwierzytelnienia Bypass Ominięcie Ominięcie procesu zabezpieczającego poprzez zastosowanie alternatywnej drogi osiągnięcia obiektu Spoof Podszywanie Przedstawianie się, w trakcie połączenia sieciowego, jako użytkownik posiadający prawo dostępu do zasobów Read Czytanie Dostęp z prawami czytania do informacji przez osobę nieuprawnioną Copy Kopiowanie Dostęp z możliwością kopiowania do informacji przez osobę nieuprawnioną Steal Kradzież Przejęcie zasobów przez osobę nieuprawnioną bez pozostawienia kopii w uprawnionej lokalizacji Modify Modyfikacja Zmian zawartości lub charakterystyki obiektu ataku Delet e Usunięcie Usunięcie (zniszczenie) obiektu ataku

11 incident attack(s) event Attackers Tool Vulnerability Action Target Unauthorized Results Objectives Hackers Spies Physical Increased Challenge, Design Probe Account Attack Access Status, Thrill Information Disclosure of Political Implementation Scan Process Exchange Information Gain Terrorists User Corruption of Financial Configuration Flood Data Command Information Gain Corporate Script or Denial of Authenticate Component Riders Program Service Damage Professional Autonoumous Theft of Bypass Computer Criminals Agent Resources Vandals Toolkit Spoof Network Voyeurs Distributed Tool Data Tap Read Copy Internetwork Steal Modify Delete

12 Common Language Dodatkowe elementy opisujące incydent data zgłoszenia incydentu data rozpoczęcia aktywności intruza(ów) data zakończenia aktywności intruza(ów) numer incydentu inne... Jak to będzie w Polsce, jak to będzie na świecie...?

13 Koniec Pytania?