Принцип систематической компьютерной безопасности включает
Обновлено: 21.11.2024
Информационная безопасность (иногда называемая InfoSec) охватывает инструменты и процессы, которые организации используют для защиты информации. Сюда входят параметры политики, которые предотвращают доступ неавторизованных лиц к деловой или личной информации. Информационная безопасность — это растущая и развивающаяся область, охватывающая широкий спектр областей, от безопасности сети и инфраструктуры до тестирования и аудита.
Информационная безопасность защищает конфиденциальную информацию от несанкционированных действий, включая проверку, изменение, запись и любое нарушение или уничтожение. Цель состоит в том, чтобы обеспечить безопасность и конфиденциальность критически важных данных, таких как данные учетной записи клиента, финансовые данные или интеллектуальная собственность.
Последствия инцидентов безопасности включают кражу частной информации, фальсификацию данных и удаление данных. Атаки могут нарушить рабочие процессы и нанести ущерб репутации компании, а также повлечь за собой ощутимые затраты.
Организации должны выделять средства на обеспечение безопасности и быть готовыми к обнаружению, реагированию и упреждающему предотвращению таких атак, как фишинг, вредоносное ПО, вирусы, вредоносные инсайдеры и программы-вымогатели.
Каковы 3 принципа информационной безопасности?
Основными принципами информационной безопасности являются конфиденциальность, целостность и доступность. Каждый элемент программы информационной безопасности должен быть разработан для реализации одного или нескольких из этих принципов. Вместе они называются Триадой ЦРУ.
Конфиденциальность
Меры конфиденциальности предназначены для предотвращения несанкционированного раскрытия информации. Цель принципа конфиденциальности состоит в том, чтобы сохранить личную информацию в тайне и гарантировать, что она видна и доступна только тем лицам, которые владеют ею или нуждаются в ней для выполнения своих организационных функций.
Целостность
Непротиворечивость включает защиту от несанкционированных изменений (добавление, удаление, изменение и т. д.) данных. Принцип целостности гарантирует, что данные точны и надежны и не будут изменены неправильно, случайно или злонамеренно.
Доступность
Доступность — это защита способности системы обеспечивать полную доступность программных систем и данных, когда они нужны пользователю (или в указанное время). Цель доступности — сделать технологическую инфраструктуру, приложения и данные доступными, когда они необходимы для организационного процесса или для клиентов организации.
Триада ЦРУ определяет три ключевых принципа безопасности данных
Ключевые результаты исследования инсайдерских угроз Forrester за 2021 г.
Информационная безопасность и кибербезопасность
Информационная безопасность отличается от кибербезопасности как масштабом, так и целью. Эти два термина часто используются взаимозаменяемо, но, точнее, кибербезопасность — это подкатегория информационной безопасности. Информационная безопасность — это широкая область, охватывающая множество областей, таких как физическая безопасность, безопасность конечных точек, шифрование данных и сетевая безопасность. Он также тесно связан с обеспечением безопасности информации, которая защищает информацию от таких угроз, как стихийные бедствия и отказы серверов.
Кибербезопасность в первую очередь направлена на борьбу с угрозами, связанными с технологиями, с помощью методов и инструментов, которые могут предотвратить или смягчить их. Другая связанная с этим категория – безопасность данных, в которой основное внимание уделяется защите данных организации от случайного или злонамеренного доступа к ним неуполномоченных лиц.
Политика информационной безопасности
Политика информационной безопасности (ISP) — это набор правил, которыми руководствуются пользователи при использовании ИТ-ресурсов. Компании могут создавать политики информационной безопасности, чтобы сотрудники и другие пользователи соблюдали протоколы и процедуры безопасности. Политики безопасности предназначены для обеспечения того, чтобы только авторизованные пользователи могли получить доступ к конфиденциальным системам и информации.
Создание эффективной политики безопасности и принятие мер по обеспечению ее соответствия — важный шаг на пути к предотвращению и устранению угроз безопасности. Чтобы сделать вашу политику действительно эффективной, часто обновляйте ее с учетом изменений в компании, новых угроз, выводов, сделанных на основе предыдущих нарушений, а также изменений в системах и инструментах безопасности.
Сделайте свою стратегию информационной безопасности практичной и разумной. Чтобы удовлетворить потребности и срочность различных отделов внутри организации, необходимо развернуть систему исключений с процессом утверждения, позволяющую отделам или отдельным лицам отклоняться от правил в определенных обстоятельствах.
Основные угрозы информационной безопасности
Существуют сотни категорий угроз информационной безопасности и миллионы известных векторов угроз. Ниже мы рассмотрим некоторые из ключевых угроз, которые являются приоритетными для групп безопасности на современных предприятиях.
Небезопасные или плохо защищенные системы
Скорость и развитие технологий часто приводят к компромиссам в мерах безопасности. В других случаях системы разрабатываются без учета требований безопасности и остаются в эксплуатации в организации как унаследованные системы. Организации должны выявлять эти плохо защищенные системы и снижать угрозу, защищая их или исправляя их, выводя из эксплуатации или изолируя.
Атаки в социальных сетях
У многих людей есть аккаунты в социальных сетях, где они часто непреднамеренно делятся большим количеством информации о себе. Злоумышленники могут запускать атаки непосредственно через социальные сети, например, распространяя вредоносное ПО через сообщения в социальных сетях, или косвенно, используя информацию, полученную с этих сайтов, для анализа пользовательских и организационных уязвимостей и использования их для разработки атаки.
Социальная инженерия
Социальная инженерия включает в себя отправку злоумышленниками электронных писем и сообщений, которые обманом заставляют пользователей выполнять действия, которые могут поставить под угрозу их безопасность или раскрыть личную информацию. Злоумышленники манипулируют пользователями, используя психологические триггеры, такие как любопытство, безотлагательность или страх.
Поскольку источник сообщения социальной инженерии кажется надежным, люди с большей вероятностью согласятся, например, нажав на ссылку, которая устанавливает вредоносное ПО на их устройство, или предоставив личную информацию, учетные данные или финансовые сведения. р>
Организации могут смягчить последствия социальной инженерии, информируя пользователей о связанных с ней опасностях и обучая их выявлять и избегать подозрительных сообщений социальной инженерии. Кроме того, технологические системы могут использоваться для блокировки социальной инженерии в ее источнике или предотвращения выполнения пользователями опасных действий, таких как нажатие на неизвестные ссылки или загрузка неизвестных вложений.
Вредоносное ПО на конечных устройствах
Пользователи организации работают с большим количеством конечных устройств, включая настольные компьютеры, ноутбуки, планшеты и мобильные телефоны, многие из которых находятся в частной собственности и не контролируются организацией, и все они регулярно подключаются к Интернету.< /p>
Основной угрозой для всех этих конечных точек является вредоносное ПО, которое может передаваться различными способами, может привести к компрометации самой конечной точки, а также может привести к повышению привилегий на другие системы организации.
Традиционного антивирусного программного обеспечения недостаточно для блокировки всех современных форм вредоносного ПО, и разрабатываются более продвинутые подходы к защите конечных точек, такие как обнаружение и реагирование конечных точек (EDR).
Отсутствие шифрования
Процессы шифрования кодируют данные таким образом, что их могут расшифровать только пользователи с секретными ключами. Он очень эффективен для предотвращения потери или повреждения данных в случае потери или кражи оборудования или в случае компрометации организационных систем злоумышленниками.
К сожалению, на эту меру часто не обращают внимания из-за ее сложности и отсутствия юридических обязательств, связанных с ее надлежащей реализацией. Организации все чаще внедряют шифрование, покупая устройства хранения или используя облачные сервисы, поддерживающие шифрование, или используя специальные инструменты безопасности.
Неправильная настройка безопасности
Современные организации используют огромное количество технологических платформ и инструментов, в частности веб-приложения, базы данных и приложения "программное обеспечение как услуга" (SaaS) или "инфраструктура как услуга" (IaaS) от таких поставщиков, как Amazon Web Services.
Платформы корпоративного уровня и облачные сервисы имеют функции безопасности, но они должны быть настроены организацией. Неправильная настройка безопасности из-за небрежности или человеческой ошибки может привести к нарушению безопасности. Еще одна проблема — «дрейф конфигурации», когда правильная конфигурация безопасности может быстро устареть и сделать систему уязвимой без ведома ИТ-специалистов или сотрудников службы безопасности.
Организации могут смягчить неправильную настройку безопасности, используя технологические платформы, которые постоянно отслеживают системы, выявляют пробелы в конфигурации и предупреждают или даже автоматически устраняют проблемы с конфигурацией, которые делают системы уязвимыми.
Активные и пассивные атаки
Информационная безопасность предназначена для защиты организаций от вредоносных атак. Существует два основных типа атак: активные и пассивные. Считается, что активные атаки сложнее предотвратить, и основное внимание уделяется их обнаружению, смягчению последствий и восстановлению после них. Пассивные атаки легче предотвратить с помощью надежных мер безопасности.
Активная атака
Активная атака включает в себя перехват сообщения или сообщения и изменение его для злонамеренного воздействия. Существует три распространенных варианта активной атаки:
- Прерывание — злоумышленник прерывает исходное общение и создает новые вредоносные сообщения, выдавая себя за одну из сторон общения.
- Модификация. Злоумышленник использует существующие коммуникации и либо воспроизводит их, чтобы обмануть одну из сторон, либо модифицирует их, чтобы получить преимущество.
- Фабрикация — создание фальшивых или искусственных сообщений, как правило, с целью добиться отказа в обслуживании (DoS). Это не позволяет пользователям получать доступ к системам или выполнять обычные операции.
Пассивная атака
При пассивной атаке злоумышленник отслеживает, контролирует систему и незаконно копирует информацию, не изменяя ее. Затем они используют эту информацию для нарушения работы сетей или компрометации целевых систем.
Злоумышленники не вносят никаких изменений в связь или целевые системы. Это затрудняет обнаружение. Однако шифрование может помочь предотвратить пассивные атаки, поскольку оно запутывает данные, затрудняя их использование злоумышленниками.
Активные атаки | Пассивные атаки |
Изменение сообщений, коммуникаций или данных | Не вносите никаких изменений в данные или системы |
Представляет угрозу доступности и целостности конфиденциальных данных | Представляет угрозу конфиденциальности конфиденциальных данных. |
Может привести к повреждению систем организации. | Не наносит прямого ущерба системам организации. |
Жертвы обычно знают об атаке | Жертвы обычно не знают об атаке. |
Основное внимание безопасности уделяется обнаружению и смягчению последствий. . | Главное внимание безопасности уделяется предотвращению. |
Законы об информационной безопасности и защите данных
Информационная безопасность находится в постоянном взаимодействии с законами и правилами мест, где организация ведет бизнес. Правила защиты данных во всем мире сосредоточены на повышении конфиденциальности личных данных и накладывают ограничения на то, как организации могут собирать, хранить и использовать данные клиентов.
Конфиденциальность данных сосредоточена на информации, позволяющей установить личность (PII), и в первую очередь связана с тем, как данные хранятся и используются. PII включает в себя любые данные, которые могут быть напрямую связаны с пользователем, такие как имя, идентификационный номер, дата рождения, физический адрес или номер телефона. Сюда также могут входить такие артефакты, как сообщения в социальных сетях, изображения профиля и IP-адреса.
Законы о защите данных в Европейском союзе (ЕС): GDPR
Наиболее известным законом о конфиденциальности в ЕС является Общий регламент по защите данных (GDPR). Этот регламент распространяется на сбор, использование, хранение, безопасность и передачу данных, касающихся резидентов ЕС.
Регламент GDPR применяется к любой организации, ведущей бизнес с гражданами ЕС, независимо от того, находится ли сама компания в Европейском союзе или за его пределами. Нарушение правил может привести к штрафу в размере до 4 % от мировых продаж или до 20 млн евро.
- Установление конфиденциальности личных данных в качестве основного права человека
- Выполнение требований к критериям конфиденциальности
- Стандартизация применения правил конфиденциальности
GDPR включает защиту следующих типов данных:
Законы о защите данных в США
Несмотря на введение некоторых правил, в настоящее время в США нет федеральных законов, регулирующих конфиденциальность данных в целом. Однако некоторые правила защищают определенные типы или использование данных. К ним относятся:
- Закон о Федеральной торговой комиссии — запрещает организациям обманывать потребителей в отношении политики конфиденциальности, неспособности обеспечить надлежащую защиту конфиденциальности клиентов и вводящей в заблуждение рекламы.
- Закон о защите конфиденциальности детей в Интернете регулирует сбор данных, касающихся несовершеннолетних.
- Закон о переносимости и учете медицинского страхования (HIPAA) регулирует хранение, конфиденциальность и использование медицинской информации.
- Закон Грэмма-Лича-Блайли (GLBA) регулирует сбор и хранение личной информации финансовыми учреждениями и банками.
- Закон о достоверной кредитной отчетности – регулирует сбор, использование и доступность кредитных записей и информации.
Кроме того, Федеральная торговая комиссия (FTC) отвечает за защиту пользователей от мошеннических или недобросовестных транзакций, таких как безопасность данных и конфиденциальность. Федеральная торговая комиссия может принимать нормативные акты, обеспечивать соблюдение законов, наказывать за нарушения и расследовать организационные мошенничества или предполагаемые нарушения.
Помимо федеральных правил, 25 штатов США приняли различные законы для регулирования данных. Самый известный пример — Калифорнийский закон о конфиденциальности потребителей (CCPA). Закон вступил в силу в январе 2020 г. и обеспечивает защиту жителей Калифорнии, в том числе право на доступ к личной информации, запрос на удаление личной информации и отказ от сбора или перепродажи данных.
Существуют также другие региональные правила, такие как:
- Австралийский орган пруденциального надзора (APRA), CPS 234
- Закон Канады о защите личной информации и электронных документов (PIPEDA)
- Закон Сингапура о защите персональных данных (PDPA)
Узнайте, как решения Imperva Data Security Solutions могут помочь вам в обеспечении информационной безопасности.
Информационная безопасность с Imperva
Imperva помогает организациям любого размера внедрять программы информационной безопасности и защищать конфиденциальные данные и активы.
Безопасность приложений Imperva
Imperva обеспечивает многоуровневую защиту, чтобы веб-сайты и приложения были доступны, легкодоступны и безопасны. Решение для обеспечения безопасности приложений Imperva включает в себя:
-
— поддерживать работоспособность в любых ситуациях. Предотвратите любой тип DDoS-атаки любого масштаба, препятствующий доступу к вашему веб-сайту и сетевой инфраструктуре. — повысить производительность веб-сайта и снизить затраты на пропускную способность с помощью CDN, предназначенной для разработчиков. Кэшируйте статические ресурсы на периферии, ускоряя API и динамические веб-сайты. — облачное решение разрешает законный трафик и предотвращает нежелательный трафик, защищая приложения на периферии. Gateway WAF обеспечивает безопасность приложений и API внутри вашей сети. — анализирует трафик вашего бота, чтобы точно определить аномалии, выявляет плохое поведение бота и проверяет его с помощью механизмов проверки, которые не влияют на пользовательский трафик. — защищает API, гарантируя, что только желаемый трафик может получить доступ к вашей конечной точке API, а также обнаруживая и блокируя использование уязвимостей. — использует процесс обнаружения на основе намерений для выявления и защиты от попыток захвата учетных записей пользователей в злонамеренных целях. — защитите свои приложения изнутри от известных атак и атак нулевого дня. Быстрая и точная защита без подписи или режима обучения. — эффективно и точно нейтрализовать реальные угрозы безопасности и реагировать на них с помощью оперативной аналитики на всех уровнях защиты.
Защита данных Imperva
Решение Imperva для защиты данных защищает ваши данные, где бы они ни находились — локально, в облаке и в гибридных средах. Он также предоставляет специалистам по безопасности и ИТ полную информацию о доступе к данным, их использовании и перемещении по организации.
Наш комплексный подход основан на нескольких уровнях защиты, в том числе:
Опубликовано: 12 сентября 2005 г. | Последняя редакция: 10 мая 2013 г. Автор(ы): C.C. Майкл Майкл Гегик Шон Барнум Уровни зрелости и показатели аудитории: L4 / D/P L Жизненные циклы SDLC: проектирование архитектуры Авторские права: © Cigital, Inc. 2005-2007. Cigital сохраняет за собой авторские права на этот материал.
Аннотация
Программная система, которая требует проверки доступа к объекту каждый раз, когда субъект запрашивает доступ, особенно для критически важных с точки зрения безопасности объектов, снижает вероятность ошибочного предоставления этому субъекту повышенных разрешений. Система, которая проверяет права субъекта на доступ к объекту только один раз, может подтолкнуть злоумышленников к использованию этой системы. Если права управления доступом субъекта уменьшаются после первого предоставления прав и система не проверяет следующий доступ к этому объекту, то может произойти нарушение прав. Кэширование разрешений может повысить производительность системы, но за счет предоставления доступа к защищенным объектам.
Выдержки из подробного описания
От Зальцера и Шредера [Зальццер 75], раздел: «Основные принципы защиты информации» на странице 9:
Полное посредничество: каждый доступ к каждому объекту должен проверяться на наличие полномочий. Этот принцип, при его систематическом применении, является основной основой системы защиты. Это обеспечивает общесистемное представление управления доступом, которое в дополнение к обычной работе включает инициализацию, восстановление, завершение работы и обслуживание. Это означает, что должен быть разработан надежный метод идентификации источника каждого запроса. Это также требует, чтобы предложения, направленные на повышение производительности за счет запоминания результатов авторитетной проверки, рассматривались скептически. В случае смены полномочий такие запомненные результаты необходимо систематически обновлять.
Из Bishop [Bishop 03], глава 13: "Принципы проектирования", раздел 13.2.4: "Принцип полного посредничества", страницы 345–346:1
Этот принцип ограничивает кеширование информации. Это часто приводит к более простой реализации механизмов.
Определение 13-4. Принцип полного посредничества требует, чтобы все обращения к объектам проверялись, чтобы гарантировать, что они разрешены.
Всякий раз, когда субъект пытается прочитать объект, операционная система должна опосредовать это действие. Во-первых, он определяет, может ли субъект прочитать объект. Если это так, он предоставляет ресурсы для чтения. Если субъект снова попытается прочитать объект, система должна снова проверить, что субъект все еще может прочитать объект. Большинство систем не сделали бы вторую проверку. Они будут кэшировать результаты первой проверки и основывать второй доступ на кэшированных результатах.
Пример 1
Когда процесс UNIX пытается прочитать файл, операционная система определяет если процессу разрешено читать файл.Если это так, процесс получает файловый дескриптор, кодирующий разрешенный доступ. Всякий раз, когда процесс хочет прочитать файл, он представляет дескриптор файла ядру. Затем ядро разрешает доступ. Если владелец файла запрещает процессу чтение файла после выдачи файлового дескриптора, ядро по-прежнему разрешает доступ. Эта схема нарушает принцип полного посредничества, потому что второй доступ не проверяется. Используется кешированное значение, в результате чего отказ в доступе становится неэффективным.
Пример 2
Служба имен каталогов (DNS) кэширует информацию о сопоставлении имен хостов с IP-адресами. Если злоумышленник сможет «отравить» кеш, внедрив записи, связывающие поддельный IP-адрес с именем, хост будет неправильно маршрутизировать соединения с этим хостом. Раздел 14.6.1.2 [документа Компьютерная безопасность: искусство и наука] обсуждает это более подробно.
Дополнительная литература
Мы рассматриваем условия соперничества и канонизацию как примеры, когда простой проверки разрешений или имени объекта может быть недостаточно при выполнении конфиденциальной операции.
Соревнования, которые могут обойти проверки контроля доступа
Несмотря на то, что в их исходном коде могут быть реализованы множественные проверки доступа, разработчики должны быть предупреждены о том, что их проблемы с безопасностью не обязательно исчезнут. Злоумышленники могут использовать условия гонки, возникающие между проверкой доступа и последующей привилегированной операцией. Этот тип состояния гонки называется временем проверки, временем использования (TOCTOU) и использовался в операционной системе UNIX. Следующий код принадлежит программе с setuid root [Viega 02]:
Пользователи могут запросить, чтобы эта программа записывала в файлы, которыми они владеют. Сначала программа проверяет, есть ли у реального UID права доступа к запросу, и если да, то возвращает 0. В промежутке между проверкой прав доступа и открытием файла злоумышленник может заменить файл, на который у него есть права. to с файлом, который принадлежит root. Злоумышленник может выполнить подкачку, создав фиктивный файл (например, /etc/passwd) со своего разрешения, а затем создав на него символическую ссылку. Затем злоумышленник может выполнить команду, например [Viega 02]
Возможно, что программа перезапишет файл системных паролей [Viega 02]. Поэтому разработчики должны быть предупреждены о том, что их проверки доступа не могут быть нарушены условиями гонки, такими как в классе TOCTOU.
Осторожнее с канонизацией
При проверке ресурса на наличие разрешений имя этого ресурса должно правильно идентифицировать объект, который вы ожидаете проверить. К одному объекту можно применять разные имена. Например, файл может называться c:dir rip.jpg, trip.jpg и . рип.jpg. Процесс преобразования различных эквивалентных форм имени файла в стандартное имя называется канонизацией. Окончательное (или каноническое) имя в этом примере может быть c:dir rip.jpg [Howard 02].
Примером того, как имена файлов представлялись по-другому, чтобы подорвать механизмы безопасности, было приложение Napster. Napster внедрил фильтры, чтобы ограничить распространение выбранных песен в соответствии с постановлением федерального судьи. Пользователи начали менять названия файлов песен, которыми было приказано не делиться. Например, можно было бы перевести названия песен на обычный язык (например, "White Shadows" группы Cold Play на "VV]-[!73 5|-|4|)0VV2" или "Be Yourself" группы Audioslave на "|33 ? /()|_||2531|^>-<"). Механизмы фильтрации для этих песен не учитывали должным образом канонизацию запрещенных названий песен [Howard 02].
Ссылки
Епископ, Мэтт. Компьютерная безопасность: искусство и наука. Бостон, Массачусетс: Addison-Wesley, 2003.
Ховард, Майкл и Леблан, Дэвид. Написание безопасного кода 2-е изд.. Редмонд, Вашингтон: Microsoft Press, 2002 г.
-
Все права защищены. Он перепечатывается с разрешения Addison-Wesley Professional.
Авторское право © Cigital, Inc., 2005–2007 гг. Cigital сохраняет за собой авторские права на этот материал.
Разрешение воспроизводить этот документ и создавать производные работы на основе этого документа для внутреннего использования предоставляется при условии, что ко всем копиям и производным работам прилагаются заявления об авторских правах и «Нет гарантии».
Опубликовано: 12 сентября 2005 г. | Последняя редакция: 10 мая 2013 г. Автор(ы): C.C. Майкл Майкл Гегик Шон Барнум Уровни зрелости и показатели аудитории: L4 / D/P L Жизненные циклы SDLC: проектирование архитектуры Авторские права: © Cigital, Inc. 2005-2007. Cigital сохраняет за собой авторские права на этот материал.
Аннотация
Программная система, которая требует проверки доступа к объекту каждый раз, когда субъект запрашивает доступ, особенно для критически важных с точки зрения безопасности объектов, снижает вероятность ошибочного предоставления этому субъекту повышенных разрешений.Система, которая проверяет права субъекта на доступ к объекту только один раз, может подтолкнуть злоумышленников к использованию этой системы. Если права управления доступом субъекта уменьшаются после первого предоставления прав и система не проверяет следующий доступ к этому объекту, то может произойти нарушение прав. Кэширование разрешений может повысить производительность системы, но за счет предоставления доступа к защищенным объектам.
Выдержки из подробного описания
От Зальцера и Шредера [Зальццер 75], раздел: «Основные принципы защиты информации» на странице 9:
Полное посредничество: каждый доступ к каждому объекту должен проверяться на наличие полномочий. Этот принцип, при его систематическом применении, является основной основой системы защиты. Это обеспечивает общесистемное представление управления доступом, которое в дополнение к обычной работе включает инициализацию, восстановление, завершение работы и обслуживание. Это означает, что должен быть разработан надежный метод идентификации источника каждого запроса. Это также требует, чтобы предложения, направленные на повышение производительности за счет запоминания результатов авторитетной проверки, рассматривались скептически. В случае смены полномочий такие запомненные результаты необходимо систематически обновлять.
Из Bishop [Bishop 03], глава 13: "Принципы проектирования", раздел 13.2.4: "Принцип полного посредничества", страницы 345–346:1
Этот принцип ограничивает кеширование информации. Это часто приводит к более простой реализации механизмов.
Определение 13-4. Принцип полного посредничества требует, чтобы все обращения к объектам проверялись, чтобы гарантировать, что они разрешены.
Всякий раз, когда субъект пытается прочитать объект, операционная система должна опосредовать это действие. Во-первых, он определяет, может ли субъект прочитать объект. Если это так, он предоставляет ресурсы для чтения. Если субъект снова попытается прочитать объект, система должна снова проверить, что субъект все еще может прочитать объект. Большинство систем не сделали бы вторую проверку. Они будут кэшировать результаты первой проверки и основывать второй доступ на кэшированных результатах.
Пример 1
Когда процесс UNIX пытается прочитать файл, операционная система определяет если процессу разрешено читать файл. Если это так, процесс получает файловый дескриптор, кодирующий разрешенный доступ. Всякий раз, когда процесс хочет прочитать файл, он представляет дескриптор файла ядру. Затем ядро разрешает доступ. Если владелец файла запрещает процессу чтение файла после выдачи файлового дескриптора, ядро по-прежнему разрешает доступ. Эта схема нарушает принцип полного посредничества, потому что второй доступ не проверяется. Используется кешированное значение, в результате чего отказ в доступе становится неэффективным.
Пример 2
Служба имен каталогов (DNS) кэширует информацию о сопоставлении имен хостов с IP-адресами. Если злоумышленник сможет «отравить» кеш, внедрив записи, связывающие поддельный IP-адрес с именем, хост будет неправильно маршрутизировать соединения с этим хостом. Раздел 14.6.1.2 [документа Компьютерная безопасность: искусство и наука] обсуждает это более подробно.
Дополнительная литература
Мы рассматриваем условия соперничества и канонизацию как примеры, когда простой проверки разрешений или имени объекта может быть недостаточно при выполнении конфиденциальной операции.
Соревнования, которые могут обойти проверки контроля доступа
Несмотря на то, что в их исходном коде могут быть реализованы множественные проверки доступа, разработчики должны быть предупреждены о том, что их проблемы с безопасностью не обязательно исчезнут. Злоумышленники могут использовать условия гонки, возникающие между проверкой доступа и последующей привилегированной операцией. Этот тип состояния гонки называется временем проверки, временем использования (TOCTOU) и использовался в операционной системе UNIX. Следующий код принадлежит программе с setuid root [Viega 02]:
Пользователи могут запросить, чтобы эта программа записывала в файлы, которыми они владеют. Сначала программа проверяет, есть ли у реального UID права доступа к запросу, и если да, то возвращает 0. В промежутке между проверкой прав доступа и открытием файла злоумышленник может заменить файл, на который у него есть права. to с файлом, который принадлежит root. Злоумышленник может выполнить подкачку, создав фиктивный файл (например, /etc/passwd) со своего разрешения, а затем создав на него символическую ссылку. Затем злоумышленник может выполнить команду, например [Viega 02]
Возможно, что программа перезапишет файл системных паролей [Viega 02]. Поэтому разработчики должны быть предупреждены о том, что их проверки доступа не могут быть нарушены условиями гонки, такими как в классе TOCTOU.
Осторожнее с канонизацией
При проверке ресурса на наличие разрешений имя этого ресурса должно правильно идентифицировать объект, который вы ожидаете проверить.К одному объекту можно применять разные имена. Например, файл может называться c:dir rip.jpg, trip.jpg и . рип.jpg. Процесс преобразования различных эквивалентных форм имени файла в стандартное имя называется канонизацией. Окончательное (или каноническое) имя в этом примере может быть c:dir rip.jpg [Howard 02].
Примером того, как имена файлов представлялись по-другому, чтобы подорвать механизмы безопасности, было приложение Napster. Napster внедрил фильтры, чтобы ограничить распространение выбранных песен в соответствии с постановлением федерального судьи. Пользователи начали менять названия файлов песен, которыми было приказано не делиться. Например, можно было бы перевести названия песен на обычный язык (например, "White Shadows" группы Cold Play на "VV]-[!73 5|-|4|)0VV2" или "Be Yourself" группы Audioslave на "|33 ? /()|_||2531|^>-<"). Механизмы фильтрации для этих песен не учитывали должным образом канонизацию запрещенных названий песен [Howard 02].
Ссылки
Епископ, Мэтт. Компьютерная безопасность: искусство и наука. Бостон, Массачусетс: Addison-Wesley, 2003.
Ховард, Майкл и Леблан, Дэвид. Написание безопасного кода 2-е изд.. Редмонд, Вашингтон: Microsoft Press, 2002 г.
-
Все права защищены. Он перепечатывается с разрешения Addison-Wesley Professional.
Авторское право © Cigital, Inc., 2005–2007 гг. Cigital сохраняет за собой авторские права на этот материал.
Разрешение воспроизводить этот документ и создавать производные работы на основе этого документа для внутреннего использования предоставляется при условии, что ко всем копиям и производным работам прилагаются заявления об авторских правах и «Нет гарантии».
Чтобы спроектировать и внедрить систему безопасно, Зальццер и Шредер определяют 10 основных принципов проектирования в своей знаменитой и одной из самых цитируемых статей «Защита информации в компьютерных системах». В нашей статье эти принципы рассматриваются с ключевыми выводами.
Как разрабатывать безопасные системы: 10 принципов разработки безопасных систем от Зальцера и Шредера
В статье Зальцера и Шредера 1975 года "Защита информации в компьютерных системах" (одна из самых цитируемых работ в истории компьютерной безопасности) изложены 10 фундаментальных принципов разработки безопасных систем, аппаратных или программных.
Несмотря на то, что эти принципы были опубликованы в то время, когда использовались только мэйнфреймы и между ними не было межсетевого взаимодействия, эти принципы по-прежнему применимы в современном компьютерном мире, где персональные компьютеры и вездесущие смарт-устройства обмениваются данными друг с другом через Интернет.
В основе этих принципов лежат два основных принципа: простота и контроль доступа. Простота способствует легкому пониманию проектов, что приводит к системам с меньшим количеством несоответствий. С другой стороны, контроль доступа опосредует каждую транзакцию, позволяя только авторизованным сторонам получить доступ к ресурсам.
В этой статье мы рассмотрим эти принципы с ключевыми выводами (элементы маркированного списка как выдержки из статьи), чтобы повысить осведомленность о разработке безопасных систем.
Принцип 1. Экономия механизма
- Дизайн должен быть максимально простым и компактным.
- Ошибки проектирования и реализации, приводящие к нежелательным путям доступа, не будут замечены при обычном использовании.
- В результате необходимы такие методы, как пошаговая проверка программного обеспечения и физическая проверка оборудования.
- Чтобы такие методы были успешными, необходим небольшой и простой дизайн.
Принцип 2. Надежные значения по умолчанию
В вычислительных системах правами доступа по умолчанию должны быть «нет доступа». Другими словами, правами доступа следует управлять индивидуально с правами «разрешить» (внесение в белый список), оставив значение по умолчанию «запретить». Это упрощает управление и оставляет систему в безопасном состоянии в случае сбоя механизма безопасности.
- Решения о доступе основываются на разрешении, а не на исключении.
- По умолчанию используется отсутствие доступа, а схема защиты определяет условия, при которых доступ разрешен.
- Альтернативный механизм определения условий, при которых следует отказать в доступе, представляет собой неправильную психологическую основу для проектирования безопасной системы.
- Консервативный дизайн должен основываться на аргументах, почему объекты должны быть доступны, а не на том, почему они не должны быть.
Принцип 3. Полное посредничество
- Каждый доступ к каждому объекту должен проверяться на наличие прав доступа.
- При систематическом применении этот принцип является основной основой системы защиты.
Принцип 4. Открытый дизайн
Этот принцип отражает более ранние постулаты о том, что безопасность не должна зависеть от секретности дизайна или реализации. Принцип Керкхоффа (1883 г.), а также принцип Шеннона (1948 г.) предлагают публиковать проект для увеличения шансов обнаружения недостатков безопасности большим количеством глаз, но сохраняя секреты ключей в криптографических системах.
Цитата: Клод Шеннон
Следует разрабатывать системы, исходя из предположения, что противник сразу же полностью с ними ознакомится.
Клод Шеннон
Прочитайте больше образовательных и вдохновляющих цитат о кибербезопасности на нашей странице 100+ лучших цитат о кибербезопасности и хакерах .
- Дизайн не должен быть секретным.
- Механизмы не должны зависеть от невежества потенциальных злоумышленников. А скорее от владения конкретными ключами или паролями.
- Это отделение механизма защиты от ключей защиты позволяет проверять механизмы многим проверяющим, не опасаясь, что проверка сама по себе может нарушить меры безопасности.
Принцип 5. Разделение привилегий
- Там, где это возможно, механизм защиты, для разблокировки которого требуется два ключа, является более надежным и безопасным.
- После блокировки механизма два ключа могут быть физически разделены, а ответственность за них возложена на отдельные программы, организации или отдельных лиц.
- С этого момента ни одна случайность, обман или злоупотребление доверием не могут поставить под угрозу защищенную информацию.
Принцип 6. Наименьшие привилегии
- Каждая программа и каждый пользователь системы должны работать, используя наименьший набор привилегий, необходимых для выполнения задания.
- Правило военной безопасности «необходимо знать» является примером этого принципа.
- В первую очередь этот принцип ограничивает ущерб, который может возникнуть в результате несчастного случая или ошибки.
Принцип 7. Наименее распространенный механизм
- Сведите к минимуму количество механизмов, общих для нескольких пользователей и зависящих от всех пользователей.
- Каждый общий механизм (особенно общие переменные) представляет собой потенциальный путь передачи информации между пользователями и должен быть разработан с большой осторожностью, чтобы не допустить непреднамеренного нарушения безопасности.
Принцип 8. Психологическая приемлемость
Изначально этот принцип гласил, что механизмы безопасности не должны усложнять доступ к ресурсу, чтобы он естественным образом воспринимался и правильно использовался пользователями. Позже этот принцип был переименован в «Принцип наименьшего удивления», чтобы отразить тот факт, что механизмы безопасности добавят некоторые трудности, но они должны быть как можно минимальными для повышения удобства использования.
С. Кауфман, Р. Перлман и М. Специнер. В «Безопасности сети», 2-е изд.
Люди не в состоянии безопасно хранить высококачественные криптографические ключи, и они обладают неприемлемой скоростью и точностью при выполнении криптографических операций… Но они настолько распространены, что мы должны разрабатывать наши протоколы с учетом их ограничений.
< эм>С. Кауфман, Р. Перлман и М. Специнер. В «Сетевой безопасности», 2-е изд.
Прочитайте больше образовательных и вдохновляющих цитат о кибербезопасности на нашей странице 100+ лучших цитат о кибербезопасности и хакерах .
- Очень важно, чтобы человеческий интерфейс был прост в использовании, чтобы пользователи регулярно и автоматически правильно применяли механизмы защиты.
- В той мере, в какой представление пользователя об этих целях защиты соответствует механизмам, которые он должен использовать, ошибки будут сведены к минимуму.
- Если пользователи должны перевести его представление о потребностях в защите на совершенно иной язык спецификаций, они совершат ошибки.
Принцип 9. Рабочий фактор
- Сравните стоимость обхода механизма с ресурсами потенциального злоумышленника.
- Многие механизмы защиты не поддаются прямому расчету фактора работы, так как победить их систематической атакой может быть логически невозможно.
- Поражение может быть достигнуто косвенными стратегиями, такими как ожидание случайного сбоя оборудования или поиск ошибки в реализации.
- Надежные оценки продолжительности такого ожидания или поиска очень трудно сделать.
Принцип 10. Компрометация записи
- Предполагается, что вместо более сложных механизмов можно использовать механизмы, надежно фиксирующие компрометацию информации.
- Объявите скомпрометированную версию бесполезной и выпустите новую.
- Используется редко, так как трудно гарантировать обнаружение после нарушения безопасности.
- Физический ущерб обычно не применяется, а логический ущерб может быть устранен хитрым злоумышленником.
Несмотря на то, что эта статья является одной из самых цитируемых работ по компьютерной безопасности, она также является одной из наименее читаемых. При желании вы можете прочитать исходный документ по ссылке: «Защита информации в компьютерных системах».
Читайте также: