CIA – Podstawowe zasady bezpieczeństwa informacji
Jednym z fundamentów cyberbezpieczeństwa jest model CIA, który skupia się na trzech aspektach: Confidentiality (Poufność), Integrity (Integralność) i Availability (Dostępność).
- Confidentiality (Poufność)
Dane muszą być chronione przed dostępem osób nieupoważnionych. Przykładem naruszenia poufności może być wyciek danych w wyniku ataku phishingowego. - Integrity (Integralność)
Dane powinny być dokładne, autentyczne i wolne od manipulacji. Wyobraź sobie sytuację, w której cyberprzestępca modyfikuje przelewy bankowe — to naruszenie integralności. - Availability (Dostępność)
Dane powinny być dostępne dla upoważnionych użytkowników, gdy są potrzebne. Atak DDoS (Distributed Denial of Service) to przykład działania, które uniemożliwia dostęp do danych.
DAD – Trzy główne zagrożenia
Model DAD opisuje główne ryzyka związane z danymi:
- Disclosure (Ujawnienie)
Dane poufne mogą zostać przechwycone przez nieautoryzowane osoby. Przykład: Atak phishingowy, w którym haker wykrada hasła użytkownika. - Alteration (Modyfikacja)
Manipulowanie danymi lub zmiana ich autentyczności może być katastrofalna. To częsta praktyka w przypadku ataków ransomware. Przykład: Atakujący przejmuje dostęp do konta bankowego i zmienia dane odbiorcy przelewu, np. numer konta na swój własny. W efekcie użytkownik, myśląc, że opłaca rachunki, nieświadomie wysyła pieniądze oszustowi. - Denial (Odmowa)
Blokowanie dostępu do danych dla autoryzowanych użytkowników. Takie zagrożenie może paraliżować działalność organizacji. Przykład: Atak DDoS, atakujący wykorzystuje setki, tysiące, a nawet miliony urządzeń do wysyłania ogromnej liczby żądań do serwera ofiary. Serwer, przytłoczony ilością żądań, przestaje działać poprawnie.
AAA – Bezpieczeństwo przez uwierzytelnianie, autoryzację i rozliczanie
Model AAA to filar bezpieczeństwa w systemach IT:
- Authentication (Uwierzytelnianie)
Proces potwierdzania tożsamości użytkownika, realizowany poprzez login i hasło, odcisk palca lub urządzenia takie jak tokeny. - Authorization (Autoryzacja)
Mechanizm określający, do czego użytkownik ma dostęp po uwierzytelnieniu. Przykład: Uczeń logujący się do szkolnego systemu może jedynie przeglądać swoje oceny, podczas gdy nauczyciel ma dodatkowo możliwość ich edytowania. - Accounting (Rozliczanie)
Monitoruje i rejestruje działania użytkownika, np. czas trwania sesji czy użycie zasobów. Pomaga w analizie bezpieczeństwa i zgodności z polityką.
Kim są bad actors w cyberprzestrzeni?
Cyberprzestępcy, znani jako bad actors, to osoby lub grupy, które atakują systemy z różnych powodów. Warto poznać typ cyberprzestępcy, ponieważ różne motywacje i metody działania wymagają odmiennych strategii obrony.
- Cybercriminals: Kierują się zyskiem finansowym, np. stosując ataki ransomware.
- Hacktivists: Działają z pobudek ideologicznych, np. ujawniając dane w celu promowania swoich przekonań.
- Cyberterrorists: Ich celem jest wywołanie chaosu, np. poprzez ataki na infrastrukturę krytyczną.
- Cyberwarriors: Pracują na zlecenie państw, kradnąc tajemnice lub atakując strategiczne cele.
Birthday Attack
Nazwa Birthday Attack pochodzi od tzw. Paradoksu dni urodzin w matematyce. Problem ten dotyczy prawdopodobieństwa, że w grupie osób znajdą się dwie z tą samą datą urodzenia. Dla 23 osób prawdopodobieństwo wynosi aż 50%, a przy 50 osobach to już ponad 97%!
Podobnie jak w paradoksie dni urodzin, w kryptografii birthday attack wykorzystuje wysokie prawdopodobieństwo znalezienia dwóch różnych wiadomości generujących ten sam hash (tzw. kolizję). Gdy atakujący znajdzie taką kolizję, może na przykład: Podrobić podpis cyfrowy, bądź ominąć systemy zabezpieczeń bazujące na hashach, np. hasło.
Co to jest hash?
Hash to skrót (ciąg znaków) generowany na podstawie danych wejściowych (np. hasła lub pliku) za pomocą funkcji skrótu. Funkcja ta przekształca dane wejściowe w krótką, stałą wartość o określonym rozmiarze, niezależnie od długości danych wejściowych. Każda drobna zmiana w danych wejściowych powoduje zupełnie inny hash. Hash jest nieodwracalny, co oznacza, że mając tylko hash, nie można łatwo odzyskać oryginalnych danych. Hashy używa się min. do przechowywania haseł w bazach danych, weryfikacji integralności plików i zapewnienia, że pobrane oprogramowanie nie zostało zmodyfikowane.
Przykład dla SH-1:
Admin=4e7afebcfbae000b22c7c85e5560f89a2a0280b4
Ocena podatności z CVSS
Common Vulnerability Scoring System (CVSS) to standardowy sposób oceny ryzyka związanego z lukami w zabezpieczeniach systemów komputerowych. CVSS pozwala określić priorytet naprawy podatności w oparciu o ich wpływ i pilność. Składa się z trzech głównych metryk:
- Base (Podstawowe)
To stałe cechy podatności, które pozostają niezmienne w czasie, np. jak łatwo haker może ją wykorzystać, czy wymaga uwierzytelnienia, i jakie konsekwencje ma dla poufności, integralności i dostępności. Skala wynosi od 0 do 10, gdzie 10 oznacza największe zagrożenie. - Temporal (Czasowe)
Metryki czasowe uwzględniają zmieniające się warunki, np. dostępność exploitów lub łatek bezpieczeństwa. Dzięki temu ocena ryzyka jest bardziej dynamiczna. - Environmental (Środowiskowe )
Ta metryka odnosi się do wpływu podatności na konkretne środowisko użytkownika. Przykład: Jeśli podatność występuje tylko na systemie operacyjnym macOS, a firma używa wyłącznie komputerów z systemem Windows, zagrożenie to nie będzie miało wpływu na środowisko użytkownika.
Threat intelligence – klucz do obrony
Zarządzanie inteligencją zagrożeń to proces mający na celu identyfikowanie, analizowanie i reagowanie na zagrożenia w cyberprzestrzeni. Składa się z kilku etapów:
- Identyfikacja kluczowych zagrożeń – Określenie, które ataki (np. ransomware, phishing,…) stanowią największe ryzyko dla organizacji.
- Zbieranie informacji – Pozyskiwanie danych z różnych źródeł, takich jak raporty, media społecznościowe czy monitoring sieci.
- Przetwarzanie danych – Organizowanie i analizowanie zebranych informacji za pomocą narzędzi, takich jak platformy SIEM.
- Analiza wskaźników kompromitacji (IoC) – Wykrywanie dowodów na naruszenie bezpieczeństwa, np. podejrzanych adresów IP czy plików.
- Rozpowszechnianie wyników – Przekazywanie wyników analizy odpowiednim zespołom w organizacji.
- Wdrażanie wniosków – Implementacja działań zapobiegających zagrożeniom, takich jak aktualizacje zabezpieczeń czy szkolenia pracowników
Podsumowanie
Cyberbezpieczeństwo to nie tylko technologia, ale także świadomość i wiedza. Zrozumienie takich modeli jak CIA, DAD czy AAA, oraz zagrożeń jak phishing czy birthday attack, pozwala lepiej chronić nasze dane i systemy. Pamiętajmy, że edukacja to pierwszy krok w walce z cyberprzestępczością.