Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ



Hasonló dokumentumok
A CERT-Hungary új, értéknövelt hálózatbiztonsági szolgáltatása (CERT-VAS)

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

dr. Angyal Zoltán Puskás Tivadar Közalapítvány CERT-Hungary hálózatbiztonsági igazgató HTE (Távközlési Klub) - Budapest, január 28.

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

Írásjogtól Rootig AIX-on

IT hálózat biztonság. A hálózati támadások célpontjai

Linux kiszolgáló felügyelet: SUSE Manager

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

A BIZOTTSÁG (EU).../... VÉGREHAJTÁSI RENDELETE ( )

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Pánczél Zoltán / Lyukvadászok szabálykönyve

Az információbiztonság új utakon

Megbízhatóság az informatikai rendszerekben

Biztonsági osztályba és szintbe sorolás, IBF feladatköre

GLOBÁLIS KIHÍVÁS, REGIONÁLIS VÁLASZOK

Bejelentés-köteles szolgáltatók kötelezettségei a NIS irányelv tükrében

IT Biztonsági és Adatvédelmi Incidenskezelési Szabályzat. Hatályos: május 25-től visszavonásig

IT hálózat biztonság. Hálózati támadások

Szervezetek és biztonsági tudatosság - Jogérvényesítés a kiber térben

IT sérülékenység vizsgáló szoftverek összehasonlító elemzése. Készítették: Törőcsik Marietta, Kozlovszky Miklós Óbudai Egyetem

Információbiztonság az Ibtv. tükrében Dr. Krasznay Csaba

PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ

Adatbiztonság. Adatbiztonság, adatvédelem. IT elemei és környezete - veszélyforrások

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

1. Bevezető. 2. Sérülékenységek

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

Tudatos kockázatmenedzsment vs. megfelelés

Bevezetés. Adatvédelmi célok

Az ISO es tanúsításunk tapasztalatai

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése

1 IdMatrix Identity Governance Válaszok a GDPR kihívásaira

Hálózatvédelem, biztonság

Keleti Arthur T-Systems Magyarország Pénzvédelem a virtualitásban: Hogyan lett az egyszerű hackerből kiberbűnöző, és miért vannak nála ügyféladatok?

FŐVÁROSI ÁLLAT- ÉS NÖVÉNYKERT

Nemzetközi és hazai fejlemények az információ és hálózatbiztonság terén

JavaScript bűvésztrükkök, avagy PDF olvasó és böngésző hackelés

2013. évi L. törvény ismertetése. Péter Szabolcs

Sérülékenységek hatásának vizsgálata a biztonsági követelmények aspektusából. Dr. Horváth Attila. Erdősi Péter Máté

Összefoglaló. Bevezető

IT-Shield Mss. Biztonság a javából. Kezelt biztonsági szolgáltatások üzletéhez igazítva!

AUTOMATED FARE COLLECTION (AFC) RENDSZEREK

GDPR- INFORMATIKAI MEGOLDÁSOK A JOGI MEGFELELÉS BIZTOSÍTÁSÁNAK ÉRDEKÉBEN

Informatikai betörések, adatszivárgások, ipari kémkedések

Adatvédelmi tájékoztató

A mobilitás biztonsági kihívásai

A sajtóban is megjelent nagy internetes kalóz-ellenes akciók mindegyike kötődött a felsőoktatáshoz!

Az informatikai biztonság kialakítása Wireles hálózatokon Üdvözlöm a jelenlévőket

Biztonsági Felhő A KÜRT legújabb világszínvonalú technológiai fejlesztése

Syllabus 1.0 Ez a dokumentum részletesen ismerteti az ECDL IT-biztonság modult és megfelelő alapokat ad az elméleti és gyakorlati vizsgához is.

EU általános adatvédelmi rendelet Fábián Péter

2015 Cisco Éves Biztonsági Jelentés

IT és hálózati sérülékenységek tovagyűrűző hatásai a gazdaságban

IGÉNY- ÉS PORTFOLIÓMENEDZSMENT

System Center Service Manager 2012 áttekintése. Ker-Soft Kft. Kaszás Orsolya - tanácsadó Nagy Dániel - rendszermérnök

30 MB INFORMATIKAI PROJEKTELLENŐR

Muha Lajos: Informatikai biztonság

IT-biztonság Syllabus 1.0 A syllabus célja 2014 ECDL Alapítvány Jogi nyilatkozat A modul célja

Az eladó minden termék és szolgáltatás esetében a Gabriano Pizzéria Kft.

Laborinformációs menedzsment rendszerek. validálása. Molnár Piroska Rikker Tamás (Dr. Vékes Erika NAH)

ADATVÉDELMI TÁJÉKOZTATÓ (Az adatkezelési szabályzat 2. sz. melléklete)

Fejlődő technológiák alkalmazása a termék-nyomonkövetésre élelmiszerellátási

A DFL SYSTEMS KFT. INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Információbiztonság vs. kiberbiztonság az okos város szempontjából. Dr. Krasznay Csaba NKE Kiberbiztonsági Akadémia

Nemzetközi jogszabályi háttér I.

biometrikus adatainak biometrikus adat genetikai adatainak

Informatikai Biztonsági szabályzata

A CYBER interdependencia gyakorlatok nemzetközi és hazai tapasztalatai

etikus hacker képzés információk

KARCAGI POLGÁRMESTERI HIVATAL INFORMATIKAI BIZTONSÁGI STRATÉGIA (IBS)

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

BKK BUDAPESTI KÖZLEKEDÉSI KÖZPONT ZÁRTKÖRŰEN MŰKÖDŐ RÉSZVÉNYTÁRSASÁG. A BKK Online Shop értékesítéshez kapcsolódó ADATKEZELÉSI TÁJÉKOZTATÓ

Pilot projekt az NFGM-ben: nyílt forráskódú kollaborációs dokumentumportál és üzleti dashboard projektek tapasztalatai

Információbiztonság irányítása

ADATKEZELÉSI SZERZŐDÉS ADATFELDOLGOZÓVAL

MŰKÖDÉSI KOCKÁZATKEZELÉS. Veszteség adatbázis kiépítése során felmerülő kérdések

A Jövő Internet kihívásai A jövő információs és kommunikációs technológiai MTA TRB és IB közös tudományos ülés november 17.

Internetes térkép publikálási technikák, szabványok, trendek, nyílt forráskódú megoldások

INFORMATIKAI BIZTONSÁG ALAPJAI

Csizmazia-Darab István Sicontact Kft. az ESET magyarországi képviselete

ADATVÉDELMI TÁJÉKOZTATÓ FREDERIK TECHNOLOGIES PARTNEREI RÉSZÉRE

Technológia az adatszivárgás ellen

Az adathalászat trendjei

IT biztonság <~> GDPR

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

Biztonság. Információ. Adat. Információelmélet. Információbiztonság az alkalmazásfejlesztésben ADAT INFORMÁCIÓ

Az uniós adatvédelmi előírások hatása a bölcsődei adminisztrációra. Előadó: Dr. Jójárt Ágnes Szilvia ügyvéd

IT-biztonság A kiberbűnözés fogalma A hackelés, a crackelés és az etikus hackelés közötti különbségek

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

ADATKEZELÉSI TÁJÉKOZTATÓ

A XXI. század módszerei a könyvvizsgálók oktatásában avagy a digitális kompetenciák és digitális tanulás fejlesztése

ARCHIVÁLÁSI OSZTÁLYBA SOROLÁSHOZ KAPCSOLÓDÓ SEGÉDTÁBLÁZAT - Kitöltési útmutató

VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Megbízható számítástechnika: a biztonságos hordozható platform felé vezető úton

Bevezető. Az informatikai biztonság alapjai II.

ADATVÉDELMI SZABÁLYZAT

Az informáci alapjai. Bevezetés az információbiztonság és információbiztonsági irányítási rendszer alapfogalmaiba és szükségességébe

TopNet Magyarország Kft. INFORMATIKAI BIZTONSÁGI POLITIKÁJA

Közbeszerzési rendszerek Informatikai Biztonsági Szabályzata

Átírás:

Sérülékenység kezelés Komli József project manager PTA CERT-Hungary Központ 1

A biztonságérzet a veszély érzékelésének hiánya 2

Mi a sérülékenység? Sérülékenység: Az IT biztonság területén a sérülékenység megnevezést azokra a rendszer vagy termék gyengeségekre alkalmazzuk, amelyek lehetővé teszik a támadó számára a termék vagy rendszer kompromittálását, azaz a bizalmasság, sértetlenség, rendelkezésre állás megsértését. Egy sérülékenység az alábbiakat eredményezhetik: Jelszó kezelési hibák Alapvető OS hibák Szoftver hibák (bug) Nem megfelelő felhasználói bevitel ellenőrzések

Miért veszélyes? 0-day sérülékenység: Az IT biztonság területén ezt a megnevezést azokra a rendszer vagy termék gyengeségekre alkalmazzuk, amelyek még ismeretlenek a publikum számára, esetleg a gyártó számára is, és nem áll rendelkezésre javítócsomag (patch) Exploit: (káros) kód vagy kódrészlet mely egy rendszer vagy termék gyengeségét, sérülékenyéségét hivatott kiaknázni A 0-day sérülékenységek és exploitok az internetes feketepiacon (Black market) értékesíthetőek. Csak a sérülékenységet felfedező szándékán múlik kinek adja el, vagy kinek ajánlja fel megvételre.

Fenyegetések Fenyegetés forrása Motiváció Tevékenység Hacker, Cracker Számítógépes bűnöző Kihívás, ego, lázadás Információ megsemmisítése, illegális információ közlés, pénz szerzés, jogosulatlan adat megváltoztatás Hackelés, social engineering, behatolás, jogosulatlan hozzáférés Rendszer behatolás, spoofing, megvesztegetés, hacker technikák Terroristák Ipari kémek (vállalatok, külföldi kormányzatok, más kormányzati érdekeltségek) Megsemmisítés, kihasználás, bosszú, rémhír terjesztés Gazdasági előnyök szerzése, verseny előnyök, hírszerzés Rendszer támadás, DDOS, rendszer penetráció, rendszer hamisítás, információs háború Információ lopás, social engineering, személyes adatok felhasználása, jogosulatlan rendszer hozzáférések (bizalmas adatok, technológiai adatok, stb.) Belső személyek A munkavállaló megfenyegetése, rossz hír terjesztése, számítógépes Kíváncsiság, ego, információ csalás, információ lopás, szerzés, pénz szerzés, bosszú, hibák megszakítás, meghamisított adatok, rendszer szabotálás, stb.

Sérülékenység kezelés Sérülékenység kezelés: A sérülékenység felismerésétől, a javítások elkészítésén át, a jelzésekig terjedő folyamat. Informálni kell a támogatott szervezeteket és a társadalmat a védekezés elősegítésére és a lehetséges incidensek csökkentésére Sérülékenységet kihasználó incidensek száma Felelősség Vendor CERT Javítás implementációjának kezdete Javítás kiadás Exploit publikálás Sérülékenység felfedezés

Sérülékenység kezelés Sérülékenységi információ: A publikált információnak megfelelőnek kell lennie, azaz tartalmaznia kell megfelelő mennyiségű és mélységű adatot a sérülékenységről, hogy a problémákat mind a technikai, mind a nem technikai közösség megértse. Információ tulajdonságai: sebesség hitelesség hasznosság megbízhatóság Különböző források felhasználása: Több forrás ellenőrzése szükséges Az információk ellenőrzése szükséges: Megbízható forrás Több forrás ellenőrzése Teszteléssel való ellenőrzés

Információ források CVE - Common Vulnerabilities and Exposures http://cve.mitre.org/ OSVDB - Open Source Vulnerability DataBase http://osvdb.org/ SECUNIA http://secunia.com/ US-CERT http://www.us-cert.gov/ SecurityFocus http://www.securityfocus.com/ PTA CERT-Hungary Központ http://cert-hungary.hu/

Kockázat elemzés Egy sérülékenység kockázata eltérő lehet rendszerenként, ezért kockázat elemzést kell végrehajtani a rendszerünket érintő sérülékenységek esetén. A szállítók és a sérülékenység riportoló szervezetek is készítenek kockázat elemzést, de más-más szempontrendszer szerint. A FIRST létrehozta a Common Vulnerability Scoring System (CVSS) kockázat értékelési módszertant, hogy segítse a szervezeteket a különböző kockázat értékelések összehasonlításában. Léteznek más egységes kockázat értékelési módszerek is.

Kockázat elemzés - CVSS A Temporal és az Environmental vektor opcionális Rész vektorok értékei: 1-10 Csoport vektor értékei: 1-10

Kockázat elemzés CVSS metric groups Base metric group: a sérülékenységek azon alapvető sajátosságai, melyek sem az idő, sem pedig a felhasználói környezetben függvényében nem változnak meg. Értéke: 1-10 Temporal metric group:a sérülékenységek azon jellemzői, melyek az időben függvényében változhatnak, ám a környezeti beállítások, platformok szerint soha. Értéke: 1-10 Környezeti: a sérülékenységek azon karakterisztikumai, melyek az egyes felhasználói környezetre (platformok stb.) jellemzőek egyedi módon. Értéke: 1-10 http://www.first.org/cvss/cvss-guide.html

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés