Phenquestions
Zabezpečené sú informácie a softvérové balíčky (aplikácie a dokumenty). Informácie sú správy, ktoré sú užitočné pre kohokoľvek. „Informácie“ sú nejasné slová. Kontext, v ktorom sa používa, dáva zmysel. Môže to znamenať novinky, prednášky, výukové programy (alebo lekcie) alebo riešenia. Softvérový balík je zvyčajne riešením nejakého problému alebo s ním súvisiacich problémov. V minulosti boli všetky nehovorené informácie písané na papieri. Dnes je možné softvér považovať za podmnožinu informácií.
Softvér sa môže nachádzať v počítači alebo sa môže prenášať z jedného počítača do druhého. Súbory, dáta, e-maily, zaznamenaný hlas, zaznamenané videá, programy a aplikácie sa nachádzajú v počítači. Počas pobytu v počítači môže byť poškodený. Počas prepravy môže byť stále poškodený.
Akékoľvek zariadenie s procesorom a pamäťou je počítač. V tomto článku teda ide o kalkulačku, smartphone alebo tablet (napr.g., iPad) je počítač. Každé z týchto zariadení a ich sieťové prenosové médium má softvér alebo softvér na ceste, ktorý by mal byť chránený.
Výsady
Užívateľovi môže byť udelené oprávnenie na spustenie súboru v počítači. Užívateľ môže dostať oprávnenie čítať kód súboru v počítači. Užívateľovi môže byť udelené oprávnenie upravovať (zapisovať) kód súboru v počítači. Používateľ môže dostať jedno, dve alebo všetky tri tieto privilégiá. Pre operačný systém alebo databázu existujú ďalšie oprávnenia. Používatelia majú v systéme rôzne úrovne alebo úrovne oprávnení.
Vyhrážky
Základy softvérových hrozieb
Na ochranu softvéru musíte poznať jeho hrozby. Softvér musí byť chránený pred neoprávnenými osobami, ktoré majú prístup k jeho údajom. Musí byť chránený proti nezákonnému použitiu (napr. Spôsobiť škodu). Softvér by mal byť chránený proti prezradeniu súperom. Softvér by nemal byť poškodený. Softvér by nemal byť odstránený neúmyselne. Softvér by nemal byť narušený. Softvér by nemal mať žiadne úpravy, ktoré nie sú požadované. Dáta (softvér) by nemali byť kontrolované bezdôvodne, najmä neoprávnenými osobami. Softvér by sa nemal kopírovať (pirátsky).
Jedna alebo viac z týchto základní, ktorých výsledkom je konkrétny typ klasickej hrozby.
Triedy softvérového ohrozenia
Spoofing Attack
Ide o situáciu, keď osoba (alebo program) úspešne zastupuje inú osobu (alebo program) v nejakej činnosti softvéru. To sa deje pomocou nepravdivých údajov, aby sa získala nelegálna výhoda.
Odmietnutie
V tejto situácii niekto urobí niečo zlé a odmietne, že to nie je ten, kto to urobil. Osoba môže na vykonanie nesprávnej veci použiť podpis inej osoby.
Porušenie údajov
Za porušenie ochrany údajov sa považuje, keď sa bezpečné alebo súkromné informácie zámerne alebo neúmyselne uvoľnia do prostredia, ktorému nedôverujete.
Útok odmietnutia služby
Softvérová počítačová sieť obsahuje softvér bežiaci v počítačoch v sieti. Každý používateľ zvyčajne používa svoj počítač pred sebou a zvyčajne požaduje služby z iných počítačov v sieti. Zločinný používateľ sa môže rozhodnúť, že server zaplaví nadbytočnými požiadavkami. Server má obmedzený počet požiadaviek, ktoré dokáže spracovať za určité obdobie. V tejto schéme zaplavenia nemôžu legitímni používatelia používať server tak často, ako by mali, pretože server je zaneprázdnený reakciou na žiadosti zločinca. Toto preťažuje server a dočasne alebo na neurčito prerušuje služby servera. V priebehu toho hostiteľ (server) spomalí činnosť legitímnych používateľov, zatiaľ čo páchateľ vykoná svoju neplechu, ktorá však zostáva nezistená, pretože legitímni používatelia, ktorí stoja v rade a čakajú na službu, nemôžu vedieť, o čo ide server. Dobrým používateľom je služba odmietnutá, zatiaľ čo útok pokračuje.
Eskalácia privilégií
Rôzni používatelia operačného systému alebo aplikácie majú odlišné privilégiá. Niektorí používatelia teda získajú zo systému väčšiu hodnotu ako ostatní. Využitie softvérovej chyby alebo dohľadu nad konfiguráciou na získanie zvýšeného prístupu k zdrojom alebo neoprávneným informáciám je Privilege Escalation.
Vyššie uvedené klasifikačné schémy môžu byť použité na vyvolanie počítačového vírusu a červov.
Pre softvérové útoky je možné použiť jednu alebo viac vyššie uvedených klasifikačných schém, ktoré zahŕňajú: krádež duševného vlastníctva, poškodenie databázy, krádež identity, sabotáž a vydieranie informácií. Ak niekto použije jednu alebo viac schém na deštruktívnu úpravu, webová stránka tak, aby zákazníci tejto stránky stratili dôveru, je to sabotáž. Vydieranie informácií je krádež počítača spoločnosti alebo nepravdivé získanie tajných informácií o spoločnosti. Odcudzený počítač môže obsahovať tajné informácie. To môže viesť k ransomvéru, pri ktorom by zlodej požiadal o platbu výmenou za odcudzený majetok alebo informácie.
Ochrana osobných údajov
Keď je niečo pre vás citlivé alebo vo svojej podstate zvláštne, potom je to pre vás súkromné. To platí aj pre skupinu ľudí. Jednotlivec sa musí vyjadrovať selektívne. Aby sa dosiahla takáto selektivita, musí si jednotlivec naplánovať alebo naplánovať informácie o sebe; to je súkromie. Skupina ľudí sa musí vyjadrovať selektívne. Aby sa dosiahla takáto selektivita, musí sa skupina naplánovať alebo naplánovať informácie o sebe; to je súkromie. Jednotlivec sa musí chrániť selektívne. Na dosiahnutie takejto selektívnej ochrany musí jednotlivec chrániť seba alebo selektívne chrániť informácie o sebe; teda súkromie. Skupina ľudí sa musí chrániť selektívne. Na dosiahnutie takejto selektívnej ochrany musí skupina chrániť seba alebo selektívne chrániť informácie o sebe; teda súkromie.
Identifikácia a autentifikácia
Keď cestujete do zahraničia, dostanete sa do prístavu tejto krajiny. V prístave vás policajt požiada, aby ste sa identifikovali. Predložíte cestovný pas. Policajt bude z pasu poznať váš vek (od dátumu narodenia), vaše pohlavie a vaše povolanie a pozrie sa na vás (vašu tvár); to je identifikácia. Policajt porovná vašu skutočnú tvár a fotografiu v pase. Odhadne tiež váš vek podľa toho, čo je v pase, aby zistil, či ste to vy.
Pozerať sa na seba a spájať s vami svoj vek, pohlavie a povolanie je identifikácia. Overenie, či je vaša skutočná tvár a vaša fotografia rovnaká, a odhad, či sa vaša prezentácia zhoduje s vašim vekom, je overenie. Identifikácia je priradenie osoby alebo niečoho k určitým atribútom. Označenie totožnosti je tiež identifikácia. Autentifikácia je akt dokázania, že identita (identifikácia) je pravdivá. Inými slovami, autentifikácia je akt preukázania tvrdenia.
Pri výpočte je najbežnejším spôsobom overovania totožnosti použitie hesla. Napríklad server má veľa používateľov. Pri prihlásení uvediete svoju totožnosť (identifikujete sa) svojím používateľským menom. Svoju totožnosť preukazujete svojím heslom. Vaše heslo by malo byť známe iba vám. Autentifikácia môže ísť ďalej; položením otázky, napríklad „V ktorom meste ste sa narodili?“
Bezpečnostné ciele
Ciele bezpečnosti v oblasti informácií sú dôvernosť, integrita a dostupnosť. Tieto tri funkcie sú známe ako triáda CIA: C pre dôvernosť, I pre integritu a A pre dostupnosť.
Dôvernosť
Tieto informácie nesmú byť sprístupnené neoprávneným osobám, neoprávneným osobám alebo neoprávneným procesom; toto je dôvernosť informácií v informačnej bezpečnosti (ako aj v softvérovej bezpečnosti). Kradnutie hesiel alebo odosielanie citlivých e-mailov nesprávnej osobe je narušené. Dôvernosť je súčasť ochrany súkromia, ktorá chráni informácie pred neoprávnenými osobami alebo neoprávnenými osobami alebo procesmi.
Bezúhonnosť
Informácie alebo údaje majú životný cyklus. Inými slovami, informácie alebo údaje majú začiatočný a konečný čas. V niektorých prípadoch musia byť informácie (alebo údaje) po skončení životného cyklu (legálne) vymazané. Integrita sa skladá z dvoch funkcií, ktorými sú: 1) údržba a zabezpečenie presnosti informácií (alebo údajov) počas celého životného cyklu a 2) úplnosť informácií (alebo údajov) počas celého životného cyklu. Informácie (alebo údaje) teda nesmú byť redukované alebo upravované neoprávneným alebo nezisteným spôsobom.
Dostupnosť
Aby každý počítačový systém slúžil svojmu účelu, musia byť v prípade potreby k dispozícii informácie (alebo údaje). To znamená, že počítačový systém a jeho prenosové médiá musia fungovať správne. Dostupnosť môže byť ohrozená aktualizáciami systému, poruchami hardvéru a výpadkami napájania. Dostupnosť môžu narušiť aj útoky odmietnutia služby.
Nepopieranie
Keď niekto použije vašu totožnosť a váš podpis na podpísanie zmluvy, ktorú nikdy nesplnil, neodmietnutie je také, keď nemôžete na súde úspešne poprieť, že ste zmluvu nevytvorili.
Na konci zmluvy musí strana ponúkajúca službu ponúknuť túto službu; platiaca strana musela uskutočniť platbu.
Aby ste pochopili, ako sa dá neodmietnuť uplatnenie na digitálnu komunikáciu, musíte najskôr poznať význam kľúča a význam digitálneho podpisu. Kľúč je kúsok kódu. Digitálny podpis je algoritmus, ktorý používa kľúč na vytvorenie iného kódu, ktorý sa prirovnáva k písomnému podpisu odosielateľa.
V digitálnej bezpečnosti je neodmietnutie zabezpečené (nie nevyhnutne zaručené) digitálnym podpisom. V softvérovej bezpečnosti (alebo v informačnej bezpečnosti) má nevyvrátenie súvislosť s integritou údajov. K utajeniu prispieva aj šifrovanie údajov (ktoré ste možno počuli) v kombinácii s digitálnym podpisom.
Cieľmi bezpečnosti v oblasti informácií sú dôvernosť, integrita a dostupnosť. Nepopierateľnosť je však ďalšou funkciou, ktorú musíte brať do úvahy pri práci s informačnou bezpečnosťou (alebo softvérovou bezpečnosťou).
Odpovede na hrozby
Na hrozby je možné odpovedať jedným alebo viacerými z nasledujúcich troch spôsobov:
- Zníženie / zmiernenie: Jedná sa o implementáciu bezpečnostných opatrení a protiopatrení na elimináciu slabých miest alebo blokovanie hrozieb.
- Postúpenie / prevod: To predstavuje bremeno ohrozenia iného subjektu, napríklad poisťovacej spoločnosti alebo spoločnosti poskytujúcej outsourcing.
- Prijatie: Týmto sa hodnotí, či náklady na protiopatrenie prevyšujú možné náklady na stratu v dôsledku hrozby.
Riadenie prístupu
V informačnej bezpečnosti, ktorej súčasťou je softvérové zabezpečenie, je kontrola prístupu mechanizmom, ktorý zaisťuje, že iba oprávnení používatelia majú prístup k chráneným prostriedkom v danom systéme s ich rôznymi zaslúženými oprávneniami.
Aktuálne riešenie informačnej bezpečnosti
Aktuálnym a populárnym spôsobom zabezpečenia informácií je vynútenie kontroly prístupu. Patria sem opatrenia, ako napríklad overenie vstupu do aplikácie, inštalácia antivírusu, použitie brány firewall v lokálnej sieti a použitie protokolu Transport Layer Security.
Ak očakávate dátum ako vstup do aplikácie, ale používateľ zadá číslo, musí byť takýto vstup odmietnutý. To je overenie vstupu.
Antivírus nainštalovaný v počítači zabraňuje vírusom v poškodení súborov v počítači. To pomáha pri dostupnosti softvéru.
V záujme ochrany siete je možné vytvoriť pravidlá na monitorovanie a riadenie prichádzajúcej a odchádzajúcej premávky miestnej siete. Ak sú tieto pravidlá implementované ako softvér, v miestnej sieti to je brána firewall.
Transport Layer Security (TLS) je bezpečnostný protokol určený na uľahčenie ochrany súkromia a údajov pri prenose cez internet. To zahŕňa šifrovanie komunikácie medzi odosielajúcim a prijímajúcim hostiteľom.
Zabezpečenie informácií vynútením kontroly prístupu sa nazýva Zabezpečovací softvér, ktorý sa líši od Zabezpečenia softvéru, ako je vysvetlené nižšie. Oba prístupy majú rovnaký cieľ, ale líšia sa.
Správne zabezpečenie softvéru
Aplikácie, tak ako sú dnes písané, majú veľa softvérových zraniteľností, ktoré si programátori za posledných 20 rokov uvedomovali čoraz viac. Väčšina útokov sa uskutočňuje využitím týchto slabých miest ako prekonaním alebo obídením kontroly prístupu.
Vyrovnávacia pamäť je ako pole, ale bez stanovenej dĺžky. Keď programátor zapisuje do medzipamäte, je možné nevedomky prepísať jej dĺžku. Táto chyba zabezpečenia je pretečením medzipamäte.
Softvér dnes prešiel bezpečnostnými dôsledkami - vrátane implementačných chýb, ako sú pretečenia vyrovnávacej pamäte a chyby v dizajne, ako napríklad nekonzistentné spracovanie chýb. To sú zraniteľné miesta.
Možno ste už počuli o cheatoch v počítačovom jazyku, ako sú cheaty PHP, Cheaty Perl a Cheaty C ++. To sú zraniteľné miesta.
Softvérová bezpečnosť na rozdiel od bezpečnostného softvéru prekonáva tieto chyby zabezpečení napísaním obranného kódu, kde by sa zraniteľnostiam zabránilo. Počas používania aplikácie, pretože sa objavuje viac slabých miest, by vývojári (programátori) mali hľadať spôsoby, ako tieto slabé miesta opätovne kódovať.
Hrozbu, útok odmietnutia služby, nemôže zastaviť kontrola prístupu, pretože na to, aby to páchateľ mohol urobiť, musí mať už prístup k hostiteľovi (serveru). Dá sa to zastaviť zahrnutím niektorých interných softvérov, ktoré monitorujú, čo používatelia robia v hostiteľovi.
Softvérová bezpečnosť je robustný dizajn zvnútra, ktorý sťažuje softvérové útoky. Softvér by mal byť chránený sám osebe a minimálne by nemal byť zraniteľný. Týmto spôsobom sa prevádzka zabezpečenej siete stáva ľahšou a nákladovo efektívnejšou.
Softvérová bezpečnosť navrhuje obranný kód z aplikácie, zatiaľ čo bezpečnostný softvér vynucuje (navrhuje) kontrolu prístupu. Niekedy sa tieto dva problémy prekrývajú, ale často nie.
Softvérová bezpečnosť je už dosť vyvinutá, aj keď sa stále vyvíja, nie je taká vyvinutá ako bezpečnostný softvér. Zlí hackeri dosahujú svoje ciele viac využitím slabých miest v softvéri ako prekonaním alebo obídením bezpečnostného softvéru. Dúfame, že v budúcnosti bude informačná bezpečnosť predstavovať skôr softvérovú bezpečnosť ako bezpečnostný softvér. Zatiaľ musí softvérové zabezpečenie aj bezpečnostný softvér pokračovať.
Softvérová bezpečnosť nebude skutočne efektívna, ak sa na konci vývoja softvéru nevykoná dôkladné testovanie.
Programátori musia byť vzdelaní v programovaní obranných kódov. Používatelia sa tiež musia vzdelávať v obrannom používaní aplikácií.
V oblasti softvérovej bezpečnosti musí vývojár zabezpečiť, aby používateľ nezískal viac privilégií, ako by si zaslúžil.
Záver
Softvérová bezpečnosť je navrhovanie aplikácií s obranným kódovaním proti zraniteľnostiam, ktoré sťažujú softvérové útoky. Bezpečnostný softvér je na druhej strane výroba softvéru, ktorý vynucuje kontrolu prístupu. Softvérová bezpečnosť sa stále vyvíja, ale pre informačnú bezpečnosť je sľubnejšia ako bezpečnostný softvér. Už sa používa a jeho popularita rastie. V budúcnosti budú potrebné obe, ale so softvérom bude potrebné viac zabezpečenia.
