Security Engineering - Prof. Dr. Christoph Karg

Transcription

Systemsicherheit
Lerneinheit 4: Security Engineering
Prof. Dr. Christoph Karg
Studiengang Informatik
Hochschule Aalen
Sommersemester 2015
19.5.2015
Einleitung
Einleitung
Diese Lerneinheit befasst sich mit dem Thema Security Engineering.
Sie gliedert sich in folgende Abschnitte:
• Entwicklungsprozess
• Strukturanalyse
• Schutzbedarfsermittlung
• Bedrohungs- und Risikoanalyse
• Sicherheitsarchitektur und Betrieb
• Sicherheitsgrundfunktionen und deren Realisierung
Prof. Dr. C. Karg (HS Aalen)
Systemsicherheit
Security Engineering
2 / 58
• Ziel: Aufbau von Systemen, die trotz Störungen, Unglücken und
vorsätzlichen Manipulationen zuverlässig arbeiten
• Entwicklung von Werkzeugen, Prozessen und Methoden um
. sichere Systeme zu entwerfen, zu implementieren und zu
testen
¨
. Systeme auf Anderungen
in ihrer Umgebung anzupassen
• Anforderungen: Interdisziplinäre Kenntnisse
. Kryptografie und IT-Sicherheit
. Fälschungssicherheit von Hardware
. Formale Methoden
. Betriebswirtschaftliche Kenntnisse
. Angewandte Psychologie
. Geltendes Recht
Systemsicherheit
3 / 58
Zusammenh¨
ange
Zusammenhänge
Richtlinien
Motivation
Mechanismen
Sicherheit
Systemsicherheit
4 / 58
Zusammenh¨
ange
Zusammenhänge (Forts.)
Zusammenspiel von vier Aspekten:
• Richtlinien: Was wollen wir erreichen?
• Mechanismen: Welche Mechanismen (Verschlüsselung,
Zugangskontrolle, Berechtigungen, . . . ) sind zur Umsetzung der
Richtlinien notwendig?
• Sicherheit: Wie zuverlässig sind die ausgewählten Mechanismen?
• Motivation: Welche Motivation haben
. die Mitarbeiter, die unsere Systeme betreuen und
bewachen?
. die Angreifer, die unsere Richtlinien umgehen wollen?
Systemsicherheit
Security Engineering Prozess
5 / 58
¨
Ubersicht
Problemstellung
Verbesserung
Anforderungen & Risiken
Anpassen
Planen
Bewertung
Maßnahmen
Pr¨
ufen
Ausf¨
uhren
Messung & Validierung
Implementierung
Funktionsf¨
ahiges System
Systemsicherheit
6 / 58
¨
Ubersicht
Security Engineering Prozess (Forts.)
1. Planen
. Festlegung der funktionalen Anforderungen des zu
entwickelnden Systems
. Festlegung der Einsatzumgebung
. Analyse und Bewertung der Bedrohungen und Risiken
. Formulierung der Sicherheitsanforderungen
. Entwurf der entsprechenden Sicherheitsarchitektur
2. Ausführen
. Realisierung der Architektur durch Bereitstellung der
passenden Maßnahmen, Dienste und Protokolle
Systemsicherheit
7 / 58
¨
Ubersicht
Security Engineering Prozess (Forts.)
3. Prüfen
. Evaluierung und Validierung des implementierten Systems
hinsichtlich der gestellten Anforderungen
4. Anpassen
. Durchführung von weiteren Verbesserungen auf Basis des
Evaluierungsergebnisses
Wichtig: die Aufrechterhaltung eines angestrebten Sicherheitsniveaus
erfordert einen dynamischen sich wiederholenden Prozess!
Systemsicherheit
8 / 58
Entwicklungsphasen
Entwicklungsphasen
Einsatzgebiet
Anforderungen
überprüfen, revidieren
Bedrohungsanalyse
Analyse
Risikoanalyse
ergänzen, spezifizieren
Sicherheitsstrategie
Sicherheitsgrund−
Modellierung
funktionen
Modell¨
uberpr¨
ufung
Sicherheitsmodell
Validierung
Grobentwurf
Integrationstest
Feinentwurf
Modul-Test
Implementierung
Code Inspektion
Mechanismen
SicherheitsArchitektur
Protokolle
Dienste
Aufrechterhaltung im laufenden Betrieb
Systemsicherheit
9 / 58
Prinzipien bei der Konzeption von IT-Systemen
•
•
•
•
•
Erlaubnisprinzip (fail-safe defaults)
Vollständigkeitsprinzip (complete mediation)
Prinzip der minimalen Rechte (need-to-know)
Prinzip der Benutzerakzeptanz (economy of mechanism)
Prinzip des offenen Entwurfs (open design)
Systemsicherheit
10 / 58
Erlaubnisprinzip
Erlaubnisprinzip (fail-safe defaults):
• Jeder Zugriff auf das IT-System ist grundsätzlich zunächst
verboten
• Ein Zugriffsrecht wird durch eine explizite Erlaubnis gewährt
Vorteil: Dieses Prinzip garantiert, dass bei einer Neuinstallation eines
Betriebssystems keine verdeckten Zugriffe stattfinden können
Systemsicherheit
11 / 58
Vollständigkeitsprinzip
Vollständigkeitsprinzip (complete mediation):
Jeder Zugriff ist auf seine Zulässigkeit zu u¨berprüfen
Bemerkungen:
¨
• Ein System, dass nur beim Offnen
einer Datei die
Zugriffsberechtigungen u¨berprüft, erfüllt dieses Prinzip nicht
• Das Vollständigkeitsprinzip erfordert, dass offene Dateien
gesperrt werden, wenn dem Benutzer das Zugriffsrecht entzogen
wird
Systemsicherheit
12 / 58
Prinzip der minimalen Rechte
Prinzip der minimalen Rechte (need-to-know):
Jedes Subjekt erhält genau die Zugriffsrechte, die es zur
Erfüllung seiner Aufgaben benötigt
Bemerkung: Systeme, in denen es einen Super-User gibt, dessen
Berechtigungen keinen Einschränkungen unterliegen, erfüllt dieses
Prinzip offensichtlich nicht
Systemsicherheit
13 / 58
Prinzip der Benutzerakzeptanz
Prinzip der Benutzerakzeptanz (economy of mechanism):
Die eingesetzten Sicherheitsmechanismen müssen einfach zu
benutzen sein und automatisch und routinemäßig
angewendet werden
Bemerkungen:
• Die Benutzerakzeptanz ist ein wichtiger Bestandteil der
Sicherheit des Gesamtsystems
• Durch Awareness Schulungen können Benutzer für Sicherheit
sensibilisiert werden
Systemsicherheit
14 / 58
Prinzip des offenen Entwurfs
Prinzip des offenen Entwurfs (open design):
• Die Verfahren und Mechanismen, die beim Entwurf eines
Systems Verwendung finden, müssen offen gelegt werden
• Die Sicherheit des Systems darf nicht von der Geheimhaltung
spezieller Verfahren abhängig sein (no security through
obscurity)
Systemsicherheit
15 / 58
BSI Sicherheitsprozess
• Die dargestellten Phasen eignen sich in erster Linie für die
Entwicklung und Implementierung von neuen IT-Systemen
• Herausforderung: Absicherung von bereits bestehenden
IT-Systemen
• Vorschlag des BSI: Sicherheitsprozess des
IT-Grundschutzhandbuchs
• Drei Ebenen
. Strategische Ebene
. Taktische Ebene
. Operative Ebene
• Rechtliche Grundlage: Teledienstegesetz
Systemsicherheit
16 / 58
Taktische
Ebene
Strategische
Ebene
BSI Sicherheitsprozess (Forts.)
Iniitierung des IT−Sicherheitsprozesses
Erstellen eines IT−Sicherheitskonzepts
Operative
Ebene
Umsetzung
Aufrechterhaltung im laufenden Betrieb
Systemsicherheit
17 / 58
BSI Sicherheitsprozess (Forts.)
Schritte des Sicherheitsprozesses:
• Initiierung des IT-Sicherheitsprozesses
. Erstellung einer Sicherheitsleitlinie
. Einrichtung des IT-Sicherheitsmanagements
• Erstellen eines IT-Sicherheitskonzepts
• Umsetzung
. Realisierung fehlender Maßnahmen in den Bereichen
Infrastruktur, Organisation, Personal, Technik,
Kommunikation und Notfallvorsorge
. Sensibilisierung für IT-Sicherheit
. Schulung zur IT-Sicherheit
• Aufrechterhaltung
Systemsicherheit
18 / 58
Erstellen eines IT-Sicherheitskonzepts
IT−Strukturanalyse
Schutzbedarfsfestlegung
niedriger Schutzbedarf
hoher Schutzbedarf
IT−Grundschutzanalyse
Bedrohungsanalyse
Risikoanalyse
Maßnahmen
Realisierungsplanung
Systemsicherheit
19 / 58
Erstellen eines IT-Sicherheitskonzepts (Forts.)
• IT-Strukturanalyse
. Erfassung der eingesetzten Hardware und Software
. Gruppenbildung
• Schutzbedarfsfestlegung
. niedriger Schutzbedarf
IT-Grundschutzanalyse
. hoher Schutzbedarf
Bedrohungsanalyse, Risikoanalyse
und Einleitung entsprechender Maßnahmen
Systemsicherheit
20 / 58
• IT-Grundschutzanalyse
. Modellierung nach IT-Grundschutz
. Basis-Sicherheitscheck mit Soll-Ist Vergleich
• Bedrohungsanalyse
. Erfassung der bedrohten Objekte
. Bestimmung der Grundbedrohungen
. Bestimmung der Gefährdungen
• Risikoanalyse
. Bewertung der bedrohten Objekte
. Bestimmung der Häufigkeit von Schäden
. Bestimmung von aktuellen Risiken
Systemsicherheit
21 / 58
• Maßnahmen
. Auswahl von Maßnahmen
. Bewertung der Maßnahmen
. Kosten-Nutzen-Betrachtung
. Restrisikoanalyse
• Realisierungsplanung
. Konsolidierung der Maßnahmen
. Umsetzungsplan
Systemsicherheit
22 / 58
Strukturanalyse
Strukturanalyse: Spezifikation
• Erfassung der funktionalen Eigenschaften des Systems, seiner
Einsatzumgebung und seines Verwendungszwecks
• Beschreibung der Systemkomponenten und -dienste sowie deren
Funktionalität
• Erstellung eines Pflichtenhefts, in dem funktionale
Anforderungen sowie Leistungs-, Zuverlässigkeits- und
Sicherheitsanforderungen festgehalten werden
Systemsicherheit
23 / 58
Strukturanalyse
Strukturanalyse: Netztopologieplan
•
•
•
•
Grafische Darstellung der Netzwerktopologie der IT-Infrastruktur
Erfassung der eingesetzten Komponenten und deren Vernetzung
Auflistung der Verbindungen nach außen
Gruppierung von ähnlichen Komponenten mit dem Ziel der
Komplexitätsreduzierung
• Für jede Komponente werden deren Eigenschaften festgehalten.
Ferner erhält sie eine eindeutige Identifikationsnummer
• Zuordnung von Anwendungen auf die IT-Systeme
• Ermittlung der IT-Systeme, die sicherheitskritische Daten
verarbeiten
Systemsicherheit
24 / 58
Schutzbedarfsermittlung
Ziel: Entscheidung u¨ber den Schutzbedarf einer Anwendung oder
eines IT-Systems im Hinblick auf Vertraulichkeit, Integrität und
Verfügbarkeit auf Basis möglicher Schäden und Beeinträchtigungen
Herausforderung: Schutzbedarf ist schwer quantifizierbar
Ansatz: Erstellung und Bewertung von Schadensszenarien auf Basis
von Schutzbedarfskategorien
Systemsicherheit
25 / 58
Schutzbedarfskategorien
Kategorien
niedrig bis mittel
hoch
sehr hoch
Erl¨
auterungen
Die Schadensauswirkungen sind begrenzt
und u¨berschaubar
Die Schadensauswirkungen können beträchtlich sein
Die Schadensauswirkungen können ein
existentiell bedrohliches, katastrophales
Ausmaß annehmen
Systemsicherheit
26 / 58
Schadenszenarien
Schadensszenarien
Problem: Eine quantitative Bewertung des Schutzbedarfs ist schwierig
Ansatz: Qualitative Bewertung auf Basis von Szenarien
Hilfestellung: Das BSI IT-Grundschutzhandbuch beinhaltet gängige
Schadensszenarien
Systemsicherheit
27 / 58
Schadenszenarien
Schadensszenarien (Forts.)
Schadensszenario 1: Verstoß gegen Gesetze, Vorschriften, Verträge
• Gängige Gesetze sind:
. Grundgesetz
. Bürgerliches Gesetzbuch
. Bundesdatenschutzgesetz/Datenschutzgesetze der Länder
. Urheberrechtsgesetz
• Vorschriften sind z.B. Dienstvorschriften, Verordnungen oder
Nutzungsbedingungen
• Verträge regeln unter anderem die Geheimhaltung von
Betriebsinternas
Systemsicherheit
28 / 58
Schadenszenarien
Schadensszenario 2: Beeinträchtigung des informationellen
Selbstbestimmungsrechts
• Unzulässige Erhebung personenbezogener Daten
• Unbefugte Weitergabe personenbezogener Daten
• Nutzung von personenbezogenen Daten zu einem anderen als
dem bei der Erhebung zulässigen Zweck
• Verfälschung von personenbezogenen Daten
Systemsicherheit
29 / 58
Schadenszenarien
Schadensszenario 3: Beeinträchtigung der persönlichen
Unversehrtheit
Relevante Systeme und Anwendungen:
¨
• Medizinische Uberwachungsund Diagnosesysteme
• Verkehrsleitsysteme
• Flugzeugsteuerungssysteme
Systemsicherheit
30 / 58
Schadenszenarien
Schadensszenario 4: Beeinträchtigung der Aufgabenerfüllung
• Fristversäumnisse durch verzögerte Bearbeitung von
Verwaltungsvorgängen
• Verspätete Lieferungen aufgrund verzögerter Bearbeitung von
Bestellungen
• Fehlerhafte Produktion aufgrund falscher Steuerungsdaten
Systemsicherheit
31 / 58
Schadenszenarien
Schadensszenarien 5: Schäden für die Reputation des
Unternehmens
• Schäden, die zu Ansehensverlust führen
• Gefährdung der gesellschaftlichen und wirtschaftlichen Stellung
eines Unternehmens
• Geschäftsschädigendes Verhalten
Systemsicherheit
32 / 58
Schadenszenarien
Schadensszenario 6: finanzielle Auswirkungen
• Unerlaubte Weitergabe von Forschungs- und
Entwicklungsergebnissen
• Manipulation von finanzwirksamen Daten in einem
Abrechnungssystem
• Ausfall eines Produktivsystems
• Ausfall eine Webportals
Systemsicherheit
33 / 58
Schutzbedarf
Festlegung des Schutzbedarfs
• Vorgehen: Beantworten von Fragen des Typs Was wäre wenn
”
. . .“
• Das BSI Grundschutzhandbuch liefert Hilfestellungen zur
Bewertung der einzelnen Szenarien
• Der ermittelte Schutzbedarf muss mit dem Ist-Zustand der
IT-Infrastruktur verglichen werden
Systemsicherheit
34 / 58
Schutzbedarf
Niedrige Einstufung
Einstufung: niedrig bis mittel
Szenario
1
2
Schaden und Folgen
Verstöße gegen Gesetze haben nur geringfügige
Konsequenzen. Es kommt nur zu geringfügigen
Vertragsverletzungen
Es liegt eine geringe tolerierbare Beeinträchtigung des informationellen Selbstbestimmungsrechts vor
Ein Missbrauch personenbezogener Daten hat
nur geringfügige Auswirkungen auf die gesellschaftliche Stellung oder die wirtschaftlichen
Verhältnisse des Betroffenen
Systemsicherheit
35 / 58
Schutzbedarf
Niedrige Einstufung (Forts.)
Einstufung: niedrig bis mittel
Szenario
3
4
5
6
Schaden und Folgen
Es gibt keine Beeinträchtigung der persönlichen
Unversehrtheit
Die Beeinträchtigung der Aufgabenerfüllung ist
tolerabel. Die maximal tolerierbare Ausfallzeit
ist größer als 24 Stunden
Es ist eine geringe Beeinträchtigung des Ansehens und Vertrauens zu erwarten
Der finanzielle Schaden ist tolerabel
Systemsicherheit
36 / 58
Schutzbedarf
Sehr hohe Einstufung
Einstufung: sehr hoch
Szenario
1
2
Schaden und Folgen
Es liegt ein fundamentaler Verstoß gegen Gesetze oder Richtlinien vor
Es kommt zu Vertragsverletzungen, die mit
sehr hohen Haftungsschäden verbunden sind
Es kann zu einer großen Beeinträchtigung
des informationellen Selbstbestimmungsrechts
kommen. Ein möglicher Missbrauch führt für
die betreffende Person zum gesellschaftlichen
oder finanziellen Ruin
Systemsicherheit
37 / 58
Schutzbedarf
Sehr hohe Einstufung (Forts.)
Einstufung: sehr hoch
Szenario
3
4
5
6
Schaden und Folgen
Es sind gravierende Beeinträchtigungen der
persönlichen Unversehrtheit möglich. Es besteht Gefahr für Leib und Leben
Die Beeinträchtigung der Aufgabenerfüllung
wird als nicht tolerabel eingeschätzt. Die maximal tolerierbare Ausfall liegt unter 1 Stunde
Es ist eine landesweite oder internationale Beeinträchtigung des Ansehens und Vertrauens
möglich
Der finanzielle Schaden ist existenzbedrohend
Systemsicherheit
38 / 58
Schutzbedarf
Bedrohungsanalyse
• Ziel: Systematische Ermittlung der organisatorischen,
technischen und benutzerbedingten Ursachen für Bedrohungen
• Herausforderung: vollständige Erfassung der Bedrohungen eines
Systems
• Voraussetzung: fundierte Kenntnisse u¨ber Sicherheitsprobleme
und Schwachstellen von Betriebssystemen,
Netzwerkkomponenten, . . .
• Unterstützung der methodischen Vorgehensweise durch
. Bedrohungsmatrizen
. Bedrohungsbäume
Systemsicherheit
39 / 58
Schutzbedarf
Bedrohungsmatrix
• Eine Bedrohungsmatrix stellt die Beziehung zwischen möglichen
Bedrohungen und Subjekten als potentielle Gefahrenquelle dar
• Die Zeilen enthalten die Bedrohungskategorien
. Bedrohungen durch externe Angriffe
. Bedrohungen der Datenintegrität und der
Informationsvertraulichkeit
. Bedrohungen der Verfügbarkeit und der Ressourcennutzung
. Abstreiten durchgeführter Aktionen
. Missbrauch erteilter Berechtigungen
• Die Spalten enthalten die potentiellen Auslöser der Bedrohungen
. Administratoren
. Programmierer
. Interne Benutzer
. Externe Benutzer
Systemsicherheit
40 / 58
Schutzbedarf
Beispiel: Bedrohungsmatrix
Bedrohung
Angriff
(extern)
Angriff
(intern)
Verfügbarkeit
Programmierer Benutzer
(intern)
Denial of Ser- Beobachten
vice
der Passworteingabe
Auslesen des
Einschleusen
Hauptspeichers von Malware
SpeicherbeStart von Pronutzung
zessen
Systemsicherheit
Benutzer
(extern)
-
Passwort
knacken
Erzeugen von
Netzwerkverkehr
41 / 58
Schutzbedarf
Bedrohungsbaum
• Die Wurzel des Baums repräsentiert das Angriffsziel
• Die internen Knoten stehen für die Teilaufgaben, die für einen
erfolgreichen Angriff durchgeführt werden müssen
• Arten von Verknüpfungen
. OR-Knoten
eine der in den Kindknoten enthaltenen
Angriffe muss ausgeführt werden
. AND-Knoten
alle in den Kindknoten enthaltenen
Angriffe müssen ausgeführt werden
. Die Pfade von der Wurzel zu den Blättern stellen
verschiedene Angriffsarten dar, die letztlich das in der
Wurzel festgelegte Ziel erreichen
. Bedrohungsbäume werden auch Angriffsbäume genannt
Systemsicherheit
42 / 58
Schutzbedarf
Beispiel: Bedrohungsbaum
masquerade
attack
attack target
decision node
local
login
attack step
remote
login
AND
beyond technical scope
valid
login
possession of
the device
login
required
without
authentication
stealing
threaten
owner
blackmail
owner
appropriation
AND
auth data
required
auth token
required
without user’s
assistance
forgery
stealing
without
biometrics
with user’s
assistance
threaten
owner
blackmail
owner
appropriation
lost
device
unattended
device
threaten
owner
blackmail
owner
forgery
disposed
device
Systemsicherheit
with
biometrics
43 / 58
Risikoanalyse
Risikobewertung
• Formel: R = S × E , wobei
. S Höhe des Schadens
. E Eintrittswahrscheinlichkeit der Bedrohung
• Arten von Schäden
. Primärer Schaden
Personalkosten, Kosten des
Produktionsausfalls, Wiederbeschaffungskosten
. Sekundärer Schaden
Vertrauens- oder Imageverlust bei
Kunden oder Geschäftspartnern
• Bestimmung der Eintrittswahrscheinlichkeit E
. Komplexität des Angriffs
. Nutzen des Angriffs
• Um E besser abschätzen zu können, werden Penetrationtests
eingesetzt
• Einsatz von Angriffsbäumen zur Berechnung der Risiken
Systemsicherheit
44 / 58
Risikoanalyse
Beispiel: Bedrohungsbaum
sniffing of a
user password
Risk: very high
MAX
spy out the
unencrypted
access to stored
terminal input
network transmission
password data
Risk: low
Risk: very high
Risk: high
Systemsicherheit
45 / 58
Risikoanalyse
Empfehlungen des BSI
• Die Durchführung einer Risikoanalyse ist aufwändig und
erfordert großen technischen und organisatorischen Sachverstand
• Das BSI sieht aus diesem Grund die Risikoanalyse als ergänzende
Maßnahme
• Laut BSI sollte eine Risikoanalyse nur die Systemteile
durchgeführt werden, deren Sicherheitsanforderungen hoch oder
sehr hoch sind
• Für Systemteile mit niedrigen oder mittleren
Sicherheitsanforderungen empfiehlt das BSI
Standard-Sicherheitsmaßnahmen
Systemsicherheit
46 / 58
Penetrationtests
Penetrationtests
• Penetrationtests werden durchgeführt, um die Erfolgsaussichten
eines vorsätzlichen Angriffs abschätzen zu können
• Vorgehen: Simulation des Angriffsverhaltens eines Innen- oder
Außentäters
• Zwei Ansätze:
. Whitebox-Ansatz
der Angreifer hat detaillierte
Kenntnisse u¨ber die interne Struktur, Anwendungen und
Dienste
. Blackbox-Ansatz
der Angreifer hat keine oder wenig
Kenntnisse u¨ber die Internas des Unternehmens
Systemsicherheit
47 / 58
Penetrationtests
Aufbau eines Penetrationtests
Typischerweise umfasst ein Penetrationtest folgende Arten von
Angriffen:
• Erraten von Passwörtern durch Wörterbuchattacken
• Aufzeichnen und Manipulieren des Netzwerkverkehrs
• Einspielen gefälschter Datenpakete
• Ausnutzen bekannter Software-Schwachstellen
Systemsicherheit
48 / 58
Penetrationtests
Vorgehensweise
1. Beschaffung von frei zugänglichen Informationen u¨ber das
Zielobjekt
2. Ermittlung der angeboten Netzwerkdienste unter Einsatz von
Portscannern oder ähnlichen Werkzeugen
3. Einsatz von Fingerprinting, um Informationen u¨ber eingesetzte
Betriebsysteme, Webserver, Webbrowser und sonstige
Anwendungen zu gewinnen
4. Zugriff auf Schwachstellendatenbanken oder
Internet-Ressourcen, um bekannte Schwachstellen zu ermitteln
5. Ausnutzen von identifizierten Schwachstellen, um systematisch
unberechtigten Zugriff auf das Zielsystem zu erlangen
Systemsicherheit
49 / 58
Sicherheitsarchitektur und Betrieb
Sicherheitsstrategie und -modell
• Aus dem Ergebnis der Sicherheitsanalyse und der
Risikobewertung werden die notwendigen Maßnahmen abgeleitet,
um das IT-System vom aktuellen Ist-Zustand in den
gewünschten Soll-Zustand zu u¨berführen
• Die Maßnahmen werden in einer Sicherheitsstrategie möglichst
präzise formuliert
• Man kann auf Kriterienkataloge des BSI oder der EU (ITSEC)
zurückgreifen
• Auf Basis der Sicherheitstrategie wird ein Sicherheitsmodell
entworfen
• Die Implementierung setzt die Vorgaben des Modells um
• Während und nach der Implementierung muss deren Korrektheit
validiert werden
Systemsicherheit
50 / 58
Sicherheitsgrundfunktionen
Sicherheitsgrundfunktionen sind gängige Maßnahmen zur Abwehr von
Bedrohungen
Gängige Grundfunktionen sind:
• Identifikation und Authentifikation
• Rechteverwaltung
• Rechteprüfung
• Beweissicherung
• Wiederaufbereitung
• Gewährleistung der Funktionalität
Systemsicherheit
51 / 58
Identifikation und Authentifikation
Identifikation und Authentifikation
• Ziel: Abwehr von Maskierungsangriffen und unautorisierten
Zugriffen
• Anforderungen:
. Subjekte müssen eindeutig identifizierbar sein
. Subjekte müssen sich authentifizieren, um auf bestimmte
Dienste zuzugreifen
• Die Authentifizierung erfolgt mittels Passwörtern oder
biometrischen Eigenschaften
• Maßnahmen zur Abwehr systematischer Angriffsversuche sind
beispielsweise Protokollierung von Verstößen sowie Sperren des
Accounts bei mehrmaligem gescheiterten Anmeldeversuchen
Systemsicherheit
52 / 58
Rechteverwaltung
Rechteverwaltung
• Basis für die Abwehr von Bedrohung aufgrund unautorisierter
Zugriffe
• Ansatz: Der Zugriff eines Subjekts auf ein Objekt wird mit
Berechtigungen geregelt
• Die Vergabe von Zugriffsberechtigungen muss dynamisch sein
• In der Regel wird ein rollenbasiertes Konzept angewandt, bei
dem ein Subjekt die Berechtigungen erhält, die seinem
Aufgabengebiet zugeordnet sind
• Owner Prinzip: der Eigentümer einer Datei darf die
Zugriffsrechte vergeben
Systemsicherheit
53 / 58
Rechtepr¨
ufung
Rechtepru¨fung
• Die Kontrolle von Zugriffsberechtigung ist notwendig, um
unautorisierte Zugriffe zu verhindern
• Vollständigkeitsprinzip: jeder Zugriff soll kontrolliert werden
• Aber: vollständige Kontrolle ist sehr aufwändig
• Technische Umsetzung: File Handles oder File Descriptors, die
den Zugriff legitimieren
• Ausnahmen der Zugriffsregeln müssen dokumentiert werden
Systemsicherheit
54 / 58
Beweissicherung
Beweissicherung
• Ziel: Sicherung von Beweisen
. um die nachträgliche Analyse von Systemen zu ermöglichen,
bei denen Angriffe stattgefunden haben
. um zu verhindern, dass Subjekte ausgeführte Aktionen im
Nachhinein abstreite
• Es ist festzulegen, welche Ereignisse protokolliert werden und
welche Informationen dabei zu erfassen sind
• Gängige protokollierte Informationen sind:
. Identität des Subjekts
. Ausgeführte Operationen
. Dateizugriffe des Subjekts
• Wichtig: es muss festgelegt werden, wer auf die Log-Dateien
zugreifen darf
Systemsicherheit
55 / 58
Wiederaufbereitung
Wiederaufbereitung
• Ziel: Bereinigung von gemeinsamen, aber exklusiv benutzbaren
Betriebsmitteln zur Verhinderung von Angriffen auf die
Vertraulichkeit
• Gemeinsam benutzte Betriebsmittel:
. Hauptspeicher eines Computers
. Festplattenspeicher und Netzwerklaufwerke
. Gemeinsam benutzte Laptops
• Bei Freigabe eines Betriebsmittels muss geregelt werden, wie es
für die nächste Benutzung wiederaufbereitet wird
Systemsicherheit
56 / 58
Gew¨
ahrleistung der Funktionalit¨
at
Gewährleistung der Funktionalität
• Ziel: Abwehr von Denial-Of-Service Angriffen
• Ansatz: Festlegung, welche Funktionalitäten von welchen
Systemkomponenten mit welcher Priorität gewährleistet ist
• Die Bereitstellung von redundanten Systemteilen verbessert die
Verfügbarkeit
• Durch einen Notfallplan werden Prozesse festgelegt, die bei
einem Störfall den operativen Betrieb aufrecht erhalten oder
einen Notfallbetrieb ermöglichen
Systemsicherheit
57 / 58
Zusammenfassung
Zusammenfassung
• Security Engineering beschäftigt sich mit der Entwicklung von
Methodiken und Prozessen zur Etablierung von
Sicherheitsmechanismen für IT-Infrastrukturen
• Der Entwicklungsprozess besteht aus den Phasen Planen,
Ausführen, Prüfen und Anpassen
• Das Grundschutzhandbuch des BSI liefert bewährte Ansätze für
das Security Engineering
• Security Engineering ist ein fortlaufender Prozess
Systemsicherheit
58 / 58

Security Engineering - Prof. Dr. Christoph Karg

Transcription

Similar documents

Pressemitteilung ISH Frankfurt MÃ¤rz 2015

Info-Cubes Abstracts

Profil Patrick Sauer IT

Anschreiben. - Blog der HG Aalen Wasseralfingen

PRESSEMITTEILUNG GefÃ¤hrdet das BSI die Industrie 4.0?

_ Fahrzeugentwicklung im Umbruch

zum Download

asstec news 03/2015