Phenquestions
Zabezpečené jsou informace a softwarové balíčky (aplikace a dokumenty). Informace je jakákoli zpráva užitečná pro kohokoli. „Informace“ je vágní slovo. Kontext, ve kterém se používá, dává svůj význam. Může to znamenat novinky, přednášku, výukový program (nebo lekci) nebo řešení. Softwarový balíček je obvykle řešením nějakého problému nebo souvisejících problémů. V minulosti byly všechny nemluvené informace psány na papír. Dnes lze software považovat za podmnožinu informací.
Software může být uložen v počítači nebo přenášen z jednoho počítače do druhého. Soubory, data, e-maily, zaznamenaný hlas, nahraná videa, programy a aplikace jsou uloženy v počítači. Při pobytu v počítači může dojít k jeho poškození. Během přenosu může dojít k poškození.
Jakékoli zařízení s procesorem a pamětí je počítač. V tomto článku tedy kalkulačka, smartphone nebo tablet (např.G., iPad) je počítač. Každé z těchto zařízení a jejich síťová přenosová média mají software nebo software na cestě, který by měl být chráněn.
Výsady
Uživateli může být uděleno oprávnění ke spuštění souboru v počítači. Uživateli může být uděleno oprávnění číst kód souboru v počítači. Uživateli může být uděleno oprávnění upravovat (zapisovat) kód souboru v počítači. Uživateli může být uděleno jedno, dvě nebo všechny tři z těchto oprávnění. K operačnímu systému nebo databázi existují další oprávnění. Uživatelé mají v systému různé úrovně nebo úrovně oprávnění.
Hrozby
Základy softwarových hrozeb
K ochraně softwaru musíte znát jeho hrozby. Tento software musí být chráněn před neoprávněnými osobami, které přistupují k jeho údajům. Musí být chráněno před nezákonným používáním (například ke škodě). Software by měl být chráněn proti vyzrazení soupeřům. Software by neměl být poškozen. Software by neměl být odstraněn neúmyslně. Software by neměl být narušen. Software by neměl mít žádné úpravy, pro které není vyžadováno. Data (software) by neměla být kontrolována bezdůvodně, zejména neoprávněnými osobami. Software by neměl být kopírován (pirátsky).
Jedna nebo více z těchto základen, což má za následek určitý typ klasické hrozby.
Třídy softwarové hrozby
Spoofing Attack
Jedná se o situaci, kdy osoba (nebo program) úspěšně zastupuje jinou osobu (nebo program) v nějaké softwarové aktivitě. To se provádí pomocí falešných dat, aby se získala nelegální výhoda.
Odmítnutí
To je situace, kdy někdo dělá něco špatně a odmítá, že to není on, kdo to udělal. Osoba může použít podpis jiné osoby, aby udělala špatnou věc.
Únik dat
O narušení dat jde, když jsou zabezpečené nebo soukromé informace úmyslně nebo neúmyslně uvolněny do prostředí, které není důvěryhodné.
Útok odmítnutí služby
Softwarová počítačová síť obsahuje software spuštěný v počítačích v síti. Každý uživatel obvykle používá svůj počítač před sebou a obvykle požaduje služby z jiných počítačů v síti. Zločinný uživatel se může rozhodnout zaplavit server nadbytečnými požadavky. Server má omezený počet požadavků, které může zpracovat po dobu trvání. V tomto schématu zaplavení nemohou legitimní uživatelé používat server tak často, jak by měli, protože server je zaneprázdněn odpovědí na požadavky zločince. To přetíží server a dočasně nebo na neurčito přeruší služby serveru. V průběhu toho hostitel (server) zpomalí provoz pro legitimní uživatele, zatímco pachatel vykonává svou neplechu, která zůstává nezjištěná, protože legitimní uživatelé, kteří stáli poblíž a čekali na službu, nemohli vědět, o co jde server. Dobrým uživatelům je služba odepřena, zatímco útok pokračuje.
Eskalace výsad
Různí uživatelé operačního systému nebo aplikace mají různá oprávnění. Někteří uživatelé tedy získají ze systému větší hodnotu než ostatní. Využití softwarové chyby nebo dohledu nad konfigurací k získání zvýšeného přístupu k prostředkům nebo neoprávněným informacím je Privilege Escalation.
Výše uvedená klasifikační schémata mohou být použita k vyvolání počítačového viru a červů.
Pro softwarové útoky lze použít jedno nebo více z výše uvedených klasifikačních schémat, mezi něž patří: krádež duševního vlastnictví, poškození databáze, krádež identity, sabotáž a vydírání informací. Pokud osoba používá jeden nebo více režimů k destruktivní úpravě, web, aby zákazníci webu ztratili důvěru, je to sabotáž. Vydírání informací je krádež počítače společnosti nebo falešné získání tajných informací o společnosti. Ukradený počítač může obsahovat tajné informace. To může vést k ransomwaru, kde zloděj požádá o platbu výměnou za odcizený majetek nebo informace.
Soukromí
Když je pro vás něco citlivého nebo neodmyslitelně zvláštního, pak je tato věc pro vás soukromá. To platí i pro skupinu lidí. Jednotlivec se musí selektivně vyjádřit. K dosažení takové selektivity musí jednotlivec naplánovat sám sebe nebo naplánovat informace o sobě; to je soukromí. Skupina lidí se musí selektivně vyjádřit. K dosažení takové selektivity se skupina musí naplánovat nebo naplánovat informace o sobě; to je soukromí. Jednotlivec se musí chránit selektivně. K dosažení takové selektivní ochrany musí jedinec chránit sám sebe nebo selektivně chránit informace o sobě; to znamená soukromí. Skupina lidí se musí selektivně chránit. K dosažení takové selektivní ochrany se skupina musí chránit nebo selektivně chránit informace o sobě; to znamená soukromí.
Identifikace a autentizace
Když cestujete do cizí země, dostanete se do přístavu této země. V přístavu vás policista požádá, abyste se identifikovali. Předložíte pas. Policista bude znát váš věk (od data narození), vaše pohlaví a vaši profesi z pasu a podívá se na vás (váš obličej); to je identifikace. Policista porovná vaši skutečnou tvář a fotografii v pasu. Rovněž odhadne váš věk podle údajů v pasu, aby zjistil, zda jste to vy.
Pohled na vás a spojování vašeho věku, pohlaví a profese s vámi je identifikace. Ověření, zda je vaše skutečná tvář a vaše fotografie stejné, a odhad, zda vaše prezentace odpovídá vašemu věku, je ověřování. Identifikace je přiřazení osoby nebo něčeho k určitým atributům. Označení identity je také identifikace. Autentizace je akt dokazující, že identita (identifikace) je pravdivá. Jinými slovy, autentizace je aktem prokázání tvrzení.
Ve výpočetní technice je nejběžnějším způsobem ověřování použití hesla. Například server má mnoho uživatelů. Při přihlášení uvedete svou identitu (identifikujete se) svým uživatelským jménem. Totožnost prokazujete svým heslem. Vaše heslo by mělo znát pouze vy. Ověřování může jít dále; tím, že vám položí otázku, například „Ve kterém městě jste se narodili?“
Bezpečnostní cíle
Cíle zabezpečení v informacích jsou důvěrnost, integrita a dostupnost. Tyto tři funkce jsou známé jako triáda CIA: C pro důvěrnost, I pro integritu a A pro dostupnost.
Důvěrnost
Tyto informace nesmějí být sděleny neoprávněným osobám, neoprávněným subjektům nebo neoprávněným procesům; jedná se o důvěrnost informací v oblasti bezpečnosti informací (stejně jako zabezpečení softwaru). Krádež hesel nebo zasílání citlivých e-mailů nesprávné osobě je ohroženo utajení. Důvěrnost je součástí ochrany osobních údajů, která chrání informace před neoprávněnými osobami nebo neoprávněnými subjekty nebo neoprávněnými procesy.
Integrita
Informace nebo data mají životní cyklus. Jinými slovy, informace nebo data mají počáteční a konečný čas. V některých případech musí být informace (nebo data) po skončení životního cyklu (legálně) vymazány. Integrita se skládá ze dvou funkcí, kterými jsou: 1) údržba a zajištění přesnosti informací (nebo dat) v průběhu celého životního cyklu a 2) úplnost informací (nebo dat) v průběhu celého životního cyklu. Informace (nebo data) tedy nesmí být omezovány nebo upravovány neoprávněným nebo nezjištěným způsobem.
Dostupnost
Aby jakýkoli počítačový systém sloužil svému účelu, musí být v případě potřeby k dispozici informace (nebo data). To znamená, že počítačový systém a jeho přenosová média musí správně fungovat. Dostupnost může být ohrožena upgradem systému, selháním hardwaru a výpadky proudu. Dostupnost může být také ohrožena útoky denial-of-service.
Neodmítnutí
Když někdo používá vaši identitu a váš podpis k podpisu smlouvy, kterou nikdy nesplnil, je to neodmítnutí, když nemůžete úspěšně popřít u soudu, že jste smlouvu nevytvořili.
Na konci smlouvy musí strana nabízející službu službu nabídnout; platící strana musí provést platbu.
Abyste pochopili, jak lze v digitální komunikaci uplatnit nepopiratelnost, musíte nejprve znát význam klíče a význam digitálního podpisu. Klíč je část kódu. Digitální podpis je algoritmus, který používá klíč k vytvoření nějakého jiného kódu, který je přirovnán k písemnému podpisu odesílatele.
V digitální bezpečnosti je nepopiratelnost zajištěna (nemusí být nutně zaručena) digitálním podpisem. V oblasti softwarového zabezpečení (nebo zabezpečení informací) má nepopírání souvislost s integritou dat. K důvěrnosti také přispívá šifrování dat (které jste možná slyšeli) v kombinaci s digitálním podpisem.
Cíle zabezpečení v informacích jsou důvěrnost, integrita a dostupnost. Nepopírání je však další funkcí, kterou musíte vzít v úvahu při řešení informační bezpečnosti (nebo softwarové bezpečnosti).
Odpovědi na hrozby
Na hrozby lze reagovat jedním nebo více z následujících tří způsobů:
- Snížení / zmírnění: Jedná se o implementaci ochranných opatření a protiopatření k odstranění slabých míst nebo blokování hrozeb.
- Přiřazení / převod: Tím se břemeno ohrožení umístí na jiný subjekt, například na pojišťovnu nebo outsourcingovou společnost.
- Přijetí: Vyhodnocuje se, zda náklady na protiopatření převáží možné náklady na ztrátu kvůli hrozbě.
Řízení přístupu
V oblasti informační bezpečnosti, jejíž součástí je softwarové zabezpečení, je řízení přístupu mechanismem, který zajišťuje, že pouze oprávnění uživatelé mají přístup k chráněným prostředkům v daném systému s jejich různými zaslouženými oprávněními.
Aktuální řešení informační bezpečnosti
Současným a populárním způsobem zabezpečení informací je vynucení kontroly přístupu. To zahrnuje opatření, jako je ověření vstupu do aplikace, instalace antiviru, použití brány firewall v místní síti a použití zabezpečení transportní vrstvy.
Pokud očekáváte datum jako vstup do aplikace, ale uživatel zadá číslo, musí být takový vstup odmítnut. To je ověření vstupu.
Antivirus nainstalovaný v počítači zabraňuje virům v poškození souborů v počítači. To pomáhá při dostupnosti softwaru.
Lze vytvořit pravidla pro monitorování a řízení příchozích a odchozích přenosů z místní sítě, aby byla chráněna síť. Pokud jsou taková pravidla implementována jako software, v místní síti je to brána firewall.
Transport Layer Security (TLS) je bezpečnostní protokol navržený k usnadnění ochrany soukromí a dat při přenosu přes internet. To zahrnuje šifrování komunikace mezi odesílajícím a přijímajícím hostitelem.
Zabezpečení informací vynucením kontroly přístupu se nazývá Zabezpečovací software, který se liší od Zabezpečení softwaru, jak je vysvětleno níže. Oba přístupy mají stejný cíl, ale liší se.
Správné zabezpečení softwaru
Aplikace, jak jsou dnes psány, mají mnoho softwarových zranitelností, které si programátoři za posledních 20 let stále více uvědomují. Většina útoků se provádí využitím těchto zranitelností než překonáním nebo řešením problémů s kontrolou přístupu.
Vyrovnávací paměť je jako pole, ale bez uložené délky. Když programátor zapisuje do vyrovnávací paměti, je možné podvědomě přepsat přes jeho délku. Tato chyba zabezpečení je přetečení vyrovnávací paměti.
Software dnes přeběhl s bezpečnostními důsledky - včetně implementačních chyb, jako jsou přetečení vyrovnávací paměti a chyby designu, jako je nekonzistentní zpracování chyb. Jedná se o zranitelná místa.
Možná jste slyšeli o cheatech v počítačovém jazyce, jako jsou cheaty PHP, Cheaty Perl a Cheaty C ++. To jsou zranitelná místa.
Softwarová bezpečnost, na rozdíl od bezpečnostního softwaru, překonává tyto chyby zabezpečení psaním obranného kódu, kde by se těmto chybám předcházelo. Zatímco se aplikace používá, protože se objevuje více chyb zabezpečení, vývojáři (programátoři) by měli hledat způsoby, jak tyto chyby znovu kódovat.
Hrozba, útok typu odmítnutí služby, nemůže být zastaven kontrolou přístupu, protože aby to pachatel mohl udělat, musí mít již přístup k hostiteli (serveru). To lze zastavit zahrnutím nějakého interního softwaru, který monitoruje, co uživatelé dělají v hostiteli.
Zabezpečení softwaru je robustní konstrukce zevnitř, která ztěžuje softwarové útoky. Software by měl být sebeochranný a na své hranici by neměl být zranitelný. Tímto způsobem se provozování zabezpečené sítě stává jednodušším a nákladově efektivnějším.
Softwarová bezpečnost navrhuje obranný kód z aplikace, zatímco bezpečnostní software vynucuje (navrhuje) řízení přístupu. Někdy se tyto dva problémy překrývají, ale často tomu tak není.
Softwarová bezpečnost je již poměrně vyvinutá, i když se stále vyvíjí, není tak vyvinutá jako bezpečnostní software. Špatní hackeři dosahují svých cílů více využitím slabých míst v softwaru než překonáváním nebo obcházením bezpečnostního softwaru. Doufáme, že v budoucnu bude informační bezpečnost více softwarovým zabezpečením než bezpečnostním softwarem. Prozatím musí softwarové zabezpečení i bezpečnostní software fungovat.
Zabezpečení softwaru nebude skutečně efektivní, pokud nebude na konci vývoje softwaru provedeno důkladné testování.
Programátoři musí být vzděláni v provádění obranného programování kódu. Uživatelé také musí být poučeni o tom, jak defenzivně používat aplikace.
V oblasti softwarového zabezpečení musí vývojář zajistit, aby uživatel nezískal více privilegií, než si zaslouží.
Závěr
Softwarová bezpečnost je návrh aplikace s obranným kódováním proti zranitelnostem, aby byly softwarové útoky obtížné. Bezpečnostní software je na druhé straně výroba softwaru, který vynucuje řízení přístupu. Zabezpečení softwaru se stále vyvíjí, ale pro zabezpečení informací je slibnější než bezpečnostní software. Již se používá a získává na popularitě. V budoucnu bude zapotřebí obojí, ale u softwaru je potřeba více zabezpečení.
