Resum Tema 1 - Conceptes Bàsics (2016)

Resumen Catalán
Universidad Universidad Autónoma de Barcelona (UAB)
Grado Ingeniería Informática - 3º curso
Asignatura Garantia de la Informació i Seguretat
Año del apunte 2016
Páginas 4
Fecha de subida 14/03/2016
Descargas 34
Subido por

Vista previa del texto

Garantia de la Informació i Seguretat TEMA 1 – DEFINICIONS BÀSIQUES 1. GARANTIA DE LA INFORMACIÓ I SEGURETAT Garantia de la Seguretat. Mesures que protegeixen i defensen la informació i els sistemes d’informació assegurant la seva disponibilitat, integritat, autenticació, confidencialitat i norepudi. Aquestes mesures inclouen la restauració dels sistemes d’informació incorporant capacitat de protecció, detecció i reacció.
Seguretat. Condició resultant de l’establiment i manteniment de mesures de protecció que permeten a una empresa dur a terme la seva funció o funcions crítiques malgrat els riscos plantejats per les amenaces a la disponibilitat dels Sistemes d’Informació. Les mesures de protecció poden implicar una combinació de dissuasió, evasió, prevenció, detecció, recuperació i correcció que haurien de formar part de l’estratègia de gestió de riscos empresarials.
Seguretat Informàtica. Mesures i controls que asseguren la Confidencialitat, Integritat i Disponibilitat dels Sistemes d’Informació incloent el hardware, software, firmware i la informació que es processa, emmagatzema i comunica.
Seguretat de la Informació. Protecció de la informació i dels Sistemes d’Informació contra l’accés, ús, divulgació, alteració, modificació o destrucció no autoritzat per tal de proporcionar Confidencialitat, Integritat i Disponibilitat.
2. PROPIETATS (CIDAN) Confidentiality (Confidencialitat) Propietat que assegura que la informació no és divulgada a entitats (usuaris, processos, dispositius...) a menys que s’hagi autoritzat l’accés a aquesta informació.
Integrity (Integritat) Propietat que assegura que una entitat no ha sigut modificada de forma no autoritzada.
Protegint la informació de la modificació inapropiada o destrucció d’aquesta. Assegura també el no-repudi i l’autenticitat de la informació.
Availability (Disponibilitat) Propietat de estar accessible i utilitzable davant la demanda d’una entitat autoritzada.
Assegurant l’accés i ús fiable de la informació.
ALTRES PROPIETATS Accountability Assegura que les accions d’una entitat queden registrades de forma que poden ser rastrejades per una entitat responsable.
Non-repudiation (No repudi) Assegura que si fas una acció no pots negar no haver-la fet.
Xavier Molina 3. ESTRATÈGIA DE LA SEGURETAT INFORMÀTICA Política de Seguretat. És un text que defineix els objectius de seguretat d’una organització. Declara el que s’ha de protegir i pot indicar també com fer-ho.
Normalment l’escriu la direcció de l’empresa, que no té coneixements sobre seguretat informàtica, pel que és una descripció de molt alt nivell.
Consta de 3 aspectes principals Ho fa la direcció de l’empresa ESPECIFICACIÓ  POLÍTICA Ho fa l’expert en seguretat IMPLEMENTACIÓ  CORRECTESA  MECANISMES MESURES DE VALIDACIÓ QUÈ S’HA DE FER? COM ES FA? FUNCIONA? 4. ATACS Atac. Acte intencional en el qual una entitat intenta evadir els serveis de seguretat i violar la política de seguretat d’un sistema.
Més definicions: - Assalt a la seguretat del sistema derivat d’una amenaça intel·ligent, un acte intel·ligent amb l’objectiu d’evadir els serveis de seguretat i violar la política de seguretat d’un sistema.
- Qualsevol tipus d’activitat maliciosa que intenta recol·lectar, interrompre, denegar, degradar o destruir els recursos d’informació d’un sistema o la informació en sí mateixa.
TIPUS D’ATACS Actiu. Intenta alterar els recursos d’un sistema o afectar les seves operacions. Exemple: denegació de servei.
Passiu. Intenta aprendre o fer ús de la informació d’un sistema però no afecta als recursos d’aquest. Exemple: esnifar.
MÉS CLASSIFICACIONS - Interrupcions.
- Modificació. Exemple: Fer SQL injection per modificar dades.
- Intercepció. Exemple: Man In The Middle per esnifar tràfic.
- Fabricació. Exemple: Impersonació (fer-se passar per algú).
5. VULNERABILITAT Vulnerabilitat. Defecte o debilitat en el disseny, implementació o operació d’un sistema que pot ser explotada per violar la seva política de seguretat.
Xavier Molina Vulnerabilitat de Dia Zero. Vulnerabilitat desconeguda pels experts en seguretat i que ha sigut utilitzada en un atac i per la qual no hi ha solució.
Finestra de vulnerabilitat. Període des de que apareix la vulnerabilitat fins que es troba la solució.
Cicle de vida d’una vulnerabilitat. Consta de tres estats principals: - Descobriment.
Divulgació o publicació.
Correcció / Solució.
Publicació de vulnerabilitats. Hi ha dos procediments o opcions: - Publicació completa. Es publiquen tots els detalls de la vulnerabilitat sense esperar i sense restriccions.
Publicació responsable. Es comunica la vulnerabilitat als propietaris del software, s’alerta a organitzacions de seguretat com CERT i després es publiquen els detalls passats uns dies acordats si no es publica una solució.
Moltes empreses paguen a aquells que troben vulnerabilitats de dia zero per tal de fomentar la publicació responsable (VRP, Vulnerability Reward Programs).
6. AMENACES I RISCOS Amenaça. Possibilitat potencial de rebre un atac a la seguretat.
Risc. Avaluació de les pèrdues que poden provocar els atacs a una vulnerabilitat.
RELACIONS ENTRE ELS CONCEPTES Xavier Molina Xavier Molina ...