Phenquestions
Biztonságos információ és szoftvercsomagok (alkalmazások és dokumentumok). Az információ bármilyen üzenet, amely bárki számára hasznos. Az „információ” homályos szó. A kontextus, amelyben alkalmazzák, megadja a jelentését. Jelenthet híreket, előadásokat, bemutatókat (vagy leckéket) vagy megoldásokat. A szoftvercsomag általában valamilyen probléma vagy kapcsolódó probléma megoldása. Korábban minden el nem mondott információt papírra írtak. Ma a szoftver az információk részhalmazának tekinthető.
A szoftver tartózkodhat egy számítógépen, vagy átkerülhet egyik számítógépről a másikra. A fájlok, adatok, e-mailek, rögzített hang, rögzített videók, programok és alkalmazások a számítógépen találhatók. Miközben számítógépen tartózkodik, megsérülhet. A szállítás közben még mindig megsérülhet.
Bármely processzorral és memóriával rendelkező eszköz számítógép. Tehát ebben a cikkben egy számológépet, egy okostelefont vagy egy táblagépet (pl.g., iPad) egy számítógép. Ezen eszközök és hálózati átviteli adathordozóik mindegyike rendelkezik szoftverrel, vagy szállítás alatt álló szoftverrel, amelyet védeni kell.
Kiváltságok
A felhasználó jogosultságot kaphat egy fájl futtatására a számítógépen. A felhasználó jogosultságot kaphat egy fájl kódjának elolvasására a számítógépen. A felhasználó jogosultságot kaphat arra, hogy módosítsa (megírja) egy fájl kódját a számítógépen. A Felhasználó egy, kettő vagy mindhárom jogosultságot kaphat. Az operációs rendszer vagy az adatbázis más jogosultságokkal is rendelkezik. A felhasználók különböző mennyiségű vagy szintű jogosultságokkal rendelkeznek a rendszerben.
Fenyegetések
A szoftveres fenyegetések alapjai
A szoftver védelme érdekében ismernie kell a fenyegetéseket. A szoftvert védeni kell az adatokhoz való illetéktelen hozzáféréstől. Védeni kell a jogellenes felhasználástól (például kárt okozni). A szoftvert védeni kell a vetélytársakkal történő nyilvánosságra hozatal ellen. A szoftvert nem szabad megrongálni. A szoftvert nem szabad akaratlanul törölni. A szoftvert nem szabad megszakítani. A szoftver nem tartalmazhat olyan módosításokat, amelyekre nincs szükség. Az adatokat (szoftvereket) nem szabad ok nélkül megvizsgálni, különösen illetéktelen személyek által. A szoftvert nem szabad másolni (kalózkodni).
Ezen alapok közül egy vagy több, ami egy bizonyos típusú klasszikus fenyegetést eredményez.
A szoftverfenyegetés osztályai
Hamis támadás
Ez az a helyzet, amikor egy személy (vagy program) sikeresen képvisel egy másik személyt (vagy programot) valamilyen szoftveres tevékenységben. Ez hamis adatok felhasználásával illegális előnyhöz jut.
Megtagadás
Ez az a helyzet, amikor valaki valamit rosszul csinál, és elutasítja, hogy nem ő tette. A személy rossz aláírására felhasználhatja egy másik személy aláírását.
Adatszegés
Adatszegés az, amikor a biztonságos vagy privát információkat szándékosan vagy akaratlanul olyan környezetbe bocsátják, amelyben nem bíznak.
Szolgáltatásmegtagadás támadás
A szoftveres számítógépes hálózatnak a hálózat számítógépein futó szoftvere van. Minden felhasználó általában maga előtt használja a számítógépét, és általában szolgáltatásokat kér a hálózat többi számítógépétől. Egy bűnöző felhasználó dönthet úgy, hogy felesleges kérésekkel árasztja el a szervert. A szervernek korlátozott számú kérelme van, amelyeket egy időtartam alatt képes kezelni. Ebben az elárasztási sémában a törvényes felhasználók nem használhatják a szervert olyan gyakran, mint kellene, mivel a szerver elfoglalt a bűnöző kéréseire. Ez túlterheli a szervert, átmenetileg vagy határozatlan ideig megzavarja a szerver szolgáltatásait. Ennek során a gazdagép (szerver) lelassul a törvényes felhasználók számára, míg az elkövető elköveti a bajt, amely észrevétlen marad, mert az ott álló, szolgáltatásra váró törvényes felhasználók nem tudhatták, mi folyik itt a szerver. A jó felhasználóktól megtagadják a szolgáltatást, miközben a támadás folyik.
Privilege eszkaláció
Az operációs rendszer vagy alkalmazás különböző felhasználói különböző jogosultságokkal rendelkeznek. Tehát egyes felhasználók több értéket kapnak, mint mások, a rendszerből. A szoftverhiba vagy a konfigurációs felügyelet kihasználása az erőforrásokhoz való hozzáféréshez vagy az illetéktelen információkhoz való hozzáférés érdekében a Privilege Escalation.
A fenti osztályozási sémák felhasználhatók számítógépes vírusok és férgek előidézésére.
A fenti besorolási sémák közül egy vagy több alkalmazható szoftveres támadásokhoz, amelyek magukban foglalják a szellemi tulajdon lopását, az adatbázis sérülését, a személyazonosság-lopást, a szabotázst és az információk kicsalását. Ha egy személy egy vagy több sémát használ a destruktív módosításhoz, akkor egy webhelyet úgy, hogy a webhely vásárlói elveszítsék a bizalmukat, ez a szabotázs. Az információcsalás a cég számítógépének ellopása vagy a cégről szóló titkos információk hamis megszerzése. Az ellopott számítógép titkos információkkal rendelkezhet. Ez ransomware-hez vezethet, ahol a tolvaj fizetést kér az ellopott ingatlanért vagy információért.
Magánélet
Amikor valami érzékeny vagy eredendően különleges az Ön számára, akkor ez a dolog magánélete. Ez egy embercsoportra is vonatkozik. Az egyénnek szelektíven kell kifejeznie magát. Az ilyen szelektivitás elérése érdekében az egyénnek ütemeznie kell magát, vagy be kell ütemeznie a magára vonatkozó információkat; ez a magánélet. Az emberek egy csoportjának szelektíven kell kifejeznie magát. Az ilyen szelektivitás elérése érdekében a csoportnak be kell ütemeznie önmagát, vagy be kell ütemeznie információkat magáról; ez a magánélet. Az egyénnek szelektíven kell megvédenie magát. Az ilyen szelektív védelem elérése érdekében az egyénnek szelektív módon meg kell védenie önmagát, vagy meg kell védenie a magára vonatkozó információkat; vagyis a magánélet. Az emberek egy csoportjának szelektíven kell megvédenie magát. Az ilyen szelektív védelem elérése érdekében a csoportnak szelektív módon kell megvédenie magát, vagy meg kell védenie a magáról szóló információkat; vagyis a magánélet.
Azonosítás és hitelesítés
Ha idegen országba utazik, akkor eljut az adott ország kikötőjébe. A kikötőben egy rendőr megkéri Önt, hogy azonosítsa magát. Bemutatja az útlevelét. A rendőr az útlevélből megismeri életkorát (születési dátumtól kezdve), nemét és hivatását, és rád (az arcára) néz; ez az azonosítás. A rendőr összehasonlítja valódi arcát és az útlevelben szereplő fényképet. Meg fogja becsülni az életkorát is azzal, hogy mi szerepel az útlevélben, hogy megtudja, te vagy-e.
Rád nézés és korod, nemed és szakmád társítása veled azonosulás. A hitelesítés annak ellenőrzése, hogy valódi arca és fényképe megegyezik-e, és annak megbecsülése, hogy a bemutató megfelel-e az életkorának. Az azonosítás egy személy vagy valami társítása bizonyos tulajdonságokhoz. Az identitás feltüntetése egyben azonosítás is. A hitelesítés annak igazolása, hogy az identitás (azonosítás) igaz. Más szavakkal, a hitelesítés az állítás bizonyításának aktusa.
A számítás során a hitelesítés leggyakoribb módja a jelszó használata. Például egy szervernek sok felhasználója van. A bejelentkezéskor a felhasználónevével jelzi személyazonosságát (azonosítsa magát). Jelszavával igazolja személyazonosságát. Jelszavát állítólag csak Ön ismeri. A hitelesítés tovább mehet; azzal, hogy feltesz neked egy kérdést, például: „Melyik városban született?”
Biztonsági célok
Az információk biztonsági céljai a bizalmas kezelés, az integritás és a rendelkezésre állás. Ez a három jellemző a CIA triádjaként ismert: C a titoktartásért, I az integritásért és A a rendelkezésre állásért.
Titoktartás
Az információkat nem szabad nyilvánosságra hozni illetéktelen személyek, illetéktelen szervezetek vagy jogosulatlan folyamatok számára; ez az információk bizalmas kezelése az információbiztonságban (valamint a szoftverbiztonságban). A jelszavak ellopása vagy a bizalmas e-mailek küldésének helytelen személyek számára a titoktartás veszélyeztetése. A titoktartás a magánélet olyan eleme, amely megvédi az adatokat illetéktelen személyektől, illetéktelen entitásoktól vagy illetéktelen folyamatoktól.
Sértetlenség
Az információk vagy adatok életciklusuk van. Más szavakkal, az információnak vagy az adatoknak van kezdési és befejezési ideje. Bizonyos esetekben az életciklus lejárta után az információkat (vagy adatokat) törölni kell (törvényesen). Az integritás két jellemzőből áll: 1) az információk (vagy adatok) pontosságának fenntartása és biztosítása a teljes életciklus alatt, és 2) az információk (vagy adatok) teljessége a teljes életciklus alatt. Tehát az információkat (vagy adatokat) nem szabad jogosulatlan vagy észrevétlen módon csökkenteni vagy módosítani.
Elérhetőség
Ahhoz, hogy bármely számítógépes rendszer megfeleljen a céljának, információnak (vagy adatnak) kell rendelkezésre állnia, ha szükséges. Ez azt jelenti, hogy a számítógépes rendszernek és átviteli adathordozóinak megfelelően kell működniük. A rendelkezésre állást veszélyeztethetik a rendszerfrissítések, a hardverhibák és az áramkimaradások. A rendelkezésre állást szolgáltatásmegtagadási támadások is veszélyeztethetik.
Nemtagadás
Amikor valaki az Ön személyazonosságát és aláírását használja egy olyan szerződés aláírásához, amelyet soha nem teljesített, a visszautasítás az, amikor a bíróságon nem tagadhatja meg sikeresen, hogy nem Ön írta le a szerződést.
A szerződés lejártakor a szolgáltatást kínáló félnek fel kell ajánlania a szolgáltatást; a fizető félnek teljesítenie kell a fizetést.
Ahhoz, hogy megértse, miként alkalmazható a visszautasítás a digitális kommunikációra, először ismernie kell a kulcs és a digitális aláírás jelentését. A kulcs egy darab kód. A digitális aláírás olyan algoritmus, amely egy kulcs segítségével más kódot állít elő, amelyet a feladó írásos aláírásához hasonlítanak.
A digitális biztonság területén a visszautasítást a digitális aláírás biztosítja (nem feltétlenül garantálja). A szoftverbiztonságban (vagy információbiztonságban) a visszautasítás az adatok integritásával jár. A digitális aláírással kombinált adattitkosítás (amit esetleg hallottál) hozzájárul a titoktartáshoz is.
Az információk biztonsági céljai a bizalmas kezelés, az integritás és a rendelkezésre állás. Az elutasítás elutasítása azonban egy másik jellemző, amelyet figyelembe kell vennie az információbiztonság (vagy a szoftverbiztonság) ügyében.
A fenyegetésekre adott válaszok
A fenyegetésekre a következő három módon egy vagy több módon lehet reagálni:
- Csökkentés / mérséklés: A biztonsági rések kiküszöbölésére vagy a fenyegetések blokkolására szolgáló biztosítékok és ellenintézkedések végrehajtása.
- Kiosztás / átruházás: Ez a fenyegetés terheit egy másik szervezetre helyezi, például egy biztosító társaságra vagy egy outsourcing cégre.
- Elfogadás: Ez azt értékeli, hogy az ellenintézkedés költségei felülmúlják-e a fenyegetés miatti veszteség lehetséges költségeit.
Hozzáférés-szabályozás
Az információbiztonságban, amelynek része a szoftverbiztonság, a hozzáférés-vezérlés olyan mechanizmus, amely biztosítja, hogy csak a jogosult felhasználók férhessenek hozzá az adott rendszer védett erőforrásaihoz, különböző megérdemelt jogosultságaikkal.
Az információbiztonság jelenlegi megoldása
Az információbiztonság jelenlegi és népszerű módja a hozzáférés-ellenőrzés kikényszerítése. Ez magában foglalja az olyan intézkedéseket, mint például az alkalmazás bevitelének ellenőrzése, antivírus telepítése, tűzfal használata a helyi hálózathoz és a Transport Layer Security alkalmazása.
Ha egy alkalmazás dátumaként számít dátumra, de a felhasználó megad egy számot, akkor ezt a bevitelt el kell utasítani. Ez a bemeneti ellenőrzés.
A számítógépére telepített víruskereső megakadályozza, hogy a vírusok megrontják a számítógépen található fájlokat. Ez elősegíti a szoftverek elérhetőségét.
Szabályokat lehet hozni a helyi hálózat bejövő és kimenő forgalmának figyelemmel kísérésére és ellenőrzésére a hálózat védelme érdekében. Ha ezeket a szabályokat szoftverként valósítják meg, a helyi hálózatban, ez egy tűzfal.
A Transport Layer Security (TLS) egy olyan biztonsági protokoll, amelyet az interneten keresztüli adások magánéletének és adatbiztonságának megkönnyítésére terveztek. Ez magában foglalja a küldő és a fogadó állomás közötti kommunikáció titkosítását.
Az információbiztonságot a hozzáférés-ellenőrzés kikényszerítésével Biztonsági szoftvernek nevezzük, amely különbözik a Szoftverbiztonságtól, az alábbiakban kifejtettek szerint. Mindkét megközelítésnek ugyanaz a célja, de eltérőek.
Megfelelő szoftverbiztonság
Az alkalmazások, amint ma írják, rengeteg szoftveres sebezhetőséggel rendelkeznek, amelyeket a programozók az elmúlt 20 évben egyre jobban észleltek. A legtöbb támadást e biztonsági rések kihasználásával hajtják végre, nem pedig a hozzáférés-ellenőrzés legyőzésével vagy megkerülésével.
A puffer olyan, mint egy tömb, de nincs feltüntetett hossza. Amikor egy programozó pufferbe ír, öntudatlanul felül lehet írni a hosszán túl. Ez a biztonsági rés puffertúlcsordulás.
A mai szoftver hibákat okozott biztonsági következményekkel, beleértve a megvalósítási hibákat, például a puffertúlcsordulást és a tervezési hibákat, például következetlen hibakezelést. Ezek sebezhetőségek.
Lehet, hogy hallott már olyan számítógépes nyelvű csalásokról, mint a PHP, a Perl és a C ++ csalások. Ezek sebezhetőségek.
A szoftveres biztonság, a biztonsági szoftverekkel ellentétben, védekező kód megírásával legyőzi ezeket a sebezhetőségeket, ahol a biztonsági réseket megakadályoznák. Amíg az alkalmazást használják, egyre több sebezhetőséget fedeznek fel, a fejlesztőknek (programozóknak) meg kell keresniük a biztonsági rések újrakódolásának módjait, védekezéssel.
A fenyegetést, a szolgáltatásmegtagadási támadást nem lehet megállítani hozzáférés-ellenőrzéssel, mert ahhoz, hogy az elkövető ezt megtehesse, már hozzá kell férnie a gazdagéphez (szerverhez). Meg lehet állítani néhány olyan belső szoftver használatával, amely figyeli, hogy a felhasználók mit csinálnak a gazdagépen.
A szoftverbiztonság robusztus kialakítás belülről, amely megnehezíti a szoftveres támadásokat. A szoftvernek önvédelemmel kell rendelkeznie, és korlátozás nélkül nem lehet sebezhető. Ily módon a biztonságos hálózat futtatása könnyebbé és költséghatékonyabbá válik.
A szoftverbiztonság védekező kódot tervez az alkalmazáson belül, míg a biztonsági szoftver betartatja (megtervezi) a beléptetés ellenőrzését. Néha ez a két kérdés átfedésben van, de gyakran nem.
A szoftverek biztonsága már eléggé fejlett, bár még fejlesztés alatt áll, még nem annyira fejlett, mint a biztonsági szoftverek. A rossz hackerek céljaikat inkább a szoftverek sebezhetőségének kihasználásával érik el, nem pedig a biztonsági szoftverek legyőzésével vagy megkerülésével. Remélhetőleg a jövőben az információbiztonság inkább a szoftverbiztonság lesz, mint a biztonsági szoftver. Egyelőre a szoftverbiztonságnak és a biztonsági szoftvereknek egyaránt működniük kell.
A szoftverbiztonság nem igazán lesz hatékony, ha a szoftverfejlesztés végén nem végeznek szigorú tesztelést.
A programozókat oktatni kell a védekező programozás végrehajtásában. A felhasználókat arra is ki kell oktatni, hogy miként tudják használni az alkalmazásokat.
A szoftverbiztonság terén a fejlesztőnek biztosítania kell, hogy a felhasználó ne kapjon több jogosultságot, mint amennyit megérdemel.
Következtetés
A szoftverbiztonság egy olyan alkalmazás megtervezése, amely védelmi kódolással rendelkezik a sebezhetőségek ellen, hogy megnehezítse a szoftveres támadásokat. A biztonsági szoftverek viszont a hozzáférés-vezérlést kikényszerítő szoftverek gyártása. A szoftverbiztonság még fejlesztés alatt áll, de az információbiztonság szempontjából ígéretesebb, mint a biztonsági szoftver. Már használják, és egyre népszerűbb. A jövőben mindkettőre szükség lesz, de szoftverekkel a biztonságra még többre van szükség.
