19.3 par definicija (4 vježbe) Identify the risk source (the guilty) Identify at least controls that can mitigate or remove the selected threat impact Mars M modification A avoidance (izbjegavanje rizika) R retention (isto kao i acceptance) prihvaćanje rizika s sharing (precizniji) prebacio dio rizika netkome drugome, ali opet će originalni patit ako se dogodi opet neki napad na drugog Matra M modification A avoidance (izbjegavanje rizika) T R A Identificart sve resurse (set managment) Vidjet sve prijetnje koje postoje, prvo riješiti rizike koji imaju najveću štetu i vjerojatnost Kvantitavno - znamo točnu vrijednosti štete Kvalitativna - Jako mala, jako velika, radimo sa nekim pojmovima,... (ona se koristi prvo jer je lakše doći do rezultata nisu precizniji ali su jednostavniji) Dokument 4 SIS LAB risk managment Na temelju danih informacija, ovdje je kako možete izvršiti procjenu rizika za proces e-bankarstva: ### 1. prijetnje: Tri moguće prijetnje na temelju danih informacija uključuju: 1. **Neovlašteni pristup (Sigurnosni prijestup)** – Ova prijetnja može nastati zbog neadekvatnih metoda autentifikacije ili ranjivosti u sustavu. 2. **Gubitak integriteta podataka i povjerljivosti** – Podaci, kao što su osobni podaci o bankovnim računima ili transakcijski zapisi, mogli bi biti izmijenjeni ili pristupljeni od strane neovlaštenih osoba ako nisu pravilno šifrirani ili ako sustavi nisu dovoljno zaštićeni. 3. **Napad uskraćivanja usluge (DoS)** – Sustav e-bankarstva mogao bi biti ciljano napadnut od strane vanjskih prijetnji, što bi dovelo do privremenog gubitka dostupnosti usluge, sprječavajući korisnike u pristupu bankarskom sustavu. ### 2. Resursi na koje se prijetnje primjenjuju: - **Neovlašteni pristup:** - **Resursi na koje utječe**: Web poslužitelj, poslužitelj proizvodne aplikacije, poslužitelj za autorizaciju, baza podataka (posebno korisnička autorizacija i baza podataka koja sadrži osjetljive informacije). - **Gubitak integriteta podataka i povjerljivosti:** - **Resursi na koje utječe**: Web aplikacija, bankarska aplikacija, baza podataka i poslužitelj aplikacije, jer sadrže osjetljive podatke poput transakcijskih zapisa i korisničkih podataka. - **Napad uskraćivanja usluge (DoS):** - **Resursi na koje utječe**: Web poslužitelj, poslužitelj proizvodne aplikacije, mrežne usluge (npr. lokalna mreža, internet usluge) i sva povezana infrastruktura. ### 3. Kontrole za ublažavanje ili uklanjanje utjecaja odabranih prijetnji: - **Neovlašteni pristup:** 1. **802.1x autentifikacija** – Osigurava da samo ovlašteni korisnici mogu pristupiti mreži. 2. **Autentifikacija pomoću lozinke** – Pomaže u osiguravanju da korisnik bude ispravno autentificiran s jedinstvenom lozinkom. 3. **Korištenje TLS zaštite za zaštitu komunikacijskih protokola** – Osigurava komunikaciju između poslužitelja i korisnika. - **Gubitak integriteta podataka i povjerljivosti:** 1. **TLS zaštita za komunikaciju** – Štiti podatke u prijenosu od prisluškivanja ili manipulacije. 2. **Korištenje NTP usluga** – Pomaže u osiguravanju pravilne sinkronizacije vremena za zapisivanje i audite. 3. **Korištenje sigurnog kanala za distribuciju početnih lozinki** – Osigurava sigurnu distribuciju osjetljivih podataka poput lozinki. - **Napad uskraćivanja usluge (DoS):** 1. **Vatrozid za odvajanje unutarnjih i vanjskih mreža** – Pomaže u blokiranju zlonamjernog prometa koji može utjecati na unutarnje sustave. 2. **Redovito održavanje internet i intranet usluga** – Osigurava otpornost mrežne opreme i usluga, sprječavajući prekide usluga. 3. **Nadzorne kamere i kontrola pristupa s nadzorom** – Pomaže u otkrivanju i sprječavanju fizičkih napada na infrastrukturni sustav koji mogu izazvati DoS napad. ### 4. Izvor rizika: - **Neovlašteni pristup** – "Krivac" može biti softverska ranjivost, nepravilni mehanizmi autentifikacije korisnika (ljudska pogreška ili softver) i neadekvatne kontrole pristupa. - **Gubitak integriteta podataka i povjerljivosti** – "Krivac" može biti slaba šifra, loša sigurnost baze podataka ili nedostatak mjera zaštite podataka. - **Napad uskraćivanja usluge (DoS)** – "Krivac" može biti ranjivost mrežne infrastrukture, nedostatak zaštite putem vatrozida ili nedostatak praćenja mreže. ### 5. Dodatne kontrole za ublažavanje identificiranih prijetnji: - **Neovlašteni pristup**: - **Višefaktorska autentifikacija** za prijavu u e-bankarstvo, što može spriječiti neovlašteni pristup čak i ako je lozinka ugrožena. - **Redoviti sigurnosni auditi** kako bi se osigurala usklađenost i najnovija sigurnosna ažuriranja. - **Gubitak integriteta podataka i povjerljivosti**: - **Šifriranje podataka u mirovanju** u bazi podataka kako bi se spriječio neovlašteni pristup osjetljivim podacima. - **Redovite provjere integriteta podataka** kako bi se osiguralo da podaci nisu manipulirani. - **Napad uskraćivanja usluge (DoS)**: - **Implementacija balansiranja opterećenja** za učinkovito raspodjelu prometa i smanjenje rizika od DoS napada koji utječu na dostupnost usluga. - **Povećano praćenje mreže** za otkrivanje i blokiranje zlonamjernog prometa prije nego što utječe na infrastrukturu. ### 6. Vrijednost resursa i utjecaj ako su ugroženi: | Naziv resursa | Vrijednost resursa | Utjecaj | |------------------------------|--------------------|---------| | Web poslužitelj | 3 | 3 | | Poslužitelj proizvodne aplikacije | 4 | 3 | | Poslužitelj za autorizaciju | 4 | 3 | | Baza podataka (poslužitelj proizvodnje) | 5 | 3 | | Bankarska aplikacija | 4 | 3 | | Mrežne usluge | 3 | 3 | ### 7. Vjerojatnost prijetnji: | Prijetnja | Vjerojatnost | |-----------------------------------|--------------| | Neovlašteni pristup | 2 | | Gubitak integriteta podataka i povjerljivosti | 2 | | Napad uskraćivanja usluge (DoS) | 2 | ### 8. Procjena rizika: #### Prijetnja 1: Neovlašteni pristup - **Vjerojatnost**: 2 - **Utjecaj**: 3 - **Vrijednost resursa**: 4 Vrijednost rizika = 2 (Vjerojatnost) * 3 (Utjecaj) * 4 (Vrijednost resursa) = **24** #### Prijetnja 2: Gubitak integriteta podataka i povjerljivosti - **Vjerojatnost**: 2 - **Utjecaj**: 3 - **Vrijednost resursa**: 5 Vrijednost rizika = 2 (Vjerojatnost) * 3 (Utjecaj) * 5 (Vrijednost resursa) = **30** #### Prijetnja 3: Napad uskraćivanja usluge (DoS) - **Vjerojatnost**: 2 - **Utjecaj**: 3 - **Vrijednost resursa**: 3 Vrijednost rizika = 2 (Vjerojatnost) * 3 (Utjecaj) * 3 (Vrijednost resursa) = **18** ### 9. Ublažavanje identificiranih prijetnji: Za ublažavanje utjecaja neovlaštenog pristupa, implementacija **višefaktorske autentifikacije** i **redovitih audita** povećala bi sigurnost i spriječila pristup neovlaštenih osoba. Za integritet podataka i povjerljivost, primjena **šifriranih protokola**, **provjera integriteta podataka** i redovito **testiranje penetracije** mogla bi ojačati sustav. Za sprječavanje DoS napada, implementacija **balansiranja opterećenja** i **povećanog praćenja mreže** mogla bi pomoći u smanjenju rizika od zastoja u sustavu. ### 10. Obrada rizika: - **Neovlašteni pristup**: Ublažavanje putem poboljšanja mehanizama autentifikacije i redovnog pregleda sigurnosti. - **Gubitak integriteta podataka i povjerljivosti**: Ublažavanje putem šifriranja podataka i redovitog testiranja sigurnosnih mjera. - **Napad uskraćivanja usluge (DoS)**: Ublažavanje putem implementacije balansiranja opterećenja i mrežnih sigurnosnih protokola poput vatrozida i praćenja prometa.