Informationssäkerhet

Säkerhetskopiering och virusskydd är två bland flera andra åtgärdsområde som omfattas i större säkerhetssystem, exempelvis triaden CIA, Ciscos NFP, Standarden AAA, RAIDUS och TACACS+ server, mm. Rätt komplicerat att förenklat deras syfte, men vi kan göra det från två olika perspektiven:

  • Först är information som ska skyddas, ingenting annat än information.
  • Information har kodats med ettor och nollor och kallar vi inte längre information utan DATA
  • DATA är asset.
  • Data i vila och data i rörelse.
  • Data i vila innebär en databas som innehåller den skyddade data.
  • Data i rörelse innebär att data antingen kopieras, ändras över ett nätverk. Föreställ dig att data är i rörelse från databasen till en destination.

Nu har vi ett dilemma, vad skyddar vi först, server som kör databasen? eller nätverket i vilket data rör sig i? Ställer ni den fråga till mig kommer jag att svara nätverket först. Min motivering är att data kan man komma åt via nätverk därmed bör vi säkra först nätverket! Det innebär inte att data i vila inte skyddas, tvärt om. Databaser ingår oftast i kraftfulla säkerhetssystem från början, men när data rör sig måste de förlita sig på andra säkerhetssystem.

Triad CIA

CIA är ett koncept som relateras till informationssäkerhet som omfattar tre grundläggande säkerhetsområde: Datasekretess (Confidentiality), Dataintegritet (Integrity) och Datatillgänglighet (Availability).

  • Confidentiality – Datasekretess: Det finns två typer av data: data i gång när data rör sig genom nätverket och data i vila, när data finns på lagringsmedia (server, lokal arbetsstation, i molnet och så vidare). Sekretess innebär att endast auktoriserade personer/system kan se känslig eller sekretessbelagd information. Detta innebär också att obehöriga personer inte ska ha någon form av tillgång till uppgifterna. När det gäller data i gång är kryptering det primära sättet att skydda den. Ett annat säkerhetsalternativ som du kan använda tillsammans med kryptering är att använda separata nätverk för överföring av konfidentiella data.
  • Integrity – Integritet: Dataintegritet innebär att endast auktoriserade individer/system får göra ändringar i specifika data. Deformationer av data är ett direkt misslyckande av nätverkssäkerhets implementationer.
  • Availability – Tillgänglighet: Det gäller för system och data. Om ett nätverk eller dess data inte är tillgängligt för behöriga användare, kanske på grund av en DoS-attack eller kanske på grund av ett allmänt konfigurationsfel i nätverket, resulterar oftast i negativ inverkan för företag och dess användare.
Bild 1: Informationssäkerhet med CIA

Sammanfattat kan man säga att informationssäkerhet handlar om att skydda information från obehörig åtkomst, olaglig användning, avslöjande, ändring eller förstörelse.

  • Kryptering ger sekretess genom att dölja klartextdata.
  • Dataintegritet, vilket innebär att uppgifter bevaras oförändrat under en operation, uppnås genom användning av hash mekanismer.
  • Tillgänglighet garanteras av säkerhetsmekanismer i nätverket och backup-system.

Exempel

Här nedan några exempel på hur information riskeras och bör skyddas:

  • Sekretess – Confidentiality: Skydda information från att avslöjas till obehöriga parter. Till exempel när du lämnar in till en webbplats dina personuppgifter ska de endast användas i lagliga syfte och under överenskommelser du själv godkänner. När det gäller näringslivet bör känslig information, såsom försäljningsuppgifter eller kunddata, endast nås av auktoriserade personer som ledande befattningshavare och säljteam, och inte andra verksamheter eller avdelningar.
  • Integritet – skydda information från att ändras av obehöriga parter. Till exempel när du skickar dina personuppgifter till en webbplats, bör dina personuppgifter inte ändras på något sätt under dataöverföringen eller av webbplatsföretaget. När det gäller företag bör viktiga dokument eller siffror inte ändras och inte heller ändras av obehöriga utan föregående meddelande.
  • Tillgänglighet – Availability: Tillgång till information till behöriga parter endast när det begärs. Till exempel när du när som helst vill komma åt och kontrollera dina personuppgifter som hålls på en webbplats. När det gäller företag bör auktoriserad ledande personal ha tillgång till försäljningsuppgifter vid behov. Ingen annan bör tillåtas använda dina uppgifter för olagliga ändamål, eller se data ut ur nyfikenhet.

Riskhantering

Nätverkssäkerhetsingenjörer måste förstå vad de skyddar, men också från vem eller vilka. Riskhantering, ibland kallad incidenthantering, är nyckelordet som du kommer att höra om och om relaterad till nätverkssäkerhet. Det betyder att man hanterar alla risk baserat på specifika principer och koncept relaterade till hur resurser skyddas (asset protection) och själva säkerhetshantering (security management).

Viktiga begrepp:

  • Vad är en resurs – asset? Det är allt som är värdefullt för en organisation. Dessa kan vara konkreta objekt (personer, datorer, nätverkshanterare osv.) eller logiska objekt (immateriell egendom, databas information, kontaktlistor, redovisningsinfo, ekonomistatus, osv.). Att känna till resurserna som du försöker skydda och känna deras värde, plats och exponering kan hjälpa dig att mer effektivt bestämma tid och pengar för att spendera för att säkra dessa tillgångar.
  • En sårbarhet eller vulnerability på engelska är en utsatt svaghet i ett system eller dess design. Sårbarheter kan finnas i protokoll, operativsystem, applikationer och systemdesign.
  • Ett hot eller threat på engelska är en potentiell fara för en resurs. Om en sårbarhet finns men ännu inte utnyttjats är hotet latent. Om någon sårbarhet är utsatt till en attack mot ditt system har hotet realiserats.
  • Attacker som utnyttjar sårbarheten kallas den skadliga aktören (malicious actor) och sättet som används av denna angripare för att utföra attacken kallas hot-vektor eller på engelska threat vector.
  • En skyddsåtgärd som på något sätt mildrar en potentiell risk kallas på engelska countermeasure. Åtgärderna har för syfte att antingen minska eller eliminera sårbarheten, eller åtminstone minska sannolikheten för attacker. Till exempel en nätverkshanterare, säg en router, i ditt nätverk som inte har säkrats först blir det direkt en sårbarnätverksenhet.
  • Varje säkerhetskonfiguration är en del av ett styrande huvuddokument med namn Säkerhetspolicy. Alla säkerhetsimplementationer följer företagets säkerhetspolicy oavsett hur stor eller små är säkerhetsåtgärden.

Kostnadskrävande säkerhetssystem

Vill man säkra sitt företag ska det kosta och det är därför oftast skyddas just de företag som har råd att betala dessa säkerhetssystem. Vad händer då med mindre företag? Inte lika kraftiga säkerhetssystem men det finns gått om säkerhetskonfigurationer exempelvis via Cisco NFP.