cybersecurity AWAREness in VET
cybersecurity AWAREness in VET
Nazaj na izobraževanje

AWARE Baza znanja

0% končano
0/0 Steps
  1. Modul 1: Kratka zgodovina kibernetske varnosti in etičnega hekerstva
    4 Poglavja
    |
    1 Kviz
  2. Modul 2: Digitalna preobrazba in kibernetska varnost
    4 Poglavja
    |
    1 Kviz
  3. Modul 3: Grožnje v digitalnem svetu
    4 Poglavja
    |
    1 Kviz
  4. Modul 4: Digitalna miselnost in digitalne spretnosti
    4 Poglavja
    |
    1 Kviz
AWARE Baza znanja Modul 1: Kratka zgodovina kibernetske varnosti in etičnega hekerstva Poglavje 2: samostojno učenje – Vrste kibernetske varnosti in etično hekanje
Modul 1, Poglavje 3
V pripravi

Poglavje 2: samostojno učenje – Vrste kibernetske varnosti in etično hekanje

NAPREDEK V MODULU
0% končano

Vrste kibernetske varnosti

1. Varnost kritične infrastrukture

Varnost kritične infrastrukture se nanaša na zaščito sistemov, omrežij in sredstev, katerih neprekinjeno delovanje je potrebno za zagotavljanje varnosti države, njenega gospodarstva ter javnega zdravja in/ali varnosti.

S stalnimi razvojnimi trendi, kot sta mreženje med stroji (M2M) in internet stvari (IoT), so naprave v industrijskih okoljih vse bolj povezane z internetom in zmožne izmenjave podatkov. Kljub pomembnosti teh sistemov je varnost pogosto nerelevantna za tiste, ki se ne ukvarjajo z informacijsko tehnologijo.

Varnost kritične infrastrukture delimo na tri vrste:

  • Nadzor dostopa: preprečevanje dostopa do omrežja nepooblaščenim uporabnikom in napravam;
  • varnost aplikacij: Varnostni ukrepi za strojno in programsko opremo, ki preprečujejo morebitne šibke točke;
  • požarni zidovi: naprave za varovanje vstopnih točk, ki lahko dovolijo ali preprečijo določen promet v omrežje ali iz njega.

2. Varnost aplikacij

Čeprav je varnost aplikacij v središču pozornosti razvijalcev, ta vrsta kibernetske varnosti presega proces razvoja in načrtovanja. Tudi če uvajate le programsko opremo in aplikacije, ki so že na voljo, morate trajno zagotavljati njihovo varnost v celotnem življenjskem ciklu.

Šibke točke predstavljajo eno od največjih tveganj, saj jih pri kibernetskih napadih izkoriščajo za dostop do vašega omrežja. Obstajajo številni primeri kršitev, ki so pokazali, kako uničujoče posledice lahko povzročijo take zlorabe. Na primer, ocenjena skupna škoda zaradi kampanje izsiljevalske programske opreme WannaCry, ki je izkoriščala šibkost v operacijskem sistemu Microsoft Windows, se je povzpela na milijarde dolarjev.

Poleg šibkih točk, poznamo tudi druge izzive na področju varnosti aplikacij:

  • SQL in druga vrivanja kode – gre za vrsto napada, pri katerem napadalec v spletno aplikacijo ali podatkovno zbirko vstavi zlonamerno kodo (na primer ukaze SQL ali JavaScript), da bi ogrozil sistem ali ukradel občutljive podatke. Vrivanje programske kode se lahko uporabi za izkoriščanje ranljivosti v sistemu, kot so napake pri potrjevanju vnosa ali nezadostno obdelan uporabniški vnos.
  • Napadi DDoS – DDoS je kratica za Distributed Denial of Service in pomeni napad, pri katerem več sistemov (pogosto kompromitiranih računalnikov ali strežnikov) s prometom preplavlja ciljno spletno mesto ali omrežje in ga tako onemogoča legitimnim uporabnikom. Napade DDoS je težko ubraniti, saj lahko vključujejo velike količine prometa in prihajajo iz različnih virov.
  • Slab nadzor dostopa – gre za stanje, ko sistem ali aplikacija ne omejuje ustrezno dostopa do občutljivih podatkov ali funkcij, kar nepooblaščenim uporabnikom omogoča pregledovanje, spreminjanje ali brisanje informacij. Do tega lahko pride zaradi različnih dejavnikov, kot so slabe smernice za gesla, nezadostni ukrepi avtentikacije ali neustrezno upravljanje privilegijev.
  • Pomanjkanje šifriranja – šifriranje pomeni postopek kodiranja informacij na način, ko jih brez ustreznega dešifrirnega ključa nihče ne more prebrati. Če podatki niso šifrirani, jih lahko napadalci, ki imajo dostop do omrežja ali sistema, v katerem so podatki shranjeni ali preneseni, prestrežejo in ukradejo.
  • Napačne konfiguracije – gre za napake ali spreglede pri konfiguraciji programske opreme, sistemov ali omrežij, zaradi katerih so ti lahko ranljivi za napade. Do napačnih konfiguracij lahko pride iz različnih razlogov, kot so človeška napaka, nerazumevanje najboljših varnostnih praks ali napačno sporazumevanje med različnimi ekipami in oddelki. Primeri napačnih konfiguracij so puščanje privzetih gesel, nezakrpavanje znanih pomanjkljivosti ter napačna konfiguracija požarnih zidov ali drugih varnostnih kontrol.

3. Varnost omrežja

Varnost omrežja je širok pojem, ki vključuje aktivnosti in nadzor, namenjene varovanju celovitosti omrežne infrastrukture – zaščito omrežja in podatkov pred grožnjami, nepooblaščenimi dostopi, vdori, kršitvami, zlorabami itd. Nadzor se izvaja v treh oblikah:

  • fizično, s čimer se preprečuje nepooblaščen fizični dostop do omrežne infrastrukture, vključno s podatkovnimi centri, usmerjevalniki in strežniki;
  • tehnično, s čimer se varuje podatke v omrežju, ne glede na to, ali so shranjeni ali se prenašajo;
  • upravno, ki zajema varnostne procese in politike, ki nadzorujejo dostop do omrežja.

4. Varnost v oblaku

Varnost v oblaku se nanaša na tehnologijo, politike in postopke, ki se uporabljajo za zmanjševanje varnostnih tveganj računalništva v oblaku, ne glede na to, ali se uporabljajo javni, zasebni ali hibridni oblaki. To vrsto kibernetske varnosti spremljajo edinstveni izzivi, kot so npr:

  • vidnost: interna ekipa za IT ali varnost ima manjšo vidljivost shranjenih podatkov, saj želimo, da so storitve dostopne zunaj omrežja, upravlja pa jih tretji ponudnik;
  • več oblakov: uporaba okolij z več oblaki je nekaj, kar počne večina organizacij/podjetij/javnih in zasebnih organov. To je trend, ki bo nadalje rastel;
  • skladnost: če se pri uporabi javnega oblaka zanašate na zunanjega ponudnika, je vaš postopek zagotavljanja skladnosti s predpisi dodatna stopnja pri upravljanju procesov v vašem podjetju.

5. Varnost interneta stvari (IoT)

Nalogo varovanja na področju interneta stvari predstavlja zaščita internetnih naprav in omrežij, s katerimi so te povezane, pred grožnjami in vdori. To pomeni zaščito, prepoznavanje in spremljanje tveganj ter hkrati pomoč pri odpravljanju ranljivosti različnih naprav, ki lahko predstavljajo varnostno tveganje za vaše poslovanje.

Vrste etičnega (BREZ) hekerstva

Hekerje lahko glede na njihovo namero za vdor v sistem razdelimo na bele, črne in sive. Ti izrazi izvirajo iz starih špageti vesternov, kjer ima zlobnež črn kavbojski klobuk, dobri pa bel klobuk.

Hekerji z belim klobukom so etični hekerji, ki vdirajo v sisteme, da bi preprečili kibernetske napade. Hekerji s črnim klobukom se infiltrirajo v sistem ali namestijo zlonamerno programsko opremo, da bi izkoristili ranljivosti za osebno korist.

Beli klobuki

Etično hekanje, znano tudi kot “white hat” hekanje (beli klobuki), se nanaša na odkrivanje ranljivosti v računalniških sistemih in omrežjih z dovoljenjem in vednostjo lastnika sistema, z namenom izboljšanja varnosti. Etični hekerji uporabljajo enake tehnike in orodja kot zlonamerni hekerji, vendar je njihov cilj ugotoviti ranljivosti in jih sporočiti lastniku sistema, da jih lahko odpravi, preden jih lahko napadalci izkoristijo.

Beli hekerji so znani tudi kot etični hekerji. Nikoli ne nameravajo škodovati sistemu. Namesto tega skušajo v okviru penetracijskega testiranja in ocenjevanja ranljivosti najti slabosti v računalniškem ali omrežnem sistemu.

Etično hekanje ni nezakonito in je eno najzahtevnejših del v industriji IT. Številna podjetja zaposlujejo etične hekerje za penetracijsko testiranje in ocenjevanje ranljivosti.

Črni klobuki

Črni klobuki, znani tudi kot krekerji, vdirajo z namenom pridobiti nepooblaščen dostop do sistema in škodovati njegovemu delovanju ali ukrasti občutljive informacije.

Vdori črnih klobukov so vedno nezakoniti zaradi svojih namenov, vključno s krajo podatkov podjetja, kršenjem zasebnosti, poškodovanjem sistema in blokiranjem omrežne komunikacije.

Sivi klobuki

Gre za mešanico hekerjev s sivim klobukom in hekerjev z belim klobukom. Delujejo brez slabih namenov, vendar za zabavo izkoriščajo varnostne pomanjkljivosti v računalniškem sistemu ali omrežju brez lastnikovega dovoljenja ali vednosti.

Njihov namen je opozoriti lastnike na pomanjkljivosti in od njih dobiti priznanje ali manjšo nagrado.

Rdeči hekerji

Organizacije najamejo rdeče hekerje za simulacijo resničnih napadov na njihove sisteme, omrežja in aplikacije. Preizkusijo zaščito organizacije in pomagajo ugotoviti pomanjkljivosti, ki jih je potrebno odpraviti.

Modri hekerji

Delujejo v okviru varnostne ekipe organizacije, namenjene zaščiti pred napadi in varovanju premoženja organizacije. S hekerskimi tehnikami lahko odkrivajo in odpravljajo ranljivosti, spremljajo sisteme zaradi sumljivih aktivnosti in se odzivajo na ogrožanje varnosti.

Lovci na hrošče

Lovci na hrošče so posamezniki, ki iščejo varnostne ranljivosti v sistemih, omrežjih in aplikacijah ter jih prijavljajo organizacijam v zameno za nagrado.

Zavedaj se in bodi skrben!

Financirano s strani Evropske unije. Izražena stališča in mnenja so zgolj stališča in mnenja avtorja(-ev) in ni nujno, da odražajo stališča in mnenja Evropske unije ali Evropske izvajalske agencije za izobraževanje in kulturo (EACEA). Zanje ne moreta biti odgovorna niti Evropska unija niti EACEA.

Št. projekta:: 2021-1-SI01-KA220-VET-000033366

© 2024 AWARE | handcrafted and powered with love by p-consulting.gr