Kompyuter xavfsizligi, kiberxavfsizlik yoki axborot texnologiyalari xavfsizligi


Muvaffaqiyatsiz hujum strategiyasi


Download 42.74 Kb.
bet2/2
Sana28.12.2022
Hajmi42.74 Kb.
#1012982
1   2
Bog'liq
Kompyuter xavfsizligi

Muvaffaqiyatsiz hujum strategiyasi[tahrir | manbasini tahrirlash]
Milliy xavfsizlik agentligi (NSA) AQSh axborot tizimlarini himoya qilish, shuningdek, xorijiy razvedka ma'lumotlarini yig'ish uchun javobgar hisoblangan[11]. Bu ikki vazifa bir-biriga zid bo`lgan. Axborot tizimlarini himoya qilish dasturiy ta'minotni baholash, xavfsizlik kamchiliklarini aniqlash hamda kamchiliklarni tuzatish choralarini ko'rishni o'z ichiga olgan. Razvedka ma'lumotlarini to'plash uchun xavfsizlik kamchiliklaridan foydalanishni o'z ichiga oladi. Bu esa tajovuzkor harakat hisoblangan. Xavfsizlik kamchiliklarini tuzatish kamchiliklarni NSA ekspluatatsiyasi uchun imkonsiz qilgan
Agentlik Amerika Qo'shma Shtatlaridagi raqobatchilarga qarshi tajovuzkor maqsadlarda saqlaydigan xavfsizlik kamchiliklarini aniqlash uchun keng tarqalgan dasturiy ta'minotni tahlil qilagan. Agentlik kamdan-kam hollarda dasturiy ta'minot ishlab chiqaruvchilariga kamchiliklar haqida xabar bergan. Ularni bartaraf etish uchun ham himoya choralarini shu davrda kamdan-kam ko'rilgan[12].
Hujum strategiyasi bir muncha vaqt ishladi, ammo oxir-oqibat boshqa davlatlar, jumladan, RossiyaEronShimoliy Koreya va Xitoy ham o'zlarining hujum qobiliyatiga ega bo'lishdi. Undan AQShga qarshi foydalanishdi. NSA pudratchilari AQSh agentliklari va yaqin ittifoqchilariga "klik va o'q" hujum vositalarini yaratdilar, sotdilar. 2016-yilda NSAning shaxsiy xakerlik vositalari buzib kirilgan va ulardan Rossiya va Shimoliy Koreya foydalangan. NSA xodimlari va pudratchilari kiberurushda raqobatlashishdan xavotirda bo'lganlar va qarshi tomonlardan yuqori maoshga yollangan[12].
Bunga misol 2007-yilda Qo'shma Shtatlar va Isroil Eronda yadroviy materiallarni qayta ishlash uchun ishlatiladigan uskunalarga hujum qilish va ularga zarar etkazish uchun Microsoft Windows operatsion tizimidagi xavfsizlik kamchiliklaridan foydalana boshlagandan so`ng Eron ham bunga javoban o'zining kiberurush qobiliyatiga katta sarmoya kiritgan. AQShga qarshi foydalanishni boshlagan[12].
Terminologiyalari[tahrir | manbasini tahrirlash]
Kompyuter xavfsizligi uchun ishlatiladigan quyidagi atamalar quyida tushuntiriladi:

  • Kirish avtorizatsiyasi autentifikatsiya tizimlaridan foydalanish orqali bir guruh foydalanuvchilar uchun kompyuterga kirishni cheklaydi. Ushbu tizimlar interaktiv kirish ekrani kabi butun kompyuterni yoki FTP serveri kabi alohida xizmatlarni himoya qilishi mumkin. Parollar, identifikatsiya kartalari, smart -kartalar va biometrik tizimlar kabi foydalanuvchilarni aniqlash va autentifikatsiya qilishning ko'plab usullari mavjud.

  • Antivirus dasturlari kompyuter viruslari va boshqa zararli dasturlarni (zararli dastur) aniqlash, oldini olish va yo'q qilishga harakat qiladigan kompyuter dasturlaridan iborat.

  • Ilovalar bajariladigan koddir, shuning uchun umumiy amaliyot foydalanuvchilarga ularni o'rnatishga ruxsat bermaslikdir ; faqat obro'li deb ma'lum bo'lganlarni o'rnatish - va imkon qadar kamroq o'rnatish orqali hujum yuzasini kamaytirish. Ular odatda eng kam imtiyozlar bilan ishlaydi, ular uchun chiqarilgan xavfsizlik yamoqlari yoki yangilanishlarini aniqlash, sinab ko'rish va o'rnatish uchun mustahkam jarayon mavjud.

  • Autentifikatsiya usullaridan aloqa so'nggi nuqtalari ular aytganidek ekanligiga ishonch hosil qilish uchun foydalanish mumkin.

  • Avtomatlashtirilgan teoremani isbotlash va boshqa tekshirish vositalari xavfsiz tizimlarda ishlatiladigan muhim algoritmlar va kodlarni ularning spetsifikatsiyalariga javob berishini matematik jihatdan isbotlash uchun ishlatilishi mumkin.

  • Zaxira nusxalari - bu muhim kompyuter fayllarining bir yoki bir nechta nusxalari. Odatda, bir nechta nusxalar turli joylarda saqlanadi, shuning uchun nusxa o'g'irlangan yoki shikastlangan bo'lsa, boshqa nusxalar saqlanib qoladi.

  • Imtiyozlarni ajratish va kirishni majburiy boshqarishni ta'minlash uchun imkoniyatlar va kirishni boshqarish ro'yxati texnikasidan foydalanish mumkin. Imkoniyatlar vs. ACLlar ulardan foydalanishni muhokama qiladi.

  • Ishonch zanjiri usullaridan barcha yuklangan dasturiy ta'minot tizim dizaynerlari tomonidan haqiqiyligi sertifikatlanganligiga ishonch hosil qilish uchun foydalanish mumkin.

  • Maxfiylik - boshqa vakolatli shaxsdan tashqari ma'lumotlarning oshkor qilinmasligi[13].

  • Kriptografik usullar tizimlar o'rtasida tranzitda ma'lumotlarni himoya qilish uchun ishlatilishi mumkin, bu tizimlar o'rtasidagi ma'lumotlar almashinuvini ushlab turish yoki o'zgartirish ehtimolini kamaytiradi.

  • Kiberurush - bu axborot va axborot tizimlariga siyosiy sabablarga ko'ra hujumlarni o'z ichiga olgan Internetga asoslangan mojaro. Bunday hujumlar, masalan, rasmiy veb-saytlar va tarmoqlarni o'chirib qo'yishi, muhim xizmatlarni to'xtatishi yoki o'chirib qo'yishi, maxfiy ma'lumotlarni o'g'irlashi yoki o'zgartirishi va moliyaviy tizimlarni buzishi mumkin.

  • Ma'lumotlar yaxlitligi - bu saqlangan ma'lumotlarning aniqligi va izchilligi, bu ma'lumotlar yozuvining ikki yangilanishi o'rtasida ma'lumotlarda hech qanday o'zgarishlarning yo'qligi bilan ko'rsatiladi[14].


Kriptografik usullar ma'lumotni o'zgartirishni, uni shifrlashni o'z ichiga oladi, shuning uchun uzatish paytida uni o'qib bo'lmaydi. Belgilangan qabul qiluvchi xabarni ochishi mumkin; Ideal holda, tinglovchilar buni qila olmaydi.

  • Shifrlash xabarning maxfiyligini himoya qilish uchun ishlatiladi. Kriptografik jihatdan xavfsiz shifrlar ularni buzishning har qanday amaliy urinishini amalga oshirib bo'lmaydigan qilish uchun mo'ljallangan. Simmetrik kalitli shifrlar umumiy kalitlardan foydalangan holda ommaviy shifrlash uchun javob beradi va raqamli sertifikatlar yordamida ochiq kalitli shifrlash kalitni oldindan almashganda xavfsiz muloqot qilish muammosini amaliy hal qilishi mumkin.

  • Oxirgi nuqta xavfsizligi dasturi tarmoqlarga noutbuklar, mobil qurilmalar va USB drayvlar kabi potentsial infektsiyalangan qurilmalarning tarqalishi tufayli zaif bo'lgan tarmoq kirish nuqtalarida zararli dasturlarning infektsiyasi va ma'lumotlar o'g'irlanishining oldini olishda yordam beradi[15].

  • Faervollar faqat belgilangan qoidalarga mos keladigan trafikni ta'minlaydigan tarmoqlar o'rtasida darvozabon tizimi bo'lib xizmat qiladi. Ular ko'pincha batafsil jurnalni o'z ichiga oladi va hujumni aniqlash va kirishni oldini olish xususiyatlarini o'z ichiga olishi mumkin. Ular kompaniyaning mahalliy tarmoqlari va Internet o'rtasida deyarli universaldir, lekin tarmoq segmentatsiyasi sozlangan bo'lsa, tarmoqlar o'rtasida yo'l harakati qoidalarini o'rnatish uchun ichki foydalanish mumkin.

  • Hacker - bu himoya tizimini buzish va kompyuter tizimi yoki tarmoqdagi zaif tomonlardan foydalanishga intiladigan odam.

  • Asal kostryulkalar - bu krakerlar tomonidan ataylab himoyasiz qoldirilgan kompyuterlar. Ulardan krakerlarni tutish va ularning texnikasini aniqlash uchun foydalanish mumkin.

  • Bosqinlarni aniqlash tizimlari tarmoqlar yoki tizimlarni zararli faoliyat yoki siyosat buzilishini kuzatuvchi qurilmalar yoki dasturiy ilovalardir.

  • Mikroyadro - bu eng imtiyozli darajada ishlaydigan va operatsion tizimning boshqa elementlarini, masalan, qurilma drayverlari, protokollar steklari va fayl tizimlarini xavfsizroq, kamroq ishlatadigan operatsion tizim dizayniga yondashuv. imtiyozli foydalanuvchi maydoni .

  • Pinging . Standart "ping" ilovasidan IP-manzil ishlatilayotganligini tekshirish uchun foydalanish mumkin. Agar shunday bo'lsa, tajovuzkorlar qaysi xizmatlar ko'rsatilishini aniqlash uchun portni skanerlashi mumkin.

  • Port skanerlash kirish mumkin bo'lgan tarmoq xizmatlari va ilovalarini aniqlash uchun ochiq portlar uchun IP-manzilni tekshirish uchun ishlatiladi.

  • Kalit qaydnomasi foydalanuvchi kompyuter klaviaturasida yozgan har bir tugmani jimgina yozib oladigan va saqlaydigan josuslik dasturidir.

  • Ijtimoiy muhandislik - bu odamlarni xavfsizlikni buzish uchun manipulyatsiya qilish uchun yolg'ondan foydalanish.

  • Mantiqiy bombalar - bu qonuniy dasturga qo'shilgan zararli dastur turi bo'lib, u ma'lum bir hodisa tomonidan ishga tushirilgunga qadar harakatsiz qoladi.

  • Nolinchi ishonch xavfsizligi tarmoq ichida yoki tashqarisida sukut bo'yicha hech kimga ishonilmasligini anglatadi va tarmoqdagi resurslarga kirishga harakat qilayotgan har bir kishidan tekshirish talab qilinadi.

Sohaning taniqli olimlari[tahrir | manbasini tahrirlash]

  • Ross J. Anderson

  • Annie Anton

  • Adam Back

  • Daniel J. Bernstein

  • Matt Blaze

  • Stefan Brands

  • L. Jean Camp

  • Lorrie Cranor

  • Dorothy E. Denning

  • Peter J. Denning

  • Cynthia Dwork

  • Chuck Easttom

  • Deborah Estrin

  • Joan Feigenbaum

  • Ian Goldberg

  • Shafi Goldwasser

  • Lawrence A. Gordon

  • Peter Gutmann

  • Paul Kocher

  • Monica S. Lam

  • Butler Lampson

  • Brian LaMacchia

  • Susan Landau

  • Carl Landwehr

  • Kevin Mitnick

  • Peter G. Neumann

  • Susan Nycum

  • Paul C. van Oorschot

  • Roger R. Schell

  • Bruce Schneier

  • Dawn Song

  • Gene Spafford

  • Salvatore J. Stolfo

  • Willis Ware

  • Moti Yung

Manbalar[tahrir | manbasini tahrirlash]

  1.  Schatz, Daniel; Bashroush, Rabih; Wall, Julie (2017). "Towards a More Representative Definition of Cyber Security" (en). Journal of Digital Forensics, Security and Law 12 (2). ISSN 1558-7215.

  2.  Definition & Facts | Britannica“ (en-US). www.britannica.com. Qaraldi: 12-iyul 2022-yil.

  3.  Kianpour, Mazaher; Kowalski, Stewart; Øverby, Harald (2021). "Systematically Understanding Cybersecurity Economics: A Survey". Sustainability 13 (24): 13677. doi:10.3390/su132413677.

  4.  Stevens, Tim (11 June 2018). "Global Cybersecurity: New Directions in Theory and Methods"Politics and Governance 6 (2): 1–4. doi:10.17645/pag.v6i2.1569.

  5. ↑ Jump up to:5,0 5,1 Misa, Thomas J. (2016). "Computer Security Discourse at RAND, SDC, and NSA (1958-1970)"IEEE Annals of the History of Computing 38 (4): 12–25. doi:10.1109/MAHC.2016.48.

  6.  A. J. Neumann, N. Statland and R. D. Webb. „Post-processing audit tools and techniques“ (en-US). nist.gov 11-3–11-4. US Department of Commerce, National Bureau of Standards (1977). Qaraldi: 19-iyun 2020-yil.

  7.  Irwin. „How NIST can protect the CIA triad, including the often overlooked 'I' – integrity“www.itgovernanceusa.com (5-aprel 2018-yil). Qaraldi: 16-yanvar 2021-yil.

  8.  Perrin. „The CIA Triad“techrepublic.com (30-iyun 2008-yil). Qaraldi: 31-may 2012-yil.

  9.  Stoneburner, G.; Hayden, C.; Feringa, A. (2004). Engineering Principles for Information Technology Security. csrc.nist.gov. doi:10.6028/NIST.SP.800-27rA.

  10.  Yost, Jeffrey R. (April 2015). "The Origin and Early History of the Computer Security Software Products Industry"IEEE Annals of the History of Computing 37 (2): 46–58. doi:10.1109/MAHC.2015.21ISSN 1934-1547.

  11.  Nakashima, Ellen„Bush Order Expands Network Monitoring: Intelligence Agencies to Track Intrusions“The Washington Post (26-yanvar 2008-yil). Qaraldi: 8-fevral 2021-yil.

  12. ↑ Jump up to:12,0 12,1 12,2 Nicole Perlroth„How the U.S. Lost to Hackers“The New York Times (7-fevral 2021-yil). Qaraldi: 9-fevral 2021-yil. Manba xatosi: Invalid  tag; name "perlroth" defined multiple times with different content Manba xatosi: Invalid  tag; name "perlroth" defined multiple times with different content

  13.  „Confidentiality“. Qaraldi: 31-oktabr 2011-yil.

  14.  „Data Integrity“. 6-noyabr 2011-yilda asl nusxadan arxivlandi. Qaraldi: 31-oktabr 2011-yil.

  15.  „Endpoint Security“ (10-noyabr 2010-yil). 16-mart 2014-yilda asl nusxadan arxivlandi. Qaraldi: 15-mart 2014-yil.

Download 42.74 Kb.

Do'stlaringiz bilan baham:
1   2




Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©fayllar.org 2024
ma'muriyatiga murojaat qiling