Cyberbezpieczeństwo okiem programisty
Infrastruktura klucza publicznego (PKI) to termin o szerokim znaczeniu, jednak najczęściej stosuje się go w odniesieniu do kompletnego systemu opartego na kryptografii klucza publicznego, którego celem jest weryfikacja tożsamości oraz wiarygodności użytkowników, systemów lub urządzeń poprzez cyfrowe certyfikaty wykorzystywane w komunikacji elektronicznej.
W poprzedniej publikacji omówiliśmy procesy zarządzania zmianami z biznesowego punktu widzenia. Jednakże samo wdrożenie zmian leży w gestii zespołów technicznych, które wiedzą (a przynajmniej powinny) w jaki sposób to uczynić.
Każda zmiana, nawet najmniejsza, w rozbudowanym środowisku firmowym może nieść za sobą poważne konsekwencje dla wielu obszarów organizacji. Z tego względu wszystkie zmiany, szczególnie w obszarze IT, powinny odbywać się w ramach sformalizowanego procesu. Dzięki temu łatwiej jest utrzymać ciągłość działania systemów i usług, a tym samym zapewnić ciągłość działalności operacyjnej przedsiębiorstwa.
Model bezpieczeństwa zero trust (w wolnym tłumaczeniu: nie ufaj nikomu i niczemu) opiera na zasadzie nieustannej kontroli dostępu do chronionych zasobów, również w przypadku użytkowników i urządzeń, którzy już nawiązali połączenie z siecią wewnętrzną.
Aby utrudnić ataki typu brute-force, oprócz dodawania soli (ang. salting) do haseł, stosuje się również technikę o nazwie key stretching. Jest to celowe wydłużenie czasu obliczeń wykonywanych przez funkcję skrótu. Implementacja tej techniki polega zazwyczaj na kilkukrotnym wywołaniu funkcji hashującej odpornej na kolizje – czyli z hasła jest liczony skrót, potem z tego skrótu liczony jest kolejny...
Podpis cyfrowy (ang. digital signature) to mechanizm bazujący na szyfrowaniu asymetrycznym, wykorzystujący matematyczną relację pomiędzy kluczem publicznym (ang. public key) i prywatnym (ang. private key), a jego celem jest zagwarantowanie niezmienności (integrity) oraz niezaprzeczalności (non-repudiation) podczas komunikacji.
Aby utrudnić ataki siłowe prowadzące do złamania hasha, stosuje się tzw. solenie (ang. salting). Proces ten polega na dodaniu losowego łańcucha znaków, zwanego solą (ang. salt), do oryginalnej wartości, jeszcze przed obliczeniem skrótu.
Zasada niezaprzeczalności (ang. non-repudiation), oprócz bycia jednym z fundamentalnych zasad bezpieczeństwa IT, jest również istotnym elementem kryptografii. Zapewnia, że otrzymana wiadomość, w niezmienionej formie, została wysłana przez domniemanego nadawcę, który teraz nie może tego faktu się wyprzeć.
W obszarze bezpieczeństwa IT, analiza luk (ang. security gap analysis) sprowadza się do ustalenia, jakie środki bezpieczeństwa (ang. security controls) należy wdrożyć bądź poprawić w naszej organizacji, żeby osiągnąć pożądany stan bezpieczeństwa, zdefiniowany na podstawie ustalonych wytycznych. Innymi słowy, porównujemy aktualnie stosowane środki, z tymi, które trzeba docelowo wdrożyć...
Triada CIA, często przedstawiana graficznie w formie trójkąta, opisuje fundamentalne cele bezpieczeństwa IT. Są to: poufność (ochrona przed nieautoryzowanym dostępem), nienaruszalność (ochrona przed niepożądaną modyfikacją danych) oraz dostępność (zapewnienie, że autoryzowani użytkownicy mają dostęp do danych, kiedy tylko tego potrzebują).
Cyberbezpieczeństwo okiem programisty
Programista, który zainteresował się cyberbezpieczeństwem.