Μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή
| Κύριος συγγραφέας: | |
|---|---|
| Μορφή: | Μεταπτυχιακή εργασία |
| Γλώσσα: | Greek |
| Έκδοση: |
Α.Ε.Ι. Πειραιά Τ.Τ.
2018
|
| Θέματα: | |
| Διαθέσιμο Online: | http://okeanis.lib2.uniwa.gr/xmlui/handle/123456789/4509 |
| _version_ | 1780278336760578048 |
|---|---|
| abstract | Η ραγδαία ανάπτυξη της πληροφορικής έχει σαν αποτέλεσμα την εξέλιξη των προϊόντων σε όλο το φάσμα της καθημερινότητας των ανθρώπων. Οι επιχειρήσεις και οι οργανισμοί μέσω της εξέλιξης των πληροφοριακών συστημάτων, κατάφεραν να αυξήσουν την παραγωγική τους διαδικασία και να βελτιώσουν την ποιότητα των προϊόντων τους σε επίπεδα πολύ υψηλότερα σε σχέση με το παρελθόν.
Η συντριπτική πλειοψηφία των οργανισμών σήμερα, βασίζεται στην πληροφορική για την καθημερινή του λειτουργία. Τυχόν πρόβλημα σε πληροφοριακά συστήματα, έχει σαν αποτέλεσμα την καθυστέρηση ή ακόμα και την διακοπή της παραγωγικής διαδικασίας, για όσο διάστημα διαρκεί το πρόβλημα.
Παράλληλα όμως με την ανάπτυξη της πληροφορικής, αναπτύχθηκε το ίδιο ταχύτατα και το κυβερνοέγκλημα, δημιουργώντας προβλήματα στην λειτουργία των οργανισμών, καθιστώντας πλέον επιτακτική την ανάγκη προστασίας των πληροφοριακών τους συστημάτων. Στην παρούσα εργασία γίνεται προσπάθεια καταγραφής των βασικών ενεργειών που απαιτούνται με στόχο την οργάνωση της ασφάλειας των πληροφοριακών συστημάτων ενός οργανισμού. Αρχικά αναλύονται οι έλεγχοι ασφαλείας βάσει του OWASP testing project το οποίο παρέχει κατευθυντήριες οδηγίες για την ορθή ανάπτυξη ενός συνολικού πλαισίου ασφαλείας πληροφοριών. Στη συνέχεια γίνεται προσπάθεια ανάπτυξης μίας μεθοδολογίας αξιολόγησης κινδύνων ασφάλειας πληροφοριών, καθώς και μίας πολιτικής εντοπισμού αδυναμιών και διεξαγωγής ελέγχων ασφαλείας. Στο τέλος της εργασίας διενεργούνται δοκιμές διείσδυσης σε μία web εφαρμογή, με στόχο τη διερεύνηση τυχόν ευρημάτων ασφαλείας, πριν την ένταξή της στην παραγωγή. Οι δοκιμές διενεργούνται με τη χρήση του εργαλείου Zed Attack Proxy (ZAP) του OWASP. Ως πιθανά αποτελέσματα της εν λόγω μελέτης, αναμένεται να αναδειχθούν τα βήματα τα οποία απαιτείται να αναπτύξει ένας οργανισμός, με σκοπό την οργάνωση ενός συνολικού πλαισίου ασφάλειας πληροφοριών, το οποίο θα βοηθήσει τον οργανισμό να οργανώσει την προστασία του, με στόχο την ασφάλεια των πληροφοριακών του συστημάτων. Η ολοκληρωμένη προστασία του θα στηρίζεται σε τέσσερις βασικούς πυλώνες, οι οποίοι συνοπτικά αφορούν την προετοιμασία του για τη γνώση των κινδύνων και των δεδομένων που χρειάζεται να προστατεύσει, την προστασία με την εφαρμογή των κατάλληλων διαδικασιών και τεχνολογιών, την ανίχνευση και τον εντοπισμό για την όσο το δυνατό ταχύτερη ανίχνευση τυχόν επιθέσεων και τέλος την αντιμετώπιση για τη δημιουργία των απαιτούμενων σχεδίων δράσης για τη μείωση των επιπτώσεων πιθανών επιθέσεων. |
| abstracttranslated | The rapid development of information technology has resulted in the development of products throughout the everyday human lifetime. Businesses and organizations through the development of information systems have been able to increase their productivity and improve the quality of their products at levels much higher than in the past. The vast majority of organizations today are based on computing for their everyday operations. Possible errors in information systems result in the delay or even the interruption of the production process as long as the problem persists. However, with the development of information technology, cybercrime has quickly developed at the same time, creating problems in the operation of organizations as well as making it imperative to protect their information systems. This work attempts to capture and present the basic actions required to organize the security of the IT systems of an organization. Initially analyzed security audits based on the OWASP testing project, provides guidelines for the proper development of a comprehensive information security framework. An effort is then made to develop an information security Risk Assessment Methodology, as well as a Vulnerability Tracking Policy and conducting security audits. Finally, Penetration Tests are run on a web application in order to detect any security problems before it enters production. Tests are performed using the OWASP Zed Attack Proxy (ZAP) tool. As a possible outcome of this study, it is expected to find out the steps that an organization is required to develop, in order to set up a comprehensive information security framework, which will help the organization ensure the security of its information systems. Its comprehensive protection will be based on four key pillars, which briefly relate to its preparation for the knowledge of the risks and data it needs to protect, protection through the application of appropriate procedures and technologies, detection and identification for as long as possible. Detecting possible attacks more quickly, and finally addressing the need for action plans to reduce the impact of possible attacks. |
| advisor | |
| author | Κασινάς, Δημήτριος |
| author_facet | Κασινάς, Δημήτριος |
| author_sort | Κασινάς, Δημήτριος |
| collection | Okeanis Institutional Repository |
| format | Μεταπτυχιακή εργασία |
| id | okeanis-123456789-4509 |
| institution | University of West Attica Campus II |
| keyword | Ασφάλεια πληροφοριακών συστημάτων Διαχείριση κινδύνου Εντοπισμός αδυναμιών Δοκιμή διείσδυσης Ανίχνευση ευπαθειών OWASP testing project |
| language | Greek |
| physical | 154 |
| publishDate | 2018 |
| publisher | Α.Ε.Ι. Πειραιά Τ.Τ. |
| record_format | dspace |
| spelling | okeanis-123456789-45092018-12-14T10:04:38Z Μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή Study and implementation of risk assessment procedure and basic penetration tests of an application, before it enters in production environment Κασινάς, Δημήτριος Δρόσος, Χρήστος TPSH::Επιστήμη Υπολογιστών::Ασφάλεια Ηλεκτρονικών Υπολογιστών Ασφάλεια πληροφοριακών συστημάτων Διαχείριση κινδύνου Εντοπισμός αδυναμιών Δοκιμή διείσδυσης Ανίχνευση ευπαθειών OWASP testing project Η ραγδαία ανάπτυξη της πληροφορικής έχει σαν αποτέλεσμα την εξέλιξη των προϊόντων σε όλο το φάσμα της καθημερινότητας των ανθρώπων. Οι επιχειρήσεις και οι οργανισμοί μέσω της εξέλιξης των πληροφοριακών συστημάτων, κατάφεραν να αυξήσουν την παραγωγική τους διαδικασία και να βελτιώσουν την ποιότητα των προϊόντων τους σε επίπεδα πολύ υψηλότερα σε σχέση με το παρελθόν. Η συντριπτική πλειοψηφία των οργανισμών σήμερα, βασίζεται στην πληροφορική για την καθημερινή του λειτουργία. Τυχόν πρόβλημα σε πληροφοριακά συστήματα, έχει σαν αποτέλεσμα την καθυστέρηση ή ακόμα και την διακοπή της παραγωγικής διαδικασίας, για όσο διάστημα διαρκεί το πρόβλημα. Παράλληλα όμως με την ανάπτυξη της πληροφορικής, αναπτύχθηκε το ίδιο ταχύτατα και το κυβερνοέγκλημα, δημιουργώντας προβλήματα στην λειτουργία των οργανισμών, καθιστώντας πλέον επιτακτική την ανάγκη προστασίας των πληροφοριακών τους συστημάτων. Στην παρούσα εργασία γίνεται προσπάθεια καταγραφής των βασικών ενεργειών που απαιτούνται με στόχο την οργάνωση της ασφάλειας των πληροφοριακών συστημάτων ενός οργανισμού. Αρχικά αναλύονται οι έλεγχοι ασφαλείας βάσει του OWASP testing project το οποίο παρέχει κατευθυντήριες οδηγίες για την ορθή ανάπτυξη ενός συνολικού πλαισίου ασφαλείας πληροφοριών. Στη συνέχεια γίνεται προσπάθεια ανάπτυξης μίας μεθοδολογίας αξιολόγησης κινδύνων ασφάλειας πληροφοριών, καθώς και μίας πολιτικής εντοπισμού αδυναμιών και διεξαγωγής ελέγχων ασφαλείας. Στο τέλος της εργασίας διενεργούνται δοκιμές διείσδυσης σε μία web εφαρμογή, με στόχο τη διερεύνηση τυχόν ευρημάτων ασφαλείας, πριν την ένταξή της στην παραγωγή. Οι δοκιμές διενεργούνται με τη χρήση του εργαλείου Zed Attack Proxy (ZAP) του OWASP. Ως πιθανά αποτελέσματα της εν λόγω μελέτης, αναμένεται να αναδειχθούν τα βήματα τα οποία απαιτείται να αναπτύξει ένας οργανισμός, με σκοπό την οργάνωση ενός συνολικού πλαισίου ασφάλειας πληροφοριών, το οποίο θα βοηθήσει τον οργανισμό να οργανώσει την προστασία του, με στόχο την ασφάλεια των πληροφοριακών του συστημάτων. Η ολοκληρωμένη προστασία του θα στηρίζεται σε τέσσερις βασικούς πυλώνες, οι οποίοι συνοπτικά αφορούν την προετοιμασία του για τη γνώση των κινδύνων και των δεδομένων που χρειάζεται να προστατεύσει, την προστασία με την εφαρμογή των κατάλληλων διαδικασιών και τεχνολογιών, την ανίχνευση και τον εντοπισμό για την όσο το δυνατό ταχύτερη ανίχνευση τυχόν επιθέσεων και τέλος την αντιμετώπιση για τη δημιουργία των απαιτούμενων σχεδίων δράσης για τη μείωση των επιπτώσεων πιθανών επιθέσεων. The rapid development of information technology has resulted in the development of products throughout the everyday human lifetime. Businesses and organizations through the development of information systems have been able to increase their productivity and improve the quality of their products at levels much higher than in the past. The vast majority of organizations today are based on computing for their everyday operations. Possible errors in information systems result in the delay or even the interruption of the production process as long as the problem persists. However, with the development of information technology, cybercrime has quickly developed at the same time, creating problems in the operation of organizations as well as making it imperative to protect their information systems. This work attempts to capture and present the basic actions required to organize the security of the IT systems of an organization. Initially analyzed security audits based on the OWASP testing project, provides guidelines for the proper development of a comprehensive information security framework. An effort is then made to develop an information security Risk Assessment Methodology, as well as a Vulnerability Tracking Policy and conducting security audits. Finally, Penetration Tests are run on a web application in order to detect any security problems before it enters production. Tests are performed using the OWASP Zed Attack Proxy (ZAP) tool. As a possible outcome of this study, it is expected to find out the steps that an organization is required to develop, in order to set up a comprehensive information security framework, which will help the organization ensure the security of its information systems. Its comprehensive protection will be based on four key pillars, which briefly relate to its preparation for the knowledge of the risks and data it needs to protect, protection through the application of appropriate procedures and technologies, detection and identification for as long as possible. Detecting possible attacks more quickly, and finally addressing the need for action plans to reduce the impact of possible attacks. 2018-06 Μεταπτυχιακή εργασία http://okeanis.lib2.uniwa.gr/xmlui/handle/123456789/4509 el http://creativecommons.org/licenses/by-nc-nd/3.0/gr/ Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα Α.Ε.Ι. Πειραιά Τ.Τ. 154 http://okeanis.lib2.uniwa.gr/xmlui/bitstream/123456789/4509/4/mscauto_48.pdf.jpg |
| spellingShingle | TPSH::Επιστήμη Υπολογιστών::Ασφάλεια Ηλεκτρονικών Υπολογιστών Κασινάς, Δημήτριος Μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή |
| title | Μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή |
| title_full | Μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή |
| title_fullStr | Μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή |
| title_full_unstemmed | Μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή |
| title_short | Μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή |
| title_sort | μελέτη και υλοποίηση διαδικασίας αξιολόγησης κινδύνων και βασικοί έλεγχοι ευπαθειών εφαρμογής, πριν την ένταξη της σε παραγωγή |
| title_translated | Study and implementation of risk assessment procedure and basic penetration tests of an application, before it enters in production environment |
| topic | TPSH::Επιστήμη Υπολογιστών::Ασφάλεια Ηλεκτρονικών Υπολογιστών |
| url | http://okeanis.lib2.uniwa.gr/xmlui/handle/123456789/4509 |