SlideShare une entreprise Scribd logo

Czy systematyczne podejście do testów bezpieczeństwa się opłaca?

Logicaltrust pl
Logicaltrust pl

meetIT - 21.04.2016 Borys Łącki

Technologie
1  sur  36
Télécharger pour lire hors ligne
Czy systematyczne podejście do testów bezpieczeństwa się opłaca? Borys Łącki 21.04.2016
● Testy penetracyjne ● Audyty bezpieczeństwa ● Szkolenia ● Konsultacje ● Informatyka śledcza ● Aplikacje mobilne Borys Łącki > 10 lat - testy bezpieczeństwa Edukacja: www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
Bezpieczeństwo
Czy systematyczne podejście do testów bezpieczeństwa się opłaca? systematyczny 1. «robiący coś regularnie i starannie» opłacić się 2. «przynieść zysk, korzyść» http://sjp.pwn.pl/ Definicje
Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.” Perspektywa
Ochrona zasobów ● Wartość informacji – poufność ● Przerwa w działaniu – dostępność ● Oszustwa – integralność #koszty Nasi Klienci
Tworzenie oprogramowania "tworzymy oprogramowanie dla największych firm w kraju, oczywiście, że jest bezpieczne i przechodzi rygorystyczne testy bezpieczeństwa" #fail Nasi Klienci
Konsekwencje: - kradzież danych firmowych - konkurencja - publikacja danych firmowych np. o Klientach w sieci - szantaż - podmiana witryny firmowej - reputacja - kradzież środków finansowych - podmiana faktur, przelewów - ransomware rykoszet - atakuje się firmy tworzące oprogramowanie by zaatakować inne firmy Motywacja Klientów
Carbanak Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na całym świecie
Przelewy bankowe ● Zarząd Dróg Wojewódzkich wysłał ok. 3,7 mln zł na konto podane przez oszusta. ● Metro warszawskie zostaje okradzione na ponad pół miliona złotych
Przelewy bankowe
Polska
Ransomware
Konta Allegro
Konta bankowe
Karty płatnicze
Konta e-mail
Sklepy internetowe
Komputer w salonie T-Mobile
Dane firmowe
Koszty defektów http://www.embeddedinsights.com/channels/channels/voices-of-industry/
Koszty defektów
Koszty defektów
Liczba podatności
Testy bezpieczeństwa ● Jednorazowy test – usunięcie wielu podatności ● Ograniczenie ryzyka ● Zdobycie wiedzy i edukacja ● Ocena z zewnątrz ● Merytoryczny partner – prezentacje Klienta ● Zmniejszamy okno czasowe!
Liczba podatności
Systematyka ● Zwiększanie świadomości ● Edukacja ● Systematyka == przypominanie ● Działania proaktywne ● Bezpieczeństwo wpisane w koszty ● Admin, Developer, Tester, HR, Prezes
PhishMe_EnterprisePhishingSusceptibilityReport_2015_Final Czy to działa?
https://securityinside.pl SecurityInside.pl
SecurityInside.pl - wyniki testów Czy to działa?
Ciekawe ćwiczenia == Dyskusja pracowników Czy to działa?
https://securityinside.pl Kod rabatowy: sdbna2016m – 20% ważny do 24 maja 2016 SecurityInside.pl
● Zdobywaj wiedzę o zagrożeniach - edukuj siebie i innych! z3s.pl ● Nie klikaj! Weź głęboki oddech. Pomyśl. Działaj - Stop, Think, Connect ● Nie wpisuj swoich danych osobowych np. numeru telefonu ● Nie oddawaj swoich danych uwierzytelniających - login, hasło ● Używaj różnych i skomplikowanych haseł - menadżer haseł ● Zaloguj się, skorzystaj z serwisu, wyloguj się ● Zacznij robić kopie zapasowe ważnych danych - w różnych miejscach Pamiętaj! Rady dla pracowników
Lista kontrolna ● Aktualizacje - Systemy, aplikacje, urządzenia sieciowe, (...) ● Firewall - IPv4/IPv6, In/Out, Host, Network (Wi-Fi), (...) ● Hardening - Non-admin logins, EMET (ASLR, Anti-ROP), Wyłączenie zbędnych funkcji, Sandbox browser, ● Systemy bezpieczeństwa – PC - Anti-Virus, HIPS, Anti-Malware, (…) - ● Systemy bezpieczeństwa – Sieć - WAF, IPS/IDS, UTM, DLP, (...) ● Systemy operacyjne - N > N-1, (...) ● Kopie zapasowe - Weryfikacja poprawności, testy odtworzenia, ochrona, (...) ● Testy penetracyjne - Wewnętrzne, zewnętrzne, (...) ● Multi-factor authentication ● Białe listy aplikacji ● SIEM - Synchronizacja czasu, Centralne logowanie, Ochrona, (...) ● Ochrona fizyczna - Nie tylko pomieszczenia serwerowe, (...) ● Urządzenia mobilne - Szyfrowanie danych, Aplikacje z zaufanego źródła, PIN, (...) ● Dokumentacja - Porządek, Aktualizacja, Ochrona, (...) ● Polityka haseł - Tech + Soft, (...) ● Plany działania - Incident Response Plan, BCP, DR, Wymogi prawne, (...) ● Dział bezpieczeństwa - Kto? Gdzie? (...) ● Public Relations - Komunikat prasowy, Zakres, Do kogo? Gdzie?, (...) ● Usługi zewnętrzne - DNS, Cloud/Hosting, Facebook, Twitter, Google, (...) ● Usługi zewnętrzne - CERT, ISP, Informatyka śledcza, Testy penetracyjne (...) ● Edukacja - Systematyka, Szkolenia, Zwiększanie świadomości, Testy, (...) ● (...)
News: http://z3s.pl http://sekurak.pl/ http://niebezpiecznik.pl http://bothunters.pl http://nakedsecurity.sophos.com/ http://krebsonsecurity.com/ http://blogs.securiteam.com/ Narzędzia: http://virustotal.com - weryfikacja pliku w kilkudziesięciu silnikach AV (AntiVirus) http://bothunters.pl/2013/11/06/oszusci-na-allegro-falszywe-potwierdzenie-przelewu/ https://securelist.com/blog/virus-watch/67699/a-nightmare-on-malware-street/ https://www.av-test.org/ https://zaufanatrzeciastrona.pl/post/cryptorbit-czyli-polski-slad-w-kodzie-zrodlowym-ransomware/ https://zaufanatrzeciastrona.pl/post/nie-daj-sie-zlapac-czyli-jak-wirusy-szyfrujace-dyski-atakuja-swoje-ofiary/ https://zaufanatrzeciastrona.pl/post/seria-facebookowych-oszustw-w-ktore-ciagle-klikaja-wasi-znajomi/ https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-nietypowy-atak-udajacy-faktury-orange/ https://zaufanatrzeciastrona.pl/post/wiesz-kto-wlamal-sie-kancelarii-100-000-pln-nagrody-czeka/ http://www.av-comparatives.org/ http://www.cert.pl/news/7649 http://www.gazetawroclawska.pl/artykul/9105998,dwa-gwalty-we-wroclawiu-sprawcy-to-imigranci-policja-to-internetowe-oszustwo,id,t.html http://www.money.pl/banki/wiadomosci/artykul/plus-bank-ofiara-wlamania-haker-zada-okupu,100,0,1824100.html http://www.legnica.policja.gov.pl/komunikaty/2015/107.php http://www.nydailynews.com/news/national/new-teen-usa-claims-victim-online-extortion-plot-article-1.1426065 http://www.tvp.info/19935237/podlascy-drogowcy-ofiara-oszustow-przelali-cztery-miliony-na-falszywe-konto http://tvnwarszawa.tvn24.pl/informacje,news,metro-zaplacilo-pol-miliona-oszustowi,97526.html http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/ Literatura uzupełniająca "Haker. Prawdziwa historia szefa cybermafii" - Poulsen Kevin "Zero Day" - Mark Russinovich "Mroczny rynek - hakerzy i nowa mafia" - MR Misha Glenny Materiały dodatkowe
Dziękuję za uwagę Borys Łącki b.lacki@logicaltrust.net Pytania

Recommandé

Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops securityLogicaltrust pl
 
Devops security
Devops securityDevops security
Devops securityLogicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 

Recommandé

Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops securityLogicaltrust pl
 
Devops security
Devops securityDevops security
Devops securityLogicaltrust pl
 
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mityLogicaltrust pl
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)PROIDEA
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykładyLogicaltrust pl
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychSecuRing
 
Rugby - een introductie
Rugby - een introductieRugby - een introductie
Rugby - een introductieKYBOKO - Better Business Development
 
Under Cabinet Lighting - UC2A Series from iLuXx - Installation Guide
Under Cabinet Lighting - UC2A Series from iLuXx - Installation GuideUnder Cabinet Lighting - UC2A Series from iLuXx - Installation Guide
Under Cabinet Lighting - UC2A Series from iLuXx - Installation Guideiluxx
 

Contenu connexe

Tendances

Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?SecuRing
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowaniaSecuRing
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuSecuRing
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mityLogicaltrust pl
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)PROIDEA
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykładyLogicaltrust pl
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...PROIDEA
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychSecuRing
 

Tendances (20)

Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracji
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
 
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
Bankowość i płatności mobilne - Jak zrobić to bezpiecznie?
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
 
10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania10 przykazań bezpiecznego programowania
10 przykazań bezpiecznego programowania
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetuTestowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mity
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?
 
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
 
Redteaming w Polsce - przykłady
Redteaming w Polsce - przykładyRedteaming w Polsce - przykłady
Redteaming w Polsce - przykłady
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnych
 

En vedette

Under Cabinet Lighting - UC2A Series from iLuXx - Installation Guide
Under Cabinet Lighting - UC2A Series from iLuXx - Installation GuideUnder Cabinet Lighting - UC2A Series from iLuXx - Installation Guide
Under Cabinet Lighting - UC2A Series from iLuXx - Installation Guideiluxx
 
Проектная деятельность для детей среднего дошкольного возраста по теме: «На п...
Проектная деятельность для детей среднего дошкольного возраста по теме: «На п...Проектная деятельность для детей среднего дошкольного возраста по теме: «На п...
Проектная деятельность для детей среднего дошкольного возраста по теме: «На п...Анна Пятикопова
 
A R T E D E E N V E L H E C E R S O M
A R T E D E E N V E L H E C E R S O MA R T E D E E N V E L H E C E R S O M
A R T E D E E N V E L H E C E R S O Mcarmensilviapontaldi
 
Mapa conceptual procesal penal Luis Villanueva
Mapa conceptual procesal penal Luis VillanuevaMapa conceptual procesal penal Luis Villanueva
Mapa conceptual procesal penal Luis VillanuevaUFT
 
RTB. Experience in product launch by Dmitrii Kasimtsev Tech Hangout #6
RTB. Experience in product launch by Dmitrii Kasimtsev Tech Hangout #6RTB. Experience in product launch by Dmitrii Kasimtsev Tech Hangout #6
RTB. Experience in product launch by Dmitrii Kasimtsev Tech Hangout #6Innovecs
 
customer satisfaction through ICICI BANK Services
customer satisfaction through ICICI BANK Servicescustomer satisfaction through ICICI BANK Services
customer satisfaction through ICICI BANK Servicessumit payal
 
Customer Satisfaction Project
Customer Satisfaction ProjectCustomer Satisfaction Project
Customer Satisfaction ProjectMaaz Ahmad Khan
 
O Idoso, Suas Teorias e as Principais Modificações da Terceira Idade
O Idoso, Suas Teorias e as Principais Modificações da Terceira IdadeO Idoso, Suas Teorias e as Principais Modificações da Terceira Idade
O Idoso, Suas Teorias e as Principais Modificações da Terceira IdadeGreicy Kapisch
 
Project on customer satisfaction with special reference to mahindra bolero
Project on customer satisfaction with special reference to mahindra boleroProject on customer satisfaction with special reference to mahindra bolero
Project on customer satisfaction with special reference to mahindra boleroProjects Kart
 

En vedette (14)

Rugby - een introductie
Rugby - een introductieRugby - een introductie
Rugby - een introductie
 
Under Cabinet Lighting - UC2A Series from iLuXx - Installation Guide
Under Cabinet Lighting - UC2A Series from iLuXx - Installation GuideUnder Cabinet Lighting - UC2A Series from iLuXx - Installation Guide
Under Cabinet Lighting - UC2A Series from iLuXx - Installation Guide
 
Business development 2.0 for energy saving solutions
Business development 2.0 for energy saving solutionsBusiness development 2.0 for energy saving solutions
Business development 2.0 for energy saving solutions
 
Проектная деятельность для детей среднего дошкольного возраста по теме: «На п...
Проектная деятельность для детей среднего дошкольного возраста по теме: «На п...Проектная деятельность для детей среднего дошкольного возраста по теме: «На п...
Проектная деятельность для детей среднего дошкольного возраста по теме: «На п...
 
A R T E D E E N V E L H E C E R S O M
A R T E D E E N V E L H E C E R S O MA R T E D E E N V E L H E C E R S O M
A R T E D E E N V E L H E C E R S O M
 
Efrain Olszewer
Efrain OlszewerEfrain Olszewer
Efrain Olszewer
 
Mapa conceptual procesal penal Luis Villanueva
Mapa conceptual procesal penal Luis VillanuevaMapa conceptual procesal penal Luis Villanueva
Mapa conceptual procesal penal Luis Villanueva
 
RTB. Experience in product launch by Dmitrii Kasimtsev Tech Hangout #6
RTB. Experience in product launch by Dmitrii Kasimtsev Tech Hangout #6RTB. Experience in product launch by Dmitrii Kasimtsev Tech Hangout #6
RTB. Experience in product launch by Dmitrii Kasimtsev Tech Hangout #6
 
Servidão no egito
Servidão no egitoServidão no egito
Servidão no egito
 
customer satisfaction through ICICI BANK Services
customer satisfaction through ICICI BANK Servicescustomer satisfaction through ICICI BANK Services
customer satisfaction through ICICI BANK Services
 
Overview RTB ecosystem
Overview RTB ecosystemOverview RTB ecosystem
Overview RTB ecosystem
 
Customer Satisfaction Project
Customer Satisfaction ProjectCustomer Satisfaction Project
Customer Satisfaction Project
 
O Idoso, Suas Teorias e as Principais Modificações da Terceira Idade
O Idoso, Suas Teorias e as Principais Modificações da Terceira IdadeO Idoso, Suas Teorias e as Principais Modificações da Terceira Idade
O Idoso, Suas Teorias e as Principais Modificações da Terceira Idade
 
Project on customer satisfaction with special reference to mahindra bolero
Project on customer satisfaction with special reference to mahindra boleroProject on customer satisfaction with special reference to mahindra bolero
Project on customer satisfaction with special reference to mahindra bolero
 

Similaire à Czy systematyczne podejście do testów bezpieczeństwa się opłaca?

Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychMichał Olczak
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Zaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychZaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychPawel Krawczyk
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
 
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)PROIDEA
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceSecuRing
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PROIDEA
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSlawomir Jasek
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...Leszek Mi?
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych guest84f9115
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychguest84f9115
 
Od Patryka Błażejczyka
Od Patryka BłażejczykaOd Patryka Błażejczyka
Od Patryka BłażejczykaBpatryczek
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]CEO Magazyn Polska
 

Similaire à Czy systematyczne podejście do testów bezpieczeństwa się opłaca? (20)

Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
 
Zaufanie W Systemach Informatycznych
Zaufanie W Systemach InformatycznychZaufanie W Systemach Informatycznych
Zaufanie W Systemach Informatycznych
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
 
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
 
Enterprise Mobility Suite
Enterprise Mobility SuiteEnterprise Mobility Suite
Enterprise Mobility Suite
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT ...
 
4
44
4
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Od Patryka Błażejczyka
Od Patryka BłażejczykaOd Patryka Błażejczyka
Od Patryka Błażejczyka
 
Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]Polskie banki w sieci - średnio bezpieczne [RAPORT]
Polskie banki w sieci - średnio bezpieczne [RAPORT]
 
Ekran system - prezentacja
Ekran system - prezentacjaEkran system - prezentacja
Ekran system - prezentacja
 

Plus de Logicaltrust pl

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Logicaltrust pl
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Logicaltrust pl
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awarenessLogicaltrust pl
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Logicaltrust pl
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Logicaltrust pl
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing toolLogicaltrust pl
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018Logicaltrust pl
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Logicaltrust pl
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Logicaltrust pl
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreterLogicaltrust pl
 
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Logicaltrust pl
 
Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Logicaltrust pl
 
Testy bezpieczeństwa aplikacji WWW – dobre praktyki
Testy bezpieczeństwa aplikacji WWW – dobre praktykiTesty bezpieczeństwa aplikacji WWW – dobre praktyki
Testy bezpieczeństwa aplikacji WWW – dobre praktykiLogicaltrust pl
 

Plus de Logicaltrust pl (16)

Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
Jak cyberprzęstepcy okradają dziś firmy - webinar 2020.06.24
 
Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29Security Awareness po polsku - webinar 2019.11.29
Security Awareness po polsku - webinar 2019.11.29
 
8 zasad skutecznego security awareness
8 zasad skutecznego security awareness8 zasad skutecznego security awareness
8 zasad skutecznego security awareness
 
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
Ataki socjotechniczne w praktyce - SecurityBSides Warsaw 2019
 
Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019Ataki socjotechniczne w praktyce - Confidence 2019
Ataki socjotechniczne w praktyce - Confidence 2019
 
Minerva_lib - fuzzing tool
Minerva_lib - fuzzing toolMinerva_lib - fuzzing tool
Minerva_lib - fuzzing tool
 
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
"Spear phishing - jak się bronić? Case studies." - SecurityBSides 2018
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018
 
Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)Redteaming in Poland - test cases (Security)
Redteaming in Poland - test cases (Security)
 
Torturing the PHP interpreter
Torturing the PHP interpreterTorturing the PHP interpreter
Torturing the PHP interpreter
 
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
Bezpieczeństwo informacji - edukacja pracowników - dlaczego robimy to źle? Se...
 
Security news 20160225
Security news 20160225Security news 20160225
Security news 20160225
 
Security news 20160128
Security news 20160128Security news 20160128
Security news 20160128
 
Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?Cyberprzestepcy - Jak się bronić?
Cyberprzestepcy - Jak się bronić?
 
Security news 20151119
Security news 20151119Security news 20151119
Security news 20151119
 
Testy bezpieczeństwa aplikacji WWW – dobre praktyki
Testy bezpieczeństwa aplikacji WWW – dobre praktykiTesty bezpieczeństwa aplikacji WWW – dobre praktyki
Testy bezpieczeństwa aplikacji WWW – dobre praktyki
 

Czy systematyczne podejście do testów bezpieczeństwa się opłaca?

  • 1. Czy systematyczne podejście do testów bezpieczeństwa się opłaca? Borys Łącki 21.04.2016
  • 2. ● Testy penetracyjne ● Audyty bezpieczeństwa ● Szkolenia ● Konsultacje ● Informatyka śledcza ● Aplikacje mobilne Borys Łącki > 10 lat - testy bezpieczeństwa Edukacja: www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
  • 4. Czy systematyczne podejście do testów bezpieczeństwa się opłaca? systematyczny 1. «robiący coś regularnie i starannie» opłacić się 2. «przynieść zysk, korzyść» http://sjp.pwn.pl/ Definicje
  • 5. Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.” Perspektywa
  • 6. Ochrona zasobów ● Wartość informacji – poufność ● Przerwa w działaniu – dostępność ● Oszustwa – integralność #koszty Nasi Klienci
  • 7. Tworzenie oprogramowania "tworzymy oprogramowanie dla największych firm w kraju, oczywiście, że jest bezpieczne i przechodzi rygorystyczne testy bezpieczeństwa" #fail Nasi Klienci
  • 8. Konsekwencje: - kradzież danych firmowych - konkurencja - publikacja danych firmowych np. o Klientach w sieci - szantaż - podmiana witryny firmowej - reputacja - kradzież środków finansowych - podmiana faktur, przelewów - ransomware rykoszet - atakuje się firmy tworzące oprogramowanie by zaatakować inne firmy Motywacja Klientów
  • 9. Carbanak Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na całym świecie
  • 10. Przelewy bankowe ● Zarząd Dróg Wojewódzkich wysłał ok. 3,7 mln zł na konto podane przez oszusta. ● Metro warszawskie zostaje okradzione na ponad pół miliona złotych
  • 19. Komputer w salonie T-Mobile
  • 25. Testy bezpieczeństwa ● Jednorazowy test – usunięcie wielu podatności ● Ograniczenie ryzyka ● Zdobycie wiedzy i edukacja ● Ocena z zewnątrz ● Merytoryczny partner – prezentacje Klienta ● Zmniejszamy okno czasowe!
  • 27. Systematyka ● Zwiększanie świadomości ● Edukacja ● Systematyka == przypominanie ● Działania proaktywne ● Bezpieczeństwo wpisane w koszty ● Admin, Developer, Tester, HR, Prezes
  • 30. SecurityInside.pl - wyniki testów Czy to działa?
  • 31. Ciekawe ćwiczenia == Dyskusja pracowników Czy to działa?
  • 32. https://securityinside.pl Kod rabatowy: sdbna2016m – 20% ważny do 24 maja 2016 SecurityInside.pl
  • 33. ● Zdobywaj wiedzę o zagrożeniach - edukuj siebie i innych! z3s.pl ● Nie klikaj! Weź głęboki oddech. Pomyśl. Działaj - Stop, Think, Connect ● Nie wpisuj swoich danych osobowych np. numeru telefonu ● Nie oddawaj swoich danych uwierzytelniających - login, hasło ● Używaj różnych i skomplikowanych haseł - menadżer haseł ● Zaloguj się, skorzystaj z serwisu, wyloguj się ● Zacznij robić kopie zapasowe ważnych danych - w różnych miejscach Pamiętaj! Rady dla pracowników
  • 34. Lista kontrolna ● Aktualizacje - Systemy, aplikacje, urządzenia sieciowe, (...) ● Firewall - IPv4/IPv6, In/Out, Host, Network (Wi-Fi), (...) ● Hardening - Non-admin logins, EMET (ASLR, Anti-ROP), Wyłączenie zbędnych funkcji, Sandbox browser, ● Systemy bezpieczeństwa – PC - Anti-Virus, HIPS, Anti-Malware, (…) - ● Systemy bezpieczeństwa – Sieć - WAF, IPS/IDS, UTM, DLP, (...) ● Systemy operacyjne - N > N-1, (...) ● Kopie zapasowe - Weryfikacja poprawności, testy odtworzenia, ochrona, (...) ● Testy penetracyjne - Wewnętrzne, zewnętrzne, (...) ● Multi-factor authentication ● Białe listy aplikacji ● SIEM - Synchronizacja czasu, Centralne logowanie, Ochrona, (...) ● Ochrona fizyczna - Nie tylko pomieszczenia serwerowe, (...) ● Urządzenia mobilne - Szyfrowanie danych, Aplikacje z zaufanego źródła, PIN, (...) ● Dokumentacja - Porządek, Aktualizacja, Ochrona, (...) ● Polityka haseł - Tech + Soft, (...) ● Plany działania - Incident Response Plan, BCP, DR, Wymogi prawne, (...) ● Dział bezpieczeństwa - Kto? Gdzie? (...) ● Public Relations - Komunikat prasowy, Zakres, Do kogo? Gdzie?, (...) ● Usługi zewnętrzne - DNS, Cloud/Hosting, Facebook, Twitter, Google, (...) ● Usługi zewnętrzne - CERT, ISP, Informatyka śledcza, Testy penetracyjne (...) ● Edukacja - Systematyka, Szkolenia, Zwiększanie świadomości, Testy, (...) ● (...)
  • 35. News: http://z3s.pl http://sekurak.pl/ http://niebezpiecznik.pl http://bothunters.pl http://nakedsecurity.sophos.com/ http://krebsonsecurity.com/ http://blogs.securiteam.com/ Narzędzia: http://virustotal.com - weryfikacja pliku w kilkudziesięciu silnikach AV (AntiVirus) http://bothunters.pl/2013/11/06/oszusci-na-allegro-falszywe-potwierdzenie-przelewu/ https://securelist.com/blog/virus-watch/67699/a-nightmare-on-malware-street/ https://www.av-test.org/ https://zaufanatrzeciastrona.pl/post/cryptorbit-czyli-polski-slad-w-kodzie-zrodlowym-ransomware/ https://zaufanatrzeciastrona.pl/post/nie-daj-sie-zlapac-czyli-jak-wirusy-szyfrujace-dyski-atakuja-swoje-ofiary/ https://zaufanatrzeciastrona.pl/post/seria-facebookowych-oszustw-w-ktore-ciagle-klikaja-wasi-znajomi/ https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-nietypowy-atak-udajacy-faktury-orange/ https://zaufanatrzeciastrona.pl/post/wiesz-kto-wlamal-sie-kancelarii-100-000-pln-nagrody-czeka/ http://www.av-comparatives.org/ http://www.cert.pl/news/7649 http://www.gazetawroclawska.pl/artykul/9105998,dwa-gwalty-we-wroclawiu-sprawcy-to-imigranci-policja-to-internetowe-oszustwo,id,t.html http://www.money.pl/banki/wiadomosci/artykul/plus-bank-ofiara-wlamania-haker-zada-okupu,100,0,1824100.html http://www.legnica.policja.gov.pl/komunikaty/2015/107.php http://www.nydailynews.com/news/national/new-teen-usa-claims-victim-online-extortion-plot-article-1.1426065 http://www.tvp.info/19935237/podlascy-drogowcy-ofiara-oszustow-przelali-cztery-miliony-na-falszywe-konto http://tvnwarszawa.tvn24.pl/informacje,news,metro-zaplacilo-pol-miliona-oszustowi,97526.html http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/ Literatura uzupełniająca "Haker. Prawdziwa historia szefa cybermafii" - Poulsen Kevin "Zero Day" - Mark Russinovich "Mroczny rynek - hakerzy i nowa mafia" - MR Misha Glenny Materiały dodatkowe
  • 36. Dziękuję za uwagę Borys Łącki b.lacki@logicaltrust.net Pytania