4. Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
systematyczny
1. «robiący coś regularnie i starannie»
opłacić się
2. «przynieść zysk, korzyść»
http://sjp.pwn.pl/
Definicje
5. Test penetracyjny – „proces polegający na
przeprowadzeniu kontrolowanego ataku na
system teleinformatyczny, mający na celu
praktyczną ocenę bieżącego stanu
bezpieczeństwa tego systemu, w szczególności
obecności znanych podatności i odporności na
próby przełamania zabezpieczeń.”
Perspektywa
6. Ochrona zasobów
● Wartość informacji – poufność
● Przerwa w działaniu – dostępność
● Oszustwa – integralność
#koszty
Nasi Klienci
8. Konsekwencje:
- kradzież danych firmowych - konkurencja
- publikacja danych firmowych np. o Klientach w sieci
- szantaż
- podmiana witryny firmowej - reputacja
- kradzież środków finansowych - podmiana faktur,
przelewów
- ransomware
rykoszet - atakuje się firmy tworzące oprogramowanie by zaatakować
inne firmy
Motywacja Klientów
9. Carbanak
Wielki napad na bank: cybergang Carbanak kradnie
1 mld dolarów ze 100 instytucji finansowych na
całym świecie
10. Przelewy bankowe
● Zarząd Dróg Wojewódzkich wysłał
ok. 3,7 mln zł na konto podane przez
oszusta.
● Metro warszawskie zostaje
okradzione na ponad pół miliona
złotych
33. ● Zdobywaj wiedzę o zagrożeniach - edukuj siebie i innych!
z3s.pl
● Nie klikaj! Weź głęboki oddech. Pomyśl. Działaj - Stop,
Think, Connect
● Nie wpisuj swoich danych osobowych np. numeru telefonu
● Nie oddawaj swoich danych uwierzytelniających - login,
hasło
● Używaj różnych i skomplikowanych haseł - menadżer
haseł
● Zaloguj się, skorzystaj z serwisu, wyloguj się
● Zacznij robić kopie zapasowe ważnych danych - w różnych
miejscach
Pamiętaj!
Rady dla pracowników
34. Lista kontrolna
● Aktualizacje - Systemy, aplikacje, urządzenia sieciowe, (...)
● Firewall - IPv4/IPv6, In/Out, Host, Network (Wi-Fi), (...)
●
Hardening - Non-admin logins, EMET (ASLR, Anti-ROP), Wyłączenie zbędnych funkcji, Sandbox browser,
● Systemy bezpieczeństwa – PC - Anti-Virus, HIPS, Anti-Malware, (…) -
● Systemy bezpieczeństwa – Sieć - WAF, IPS/IDS, UTM, DLP, (...)
● Systemy operacyjne - N > N-1, (...)
● Kopie zapasowe - Weryfikacja poprawności, testy odtworzenia, ochrona, (...)
●
Testy penetracyjne - Wewnętrzne, zewnętrzne, (...)
● Multi-factor authentication
● Białe listy aplikacji
● SIEM - Synchronizacja czasu, Centralne logowanie, Ochrona, (...)
● Ochrona fizyczna - Nie tylko pomieszczenia serwerowe, (...)
●
Urządzenia mobilne - Szyfrowanie danych, Aplikacje z zaufanego źródła, PIN, (...)
● Dokumentacja - Porządek, Aktualizacja, Ochrona, (...)
● Polityka haseł - Tech + Soft, (...)
● Plany działania - Incident Response Plan, BCP, DR, Wymogi prawne, (...)
● Dział bezpieczeństwa - Kto? Gdzie? (...)
●
Public Relations - Komunikat prasowy, Zakres, Do kogo? Gdzie?, (...)
● Usługi zewnętrzne - DNS, Cloud/Hosting, Facebook, Twitter, Google, (...)
● Usługi zewnętrzne - CERT, ISP, Informatyka śledcza, Testy penetracyjne (...)
●
Edukacja - Systematyka, Szkolenia, Zwiększanie świadomości, Testy, (...)
● (...)
35. News:
http://z3s.pl
http://sekurak.pl/
http://niebezpiecznik.pl
http://bothunters.pl
http://nakedsecurity.sophos.com/
http://krebsonsecurity.com/
http://blogs.securiteam.com/
Narzędzia: http://virustotal.com - weryfikacja pliku w kilkudziesięciu silnikach AV (AntiVirus)
http://bothunters.pl/2013/11/06/oszusci-na-allegro-falszywe-potwierdzenie-przelewu/
https://securelist.com/blog/virus-watch/67699/a-nightmare-on-malware-street/
https://www.av-test.org/
https://zaufanatrzeciastrona.pl/post/cryptorbit-czyli-polski-slad-w-kodzie-zrodlowym-ransomware/
https://zaufanatrzeciastrona.pl/post/nie-daj-sie-zlapac-czyli-jak-wirusy-szyfrujace-dyski-atakuja-swoje-ofiary/
https://zaufanatrzeciastrona.pl/post/seria-facebookowych-oszustw-w-ktore-ciagle-klikaja-wasi-znajomi/
https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-nietypowy-atak-udajacy-faktury-orange/
https://zaufanatrzeciastrona.pl/post/wiesz-kto-wlamal-sie-kancelarii-100-000-pln-nagrody-czeka/
http://www.av-comparatives.org/
http://www.cert.pl/news/7649
http://www.gazetawroclawska.pl/artykul/9105998,dwa-gwalty-we-wroclawiu-sprawcy-to-imigranci-policja-to-internetowe-oszustwo,id,t.html
http://www.money.pl/banki/wiadomosci/artykul/plus-bank-ofiara-wlamania-haker-zada-okupu,100,0,1824100.html
http://www.legnica.policja.gov.pl/komunikaty/2015/107.php
http://www.nydailynews.com/news/national/new-teen-usa-claims-victim-online-extortion-plot-article-1.1426065
http://www.tvp.info/19935237/podlascy-drogowcy-ofiara-oszustow-przelali-cztery-miliony-na-falszywe-konto
http://tvnwarszawa.tvn24.pl/informacje,news,metro-zaplacilo-pol-miliona-oszustowi,97526.html
http://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
Literatura uzupełniająca
"Haker. Prawdziwa historia szefa cybermafii" - Poulsen Kevin
"Zero Day" - Mark Russinovich
"Mroczny rynek - hakerzy i nowa mafia" - MR Misha Glenny
Materiały dodatkowe