Program konferencie 8:00 - 8:30 Registrácia 8:30 - 9:00 Malware dnes “Povieme si o vývoji vo svete škodlivého sowtvéru, ako sa zmenili spôsoby jeho šírenia.

Prezentácia na tému: "Program konferencie 8:00 - 8:30 Registrácia 8:30 - 9:00 Malware dnes “Povieme si o vývoji vo svete škodlivého sowtvéru, ako sa zmenili spôsoby jeho šírenia."— Prepis prezentácie:

1 Program konferencie 8:00 - 8:30 Registrácia 8:30 - 9:00 Malware dnes “Povieme si o vývoji vo svete škodlivého sowtvéru, ako sa zmenili spôsoby jeho šírenia a hlavne ako sa zmenila motivácia jeho autorov a prevádzkovateľov. Podrobnejšie sa pozrieme na pár zaujímavých “kúskov“, ktorých analýze sa venovali aj naši analytici.“ Peter Stančík, ESET security evangelist 9: :00 Novinky a produktové portfólio ESET Prezentácia sa zaoberá možnosťou ochrany počítačovej infraštruktúry pomocou existujúceho produktového portfólia ESETu a novinkami pre rok Dozviete sa čo nás čaká a neminie v nasledovnom období a na aké nové zlepšenia sa môžete tešiť v boji proti malwaru. Ondrej Krajč, ESET Technical marketing specialist 10: :30 coffee break 10: :30 ESET services: Ako služby ESET vedú k informačnej bezpečnosti? „Čo je dnes jednoduchšie z pohľadu útočníka, ak chce získať (citlivé) dáta alebo informácie z konkrétnej organizácie? Skúsiť sa „nabúrať“ do systémov spoločnosti a prebíjať sa cez technologické bezpečnostné prvky, ktoré sú postavené v niekoľkých radách za sebou? Alebo „zahrať hru“ a spýtať sa priamo človeka z vnútra organizácie? Prezentácia sa venuje téme sociálneho inžinierstva a budovania povedomia o informačnej bezpečnosti v organizáciách.“ Peter Katrinec, ESET Security Sales Representative 11: :00 Q&A 12:00 Obed

2 Ako vedú Služby eset k informačnej bezpečnosti
Peter Katrinec, ESET Security Sales Rozpravkovy nazov???

3 Agenda ESET Services Stav informačnej bezpečnoti
Budovanie povedomia – Awereness program Test „sociálnym inžinierstvom“ Služby ESET Services

4 ESET Services Tím certifikovaných odborníkov v oblasti informačnej bezpečnosti Certifikáty: CISA, CISM, CISSP, CRISC, ITIL v3 Found. Od roku 2009 riadi tím bezpečnosť v ESETe 2010 – ESET získal ISO/IEC 27001:2005 2010 – poskytuje služby zákazníkom

5 Služby ESET Services Konzultačné služby pre riadenie informačnej bezpečnosti Kontrola (Audit) stavu informačnej bezpečnosti

6 Cieľ riadenia informačnej bezpečnosti
Proces (nástroj) pre zabezpečenie: Dostupnosti Dôvernosti Integrity informácií a dát s ktorými pracujeme, používame a spravujeme ich. Tažko definovať. My ho chápeme ako: proces alebo manazersky nastroj.

7 Dnešné prostredie CIELE A TRENDY Efektívnosť Flexibilita Dostupnosť
Vyššie zisky VÝVOJ Nové technológie Nové produkty Nové služby KONCEPTY Automatizácia Centralizácia Virtualizácia Mobilita RIZIKÁ Zložitosť IKT Nové hrozby Nové zraniteľnosti Škodlivý kód Ciele, koncepty, vývoj, riziká Mobilné aplikácie a operacne systemy – bezpečnostný analytici tvrdia ze sa vraciame v case spat – pri vyvoji mob aplikacii sa neupriamuje pozornost na bezpecnost – objavuju sa taky chyby ako pri internetovych aplikaciach pre PC spred 10 rokov.

8 Sociálne siete Mobilné aplikácie Cloud riešenia Dnešné prostredie (2)
Socialne siete: HR vie o cloveku prve posledne ked pride na pohovor- zo socialnych sieti vidi akych ma kamaratov – byvalych kolegov (naozaj pracoval tam kde uvadza), vidia aktivity, zaluby, rodinne zazemie – vsetko vedia. Stare pripady vykradania domov, lebo uverejnili na FB ze idu na dovolenku. Velmi lahke predsierat identitu a dostat potrebnu informaciu. Mobilne aplikacia velmi efektivne pre komunikaciu, zabavu. Je ale velmi lahke stratit mobil a deje sa to velmi casto – a pritom v mobile pristup automaticky do mailov, fotiek, kontaktov – zarabanie na volaniach na audiotextove cisla... Cloud riesenia – ukladanie dokumentov a súborov na internete v cloude v oblaku. Nikto nevie kde fyzicky data su. Kolko krat sa replikuju pri „zalohovani“ serverov. Data su de facto nevymazatelne.

9 Hrozby Zneužitie dostupných informácií
Neautorizovaný prístup - únik citlivých dát Spam a Phishing y, Sociálne inžinierstvo Falšovanie identity Šírenie škodlivého kódu novými cestami Zneužitie siete a PC pre ilegálne aktivity útočníkov Podvrhnuté web stránky na internete Nie len skodlivy kod ale aj... Falsovanie identity - – podpisy pre politicku stranu, financne straty Unik citlivych dat cez Soc Siete. - – o zamestnancoch, zákazníkoch,... Vydieranie automaticke systemy – mas virus, kup si tento antivirus. Mame Vase Data, ak ich chcete, zaplate a my Vam ich posleme/dorucime.

10 Následky Strata dobrého mena Strata dôvery Finančné straty
Zodpovedanie sa Strata dobrého mena – školy/organizácie – menej prihlasenych ziakov Strata dôvery – rodicov, partnerov – horšie zázemie Finančné straty – menej ziakov menej prispevkov – nehovoriac o case a financiach potrebnych na odstranenie opravu vzniknuteho problemu Zodpovedanie sa

11 Zodpovednosť Majiteľ -> Vedenie org. -> Vedúci pracovníci
Následky: Strata dôvery Strata pozície ...

12 Z prieskumu stavu informačnej bezpečnosti

13 Z prieskumu stavu informačnej bezpečnosti

14 Z prieskumu stavu informačnej bezpečnosti

15 Z prieskumu stavu informačnej bezpečnosti

16 Z prieskumu stavu informačnej bezpečnosti

17 Z prieskumu stavu informačnej bezpečnosti

18 Z prieskumu stavu informačnej bezpečnosti

19 Z prieskumu stavu informačnej bezpečnosti
63% org. považuje za dôvod vzniku bezpečnostných incidentov konanie zamestnancov 75% organizácií neškolí pravidelne zamestnancov 65% org. uvádza hrozbu bezpečnostného incidentu ako motiváciu pre vynakladanie zdrojov do riadenia IB

20 Téma Čo je dnes jednoduchšie z pohľadu útočníka,
ak chce získať (citlivé) dáta alebo informácie z organizácie? Tu sa dostavam k teme prezentacie

21 Téma Skúsiť sa „nabúrať“ do systémov spoločnosti a prebíjať sa cez technologické bezpečnostné prvky, ktoré sú postavené v niekoľkých radách za sebou?

22 Téma Alebo „zahrať hru“ a spýtať sa priamo človeka z vnútra organizácie?

23 Ako sú chránené aktíva – informácie?
Firewall Antivírus IDS, IPS Autentizácia PC Technická bezpečnosť informačných systémov sa za posledných 20 rokov veľmi zlepšila, je stále ťažšie napadnúť informačný systém čisto technickými prostriedkami. Organizácie veľa investujú do rôznych technologických prvkov ochrany: Firewalling, Antivírus, antimalware, antispam IDS, IPS Autentizácia, šifrovanie Zlepšenie bezpečnostných vlastností operačných systémov, databáz ale často zostáva jedna neošetrená oblasť v spôsobe ich ochrany – človek Prečo majú hackeri komplikovane prenikať cez bezpečnostné technológie do počítača, keď to môže namiesto nich urobiť používateľ samotného počítača Trend posledných rokov: Hackeri nahrádzajú čisto technické metódy pôsobením na ľudí. Prieskumy spoločností, ktoré sa zaoberajú produkciou bezpečnostných riešení deklarujú, že väčšina malware vyžaduje ľudskú interakciu. Tým, že sa organizácia venuje človeku, môže výrazne znížiť riziká v oblasti informačnej bezpečnosti

24 Ako sú chránené aktíva – informácie?
Firewall Antivírus IDS, IPS Autentizácia Človek Na cloveka sa aplikovat neda....

25 Ako sú chránené aktíva – informácie?

26 Budovanie povedomia / Vzdelávanie
Prečo vzdelávať a budovať bezpečnostné povedomie O čo sa oprieť a ako začať Prostriedky, témy a obsah vzdelávania Služby ESET Výnos MF SR 312/2010 o štandardoch pre ISVS Štandardom pre personálnu bezpečnosť je a) zabezpečenie, aby boli všetci zamestnanci povinnej osoby a osoby, ktoré vykonávajú činnosti pre povinnú osobu vyplývajúce zo zmluvných záväzkov (ďalej len „tretia strana“), poučení o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich, b) zabezpečenie, aby boli zamestnanci povinnej osoby a tretia strana poučení o svojich právach a povinnostiach predtým, ako získajú prístup k informačnému systému verejnej správy; v prípade rozdielnych práv a povinností týkajúcich sa rôznych informačných systémov verejnej správy sa vykoná nové poučenie s primerane upraveným obsahom súvisiace s príslušným informačným systémom, OPATRENIE Telekomunikačného úradu Slovenskej republiky z 18. mája 2012, č. O-30/2012, ktorým sa ustanovujú podrobnosti o udržiavaní bezpečnosti a integrity verejných elektronických komunikačných sietí alebo verejných elektronických komunikačných služieb: Paragraf 2, odstavec 3 Minimálne bezpečnostné opatrenia pre personálnu bezpečnosť sú a) oboznámenie zamestnancov podniku a tretích strán s bezpečnostnou politikou podniku v rozsahu potrebnom na výkon ich činnosti pre podnik, spravidla na základe zmluvy, b) organizovanie školení pre zamestnancov podniku na udržanie a zdokonaľovanie ich bezpečnostných znalostí a zručností, ISO/IEC 27002:2005 – Pravidlá dobrej praxe manažérstva informačnej bezpečnosti 8 - Bezpečnosť ľudských zdrojov 8.2 - Počas zamestnania Cieľ riadenia: Zabezpečiť, že zamestnanci, zmluvní partneri a používatelia v pozícii tretích strán sú si vedomí hrozieb týkajúcich sa informačnej bezpečnosti, ich zodpovednosti a záväzkov a že sú pripravení podporovať politiku informačnej bezpečnosti organizácie v priebehu ich každodennej činnosti, ako aj znižovať riziká ľudskej chyby. Povedomie o informačnej bezpečnosti, vzdelávanie a školiaca činnosť Opatrenie: Všetci zamestnanci organizácie a v prípade, že je to potrebné aj zmluvní partneri a používatelia v pozícii tretích strán musia absolvovať vhodné školenie v oblasti bezpečnostného povedomia a musia im byť poskytované pravidelne aktualizované verzie politík a postupov organizácie, tak ako si to vyžaduje ich pracovné zaradenie.

27 Človek a jeho vnímanie rizika
Človek preceňuje Vizuálne riziká Riziká v okolnostiach, ktoré nemá pod kontrolou Človek podceňuje Riziká v okolnostiach, ktoré má pod kontrolou Riziká bez vizuálneho/ zvukového efektu Sociálne inžinierstvo: Vytvoriť pocit dôvery a využiť ho na dosiahnutie svojich zámerov

28 Ako sa brániť? Vedieť, že takéto niečo sa môže stať a primerane reagovať Technické zraniteľnosti Bezpečnostné záplaty Zmena konfigurácie Ľudské zraniteľnosti Zvyšovanie bezpečnostného povedomia Zmena správania Človek je prirodzenou súčasťou informačného systému s ktorým pracuje. Podobne, ako informačné systémy, aj človek spracúva, posúva a uchováva informácie, ale na rozdiel od techológií, pri človeku nemáme k dispozícii jasne definované a ľahko uchopiteľné „rozhrania“, ktoré by boli použiteľné na jeho ochranu. Vedomosti, skúsenosti, vnemy, intuícia. Preceňuje napríklad: Riziko letu lietadlom, riziko úrazu v dôsledku napadnutia žralokom (nemá pod kontrolou) Podceňuje napríklad: Riziká jazdy autom (má pod kontrolou) Hlavný dôvod podceňovania rizík pri práci s počítačom: Pocit, že situáciu mám pod kontrolou (ja rozhodnem, na čo kliknem) Vznik incidentu nie je sprevádzaný žiadnym optickým/zvukovým javom, nie je žiadny okamžitý signál, žiadna spätná väzba, všetko vyzerá, že pokračuje normálne.

29 O čo sa oprieť? Legislatívne požiadavky:
Zákon č. 428/2002 Z. z. o ochrane osobných údajov Metodické usmernenie Úseku bankového dohľadu NBS č. 7/2004 k overeniu bezpečnosti IS banky Výnos MF SR 312/2010 o štandardoch pre ISVS Opatrenie Telekomunikačného úradu SR č. O-30/2012 Odporúčania medzinárodných štandardov: NIST – Building an Information Technology Security Awareness Program ISO/IEC 27002:2005 – Pravidlá dobrej praxe manažérstva informačnej bezpečnosti COBIT DS7 – Deliver and Support –Educate and Train Users Výnos MF SR 312/2010 o štandardoch pre ISVS Štandardom pre personálnu bezpečnosť je a) zabezpečenie, aby boli všetci zamestnanci povinnej osoby a osoby, ktoré vykonávajú činnosti pre povinnú osobu vyplývajúce zo zmluvných záväzkov (ďalej len „tretia strana“), poučení o schválenej bezpečnostnej politike povinnej osoby a o povinnostiach z nej vyplývajúcich, b) zabezpečenie, aby boli zamestnanci povinnej osoby a tretia strana poučení o svojich právach a povinnostiach predtým, ako získajú prístup k informačnému systému verejnej správy; v prípade rozdielnych práv a povinností týkajúcich sa rôznych informačných systémov verejnej správy sa vykoná nové poučenie s primerane upraveným obsahom súvisiace s príslušným informačným systémom, OPATRENIE Telekomunikačného úradu Slovenskej republiky z 18. mája 2012, č. O-30/2012, ktorým sa ustanovujú podrobnosti o udržiavaní bezpečnosti a integrity verejných elektronických komunikačných sietí alebo verejných elektronických komunikačných služieb: Paragraf 2, odstavec 3 Minimálne bezpečnostné opatrenia pre personálnu bezpečnosť sú a) oboznámenie zamestnancov podniku a tretích strán s bezpečnostnou politikou podniku v rozsahu potrebnom na výkon ich činnosti pre podnik, spravidla na základe zmluvy, b) organizovanie školení pre zamestnancov podniku na udržanie a zdokonaľovanie ich bezpečnostných znalostí a zručností, ISO/IEC 27002:2005 – Pravidlá dobrej praxe manažérstva informačnej bezpečnosti 8 - Bezpečnosť ľudských zdrojov 8.2 - Počas zamestnania Cieľ riadenia: Zabezpečiť, že zamestnanci, zmluvní partneri a používatelia v pozícii tretích strán sú si vedomí hrozieb týkajúcich sa informačnej bezpečnosti, ich zodpovednosti a záväzkov a že sú pripravení podporovať politiku informačnej bezpečnosti organizácie v priebehu ich každodennej činnosti, ako aj znižovať riziká ľudskej chyby. Povedomie o informačnej bezpečnosti, vzdelávanie a školiaca činnosť Opatrenie: Všetci zamestnanci organizácie a v prípade, že je to potrebné aj zmluvní partneri a používatelia v pozícii tretích strán musia absolvovať vhodné školenie v oblasti bezpečnostného povedomia a musia im byť poskytované pravidelne aktualizované verzie politík a postupov organizácie, tak ako si to vyžaduje ich pracovné zaradenie.

30 Ako začať Nájsť gestora programu Získať podporu vedenia Vytvoriť plán
Overenie vedomostí Základné školenia Rozvojové školenia Cykly pre aktualizáciu/ zlepšenie Zapojiť: Marketing Ľudské zdroje Audit Východisko: už vieme, že nechceme program zvyšovania povedomia o informačnej bezpečnosti len z legislatívnych dôvodov Gestor programu presadzuje a koordinuje aktivity programu, získava a opiera sa o podporu manažmentu So špecifickými oblasťami môžu pomôcť aj ďalšie útvary spoločnosti: Marketing – motivácia, odmeny Ľudské zdroje – organizácia, logistika programu, získanie spätnej väzby Audit – vnútorné predpisy Organizácia sa mení, musí sa meniť aj program zvyšovania povedomia (ročné/dvojročné cykly)

31 Pre koho Zamestnanci Zmluvní partneri Manažment Zákazníci
Vnútorná správa Personalistika Financie Právne / Legal Obchod a marketing IT (Help Desk / Prevádzka IT / Vývoj IT)

32 Prostriedky Primárne aktivity Školenia E-learning Videá
Rozvojové aktivity Články Blog Plagáty Obsah máme, ide o to, ako ho prezentovať. Klasické školenia a ich nevýhody: Kvalita školenia závisí od prezentačných schopností a skúseností školiteľa Logistické problémy – zhromaždiť ľudí na jednom mieste, nájsť všetkým vyhovujúci čas

33 Ako vybrať témy Zamerať sa na profit pre človeka – voliť témy tak, aby boli užitočné nielen pre pracovné, ale aj pre súkromné aktivity Neobjavovať koleso NIST socialengineer.org Konzultácie a outsourcing Obsah programu treba pripraviť a prezentovať tak, aby si ľudia uvedomovali, že informácie, ktoré dostávajú môžu použiť nielen vo firme, ale aj v osobnom živote – bude ich to viac motivovať Zlepšovať úroveň povedomia o informačnej bezpečnosti Uviesť zamestnancov do problematiky infomačnej bezpečnosti Oboznámiť zamestnancov s postupmi, ako čeliť obvyklým hrozbám pri každodennej práci s počítačom, notebookom, mobilom - IT prostredkami Dať návod, ako sa správať pri používaní autentizačných prostriedkov, ako sú heslá, pri práci s webom, om a na sociálnych sieťach. Školenie sa nevenuje postupom potrebným k administrácii IT alebo používaniu aplikácií

34 Témy školení: Sociálne inžinierstvo

35 Témy školení: Fyzická bezpečnosť

36 Témy školení: Dva príklady: Targeted phishing a bežný phishing – ľudia sú ohrození aj v práci, aj doma Júl – september 2011, obete: cca 50 spoločností chemického priemyslu a obrany. Príloha obsahovala backdoor trojan pátrajúci po informáciách výskumu, vývoja a výrobných postupoch. Zameraný na chemické zlúčeniny a pokročilé materiály používané vo vojenskom priemysle. Infikovaných cca 100 počítačov v USA a Veľkej Británii: Formy: Bezpečnostný update, Pozvánka na obchodné stretnutie Čo je ma och podozrivé: Vyvolávajú v príjemcoch pocit, že je potrebné súrne reagovať s Adobe Security Update upozorňuje, že prípadné varovanie antivírusového systému je falošný poplach je neštandardným spôsobom komunikácie pre odosielateľov, ktorých taký napodobňuje Maskované linky, na ktoré je potrebné kliknúť

37 Témy školení: Web

38 Témy školení: Sociálne siete
Sociálne siete sa väčšinou týkajú súkromných aktivít človeka, ale informácie o človeku na sociálnych sieťach sa dajú použiť aj na útoky proti zamestnávateľovi, alebo môžu negatívne ovplyvniť jeho meno Falošná stránka, ktorá vyzerá ako Facebook ponúka video „Nepozornosť celebrít v TV“ Navádza používateľa, aby deaktivoval antivírus, lebo môže dôjsť k falošnému poplachu a zablokovaniu stiahnutia videa. Po kliknutí na linku prichádza výzva, aby si používateľ nainštaloval „YouTube Premium Plugin“. Pri inštalácii sa spustí Java Script, ktorý umiestni linku „Nepozornosť celebrít v TV“ na Facebook nástenkách priateľov obete. Ďalšia časť skriptu presmeruje používateľa na vtieravú porno stránku. K presmerovaniu dôjde vždy, keď sa používateľ prihlási do Facebooku. V tomto prípade sa do systému obete neinfiltruje žiadny ďalší škodlivý kód. Tu zatiaľ ide o propagáciu porno stránky a pravdepodobne o speňaženie web premávky podľa reklamného modelu „platba za klik“. K infiltrácii trójskym koňom však s najväčšou pravdepodobnosťou môže prísť pri ďalšom browsovaní na porno stránke.

39 Témy školení: ďalšie... Heslá Mobilné zariadenia Wi-Fi siete
Bezpečnostné incidenty Autorské právo a IT Ochrana údajov Škodlivý kód Industrializácia škodlivého kódu: Dobre organizované produkčné a distribučné systémy Vyspelý „obchodný“ model, vysoký stupeň špecializácie Zložité techniky získavania hodnotných údajov Premena získaných údajov na finančný profit

40 Meranie účinnosti programu vzdelávania
Priame spôsoby: Simulácia reálnych útokov Vedomostné testy Audit Nepriame spôsoby: Prieskum s cieľom získať spätnú väzbu k realizácii programu Počet tiketov v helpdesku Účel simulovania reálnych útokov: Zbieranie údajov pre metriku programu, sledovanie priebehu zmeny v správaní sa používateľov Metóda tréningu, alebo tzv. „očkovania“ používateľov Motivácia pre ľudí a podklad pre ďalšie nastavenie programu

41 Vedomostný test – príklad 1
Podľa platných vnútorných predpisov je za uzamykanie kancelárie zodpovedný: Vedúci zamestnanec Oddelenie facilities Posledný zamestnanec odchádzajúci z práce CISO

42 Vedomostný test – príklad 2
Ktoré z týchto hesiel, ktoré majú slúžiť na prístup do domény, nie sú podľa Vás bezpečné? (multiple choice) magdalena Uz sa vsetci tesime na Jeziska! 5PEEV&6paaleniek

43 Vedomostný test – príklad 3
Považujete za phishingový? Zdôvodnite.

44 Prieskum spätnej väzby
Ako vnímaš úroveň svojho bezpečnostného povedomia? Ako vnímaš úroveň bezpečnostného povedomia u zamestnancov spoločnosti? Ktoré bezpečnostné hrozby by mala podľa Teba spoločnosť riešiť prioritne? Akceptoval(a) by si povinnosť viditeľne nosiť identifikačný štítok zamestnanca na pracovisku ako opatrenie k zvýšeniu úrovne fyzickej bezpečnosti v priestoroch spoločnosti?

45 Prieskum spätnej väzby
Aký spôsob doručovania programu zlepšovania bezpečnostného povedomia uprednostňuješ?

46 Odmeny

47 Riziká/Ťažkosti Nestanovené ciele
Budovanie povedomia nie je profesné vzdelávanie Budovanie povedomia nie je jednorazová aktivita alebo projekt, je to dlhodobý program Budovanie povedomia nemá vyvolávať obavy, neistotu a pochybnosti Nevhodný obsah alebo forma Všetko pre všetkých Ak sa príliš sústredíme na vyvolanie obáv, neistoty alebo pochybností, môže sa stať, že sa ľudia začnú vyhýbať používaniu nových technológií

48 Služby ESET - Vzdelávanie
Metodika GAP Návrh plánu vzdelávania Metriky Realizácia Školenia a E-learning Vyhodnotenie Audit Vedomostné testy a dotazníky Testy sociálnym inžinierstvom

49 Prečo absolvovať vzdelávanie?

50 Sociálne inžinierstvo
Čo je sociálne inžinierstvo? Prečo by ma to malo zaujímať? Prečo to funguje? Ako to funguje v praxi - príklady ...a čo s tým môžeme urobiť? Služby ESET

51 Čo je sociálne inžinierstvo?
“Ovplyvňovanie ľudí tak, aby vykonali kroky, ktoré môžu alebo nemusia byť v ich záujme.“ V kontexte informačnej bezpečnosti: „Netechnický typ útoku, založený hlavne na interakcii s človekom, zahŕňa manipuláciu človeka tak, aby porušil bezpečné postupy, vykonal požadovanú akciu, vyzradil citlivé informácie a pod., pričom cieľom je získanie informácií, alebo prístupu do informačného systému.“ Nie je to len negativne – deti, lekar, knaz, manzelka, sef, ucitelia, vysetrovatelia... Niekedy dobre, ale niekedy zle Cize utocnik nezneuziva technicke zranitelnosti systemov, ale zranitelnosti cloveka aby dosiahol co chce – vacsinou ziskat informacie

52 Prečo by nás to malo zaujímať?

53 Prečo funguje? lebo sme ľudia → kognitívna predpojatosť/sklon ku chybe (cognitive biases) náklonnosť k chybným rozhodnutiam na systematickej a predvídateľnej báze pramení z nesprávneho zberu, analýzy a použitia informácií – zlý úsudok, nelogický výklad, iracionalita dôvera, rešpektovanie autorít, ochota pomáhať, pocit záväzku, vidina získania výhody, vyhýbanie sa konfliktom – potreba mať kľud, konzistentnosť, sympatie , stres, strach... Všetky techniky sociálneho inžinierstva sú založené na špecifických vlastnostiach ľudského rozhodovania známych ako… Priciny - Evolucia, vychova (Dovera – osoba s telesnym handicapom, doprovod) Pocit zavazku – podrzat dvere, odpovedat na polozenu otazku, ustupok pri dohadovani ceny... Konzistentnosť – aukcia, ako sa mate – dobre – to rad pocujem, to je skvele, niektori ludia nemaju to stastie a boli by velmi radi keby ste im mohli pomoct... kognitívny - majúci poznávací význam, k. psychológia teória zameraná na spracovanie informácií, získavanie všeobecných poznatkov a procesov chápania; k. mapa obraz reality, ktorý si organizmus vytvára na základe svojich skúseností; k. robot inteligentný; sociol. k-a teória názor, že poznávacie procesy v sociálnej interakcii majú základný význam pre existenciu sociálnej štruktúry

54 Ako to funguje v praxi... Útočník vie čo chce získať
Vyberie si ľahšiu cestu pre útok – cez ľudí Pozbiera dostupné informácie Pripraví si plán útoku v ktorom: využije zozbierané informácie zneužije psychologické aspekty a vyberie si spôsob útoku: phishing telefón fyzický prienik prenosné médiá prehľadávanie odpadkov 1. Utocnik ma cieľ – chce dáta, alebo prístup niekam 2. Namiesto vyuzitia technickych zranitelnosti si vyberie lahsiu cestu – vyuzije ludske zranitelnosti 3. Pozbiera co najviac informacii 4. Pripravi si scenar pre jeden, alebo viac utokov a v tychto scenaroch vyuzije informacie ktore sa mu podarilo pozbierat zneuzije niektore psychologicke aspekty a utok moze vykonat nasledujucimi sposobmi: phishing (podvrhnuty ), telefonu (vyziada si informacie po telefone, alebo ich zaslanie om) fyzicky prienik do priestorov (v prestrojeni) prenosne media (so skodlivym kodom zanechane tak, aby ich zamestnanec nasiel a spustil) prehladavanie odpadkov (a ziskanie citlivych nezlikvidovanych informacii)

55 Poznáme aj z médií Raz sa moze pisat aj o vas. Myslite, ze nie?
Povedzme si zopar prikladov z jedneho testovania socialnym inzinierstvom, kde sme simulovali co by mohol dokazat utocnik vyuzivajuci tieto techniky. Zakaznikom bola mensia spolocnost, velkosti priblizne 20 zamestnancov a bola to spolocnost ktora poskytuje IT sluzby.

56 Príklady z našej praxe Správa budovy – Bezpečnostný manažér
Kontaktné telefónne číslo (webová stránka) Developerská a správcovská spoločnosť (google) Správa budovy – Bezpečnostný manažér Telefonický test – zaslanie interného telefónneho zoznamu Developerská a správcovská spoločnosť (google) Priestory spoločnosti (webová stránka + Flickr) Meno a mobilné telefónne číslo konateľa a mená zamestnancov (interný telefónny zoznam) Správa budovy – Požiarny technik Fyzický prienik & prenosné médiá Myslite, ze nie? Povedzme si zopar prikladov z jedneho testovania socialnym inzinierstvom, ktore sme robili a kde sme simulovali co by mohol dokazat utocnik vyuzivajuci tieto techniky. Zakaznikom bola mensia spolocnost, velkosti priblizne 20 zamestnancov a bola to spolocnost ktora poskytuje IT sluzby.

57 Príklady z našej praxe Phishingový test – podvrhnutá linka
Mená zamestnancov (interný telefónny zoznam) Formát ových adries (datamining, s interným tel. zoznamom) Prezývka bývalej kolegyne (Flickr) bývalej kolegyne (datamining) Získané ocenenie (webová stránka) Bývalá kolegyňa gratuluje k nominácii Phishingový test – podvrhnutá linka

58 Príklady z našej praxe Človek, ktorý omylom niečo vyhodil
Kto prenajíma priestory v budove? (google) Aký je upratovací servis a kde sú kontajnery? (telefonicky od prenajímateľa, SBSka, fyzická obhliadka) Kontaktné telefónne číslo (webová stránka) Aké ďalšie firmy sídlia v budove? (fyzická obhliadka) Kto vám upratuje? (telefonicky na kontaktnom čísle spoločnosti) Kedy sa upratuje a vynášajú smeti? (SBSka, upratovacia firma) Človek, ktorý omylom niečo vyhodil Prehľadanie odpadkov – získanie citlivých informácii

59 Čo s tým môžeme robiť? Budovať bezpečnostné povedomie
uvedomiť si hrozbu a poznať jej metódy robiť awareness program dobre chápať hodnotu informácie a kriticky myslieť Aktualizovať softvér Definovať interné postupy Vykonávať testy sociálnym inžinierstvom a učiť sa z nich 1-1 Vedieť že takéto útoky existujú a poznať metódy akými sa robia, technologie coraz lepsie... preto clovek Byt v obraze ake utoky sa robia, co sa pouziva, ako to prebieha, na to sme si povedali par prikladov – ak nevieme co nam hrozi tazko sa proti tomu ubranime 1-2 Nerobit to nudne, lebo ako sa to bezne robi to zjavne nefunguje, musi sa to tych ludi priamo dotykat, musi to byt osobne 1-3 Poznať hodnotu informácie a zamyslat sa nad tym komu ju dávam, či má na ňu nárok, preco sa to vobec pyta... aj mala informacia moze sposobit narusenie bezpecnosti - Nahnevany zakaznik ktory sa zacne pytat na to ktory dodavatel nam robi to alebo ono – vystrazna kontrolka 2. Acrobat reader, browser, office – ak uz klikne, alebo otvori prilohu, mame vacsiu sancu ze sa ochranime 3. napr phishing – napr. ako ho rozpoznat, co s nim, preposlat na bezpecnost/IT, dat vediet kolegom, nadriadenemu, neotvarat prilohu, neklikat na linku? Ak prave premyslate co by asi zamestnanci u vas urobili, tak asi nemate ziadne postupy. 4. Skor ako sa budeme branit potrebujeme vediet voci comu, aky je nas stav, kde sme horsi, kde sme ok, phishing vs USB kluce, skartovanie vs telefon Takyto test SE je specificky pre vasu spolocnost a ukaze vam presne kde su diery a co urobit pre napravu - a potom viete upriamit pozornost a dat zdroje na tie oblasti kam potrebujete – vzdelavat uzivatelov tam kde to ma najvacsi ucinok a nenudit ich tym, co uz vedia

60 Načo nám bude test? aké informácie môže neoprávnená osoba získať
kam až sa môže neoprávnená osoba dostať aká je možnosť spustenia škodlivého kódu / inštalácie neautorizovaného zariadenia Test nam povie k akym informaciam by sa utocnik mohol dostat, do ktorych priestorov, aku ma sancu spustit skodlivy kod, alebo nainstalovat napr. wifi access point, alebo spustit keylogger na pracovnej stanici Zdoraznim, ze ESET nepouziva pri testoch skodlivy kod a testovanie je tak bezpecne a nema negativny vplyv na prevadzku ci ohrozenie bezpecnosti

61 Služby ESET – Test sociálnym inžinierstvom
Výkon testovania blackbox whitebox Použité techniky phishing test telefonický test test s prenosnými médiami fyzický prienik do priestorov prehľadávanie odpadkov

62 Phishing test Cieľ: aká je možnosť spustenia škodlivého kódu (linka, príloha) aké informácie je možné získať Realizácia: s linkou alebo prílohou a logovanie na webserveri so žiadosťou o zaslanie informácií Výstup: štatistiky kliknutí na linku, či otvorenia/spustenia prílohy získané informácie

63 Telefonický test Cieľ: aké informácie je možné získať Realizácia:
získanie podporných informácií pre scenáre získanie prístupových údajov dohodnutie zaslania citlivých informácii Výstup: štatistiky úspešnosti získania informácii získané informácie

64 Test prenosnými médiami
Cieľ: aká je možnosť spustenia škodlivého kódu (CD, USB) Realizácia: v priestoroch organizácie zanechané prenosné médiá neoznačené / s „atraktívnym“ označením logovanie spustenia na webserveri Výstup: štatistiky spustenia

65 Fyzický prienik do priestorov
Cieľ: možnosť prieniku do rôznych priestorov k akým informačným aktívam je možné sa dostať Realizácia: pokus dostať sa do rôzne chranených priestorov overenie „clear desk & clear screen“ Výstup: dôkaz o prieniku (napr. fotografie, nálepky) získané informácie

66 Prehľadávanie odpadkov
Cieľ: aké informácie je možné získať a neboli zlikvidované Realizácia: hľadanie citlivých „nezlikvidovaných“ dát získanie podporných informácií pre scenáre Výstup: získané informácie

67 Čo testom získame? reálnu skúsenosť s tým, čo sa môže stať
reálnu predstavu o dopadoch priamu identifikáciu slabých miest predstavu o vhodných bezpečnostných opatreniach okamžité zvýšenie bezpečnostného povedomia zamestnancov materiál pre budovanie bezpečnostného povedomia Akym sposobom na nas moze utocnik zautocit Co z toho pre nas vyplyva Kde mame diery, ktore treba zaplatat Vysledkom testu nie je len informacia o tom co je zle ale aj navrh krokov ako stav zlepsit - úspešný útok je zlyhaním systému nie jednotlivca - nedostatočný awareness program a/alebo interné predpisy, testovacích scenárov robíme viac aby bolo jasné, že nejde o náhodné zlyhanie jednotlivca, ale o nedostatočné riadenie informačnej bezpečnosti Zamestnanca ktory bol sucastou simulovaneho utoku nevyhadzovat.Takyto jednotlivec je prínosom pre bezpečnost – osobna skusenost je na nezaplatenie, raz byt podvedeny je lepsie ako 100x o tom citat, alebo pocut Takyto zamestnanec si sam da vacsi pozor a predava osobnu skusenost svojim najblizsim kolegom a zvysuje tak bezpecnostne povedomie bez toho aby sme sa my o to museli dalej snazit Vysledky sa daju pouzit v awareness programe kde skusenost kolegu a nasej firmy je nam blizsia ako nejake priklady z ameriky, je to blizsie, osobnejsie, viac sa nas to dotyka a tym to ma aj vacsi efekt a prinos

68 Ďalšie služby ESET – riadenie IB
Konzultačná podpora / projekt Budovanie ISMS Bezpečnostná politika a smernice Analýza rizík Návrh a plán ošetrenia rizík, BIA Bezpečnostné projekty Kontinuita činností (BCM, DRP) Príprava na certifikáciu ISO 27001 Outsourcing Bezpečnostného manažéra

69 Ďalšie služby ESET – kontrola stavu IB
Kontrola stavu IB/ Audit Interný audit Audit voči dobrej praxi (ISO 27002) Audit voči legislatívnym požiadavkám Penetračné testovanie Test sociálnym inžinierstvom Predcertifikačný audit (ISO 27001)

70 Q & A Priestor pre Vaše otázky?

71 Vďaka za pozornosť Dobrú chuť! Peter Katrinec

72 Program technického workshoput
14: :15 Blok 1 15: :30 coffee break 15: :45 Blok 2 16: :00 17: :00 Technický support Q&A 18:00 Večera *Technický workshop je určený len pre pozvaných obchodných partnerov

73 title