10 najvećih Infosec problema danas Nebojša Mitrić
10 najvećih Infosecproblema danas
Nebojša Mitrić
1. Socijalni inženjering
12.12.2018SecureTech 2018 2
Jedan od najuspješnijih oblika napada
• Većina zaposlenika nisu IT stručnjaci
Ne tehnološki napad
• Mailovi, telefonski pozivi, osobni kontakt
• Zaobilaženje tehničkih metoda zaštite
Interakcija i psihološka manipulacija
Napad na niže pozicionirane zaposlenike
1. Socijalni inženjering
12.12.2018SecureTech 2018 3
Edukacija je ključ zaštite!
• Potrebno ponavljati edukaciju
• Primjeri iz korporativne okoline
Nedostatak odgovornosti
• Politike i pravilnici
Socijalni inženjering – white hat
• Feedback djelatnicima
2. Neadekvatni planovi oporavka
12.12.2018SecureTech 2018 4
Što ako se desi potres ili poplava?
• Business continuity / disaster recovery
• Pitanje koje zahtjeva skupi odgovor
Pitanja na manjoj skali
• Što ako se pojavi cryptovirus?
• Što ako se pokvari server?
• Što ako pukne mrežna veza?
• Što ako se desi cyber security napad?
Planovi oporavka nisu popis stvari u organizaciji!
2. Neadekvatni planovi oporavka
12.12.2018SecureTech 2018 5
Business continuity / disaster recovery
• Planovi oporavka za nužne resurse
• Testiranje
• Ne zaboraviti ljude!
Planovi oporavka
• Definirati ključne resurse
• Opisati korake oporavka
• Uvesti redovne revizije / testiranja
3. Denial of Service
12.12.2018SecureTech 2018 6
Tri vrste napada
• Volumetrijski – zagušenje mrežnog linka
• Napad protokola – zagušenje resursa (npr. firewall)
• Napad na aplikacije
CaaS – Crime as a Service
• Dark web – jednostavna kupovina napada
Napadi mogu onesposobiti kritične servise
• Poslovnice, udaljenje lokacije…
3. Denial of Service
12.12.2018SecureTech 2018 7
Odrediti da li je mrežni link prema klijentima kritičan
• Interni klijenti i vanjski
Zaštita od volumetrijskih napada
• Vlastita oprema - skupo, dostupno velikim firmama
• Provideri – privatne mreže
Zaštita po geologaciji
4. Custom made aplikacije i servisi
12.12.2018SecureTech 2018 8
Developeri razvijaju aplikacije i web servise
• Sigurnost je česti izvan fokusa
• Brzina i rok isporuke je prioritet
Aplikacije se razvijaju za okolinu koja se percipira kao sigurna
Ugrađene pogreške i sigurnosni problemi u aplikacijama
Nedostatak logova
Zastarjele aplikacije
• Nitko ih ne održava
4. Custom made aplikacije i servisi
12.12.2018SecureTech 2018 9
Uvođenje standarda u razvoj aplikacija
• OWASP, Secure coding, DevOpsSec
Redovna edukacija developera
Redovni vulnerability scanning aplikacija
Alati za integraciju u razvoju
Ugovorna obaveza – razvoj sigurnog koda
5. Zaštita podataka
12.12.2018SecureTech 2018 10
Dvije vrste djelatnika
• Obični korisnici
• Administratori
Puno ulaznih vektora napada
• Mreža, storage, virtualizacija…
• Neznanje, socijalni inženjering…
Veliki broj dostupnih kanala za širenje podataka
Testna okolina
• Gdje se nalaze podaci?
5. Zaštita podataka
12.12.2018SecureTech 2018 11
Zaštita podataka od korisnika• Politike i procedure
• DLP (Data Loss Prevention)
Enkripcija• Enkripcija laptopa i računala
• Enkripcija servera
• Enkripcija maila
Anonimizacija• Interno razvijene skripte
• Alati za anonimizaciju
• Jednaka sigurnosna pravila za testnu i produkcijsku okolinu
SIEM
6. Mobilni uređaji
12.12.2018SecureTech 2018 12
BYOD – Bring your own device
• Mobiteli, laptopi, tableti, USB stickovi, USB diskovi
Mobiteli posebno osjetljivi
• Gdje je granica između privatnog i poslovnog?
• Ne želim nositi dva mobitela
Korporativni podaci na prijenosnim uređajima
Gubitak, krađa
6. Mobilni uređaji
12.12.2018SecureTech 2018 13
Osnova sigurnosti – politika mobilnih uređaja
• Odgovornost korisnika
• Definicija poslovnih uređaja
MDM – mobile device management
• Problem praćenja uređaja
Mail sustavi
• Politika korištenja maila
Enkripcija mobilnih uređaja, password na mobilnim uređajima
7. Previše sigurnosnih tehnologija
12.12.2018SecureTech 2018 14
Enterprise sigurnosna rješenja
• DLP, SIEM, Network monitori…
Rješenja se kupe i napravi se osnovna konfiguracija
• Jako puno informacija
• Potreban stručni kadar
Lažni osjećaj sigurnosti
• Potrošili smo x tisuća eura, mi smo sigurni!
Realnost
• Nitko ne prati što se događa, ne razumiju se događaji, sustav nije fino podešen
7. Previše sigurnosnih tehnologija
12.12.2018SecureTech 2018 15
Nužna usklađenost tehnologija i zaposlenika sa adekvatnim
znanjima
• Interni zaposlenici
• Outsourcing
Definirati incident management procedure
8. Nedostatak sigurnosnih osnova
12.12.2018SecureTech 2018 16
Osnovne sigurnosne tehnologije
• Sigurnosne nadogradnje, antivirus, email zaštita, firewall
Pogreške u razmišljanju
• Sustav je zatvoren, nitko nema pristupa
• Linux je siguran, Mac je siguran
• Tko će mene napasti?
Script kiddie
8. Nedostatak sigurnosnih osnova
12.12.2018SecureTech 2018 17
Planiranje sustava za 5-10 godina, ne za godinu dana
Zatvoren sustav nikad nije zatvoren!
• Razmišljanje prije 15 godina
Antivirus, sigurnosna nadogradnja, enkripcija i ostale osnovne
tehnologije
Pravilo minimalnih privilegija
Više zaštitnih mehanizama
9. Kompleksnost sustava
12.12.2018SecureTech 2018 18
Veće (i srednje) organizacije
• Kompleksan IT sustav
Veliki broj događaja u sustavu
• 20 tisuća događaja u sekundi
Nemoguće pratiti ručno što se događa
Reaktivan način reagiranja na sigurnosne incidente
9. Kompleksnost sustava
12.12.2018SecureTech 2018 19
Agregiranje i analiza događaja
• Stvaranje „baseline” načina rada
Napredno praćenje
SIEM (Security information and event management)
• Plaćena rješenja – najnaprednija analitika, AI, ML, manji početni rad,
proaktivno reagiranje, baza znanja
• Besplatna rješenja – potreban veći početni rad
10. Usklađenost sa standardom
12.12.2018SecureTech 2018 20
Sigurnosni standardi• ISO 27001, PCI DSS, NIST…
Sigurnosne regulative• GDPR, HNB, HANFA…
High level standardi
Lažni osjećaj sigurnosti
Lako se moguće certificirati• Ne jamči stvarnu sigurnost
Compliance ≠ Security
10. Usklađenost sa standardom
12.12.2018SecureTech 2018 21
Procjena rizika
• Potencijalni krivi uvid u stanje sustava
• Potrebno uključiti veći broj ljudi – poslovno i tehnički
Implementirati stvarne tehničke i proceduralne mjere
Izbjegavati veliki broj prijetnji i ranjivosti
Bonus – pravilnici i procedure
12.12.2018SecureTech 2018 22
Tko je za što odgovoran?
Što je korporativno, što privatno?
• Da li se smije čitati mail zaposlenika?
• Da li se smije pratiti gdje zaposlenik surfa?
• Što ako zaposlenik kaže svoju lozinku?
• Da li se smije pregledavati što korisnik printa?
Pomoć pri disciplinskim i sudskim procesima!• Preporučena pomoć pravnika specijaliziranih za informacijsku sigurnost!