10 najvećih Infosec problema danas - hgk.hr · •Mreža, storage, virtualizacija… •Neznanje, socijalni inženjering… Veliki broj dostupnih kanala za širenje podataka Testna

10 najvećih Infosecproblema danas

Nebojša Mitrić

1. Socijalni inženjering

12.12.2018SecureTech 2018 2

Jedan od najuspješnijih oblika napada

• Većina zaposlenika nisu IT stručnjaci

Ne tehnološki napad

• Mailovi, telefonski pozivi, osobni kontakt

• Zaobilaženje tehničkih metoda zaštite

Interakcija i psihološka manipulacija

Napad na niže pozicionirane zaposlenike

1. Socijalni inženjering

12.12.2018SecureTech 2018 3

Edukacija je ključ zaštite!

• Potrebno ponavljati edukaciju

• Primjeri iz korporativne okoline

Nedostatak odgovornosti

• Politike i pravilnici

Socijalni inženjering – white hat

• Feedback djelatnicima

2. Neadekvatni planovi oporavka

12.12.2018SecureTech 2018 4

Što ako se desi potres ili poplava?

• Business continuity / disaster recovery

• Pitanje koje zahtjeva skupi odgovor

Pitanja na manjoj skali

• Što ako se pojavi cryptovirus?

• Što ako se pokvari server?

• Što ako pukne mrežna veza?

• Što ako se desi cyber security napad?

Planovi oporavka nisu popis stvari u organizaciji!

2. Neadekvatni planovi oporavka

12.12.2018SecureTech 2018 5

Business continuity / disaster recovery

• Planovi oporavka za nužne resurse

• Testiranje

• Ne zaboraviti ljude!

Planovi oporavka

• Definirati ključne resurse

• Opisati korake oporavka

• Uvesti redovne revizije / testiranja

3. Denial of Service

12.12.2018SecureTech 2018 6

Tri vrste napada

• Volumetrijski – zagušenje mrežnog linka

• Napad protokola – zagušenje resursa (npr. firewall)

• Napad na aplikacije

CaaS – Crime as a Service

• Dark web – jednostavna kupovina napada

Napadi mogu onesposobiti kritične servise

• Poslovnice, udaljenje lokacije…

3. Denial of Service

12.12.2018SecureTech 2018 7

Odrediti da li je mrežni link prema klijentima kritičan

• Interni klijenti i vanjski

Zaštita od volumetrijskih napada

• Vlastita oprema - skupo, dostupno velikim firmama

• Provideri – privatne mreže

Zaštita po geologaciji

4. Custom made aplikacije i servisi

12.12.2018SecureTech 2018 8

Developeri razvijaju aplikacije i web servise

• Sigurnost je česti izvan fokusa

• Brzina i rok isporuke je prioritet

Aplikacije se razvijaju za okolinu koja se percipira kao sigurna

Ugrađene pogreške i sigurnosni problemi u aplikacijama

Nedostatak logova

Zastarjele aplikacije

• Nitko ih ne održava

4. Custom made aplikacije i servisi

12.12.2018SecureTech 2018 9

Uvođenje standarda u razvoj aplikacija

• OWASP, Secure coding, DevOpsSec

Redovna edukacija developera

Redovni vulnerability scanning aplikacija

Alati za integraciju u razvoju

Ugovorna obaveza – razvoj sigurnog koda

5. Zaštita podataka

12.12.2018SecureTech 2018 10

Dvije vrste djelatnika

• Obični korisnici

• Administratori

Puno ulaznih vektora napada

• Mreža, storage, virtualizacija…

• Neznanje, socijalni inženjering…

Veliki broj dostupnih kanala za širenje podataka

Testna okolina

• Gdje se nalaze podaci?

5. Zaštita podataka

12.12.2018SecureTech 2018 11

Zaštita podataka od korisnika• Politike i procedure

• DLP (Data Loss Prevention)

Enkripcija• Enkripcija laptopa i računala

• Enkripcija servera

• Enkripcija maila

Anonimizacija• Interno razvijene skripte

• Alati za anonimizaciju

• Jednaka sigurnosna pravila za testnu i produkcijsku okolinu

SIEM

6. Mobilni uređaji

12.12.2018SecureTech 2018 12

BYOD – Bring your own device

• Mobiteli, laptopi, tableti, USB stickovi, USB diskovi

Mobiteli posebno osjetljivi

• Gdje je granica između privatnog i poslovnog?

• Ne želim nositi dva mobitela

Korporativni podaci na prijenosnim uređajima

Gubitak, krađa

6. Mobilni uređaji

12.12.2018SecureTech 2018 13

Osnova sigurnosti – politika mobilnih uređaja

• Odgovornost korisnika

• Definicija poslovnih uređaja

MDM – mobile device management

• Problem praćenja uređaja

Mail sustavi

• Politika korištenja maila

Enkripcija mobilnih uređaja, password na mobilnim uređajima

7. Previše sigurnosnih tehnologija

12.12.2018SecureTech 2018 14

Enterprise sigurnosna rješenja

• DLP, SIEM, Network monitori…

Rješenja se kupe i napravi se osnovna konfiguracija

• Jako puno informacija

• Potreban stručni kadar

Lažni osjećaj sigurnosti

• Potrošili smo x tisuća eura, mi smo sigurni!

Realnost

• Nitko ne prati što se događa, ne razumiju se događaji, sustav nije fino podešen

7. Previše sigurnosnih tehnologija

12.12.2018SecureTech 2018 15

Nužna usklađenost tehnologija i zaposlenika sa adekvatnim

znanjima

• Interni zaposlenici

• Outsourcing

Definirati incident management procedure

8. Nedostatak sigurnosnih osnova

12.12.2018SecureTech 2018 16

Osnovne sigurnosne tehnologije

• Sigurnosne nadogradnje, antivirus, email zaštita, firewall

Pogreške u razmišljanju

• Sustav je zatvoren, nitko nema pristupa

• Linux je siguran, Mac je siguran

• Tko će mene napasti?

Script kiddie

8. Nedostatak sigurnosnih osnova

12.12.2018SecureTech 2018 17

Planiranje sustava za 5-10 godina, ne za godinu dana

Zatvoren sustav nikad nije zatvoren!

• Razmišljanje prije 15 godina

Antivirus, sigurnosna nadogradnja, enkripcija i ostale osnovne

tehnologije

Pravilo minimalnih privilegija

Više zaštitnih mehanizama

9. Kompleksnost sustava

12.12.2018SecureTech 2018 18

Veće (i srednje) organizacije

• Kompleksan IT sustav

Veliki broj događaja u sustavu

• 20 tisuća događaja u sekundi

Nemoguće pratiti ručno što se događa

Reaktivan način reagiranja na sigurnosne incidente

9. Kompleksnost sustava

12.12.2018SecureTech 2018 19

Agregiranje i analiza događaja

• Stvaranje „baseline” načina rada

Napredno praćenje

SIEM (Security information and event management)

• Plaćena rješenja – najnaprednija analitika, AI, ML, manji početni rad,

proaktivno reagiranje, baza znanja

• Besplatna rješenja – potreban veći početni rad

10. Usklađenost sa standardom

12.12.2018SecureTech 2018 20

Sigurnosni standardi• ISO 27001, PCI DSS, NIST…

Sigurnosne regulative• GDPR, HNB, HANFA…

High level standardi

Lažni osjećaj sigurnosti

Lako se moguće certificirati• Ne jamči stvarnu sigurnost

Compliance ≠ Security

10. Usklađenost sa standardom

12.12.2018SecureTech 2018 21

Procjena rizika

• Potencijalni krivi uvid u stanje sustava

• Potrebno uključiti veći broj ljudi – poslovno i tehnički

Implementirati stvarne tehničke i proceduralne mjere

Izbjegavati veliki broj prijetnji i ranjivosti

Bonus – pravilnici i procedure

12.12.2018SecureTech 2018 22

Tko je za što odgovoran?

Što je korporativno, što privatno?

• Da li se smije čitati mail zaposlenika?

• Da li se smije pratiti gdje zaposlenik surfa?

• Što ako zaposlenik kaže svoju lozinku?

• Da li se smije pregledavati što korisnik printa?

Pomoć pri disciplinskim i sudskim procesima!• Preporučena pomoć pravnika specijaliziranih za informacijsku sigurnost!

Pitanja?

Nebojša Mitrić

[email protected]

12.12.2018SecureTech 2018 23