Czy systematyczne podejście do testów bezpieczeństwa się opłaca? Borys Łącki 21.04.2016
Welcome message from author
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Borys Łącki 21.04.2016
● Testy penetracyjne
● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne
Borys Łącki> 10 lat - testy bezpieczeństwa
Edukacja: www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
Bezpieczeństwo
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
systematyczny
1. «robiący coś regularnie i starannie»
opłacić się
2. «przynieść zysk, korzyść»
http://sjp.pwn.pl/
Definicje
Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.”
Perspektywa
Ochrona zasobów
● Wartość informacji – poufność● Przerwa w działaniu – dostępność● Oszustwa – integralność
#koszty
Nasi Klienci
Tworzenie oprogramowania
"tworzymy oprogramowanie dla największych firm
w kraju, oczywiście, że jest bezpieczne i przechodzi
rygorystyczne testy bezpieczeństwa"
#fail
Nasi Klienci
Konsekwencje:
- kradzież danych firmowych - konkurencja
- publikacja danych firmowych np. o Klientach w sieci
- szantaż
- podmiana witryny firmowej - reputacja
- kradzież środków finansowych - podmiana faktur, przelewów
- ransomware
rykoszet - atakuje się firmy tworzące oprogramowanie by zaatakować inne firmy
Motywacja Klientów
Carbanak
Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na
całym świecie
Przelewy bankowe
●Zarząd Dróg Wojewódzkich wysłał ok. 3,7 mln zł na konto podane przez oszusta.
●Metro warszawskie zostaje okradzione na ponad pół miliona złotych
Przelewy bankowe
Polska
Ransomware
Konta Allegro
Konta bankowe
Karty płatnicze
Konta e-mail
Sklepy internetowe
Komputer w salonie T-Mobile
Dane firmowe
Koszty defektów
http://www.embeddedinsights.com/channels/channels/voices-of-industry/
Koszty defektów
Koszty defektów
Liczba podatności
Testy bezpieczeństwa
● Jednorazowy test – usunięcie wielu podatności
● Ograniczenie ryzyka● Zdobycie wiedzy i edukacja● Ocena z zewnątrz● Merytoryczny partner – prezentacje Klienta● Zmniejszamy okno czasowe!
Liczba podatności
Systematyka
● Zwiększanie świadomości● Edukacja● Systematyka == przypominanie● Działania proaktywne● Bezpieczeństwo wpisane w koszty● Admin, Developer, Tester, HR, Prezes
PhishMe_EnterprisePhishingSusceptibilityReport_2015_Final
Czy to działa?
SecurityInside.pl - wyniki testów
Czy to działa?
Ciekawe ćwiczenia == Dyskusja pracowników
Czy to działa?
https://securityinside.pl
Kod rabatowy: sdbna2016m – 20%ważny do 24 maja 2016
SecurityInside.pl
● Zdobywaj wiedzę o zagrożeniach - edukuj siebie i innych! z3s.pl
● Nie klikaj! Weź głęboki oddech. Pomyśl. Działaj - Stop, Think, Connect
● Nie wpisuj swoich danych osobowych np. numeru telefonu● Nie oddawaj swoich danych uwierzytelniających - login,
hasło● Używaj różnych i skomplikowanych haseł - menadżer
haseł● Zaloguj się, skorzystaj z serwisu, wyloguj się● Zacznij robić kopie zapasowe ważnych danych - w różnych
miejscach
Pamiętaj!Rady dla pracowników
Lista kontrolna● Aktualizacje - Systemy, aplikacje, urządzenia sieciowe, (...)● Firewall - IPv4/IPv6, In/Out, Host, Network (Wi-Fi), (...)● Hardening - Non-admin logins, EMET (ASLR, Anti-ROP), Wyłączenie zbędnych funkcji, Sandbox browser,● Systemy bezpieczeństwa – PC - Anti-Virus, HIPS, Anti-Malware, (…) -● Systemy bezpieczeństwa – Sieć - WAF, IPS/IDS, UTM, DLP, (...)● Systemy operacyjne - N > N-1, (...)● Kopie zapasowe - Weryfikacja poprawności, testy odtworzenia, ochrona, (...)● Testy penetracyjne - Wewnętrzne, zewnętrzne, (...)● Multi-factor authentication● Białe listy aplikacji● SIEM - Synchronizacja czasu, Centralne logowanie, Ochrona, (...)● Ochrona fizyczna - Nie tylko pomieszczenia serwerowe, (...)● Urządzenia mobilne - Szyfrowanie danych, Aplikacje z zaufanego źródła, PIN, (...)● Dokumentacja - Porządek, Aktualizacja, Ochrona, (...)● Polityka haseł - Tech + Soft, (...)● Plany działania - Incident Response Plan, BCP, DR, Wymogi prawne, (...)● Dział bezpieczeństwa - Kto? Gdzie? (...)● Public Relations - Komunikat prasowy, Zakres, Do kogo? Gdzie?, (...)● Usługi zewnętrzne - DNS, Cloud/Hosting, Facebook, Twitter, Google, (...)● Usługi zewnętrzne - CERT, ISP, Informatyka śledcza, Testy penetracyjne (...)● Edukacja - Systematyka, Szkolenia, Zwiększanie świadomości, Testy, (...)● (...)
News:http://z3s.plhttp://sekurak.pl/http://niebezpiecznik.plhttp://bothunters.pl
http://nakedsecurity.sophos.com/http://krebsonsecurity.com/http://blogs.securiteam.com/
Narzędzia: http://virustotal.com - weryfikacja pliku w kilkudziesięciu silnikach AV (AntiVirus)
http://bothunters.pl/2013/11/06/oszusci-na-allegro-falszywe-potwierdzenie-przelewu/https://securelist.com/blog/virus-watch/67699/a-nightmare-on-malware-street/https://www.av-test.org/https://zaufanatrzeciastrona.pl/post/cryptorbit-czyli-polski-slad-w-kodzie-zrodlowym-ransomware/https://zaufanatrzeciastrona.pl/post/nie-daj-sie-zlapac-czyli-jak-wirusy-szyfrujace-dyski-atakuja-swoje-ofiary/https://zaufanatrzeciastrona.pl/post/seria-facebookowych-oszustw-w-ktore-ciagle-klikaja-wasi-znajomi/https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-nietypowy-atak-udajacy-faktury-orange/https://zaufanatrzeciastrona.pl/post/wiesz-kto-wlamal-sie-kancelarii-100-000-pln-nagrody-czeka/http://www.av-comparatives.org/http://www.cert.pl/news/7649http://www.gazetawroclawska.pl/artykul/9105998,dwa-gwalty-we-wroclawiu-sprawcy-to-imigranci-policja-to-internetowe-oszustwo,id,t.htmlhttp://www.money.pl/banki/wiadomosci/artykul/plus-bank-ofiara-wlamania-haker-zada-okupu,100,0,1824100.htmlhttp://www.legnica.policja.gov.pl/komunikaty/2015/107.phphttp://www.nydailynews.com/news/national/new-teen-usa-claims-victim-online-extortion-plot-article-1.1426065http://www.tvp.info/19935237/podlascy-drogowcy-ofiara-oszustow-przelali-cztery-miliony-na-falszywe-kontohttp://tvnwarszawa.tvn24.pl/informacje,news,metro-zaplacilo-pol-miliona-oszustowi,97526.htmlhttp://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
Literatura uzupełniająca"Haker. Prawdziwa historia szefa cybermafii" - Poulsen Kevin"Zero Day" - Mark Russinovich"Mroczny rynek - hakerzy i nowa mafia" - MR Misha Glenny
Materiały dodatkowe
Related Documents
