כנס רציפות עסקית 10
DESCRIPTION
ניהול סיכונים והמשכיות עסקית בעידן הסייבר דני אברמוביץ, נשיא האיגוד הישראלי לאבטחת מידעTRANSCRIPT
ניהול סיכונים
והמשכיות עסקית
בעידן הסייבר www.issa.org.ilVisit Us at:
ISSA The Global Voice of Information Security
דני אברמוביץ : מרצה
נשיא האיגוד הישראלי לאבטחת מידע
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
מהו הסייבר
אתגרים בעידן הסייבר
איומים וסיכונים
ניהול סיכונים בעידן הסייבר
סדר יום
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
...סייבר בעולםחדשות
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
www.issa.org.il
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
ניהול סיכונים והמשכיות עסקית בעידן הסייבר
, שלמות המידע, המטרה הבסיסית של אבטחת המידע היא שמירה על סודיות המידע
.במטרה לאפשר לארגון רציפות תפעולית, וזמינות המידע
זמינות שלמות
סודיות
ניהול
סיכונים
המשכיות
עסקית
סייבר
סקיוריטי
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
מבנה רשת ארגונית טיפוסית
LAN
IPS .הזדהות
Firewall
הסיסטםאבטחה ברמת
אבטחה ברמת הרשת
Firewall
VPN
פירוול
VPN
IPSמערכת
הזדהות ואימות
וירוס-מערכת אנטי
עדכון טלאים
הקשחת מערכות
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
Your Text here Your Text here
Shahar Maor’s work Copyright 2012 @STKI Do not remove source or attribution from any graphic or portion of graphic 7
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
אתגרים עיקריים בעידן הסייבר
מחשוב ענן
אבטחה פיזית
מודעות העובדים
זליגת מידע
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
איומים בעידן
הסייבר
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
איומים בעידן הסייבר
איומים ישנים
איומים בעידן הסייבר
מתקפות מתוחכמות על מערכות •
, SCADAשונות כגון מערכות
, מכשירים רפואיים, טלפונים חכמים
ציוד מחשוב ברכבים ועוד
, ממוקדות יותר, מתקפות מתוחכמות•
Spear Phishing ,APTכגון
גניבת מידע וזהויות לצורך מתקפות •
ממוקדות יותר וריגול תעשייתי
בעיקר , מקפות פשוטות על המחשב•
וירוסים
כאשר המטרה , מתקפות מאסיביות•
היא גרימת נזק בצורה מאסיבית כגון
שהופצו פישינגמתקפות , תולעים
ברחבי האינטרנט
גניבת כרטיסי אשראי•
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
?כמה שווה המידע שלכם
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
מתקפות
APT
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
הטכנולוגיה התקדמה מאוד
במשך השנים
2013
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
....נשאר אותו דבר...אבל הרעיון
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
?מהי הדרך המהירה ביותר להחדיר וירוס לארגון
2011קובץ משכורות •
סודי ביותר•
חסוי אישי•
VIRUS
וירוס
סוס טרויאני פישינג (HOAX)תרמית ספאם
?ל"מה יש בתוך הדוא
תולעת
!!!ל"צריכים לנקוט בזהירות בעת פתיחת דוא.....ל"רק אתם אחראים על פתיחת הדוא
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
16
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
17
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
18
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
19
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
מקורות
לזליגת מידע
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
אתגרים עיקריים בעידן הסייבר
מחשוב ענן
אנושי הינדוס
טלפונים חכמים
רשתות חברתיות
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
אני יודע מה עשית בקיץ האחרון
...לתמונות שלכם.... וכמובן גם כל שאר האנשים שיש להם גישה...אני
?הידעתם
ומהמצלמות( פלאפונים)כל פעם שאתם מצלמים תמונות מהמכשירים החכמים שלכם ,
:אתם בעצם מאפשרים לאנשים זרים לדעת, ומעלים את התמונות לאתרי אינטרנט
איפה הייתם\איפה אתם
(הרגלי בילוי)מועדפים בהם אתם מרבים להסתובב \המקומות הקבועים
זמנים מתי אתם נמצאים ואיפה
כ"איפה האוטו שלכם מחנה בד
ועוד המון מידע נוסף
אתם בעצם מאפשרים לאנשים:
לעקוב אחריכם
לגנוב מכם
לרגל אחריכם
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
זליגת מידע בענןwww.issa.org.il
?האם אנחנו יודעים למי יש גישה למידע שלנו
?את הגישה ולנטרכיצד אנחנו יכולים לבקר
כיצד ניתן לבצע תחקור , אם יש אירוע אבטחת מידע
(Forensics ) בייחוד כשמדובר באחסון שרתים
?(רגולציות וחוקים שונים)במדינות אחרות
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
איסוף מידע(אנושי הינדוס)
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
Phishing -האתר המתחזה
http://www.tdahmg.org.br//modules/Your_Account/images/hb2.bankleumi.co.il/e_LoginBody.htm
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
?ההאקרמהם הכלים של
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
מיפוי אמצעי אבטחת המידע בארגון
.............שיטות לאיסוף מידע
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
רשתות
חברתיות
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
.....פייסבוקבאמצעות ....דליפת מידע
E-mail: [email protected]
User name :tomg
Password: tommy
אחד ממשתמשי הארגון גרם , ברוב המקרים של דליפת מידע
.לדליפה
פרסום מידע מיותר ברשת , ל"י שליחת דוא"זה יכול להתבצע ע
.'וכוהרשמה לאתרים שונים באינטרנט , ( Facebook)האינטרנט
E-mail: [email protected]
User name :tomg
Password: Pussycat
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
Tom Jones Facebook Wall
www.titans2.com
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
שליחת
...ל"דוא
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
דליפת מידע\איסוף מידע
32
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
איסוף מידע
33
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
אתרים באינטרנט...מקור נוסף לזליגת מידע
www.issa.org.il
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
ניהול סיכונים
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
!?כיצד מנהלים סיכונים בארגונים
סיכוניםהיעדר מסגרת ניהול
בת היענה M&Mסוכריות כיבוי שריפות
, קשה מבחוץ מתנערים מהאחריות
רך מבפנים
, באים לעבודה
ומטפלים בשוטף
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
מתודולוגיות לניהול סיכונים
!?כיצד צריך לנהל סיכונים
ISO
27005 ISO
31000 NIST
800-30 CRAMM
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
ניהול סיכונים
?האם הנך סובל מסיכונים
.הסיכון מתחיל ברגע שמדליקים את המחשב ועושים שימוש בו
.י ניהול סיכונים יעיל ואפקטיבי"הדרך היחידה להתמודד עם מגוון האיומים כיום היא ע
לקבל את
הסיכון
למזער את
הסיכון
להעביר את
הסיכון
להימנע
מהסיכון
מנהל אבטחת המידע הנהלת הארגון (מחייב אישור הנהלת הארגון)
הנהלת הארגון
למזער את הסבירות להתרחשות הסיכון• למזער את מידת ההשפעה של הסיכון על הארגון•
הנהלת הארגון
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
הערכת סיכונים
שאלות בסיסיות 4תהליך הערכת סיכונים עונה על:
על מה אני מנסה להגן –זיהוי הנכסים בארגון?
מפני מה אני מנסה להתגונן –זיהוי האיומים?
האם –הערכת רמת האבטחה של הבקרות הקיימות ?הבקרות הקיימות עונות על הצרכים העסקיים של הארגון
חישוב של רמות הסיכון בהתייחס –חישוב רמות הסיכון תועלת-ליחס עלות
באם )ניתן להכין את מסמך מדיניות אבטחת המידע , לאחר מכן עבודה מסודרת לטיפול בממצאים תוכניתולהכין ( לא קיים
לפחות )חובה לבצע הערכת סיכונים , היות ולא ניתן להתגונן מפני איומים שלא יודעים עליהם•בכדי למפות את האיומים ורמות הסיכון שחלות על ( פעם אחת בצורה מלאה על כל הארגון
.ועל מערכות המידע והמידע בפרט, הארגון בכלל
הינה אחת המשימות הראשונות של מנהל אבטחת המידע שנכנס , תהליך של הערכת סיכונים• לתפקיד בארגון
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
האם צריכים
!!!??לנהל סיכונים
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
להכלטכנולוגיה לא נותנת מענה
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
שילוב בין העולם הטכנולוגי לבין תהליכים
(ניהול)תהליכים טכנולוגיה
Firewall מדיניות
IPS נהלים והנחיות
NAC מדדים
תהליכי ביקורת מערכות ניטור ובקרה
מדידת אפקטיביות SIEMמערכות
מסגרת לניהול אבטחת מידע בקרת גישה
ניהול אבטחת מידע בהיבט
הטכני
מתודולוגיה לניהול סיכונים אמצעי זיהוי ואימות
ניהול אבטחת מידע בהיבט
ניהולי\התהליכי
סיווג וניהול נכסים הצפנה
אבטחת מידע בהיבט האנושי סינון תוכן
וירוס-אנטי נהלי פיתוח מאובטח
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
דרכי התמודדות
תאמצו את המסגרת
!!!שמתאימה לכם
ISO
27032 ISO
27001 ISO
27005 ISO
22301
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved
Copyright © 2010 by ISSA Israeli Chapter
All Rights Reserved