czy systematyczne podejście do testów bezpieczeństwa się opłaca?
TRANSCRIPT
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Borys Łącki 21.04.2016
● Testy penetracyjne
● Audyty bezpieczeństwa● Szkolenia● Konsultacje● Informatyka śledcza● Aplikacje mobilne
Borys Łącki> 10 lat - testy bezpieczeństwa
Edukacja: www.bothunters.pl ~ 8 lat blogowania o cyberprzestępcach
Confidence, SEMAFOR, SECURE, Atak i Obrona, Security Case Study, Internet Banking Security, ISSA, SecureCON, SEConference, SekIT, PTI, Open Source Security, PLNOG (…)
Bezpieczeństwo
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
systematyczny
1. «robiący coś regularnie i starannie»
opłacić się
2. «przynieść zysk, korzyść»
http://sjp.pwn.pl/
Definicje
Test penetracyjny – „proces polegający na przeprowadzeniu kontrolowanego ataku na system teleinformatyczny, mający na celu praktyczną ocenę bieżącego stanu bezpieczeństwa tego systemu, w szczególności obecności znanych podatności i odporności na próby przełamania zabezpieczeń.”
Perspektywa
Ochrona zasobów
● Wartość informacji – poufność● Przerwa w działaniu – dostępność● Oszustwa – integralność
#koszty
Nasi Klienci
Tworzenie oprogramowania
"tworzymy oprogramowanie dla największych firm
w kraju, oczywiście, że jest bezpieczne i przechodzi
rygorystyczne testy bezpieczeństwa"
#fail
Nasi Klienci
Konsekwencje:
- kradzież danych firmowych - konkurencja
- publikacja danych firmowych np. o Klientach w sieci
- szantaż
- podmiana witryny firmowej - reputacja
- kradzież środków finansowych - podmiana faktur, przelewów
- ransomware
rykoszet - atakuje się firmy tworzące oprogramowanie by zaatakować inne firmy
Motywacja Klientów
Carbanak
Wielki napad na bank: cybergang Carbanak kradnie 1 mld dolarów ze 100 instytucji finansowych na
całym świecie
Przelewy bankowe
●Zarząd Dróg Wojewódzkich wysłał ok. 3,7 mln zł na konto podane przez oszusta.
●Metro warszawskie zostaje okradzione na ponad pół miliona złotych
Przelewy bankowe
Polska
Ransomware
Konta Allegro
Konta bankowe
Karty płatnicze
Konta e-mail
Sklepy internetowe
Komputer w salonie T-Mobile
Dane firmowe
Koszty defektów
http://www.embeddedinsights.com/channels/channels/voices-of-industry/
Koszty defektów
Koszty defektów
Liczba podatności
Testy bezpieczeństwa
● Jednorazowy test – usunięcie wielu podatności
● Ograniczenie ryzyka● Zdobycie wiedzy i edukacja● Ocena z zewnątrz● Merytoryczny partner – prezentacje Klienta● Zmniejszamy okno czasowe!
Liczba podatności
Systematyka
● Zwiększanie świadomości● Edukacja● Systematyka == przypominanie● Działania proaktywne● Bezpieczeństwo wpisane w koszty● Admin, Developer, Tester, HR, Prezes
PhishMe_EnterprisePhishingSusceptibilityReport_2015_Final
Czy to działa?
SecurityInside.pl - wyniki testów
Czy to działa?
Ciekawe ćwiczenia == Dyskusja pracowników
Czy to działa?
https://securityinside.pl
Kod rabatowy: sdbna2016m – 20%ważny do 24 maja 2016
SecurityInside.pl
● Zdobywaj wiedzę o zagrożeniach - edukuj siebie i innych! z3s.pl
● Nie klikaj! Weź głęboki oddech. Pomyśl. Działaj - Stop, Think, Connect
● Nie wpisuj swoich danych osobowych np. numeru telefonu● Nie oddawaj swoich danych uwierzytelniających - login,
hasło● Używaj różnych i skomplikowanych haseł - menadżer
haseł● Zaloguj się, skorzystaj z serwisu, wyloguj się● Zacznij robić kopie zapasowe ważnych danych - w różnych
miejscach
Pamiętaj!Rady dla pracowników
Lista kontrolna● Aktualizacje - Systemy, aplikacje, urządzenia sieciowe, (...)● Firewall - IPv4/IPv6, In/Out, Host, Network (Wi-Fi), (...)● Hardening - Non-admin logins, EMET (ASLR, Anti-ROP), Wyłączenie zbędnych funkcji, Sandbox browser,● Systemy bezpieczeństwa – PC - Anti-Virus, HIPS, Anti-Malware, (…) -● Systemy bezpieczeństwa – Sieć - WAF, IPS/IDS, UTM, DLP, (...)● Systemy operacyjne - N > N-1, (...)● Kopie zapasowe - Weryfikacja poprawności, testy odtworzenia, ochrona, (...)● Testy penetracyjne - Wewnętrzne, zewnętrzne, (...)● Multi-factor authentication● Białe listy aplikacji● SIEM - Synchronizacja czasu, Centralne logowanie, Ochrona, (...)● Ochrona fizyczna - Nie tylko pomieszczenia serwerowe, (...)● Urządzenia mobilne - Szyfrowanie danych, Aplikacje z zaufanego źródła, PIN, (...)● Dokumentacja - Porządek, Aktualizacja, Ochrona, (...)● Polityka haseł - Tech + Soft, (...)● Plany działania - Incident Response Plan, BCP, DR, Wymogi prawne, (...)● Dział bezpieczeństwa - Kto? Gdzie? (...)● Public Relations - Komunikat prasowy, Zakres, Do kogo? Gdzie?, (...)● Usługi zewnętrzne - DNS, Cloud/Hosting, Facebook, Twitter, Google, (...)● Usługi zewnętrzne - CERT, ISP, Informatyka śledcza, Testy penetracyjne (...)● Edukacja - Systematyka, Szkolenia, Zwiększanie świadomości, Testy, (...)● (...)
News:http://z3s.plhttp://sekurak.pl/http://niebezpiecznik.plhttp://bothunters.pl
http://nakedsecurity.sophos.com/http://krebsonsecurity.com/http://blogs.securiteam.com/
Narzędzia: http://virustotal.com - weryfikacja pliku w kilkudziesięciu silnikach AV (AntiVirus)
http://bothunters.pl/2013/11/06/oszusci-na-allegro-falszywe-potwierdzenie-przelewu/https://securelist.com/blog/virus-watch/67699/a-nightmare-on-malware-street/https://www.av-test.org/https://zaufanatrzeciastrona.pl/post/cryptorbit-czyli-polski-slad-w-kodzie-zrodlowym-ransomware/https://zaufanatrzeciastrona.pl/post/nie-daj-sie-zlapac-czyli-jak-wirusy-szyfrujace-dyski-atakuja-swoje-ofiary/https://zaufanatrzeciastrona.pl/post/seria-facebookowych-oszustw-w-ktore-ciagle-klikaja-wasi-znajomi/https://zaufanatrzeciastrona.pl/post/uwaga-na-nowy-nietypowy-atak-udajacy-faktury-orange/https://zaufanatrzeciastrona.pl/post/wiesz-kto-wlamal-sie-kancelarii-100-000-pln-nagrody-czeka/http://www.av-comparatives.org/http://www.cert.pl/news/7649http://www.gazetawroclawska.pl/artykul/9105998,dwa-gwalty-we-wroclawiu-sprawcy-to-imigranci-policja-to-internetowe-oszustwo,id,t.htmlhttp://www.money.pl/banki/wiadomosci/artykul/plus-bank-ofiara-wlamania-haker-zada-okupu,100,0,1824100.htmlhttp://www.legnica.policja.gov.pl/komunikaty/2015/107.phphttp://www.nydailynews.com/news/national/new-teen-usa-claims-victim-online-extortion-plot-article-1.1426065http://www.tvp.info/19935237/podlascy-drogowcy-ofiara-oszustow-przelali-cztery-miliony-na-falszywe-kontohttp://tvnwarszawa.tvn24.pl/informacje,news,metro-zaplacilo-pol-miliona-oszustowi,97526.htmlhttp://krebsonsecurity.com/2012/10/the-scrap-value-of-a-hacked-pc-revisited/
Literatura uzupełniająca"Haker. Prawdziwa historia szefa cybermafii" - Poulsen Kevin"Zero Day" - Mark Russinovich"Mroczny rynek - hakerzy i nowa mafia" - MR Misha Glenny
Materiały dodatkowe
