Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Podobné dokumenty
ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

MOHOU TECHNOLOGIE ZVÍTĚZIT V BOJI S MODERNÍMI HROZBAMI?

Bezpečnost ve vývoji webových aplikací

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

V Brně dne 10. a

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Efektivní řízení rizik webových a portálových aplikací

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Demilitarizovaná zóna (DMZ)

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Informatika / bezpečnost

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

ANECT, SOCA a bezpečnost aplikací

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Zákon o kybernetické bezpečnosti: kdo je připraven?

OCTAVE ÚVOD DO METODIKY OCTAVE

O autorech Úvodní slovo recenzenta Předmluva Redakční poznámka... 18

V Brně dne a

Zabezpečení mobilních bankovnictví

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Business Continuity Management jako jeden z nástrojů zvládání rizik. Ing. Martin Tobolka AEC, spol. s r.o.

Využití identity managementu v prostředí veřejné správy

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Implementace systému ISMS

ČESKÁ TECHNICKÁ NORMA

Monitorování datových sítí: Dnes

Management informační bezpečnosti

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Příloha Vyhlášky č.9/2011

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Důvěřujte JEN PROVĚŘENÝM Personal Identity Verification

PREZENTACE ŘEŠENÍ CSX

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

nová bezpečnostní identita nejen pro zákon pro skutečnou ochranu

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

PŘÍLOHA C Požadavky na Dokumentaci

Aktuár a řízení rizik

Cloud Security. Dušan Mondek. Security Specialist IBM Security Office IBM Corporation

Řízení rizik. RNDr. Igor Čermák, CSc.

Kybernetické hrozby - existuje komplexní řešení?

SIM karty a bezpečnost v mobilních sítích

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Organizační směrnice Q 7 Zálohování a archivace e-dat

Analytický programový modul pro hodnocení odolnosti v reálném čase z hlediska konvergované bezpečnosti

CASE. Jaroslav Žáček

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

Řízení správy rolí v rozsáhlých organizacích. Michal Opatřil Corinex Group

Zavádění PKI infrastruktury v organizaci - procesní aspekty. Vlastimil Červený, Kateřina Minaříková Deloitte Advisory, s.r.o.

Zhodnocení architektury podniku. Jiří Mach

Jak efektivně ochránit Informix?

Nasazení CA Role & Compliance Manager

Systém detekce a pokročilé analýzy KBU napříč státní správou

FlowMon Monitoring IP provozu

AEC, spol. s r. o. Jak bezpečnost IT nastavit v souladu s business požadavky společnosti. Tomáš Strýček Internet & Komunikace Modrá 4.6.

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Vývoj informačních systémů. Obecně o IS

Bezpečnost IS. Základní bezpečnostní cíle

EXTRAKT z české technické normy

egrc řešení - nástroj pro efektivní řízení bezpečnosti dle kybernetického zákona Marian Němec AEC a.s.

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

ANECT & SOCA. Informační a kybernetická bezpečnost. Víte, co Vám hrozí? Ivan Svoboda Business Development Manager, ANECT

FlowMon Vaše síť pod kontrolou

Olga Přikrylová IT Security konzultant / ITI GDPR. Ochrana osobních údajů

Analýza zranitelností databází. Michal Lukanič, Database Specialist

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

Komentáře CISO týkající se ochrany dat

MFF UK Praha, 29. duben 2008

Zajištění bezpečnosti privilegovaných účtů

Novell ZENworks. Komplexní správa heterogenního prostředí. Michal Zeizinger, Direct Account Manager

Z internetu do nemocnice bezpečně a snadno

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

CYBERSECURITY INKUBÁTOR

Z P Ů S O B P Ř Í S T U P U K Z A J I Š T Ě N Í S O U L A D U S E Z Á K O N E M O K Y B E R N E T I C K É B E Z P E Č N O S T I V C L O U D O V É M P

Petr Vlk KPCS CZ. WUG Days října 2016

Metodika zajištění ochrany kritické infrastruktury v oblasti výroby, přenosu a distribuce elektrické energie

Seminář CyberSecurity II

GDPR A INFORMAČNÍ SYSTÉM. Nadežda Andrejčíková Libor Piškula

Technická opatření pro plnění požadavků GDPR

& GDPR & ŘÍZENÍ PŘÍSTUPU

KERNUN CLEAR WEB. Má smysl český webový filtr? Radek Nebeský, TNS / Kernun Security Notes / Praha 11. října

Bezpečnostní politika a dokumentace

Teorie systémů TES 10. Měkké systémy metodiky

SPRÁVA ŽIVOTNÍHO CYKLU UŽIVATELE. Roman Pudil, SOITRON

Flow Monitoring & NBA. Pavel Minařík

Důvěryhodná výpočetní základna v prostředí rozsáhlých IS státní správy

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

Důležité otázky při výběru biometrické modality. Roman Cinkais, Jiří Vábek Wincor Nixdorf s.r.o.

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Bezepečnost IS v organizaci

GDPR SNADNO.info. Ing. Lukáš Přibyl, předseda NSMC Network Security Monitoring Cluster

Transkript:

Modelování hrozeb Hana Vystavělová AEC, spol. s r.o.

Agenda Možné způsoby identifikace rizik Úskalí analýzy rizik Modelování hrozeb metodiky Modelování hrozeb ukázky Výhody a přínosy modelování hrozeb

Jak identifikovat rizika? Penetrační testy a audity technické zranitelnosti a slabá místa Analýzy (současného stavu, audity bezpečnosti) slabá místa, nedostatky, neshody (vůči normě, best practices) Analýza rizik IS kvalitativní vs. kvantitativní přístup detailní specifikace, číselné vyjádření Modelování hrozeb

Analýza rizik dle ISO/IEC 27005 Stanovení kontextu Identifikace a kategorizace aktiv Identifikace zranitelností Identifikace hrozeb Identifikace následků Identifikace stávajících opatření

Časté problémy spojené s AR málo detailní obecná jaká opatření a kde aplikovat? složitý výpočet rizika co vše ovlivňuje míru rizika? které veličiny snižovat? nesprávné pochopení (interpretace) výstupů co mi tedy skutečně hrozí? obtížná uchopitelnost výsledků výstupem je 50+ opatření, kde začít?

Časté problémy spojené s AR netriviální v rámci SDLC dostupnost výstupů z AR v průběhu vývojového cyklu Výstupy z AR Možné řešení: modelování hrozeb

Cíle: Cíle a metodiky modelování hrozeb identifikace a pochopení možných ohrožení aplikace nebo systému které hrozby jsou reálné pro útok na aplikaci/systém? OCTAVE ISO/IEC 27002 Microsoft OWASP

Vybrané ukázky Jednoduchý model zranitelnosti x hrozby

Vybrané ukázky Modelování hrozeb dle metodiky Microsoft

MS Threat Analysis and Modeling tool Metodika na míru aplikaci

Threat Analysis and Modeling tool Zdroj: Microsoft Threat Analysis and Modeling Tool

Případová studie Model hrozeb pro aplikaci internetového bankovnictví Úvodní fáze: sběr podkladů dokumentace, interview, případně (penetrační) testy specifikace systému, použité role dekompozice aplikace (rozhraní s okolními systémy, datové toky, vstupní a výstupní body, použité technologie, ) identifikace zranitelných míst

Analýza útočníka Případová studie

Threat/attack tree Případová studie Unauthorized access to data Application level System level With account Without account OS Application components Communication Identity theft Rights abuse Application hack Target systems Interfaces security

Data flow diagrams Případová studie Username, password hash Username, password hash User Login Process DB Session ID Result Z hrozeb vyplývají oblasti pro další analýzu: HTTPS konfigurace front-endového serveru autentizace aplikace k databázi zabezpečení komunikace s DB politika hesel aplikace a její vynucování politika hesel databáze způsob uložení hesel v databázi způsob auditování login procesu síla hashovacího algoritmu

Možná úskalí modelování hrozeb Existuje více přístupů na začátku je třeba dobře identifikovat potřeby Nedostatek informací/dokumentace pro detailní modelování Nesoučinnost dodavatele aplikace Provozní slepota Nedostatečné pochopení aplikace Správné uchopení výsledků odpovědnými osobami Pravidelná aktualizace modelu

Přínosy modelování hrozeb Modelování může být rychlé, jednoduché a přesto velmi účinné Efektivní při vývoji aplikace Nejsou analyzovány nepravděpodobné hrozby Jiný pohled než v případě code review a penetračních testů Umožňuje cíleně implementovat opatření monitoring a ochrana informací (SIEM, DLP, ) code review zaměření penetračních testů

Děkujeme za pozornost. Hana Vystavělová AEC, spol. s r.o. hana.vystavelova@aec.cz 16. února 2011? PROSTOR PRO OTÁZKY

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář