Téma. Čo je dnes jednoduchšie z pohľadu útočníka, ak chce získať (citlivé) dáta alebo informácie z organizácie?

Podobné dokumenty
PPC brief. Zadanie pre tvorbu PPC reklamnej kampane

PENETRAČNÉ TESTY. Prevencia pred únikom dát

Obsah. Úvod Vyhodnotenie dotazníka Grafické vyhodnotenie... 7

Formuláre PowerPoint MGR. LUCIA BUDINSKÁ,

Spoločnosť Wüstenrot monitoruje všetky bezpečnostné informácie a udalosti v informačnom systéme

Ako podporiť predaj áut cez internet? - popis služby Etarget - prípadová štúdia Suzuki Slovakia

Európske voľby Európske voľby 2009

Diplomový projekt. Detská univerzita Žilinská univerzita v Žiline Matilda Drozdová

NOVÉ NARIADENIE EÚ O OCHRANE OSOBNÝCH ÚDAJOV v kontexte kybernetickej bezpečnosti. Brno, 31. mája 2017

Cieľ: správne vysvetlenie významu slova migrovanie, priblížiť prečo ľudia migrujú, zapájať do odpovedí účastníkov,

Informácie o telefonovaní do zahraničia

Zdravotné postihnutie nie je prekážkou v prístupnosti na trh práce. Kto je občan so zdravotným postihnutím?

PRVÉ ÚSPEŠNÉ KROKY V SMEROVANÍ ŽIAKOV ZŠ K POVOLANIU. PhDr. Zdenka Osvaldová

Téma : Špecifiká marketingu finančných služieb

Mobilná aplikácia pre zaznamenávanie údajov systému HACCP

Manuál Generovanie prístupových práv E-Recept

Organizačné štruktúry.

SYSTÉM MANAŽMENTU KVALITY (SMK) podľa noriem ISO radu 9000 je SMK súbor činností riadenia organizácie zameraný na dosiahnutie spokojnosti zákazníka.

M R2454 SK

Online Video Brief Zadanie pre tvorbu video kampaní

Operačný systém Úvodná prednáška

Ako vyplniť elektronický formulár vo formáte PDF 16 b.

antistalinistická ľavica

Žiadosť o poskytnutie dotácie z FPU v roku 2016

PLASTOVÉ KARTY ZÁKAZNÍKOV

Textový editor WORD. Práca s obrázkami a automatickými tvarmi vo Worde

Školská sieť EDU. Rozdelenie škôl. Obsah: Deleba škôl podľa času zaradenia do projektu: Delba škôl podľa rýchlosti pripojenia:

Obr. 1 - názov podpísaného súboru/kontajnera v sivej lište

Virtuálna Registračná Pokladnica. Modul OPD pre ios

OBOZNÁMTE SA S VAŠÍM TELEFÓNOM

SPRIEVODCA PRE POUŽÍVANIE EPAYMENTS

ezakazky Manuál uchádzača

TESTOVANIE SOFTVÉRU MANUÁLNE

ŽIADOSŤ O GRANT. Zaradenie projektu do oblasti. Názov projektu. Žiadateľ. Číslo projektu

SYSTEMATICKÉ VZDELÁVANIE PRACOVNÍKOV V ORGANIZÁCII

Erasmus+ Online jazyková podpora (OLS) Využite svoj pobyt Erasmus+ naplno!

OBOZNÁMTE SA S VAŠÍM TELEFÓNOM

Preprava lítiových batérií. Začať

Externé zariadenia Používateľská príručka

INTEGROVANÝ SYSTÉM RIADENIA RIZÍK

Microsoft Outlook. Stručný prehľad základných funkcií. Ing.Anna Grejtáková, SPP DFBERG

1. prednáška MARKETING MANAŽMENT

Testovanie 5. v školskom roku 2015/2016. Testovanie sa uskutoční 25. novembra 2015 (streda). Žiaci budú testy písať v nasledovnom poradí:

pre zákazníkov spoločnosti BENESTRA

POSTUP GENEROVANIA ŽIADOSTI O KVALIFIKOVANÝ CERTIFIKÁT POMOCOU PROGRAMU COMFORTCHIP.

Enviroportál a jeho zmeny vyvolané novelou zákona č. 24/2006 Z. z. o posudzovaní vplyvov na životné prostredie

Oprava PC. Odvírenie a bezpečnosť. Inštalácie. Wan Slovakia, spol. s r.o / K. Marxa 10, Levice 0915 /

Úvodná strana IS ZASIELKY Prvky úvodnej stránky:

Roverský projekt ako na to?

Krok 1 Pochopenie systémov. Krok 2 Hodnotenie silných a slabých stránok. Krok 3 Zber podkladov. - hodnotenie - overenie - postupy a smernice

Budovanie CSIRT tímov (aj) v kontexte návrhu Zákona o kybernetickej bezpečnosti. Mgr. Lukáš Hlavička, CISSP, CEH, CHFI

POŽIADAVKY NORMY ISO 9001: OKTÓBRA 2017 HOTEL ELIZABETH TRENČÍN NORMA ISO 9001:2015 AKO SPRÁVNE POROZUMIEŤ POŽIADAVKÁM NORMY ISO 9001:2015

Multihosting Užívateľská príručka

Vysoké školy na Slovensku Prieskum verejnej mienky

DALI, pomoc a riešenia

CERTIFIKAČNÉ ELEKTRONICKÉ TESTOVANIA - PERSPEKTÍVA

ŽIADOSŤ O GRANT. Zaradenie projektu do oblasti. Názov projektu. Žiadateľ. Číslo projektu (doplní MČ)

P RSO S N O ALIST S IKA K A RIADENIE UDSK S Ý K CH

Nelegálny softvér u matfyzákov

Ako sme postavili Benátky

Návrh tém bakalárskych prác 2009/2010 (6 tém) Ing. Siničák. (Všeobecné strojárstvo-vs, Mechatronika-M, Počítačová podpora strojárskej výroby-ppsv)

Inventúra účtov- základný popis.

ONLINE POBOČKA. pre zamestnávateľov MANUÁL

KURZ INTERNÝ AUDÍTOR SYSTÉMU MANAŽÉRSTVA KVALITY PODĽA EN ISO 9001:2015 a PREŠKOLENIE INTERNÝCH AUDÍTOROV PODĽA EN ISO 9001:2015

Vzdelávanie Aktivity:

spájame krásu s jednoduchosťou, posúďte sami...

Užívateľská príručka. Vytvorte 1 medzi stránkami v niekoľkých jednoduchých krokoch

platná od a účinná od

VZOR PROTOKOLU O KOMPILÁCII

ONLINE PORTÁL COPY OFFICE SERVICE ACCENT REMOTE CUSTOMER

Bezpečnostný projekt egovernmentu

ONLINE školenie. BRC Globálny štandard pre bezpečnosť potravín Verzia č. 8

Návod na aplikáciu Mobile Pay pre Orange

Pracovné prostredie MS EXCEL 2003.

Základy algoritmizácie a programovania

Ako funguje stav účtu - prehľad o platbách na zdravotné odvody

Účtovný doklad. Druh 5) Číslo 6) 7) Identifikáci a prílohy 8)

Dodanie tovaru a reťazové obchody Miesto dodania tovaru - 13/1

VZORY PÍSOMNOSTÍ DOTÁCIE

ZÁKLADNÝ POPIS PROJEKTU PRE SNEM ZMOS

Odmietanie očkovania v ambulancii všeobecného lekára pre deti a dorast

Operačný program URBACT III

Po zadaní a potvrdení nového hesla a po oprave mailovej adresy systém odošle na uvedenú mailovú adresu mail s prístupovým kódom a heslom.

Používateľská príručka k aplikácii na SOČ

Virtuálna Registračná Pokladnica

Tlač do PDF a odosielanie dokladov cez . OBSAH

TomTom Referenčná príručka

Záverečná hodnotiaca správa. Vyhodnotenie účinnosti súťaže. Prestaň a vyhraj (Quit and Win) 2008

Špecifikácia testu. z matematiky. pre celoslovenské testovanie žiakov 5. ročníka ZŠ v školskom roku 2016/2017

Základy algoritmizácie a programovania

Hromadná korešpondencia v programe Word Lektor: Ing. Jaroslav Mišovych

Postup pre firmy s licenciou Profesionál účtovná firma

Návrh postupu pre stanovenie počtu odborných zástupcov na prevádzkovanie verejných vodovodov a verejných kanalizácií v správe vodárenských spoločnosti

Manuál pre Registrovaných používateľov / Klientov

ÚSTAV CELOŽIVOTNÉHO VZDELÁVANIA ŽILINSKEJ UNIVERZITY Univerzita tretieho veku

VECTOR PARKS BRATISLAVA - SVÄTÝ JUR

Koordinácia informatizácie verejnej správy v SR. Ako naskočiť na európsky vlak?

Príručka pre prostredie Digitálnej autoškoly pre inštruktorov časť elearning

2. Nahratie mapy pre Locus Map - formát sqlite alebo mbtiles do zariadenia (telefón, tablet) s OS Android.

Prieskum názorov a potrieb občanov obcí zahrnutých do územia MAS MALOHONT KRUŽNO

Transkript:

Téma Čo je dnes jednoduchšie z pohľadu útočníka, ak chce získať (citlivé) dáta alebo informácie z organizácie?

Téma Skúsiť sa nabúrať do systémov spoločnosti a prebíjať sa cez technologické bezpečnostné prvky, ktoré sú postavené v niekoľkých radách za sebou?

Téma Alebo zahrať hru a spýtať sa priamo človeka z vnútra organizácie?

Ako sú chránené aktíva informácie? Firewall Antivírus PC IDS, IPS Autentizácia

Ako sú chránené aktíva informácie? Firewall Antivírus Človek IDS, IPS Autentizácia

Ako sú chránené aktíva informácie? Organizujete programy pre zvýšenie bezpečnostného povedomia zamestnancov a školenia o informačnej bezpečnosti? Len pri prijatí nového zamestnanca 25% 14% 27% 34% Nie, neorganizujeme školenia o informačnej bezpečnosti Áno, systematicky vzdelávame zamestnancov Len v prípade výskytu bezpečnostného incidentu

Prečo absolvovať vzdelávanie?

Sociálne inžinierstvo Čo je sociálne inžinierstvo? Prečo by ma to malo zaujímať? Prečo to funguje? Ako to funguje v praxi - príklady...a čo s tým môžeme urobiť? Služby ESET

Čo je sociálne inžinierstvo? Ovplyvňovanie ľudí tak, aby vykonali kroky, ktoré môžu alebo nemusia byť v ich záujme. V kontexte informačnej bezpečnosti: Netechnický typ útoku, založený hlavne na interakcii s človekom, zahŕňa manipuláciu človeka tak, aby porušil bezpečné postupy, vykonal požadovanú akciu, vyzradil citlivé informácie a pod., pričom cieľom je získanie informácií, alebo prístupu do informačného systému.

Prečo by nás to malo zaujímať? Aký bol podľa Vášho názoru dôvod, ktorý spôsobil výskyt bezpečnostných incidentov vo Vašej organizácii? (Možnosť vybrať viacero odpovedí) Konanie zamestnancov 63% Škodlivý kód Zlyhanie dodávky služieb tretích strán Chyba používanej technológie (SW, HW) Nezaznamenali sme bezpečnostný incident Nedostatok zdrojov pre riadenie bezpečnosti 33% 27% 23% 20% 15% Iné dôvody Environmentálne vplyvy 5% 3% 0% 10% 20% 30% 40% 50% 60% 70%

Prečo funguje? lebo sme ľudia kognitívna predpojatosť/sklon ku chybe (cognitive biases) náklonnosť k chybným rozhodnutiam na systematickej a predvídateľnej báze pramení z nesprávneho zberu, analýzy a použitia informácií zlý úsudok, nelogický výklad, iracionalita dôvera, rešpektovanie autorít, ochota pomáhať, pocit záväzku, vidina získania výhody, vyhýbanie sa konfliktom potreba mať kľud, konzistentnosť, sympatie, stres, strach...

Ako to funguje v praxi... 1. Útočník vie čo chce získať 2. Vyberie si ľahšiu cestu pre útok cez ľudí 3. Pozbiera dostupné informácie 4. Pripraví si plán útoku v ktorom: využije zozbierané informácie zneužije psychologické aspekty a vyberie si spôsob útoku: phishing telefón fyzický prienik prenosné médiá prehľadávanie odpadkov

Poznáme aj z médií

Témy školení: Sociálne siete

Príklady z našej praxe Kontaktné telefónne číslo (webová stránka) Developerská a správcovská spoločnosť (google) Správa budovy Bezpečnostný manažér Telefonický test zaslanie interného telefónneho zoznamu Developerská a správcovská spoločnosť (google) Priestory spoločnosti (webová stránka + Flickr) Meno a mobilné telefónne číslo konateľa a mená zamestnancov (interný telefónny zoznam) Správa budovy Požiarny technik Fyzický prienik & prenosné médiá

Príklady z našej praxe Mená zamestnancov (interný telefónny zoznam) Formát emailových adries (datamining, email s interným tel. zoznamom) Prezývka bývalej kolegyne (Flickr) Email bývalej kolegyne (datamining) Získané ocenenie (webová stránka) Bývalá kolegyňa gratuluje k nominácii Phishingový test podvrhnutá linka

Príklady z našej praxe Kto prenajíma priestory v budove? (google) Aký je upratovací servis a kde sú kontajnery? (telefonicky od prenajímateľa, SBSka, fyzická obhliadka) Kontaktné telefónne číslo (webová stránka) Aké ďalšie firmy sídlia v budove? (fyzická obhliadka) Kto vám upratuje? (telefonicky na kontaktnom čísle spoločnosti) Kedy sa upratuje a vynášajú smeti? (SBSka, upratovacia firma) Človek, ktorý omylom niečo vyhodil Prehľadanie odpadkov získanie citlivých informácii

Čo s tým môžeme robiť? Budovať bezpečnostné povedomie uvedomiť si hrozbu a poznať jej metódy robiť awareness program dobre chápať hodnotu informácie a kriticky myslieť Aktualizovať softvér Definovať interné postupy Vykonávať testy sociálnym inžinierstvom a učiť sa z nich

Načo nám bude test? aké informácie môže neoprávnená osoba získať kam až sa môže neoprávnená osoba dostať aká je možnosť spustenia škodlivého kódu / inštalácie neautorizovaného zariadenia

Služby ESET Test sociálnym inžinierstvom Výkon testovania blackbox whitebox Použité techniky phishing test telefonický test test s prenosnými médiami fyzický prienik do priestorov prehľadávanie odpadkov

Phishing test Cieľ: aká je možnosť spustenia škodlivého kódu (linka, príloha) aké informácie je možné získať Realizácia: email s linkou alebo prílohou a logovanie na webserveri email so žiadosťou o zaslanie informácií Výstup: štatistiky kliknutí na linku, či otvorenia/spustenia prílohy získané informácie

Telefonický test Cieľ: aké informácie je možné získať Realizácia: získanie podporných informácií pre scenáre získanie prístupových údajov dohodnutie zaslania citlivých informácii Výstup: štatistiky úspešnosti získania informácii získané informácie

Test prenosnými médiami Cieľ: aká je možnosť spustenia škodlivého kódu (CD, USB) Realizácia: v priestoroch organizácie zanechané prenosné médiá neoznačené / s atraktívnym označením logovanie spustenia na webserveri Výstup: štatistiky spustenia

Fyzický prienik do priestorov Cieľ: možnosť prieniku do rôznych priestorov k akým informačným aktívam je možné sa dostať Realizácia: pokus dostať sa do rôzne chranených priestorov overenie clear desk & clear screen Výstup: dôkaz o prieniku (napr. fotografie, nálepky) získané informácie

Prehľadávanie odpadkov Cieľ: aké informácie je možné získať a neboli zlikvidované Realizácia: hľadanie citlivých nezlikvidovaných dát získanie podporných informácií pre scenáre Výstup: získané informácie

Čo testom získame? reálnu skúsenosť s tým, čo sa môže stať reálnu predstavu o dopadoch priamu identifikáciu slabých miest predstavu o vhodných bezpečnostných opatreniach okamžité zvýšenie bezpečnostného povedomia zamestnancov materiál pre budovanie bezpečnostného povedomia

Ďalšie služby ESET riadenie IB Konzultačná podpora / projekt Budovanie ISMS Bezpečnostná politika a smernice Analýza rizík Návrh a plán ošetrenia rizík, BIA Bezpečnostné projekty Kontinuita činností (BCM, DRP) Príprava na certifikáciu ISO 27001 Outsourcing Bezpečnostného manažéra

Ďalšie služby ESET kontrola stavu IB Kontrola stavu IB/ Audit Interný audit Audit voči dobrej praxi (ISO 27002) Audit voči legislatívnym požiadavkám Penetračné testovanie Test sociálnym inžinierstvom Predcertifikačný audit (ISO 27001)

Q & A Priestor pre Vaše otázky?

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář