CYBERSECURITY INKUBÁTOR Filip Pávek Systems Engineer, Security CCNP R&S, CCNP Security, CCSI #35271 filip.pavek@alef.com ALEF NULA, a.s.
CO ZNAMENÁ CYBERSECURITY? NEZNÁMENÁ PRÁCI JEN PRO TECHNIKY! Bezpečnost počítačové sítě, servery, koncové stanice, mobilní zařízení. Sběr a analýza datových toků. Testování zranitelností. Směrnice, normy, zákony. Analýzy rizik, gap analýzy.
PROČ CYBERSECURITY INKUBÁTOR ZA NÁS: Aktivně hledat nové kolegy. Šířit osvětu v oblastech bezpečnosti. ZA VÁS: Ujasnění co chci dělat, kde se vidím? Mít možnost ptát se odborníků na věci nad rámec přednášek. Získat stáž začít v době studia nabírat zkušenosti pro budoucí kariéru!
PROGRAM PŘEDNÁŠEK 25.4. 2017 Obecně o bezpečnosti 26.4. 2017 Řízení přístupu do sítě (změna) 3.5. 2017 Kybernetické hrozby 10.5. 2017 Jak vypadá (ne)etický hacking 17.5. 2017 Řízení přístupu do sítě (náhradní termín) SLEDUJTE WEB a EMAIL!!!
CO VÁS NEMINE NEJSME VE ŠKOLE ALE Musíme použít nějaké hodnotící praktiky: Testy NEEXISTUJE PASS NEBO FAIL STAV!!! Jaký testy, na co a kdy se budou psát. NO STRESS!!! Aktivita na přednáškách. Zájem o problematiku.
VÝZNAM A VNÍMÁNÍ BEZPEČNOSTI OBECNĚ O BEZPEČNOSTI
AGENDA Vnímání bezpečnosti běžných uživatelů IT. Co nás ohrožuje v kybernetickém prostoru. Jak je (ne)snadné útočit. Standardy a zákony.
VNÍMÁNÍ BEZPEČNOSTI BĚŽNÝCH UŽIVATELŮ IT
SVĚT IT KOLEM NÁS JSTE NA NĚJ PŘIPRAVENI? PC, laptopy, tablety, chytré mobilní telefony, atd. Připojení do mobilní sítě a Wi-Fi všude (auta). IoT chytré domácnosti/domy, spotřebiče, atd. Sociální sítě, aplikace mobilní/desktopové.
NEBEZPEČÍ IT SVĚTA KOLEM NÁS Neřešíme vůbec otázku bezpečnosti. Hlavně že nám funguje Internet! Co Vaše domácí Wi-Fi? Co veřejné Wi-Fi sítě (hotely, kavárny, letiště..) Hesla a jejich správa Stačí nám dnes jedno heslo na vše? Jak hesla spravujete? Extrémně rychlý vývoj mobilních a desktopových aplikací. Kontrolujete licence aplikací nebo jen stahujete a používáte? Jste si jistí, že aplikace kterou používáte nedělá něco navíc? Řešíte bezpečnost kódu aplikace?
NEBEZPEČÍ IT SVĚTA KOLEM NÁS Co vy a sociální sítě? Máte obavy, že budou Vaše informace zneužity? Vkládáte fotky na Facebook, Instagram, atd.? Co je vlastně soukromí? Chytré spotřebiče pračka, kávovar, osvětlení, atd. Jak se připojují, jak se ovládají? Jaký protokol a jaký port používají? Jak nás ovlivňuje ztráta mobilního zařízení? Soukromé vs. pracovní zařízení (BYOD, CYOD). Jak se zbavujeme IT hraček (bazary, kamarádi, atd.) Kontrolujete na co klikáte na webu a jaké emaily otvíráte? Máte čas tohle všechno vůbec řešit?
PŘÍKLADY KOLEM NÁS HEY SIRI, UNLOCK THE FRONT DOOR. She unlocked the front door.
CHOVÁNÍ V KYBERNETICKÉM PROSTORU Zdroj:govcert.cz
CO (NE)DĚLAT PO TECHNICKÉ STRÁNCE Zdroj:govcert.cz
CO NÁS OHROŽUJE V KYBERNETICKÉM PROSTORU?
KDO MŮŽE BÝT ÚTOČNÍKEM Jednotlivci. Malé skupiny útočníků (různě organizované). Velmi dobře organizované skupiny. Skupiny útočníků na úrovni vlád zemí. Script Kiddie White Hat (Ethical Hacker) Black Hat (Cracker) Gray Hat
KDO MŮŽE BÝT CÍLEM NENÍ NIKDO, KOHO BY SE ÚTOKY NETÝKALI! Jednotlivci Soukromé společnosti Státní podniky Průmyslové odvětví Stát
TYPY ÚTOKŮ Spoofing MAC, IP, Aplikace/služba Reflection and Amplification DNS, ICMP, NTP Social Engineering Phishing / Pharming DoS/DDoS Password attacks Reconnaissance attacks Man-in-the-Middle attacks, atd.
Zdroj:ENISA
ŠKODLIVÝ KÓD = MALWARE Virus, Adware, Spyware, Trojský kůň, Červ, Backdoor, Botnet, Adware, Downloader, Ransomware Zero-day attacks Blended threats Advanced Persistent Threat (APT)
MALWARE V Q1 2017 Zdroj:Malwarebytes
RANSOMWARE V Q1 2017 Zdroj:Malwarebytes
JAK JE (NE)SNADNÉ ÚTOČIT
KYBERNETICKÉ ÚTOKY Proč jsou tak populární? Čeho se bát? Útok z vnitřní sítě? Útok z vnější sítě? Nástroje pro testování bezpečnosti sítě a systémů jsou totožné s nástroji k průniku! Je těžké takové nástroje získat? Je těžké takové nástroje používat?
PROSTŘEDÍ PRO TESTOVÁNÍ BEZPEČNOSTI
STANDARDY A ZÁKONY
STANDARDY A ZÁKONY V ČR ISO 27000 ZoKB 1.1. 2015, zákon č. 181/2014 Sb., Napříč EU NIS Directive 6.6. 2016. Implementace NIS Directivy -> novela ZoKB (aktuálně schválena PS). GDPR obecné nařízení - ochrana osobních údajů Schváleno 27.4. 2016 Účinný od 27.5. 2018
DÍKY ZA POZORNOST