Program konferenci e

Program konferencie

8:00 - 8:30Registrácia

8:30 - 9:00Malware dnes“Povieme si o vývoji vo svete škodlivého sowtvéru, ako sa zmenili spôsoby jeho šírenia a hlavne ako sa zmenila motivácia jeho autorov a prevádzkovateľov. Podrobnejšie sa pozrieme na pár zaujímavých “kúskov“, ktorých analýze sa venovali aj naši analytici.“Peter Stančík, ESET security evangelist

9:00 - 10:00Novinky a produktové portfólio ESETPrezentácia sa zaoberá možnosťou ochrany počítačovej infraštruktúry pomocou existujúceho produktového portfólia ESETu a novinkami pre rok 2012. Dozviete sa čo nás čaká a neminie v nasledovnom období a na aké nové zlepšenia sa môžete tešiť v boji proti malwaru.Ondrej Krajč, ESET Technical marketing specialist

10:00 - 10:30coffee break

10:30 - 11:30ESET services: Ako služby ESET vedú k informačnej bezpečnosti?„Čo je dnes jednoduchšie z pohľadu útočníka, ak chce získať (citlivé) dáta alebo informácie z konkrétnej organizácie? Skúsiť sa „nabúrať“ do systémov spoločnosti a prebíjať sa cez technologické bezpečnostné prvky, ktoré sú postavené v niekoľkých radách za sebou? Alebo „zahrať hru“ a spýtať sa priamo človeka z vnútra organizácie? Prezentácia sa venuje téme sociálneho inžinierstva a budovania povedomia o informačnej bezpečnosti v organizáciách.“Peter Katrinec, ESET Security Sales Representative

11:30 - 12:00Q&A

12:00Obed

AKO VEDÚ SLUŽBY ESET K INFORMAČNEJ BEZPEČNOSTI

Peter Katrinec, ESET Security Sales

Agenda

• ESET Services• Stav informačnej bezpečnoti• Budovanie povedomia – Awereness program• Test „sociálnym inžinierstvom“• Služby ESET Services

ESET Services

• Tím certifikovaných odborníkov v oblasti informačnej bezpečnosti

• Certifikáty: CISA, CISM, CISSP, CRISC, ITIL v3 Found.

• Od roku 2009 riadi tím bezpečnosť v ESETe• 2010 – ESET získal ISO/IEC 27001:2005

• 2010 – poskytuje služby zákazníkom

Služby ESET Services

• Konzultačné služby pre riadenie informačnej bezpečnosti

• Kontrola (Audit) stavu informačnej bezpečnosti

Cieľ riadenia informačnej bezpečnostiProces (nástroj) pre zabezpečenie:

• Dostupnosti• Dôvernosti• Integrity

informácií a dát s ktorými pracujeme, používame a spravujeme ich.

Dnešné prostredie

CIELE A TRENDY• Efektívnosť• Flexibilita• Dostupnosť• Vyššie zisky

KONCEPTY• Automatizácia• Centralizácia• Virtualizácia• Mobilita

VÝVOJ• Nové technológie• Nové produkty• Nové služby

RIZIKÁ• Zložitosť IKT• Nové hrozby• Nové zraniteľnosti• Škodlivý kód

Dnešné prostredie (2)

Sociálne siete Mobilné aplikácie

Cloud riešenia

Hrozby

• Zneužitie dostupných informácií• Neautorizovaný prístup - únik citlivých dát

• Spam a Phishing emaily, Sociálne inžinierstvo• Falšovanie identity

• Šírenie škodlivého kódu novými cestami • Zneužitie siete a PC pre ilegálne aktivity útočníkov

• Podvrhnuté web stránky na internete

Následky

• Strata dobrého mena• Strata dôvery • Finančné straty• Zodpovedanie sa

Zodpovednosť

Majiteľ -> Vedenie org. -> Vedúci pracovníci

• Následky:• Strata dôvery• Strata pozície• ...

Z prieskumu stavu informačnej bezpečnosti

Áno65%

Nie34%

Riadi Vaša organizácia informačnú bezpečnosť systematicky podľa definovaného procesu riadenia?

Z prieskumu stavu informačnej bezpečnosti

Áno37%

Čiastočne54%

Nie8%

1%

Má Vaša organizácia zdokumentované riadenie informačnej bezpečnosti (vytvorené politiky a smernice)?

Áno, systém riadenia je formal-izovaný

Čiastočne, iba niektoré oblasti riadenia bezpečnosti sú formal-izované

Nie, vôbec

Neviem posúdiť

Z prieskumu stavu informačnej bezpečnosti

Áno 22%

Priradená inej32%

Nie41%

5%

Existuje vo Vašej organizácii pozícia bezpečnostného manažéra?

Áno, pozícia bezpečnos-tného manažéra je samostatne vyčlenená

Rola bezpečnostného manažéra je priradená k inej pozícii

Nie, rola bezpečnostného manažéra nie je určená

Pozíciu zabezpečuje externý dodávateľ

Z prieskumu stavu informačnej bezpečnosti

Nevie17%

Áno34%

Nie49%

Považujete počet pracovníkov venujúcich sa informačnej bezpečnosti vo Vašej organizácii za postačujúci?

Neviem posúdiťÁnoNie

Z prieskumu stavu informačnej bezpečnosti

Nové obchodné príležitosti, konkurenčná výhoda

Zvýšenie efektivity procesov a vynakladania prostriedkov do IT

Hrozby finančných sankcií, finančné straty

Kontinuita podnikania

Ochrana duševného vlastníctva

Udržanie dobrého mena/mienky o spoločnosti

Snaha byť v súlade s legislatívnymi normami

Hrozba bezpečnostného incidentu

Ochrana obchodných informácií a dát organizácie

0% 10% 20% 30% 40% 50% 60% 70% 80%11%

19%

21%

24%

24%

44%

56%

65%

75%

Čo je vo Vašej organizácii hlavnou hnacou silou/ hlavným argumentom pre výdavky/investície v oblasti informačnej bezpečnosti? (Možnosť vybrať viacero

odpovedí.)

Z prieskumu stavu informačnej bezpečnosti

Environmentálne vplyvy

Iné dôvody

Nedostatok zdrojov pre riadenie bezpečnosti

Nezaznamenali sme bezpečnostný incident

Chyba používanej technológie (SW, HW)

Zlyhanie dodávky služieb tretích strán

Škodlivý kód

Konanie zamestnancov

0% 10% 20% 30% 40% 50% 60% 70%

3%

5%

15%

20%

23%

27%

33%

63%

Aký bol podľa Vášho názoru dôvod, ktorý spôsobil výskyt bezpečnostných incidentov vo Vašej organizácii? (Možnosť vybrať

viacero odpovedí)

Z prieskumu stavu informačnej bezpečnosti

35%

27%

25%

14%

Organizujete programy pre zvýšenie bezpečnostného povedomia zamestnancov a školenia o informačnej bezpečnosti?

Len pri prijatí nového zamestnancaNie, neorganizujeme školenia o informačnej bezpečnostiÁno, systematicky vzdelávame zamest-nancov Len v prípade výskytu bezpečnostného in-cidentu

Z prieskumu stavu informačnej bezpečnosti

63% org. považuje za

dôvod vzniku

bezpečnostných

incidentov konanie

zamestnancov 75% organizácií

neškolí pravidelne

zamestnancov65% org.

uvádza

hrozbu

bezpečnostn

ého incidentu

ako

motiváciu pre

vynakladanie

zdrojov do

riadenia IB

Téma

Čo je dnes jednoduchšie z pohľadu útočníka, ak chce získať (citlivé) dáta alebo informácie z organizácie?

Téma

Skúsiť sa „nabúrať“ do systémov spoločnosti a prebíjať sa cez technologické bezpečnostné prvky, ktoré sú postavené v niekoľkých radách za sebou?

Téma

Alebo „zahrať hru“ a spýtať sa priamo človeka z vnútra organizácie?

Ako sú chránené aktíva – informácie?

Firewall Antivírus

IDS, IPS Autentizácia

PC

Ako sú chránené aktíva – informácie?

Firewall Antivírus

IDS, IPS Autentizácia

Človek

Ako sú chránené aktíva – informácie?

35%

27%

25%

14%

Organizujete programy pre zvýšenie bezpečnostného povedomia zamestnancov a školenia o informačnej bezpečnosti?

Len pri prijatí nového zamestnancaNie, neorganizujeme školenia o informačnej bezpečnostiÁno, systematicky vzdelávame zamest-nancov Len v prípade výskytu bezpečnostného in-cidentu

Budovanie povedomia / Vzdelávanie• Prečo vzdelávať a budovať bezpečnostné

povedomie• O čo sa oprieť a ako začať• Prostriedky, témy a obsah vzdelávania• Služby ESET

Človek a jeho vnímanie rizikaČlovek preceňuje• Vizuálne riziká• Riziká v okolnostiach, ktoré nemá pod

kontrolou

Človek podceňuje• Riziká v okolnostiach, ktoré má pod

kontrolou• Riziká bez vizuálneho/ zvukového efektu

Sociálne inžinierstvo: Vytvoriť pocit dôvery a využiť ho na dosiahnutie svojich zámerov

Ako sa brániť?Vedieť, že takéto niečo sa môže stať a primerane reagovať

Technické zraniteľnosti

Bezpečnostné záplaty

Zmena konfigurácie

Ľudské zraniteľnosti

Zvyšovanie bezpečnostného

povedomia

Zmena správania

O čo sa oprieť?Legislatívne požiadavky:• Zákon č. 428/2002 Z. z. o ochrane osobných údajov• Metodické usmernenie Úseku bankového dohľadu NBS č. 7/2004 k

overeniu bezpečnosti IS banky• Výnos MF SR 312/2010 o štandardoch pre ISVS• Opatrenie Telekomunikačného úradu SR č. O-30/2012

Odporúčania medzinárodných štandardov:• NIST 800-50 – Building an Information Technology Security Awareness

Program • ISO/IEC 27002:2005 – Pravidlá dobrej praxe manažérstva informačnej

bezpečnosti• COBIT DS7 – Deliver and Support –Educate and Train Users

Ako začať

Nájsť gestora programuZískať podporu vedeniaVytvoriť plán

Overenie vedomostí Základné školenia Rozvojové školenia Cykly pre aktualizáciu/

zlepšenie

Zapojiť:• Marketing• Ľudské zdroje• Audit

Pre koho• Zamestnanci• Zmluvní partneri• Manažment• Zákazníci

• Vnútorná správa• Personalistika• Financie• Právne / Legal• Obchod a marketing• IT (Help Desk / Prevádzka IT / Vývoj

IT)

ProstriedkyPrimárne aktivity• Školenia• E-learning• Videá

Rozvojové aktivity• Články• Blog• Plagáty

Ako vybrať témy• Zamerať sa na profit pre človeka –

voliť témy tak, aby boli užitočné nielen pre pracovné, ale aj pre súkromné aktivity

• Neobjavovať koleso NIST 800-50 www.securingthehuman.org socialengineer.org Konzultácie a outsourcing

Témy školení: Sociálne inžinierstvo

Témy školení: Fyzická bezpečnosť

Témy školení: E-mail

Témy školení: Web

Témy školení: Sociálne siete

Témy školení: ďalšie...• Heslá• Mobilné zariadenia• Wi-Fi siete• Bezpečnostné incidenty• Autorské právo a IT• Ochrana údajov• Škodlivý kód

Meranie účinnosti programu vzdelávaniaPriame spôsoby:• Simulácia reálnych útokov• Vedomostné testy• Audit

Nepriame spôsoby:• Prieskum s cieľom získať spätnú väzbu k realizácii

programu• Počet tiketov v helpdesku

Vedomostný test – príklad 1• Podľa platných vnútorných predpisov je za

uzamykanie kancelárie zodpovedný:

a. Vedúci zamestnanecb. Oddelenie facilitiesc. Posledný zamestnanec odchádzajúci z práced. CISO

Vedomostný test – príklad 2• Ktoré z týchto hesiel, ktoré majú slúžiť na prístup do

domény, nie sú podľa Vás bezpečné? (multiple choice)

a. magdalenab. Uz sa vsetci tesime na Jeziska!c. j*k@(|^nq"[&kh{!%ˇ3%`:;/94*ye&(@%]';:! d. 5PEEV&6paaleniek

Vedomostný test – príklad 3• Považujete e-mail za phishingový? Zdôvodnite.

Prieskum spätnej väzby

• Ako vnímaš úroveň svojho bezpečnostného povedomia?

• Ako vnímaš úroveň bezpečnostného povedomia u zamestnancov spoločnosti?

• Ktoré bezpečnostné hrozby by mala podľa Teba spoločnosť riešiť prioritne?

• Akceptoval(a) by si povinnosť viditeľne nosiť identifikačný štítok zamestnanca na pracovisku ako opatrenie k zvýšeniu úrovne fyzickej bezpečnosti v priestoroch spoločnosti?

Prieskum spätnej väzbyAký spôsob doručovania programu zlepšovania bezpečnostného povedomia uprednostňuješ?

0%

20%

40%

60% 53.2%48.3%

38.3%32.3% 30.8%

21.9%

Odmeny

Riziká/Ťažkosti• Nestanovené ciele• Budovanie povedomia nie je profesné vzdelávanie• Budovanie povedomia nie je jednorazová aktivita

alebo projekt, je to dlhodobý program• Budovanie povedomia nemá vyvolávať obavy,

neistotu a pochybnosti• Nevhodný obsah alebo forma• Všetko pre všetkých

Služby ESET - Vzdelávanie• Metodika

GAP Návrh plánu vzdelávania Metriky

• Realizácia Školenia a E-learning

• Vyhodnotenie Audit Vedomostné testy a dotazníky Testy sociálnym inžinierstvom

Prečo absolvovať vzdelávanie?

Sociálne inžinierstvo• Čo je sociálne inžinierstvo?

• Prečo by ma to malo zaujímať?

• Prečo to funguje?

• Ako to funguje v praxi - príklady

• ...a čo s tým môžeme urobiť?

• Služby ESET

Čo je sociálne inžinierstvo?

“Ovplyvňovanie ľudí tak, aby vykonali kroky, ktoré môžu alebo nemusia byť v ich záujme.“

V kontexte informačnej bezpečnosti:„Netechnický typ útoku, založený hlavne na interakcii s človekom, zahŕňa manipuláciu človeka tak, aby porušil bezpečné postupy, vykonal požadovanú akciu, vyzradil citlivé informácie a pod., pričom cieľom je získanie informácií, alebo prístupu do informačného systému.“

Prečo by nás to malo zaujímať?

Environmentálne vplyvy

Iné dôvody

Nedostatok zdrojov pre riadenie bezpečnosti

Nezaznamenali sme bezpečnostný incident

Chyba používanej technológie (SW, HW)

Zlyhanie dodávky služieb tretích strán

Škodlivý kód

Konanie zamestnancov

0% 10% 20% 30% 40% 50% 60% 70%

3%

5%

15%

20%

23%

27%

33%

63%

Aký bol podľa Vášho názoru dôvod, ktorý spôsobil výskyt bezpečnostných incidentov vo Vašej organizácii? (Možnosť vybrať

viacero odpovedí)

Prečo funguje?

lebo sme ľudia → kognitívna predpojatosť/sklon ku chybe (cognitive biases)

• náklonnosť k chybným rozhodnutiam na systematickej a predvídateľnej báze

• pramení z nesprávneho zberu, analýzy a použitia informácií – zlý úsudok, nelogický výklad, iracionalita

dôvera, rešpektovanie autorít, ochota pomáhať, pocit záväzku, vidina získania výhody, vyhýbanie sa konfliktom – potreba mať kľud, konzistentnosť, sympatie , stres, strach...

Ako to funguje v praxi...

1. Útočník vie čo chce získať2. Vyberie si ľahšiu cestu pre útok – cez ľudí3. Pozbiera dostupné informácie4. Pripraví si plán útoku v ktorom:

využije zozbierané informácie zneužije psychologické aspekty a vyberie si spôsob útoku:

• phishing• telefón• fyzický prienik• prenosné médiá• prehľadávanie odpadkov

Poznáme aj z médií

Príklady z našej praxe Kontaktné telefónne

číslo(webová stránka)

Developerská a správcovská spoločnosť (google)

Správa budovy –

Bezpečnostný manažér

Telefonický test – zaslanie interného

telefónneho zoznamu

Developerská a správcovská spoločnosť (google)

Priestory spoločnosti (webová stránka + Flickr)

Meno a mobilné telefónne číslo konateľa a mená zamestnancov (interný telefónny zoznam)

Správa budovy – Požiarny technik

Fyzický prienik & prenosné médiá

Príklady z našej praxe

Mená zamestnancov (interný telefónny zoznam)

Formát emailových adries (datamining, email s interným tel. zoznamom)

Prezývka bývalej kolegyne (Flickr)

Email bývalej kolegyne (datamining)

Získané ocenenie(webová stránka)

Bývalá kolegyňa

gratuluje k nominácii

Phishingový test –

podvrhnutá linka

Príklady z našej praxe

Kto prenajíma priestory v budove? (google)

Aký je upratovací servis a kde sú kontajnery? (telefonicky od prenajímateľa, SBSka, fyzická obhliadka)

Kontaktné telefónne číslo(webová stránka)

Aké ďalšie firmy sídlia v budove? (fyzická obhliadka)

Kto vám upratuje? (telefonicky na kontaktnom čísle spoločnosti)

Kedy sa upratuje a vynášajú smeti? (SBSka, upratovacia firma)

Človek, ktorý omylom niečo

vyhodil

Prehľadanie odpadkov – získanie citlivých

informácii

Čo s tým môžeme robiť? Budovať bezpečnostné povedomie• uvedomiť si hrozbu a poznať jej metódy• robiť awareness program dobre• chápať hodnotu informácie a kriticky myslieť

Aktualizovať softvér Definovať interné postupy Vykonávať testy sociálnym inžinierstvom a učiť

sa z nich

Načo nám bude test?

• aké informácie môže neoprávnená osoba získať

• kam až sa môže neoprávnená osoba dostať

• aká je možnosť spustenia škodlivého kódu / inštalácie neautorizovaného zariadenia

Služby ESET – Test sociálnym inžinierstvom

•Výkon testovania• blackbox• whitebox

•Použité techniky• phishing test• telefonický test• test s prenosnými médiami• fyzický prienik do priestorov• prehľadávanie odpadkov

Phishing test•Cieľ:

• aká je možnosť spustenia škodlivého kódu (linka, príloha)

• aké informácie je možné získať•Realizácia:

• email s linkou alebo prílohou a logovanie na webserveri

• email so žiadosťou o zaslanie informácií•Výstup:

• štatistiky kliknutí na linku, či otvorenia/spustenia prílohy

• získané informácie

Telefonický test•Cieľ:

• aké informácie je možné získať•Realizácia:

• získanie podporných informácií pre scenáre

• získanie prístupových údajov• dohodnutie zaslania citlivých

informácii•Výstup:

• štatistiky úspešnosti získania informácii

• získané informácie

Test prenosnými médiami•Cieľ:

• aká je možnosť spustenia škodlivého kódu (CD, USB)

•Realizácia:• v priestoroch organizácie

zanechané prenosné médiá• neoznačené / s „atraktívnym“

označením• logovanie spustenia na webserveri

•Výstup:• štatistiky spustenia

Fyzický prienik do priestorov•Cieľ:

• možnosť prieniku do rôznych priestorov• k akým informačným aktívam je možné

sa dostať•Realizácia:

• pokus dostať sa do rôzne chranených priestorov

• overenie „clear desk & clear screen“•Výstup:

• dôkaz o prieniku (napr. fotografie, nálepky)

• získané informácie

Prehľadávanie odpadkov•Cieľ:

• aké informácie je možné získať a neboli zlikvidované

•Realizácia: • hľadanie citlivých „nezlikvidovaných“

dát• získanie podporných informácií pre

scenáre•Výstup:

• získané informácie

Čo testom získame?• reálnu skúsenosť s tým, čo sa môže stať• reálnu predstavu o dopadoch• priamu identifikáciu slabých miest• predstavu o vhodných bezpečnostných opatreniach• okamžité zvýšenie bezpečnostného povedomia

zamestnancov• materiál pre budovanie bezpečnostného

povedomia

Ďalšie služby ESET – riadenie IB• Konzultačná podpora / projekt• Budovanie ISMS• Bezpečnostná politika a smernice• Analýza rizík• Návrh a plán ošetrenia rizík, BIA• Bezpečnostné projekty• Kontinuita činností (BCM, DRP)• Príprava na certifikáciu ISO 27001

• Outsourcing Bezpečnostného manažéra

Ďalšie služby ESET – kontrola stavu IB

• Kontrola stavu IB/ Audit• Interný audit• Audit voči dobrej praxi (ISO 27002)• Audit voči legislatívnym požiadavkám• Penetračné testovanie• Test sociálnym inžinierstvom• Predcertifikačný audit (ISO 27001)

Q & A

Priestor pre Vaše otázky?

Vďaka za pozornosť

Dobrú chuť!

Peter Katrineckatrinec@eset.sk

+421 2 322 44 693

Program technického workshoput

14:00 - 15:15Blok 1

15:15 - 15:30coffee break

15:30 - 16:45Blok 2

16:45 - 17:00coffee break

17:00 - 18:00Technický support Q&A

18:00Večera

*Technický workshop je určený len pre pozvaných obchodných partnerov

TITLE