Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Human security awareness - IT vagy HR feladat? Dr. Krasznay Csaba.

Hasonló előadás


Az előadások a következő témára: "Human security awareness - IT vagy HR feladat? Dr. Krasznay Csaba."— Előadás másolata:

1 Human security awareness - IT vagy HR feladat? Dr. Krasznay Csaba

2 Aranyköpések „Az informatikai problémák 90%-a a billentyűzet és a szék között helyezkedik el.” „Csak az nem hibázik, aki nem dolgozik.” „A leggyengébb láncszem mindig az ember!” „A sikeres informatikai támadások legtöbbször belső munkatárs miatt következnek be.” Azaz rengeteg probléma van a munkatársakkal!

3 Human security error A munkatársak miatti információbiztonsági problémák okai lehetnek szándékosak és nem szándékosak. A munkatársak miatti információbiztonsági problémák okai lehetnek szándékosak és nem szándékosak. A hibák többsége nem szándékos, tudatlanság, információhiány, figyelemhiány okozza. Gyakran bekövetkezik, a várható kárérték közepes méretű. A hibák többsége nem szándékos, tudatlanság, információhiány, figyelemhiány okozza. Gyakran bekövetkezik, a várható kárérték közepes méretű. A szándékos károkozás viszonylag ritka, de az okozott kár komoly lehet. A szándékos károkozás viszonylag ritka, de az okozott kár komoly lehet. Bármelyiket nézzük, legalább magas kockázattal kell számolni, tehát valamilyen védelmi intézkedés szükséges! Bármelyiket nézzük, legalább magas kockázattal kell számolni, tehát valamilyen védelmi intézkedés szükséges!

4 Fenyegetések Tipikus fenyegetések: Tipikus fenyegetések: Képzetlen munkavállaló Képzetlen munkavállaló Elégedetlen/bűnöző munkavállaló Elégedetlen/bűnöző munkavállaló Social engineering Social engineering Advanced Persistent Threat (APT) Advanced Persistent Threat (APT)

5 Képzetlen munkavállaló Valljuk meg, bizonyos szinten mindenki ide tartozik! Valljuk meg, bizonyos szinten mindenki ide tartozik! Mit tehetünk ellene? Mit tehetünk ellene? Belső szabályozások Belső szabályozások Tudatossági oktatás Tudatossági oktatás Figyelmeztetés, számonkérés, büntetés, de hogyan? Figyelmeztetés, számonkérés, büntetés, de hogyan? Alapvető technológiai korlátok (hardening, kliens oldali védelem, tartalomszűrés, stb.) Alapvető technológiai korlátok (hardening, kliens oldali védelem, tartalomszűrés, stb.) Ez egy CISO legelső és legalapvetőbb feladata, de a HR- rel közösen! Ez egy CISO legelső és legalapvetőbb feladata, de a HR- rel közösen!

6 Biztonságtudatossági oktatás Ki tartsa? A biztonsági felelős, a HR vagy külső szakértő? Ki tartsa? A biztonsági felelős, a HR vagy külső szakértő? A válasz: esete és cége válogatja. A válasz: esete és cége válogatja. Kinek tartsa? Mindenkinek, a számítógéppel dolgozóknak vagy csak bizonyos munkaköröknek? Kinek tartsa? Mindenkinek, a számítógéppel dolgozóknak vagy csak bizonyos munkaköröknek? A válasz: mindenkinek, beosztástól függő tartalommal. A válasz: mindenkinek, beosztástól függő tartalommal. Hogyan tartsa? Személyesen, tanfolyamon, elektronikusan? Hogyan tartsa? Személyesen, tanfolyamon, elektronikusan? A válasz: ahogy az a célcsoportnak a legkényelmesebb. A válasz: ahogy az a célcsoportnak a legkényelmesebb.

7 Elégedetlen/bűnöző munkavállaló Egy ember életében számos olyan szituáció lehetséges, amikor a cég erőforrásai kellően értékesek lehetnek. Egy ember életében számos olyan szituáció lehetséges, amikor a cég erőforrásai kellően értékesek lehetnek. A következőkben az Association of Certified Fraud Examiners 2012 Report to the Nations tanulmánya alapján próbáljuk megérteni, miért is csalnak az emberek? A következőkben az Association of Certified Fraud Examiners 2012 Report to the Nations tanulmánya alapján próbáljuk megérteni, miért is csalnak az emberek? Részletesen ld. itt: Részletesen ld. itt:

8 Motivációk

9 Az elkövetők életkora

10 Céges múlt

11 Bűnözői múlt

12 Az elkövető beosztása

13 Fertőzött iparágak

14 Fertőzött területek

15 Csalástípusok

16 Csalások felfedezésének módja

17 Védelmi intézkedések Az alkalmazást megelőzően: Az alkalmazást megelőzően: Átvilágítás (a pozíciónak megfelelően) Átvilágítás (a pozíciónak megfelelően) Az alkalmazás időtartama alatt: Az alkalmazás időtartama alatt: A személyiségi jogokat tiszteletben tartó korai figyelmeztető megoldások (naplózás, DLP, stb.) használata A személyiségi jogokat tiszteletben tartó korai figyelmeztető megoldások (naplózás, DLP, stb.) használata Az alkalmazás után: Az alkalmazás után: Jogosultságok visszavonása, vagyontárgyak visszaszolgáltatása Jogosultságok visszavonása, vagyontárgyak visszaszolgáltatása Bizonyítékok szolgáltatása az eljárások támogatására Bizonyítékok szolgáltatása az eljárások támogatására Elsősorban HR feladat, de az IT és más területek (pl. belső ellenőrzés) hatékony támogatást tud nyújtani. Elsősorban HR feladat, de az IT és más területek (pl. belső ellenőrzés) hatékony támogatást tud nyújtani.

18 Social Engineering „A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni.” – Kevin D. Mitnick „Social engineering is the practice of using deception or persuasion to fraudulently obtain goods or information, and the term is often used in relation to computer systems or the information they contain.” – Douglas P. Twitchell „… social engineering is the art or better yet, science, of skillfully maneuvering human beings to take action in some aspect of their lives.” – Christopher Hadnagy

19 SE technikák Forrás: Váczi Dániel, Sörös Tamás További részletek: Oroszi Eszter előadásai

20 Védelmi lehetőségek A védekezés alapvetően a tudatosság emelésével érhető el. A védekezés alapvetően a tudatosság emelésével érhető el. De ezen a területen kiemelten fontos a hagyományos biztonságtechnika! De ezen a területen kiemelten fontos a hagyományos biztonságtechnika! Tipikusan az a terület, ahol a security és az IT security találkozik. Tipikusan az a terület, ahol a security és az IT security találkozik. IT technológiai trükköket persze itt is lehet alkalmazni, de a hasznossága megkérdőjelezhető. IT technológiai trükköket persze itt is lehet alkalmazni, de a hasznossága megkérdőjelezhető. Próbáljunk minél kisebb támadási felületet nyitni, azaz koncentráljunk a minél kisebb információszivárgásra Próbáljunk minél kisebb támadási felületet nyitni, azaz koncentráljunk a minél kisebb információszivárgásra Ebbe a cég és az alkalmazotti információk (pl. Facebook) is beletartozik! Ebbe a cég és az alkalmazotti információk (pl. Facebook) is beletartozik!

21 Advanced Persistent Threat (APT) Emberi tényező Alkalmazás hiba Elégtelen infrastruk- túra

22 APT vs. SE Célzottabb informatikai támadások (pl. cégre szabott 0-day) Célzottabb informatikai támadások (pl. cégre szabott 0-day) Célzottabb személyi megkeresés (akár hírszerzési információkkal támogatva) Célzottabb személyi megkeresés (akár hírszerzési információkkal támogatva) Hosszabb eszkalációs idő, nagyobb erőforrások Hosszabb eszkalációs idő, nagyobb erőforrások Védekezni szinte lehetetlen! Vagy mégsem? Védekezni szinte lehetetlen! Vagy mégsem? Tűt keresünk a szénakazalban, de időnként azt is meg lehet találni! Tűt keresünk a szénakazalban, de időnként azt is meg lehet találni!

23 APT védelem Jó eséllyel emberen keresztül érkezik a támadás. Jó eséllyel emberen keresztül érkezik a támadás. Ennek elkerülése érdekében: Ennek elkerülése érdekében: Ahol az APT kockázata fennáll, építsük ki az egészséges paranoiát! Ahol az APT kockázata fennáll, építsük ki az egészséges paranoiát! Használjunk olyan védelmi eszközöket, melyek „intelligensek”, azaz reagálnak az IT környezet abnormális működésére, és gyorsan frissülnek. Használjunk olyan védelmi eszközöket, melyek „intelligensek”, azaz reagálnak az IT környezet abnormális működésére, és gyorsan frissülnek. Legyen szoros együttműködés a belbiztonsági szervekkel (védjenek ők is!) Legyen szoros együttműködés a belbiztonsági szervekkel (védjenek ők is!) A humán védelem helyi és nemzetbiztonsági feladat is! A humán védelem helyi és nemzetbiztonsági feladat is!

24 Összefoglalás A humán védelem mindenkinek a feladata! A humán védelem mindenkinek a feladata! Az IT biztonság elsősorban támogató szerepet tölt be, de „történetileg” sok humán biztonsági feladat itt ragadt. Az IT biztonság elsősorban támogató szerepet tölt be, de „történetileg” sok humán biztonsági feladat itt ragadt. Egyébként ez a létező legnehezebb feladatok egyike, hiszen az emberi tűzfalat eddig még nem találták fel. Egyébként ez a létező legnehezebb feladatok egyike, hiszen az emberi tűzfalat eddig még nem találták fel. Ráadásul az ember nem gép, az érzelmek pedig nehezítő tényezők. Ráadásul az ember nem gép, az érzelmek pedig nehezítő tényezők. Klasszikus multidiszciplináris feladat. Sok szerencsét hozzá! Klasszikus multidiszciplináris feladat. Sok szerencsét hozzá!

25 Ajánlott irodalom Oroszi Eszter előadásai a Hacktivity-n: Oroszi Eszter előadásai a Hacktivity-n: A biztonságtudatossági oktatásról két anyag: A biztonságtudatossági oktatásról két anyag: NIST SP : rev1/Draft-SP Rev1.pdf NIST SP : rev1/Draft-SP Rev1.pdf NIST SP : 50/NIST-SP pdf NIST SP : 50/NIST-SP pdf

26 Köszönöm a figyelmet! Web: Twitter: twitter.com/csabika25


Letölteni ppt "Human security awareness - IT vagy HR feladat? Dr. Krasznay Csaba."

Hasonló előadás


Google Hirdetések