Mobileszközök biztonsági auditálásának kérdései Krasznay Csaba.

Slides:



Advertisements
Hasonló előadás
Partner Connections 2012 Az egységesített veszélykezelés (UTM) Balogh Viktor, műszaki igazgató.
Advertisements

A rendvédelmi szervek helye a kibervédelemben
Kreitl Péter Gemini-IT Magyarország Kft.
Mennyire érzed magad biztonságban a virtuális térben? Dr. Krasznay Csaba.
Hősiesen minden védvonalban – Sophos Complete Security Kiss Attila – TMSI Kft. Antidotum 2012 – IT Biztonsági Nap2012 június.
Pénz, de honnan?. Office 365 Eszközök 1 milliárd Okostelefon 2016-ra, ebből 350 milliót használnak majd munkára Emberek 82 % A világ online népességének.
Hatékonyságnövelés Office System alapon az E.ON csoportnál
Jövő hálózati megoldások – Future Internet
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. A mobilitás biztonsági.
Az Ibtv. civil-szakmai támogatása
BMBY.expert a mi szaktudásunk. Az Ön vezetése A vezető ingatlanközvetítők a BmBy.expert ©-et választják Önökben megvan a Vezető? Több kontrollal és átlátással.
Az Exchange/Outlook rendszer n Ebben a részben az olvasó megismerkedik – Az Exchange serverrel – Az Outlook 97 csoportmunka szoftverrel.
Az IKT szerepe a gazdaság erősítéséért Ilosvai Péter, IT Services Hungary.
Mobil eszközök alkalmazása vállalati környezetben
© 2009 Cisco Systems, Inc. All rights reserved.Cisco PublicGyors reakció 1 Gyors reakció, kifinomultabb technikák Cisco fejlesztések egy jobb védelmi rendszerért.
Halászat a globális adatóceánban – de mit tehetünk vele?
A TANÁCSADÓ SZEREPE az EU műszaki jogi szabályozásának vállalati alkalmazásában CE jelölés és társai – a.
Tanuló (projekt)szervezet a Magyar Nemzeti Bankban
Jogában áll belépni?! Détári Gábor, rendszermérnök.
E-NAPLÓ Szabó László.
DOKUMENTUMKEZELÉS.
Digitális Oktatási Alapcsomag Fontos dokumentumok, következtetések és státuszok megosztása a munkatársakkal A csapat tagjainak informálása és a fontos.
Proaktív rendszerfelügyelet System Centerrel Windows Vista Windows Server 2008 Biztonság Scripting / PowerShell Virtualizáció System Center Még ebben.
MINŐSÉGMENEDZSMENT 7. előadás
TT Kovács Sándorné.
A belső kontroll rendszer hatékony működtetése
Krasznay Csaba ZMNE doktorandusz.  Adódik a kérdés, hogy miért kell kiemelten foglalkozni egy funkcionálisan jól működő rendszer esetén a biztonsággal?
Az open source rendszerek auditja Krasznay Csaba ISACA-HU Open Source 2011 Konferencia, február 24.
© Copyright 2013 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice. Az információbiztonsági.
Tanuló szervezet.
Mobil eszközök biztonsági problémái
SOX audit lépései, elvárások a CIO-val szemben
© 2006 Cisco Systems, Inc. All rights reserved.Cisco ConfidentialPresentation_ID 1 CIO `08 Rugalmas biztonság, rugalmas vállalathoz Hirsch Gábor Üzletfejlesztési.
GUARDING YOUR BUSINESS Be SOxy! IT MEGFELELŐSÉG A MINDENNAPOKBAN.
E-közigazgatás biztonsági nézőpontból Szigeti Szabolcs CISA, CISM, CISSP
©2011 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice ©2011 Hewlett-Packard Development.
Mobileszköz védelem közigazgatási környezetben Dr. Krasznay Csaba NKE KTK EFI ITB.
A felhasználó központú IT Windows Server 2012 R2 konferencia
PDA és Okostelefon.
WORKFLOW MENEDZSMENT MUNKAFOLYAMAT KEZELÉS
Biztonsági szabályozás szerepe a biztonsági rendszeren belül
Vállalati infrastruktúra, mely minden igényt kielégít Felhasználóbarát eszközök és élmények.
Adatbiztonság, adatvédelem, kockázatelemzés
Az ISO szabványcsalád elemei: ISO/IEC TR 27015:2012 Információbiztonság menedzsment útmutató pénzügyi szolgáltatásokra Móricz Pál – ügyvezető igazgató.
MINŐSÉGMENEDZSMENT 6/2. előadás
Forensic kihívások, avagy a biztonság a pandúrok szemével Kristóf Csaba Biztonságportál, főszerkesztő.
Digitális írástudás fejlesztése korhatár nélkül, okoseszközökön június 25.
A belső fenyegetettség elleni védelem aktuális kérdései © , Megatrend 2000 Rt. All rights reserved. Kajati László igazgató, biztonsági üzletág.
Molnár Ferenc „Innováció a vállalatirányításban és az ügyfélkapcsolat kezelésben” Debrecen, Szeptember 17.
Egy MobileIron rendszer bevezetése Kerékfy Miklós Biztonságos BYOD az NN Biztosítónál.
B.Y.O.D. = H.Ű.H.A.? NE FÉLJÜNK A KONZUMER ESZKÖZÖKTŐL! B ÁTKY Z OLTÁN.
Munkára képes állapot ellenőrzésének anomáliája a munkahelyen Poór László ügyvezető.
Windows 10 áttekintés és bevezetés Windows 10 áttekintés rendszergazdáknak Mi változott a Windows 7 óta?
IBM-ISS © 2009 IBM Corporation május 2. KÉK ÉS ZÖLD - IBM-ISS Gyenese Péter Services Sales Specialist (ISS) IBM Magyarországi Kft.
Samsung Confidential Újdonságok Illés János2013. május 28.
A Windows ökoszisztéma jövőképe Bátorfi Zsolt principal technical evangelist avagy egy „Devices & Services” szervezet életre hívása.
Megoldásaink a GDPR előírásaira
Elektronikus dokumentumkezelés
Adatvédelem – közérdekűség, átláthatóság, nyilvánosság
Móricz Pál – ügyvezető igazgató Szenzor Gazdaságmérnöki Kft.
A vállalatok társadalmi felelősségvállalása, mint a fenntarthatóságot támogató szemlélet - Berkesné Rodek Nóra -
Márkanélküli okostelefonok veszélyei
Kooperatív Képzés - Avaya
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
Biztonság és GDPR kancellar.hu
Önnek egy új üzenete érkezett – Tárgy: adatigénylés
Az SZMBK Intézményi Modell
Kinek törték már fel az autóját?
Előadás másolata:

Mobileszközök biztonsági auditálásának kérdései Krasznay Csaba

Bevezetés • 2011 egyik a smartphone-ok robbanásszerű elterjedését hozta • Ezzel hirtelen számos új biztonsági kockázat jelent meg • Az előadás során a következő témákat érintem: • Mobileszközök biztonsági kérdései • Piaci megoldások • ISACA kontroll és audit elvek

Mobileszközök • Az ISACA szerint mobileszköz: • a smartphone, • a laptop és a netbook, • a tablet, • a PDA • az USB eszközök, mint pl. az MP3 lejátszó és a HSDPA modem, • a digitális kamerák, • az RFID eszközök, • az IrDA eszközök. • Az előadásomban kizárólag a smartphone-okkal foglalkozom (iOS, Android, WinMo, WebOS, Blackberry…)

Piaci trendek Share of worldwide 2011 Q2 smartphone sales to end users by operating system, according to Gartner.

Okostelefonok a nagyvállalatoknál • Az okostelefonok lehetőséget és veszélyt is jelentenek egyben • Lehetőség, mert a munkavállaló korábban nem tapasztalt hatékonysággal éri el • céges jeit • naptárát • névjegyeit és az ügyféladatokat • a vállalatirányítási rendszert • dokumentumokat (Sharepoint, megosztások) • a távfelügyeleti rendszereket • A smartphone-ok ráadásul remek üzleti lehetőséget is jelentenek, hiszen nagyon könnyen lehet a céghez kötődő alkalmazásokat fejleszteni, és azt széles körben eljuttatni az ügyfelekhez • A gyártók által jelenleg favorizált tabletek betörésével a határ a csillagos ég – hacsak nem bizonyulnak evolúciós zsákutcának 5x8-as munkavállalóból 7x24-es lesz, önként!

Okostelefonok a nagyvállalatoknál • A veszélyek az előző felsorolásból egyértelműen adódnak. • A felhasználónak hirtelen egy készülékbe költözött a személyes szórakoztatóeszköze, az internetes végpontja, a PC-je – és bizony a vállalati munkaeszköze is. • Különbség egy PC-hez képest, hogy sokkal könnyebben elfeledkezik az ember arról, hogy a vállalat beleköltözött a telefonba, egy gombnyomásra elérhet nagyon sok információt – hiányzik a világos elhatárolás! • Ráadásul sokszor nem is a vállalattól kapja a telefont, hanem saját maga veszi meg, mert ez egy „szexi” eszköz. És ha már a kezében van, nem fél használni – mindenhol. Pontosan ez a veszélyek forrása...

Sebezhetőségek, fenyegetések, kockázatok SebezhetőségFenyegetésKockázatMegjegyzés Az adatok vezetéknélküli hálózaton közlekednek. Kártékony külső felhasználók kárt okoznak a szervezetnek. A nem védett hálózaton közlekedő információk megszerzése kárt okoz. Főleg a nyílt WiFi kapcsolatok jelentenek kockázatot. A mobilitás lehetővé teszi a védett hálózaton kívüli munkavégzést. A védett hálózaton kívül működő mobileszközt kártékony kód fertőzi meg, ami utána a vállalati hálózaton is elterjed Kártékony kód fertőzés, mely többek között adatszivárgáshoz vezethet. A hangsúly nem elsősorban a kártékony kódon van, hanem a szervezet védett határainak elvesztésén! A Bluetooth kapcsolatok gyakran bekapcsolva maradnak. A hackerek felderíthetik a Bluetooth kapcsolatokat és támadást indíthatnak. Érzékeny adatok szivároghatnak ki. Nem tartom releváns kockázatnak. Az adatok titkosítatlan módon vannak tárolva. Az eszköz elvesztése esetén az adatok olvashatók maradnak. Érzékeny adatok szivároghatnak ki. Régóta komoly kockázat, ld. „celebhackek”. Forrás: ISACA, Securing Mobile Devices, Center/Research/Documents/SecureMobileDevices-Wht-Paper-20July2010-Research.pdf

Sebezhetőségek, fenyegetések, kockázatok SebezhetőségFenyegetésKockázatMegjegyzés Az elvesztett adatok befolyásolják a dolgozó produktivitását. A mobileszközökön található adatokat nem mindig mentik. Amennyiben nincs mentés az elveszett adatokról, a munkavállaló nem tud dolgozni. A webes alkalmazások és főleg a cloud hozott némi javulást, de továbbra is nehézkes a megfelelő mentés elkészítése. A mobileszközön nincsen megfelelő authentikáció aktiválva. Az authentikáció hiányában az elveszett eszköz adataihoz könnyű hozzáférni. Érzékeny adatok szivároghatnak ki. Ez főleg akkor okoz gondot, ha az eszköz távolról hozzáfér a belső hálózathoz, hiszen így egy eszköz az egész szervezetet veszélyezteti. A vállalat nem menedzseli az eszközt. A felhasználók a saját, nem menedzselt eszközeiket használják. Érzékeny adatok szivároghatnak ki. Smartphone esetében működik az ún. costumerization és a BYOD elv. Az eszközre megbízhatatlan alkalmazásokat installálnak. Az alkalmazás kártékony kódot tartalmazhat vagy adatokat szivárogtathat ki. Érzékeny adatok szivároghatnak ki, kártékony kódok terjedhetnek el. Érdekes megemlékezni a gyártók és fejlesztők által gyűjtött információkról!

Fő biztonsági kockázatok • A Forrester* szerint: • Készülékek ellopásának/elvesztésének kockázata növekszik a hordozhatósággal. • A mobilitás és hordozhatóság növeli az adatbiztonsággal kapcsolatos kockázatokat. • Egy újabb platform keletkezik az adatszivárgásokhoz. • A kártékony kódok egyre jobban áttérnek a mobil platformokra. • Saját kiegészítés: • A mobilitás, a cloud és a közösségi média konvergenciája egészen új helyzetet teremt. • A technika pedig folyamatosan fejlődik (pl. NFC, geolokáció, adatvédelem átalakulása…) * Managing The Security And Risk Challenges Of Personal Devices In The Workplace

Védelmi stratégiák • Alapvetően a mobil védelmi stratégia két elemből áll: • szabályozzuk a területet a meglévő elvek alapján, • vezessünk be olyan támogató eszközt, amely segít kikényszeríteni a szabályok betartását (Mobile Device Management – MDM) • A szabályozásnak két megközelítése lehet: • Egészítsük ki a meglévő szabályokat a „smartphone” szóval. • Írjunk speciális, smartphone-ra vonatkozó szabályokat, amiben a szervezeti elveket ültetjük át. • Véleményem szerint az első út akkor járható, ha van saját eszközzel végzett távmunkára szabály, vagy a cég adja ki a smartphone-okat. • Más esetekben területi szabályozás javasolt.

Védelmi stratégiák KockázatStratégia Elveszett/ellopott eszközKözponti eszközmenedzsment, amely képes a helymeghatározásra, a távoli törlésre, a jelszócserére és az erős authentikációra. Az adatok legyenek titkosítva. (MDM) Különböző eszközök támogatásának hiányaKözponti eszközmenedzsment (MDM) Nem biztonságos adatáramlásBiztonságos távoli hozzáférés authorizációval, titkosítással (VPN) Nem jogosult szinkronizálásKözponti ellenőrzés az adatok átadására (DLP) A konzumeráció elterjedéseFelhasználói tudatosság építése Elszámoltathatóság hiányaA mobileszköz használatának követése (naplózás) Nem-megfelelőségKözponti konzol a megfelelőség bizonyítására (MDM) Forrás: ISACA, Securing Mobile Devices, Center/Research/Documents/SecureMobileDevices-Wht-Paper-20July2010-Research.pdf

Mobile Device Management • A smartphone-ok kontrollálásának és ellenőrzésének műszaki alapköve tehát egy megfelelő MDM megoldás implementálása. • A VPN megoldások általában elérhetők mobil platformokon is, • A naplózás megléte jó esetben következik az MDM implementálásából. • A mobil DLP, mint fogalom már ismert, de egyelőre csak tapogatózás van ebbe az irányba. • A „jó” MDM ismérvei biztonsági oldalról a Gartner* szerint: • rendelkezik minimum a jelszókikényszerítés, a távoli törlés, a távoli lezárás, a naplózás és a jailbreak detektálás képességével; • legalább 3 mobil OS-t támogat; • van benne szabályzat és megfelelőség támogatás; • képes az alkalmazások valamilyen kontrolljára; • eszközleltárt lehet vele készíteni. * Magic Quadrant for Mobile Device Management Software

Mobile Device Management piac

COBIT és Risk IT folyamatok KockázatReleváns ISACA folyamatok Elveszett/ellopott eszközCOBIT DS5 (Ensure Systems Security), Risk IT RR3 Különböző eszközök támogatásának hiányaCOBIT PO1 (Define a Strategic IT Plan), PO6 (Communicate Management Aims and Direction), DS5, Risk IT RR2 Nem biztonságos adatáramlásCOBIT DS5, Risk IT RR2, RR3 Nem jogosult szinkronizálásCOBIT DS5, DS11 (Manage Data), Risk IT RR2 A konzumeráció elterjedéseCOBIT DS5, DS11, PO9 (Assess and Manage Risks) Risk IT RR2, RR3 Elszámoltathatóság hiányaCOBIT PO6, Risk IT RR1, RE3 Nem-megfelelőségCOBIT PO4 (Define the IT Processes, Organisation and Relationships), ME3 (Ensure compliance with established regulations), Risk IT RR1 Forrás: ISACA, Managing Mobile Devices and Relevant Framework Processes, Center/Research/Documents/SecureMobileDevice-Chart-21July2010-Research.pdf

Audit lépések 1. Az audit megtervezése és hatókörének meghatározása 2. Mobilbiztonság ellenőrzése 2.1 Mobilbiztonsági szabályzat 2.1.1Szabályzat meghatározása (Legyenek a mobileszközökre vonatkozó szabályozások) 2.2 Kockázatmenedzsment Kockázatfelmérés (Készüljön kockázatelemzés a mobileszközök használata előtt, és ez legyen később folyamatos tevékenység) Kockázatfelmérés irányítása (A felelős vezető vegyen részt a kockázatfelmérésben) 2.3 Eszközmenedzsment Eszközök követése (Az érzékeny adatokat kezelő eszközök központilag legyenek menedzselve és adminisztrálva) Eszköz kiadása, visszavétele (Az érzékeny adatokat kezelő eszközök a szerepkörhöz rendelten legyen kiosztva és visszavonva) 2.4 Hozzáféréskontroll Hozzáférési szabályok (Az eszközhozzáférés szintje a rajta tárolt adatok érzékenysége szerint legyen kikényszerítve)

Audit lépések 2.5 Tárolt adatok Tárolt adatok titkosítása (A vállalati adatok legyenek titkosítva az eszközön, a titkosítás legyen központilag kezelt) Adatátvitel (Legyen szabályozva az, hogy milyen adatok tárolhatók mobileszközökön és ezek milyen módon legyenek védve) Adatmegőrzés (Legyen adatmegőrzési szabályzat a mobileszközökön tárolt adatokra) 2.6 Kártékony kódok elleni védelem Kártékony kódok (Legyen kártékony kód elleni védelem implementálva, ha ez a kockázat releváns) 2.7 Biztonságos adattovábbítás hálózaton Biztonságos kapcsolatok (Távoli hozzáférés esetén legyen biztonságos adatkapcsolat, pl. VPN implementálva) 2.8 Tudatossági oktatás Mobilbiztonsági tudatossági tréning (A dolgozók tudatossági oktatásának legyen része a mobilbiztonság) Mobilbiztonsági tudatossági oktatás irányítása (Az oktatásnak legyen visszacsatolása a menedzsment felé) ISACA, Mobile Computing Security Audit/Assurance Program,

Érettségi szintek • PO6: A mobileszközök felhasználói rendszeres és egyértelmű üzenetet kapnak arról, hogy az eszközök nem megfelelő használata milyen kockázatot jelentenek a vállalatra nézve. • PO9: A menedzsment megértette a mobileszközök jelentette új kockázatokat, és támogatja a szükséges kontrollok bevezetését. • DS5: A mobileszközökre is teljesülnek a vállalat biztonsági szabályzatai. • DS11: A mobileszközök elérik és használják a vállalati adatokat, a szabályzatoknak megfelelően. • ME3: A mobileszközök teljesítik a külső szabályokból eredő követelményeket.

Összefoglalás • A kiberbiztonság alapvetően megváltozott az elmúlt 2 évben. • Ennek a változásnak az egyik legfontosabb előidézője a mobilitás, sőt kimondottan a smartphone-ok elterjedése. • Ez rengeteg hasznot hoz, de számos új, korábban nem tapasztalt biztonsági kihívást is jelent. • A biztonsági elvek nem változnak, de a védelmi technikák és hangsúlyok igen. • A legfontosabb változás, hogy el kell felejtenünk azt, hogy tudunk határokat védeni! • Új biztonsági szemléletre van szükség, amely alkalmazkodik a mindenhol jelen levő számítástechnika (Ubiquitous computing) szemlélethez!

Köszönöm a figyelmet! web: twitter: twitter.com/csabika25twitter.com/csabika25