Human security awareness - IT vagy HR feladat? Dr. Krasznay Csaba
Aranyköpések „Az informatikai problémák 90%-a a billentyűzet és a szék között helyezkedik el.” „Csak az nem hibázik, aki nem dolgozik.” „A leggyengébb láncszem mindig az ember!” „A sikeres informatikai támadások legtöbbször belső munkatárs miatt következnek be.” Azaz rengeteg probléma van a munkatársakkal!
Human security error A munkatársak miatti információbiztonsági problémák okai lehetnek szándékosak és nem szándékosak. A hibák többsége nem szándékos, tudatlanság, információhiány, figyelemhiány okozza. Gyakran bekövetkezik, a várható kárérték közepes méretű. A szándékos károkozás viszonylag ritka, de az okozott kár komoly lehet. Bármelyiket nézzük, legalább magas kockázattal kell számolni, tehát valamilyen védelmi intézkedés szükséges!
Fenyegetések Tipikus fenyegetések: Képzetlen munkavállaló Elégedetlen/bűnöző munkavállaló Social engineering Advanced Persistent Threat (APT)
Képzetlen munkavállaló Valljuk meg, bizonyos szinten mindenki ide tartozik! Mit tehetünk ellene? Belső szabályozások Tudatossági oktatás Figyelmeztetés, számonkérés, büntetés, de hogyan? Alapvető technológiai korlátok (hardening, kliens oldali védelem, tartalomszűrés, stb.) Ez egy CISO legelső és legalapvetőbb feladata, de a HR- rel közösen!
Biztonságtudatossági oktatás Ki tartsa? A biztonsági felelős, a HR vagy külső szakértő? A válasz: esete és cége válogatja. Kinek tartsa? Mindenkinek, a számítógéppel dolgozóknak vagy csak bizonyos munkaköröknek? A válasz: mindenkinek, beosztástól függő tartalommal. Hogyan tartsa? Személyesen, tanfolyamon, elektronikusan? A válasz: ahogy az a célcsoportnak a legkényelmesebb.
Elégedetlen/bűnöző munkavállaló Egy ember életében számos olyan szituáció lehetséges, amikor a cég erőforrásai kellően értékesek lehetnek. A következőkben az Association of Certified Fraud Examiners 2012 Report to the Nations tanulmánya alapján próbáljuk megérteni, miért is csalnak az emberek? Részletesen ld. itt: http://www.acfe.com/rttn.aspx
Motivációk
Az elkövetők életkora
Céges múlt
Bűnözői múlt
Az elkövető beosztása
Fertőzött iparágak
Fertőzött területek
Csalástípusok
Csalások felfedezésének módja
Védelmi intézkedések Az alkalmazást megelőzően: Átvilágítás (a pozíciónak megfelelően) Az alkalmazás időtartama alatt: A személyiségi jogokat tiszteletben tartó korai figyelmeztető megoldások (naplózás, DLP, stb.) használata Az alkalmazás után: Jogosultságok visszavonása, vagyontárgyak visszaszolgáltatása Bizonyítékok szolgáltatása az eljárások támogatására Elsősorban HR feladat, de az IT és más területek (pl. belső ellenőrzés) hatékony támogatást tud nyújtani.
Social Engineering „A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni.” – Kevin D. Mitnick „Social engineering is the practice of using deception or persuasion to fraudulently obtain goods or information, and the term is often used in relation to computer systems or the information they contain.” – Douglas P. Twitchell „… social engineering is the art or better yet, science, of skillfully maneuvering human beings to take action in some aspect of their lives.” – Christopher Hadnagy
SE technikák Forrás: Váczi Dániel, Sörös Tamás További részletek: Oroszi Eszter előadásai
Védelmi lehetőségek A védekezés alapvetően a tudatosság emelésével érhető el. De ezen a területen kiemelten fontos a hagyományos biztonságtechnika! Tipikusan az a terület, ahol a security és az IT security találkozik. IT technológiai trükköket persze itt is lehet alkalmazni, de a hasznossága megkérdőjelezhető. Próbáljunk minél kisebb támadási felületet nyitni, azaz koncentráljunk a minél kisebb információszivárgásra Ebbe a cég és az alkalmazotti információk (pl. Facebook) is beletartozik!
Advanced Persistent Threat (APT) Emberi tényező Alkalmazás hiba Elégtelen infrastruk-túra
APT vs. SE Célzottabb informatikai támadások (pl. cégre szabott 0-day) Célzottabb személyi megkeresés (akár hírszerzési információkkal támogatva) Hosszabb eszkalációs idő, nagyobb erőforrások Védekezni szinte lehetetlen! Vagy mégsem? Tűt keresünk a szénakazalban, de időnként azt is meg lehet találni!
APT védelem Jó eséllyel emberen keresztül érkezik a támadás. Ennek elkerülése érdekében: Ahol az APT kockázata fennáll, építsük ki az egészséges paranoiát! Használjunk olyan védelmi eszközöket, melyek „intelligensek”, azaz reagálnak az IT környezet abnormális működésére, és gyorsan frissülnek. Legyen szoros együttműködés a belbiztonsági szervekkel (védjenek ők is!) A humán védelem helyi és nemzetbiztonsági feladat is!
Összefoglalás A humán védelem mindenkinek a feladata! Az IT biztonság elsősorban támogató szerepet tölt be, de „történetileg” sok humán biztonsági feladat itt ragadt. Egyébként ez a létező legnehezebb feladatok egyike, hiszen az emberi tűzfalat eddig még nem találták fel. Ráadásul az ember nem gép, az érzelmek pedig nehezítő tényezők. Klasszikus multidiszciplináris feladat. Sok szerencsét hozzá!
Ajánlott irodalom Oroszi Eszter előadásai a Hacktivity-n: www.hacktivity.hu A biztonságtudatossági oktatásról két anyag: NIST SP 800-16: http://csrc.nist.gov/publications/drafts/800-16- rev1/Draft-SP800-16-Rev1.pdf NIST SP 800-50: http://csrc.nist.gov/publications/nistpubs/800- 50/NIST-SP800-50.pdf
Köszönöm a figyelmet! Web: www.krasznay.hu E-mail: csaba@krasznay.hu Twitter: twitter.com/csabika25