Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Human security awareness - IT vagy HR feladat?

Hasonló előadás


Az előadások a következő témára: "Human security awareness - IT vagy HR feladat?"— Előadás másolata:

1 Human security awareness - IT vagy HR feladat?
Dr. Krasznay Csaba

2 Aranyköpések „Az informatikai problémák 90%-a a billentyűzet és a szék között helyezkedik el.” „Csak az nem hibázik, aki nem dolgozik.” „A leggyengébb láncszem mindig az ember!” „A sikeres informatikai támadások legtöbbször belső munkatárs miatt következnek be.” Azaz rengeteg probléma van a munkatársakkal!

3 Human security error A munkatársak miatti információbiztonsági problémák okai lehetnek szándékosak és nem szándékosak. A hibák többsége nem szándékos, tudatlanság, információhiány, figyelemhiány okozza. Gyakran bekövetkezik, a várható kárérték közepes méretű. A szándékos károkozás viszonylag ritka, de az okozott kár komoly lehet. Bármelyiket nézzük, legalább magas kockázattal kell számolni, tehát valamilyen védelmi intézkedés szükséges!

4 Fenyegetések Tipikus fenyegetések: Képzetlen munkavállaló
Elégedetlen/bűnöző munkavállaló Social engineering Advanced Persistent Threat (APT)

5 Képzetlen munkavállaló
Valljuk meg, bizonyos szinten mindenki ide tartozik! Mit tehetünk ellene? Belső szabályozások Tudatossági oktatás Figyelmeztetés, számonkérés, büntetés, de hogyan? Alapvető technológiai korlátok (hardening, kliens oldali védelem, tartalomszűrés, stb.) Ez egy CISO legelső és legalapvetőbb feladata, de a HR- rel közösen!

6 Biztonságtudatossági oktatás
Ki tartsa? A biztonsági felelős, a HR vagy külső szakértő? A válasz: esete és cége válogatja. Kinek tartsa? Mindenkinek, a számítógéppel dolgozóknak vagy csak bizonyos munkaköröknek? A válasz: mindenkinek, beosztástól függő tartalommal. Hogyan tartsa? Személyesen, tanfolyamon, elektronikusan? A válasz: ahogy az a célcsoportnak a legkényelmesebb.

7 Elégedetlen/bűnöző munkavállaló
Egy ember életében számos olyan szituáció lehetséges, amikor a cég erőforrásai kellően értékesek lehetnek. A következőkben az Association of Certified Fraud Examiners 2012 Report to the Nations tanulmánya alapján próbáljuk megérteni, miért is csalnak az emberek? Részletesen ld. itt:

8 Motivációk

9 Az elkövetők életkora

10 Céges múlt

11 Bűnözői múlt

12 Az elkövető beosztása

13 Fertőzött iparágak

14 Fertőzött területek

15 Csalástípusok

16 Csalások felfedezésének módja

17 Védelmi intézkedések Az alkalmazást megelőzően:
Átvilágítás (a pozíciónak megfelelően) Az alkalmazás időtartama alatt: A személyiségi jogokat tiszteletben tartó korai figyelmeztető megoldások (naplózás, DLP, stb.) használata Az alkalmazás után: Jogosultságok visszavonása, vagyontárgyak visszaszolgáltatása Bizonyítékok szolgáltatása az eljárások támogatására Elsősorban HR feladat, de az IT és más területek (pl. belső ellenőrzés) hatékony támogatást tud nyújtani.

18 Social Engineering „A social engineering a befolyásolás és rábeszélés eszközével megtéveszti az embereket, manipulálja vagy meggyőzi őket, hogy a social engineer tényleg az, akinek mondja magát. Ennek eredményeként a social engineer – technológia használatával vagy anélkül – képes az embereket információszerzés érdekében kihasználni.” – Kevin D. Mitnick „Social engineering is the practice of using deception or persuasion to fraudulently obtain goods or information, and the term is often used in relation to computer systems or the information they contain.” – Douglas P. Twitchell „… social engineering is the art or better yet, science, of skillfully maneuvering human beings to take action in some aspect of their lives.” – Christopher Hadnagy

19 SE technikák Forrás: Váczi Dániel, Sörös Tamás
További részletek: Oroszi Eszter előadásai

20 Védelmi lehetőségek A védekezés alapvetően a tudatosság emelésével érhető el. De ezen a területen kiemelten fontos a hagyományos biztonságtechnika! Tipikusan az a terület, ahol a security és az IT security találkozik. IT technológiai trükköket persze itt is lehet alkalmazni, de a hasznossága megkérdőjelezhető. Próbáljunk minél kisebb támadási felületet nyitni, azaz koncentráljunk a minél kisebb információszivárgásra Ebbe a cég és az alkalmazotti információk (pl. Facebook) is beletartozik!

21 Advanced Persistent Threat (APT)
Emberi tényező Alkalmazás hiba Elégtelen infrastruk-túra

22 APT vs. SE Célzottabb informatikai támadások (pl. cégre szabott 0-day)
Célzottabb személyi megkeresés (akár hírszerzési információkkal támogatva) Hosszabb eszkalációs idő, nagyobb erőforrások Védekezni szinte lehetetlen! Vagy mégsem? Tűt keresünk a szénakazalban, de időnként azt is meg lehet találni!

23 APT védelem Jó eséllyel emberen keresztül érkezik a támadás.
Ennek elkerülése érdekében: Ahol az APT kockázata fennáll, építsük ki az egészséges paranoiát! Használjunk olyan védelmi eszközöket, melyek „intelligensek”, azaz reagálnak az IT környezet abnormális működésére, és gyorsan frissülnek. Legyen szoros együttműködés a belbiztonsági szervekkel (védjenek ők is!) A humán védelem helyi és nemzetbiztonsági feladat is!

24 Összefoglalás A humán védelem mindenkinek a feladata!
Az IT biztonság elsősorban támogató szerepet tölt be, de „történetileg” sok humán biztonsági feladat itt ragadt. Egyébként ez a létező legnehezebb feladatok egyike, hiszen az emberi tűzfalat eddig még nem találták fel. Ráadásul az ember nem gép, az érzelmek pedig nehezítő tényezők. Klasszikus multidiszciplináris feladat. Sok szerencsét hozzá! 

25 Ajánlott irodalom Oroszi Eszter előadásai a Hacktivity-n: A biztonságtudatossági oktatásról két anyag: NIST SP : rev1/Draft-SP Rev1.pdf NIST SP : 50/NIST-SP pdf

26 Köszönöm a figyelmet! Web: Twitter: twitter.com/csabika25


Letölteni ppt "Human security awareness - IT vagy HR feladat?"

Hasonló előadás


Google Hirdetések