Human security awareness - IT vagy HR feladat? - PowerPoint PPT Presentation

1 / 26
About This Presentation
Title:

Human security awareness - IT vagy HR feladat?

Description:

Human security awareness - IT vagy HR feladat? Dr. Krasznay Csaba Aranyk p sek Az informatikai probl m k 90%-a a billenty zet s a sz k k z tt helyezkedik ... – PowerPoint PPT presentation

Number of Views:54
Avg rating:3.0/5.0
Slides: 27
Provided by: Kras76
Category:

less

Transcript and Presenter's Notes

Title: Human security awareness - IT vagy HR feladat?


1
Human security awareness - IT vagy HR feladat?
  • Dr. Krasznay Csaba

2
Aranyköpések
  • Az informatikai problémák 90-a a billentyuzet
    és a szék között helyezkedik el.
  • Csak az nem hibázik, aki nem dolgozik.
  • A leggyengébb láncszem mindig az ember!
  • A sikeres informatikai támadások legtöbbször
    belso munkatárs miatt következnek be.
  • Azaz rengeteg probléma van a munkatársakkal!

3
Human security error
  • A munkatársak miatti információbiztonsági
    problémák okai lehetnek szándékosak és nem
    szándékosak.
  • A hibák többsége nem szándékos, tudatlanság,
    információhiány, figyelemhiány okozza. Gyakran
    bekövetkezik, a várható kárérték közepes méretu.
  • A szándékos károkozás viszonylag ritka, de az
    okozott kár komoly lehet.
  • Bármelyiket nézzük, legalább magas kockázattal
    kell számolni, tehát valamilyen védelmi
    intézkedés szükséges!

4
Fenyegetések
  • Tipikus fenyegetések
  • Képzetlen munkavállaló
  • Elégedetlen/bunözo munkavállaló
  • Social engineering
  • Advanced Persistent Threat (APT)

5
Képzetlen munkavállaló
  • Valljuk meg, bizonyos szinten mindenki ide
    tartozik!
  • Mit tehetünk ellene?
  • Belso szabályozások
  • Tudatossági oktatás
  • Figyelmeztetés, számonkérés, büntetés, de hogyan?
  • Alapveto technológiai korlátok (hardening, kliens
    oldali védelem, tartalomszurés, stb.)
  • Ez egy CISO legelso és legalapvetobb feladata, de
    a HR-rel közösen!

6
Biztonságtudatossági oktatás
  • Ki tartsa? A biztonsági felelos, a HR vagy külso
    szakérto?
  • A válasz esete és cége válogatja.
  • Kinek tartsa? Mindenkinek, a számítógéppel
    dolgozóknak vagy csak bizonyos munkaköröknek?
  • A válasz mindenkinek, beosztástól függo
    tartalommal.
  • Hogyan tartsa? Személyesen, tanfolyamon,
    elektronikusan?
  • A válasz ahogy az a célcsoportnak a
    legkényelmesebb.

7
Elégedetlen/bunözo munkavállaló
  • Egy ember életében számos olyan szituáció
    lehetséges, amikor a cég eroforrásai kelloen
    értékesek lehetnek.
  • A következokben az Association of Certified Fraud
    Examiners 2012 Report to the Nations tanulmánya
    alapján próbáljuk megérteni, miért is csalnak az
    emberek?
  • Részletesen ld. itt http//www.acfe.com/rttn.aspx

8
Motivációk
9
Az elkövetok életkora
10
Céges múlt
11
Bunözoi múlt
12
Az elköveto beosztása
13
Fertozött iparágak
14
Fertozött területek
15
Csalástípusok
16
Csalások felfedezésének módja
17
Védelmi intézkedések
  • Az alkalmazást megelozoen
  • Átvilágítás (a pozíciónak megfeleloen)
  • Az alkalmazás idotartama alatt
  • A személyiségi jogokat tiszteletben tartó korai
    figyelmezteto megoldások (naplózás, DLP, stb.)
    használata
  • Az alkalmazás után
  • Jogosultságok visszavonása, vagyontárgyak
    visszaszolgáltatása
  • Bizonyítékok szolgáltatása az eljárások
    támogatására
  • Elsosorban HR feladat, de az IT és más területek
    (pl. belso ellenorzés) hatékony támogatást tud
    nyújtani.

18
Social Engineering
  • A social engineering a befolyásolás és
    rábeszélés eszközével megtéveszti az embereket,
    manipulálja vagy meggyozi oket, hogy a social
    engineer tényleg az, akinek mondja magát. Ennek
    eredményeként a social engineer technológia
    használatával vagy anélkül képes az embereket
    információszerzés érdekében kihasználni. Kevin
    D. Mitnick
  • Social engineering is the practice of using
    deception or persuasion to fraudulently obtain
    goods or information, and the term is often used
    in relation to computer systems or the
    information they contain. Douglas P. Twitchell
  • social engineering is the art or better yet,
    science, of skillfully maneuvering human beings
    to take action in some aspect of their lives.
    Christopher Hadnagy

19
SE technikák
Forrás Váczi Dániel, Sörös Tamás További
részletek Oroszi Eszter eloadásai
20
Védelmi lehetoségek
  • A védekezés alapvetoen a tudatosság emelésével
    érheto el.
  • De ezen a területen kiemelten fontos a
    hagyományos biztonságtechnika!
  • Tipikusan az a terület, ahol a security és az IT
    security találkozik.
  • IT technológiai trükköket persze itt is lehet
    alkalmazni, de a hasznossága megkérdojelezheto.
  • Próbáljunk minél kisebb támadási felületet
    nyitni, azaz koncentráljunk a minél kisebb
    információszivárgásra
  • Ebbe a cég és az alkalmazotti információk (pl.
    Facebook) is beletartozik!

21
Advanced Persistent Threat (APT)
22
APT vs. SE
  • Célzottabb informatikai támadások (pl. cégre
    szabott 0-day)
  • Célzottabb személyi megkeresés (akár hírszerzési
    információkkal támogatva)
  • Hosszabb eszkalációs ido, nagyobb eroforrások
  • Védekezni szinte lehetetlen! Vagy mégsem?
  • Tut keresünk a szénakazalban, de idonként azt is
    meg lehet találni!?

23
APT védelem
  • Jó eséllyel emberen keresztül érkezik a támadás.
  • Ennek elkerülése érdekében
  • Ahol az APT kockázata fennáll, építsük ki az
    egészséges paranoiát!
  • Használjunk olyan védelmi eszközöket, melyek
    intelligensek, azaz reagálnak az IT környezet
    abnormális muködésére, és gyorsan frissülnek.
  • Legyen szoros együttmuködés a belbiztonsági
    szervekkel (védjenek ok is!)
  • A humán védelem helyi és nemzetbiztonsági feladat
    is!

24
Összefoglalás
  • A humán védelem mindenkinek a feladata!
  • Az IT biztonság elsosorban támogató szerepet tölt
    be, de történetileg sok humán biztonsági
    feladat itt ragadt.
  • Egyébként ez a létezo legnehezebb feladatok
    egyike, hiszen az emberi tuzfalat eddig még nem
    találták fel.
  • Ráadásul az ember nem gép, az érzelmek pedig
    nehezíto tényezok.
  • Klasszikus multidiszciplináris feladat. Sok
    szerencsét hozzá! ?

25
Ajánlott irodalom
  • Oroszi Eszter eloadásai a Hacktivity-n
    www.hacktivity.hu
  • A biztonságtudatossági oktatásról két anyag
  • NIST SP 800-16 http//csrc.nist.gov/publications/
    drafts/800-16-rev1/Draft-SP800-16-Rev1.pdf
  • NIST SP 800-50 http//csrc.nist.gov/publications/
    nistpubs/800-50/NIST-SP800-50.pdf

26
Köszönöm a figyelmet!
  • Web www.krasznay.hu
  • E-mail csaba_at_krasznay.hu
  • Twitter twitter.com/csabika25
Write a Comment
User Comments (0)
About PowerShow.com