Human security awareness - IT vagy HR feladat?

1
Human security awareness - IT vagy HR feladat?

• Dr. Krasznay Csaba

2
Aranyköpések

• Az informatikai problémák 90-a a billentyuzet
  és a szék között helyezkedik el.
• Csak az nem hibázik, aki nem dolgozik.
• A leggyengébb láncszem mindig az ember!
• A sikeres informatikai támadások legtöbbször
  belso munkatárs miatt következnek be.
• Azaz rengeteg probléma van a munkatársakkal!

3
Human security error

• A munkatársak miatti információbiztonsági
  problémák okai lehetnek szándékosak és nem
  szándékosak.
• A hibák többsége nem szándékos, tudatlanság,
  információhiány, figyelemhiány okozza. Gyakran
  bekövetkezik, a várható kárérték közepes méretu.
• A szándékos károkozás viszonylag ritka, de az
  okozott kár komoly lehet.
• Bármelyiket nézzük, legalább magas kockázattal
  kell számolni, tehát valamilyen védelmi
  intézkedés szükséges!

4
Fenyegetések

• Tipikus fenyegetések
• Képzetlen munkavállaló
• Elégedetlen/bunözo munkavállaló
• Social engineering
• Advanced Persistent Threat (APT)

5
Képzetlen munkavállaló

• Valljuk meg, bizonyos szinten mindenki ide
  tartozik!
• Mit tehetünk ellene?
• Belso szabályozások
• Tudatossági oktatás
• Figyelmeztetés, számonkérés, büntetés, de hogyan?
• Alapveto technológiai korlátok (hardening, kliens
  oldali védelem, tartalomszurés, stb.)
• Ez egy CISO legelso és legalapvetobb feladata, de
  a HR-rel közösen!

6
Biztonságtudatossági oktatás

• Ki tartsa? A biztonsági felelos, a HR vagy külso
  szakérto?
• A válasz esete és cége válogatja.
• Kinek tartsa? Mindenkinek, a számítógéppel
  dolgozóknak vagy csak bizonyos munkaköröknek?
• A válasz mindenkinek, beosztástól függo
  tartalommal.
• Hogyan tartsa? Személyesen, tanfolyamon,
  elektronikusan?
• A válasz ahogy az a célcsoportnak a
  legkényelmesebb.

7
Elégedetlen/bunözo munkavállaló

• Egy ember életében számos olyan szituáció
  lehetséges, amikor a cég eroforrásai kelloen
  értékesek lehetnek.
• A következokben az Association of Certified Fraud
  Examiners 2012 Report to the Nations tanulmánya
  alapján próbáljuk megérteni, miért is csalnak az
  emberek?
• Részletesen ld. itt http//www.acfe.com/rttn.aspx

8
Motivációk
9
Az elkövetok életkora
10
Céges múlt
11
Bunözoi múlt
12
Az elköveto beosztása
13
Fertozött iparágak
14
Fertozött területek
15
Csalástípusok
16
Csalások felfedezésének módja
17
Védelmi intézkedések

• Az alkalmazást megelozoen
• Átvilágítás (a pozíciónak megfeleloen)
• Az alkalmazás idotartama alatt
• A személyiségi jogokat tiszteletben tartó korai
  figyelmezteto megoldások (naplózás, DLP, stb.)
  használata
• Az alkalmazás után
• Jogosultságok visszavonása, vagyontárgyak
  visszaszolgáltatása
• Bizonyítékok szolgáltatása az eljárások
  támogatására
• Elsosorban HR feladat, de az IT és más területek
  (pl. belso ellenorzés) hatékony támogatást tud
  nyújtani.

18
Social Engineering

• A social engineering a befolyásolás és
  rábeszélés eszközével megtéveszti az embereket,
  manipulálja vagy meggyozi oket, hogy a social
  engineer tényleg az, akinek mondja magát. Ennek
  eredményeként a social engineer technológia
  használatával vagy anélkül képes az embereket
  információszerzés érdekében kihasználni. Kevin
  D. Mitnick
• Social engineering is the practice of using
  deception or persuasion to fraudulently obtain
  goods or information, and the term is often used
  in relation to computer systems or the
  information they contain. Douglas P. Twitchell
• social engineering is the art or better yet,
  science, of skillfully maneuvering human beings
  to take action in some aspect of their lives.
  Christopher Hadnagy

19
SE technikák
Forrás Váczi Dániel, Sörös Tamás További
részletek Oroszi Eszter eloadásai
20
Védelmi lehetoségek

• A védekezés alapvetoen a tudatosság emelésével
  érheto el.
• De ezen a területen kiemelten fontos a
  hagyományos biztonságtechnika!
• Tipikusan az a terület, ahol a security és az IT
  security találkozik.
• IT technológiai trükköket persze itt is lehet
  alkalmazni, de a hasznossága megkérdojelezheto.
• Próbáljunk minél kisebb támadási felületet
  nyitni, azaz koncentráljunk a minél kisebb
  információszivárgásra
• Ebbe a cég és az alkalmazotti információk (pl.
  Facebook) is beletartozik!

21
Advanced Persistent Threat (APT)
22
APT vs. SE

• Célzottabb informatikai támadások (pl. cégre
  szabott 0-day)
• Célzottabb személyi megkeresés (akár hírszerzési
  információkkal támogatva)
• Hosszabb eszkalációs ido, nagyobb eroforrások
• Védekezni szinte lehetetlen! Vagy mégsem?
• Tut keresünk a szénakazalban, de idonként azt is
  meg lehet találni!?

23
APT védelem

• Jó eséllyel emberen keresztül érkezik a támadás.
• Ennek elkerülése érdekében
• Ahol az APT kockázata fennáll, építsük ki az
  egészséges paranoiát!
• Használjunk olyan védelmi eszközöket, melyek
  intelligensek, azaz reagálnak az IT környezet
  abnormális muködésére, és gyorsan frissülnek.
• Legyen szoros együttmuködés a belbiztonsági
  szervekkel (védjenek ok is!)
• A humán védelem helyi és nemzetbiztonsági feladat
  is!

24
Összefoglalás

• A humán védelem mindenkinek a feladata!
• Az IT biztonság elsosorban támogató szerepet tölt
  be, de történetileg sok humán biztonsági
  feladat itt ragadt.
• Egyébként ez a létezo legnehezebb feladatok
  egyike, hiszen az emberi tuzfalat eddig még nem
  találták fel.
• Ráadásul az ember nem gép, az érzelmek pedig
  nehezíto tényezok.
• Klasszikus multidiszciplináris feladat. Sok
  szerencsét hozzá! ?

25
Ajánlott irodalom

• Oroszi Eszter eloadásai a Hacktivity-n
  www.hacktivity.hu
• A biztonságtudatossági oktatásról két anyag
• NIST SP 800-16 http//csrc.nist.gov/publications/
  drafts/800-16-rev1/Draft-SP800-16-Rev1.pdf
• NIST SP 800-50 http//csrc.nist.gov/publications/
  nistpubs/800-50/NIST-SP800-50.pdf

26
Köszönöm a figyelmet!

• Web www.krasznay.hu
• E-mail csaba_at_krasznay.hu
• Twitter twitter.com/csabika25