SlideShare una empresa de Scribd logo

Wyscig o czynnik ludzki

Descargar como PPTX, PDF
Artur Marek Maciąg
Artur Marek Maciąg

prezentacja na jubileuszowej konferencji POLCAAT2019 (IIA) na temat błędów poznawczych, różnicy pomiędzy postrezganiem triady i praktyk bezpieczeństwa informacji przez "bezpiecznikow" i regularnych użytkownikow sieci.

Tecnología
1 de 47
Inicjatywa Kultury Bezpieczeństwa Artur Marek Maciąg Wyścig o czynnik ludzki w cyberbezpieczenstwie. Kto jest na jakiej pozycji?
Inicjatywa Kultury Bezpieczeństwa Misja: aktualizacja nawyków związanych z konsumpcją informacji Aktywność: #RazemPrzeciwkoInfekcji #ProjektFeniks #DekalogLudziITechnologii #BezpieczeństwoBardziejOsobiste #PechowaDwunastka #OBezpieczeństwieDoPorannejKawy https://sci-ikb.blogspot.com
Wyścig na czynniku ludzkim łatwy nie jest https://www.fontebertusi.it/en/journal/tuscany/donkey-race/ https://www.wsj.com/video/annual-donkey-race-stirs-passions-in- italy/AD54B2BE-71A9-479E-9ED5-91759634E415.html
metody użycia narzędzia
vs
PODSTAWOWE NARZĘDZIE I CZŁOWIEK WIEKCZŁO
UKIERUNKOWANY CZY OPORTUNISTYCZNY?ATAK OBSERWACJA SŁABOŚCI DOSTOSOWANIE NARZĘDZI ZASTAWIENIE PUŁAPKI URUCHOMIENIE PUŁAPKI ADAPTACJA DO ŚRODOWISKA PRZEJĘCIE KONTROLI PRZYGOTOWANIA WYKORZYSTANIE KONTRLI OBSERWACJA SŁABOŚCI DOSTOSOWANIE NARZĘDZI DOSTARCZENIE PUŁAPKI URUCHOMIENIE PUŁAPKI ADAPTACJA DO ŚRODOWISKA PRZEJĘCIE KONTROLI WYKORZYSTANIE KONTROLI UKIERUNKOWANY (APT) OPORTUNISTYCZNY
KRYMINALIŚCI-OPORTUNIŚCI https://www.ncsc.gov.uk/news/ncsc-publishes-new-report-criminal-online-activity
Okazja czyni złodzieja!
COKOLWIEK ROBISZ DLA DOBRA Primum non nocere… … NO EVIL! 🙉🙈🙊
Iwazaru - “Speak no evil” dostępność hasła🙊
GENERACJE HASEŁ GEN TYP PROSTE ZŁOŻONE WYSIŁEK ZAPAMIĘTANIA WYSIŁEK UŻYCIA I SEKWENCYJNE PIN (1234) KOLEJNE KLAWISZE (QWERTY) ŁATWE TRYWIALNE II KONTEKSTOWE DATA (5/10/90) UPRAWNIENIE (ADMINISTRATOR) ŚREDNI ŁATWE III LOSOWE JEDNORAZOWE (105 374) SPEŁNIAJĄCE KRYTERIA (K80A^3!#p) BARDZO TRUDNE BARDZO TRUDNE IV SCHEMATYCZNE PODSTAWIENIA (PASS->1455) PODSTAWIENIE I KRYTERIA (STRONGPASSWORD &7R0NGP455worD) WYZWANIE TRUDNE V DŁUGIE ZDANIE PIN WIZUALNY (1397) WYRAŻENIE HASŁOWE* (czas na druga kawe) ŚREDNI ŁATWE DICEWARE generator wyrażeń hasłowych, dla zapamiętania do wyników trzeba dorobić “opowieść”
HASŁA I PAMIĘĆ SENSORYCZNA KRÓTKO - TERMINOWA (STM) DŁUGO-TERMINOWA (LTM) SEMANTYCZNA EPIZODYCZNA ROBOCZA pisanie, przesuwanie palca po ekranie < 1 sec < 1 min jednorazowe gen: I i IV sekwencje I schematy Gen: II i V kontekst, długie zdania gen III losowa Generacja III haseł wymaga dużego wysiłku przy zapamiętywaniu, w tym: • Tych samych wrażeń sensorycznych (np. ta sama klawiatura) • Na początku intensywnych powtórzeń w celu transferu z STM do LTM • Później codziennego (częstego) używania dla utrzymania użyteczności Z czasem takie hasło jest używane poprzez mechanizm automatyczny minuty lata NIE ZMIENIAJ HASŁA W PIĄTEK POD KONIEC DNIA !😎
Okazja czyni złodzieja!
TWOJE HASLO NIE MA ZNACZENIA? https://techcommunity.microsoft.com/t5/Azure-Active-Directory- Identity/Your-Pa-word-doesn-t-matter/ba-p/731984 Co? Kiedy (Azure)? Jak? człowiek? automat? Dlaczego? Czy haslo ma znaczenie? Dostęp do informacji (local disvovery) Gdy dostępne bez uwierzytelnienia Fizycznie dostępne notesy, śmieci. Zasoby sieciowe bez uwierzytelnienia. Informacje w kodzie, skryptach. Zapisane hasła w notatkach, skryptach, plikach, utrzymywanie kont bez nadzoru. Nie - odnalezione Użycie znanego hasła (credential stuffing) ponad 20 milionow atakow dziennie zakup wykradzionych haseł, użycie znanych haseł 62% użytkowników ponownie używa hasła Nie - już znane Ślepy strzał (password spray) Ponad 16 %, milionów prób, setki tysięcy trafień dziennie Podawanie kilku popularnych haseł do milionów kont. Powoli i bez zwracania uwagi. Stosowanie popularnych haseł, powtarzanie haseł. Nie - już znane Na siłę (brute force) Gdy dostepne bazy z zaszyfrowanymi hasłami lub hashami, rzadko w Azure Użycie dużej mocy obliczeniowej do kryptoanalizy używając znanych narzędzi I usług Słabe kontrole, możliwość dostępu do bazy hashy haseł, postęp kryptoanalizy I mocy obliczeniowej Może - wpływa na czas łamania Szantaż (extortion) W filmach i w phishingu Bezpośredni kontakt, szantaż (kompromitujące materiały, pomoc technika), brutalność Uległość, brak wiedzy, brak konsultacji z zaufanym specjalistą Nie - przekazane Wykradanie hasła (phishing) ok. 0.5% wszystkich przychodzacych maili do outlook.com Pretekst i obetnice, fałszywe strony Ignorowanie symptomów, uleganie emocjom Nie - przekazane Szpiegowanie (keystroke logging) Tylko po skutecznej infekcji Złosliwe oprogramowanie zainstalowane przez link, stronę, załacznik, darmowe oprogramowanie, pirackie pliki praca na koncie administratora, klikanie w linki, brak ochrony przed złosliwym oprogramowaniem Nie - przechwycone
TWOJE HASLO NIE MA ZNACZENIA? popularne hasła powtarzane hasła zapisywane hasła brak wskazówek/SSO brak Anti Malware/MFA brak procedur reakcji brak wywiadu i kontroli https://techcommunity.microsoft.com/t5/Azure-Active-Directory- Identity/Your-Pa-word-doesn-t-matter/ba-p/731984 przestępcy twój niski wysoki niskiwysoki tutaj potrzeba człowieka tutaj działają automaty wysiłek Dostęp do informacji (local disvovery) Użycie znanego hasła (credential stuffing) Ślepy strzał (password spray) Na siłę (brute force) Szantaż (extortion) Wykradanie hasła (phishing) Szpiegowanie (keystroke logging) Polityka haseł vs techniki przestępców
JAK ŻYĆ Z HASŁAMI, ALBO BEZ? BANKI HASEŁ KRYPTOGRAFIA https://www.w3.org/TR/webauthn/
Mizaru - “See no evil” poufność 🙈 szyfrowanie
SZYFROGRAM, SZYFR I KLUCZ INFORMACJA(de)SZYFR KLUCZ SZYFROGRAM certyfikat JAWNE TAJNE ATAKI SZYFR X.509 SYMETRYCZNY ASYMETRYCZNY PKC (certyfikaty kluczy publicznych) X.509: PKI (PKCS7, TLS, OCSP, PKCS12) SSL/TLS (SMTP, POP, IMAP, LDAP, XMPP) S/MIME EAP-TLS IPSEC TOFU (zaufaj przy pierwszym użyciu): SSH HPKP (http public key pinning) HSTS (http strict transport security) Szyfrowanie danych • w spoczynku • w transporcie ? PGP (pretty good privacy) ?  BEAST  CRIME  TIME  BREACH  Lucky 13  POODLE  FREAK  Logjam  DROWN  SLOTH  Sweet32 DYSTRYBUCJA KRYPTOGRAFIA KWANTOWA
ZAUFANIE PRZEZ SZYFROWANIE POFUNOŚĆ + INTEGRALNOŚĆ + IDENTYFIKACJA = ZAUFANIE POFUNOŚĆ + INTEGRALNOŚĆ - IDENTYFIKACJA ≠ ZAUFANIE ACME
AUTOMATYZACJA SZYFROWANIA W LOCIE Automatic Certificate Management Environment (ACME)
POZA RADAREM ACME hidden directory /.well-known/ NORSK HYDRO https://www.zscaler.com/blogs/research/abuse-hidden-well-known-directory-https-sites https://doublepulsar.com/how-lockergoga-took-down-hydro- ransomware-used-in-targeted-attacks-aimed-at-big-business- c666551f5880
Okazja czyni złodzieja!
CO DAJE SZYFROWANIE I KOMU? tak L ludzie częściowo P procesy nie T technologie szyfrowanie natura Jak (biznes)? Jak (przestępcy)? wspoczynku wtransporcie człowiek automat unikaniewykrycia kradzież/przechwycenie atakipowtórzenia phishing,impersonacja,fałszerstwa wodopój generacjafałszywych komponentów wymuszenieinstalacjikomponentu doMITM(człowiekwśrodku) trojanizacja (złośliweusługijakoczęść legalnych) fraudy(słupy,typuBEC) nadużycieaktualizacji ransomware(odmowadostępu) klucz szyfrowanie danych poufność danych, compliance PT LPT kontrola dostępu dostęp do danych tenanta w chmurze, zdalny dostęp (SSH/VPN/…) LPT LPT T LP PT LP LPT certyfikat szyfrowanie danych ochrona przed podsłuchem PT LT T LP T LPT LPT kontrola dostępu 802.X (NAC), uwierzytelnienie certyfikatem klienta PT LT T LP PT PT LP LPT LPT PT identyfikacja strony www identyfikacja serwisów, usług i źródła zasobów LPT LPT LPT LPT PT PT LP LPT T identyfikacja użytkownika podpis cyfrowy, rozliczalność, User Behavior Analysis LPT LPT LPT LPT PT LP T PT podpisywanie kodu certyfikacja aplikacji, identyifkacja dostawcy kodu, integralność kodu P PT LT LPT LP PT
Kikazaru - “Hear no evil” integralność zgodność🙉
APETYT NA RYZYKO ISO 27005: „Ryzyko to zagrożenia wykorzystujące podatności zasobów w celu wytworzenia strat organizacji” https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017 Zasób (Podatności, Kontrole), Zagrożenie (Profil Agenta Zagrożenia, Prawdopodobieństwo) oraz Wpływ WŁAŚCICIEL ŚRODKI ZARADCZE PODATNOŚCI RYZYKA ZASOBYZAGROŻENIA AGENCI ZAGROŻENIA WEKTORY ATAKU wartość dąży do minimalizacji redukują mogą posiadać mogą być redukowane przez wiodą do które zwiększają dla które wykorzystują którzy chcą nadużyć lub uszkodzić używają powodują wzrost oparte o grupy może być swiadomy nakłada
KRÓTKA ŚCIEŻKA DO CELU https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
Z GŁOWĄ W CHMURĘ? https://cloudsecurityalliance.org/guidance/#_overview Don’t bring bad habits!
RYZYKA W CHMURZE Istotnośćryzyka Ryzyko Odpowiedzialność za bezpieczeństwo Architektura Modelusługi chmurowej Kradzież tożsamości Modyfikacja danych Rozliczalność Ujawnienie informacji Odmowausługi Eskalacja uprawnień Klient Dostawca Dzielona Infra Meta Info Appli SaaS PaaS IaaS 1Wyciek danych x x x x x x x x I 2 Błąd konfiguracji i niewłaściwe zarządzanie zmianą x x x x x x x x T R I D 3 Brak strategii i archtektury bezpieczeństwa w chmurze x x x x S T R I D E 4 Niewystarczające zarządzanie tożsamością, dostępem, kluczami i poświadczeniami. x x x x S T R I D E 5Kradzież kont x x x x x x x x S T R I D E 6Sabotaż/nieuczciwy pracownik x x x x x S T I E 7Niezabezpieczone interfejsy i API x x x x x x x T R I E 8Słaba płaszczyzna kontrolna x x x x x T I E 9Błędy na poziomie struktury meta i appli x x x x x S T R I D E 10Ograniczona znajomość użycia chmury x x x x x x x x S T R I D E 11 Nadużycie i złośliwe użycie usług chmurowych x x x x x x x x S T R I D E
MASZ ZŁOŚLIWĄ WIADOMOŚĆ! SMTP – wysyłamy listy
ZGODNOŚĆ I MAILE… DNS SERWER POCZTY PRZYCHODZĄCEJ MX DKIM DMARC SPF – SPRAWDZA UPRAWNIENIA WYSYŁAJĄCEGO DKIM – SPRAWDZA TOŻSAMOŚĆ WYSYŁAJĄCEGO SPRAWDZA WYTYCZNE NADAWCY CO DO BŁĘDÓW UPRAWNIEŃ I TOŻSAMOŚCI TO MECHANIZM POLITYKI A NIE KONTROLI ODPOWIEDNIK POLITYKI BEZPIECZEŃSTWA INFORMACJI DLA KOMUNIKACJI E-MAIL
Okazja czyni złodzieja!
DMARC W KRAJU
DMARC W KRAJU
DMARC W KRAJU
IGNOROWANE WYTYCZNE CIS-CSC-Top20 7.8 Wdrożenie DMARC i umożliwienie weryifkacji po stronie odbiorcy.
WIEMY CO ROBIĆ… TYLKO TEGO NIE ROBIMY ŚWIADOMOŚĆ ZACHOWANIE CZYNNIKI WPŁYWU
WYTRYCHY: ŚWIADOMOŚĆ Cyber Efekt Dunninga-Krugera pewność siebie vs kompetencja to, co faktycznie wiesz uświadomiony brak wiedzy Uważasz, że jesteś bezpieczny* Myślisz, że już wiesz, jednak nadal nie wiesz, czego nie jesteś świadom* Myślisz, że jesteś bezpieczny* Ale nie wiesz, czego nie jesteś świadom* Uświadamiasz sobie swoją słabość Dowiadujesz się, czego nie byłeś świadom* Audyt zewnętrzny, ocena, próba, ćwiczenie świadomości, cyber incydent Wiesz, czego potrzebujesz by czuć się bezpiecznie Teraz wiesz co musisz wiedzieć, aby ograniczyć przyszły wpływ na Ciebie, wynikający z tego, czego jeszcze nie wiesz.
WYTRYCHY: ZACHOWANIE WWW.BehaviorModel.org możliwości motywacja trudne łatwe niskawysoka tutaj działa tutaj nie działa B=map motivation (motywacja) avibilty (możliwości) prompt (wyzwalacz) at this same time (jednocześnie) „GŁUPI UŻYTKOWNIK” • I TAK NIE DASZ RADY • MIMO TEGO ŻE JESTEŚ • SPECJALISTĄ W TYM CO ROBISZ „POZOSTAWIONY SOBIE” • NIE KLIKAJ • KAŻDE HASŁO UNIKALNE I TRUDNE • JAK NIE KUPIMY - TO WŁAMANIE • JAK NIE ZROBISZ - TO KARA „SZKOLENIA Z BEZPIECZEŃSTWA” TEN PUNKT PORUSZA SIĘ BLISKO OSI STRACH-NUDA (MOTYWACJA) NIE WIEM JAK-TRYWIALNE WIĘC NIE MUSZĘ (MOŻLIWOŚCI) „INŻYNIERIA SPOŁECZNA”: TEN PUNKT PORUSZA SIĘ PO LINI DZIAŁANIA, OPTYMALIZUJĄC KOSZTY I DOSTARCZAJĄC DAWKĘ MOTYWACJI PRZY POZIOMIE MOŻLIWOŚCI I ATRAKCYJNYM WYZWALACZU. STOSOWANA PRZY: • DECYZJE ZAKUPOWE • TECHNIKI ZARZĄDZANIA WYDAJNOŚCIĄ • WYWIADY • PHISHING I PHARMING • SPEAR PHISHING (OGONY) Model zachowania BJ Fogga
WYTRYCHY: CZYNNIKI#pechowa12 nawyki presja brak współpracy brak asertywności brak komunikacji brak świadomości Nowe kontrole:  Stosuj listy kontrolne  Pytaj  Kwestionuj  Potwierdź wątpliwości  Nie próbuj (wiedz co robić)  Bądź na bieżąco  Testuj innych  Zmień perspektywę  Miej plan  Nie akceptuj jeśli się nie zgadzasz  Rób co należy, a nie co łatwiejsze  Skorzystaj z komentarzy  Rób przerwy  Nie łam własnych zasad  Dbaj o siebie Pechowa 12 błędów ludzkich
KWESTIA PRZEWAGI http://cyber- analysis.blogspot.com/201 4/09/in-my-last-science-of- security-post-i.html Cyber Terrain by #ShawnRiley Security Science/experiments
PRAKTYKA CZYNI MISTRZA DEKALOG BEZPIECZEŃSTWA LUDZI Z TECHNOLOGIĄ SZACUNEK PRYWATNOŚĆ ROZWAGA ASERTYWNOŚĆ WZÓR POZNAJ OCHROŃ WYKRYJ REAGUJ ODZYSKAJ CODZIENNIE POKONUJ MAŁE WYZWANIA BY WZMONIĆ SWOJĄ POSTAWĘ
KTO WYGRYWA?
użytkownik bezpiecznik biznes kryminalista
DZIĘKUJĘ ZA UWAGĘ!
Wyscig o czynnik ludzki
Wyscig o czynnik ludzki

Recomendados

101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowejWydawnictwo Helion
 
[ISSA] IDS
[ISSA] IDS[ISSA] IDS
[ISSA] IDSmsobiegraj
 
13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...
13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...
13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...Wydawnictwo Helion
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Kryptografia w praktyce
Kryptografia w praktyceKryptografia w praktyce
Kryptografia w praktyceWydawnictwo Helion
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mityLogicaltrust pl
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 

Recomendados

101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowej101 zabezpieczeń przed atakami w sieci komputerowej
101 zabezpieczeń przed atakami w sieci komputerowejWydawnictwo Helion
 
[ISSA] IDS
[ISSA] IDS[ISSA] IDS
[ISSA] IDSmsobiegraj
 
13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...
13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...
13 najpopularniejszych sieciowych ataków na Twój komputer. Wykrywanie, usuwan...Wydawnictwo Helion
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Kryptografia w praktyce
Kryptografia w praktyceKryptografia w praktyce
Kryptografia w praktyceWydawnictwo Helion
 
Pentester - fakty i mity
Pentester - fakty i mityPentester - fakty i mity
Pentester - fakty i mityLogicaltrust pl
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSecuRing
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są? irasz
 
Wykrywanie włamań i aktywna ochrona danych
Wykrywanie włamań i aktywna ochrona danychWykrywanie włamań i aktywna ochrona danych
Wykrywanie włamań i aktywna ochrona danychWydawnictwo Helion
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychSecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyFirewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyWydawnictwo Helion
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSlawomir Jasek
 
Strażnik bezpieczeństwa danych
Strażnik bezpieczeństwa danychStrażnik bezpieczeństwa danych
Strażnik bezpieczeństwa danychWydawnictwo Helion
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Cyberprzestępczość. Jak walczyć z łamaniem prawa w Sieci
Cyberprzestępczość. Jak walczyć z łamaniem prawa w SieciCyberprzestępczość. Jak walczyć z łamaniem prawa w Sieci
Cyberprzestępczość. Jak walczyć z łamaniem prawa w SieciWydawnictwo Helion
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
 
Linux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoLinux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoWydawnictwo Helion
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPROIDEA
 
Jak włamałem się do banku
Jak włamałem się do bankuJak włamałem się do banku
Jak włamałem się do bankuSlawomir Jasek
 
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport Cyberbezpieczeństwo w IV kwartale 2017 r. – raport
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport CEO Magazyn Polska
 
Hack I.T. Testy bezpieczeństwa danych
Hack I.T. Testy bezpieczeństwa danychHack I.T. Testy bezpieczeństwa danych
Hack I.T. Testy bezpieczeństwa danychWydawnictwo Helion
 
Hacker i cracker- czy wiemy, kogo się boimy?
Hacker i cracker- czy wiemy, kogo się boimy?Hacker i cracker- czy wiemy, kogo się boimy?
Hacker i cracker- czy wiemy, kogo się boimy?Dorota Ręba
 
Lublin
LublinLublin
LublinSzkolaInternetu
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
Tajemnice internetu, hackingu i bezpieczeństwa
Tajemnice internetu, hackingu i bezpieczeństwaTajemnice internetu, hackingu i bezpieczeństwa
Tajemnice internetu, hackingu i bezpieczeństwaWydawnictwo Helion
 
Bezpieczny Internet - Martyna Mosiewicz
Bezpieczny Internet - Martyna MosiewiczBezpieczny Internet - Martyna Mosiewicz
Bezpieczny Internet - Martyna MosiewiczJolanta Tokarek
 
Anti-Hacker Tool Kit. Edycja polska
Anti-Hacker Tool Kit. Edycja polskaAnti-Hacker Tool Kit. Edycja polska
Anti-Hacker Tool Kit. Edycja polskaWydawnictwo Helion
 
Cracker i hacker
Cracker i hackerCracker i hacker
Cracker i hackerpik90
 

Más contenido relacionado

La actualidad más candente

Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są? irasz
 
Wykrywanie włamań i aktywna ochrona danych
Wykrywanie włamań i aktywna ochrona danychWykrywanie włamań i aktywna ochrona danych
Wykrywanie włamań i aktywna ochrona danychWydawnictwo Helion
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychSecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyFirewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyWydawnictwo Helion
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnychSlawomir Jasek
 
Strażnik bezpieczeństwa danych
Strażnik bezpieczeństwa danychStrażnik bezpieczeństwa danych
Strażnik bezpieczeństwa danychWydawnictwo Helion
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychSecuRing
 
Cyberprzestępczość. Jak walczyć z łamaniem prawa w Sieci
Cyberprzestępczość. Jak walczyć z łamaniem prawa w SieciCyberprzestępczość. Jak walczyć z łamaniem prawa w Sieci
Cyberprzestępczość. Jak walczyć z łamaniem prawa w SieciWydawnictwo Helion
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
 
Linux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoLinux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoWydawnictwo Helion
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPROIDEA
 
Jak włamałem się do banku
Jak włamałem się do bankuJak włamałem się do banku
Jak włamałem się do bankuSlawomir Jasek
 
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport Cyberbezpieczeństwo w IV kwartale 2017 r. – raport
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport CEO Magazyn Polska
 

La actualidad más candente (14)

Hacker i cracker - kim są?
Hacker i cracker - kim są? Hacker i cracker - kim są?
Hacker i cracker - kim są?
 
Wykrywanie włamań i aktywna ochrona danych
Wykrywanie włamań i aktywna ochrona danychWykrywanie włamań i aktywna ochrona danych
Wykrywanie włamań i aktywna ochrona danych
 
Bezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnychBezpieczeństwo aplikacji mobilnych
Bezpieczeństwo aplikacji mobilnych
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalistyFirewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
Firewalle i bezpieczeństwo w sieci. Vademecum profesjonalisty
 
(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych(Nie)bezpieczenstwo aplikacji mobilnych
(Nie)bezpieczenstwo aplikacji mobilnych
 
Strażnik bezpieczeństwa danych
Strażnik bezpieczeństwa danychStrażnik bezpieczeństwa danych
Strażnik bezpieczeństwa danych
 
Testowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnychTestowanie bezpieczenstwa aplikacji mobilnych
Testowanie bezpieczenstwa aplikacji mobilnych
 
Cyberprzestępczość. Jak walczyć z łamaniem prawa w Sieci
Cyberprzestępczość. Jak walczyć z łamaniem prawa w SieciCyberprzestępczość. Jak walczyć z łamaniem prawa w Sieci
Cyberprzestępczość. Jak walczyć z łamaniem prawa w Sieci
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
 
Linux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoLinux. Serwery. Bezpieczeństwo
Linux. Serwery. Bezpieczeństwo
 
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego koduPLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
PLNOG19 - Sebastian Pasternacki - Wykrywanie złośliwego kodu
 
Jak włamałem się do banku
Jak włamałem się do bankuJak włamałem się do banku
Jak włamałem się do banku
 
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport Cyberbezpieczeństwo w IV kwartale 2017 r. – raport
Cyberbezpieczeństwo w IV kwartale 2017 r. – raport
 

Similar a Wyscig o czynnik ludzki

Hack I.T. Testy bezpieczeństwa danych
Hack I.T. Testy bezpieczeństwa danychHack I.T. Testy bezpieczeństwa danych
Hack I.T. Testy bezpieczeństwa danychWydawnictwo Helion
 
Hacker i cracker- czy wiemy, kogo się boimy?
Hacker i cracker- czy wiemy, kogo się boimy?Hacker i cracker- czy wiemy, kogo się boimy?
Hacker i cracker- czy wiemy, kogo się boimy?Dorota Ręba
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiSecuRing
 
Tajemnice internetu, hackingu i bezpieczeństwa
Tajemnice internetu, hackingu i bezpieczeństwaTajemnice internetu, hackingu i bezpieczeństwa
Tajemnice internetu, hackingu i bezpieczeństwaWydawnictwo Helion
 
Bezpieczny Internet - Martyna Mosiewicz
Bezpieczny Internet - Martyna MosiewiczBezpieczny Internet - Martyna Mosiewicz
Bezpieczny Internet - Martyna MosiewiczJolanta Tokarek
 
Anti-Hacker Tool Kit. Edycja polska
Anti-Hacker Tool Kit. Edycja polskaAnti-Hacker Tool Kit. Edycja polska
Anti-Hacker Tool Kit. Edycja polskaWydawnictwo Helion
 
Cracker i hacker
Cracker i hackerCracker i hacker
Cracker i hackerpik90
 
Bezpieczeństwo w Internecie
Bezpieczeństwo w InternecieBezpieczeństwo w Internecie
Bezpieczeństwo w Interneciemarecki_wepa_1982
 
HAKERZY I krakerzy
HAKERZY I krakerzyHAKERZY I krakerzy
HAKERZY I krakerzymywsieci
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronyLogicaltrust pl
 
ABC ochrony komputera przed atakami hakera
ABC ochrony komputera przed atakami hakeraABC ochrony komputera przed atakami hakera
ABC ochrony komputera przed atakami hakeraWydawnictwo Helion
 
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)PROIDEA
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Logicaltrust pl
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...ecommerce poland expo
 
Kradzież danych
Kradzież danychKradzież danych
Kradzież danychsieciaki
 
Garnkiem Miodu W Zombie Pingwinaria2009
Garnkiem Miodu W Zombie Pingwinaria2009Garnkiem Miodu W Zombie Pingwinaria2009
Garnkiem Miodu W Zombie Pingwinaria2009Logicaltrust pl
 
Podstawy bezpieczenstwa Twojego komputera
Podstawy bezpieczenstwa Twojego komputeraPodstawy bezpieczenstwa Twojego komputera
Podstawy bezpieczenstwa Twojego komputeraMarcin Miłowski
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjachPROIDEA
 

Similar a Wyscig o czynnik ludzki (20)

Hack I.T. Testy bezpieczeństwa danych
Hack I.T. Testy bezpieczeństwa danychHack I.T. Testy bezpieczeństwa danych
Hack I.T. Testy bezpieczeństwa danych
 
Hacker i cracker- czy wiemy, kogo się boimy?
Hacker i cracker- czy wiemy, kogo się boimy?Hacker i cracker- czy wiemy, kogo się boimy?
Hacker i cracker- czy wiemy, kogo się boimy?
 
Lublin
LublinLublin
Lublin
 
Malware vs autoryzacja transakcji
Malware vs autoryzacja transakcjiMalware vs autoryzacja transakcji
Malware vs autoryzacja transakcji
 
Tajemnice internetu, hackingu i bezpieczeństwa
Tajemnice internetu, hackingu i bezpieczeństwaTajemnice internetu, hackingu i bezpieczeństwa
Tajemnice internetu, hackingu i bezpieczeństwa
 
Bezpieczny Internet - Martyna Mosiewicz
Bezpieczny Internet - Martyna MosiewiczBezpieczny Internet - Martyna Mosiewicz
Bezpieczny Internet - Martyna Mosiewicz
 
Anti-Hacker Tool Kit. Edycja polska
Anti-Hacker Tool Kit. Edycja polskaAnti-Hacker Tool Kit. Edycja polska
Anti-Hacker Tool Kit. Edycja polska
 
Cracker i hacker
Cracker i hackerCracker i hacker
Cracker i hacker
 
Bezpieczeństwo w Internecie
Bezpieczeństwo w InternecieBezpieczeństwo w Internecie
Bezpieczeństwo w Internecie
 
HAKERZY I krakerzy
HAKERZY I krakerzyHAKERZY I krakerzy
HAKERZY I krakerzy
 
Socjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obronySocjotechnika w Internecie - metody ataku i obrony
Socjotechnika w Internecie - metody ataku i obrony
 
ABC ochrony komputera przed atakami hakera
ABC ochrony komputera przed atakami hakeraABC ochrony komputera przed atakami hakera
ABC ochrony komputera przed atakami hakera
 
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
CONFidence 2018: Spear phishing - jak się bronić? Case studies (Borys Łącki)
 
Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018Spear phishing - jak się bronić? Case studies - Confidence 2018
Spear phishing - jak się bronić? Case studies - Confidence 2018
 
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
III Targi eHandlu: CertyfikatySSL.pl Bezpieczeństwo danych w sklepie internet...
 
Kradzież danych
Kradzież danychKradzież danych
Kradzież danych
 
Garnkiem Miodu W Zombie Pingwinaria2009
Garnkiem Miodu W Zombie Pingwinaria2009Garnkiem Miodu W Zombie Pingwinaria2009
Garnkiem Miodu W Zombie Pingwinaria2009
 
Podstawy bezpieczenstwa Twojego komputera
Podstawy bezpieczenstwa Twojego komputeraPodstawy bezpieczenstwa Twojego komputera
Podstawy bezpieczenstwa Twojego komputera
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
 
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
4Developers: Artur Kalinowski- Wycieki danych w aplikacjach
 

Más de Artur Marek Maciąg

[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczneArtur Marek Maciąg
 
Short story about your information processing - cloud part
Short story about your information processing - cloud partShort story about your information processing - cloud part
Short story about your information processing - cloud partArtur Marek Maciąg
 
Krótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiKrótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiArtur Marek Maciąg
 
Dirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseDirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseArtur Marek Maciąg
 
Security perspective -human factor
Security perspective -human factorSecurity perspective -human factor
Security perspective -human factorArtur Marek Maciąg
 
No more ... oops! I didn't again.
No more ... oops! I didn't again.No more ... oops! I didn't again.
No more ... oops! I didn't again.Artur Marek Maciąg
 
Jak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęJak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęArtur Marek Maciąg
 

Más de Artur Marek Maciąg (11)

[EN]THS22_AMM_ishing.pptx
[EN]THS22_AMM_ishing.pptx[EN]THS22_AMM_ishing.pptx
[EN]THS22_AMM_ishing.pptx
 
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
 
Short story about your information processing - cloud part
Short story about your information processing - cloud partShort story about your information processing - cloud part
Short story about your information processing - cloud part
 
Krótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiKrótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacji
 
Dirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident ResponseDirty 12 of Human Errors for Business Continuity/Incident Response
Dirty 12 of Human Errors for Business Continuity/Incident Response
 
Security perspective -human factor
Security perspective -human factorSecurity perspective -human factor
Security perspective -human factor
 
No more ... oops! I didn't again.
No more ... oops! I didn't again.No more ... oops! I didn't again.
No more ... oops! I didn't again.
 
Jak przetrwać kolejną transformację
Jak przetrwać kolejną transformacjęJak przetrwać kolejną transformację
Jak przetrwać kolejną transformację
 
Od Zera do Bohatera!
Od Zera do Bohatera!Od Zera do Bohatera!
Od Zera do Bohatera!
 
Human Factor Safety Decomposed
Human Factor Safety DecomposedHuman Factor Safety Decomposed
Human Factor Safety Decomposed
 
Rbst biznes view
Rbst biznes viewRbst biznes view
Rbst biznes view
 

Wyscig o czynnik ludzki

  • 1. Inicjatywa Kultury Bezpieczeństwa Artur Marek Maciąg Wyścig o czynnik ludzki w cyberbezpieczenstwie. Kto jest na jakiej pozycji?
  • 2. Inicjatywa Kultury Bezpieczeństwa Misja: aktualizacja nawyków związanych z konsumpcją informacji Aktywność: #RazemPrzeciwkoInfekcji #ProjektFeniks #DekalogLudziITechnologii #BezpieczeństwoBardziejOsobiste #PechowaDwunastka #OBezpieczeństwieDoPorannejKawy https://sci-ikb.blogspot.com
  • 5. vs
  • 6. PODSTAWOWE NARZĘDZIE I CZŁOWIEK WIEKCZŁO
  • 7. UKIERUNKOWANY CZY OPORTUNISTYCZNY?ATAK OBSERWACJA SŁABOŚCI DOSTOSOWANIE NARZĘDZI ZASTAWIENIE PUŁAPKI URUCHOMIENIE PUŁAPKI ADAPTACJA DO ŚRODOWISKA PRZEJĘCIE KONTROLI PRZYGOTOWANIA WYKORZYSTANIE KONTRLI OBSERWACJA SŁABOŚCI DOSTOSOWANIE NARZĘDZI DOSTARCZENIE PUŁAPKI URUCHOMIENIE PUŁAPKI ADAPTACJA DO ŚRODOWISKA PRZEJĘCIE KONTROLI WYKORZYSTANIE KONTROLI UKIERUNKOWANY (APT) OPORTUNISTYCZNY
  • 10. COKOLWIEK ROBISZ DLA DOBRA Primum non nocere… … NO EVIL! 🙉🙈🙊
  • 11. Iwazaru - “Speak no evil” dostępność hasła🙊
  • 12. GENERACJE HASEŁ GEN TYP PROSTE ZŁOŻONE WYSIŁEK ZAPAMIĘTANIA WYSIŁEK UŻYCIA I SEKWENCYJNE PIN (1234) KOLEJNE KLAWISZE (QWERTY) ŁATWE TRYWIALNE II KONTEKSTOWE DATA (5/10/90) UPRAWNIENIE (ADMINISTRATOR) ŚREDNI ŁATWE III LOSOWE JEDNORAZOWE (105 374) SPEŁNIAJĄCE KRYTERIA (K80A^3!#p) BARDZO TRUDNE BARDZO TRUDNE IV SCHEMATYCZNE PODSTAWIENIA (PASS->1455) PODSTAWIENIE I KRYTERIA (STRONGPASSWORD &7R0NGP455worD) WYZWANIE TRUDNE V DŁUGIE ZDANIE PIN WIZUALNY (1397) WYRAŻENIE HASŁOWE* (czas na druga kawe) ŚREDNI ŁATWE DICEWARE generator wyrażeń hasłowych, dla zapamiętania do wyników trzeba dorobić “opowieść”
  • 13. HASŁA I PAMIĘĆ SENSORYCZNA KRÓTKO - TERMINOWA (STM) DŁUGO-TERMINOWA (LTM) SEMANTYCZNA EPIZODYCZNA ROBOCZA pisanie, przesuwanie palca po ekranie < 1 sec < 1 min jednorazowe gen: I i IV sekwencje I schematy Gen: II i V kontekst, długie zdania gen III losowa Generacja III haseł wymaga dużego wysiłku przy zapamiętywaniu, w tym: • Tych samych wrażeń sensorycznych (np. ta sama klawiatura) • Na początku intensywnych powtórzeń w celu transferu z STM do LTM • Później codziennego (częstego) używania dla utrzymania użyteczności Z czasem takie hasło jest używane poprzez mechanizm automatyczny minuty lata NIE ZMIENIAJ HASŁA W PIĄTEK POD KONIEC DNIA !😎
  • 15. TWOJE HASLO NIE MA ZNACZENIA? https://techcommunity.microsoft.com/t5/Azure-Active-Directory- Identity/Your-Pa-word-doesn-t-matter/ba-p/731984 Co? Kiedy (Azure)? Jak? człowiek? automat? Dlaczego? Czy haslo ma znaczenie? Dostęp do informacji (local disvovery) Gdy dostępne bez uwierzytelnienia Fizycznie dostępne notesy, śmieci. Zasoby sieciowe bez uwierzytelnienia. Informacje w kodzie, skryptach. Zapisane hasła w notatkach, skryptach, plikach, utrzymywanie kont bez nadzoru. Nie - odnalezione Użycie znanego hasła (credential stuffing) ponad 20 milionow atakow dziennie zakup wykradzionych haseł, użycie znanych haseł 62% użytkowników ponownie używa hasła Nie - już znane Ślepy strzał (password spray) Ponad 16 %, milionów prób, setki tysięcy trafień dziennie Podawanie kilku popularnych haseł do milionów kont. Powoli i bez zwracania uwagi. Stosowanie popularnych haseł, powtarzanie haseł. Nie - już znane Na siłę (brute force) Gdy dostepne bazy z zaszyfrowanymi hasłami lub hashami, rzadko w Azure Użycie dużej mocy obliczeniowej do kryptoanalizy używając znanych narzędzi I usług Słabe kontrole, możliwość dostępu do bazy hashy haseł, postęp kryptoanalizy I mocy obliczeniowej Może - wpływa na czas łamania Szantaż (extortion) W filmach i w phishingu Bezpośredni kontakt, szantaż (kompromitujące materiały, pomoc technika), brutalność Uległość, brak wiedzy, brak konsultacji z zaufanym specjalistą Nie - przekazane Wykradanie hasła (phishing) ok. 0.5% wszystkich przychodzacych maili do outlook.com Pretekst i obetnice, fałszywe strony Ignorowanie symptomów, uleganie emocjom Nie - przekazane Szpiegowanie (keystroke logging) Tylko po skutecznej infekcji Złosliwe oprogramowanie zainstalowane przez link, stronę, załacznik, darmowe oprogramowanie, pirackie pliki praca na koncie administratora, klikanie w linki, brak ochrony przed złosliwym oprogramowaniem Nie - przechwycone
  • 16. TWOJE HASLO NIE MA ZNACZENIA? popularne hasła powtarzane hasła zapisywane hasła brak wskazówek/SSO brak Anti Malware/MFA brak procedur reakcji brak wywiadu i kontroli https://techcommunity.microsoft.com/t5/Azure-Active-Directory- Identity/Your-Pa-word-doesn-t-matter/ba-p/731984 przestępcy twój niski wysoki niskiwysoki tutaj potrzeba człowieka tutaj działają automaty wysiłek Dostęp do informacji (local disvovery) Użycie znanego hasła (credential stuffing) Ślepy strzał (password spray) Na siłę (brute force) Szantaż (extortion) Wykradanie hasła (phishing) Szpiegowanie (keystroke logging) Polityka haseł vs techniki przestępców
  • 17. JAK ŻYĆ Z HASŁAMI, ALBO BEZ? BANKI HASEŁ KRYPTOGRAFIA https://www.w3.org/TR/webauthn/
  • 18. Mizaru - “See no evil” poufność 🙈 szyfrowanie
  • 19. SZYFROGRAM, SZYFR I KLUCZ INFORMACJA(de)SZYFR KLUCZ SZYFROGRAM certyfikat JAWNE TAJNE ATAKI SZYFR X.509 SYMETRYCZNY ASYMETRYCZNY PKC (certyfikaty kluczy publicznych) X.509: PKI (PKCS7, TLS, OCSP, PKCS12) SSL/TLS (SMTP, POP, IMAP, LDAP, XMPP) S/MIME EAP-TLS IPSEC TOFU (zaufaj przy pierwszym użyciu): SSH HPKP (http public key pinning) HSTS (http strict transport security) Szyfrowanie danych • w spoczynku • w transporcie ? PGP (pretty good privacy) ?  BEAST  CRIME  TIME  BREACH  Lucky 13  POODLE  FREAK  Logjam  DROWN  SLOTH  Sweet32 DYSTRYBUCJA KRYPTOGRAFIA KWANTOWA
  • 20. ZAUFANIE PRZEZ SZYFROWANIE POFUNOŚĆ + INTEGRALNOŚĆ + IDENTYFIKACJA = ZAUFANIE POFUNOŚĆ + INTEGRALNOŚĆ - IDENTYFIKACJA ≠ ZAUFANIE ACME
  • 21. AUTOMATYZACJA SZYFROWANIA W LOCIE Automatic Certificate Management Environment (ACME)
  • 22. POZA RADAREM ACME hidden directory /.well-known/ NORSK HYDRO https://www.zscaler.com/blogs/research/abuse-hidden-well-known-directory-https-sites https://doublepulsar.com/how-lockergoga-took-down-hydro- ransomware-used-in-targeted-attacks-aimed-at-big-business- c666551f5880
  • 24. CO DAJE SZYFROWANIE I KOMU? tak L ludzie częściowo P procesy nie T technologie szyfrowanie natura Jak (biznes)? Jak (przestępcy)? wspoczynku wtransporcie człowiek automat unikaniewykrycia kradzież/przechwycenie atakipowtórzenia phishing,impersonacja,fałszerstwa wodopój generacjafałszywych komponentów wymuszenieinstalacjikomponentu doMITM(człowiekwśrodku) trojanizacja (złośliweusługijakoczęść legalnych) fraudy(słupy,typuBEC) nadużycieaktualizacji ransomware(odmowadostępu) klucz szyfrowanie danych poufność danych, compliance PT LPT kontrola dostępu dostęp do danych tenanta w chmurze, zdalny dostęp (SSH/VPN/…) LPT LPT T LP PT LP LPT certyfikat szyfrowanie danych ochrona przed podsłuchem PT LT T LP T LPT LPT kontrola dostępu 802.X (NAC), uwierzytelnienie certyfikatem klienta PT LT T LP PT PT LP LPT LPT PT identyfikacja strony www identyfikacja serwisów, usług i źródła zasobów LPT LPT LPT LPT PT PT LP LPT T identyfikacja użytkownika podpis cyfrowy, rozliczalność, User Behavior Analysis LPT LPT LPT LPT PT LP T PT podpisywanie kodu certyfikacja aplikacji, identyifkacja dostawcy kodu, integralność kodu P PT LT LPT LP PT
  • 25. Kikazaru - “Hear no evil” integralność zgodność🙉
  • 26. APETYT NA RYZYKO ISO 27005: „Ryzyko to zagrożenia wykorzystujące podatności zasobów w celu wytworzenia strat organizacji” https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017 Zasób (Podatności, Kontrole), Zagrożenie (Profil Agenta Zagrożenia, Prawdopodobieństwo) oraz Wpływ WŁAŚCICIEL ŚRODKI ZARADCZE PODATNOŚCI RYZYKA ZASOBYZAGROŻENIA AGENCI ZAGROŻENIA WEKTORY ATAKU wartość dąży do minimalizacji redukują mogą posiadać mogą być redukowane przez wiodą do które zwiększają dla które wykorzystują którzy chcą nadużyć lub uszkodzić używają powodują wzrost oparte o grupy może być swiadomy nakłada
  • 27. KRÓTKA ŚCIEŻKA DO CELU https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
  • 28. Z GŁOWĄ W CHMURĘ? https://cloudsecurityalliance.org/guidance/#_overview Don’t bring bad habits!
  • 29. RYZYKA W CHMURZE Istotnośćryzyka Ryzyko Odpowiedzialność za bezpieczeństwo Architektura Modelusługi chmurowej Kradzież tożsamości Modyfikacja danych Rozliczalność Ujawnienie informacji Odmowausługi Eskalacja uprawnień Klient Dostawca Dzielona Infra Meta Info Appli SaaS PaaS IaaS 1Wyciek danych x x x x x x x x I 2 Błąd konfiguracji i niewłaściwe zarządzanie zmianą x x x x x x x x T R I D 3 Brak strategii i archtektury bezpieczeństwa w chmurze x x x x S T R I D E 4 Niewystarczające zarządzanie tożsamością, dostępem, kluczami i poświadczeniami. x x x x S T R I D E 5Kradzież kont x x x x x x x x S T R I D E 6Sabotaż/nieuczciwy pracownik x x x x x S T I E 7Niezabezpieczone interfejsy i API x x x x x x x T R I E 8Słaba płaszczyzna kontrolna x x x x x T I E 9Błędy na poziomie struktury meta i appli x x x x x S T R I D E 10Ograniczona znajomość użycia chmury x x x x x x x x S T R I D E 11 Nadużycie i złośliwe użycie usług chmurowych x x x x x x x x S T R I D E
  • 30. MASZ ZŁOŚLIWĄ WIADOMOŚĆ! SMTP – wysyłamy listy
  • 31. ZGODNOŚĆ I MAILE… DNS SERWER POCZTY PRZYCHODZĄCEJ MX DKIM DMARC SPF – SPRAWDZA UPRAWNIENIA WYSYŁAJĄCEGO DKIM – SPRAWDZA TOŻSAMOŚĆ WYSYŁAJĄCEGO SPRAWDZA WYTYCZNE NADAWCY CO DO BŁĘDÓW UPRAWNIEŃ I TOŻSAMOŚCI TO MECHANIZM POLITYKI A NIE KONTROLI ODPOWIEDNIK POLITYKI BEZPIECZEŃSTWA INFORMACJI DLA KOMUNIKACJI E-MAIL
  • 37. WIEMY CO ROBIĆ… TYLKO TEGO NIE ROBIMY ŚWIADOMOŚĆ ZACHOWANIE CZYNNIKI WPŁYWU
  • 38. WYTRYCHY: ŚWIADOMOŚĆ Cyber Efekt Dunninga-Krugera pewność siebie vs kompetencja to, co faktycznie wiesz uświadomiony brak wiedzy Uważasz, że jesteś bezpieczny* Myślisz, że już wiesz, jednak nadal nie wiesz, czego nie jesteś świadom* Myślisz, że jesteś bezpieczny* Ale nie wiesz, czego nie jesteś świadom* Uświadamiasz sobie swoją słabość Dowiadujesz się, czego nie byłeś świadom* Audyt zewnętrzny, ocena, próba, ćwiczenie świadomości, cyber incydent Wiesz, czego potrzebujesz by czuć się bezpiecznie Teraz wiesz co musisz wiedzieć, aby ograniczyć przyszły wpływ na Ciebie, wynikający z tego, czego jeszcze nie wiesz.
  • 39. WYTRYCHY: ZACHOWANIE WWW.BehaviorModel.org możliwości motywacja trudne łatwe niskawysoka tutaj działa tutaj nie działa B=map motivation (motywacja) avibilty (możliwości) prompt (wyzwalacz) at this same time (jednocześnie) „GŁUPI UŻYTKOWNIK” • I TAK NIE DASZ RADY • MIMO TEGO ŻE JESTEŚ • SPECJALISTĄ W TYM CO ROBISZ „POZOSTAWIONY SOBIE” • NIE KLIKAJ • KAŻDE HASŁO UNIKALNE I TRUDNE • JAK NIE KUPIMY - TO WŁAMANIE • JAK NIE ZROBISZ - TO KARA „SZKOLENIA Z BEZPIECZEŃSTWA” TEN PUNKT PORUSZA SIĘ BLISKO OSI STRACH-NUDA (MOTYWACJA) NIE WIEM JAK-TRYWIALNE WIĘC NIE MUSZĘ (MOŻLIWOŚCI) „INŻYNIERIA SPOŁECZNA”: TEN PUNKT PORUSZA SIĘ PO LINI DZIAŁANIA, OPTYMALIZUJĄC KOSZTY I DOSTARCZAJĄC DAWKĘ MOTYWACJI PRZY POZIOMIE MOŻLIWOŚCI I ATRAKCYJNYM WYZWALACZU. STOSOWANA PRZY: • DECYZJE ZAKUPOWE • TECHNIKI ZARZĄDZANIA WYDAJNOŚCIĄ • WYWIADY • PHISHING I PHARMING • SPEAR PHISHING (OGONY) Model zachowania BJ Fogga
  • 40. WYTRYCHY: CZYNNIKI#pechowa12 nawyki presja brak współpracy brak asertywności brak komunikacji brak świadomości Nowe kontrole:  Stosuj listy kontrolne  Pytaj  Kwestionuj  Potwierdź wątpliwości  Nie próbuj (wiedz co robić)  Bądź na bieżąco  Testuj innych  Zmień perspektywę  Miej plan  Nie akceptuj jeśli się nie zgadzasz  Rób co należy, a nie co łatwiejsze  Skorzystaj z komentarzy  Rób przerwy  Nie łam własnych zasad  Dbaj o siebie Pechowa 12 błędów ludzkich
  • 42. PRAKTYKA CZYNI MISTRZA DEKALOG BEZPIECZEŃSTWA LUDZI Z TECHNOLOGIĄ SZACUNEK PRYWATNOŚĆ ROZWAGA ASERTYWNOŚĆ WZÓR POZNAJ OCHROŃ WYKRYJ REAGUJ ODZYSKAJ CODZIENNIE POKONUJ MAŁE WYZWANIA BY WZMONIĆ SWOJĄ POSTAWĘ