prezentacja na jubileuszowej konferencji POLCAAT2019 (IIA) na temat błędów poznawczych, różnicy pomiędzy postrezganiem triady i praktyk bezpieczeństwa informacji przez "bezpiecznikow" i regularnych użytkownikow sieci.
2. Inicjatywa Kultury Bezpieczeństwa
Misja:
aktualizacja nawyków związanych
z konsumpcją informacji
Aktywność:
#RazemPrzeciwkoInfekcji
#ProjektFeniks
#DekalogLudziITechnologii
#BezpieczeństwoBardziejOsobiste
#PechowaDwunastka
#OBezpieczeństwieDoPorannejKawy
https://sci-ikb.blogspot.com
7. UKIERUNKOWANY CZY
OPORTUNISTYCZNY?ATAK
OBSERWACJA SŁABOŚCI
DOSTOSOWANIE NARZĘDZI
ZASTAWIENIE PUŁAPKI
URUCHOMIENIE PUŁAPKI
ADAPTACJA DO ŚRODOWISKA
PRZEJĘCIE KONTROLI
PRZYGOTOWANIA
WYKORZYSTANIE KONTRLI
OBSERWACJA SŁABOŚCI
DOSTOSOWANIE NARZĘDZI
DOSTARCZENIE PUŁAPKI
URUCHOMIENIE PUŁAPKI
ADAPTACJA DO ŚRODOWISKA
PRZEJĘCIE KONTROLI
WYKORZYSTANIE KONTROLI
UKIERUNKOWANY (APT)
OPORTUNISTYCZNY
12. GENERACJE HASEŁ
GEN TYP PROSTE ZŁOŻONE WYSIŁEK
ZAPAMIĘTANIA
WYSIŁEK UŻYCIA
I SEKWENCYJNE PIN
(1234)
KOLEJNE KLAWISZE
(QWERTY)
ŁATWE TRYWIALNE
II KONTEKSTOWE DATA
(5/10/90)
UPRAWNIENIE
(ADMINISTRATOR)
ŚREDNI ŁATWE
III LOSOWE JEDNORAZOWE
(105 374)
SPEŁNIAJĄCE KRYTERIA
(K80A^3!#p)
BARDZO TRUDNE BARDZO TRUDNE
IV SCHEMATYCZNE PODSTAWIENIA
(PASS->1455)
PODSTAWIENIE I KRYTERIA
(STRONGPASSWORD
&7R0NGP455worD)
WYZWANIE TRUDNE
V DŁUGIE ZDANIE PIN WIZUALNY
(1397)
WYRAŻENIE HASŁOWE*
(czas na druga kawe)
ŚREDNI ŁATWE
DICEWARE generator wyrażeń hasłowych,
dla zapamiętania do wyników trzeba dorobić “opowieść”
13. HASŁA I PAMIĘĆ
SENSORYCZNA
KRÓTKO -
TERMINOWA
(STM)
DŁUGO-TERMINOWA
(LTM)
SEMANTYCZNA
EPIZODYCZNA
ROBOCZA
pisanie, przesuwanie
palca po ekranie
< 1 sec
< 1 min
jednorazowe
gen: I i IV
sekwencje I
schematy
Gen: II i V
kontekst,
długie
zdania
gen III
losowa
Generacja III haseł wymaga dużego wysiłku przy zapamiętywaniu, w tym:
• Tych samych wrażeń sensorycznych (np. ta sama klawiatura)
• Na początku intensywnych powtórzeń w celu transferu z STM do LTM
• Później codziennego (częstego) używania dla utrzymania użyteczności
Z czasem takie hasło jest używane poprzez mechanizm automatyczny
minuty
lata
NIE ZMIENIAJ HASŁA
W PIĄTEK POD KONIEC DNIA !😎
15. TWOJE HASLO NIE MA ZNACZENIA?
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-
Identity/Your-Pa-word-doesn-t-matter/ba-p/731984
Co? Kiedy (Azure)? Jak? człowiek? automat? Dlaczego?
Czy haslo ma
znaczenie?
Dostęp do informacji
(local disvovery)
Gdy dostępne bez
uwierzytelnienia
Fizycznie dostępne notesy, śmieci. Zasoby
sieciowe bez uwierzytelnienia. Informacje w
kodzie, skryptach.
Zapisane hasła w notatkach, skryptach,
plikach, utrzymywanie kont bez nadzoru.
Nie - odnalezione
Użycie znanego hasła
(credential stuffing)
ponad 20 milionow
atakow dziennie
zakup wykradzionych haseł, użycie znanych
haseł
62% użytkowników ponownie używa hasła Nie - już znane
Ślepy strzał
(password spray)
Ponad 16 %,
milionów prób, setki
tysięcy trafień
dziennie
Podawanie kilku popularnych haseł do
milionów kont. Powoli i bez zwracania uwagi.
Stosowanie popularnych haseł, powtarzanie
haseł.
Nie - już znane
Na siłę
(brute force)
Gdy dostepne bazy z
zaszyfrowanymi
hasłami lub hashami,
rzadko w Azure
Użycie dużej mocy obliczeniowej do
kryptoanalizy używając znanych narzędzi I usług
Słabe kontrole, możliwość dostępu do bazy
hashy haseł, postęp kryptoanalizy I mocy
obliczeniowej
Może - wpływa
na czas łamania
Szantaż
(extortion)
W filmach i w
phishingu
Bezpośredni kontakt, szantaż (kompromitujące
materiały, pomoc technika), brutalność
Uległość, brak wiedzy, brak konsultacji z
zaufanym specjalistą
Nie - przekazane
Wykradanie hasła
(phishing)
ok. 0.5% wszystkich
przychodzacych maili
do outlook.com
Pretekst i obetnice, fałszywe strony
Ignorowanie symptomów, uleganie
emocjom
Nie - przekazane
Szpiegowanie
(keystroke logging)
Tylko po skutecznej
infekcji
Złosliwe oprogramowanie zainstalowane przez
link, stronę, załacznik, darmowe
oprogramowanie, pirackie pliki
praca na koncie administratora, klikanie w
linki, brak ochrony przed złosliwym
oprogramowaniem
Nie -
przechwycone
16. TWOJE HASLO NIE MA ZNACZENIA?
popularne hasła
powtarzane hasła
zapisywane hasła
brak wskazówek/SSO
brak Anti Malware/MFA
brak procedur reakcji
brak wywiadu i kontroli
https://techcommunity.microsoft.com/t5/Azure-Active-Directory-
Identity/Your-Pa-word-doesn-t-matter/ba-p/731984
przestępcy
twój
niski wysoki
niskiwysoki
tutaj
potrzeba
człowieka
tutaj
działają
automaty
wysiłek
Dostęp do informacji
(local disvovery)
Użycie znanego hasła
(credential stuffing)
Ślepy strzał
(password spray)
Na siłę
(brute force)
Szantaż
(extortion)
Wykradanie hasła
(phishing)
Szpiegowanie
(keystroke logging)
Polityka haseł vs techniki przestępców
17. JAK ŻYĆ Z HASŁAMI, ALBO BEZ?
BANKI HASEŁ KRYPTOGRAFIA
https://www.w3.org/TR/webauthn/
24. CO DAJE SZYFROWANIE I KOMU?
tak L ludzie
częściowo P procesy
nie T technologie
szyfrowanie natura
Jak (biznes)?
Jak (przestępcy)?
wspoczynku
wtransporcie
człowiek
automat
unikaniewykrycia
kradzież/przechwycenie
atakipowtórzenia
phishing,impersonacja,fałszerstwa
wodopój
generacjafałszywych
komponentów
wymuszenieinstalacjikomponentu
doMITM(człowiekwśrodku)
trojanizacja
(złośliweusługijakoczęść
legalnych)
fraudy(słupy,typuBEC)
nadużycieaktualizacji
ransomware(odmowadostępu)
klucz
szyfrowanie danych
poufność danych, compliance
PT LPT
kontrola dostępu dostęp do danych tenanta w chmurze,
zdalny dostęp (SSH/VPN/…)
LPT LPT T LP PT LP LPT
certyfikat
szyfrowanie danych ochrona przed podsłuchem PT LT T LP T LPT LPT
kontrola dostępu
802.X (NAC), uwierzytelnienie
certyfikatem klienta
PT LT T LP PT PT LP LPT LPT PT
identyfikacja strony
www
identyfikacja serwisów, usług i źródła
zasobów
LPT LPT LPT LPT PT PT LP LPT T
identyfikacja
użytkownika
podpis cyfrowy, rozliczalność, User
Behavior Analysis
LPT LPT LPT LPT PT LP T PT
podpisywanie kodu certyfikacja aplikacji, identyifkacja
dostawcy kodu, integralność kodu
P PT LT LPT LP PT
26. APETYT NA RYZYKO
ISO 27005:
„Ryzyko to zagrożenia wykorzystujące podatności
zasobów w celu wytworzenia strat organizacji”
https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017
Zasób (Podatności, Kontrole),
Zagrożenie (Profil Agenta Zagrożenia, Prawdopodobieństwo) oraz
Wpływ
WŁAŚCICIEL
ŚRODKI ZARADCZE
PODATNOŚCI
RYZYKA
ZASOBYZAGROŻENIA
AGENCI
ZAGROŻENIA
WEKTORY
ATAKU
wartość
dąży do minimalizacji
redukują
mogą posiadać
mogą być
redukowane przez
wiodą do
które zwiększają
dla
które wykorzystują
którzy chcą nadużyć lub uszkodzić
używają
powodują
wzrost
oparte o grupy
może być swiadomy
nakłada
27. KRÓTKA ŚCIEŻKA DO CELU
https://enterprise.verizon.com/resources/reports/2019-data-breach-investigations-report.pdf
28. Z GŁOWĄ W CHMURĘ?
https://cloudsecurityalliance.org/guidance/#_overview
Don’t bring bad habits!
29. RYZYKA W CHMURZE
Istotnośćryzyka
Ryzyko
Odpowiedzialność
za bezpieczeństwo
Architektura
Modelusługi
chmurowej
Kradzież
tożsamości
Modyfikacja
danych
Rozliczalność
Ujawnienie
informacji
Odmowausługi
Eskalacja
uprawnień
Klient Dostawca Dzielona Infra Meta Info Appli SaaS PaaS IaaS
1Wyciek danych x x x x x x x x I
2
Błąd konfiguracji i niewłaściwe zarządzanie
zmianą
x x x x x x x x T R I D
3
Brak strategii i archtektury bezpieczeństwa
w chmurze
x x x x S T R I D E
4
Niewystarczające zarządzanie
tożsamością, dostępem, kluczami i
poświadczeniami.
x x x x S T R I D E
5Kradzież kont x x x x x x x x S T R I D E
6Sabotaż/nieuczciwy pracownik x x x x x S T I E
7Niezabezpieczone interfejsy i API x x x x x x x T R I E
8Słaba płaszczyzna kontrolna x x x x x T I E
9Błędy na poziomie struktury meta i appli x x x x x S T R I D E
10Ograniczona znajomość użycia chmury x x x x x x x x S T R I D E
11
Nadużycie i złośliwe użycie usług
chmurowych
x x x x x x x x S T R I D E
31. ZGODNOŚĆ I MAILE…
DNS SERWER POCZTY PRZYCHODZĄCEJ
MX
DKIM
DMARC
SPF – SPRAWDZA UPRAWNIENIA WYSYŁAJĄCEGO
DKIM – SPRAWDZA TOŻSAMOŚĆ WYSYŁAJĄCEGO
SPRAWDZA WYTYCZNE NADAWCY CO DO BŁĘDÓW
UPRAWNIEŃ I TOŻSAMOŚCI
TO MECHANIZM POLITYKI A NIE KONTROLI
ODPOWIEDNIK POLITYKI BEZPIECZEŃSTWA INFORMACJI
DLA KOMUNIKACJI E-MAIL
38. WYTRYCHY: ŚWIADOMOŚĆ
Cyber Efekt
Dunninga-Krugera
pewność siebie vs kompetencja
to, co faktycznie wiesz
uświadomiony brak wiedzy
Uważasz, że jesteś bezpieczny*
Myślisz, że już wiesz,
jednak nadal nie wiesz,
czego nie jesteś świadom*
Myślisz,
że jesteś bezpieczny*
Ale nie wiesz,
czego nie jesteś świadom*
Uświadamiasz sobie swoją słabość
Dowiadujesz się, czego nie byłeś świadom*
Audyt zewnętrzny, ocena, próba, ćwiczenie świadomości, cyber incydent
Wiesz, czego potrzebujesz
by czuć się bezpiecznie
Teraz wiesz co musisz wiedzieć,
aby ograniczyć przyszły wpływ na Ciebie,
wynikający z tego, czego jeszcze nie wiesz.
39. WYTRYCHY: ZACHOWANIE
WWW.BehaviorModel.org
możliwości
motywacja
trudne łatwe
niskawysoka
tutaj
działa
tutaj
nie działa
B=map
motivation (motywacja)
avibilty (możliwości)
prompt (wyzwalacz)
at this same time
(jednocześnie)
„GŁUPI UŻYTKOWNIK”
• I TAK NIE DASZ RADY
• MIMO TEGO ŻE JESTEŚ
• SPECJALISTĄ W TYM CO ROBISZ
„POZOSTAWIONY SOBIE”
• NIE KLIKAJ
• KAŻDE HASŁO UNIKALNE I TRUDNE
• JAK NIE KUPIMY - TO WŁAMANIE
• JAK NIE ZROBISZ - TO KARA
„SZKOLENIA Z BEZPIECZEŃSTWA”
TEN PUNKT PORUSZA SIĘ BLISKO OSI
STRACH-NUDA (MOTYWACJA)
NIE WIEM JAK-TRYWIALNE WIĘC
NIE MUSZĘ (MOŻLIWOŚCI)
„INŻYNIERIA SPOŁECZNA”:
TEN PUNKT PORUSZA SIĘ PO LINI DZIAŁANIA,
OPTYMALIZUJĄC KOSZTY I DOSTARCZAJĄC
DAWKĘ MOTYWACJI PRZY POZIOMIE MOŻLIWOŚCI
I ATRAKCYJNYM WYZWALACZU.
STOSOWANA PRZY:
• DECYZJE ZAKUPOWE
• TECHNIKI ZARZĄDZANIA WYDAJNOŚCIĄ
• WYWIADY
• PHISHING I PHARMING
• SPEAR PHISHING (OGONY)
Model zachowania
BJ Fogga
40. WYTRYCHY: CZYNNIKI#pechowa12
nawyki
presja
brak współpracy brak
asertywności
brak komunikacji
brak
świadomości
Nowe kontrole:
Stosuj listy kontrolne
Pytaj
Kwestionuj
Potwierdź wątpliwości
Nie próbuj (wiedz co robić)
Bądź na bieżąco
Testuj innych
Zmień perspektywę
Miej plan
Nie akceptuj jeśli się nie zgadzasz
Rób co należy, a nie co łatwiejsze
Skorzystaj z komentarzy
Rób przerwy
Nie łam własnych zasad
Dbaj o siebie
Pechowa 12 błędów ludzkich
42. PRAKTYKA CZYNI MISTRZA
DEKALOG BEZPIECZEŃSTWA
LUDZI Z TECHNOLOGIĄ
SZACUNEK PRYWATNOŚĆ ROZWAGA ASERTYWNOŚĆ WZÓR
POZNAJ OCHROŃ WYKRYJ REAGUJ ODZYSKAJ
CODZIENNIE POKONUJ MAŁE WYZWANIA BY WZMONIĆ SWOJĄ POSTAWĘ