SlideShare una empresa de Scribd logo

Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników

Descargar como PPTX, PDF
S
studenckifestiwalinformatyczny

Według danych instytucji rejestrujących incydenty bezpieczeństwa w ubiegłym roku tysiące ludzi stało się ofiarą przestępców komputerowych, tracąc pieniądze przez nieostrożne używanie Internetu do wykonywania operacji na kontach bankowych i kartach kredytowych. Na komputerach wielu firm i osób prywatnych zainstalowane zostały niebezpieczne aplikacje (Bot, Spyware, Trojan, itd.), pozwalające intruzom na kontrolowanie działań użytkowników i osiąganie nielegalnych korzyści finansowych. Dzieje się tak dlatego, że użytkownicy i ich systemy zabezpieczeń nie są przygotowane na obsługę nowej kategorii zagrożeń – ataków ukierunkowanych na klienta (tzw. Client-side Hacking), wykorzystujących ich brak ostrożności oraz błędy oprogramowania użytkowego. W trakcie wystąpienia zaprezentowane zostaną techniki włamań typu Client-side Hacking, dla których powszechnie stosowane zabezpieczenia są mało skuteczne (m.in. Social Phishing, Spear Phishing, Watering Hole), a także ich analiza pod kątem ustalania przyczyn naruszenia bezpieczeństwa oraz znalezienia skutecznych metod ochrony. W wielu przypadkach świadomość zagrożeń i stosowanie przez ludzi dobrych praktyk pozwala na uniknięcie sytuacji, gdzie użytkownicy i firmy w których pracują stają się ofiarą przestępców komputerowych.

1 de 25
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl © 2013 CLICO Sp. z o.o. 2007
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników Plan wystąpienia • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Koncepcja budowy i funkcjonowania Botnet C&C Infekcja komputerów za pomocą różnych technik Drive-by Download © 2013 CLICO P2P, IM, email C&C regularnie zmienia oprogramowanie i konfigurację Bot-ów Komunikacja zainfekowanych komputerów (Bot-ów) z C&C jest zaszyfrowana
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Koncepcja włamania metodą Drive-by Download © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Koncepcja włamania poprzez portale społecznościowe Przykład: Koobface 1. Ludzie otrzymują wiadomości od znajomych z portali społecznościowych zawierające link do „ciekawej” strony Web. 2. Po wejściu na stronę Web wyświetlana jest informacja o konieczności aktualizacji Adobe Flash Player. W rzeczywistości instaluje się malware. © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Botnet rozwijane za pomocą różnych, zaawansowanych technik: o Backdooring - złośliwy program "doklejony" do innej aplikacji, dystrybuowany za pomocą serwerów Web, Email, P2P, IM, itp. o Spear Phishing - ataki socjotechniczne na określoną organizację lub grupę docelową, zwykle połączone z dystrybucją złośliwych programów (Backdooring) i atakami Drive-by Download. o Watering Hole – ataki prowadzone z przejętych przez przestępców zaufanych serwisów Web, z których korzysta określona organizacja lub grupa docelowa. © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Antywirus posiada ograniczone możliwości ochrony przed kodem typu Exploit © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Antywirus posiada ograniczone możliwości ochrony przed kodem typu Trojan i Bot © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Duża aktywność przestępców w serwisach społecznościowych (Social Phishing) © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Duża aktywność przestępców w serwisach społecznościowych (Social Phishing) Źródło: Dimensional Research, "The risk of social engineering on information security", 2011. © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Mobile Botnet - Botnet złożony z urządzeń mobilnych (smartfony, tablety) 2009 - pierwsze Botnety urządzeń mobilnych 2012 – pierwszy Botnet o rozmiarze 500 000 urządzeń mobilnych © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Mobile Botnet - Botnet złożony z urządzeń mobilnych (smartfony, tablety) o Przejmując kontrolę nad firmowym smartfonem przestępca uzyskuje analogiczne możliwości jak w przypadku komputera oraz wiele dodatkowych korzyści, m.in.:   śledzenie lokalizacji właściciela urządzenia,  obraz z aparatu fotograficznego i kamery,  © 2013 CLICO podsłuch rozmów telefonicznych i SMS,  o zyski z wysyłania kosztowych SMS, podsłuch otoczenia przez funkcję dyktafonu. Szczególnie przejęcie kontroli nad smartfonami osób zajmujących ważne stanowiska może przynieść przestępcom ogromne zyski.
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Stosowane zabezpieczenia chronią przed historycznymi zagrożeniami Co to jest nowe zagrożenie? To metody i narzędzia opracowane w celu obchodzenia stosowanych zabezpieczeń i naruszenia bezpieczeństwa. Co to jest nowy rodzaj zabezpieczeń? To metody i narzędzia opracowane w celu przeciwdziałania nowym zagrożeniom. Kiedy nowe zagrożenia i zabezpieczenia wchodzą do użytku? • Nowe zagrożenie bardzo szybko staje się współczesnym zagrożeniem. • Nowe rodzaje zabezpieczeń bardzo wolno wchodzą do użycia. Wiele firm używa zabezpieczeń, które chronią tylko przed historycznymi zagrożeniami. © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wraz z rozwojem zagrożeń zostały opracowane nowe zabezpieczenia Next-Generation Firewall (NGFW). Główne cechy NGFW:  Firewall kontroluje aplikacje (np. P2P, Tor, Gmail, Facebook), a nie tylko numery portów.  Firewall realizuje funkcje IPS.  Firewall kontroluje aplikacje wykorzystujące tunelowanie, szyfrowanie (SSL), itp.  Firewall korzysta z źródeł zewnętrznych (np. integracja z AD) w celu identyfikacji użytkowników. © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Web Application Firewall (WAF) Główne cechy WAF:  Specjalizowane zabezpieczenia do ochrony aplikacji Web.  System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu chronionej aplikacji Web.  Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji/serwisu Web. © 2013 CLICO  Struktura  URLe  Parametry  Cookie …
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Dynamic Threat Analysis System (DTAS) Główne cechy DTAS:  Sandboxing - uruchomienie i analiza kodu w środowisku symulującym rzeczywisty komputer użytkownika  Analiza działania kodu i identyfikacja niebezpiecznych zachowań, np.: o połączenia sieciowe i protokoły C&C, o zmiany plików systemowych i wpisów w rejestrach, o pobieranie innego kodu z sieci, itp. © 2013 CLICO SENDBOX
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Problemy ochrony pracowników przed zagrożeniami ze strony przestępów komputerowych 1. Brak zrozumienia i akceptacji działań IT przez pracowników i kadrę zarządzającą. 2. Wykonywane przez działy IT szkolenia pracowników z tematyki „Security Awareness” zwykle są mało profesjonalnie. 3. Specjalistyczne szkolenia „Security Awareness” w formie stacjonarnej są trudne w organizacji: • wymagają oderwania od obowiązków służbowych i zebrania w tym samym miejscu i czasie dużej liczby pracowników, • koszt szkoleń stacjonarnego dla dużej liczby pracowników i regularnej aktualizacji ich wiedzy jest bardzo wysoki. 4. Szkolenia e-learning są mało efektywne, ponieważ pracownicy nie mają motywacji do samodzielnego przyswojenia wiedzy i umiejętności w tym zakresie. 5. Szkolenia „Security Awareness” nie przynoszą oczekiwanych efektów – ludzie odbyli szkolenia, ale dalej zachowują się nieostrożnie. © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników PROGRAM / PROCES • Szkolenia • Kampania informacyjna: o ostrzeżenia o wiadomości o broszury, itp. • Ocena wiedzy - testy, quizy, itp. • Ocena zachowania – testy socjotechniczne, itp. STAN • Wiedza nt. zagrożeń i bezpieczeństwa • Zrozumienie potrzeby dbałości o bezpieczeństwo • Świadomość zagrożeń i obowiązku ochrony informacji • Zachowanie ostrożności i dbałości o bezpieczeństwo • Umiejętności praktyczne stosowania zasad bezpieczeństwa • Umiejętności praktyczne rozpoznawania zagrożeń • Motywowanie przez kadrę zarządzającą • • Kontrola przez zabezpieczenia techniczne Odporność na manipulacje i inne socjotechniki • Motywacja do doskonalenia wiedzy i umiejętności © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników 1. Ochrona przed technikami hackingu ukierunkowanymi na użytkowników możliwa jest przez połączenie odpowiednich środków technicznych i organizacyjnych w ramach tzw. programu „Security Awareness”. 2. Kluczową rolę w programie „Security Awareness” odgrywają profesjonalne szkolenia oraz zabezpieczenia techniczne służące do egzekwowania na pracownikach stosowania polityki bezpieczeństwa oraz kontroli zachowania - przede wszystkim ograniczenie dostępu do niebezpiecznych zasobów Internetu. 3. Wdrożenie programu „Security Awareness” w praktyce wymaga współpracy, akceptacji i zrozumienia pomiędzy różnymi jednostkami organizacyjnymi firmy i koordynacji ze strony Zarządu. © 2013 CLICO
M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników Polecam sprawdzić swoją wiedzę  • QUIZ http://www.bezpiecznypracownik.pl/prawdy-i-mity.html • TEST http://www.bezpiecznypracownik.pl/porady-ekspertow.html © 2013 CLICO

Recomendados

Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaiLinux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaianshkhurana01
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychstudenckifestiwalinformatyczny
 

Recomendados

Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWNarzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWW
Narzędzia do zautomatyzowanego testowania bezpieczeństwa aplikacji WWWLogicaltrust pl
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?Jak tworzyć bezpieczne aplikacje?
Jak tworzyć bezpieczne aplikacje?SecuRing
 
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...
Wyzwania dla bezpieczeństwa związane z nowymi technologiami w aplikacjach ban...SecuRing
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaZagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzykaSecuRing
 
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaiLinux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaianshkhurana01
 
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychPodatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowych
Podatności, incydenty oraz praktyczne możliwości ochrony środowisk bazodanowychstudenckifestiwalinformatyczny
 
Websphere application-server-training-course-navi-mumbai-websphere-applicatio...
Websphere application-server-training-course-navi-mumbai-websphere-applicatio...Websphere application-server-training-course-navi-mumbai-websphere-applicatio...
Websphere application-server-training-course-navi-mumbai-websphere-applicatio...anshkhurana01
 
1.
1. 1.
1. studenckifestiwalinformatyczny
 
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...anshkhurana01
 
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbai
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbaiSas training-course-navi-mumbai-sas-course-provider-navi-mumbai
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbaianshkhurana01
 
Robotics
RoboticsRobotics
RoboticsBiswajit Khuntia
 
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaiLinux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaianshkhurana01
 
Jenis kegiatan kpm
Jenis kegiatan kpmJenis kegiatan kpm
Jenis kegiatan kpm07091977
 
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbai
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbaiSiebel training-course-navi-mumbai-siebel-course-provider-navi-mumbai
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbaianshkhurana01
 
Materi inti iv jan-2013
Materi inti iv jan-2013Materi inti iv jan-2013
Materi inti iv jan-2013Zufar Hilmy Pratyaksa
 
Materi inti i jan 2013
Materi inti i jan 2013Materi inti i jan 2013
Materi inti i jan 2013Zufar Hilmy Pratyaksa
 
Materi dasar rev-15 feb-2013
Materi dasar rev-15 feb-2013Materi dasar rev-15 feb-2013
Materi dasar rev-15 feb-2013Zufar Hilmy Pratyaksa
 
Weather disturbance
Weather disturbanceWeather disturbance
Weather disturbanceMaricris_Usita
 
Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
Krótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiKrótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiArtur Marek Maciąg
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychMichał Olczak
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)Wydział ds. eZdrowia, Departament Polityki Zdrowotnej, Urząd Marszałkowski w Łodzi
 

Más contenido relacionado

Destacado

Websphere application-server-training-course-navi-mumbai-websphere-applicatio...
Websphere application-server-training-course-navi-mumbai-websphere-applicatio...Websphere application-server-training-course-navi-mumbai-websphere-applicatio...
Websphere application-server-training-course-navi-mumbai-websphere-applicatio...anshkhurana01
 
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...anshkhurana01
 
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbai
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbaiSas training-course-navi-mumbai-sas-course-provider-navi-mumbai
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbaianshkhurana01
 
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaiLinux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaianshkhurana01
 
Jenis kegiatan kpm
Jenis kegiatan kpmJenis kegiatan kpm
Jenis kegiatan kpm07091977
 
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbai
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbaiSiebel training-course-navi-mumbai-siebel-course-provider-navi-mumbai
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbaianshkhurana01
 

Destacado (12)

Websphere application-server-training-course-navi-mumbai-websphere-applicatio...
Websphere application-server-training-course-navi-mumbai-websphere-applicatio...Websphere application-server-training-course-navi-mumbai-websphere-applicatio...
Websphere application-server-training-course-navi-mumbai-websphere-applicatio...
 
1.
1. 1.
1.
 
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...
Shell scripting-training-course-navi-mumbai-shell-scripting-course-provider-n...
 
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbai
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbaiSas training-course-navi-mumbai-sas-course-provider-navi-mumbai
Sas training-course-navi-mumbai-sas-course-provider-navi-mumbai
 
Robotics
RoboticsRobotics
Robotics
 
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbaiLinux training-course-navi-mumbai-linux-course-provider-navi-mumbai
Linux training-course-navi-mumbai-linux-course-provider-navi-mumbai
 
Jenis kegiatan kpm
Jenis kegiatan kpmJenis kegiatan kpm
Jenis kegiatan kpm
 
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbai
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbaiSiebel training-course-navi-mumbai-siebel-course-provider-navi-mumbai
Siebel training-course-navi-mumbai-siebel-course-provider-navi-mumbai
 
Materi inti iv jan-2013
Materi inti iv jan-2013Materi inti iv jan-2013
Materi inti iv jan-2013
 
Materi inti i jan 2013
Materi inti i jan 2013Materi inti i jan 2013
Materi inti i jan 2013
 
Materi dasar rev-15 feb-2013
Materi dasar rev-15 feb-2013Materi dasar rev-15 feb-2013
Materi dasar rev-15 feb-2013
 
Weather disturbance
Weather disturbanceWeather disturbance
Weather disturbance
 

Similar a Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników

Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecieDorota Ręba
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PROIDEA
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT Vavatech
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVavatech
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieKarol Chwastowski
 
Krótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiKrótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiArtur Marek Maciąg
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychMichał Olczak
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPROIDEA
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychAntoni Orfin
 
Mobile App Test Strategy
Mobile App Test StrategyMobile App Test Strategy
Mobile App Test Strategykraqa
 
20150521 ser protecto_r_final
20150521 ser protecto_r_final20150521 ser protecto_r_final
20150521 ser protecto_r_finalWit Jakuczun
 
Raport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmachRaport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmachD-Link Polska
 
Security Excellence Magazine
Security Excellence MagazineSecurity Excellence Magazine
Security Excellence MagazineAnna Kosmala
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Rafal
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Wojciech Boczoń
 
JDD 2017: Dług techniczny - skryty oprawca organizacji nie tylko technologic...
JDD 2017: Dług techniczny - skryty oprawca organizacji nie tylko technologic...JDD 2017: Dług techniczny - skryty oprawca organizacji nie tylko technologic...
JDD 2017: Dług techniczny - skryty oprawca organizacji nie tylko technologic...PROIDEA
 

Similar a Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników (20)

Szpiegowanie w internecie
Szpiegowanie w internecieSzpiegowanie w internecie
Szpiegowanie w internecie
 
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
PLNOG14: Analiza obecnych zagrożeń DDoS według najnowszego raportu bezpieczeń...
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
VAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo ITVAVATECH - Bezpieczeństwo IT
VAVATECH - Bezpieczeństwo IT
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
Krótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacjiKrótka historia bezpieczeństwa Twojej informacji
Krótka historia bezpieczeństwa Twojej informacji
 
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowychSystemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
Systemowe zabezpieczenie kanału elektronicznego w instytucjach finansowych
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
DLP (data leakage protection)
DLP (data leakage protection)DLP (data leakage protection)
DLP (data leakage protection)
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowychTestowanie poziomu bezpieczeństwa aplikacji internetowych
Testowanie poziomu bezpieczeństwa aplikacji internetowych
 
4
44
4
 
Mobile App Test Strategy
Mobile App Test StrategyMobile App Test Strategy
Mobile App Test Strategy
 
Prezentacja ze stażu - Technikum Nr 9 w Rzeszowie
Prezentacja ze stażu - Technikum Nr 9 w RzeszowiePrezentacja ze stażu - Technikum Nr 9 w Rzeszowie
Prezentacja ze stażu - Technikum Nr 9 w Rzeszowie
 
20150521 ser protecto_r_final
20150521 ser protecto_r_final20150521 ser protecto_r_final
20150521 ser protecto_r_final
 
Raport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmachRaport Bezpieczenstwo IT w polskich firmach
Raport Bezpieczenstwo IT w polskich firmach
 
Security Excellence Magazine
Security Excellence MagazineSecurity Excellence Magazine
Security Excellence Magazine
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009
 
JDD 2017: Dług techniczny - skryty oprawca organizacji nie tylko technologic...
JDD 2017: Dług techniczny - skryty oprawca organizacji nie tylko technologic...JDD 2017: Dług techniczny - skryty oprawca organizacji nie tylko technologic...
JDD 2017: Dług techniczny - skryty oprawca organizacji nie tylko technologic...
 

Más de studenckifestiwalinformatyczny

Más de studenckifestiwalinformatyczny (6)

TDD drogą do oświecenia w Scali
TDD drogą do oświecenia w ScaliTDD drogą do oświecenia w Scali
TDD drogą do oświecenia w Scali
 
Lekkie metodyki kontra duże projekty
Lekkie metodyki kontra duże projektyLekkie metodyki kontra duże projekty
Lekkie metodyki kontra duże projekty
 
Informatyka śledcza języczkiem u wagi Temidy
Informatyka śledcza języczkiem u wagi TemidyInformatyka śledcza języczkiem u wagi Temidy
Informatyka śledcza języczkiem u wagi Temidy
 
The Cyborg Experiments
The Cyborg ExperimentsThe Cyborg Experiments
The Cyborg Experiments
 
The Web in ABB, how we went Agile and why we love it
The Web in ABB, how we went Agile and why we love itThe Web in ABB, how we went Agile and why we love it
The Web in ABB, how we went Agile and why we love it
 
Przetwarzanie mowy polskiej
Przetwarzanie mowy polskiejPrzetwarzanie mowy polskiej
Przetwarzanie mowy polskiej
 

Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników

  • 1. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników dr inż. Mariusz Stawowski mariusz.stawowski@clico.pl © 2013 CLICO Sp. z o.o. 2007
  • 2. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników Plan wystąpienia • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
  • 3. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
  • 4. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Koncepcja budowy i funkcjonowania Botnet C&C Infekcja komputerów za pomocą różnych technik Drive-by Download © 2013 CLICO P2P, IM, email C&C regularnie zmienia oprogramowanie i konfigurację Bot-ów Komunikacja zainfekowanych komputerów (Bot-ów) z C&C jest zaszyfrowana
  • 5. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Koncepcja włamania metodą Drive-by Download © 2013 CLICO
  • 6. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Koncepcja włamania poprzez portale społecznościowe Przykład: Koobface 1. Ludzie otrzymują wiadomości od znajomych z portali społecznościowych zawierające link do „ciekawej” strony Web. 2. Po wejściu na stronę Web wyświetlana jest informacja o konieczności aktualizacji Adobe Flash Player. W rzeczywistości instaluje się malware. © 2013 CLICO
  • 7. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
  • 8. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Botnet rozwijane za pomocą różnych, zaawansowanych technik: o Backdooring - złośliwy program "doklejony" do innej aplikacji, dystrybuowany za pomocą serwerów Web, Email, P2P, IM, itp. o Spear Phishing - ataki socjotechniczne na określoną organizację lub grupę docelową, zwykle połączone z dystrybucją złośliwych programów (Backdooring) i atakami Drive-by Download. o Watering Hole – ataki prowadzone z przejętych przez przestępców zaufanych serwisów Web, z których korzysta określona organizacja lub grupa docelowa. © 2013 CLICO
  • 9. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Antywirus posiada ograniczone możliwości ochrony przed kodem typu Exploit © 2013 CLICO
  • 10. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Antywirus posiada ograniczone możliwości ochrony przed kodem typu Trojan i Bot © 2013 CLICO
  • 11. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Duża aktywność przestępców w serwisach społecznościowych (Social Phishing) © 2013 CLICO
  • 12. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Duża aktywność przestępców w serwisach społecznościowych (Social Phishing) Źródło: Dimensional Research, "The risk of social engineering on information security", 2011. © 2013 CLICO
  • 13. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Mobile Botnet - Botnet złożony z urządzeń mobilnych (smartfony, tablety) 2009 - pierwsze Botnety urządzeń mobilnych 2012 – pierwszy Botnet o rozmiarze 500 000 urządzeń mobilnych © 2013 CLICO
  • 14. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Mobile Botnet - Botnet złożony z urządzeń mobilnych (smartfony, tablety) o Przejmując kontrolę nad firmowym smartfonem przestępca uzyskuje analogiczne możliwości jak w przypadku komputera oraz wiele dodatkowych korzyści, m.in.:   śledzenie lokalizacji właściciela urządzenia,  obraz z aparatu fotograficznego i kamery,  © 2013 CLICO podsłuch rozmów telefonicznych i SMS,  o zyski z wysyłania kosztowych SMS, podsłuch otoczenia przez funkcję dyktafonu. Szczególnie przejęcie kontroli nad smartfonami osób zajmujących ważne stanowiska może przynieść przestępcom ogromne zyski.
  • 15. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
  • 16. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Stosowane zabezpieczenia chronią przed historycznymi zagrożeniami Co to jest nowe zagrożenie? To metody i narzędzia opracowane w celu obchodzenia stosowanych zabezpieczeń i naruszenia bezpieczeństwa. Co to jest nowy rodzaj zabezpieczeń? To metody i narzędzia opracowane w celu przeciwdziałania nowym zagrożeniom. Kiedy nowe zagrożenia i zabezpieczenia wchodzą do użytku? • Nowe zagrożenie bardzo szybko staje się współczesnym zagrożeniem. • Nowe rodzaje zabezpieczeń bardzo wolno wchodzą do użycia. Wiele firm używa zabezpieczeń, które chronią tylko przed historycznymi zagrożeniami. © 2013 CLICO
  • 17. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wraz z rozwojem zagrożeń zostały opracowane nowe zabezpieczenia Next-Generation Firewall (NGFW). Główne cechy NGFW:  Firewall kontroluje aplikacje (np. P2P, Tor, Gmail, Facebook), a nie tylko numery portów.  Firewall realizuje funkcje IPS.  Firewall kontroluje aplikacje wykorzystujące tunelowanie, szyfrowanie (SSL), itp.  Firewall korzysta z źródeł zewnętrznych (np. integracja z AD) w celu identyfikacji użytkowników. © 2013 CLICO
  • 18. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Web Application Firewall (WAF) Główne cechy WAF:  Specjalizowane zabezpieczenia do ochrony aplikacji Web.  System zabezpieczeń WAF bazuje w głównej mierze na automatycznie tworzonym i aktualizowanym profilu chronionej aplikacji Web.  Tworzenie profilu ma na celu niezależne odwzorowanie oczekiwanych, poprawnych zachowań użytkowników przy dostępie do aplikacji/serwisu Web. © 2013 CLICO  Struktura  URLe  Parametry  Cookie …
  • 19. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Dynamic Threat Analysis System (DTAS) Główne cechy DTAS:  Sandboxing - uruchomienie i analiza kodu w środowisku symulującym rzeczywisty komputer użytkownika  Analiza działania kodu i identyfikacja niebezpiecznych zachowań, np.: o połączenia sieciowe i protokoły C&C, o zmiany plików systemowych i wpisów w rejestrach, o pobieranie innego kodu z sieci, itp. © 2013 CLICO SENDBOX
  • 20. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
  • 21. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Problemy ochrony pracowników przed zagrożeniami ze strony przestępów komputerowych 1. Brak zrozumienia i akceptacji działań IT przez pracowników i kadrę zarządzającą. 2. Wykonywane przez działy IT szkolenia pracowników z tematyki „Security Awareness” zwykle są mało profesjonalnie. 3. Specjalistyczne szkolenia „Security Awareness” w formie stacjonarnej są trudne w organizacji: • wymagają oderwania od obowiązków służbowych i zebrania w tym samym miejscu i czasie dużej liczby pracowników, • koszt szkoleń stacjonarnego dla dużej liczby pracowników i regularnej aktualizacji ich wiedzy jest bardzo wysoki. 4. Szkolenia e-learning są mało efektywne, ponieważ pracownicy nie mają motywacji do samodzielnego przyswojenia wiedzy i umiejętności w tym zakresie. 5. Szkolenia „Security Awareness” nie przynoszą oczekiwanych efektów – ludzie odbyli szkolenia, ale dalej zachowują się nieostrożnie. © 2013 CLICO
  • 22. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników PROGRAM / PROCES • Szkolenia • Kampania informacyjna: o ostrzeżenia o wiadomości o broszury, itp. • Ocena wiedzy - testy, quizy, itp. • Ocena zachowania – testy socjotechniczne, itp. STAN • Wiedza nt. zagrożeń i bezpieczeństwa • Zrozumienie potrzeby dbałości o bezpieczeństwo • Świadomość zagrożeń i obowiązku ochrony informacji • Zachowanie ostrożności i dbałości o bezpieczeństwo • Umiejętności praktyczne stosowania zasad bezpieczeństwa • Umiejętności praktyczne rozpoznawania zagrożeń • Motywowanie przez kadrę zarządzającą • • Kontrola przez zabezpieczenia techniczne Odporność na manipulacje i inne socjotechniki • Motywacja do doskonalenia wiedzy i umiejętności © 2013 CLICO
  • 23. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników • Wprowadzenie • Krajobraz współczesnych zagrożeń • Techniczne środki ochrony użytkowników • Program „Security Awareness” • Podsumowanie © 2013 CLICO
  • 24. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników 1. Ochrona przed technikami hackingu ukierunkowanymi na użytkowników możliwa jest przez połączenie odpowiednich środków technicznych i organizacyjnych w ramach tzw. programu „Security Awareness”. 2. Kluczową rolę w programie „Security Awareness” odgrywają profesjonalne szkolenia oraz zabezpieczenia techniczne służące do egzekwowania na pracownikach stosowania polityki bezpieczeństwa oraz kontroli zachowania - przede wszystkim ograniczenie dostępu do niebezpiecznych zasobów Internetu. 3. Wdrożenie programu „Security Awareness” w praktyce wymaga współpracy, akceptacji i zrozumienia pomiędzy różnymi jednostkami organizacyjnymi firmy i koordynacji ze strony Zarządu. © 2013 CLICO
  • 25. M. Stawowski: Dobre i złe praktyki ochrony przed technikami hackingu ukierunkowanymi na użytkowników Polecam sprawdzić swoją wiedzę  • QUIZ http://www.bezpiecznypracownik.pl/prawdy-i-mity.html • TEST http://www.bezpiecznypracownik.pl/porady-ekspertow.html © 2013 CLICO