DSS ITSEC 2013 Conference 07.11.2013 - Maris Gabalins Keynote
Upcoming SlideShare
Loading in...5
×
 

DSS ITSEC 2013 Conference 07.11.2013 - Maris Gabalins Keynote

on

  • 847 views

Presentation from one of the remarkable IT Security events in the Baltic States organized by “Data Security Solutions” (www.dss.lv ) Event took place in Riga, on 7th of November, 2013 and was ...

Presentation from one of the remarkable IT Security events in the Baltic States organized by “Data Security Solutions” (www.dss.lv ) Event took place in Riga, on 7th of November, 2013 and was visited by more than 400 participants at event place and more than 300 via online live streaming.

Statistics

Views

Total Views
847
Views on SlideShare
845
Embed Views
2

Actions

Likes
0
Downloads
5
Comments
0

2 Embeds 2

https://www.linkedin.com 1
https://twitter.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

DSS ITSEC 2013 Conference 07.11.2013 - Maris Gabalins Keynote DSS ITSEC 2013 Conference 07.11.2013 - Maris Gabalins Keynote Presentation Transcript

  • MEŢS AIZ KOKIEM, PĀRDOMAS PAR IT DROŠĪBU. 2013. gada 7.novembris
  • VĒSTURE 1982 .... 32 bit, 128-512kB RAM, 4x29Mb HDD, 25kW, raţo 1975-1982. Hakeris parastais .... www.theartofsystems.com Drošības politika .... Ja kāds kaut ko salauzīs – noķersim un salauzīsim kājas. 2013.g. 7. novembris 2
  • VĒSTURE .... 2013 • Hakeris (ja vien nestrādā valdībā) – noziedznieks. Ja atklāj valsts veiktus noziegumus – valsts nodevējs ? • Drošības politikas (vietām) ir, vai ir drošība ? • IT drošība ir kļuvusi par labi organizētu biznesu. Tiek pārdotas konsultācijas, pakalpojumi, iekārtas – (ASV 350 miljardi $ tirgus [1]). Bailes kā bizness ? • Starptautiskā organizēta kiber-noziedzība ir kļuvusi par realitāti. Cik mēs esam spējīgi (griboši un varoši) stāties tai pretī ? www.theartofsystems.com 2013.g. 7. novembris 3
  • TENDENCES DROŠĪBAS JOMĀ http://www.ika-rus.com/ www.theartofsystems.com 2013.g. 7. novembris 4
  • TENDENCES DROŠĪBAS JOMĀ [2] McAfee Threats Report: First Quarter 2013 www.theartofsystems.com 2013.g. 7. novembris 5
  • TENDENCES DROŠĪBAS JOMĀ www.theartofsystems.com 2013.g. 7. novembris 6
  • TENDENCES DROŠĪBAS JOMĀ • 14 miljoni jaunas signatūras kvartālā ... • 4.6 miljoni mēnesī ... • 155 t. dienā .... (2008. gadā bija 25t. dienā) Signatūra nav tikai ieraksts datu bāzē: • «Jānoķer» ... • Jāizanalizē .... • un tikai daļa var tikt veikta automātiski. www.theartofsystems.com 2013.g. 7. novembris 7
  • TENDENCES DROŠĪBAS JOMĀ www.theartofsystems.com 2013.g. 7. novembris 8
  • TENDENCES DROŠĪBAS JOMĀ • Ja kāds kontrolē Jūsu mobilā telefona OS – par cik drošu var uzskatīt informāciju SIM kartē ? • Cik droši ir izmantot telefona numuru, kā autentifikācijas mehānismu ? SMS no drauga ? Atrašanās vieta ? Sarunas ? Vai Jūs noklausās ? www.theartofsystems.com 2013.g. 7. novembris 9
  • ORGANIZĒTĀ KIBERNOZIEDZĪBA Ko tas īsti nozīmē? • Organizēta: klientam paredzamas izmaksas, izpildes garantijas, saprātīgas cenas un izpildītāju izvēles iespējas. Augsta izpildītāju specializācija. • Noziedzība: izmantojot metodes, kuras likuma paklausīgiem pilsoņiem un organizācijām ir liegtas. Pētījumu dati: • «Pay per install» 100-180$ par 1000 instalācijām. www.theartofsystems.com 2013.g. 7. novembris 10
  • ORGANIZĒTĀ KIBERNOZIEDZĪBA «Zero day» exploit cenas: [3] Forbes ţurnāla blogs Faktori kas ietekmē cenu: platformas popularitāte, drošība www.theartofsystems.com 2013.g. 7. novembris 11
  • DROŠĪBA UN NAUDA IZMAKSAS DROŠĪBA www.theartofsystems.com 2013.g. 7. novembris 12
  • DROŠĪBA UN NAUDA PRODUKTIVITĀTE DROŠĪBA www.theartofsystems.com 2013.g. 7. novembris 13
  • DROŠĪBA UN NAUDA IZMAKSAS Optimums? Drošības izmaksas Atlikusī risku vērtība DROŠĪBAS PASĀKUMI www.theartofsystems.com 2013.g. 7. novembris 14
  • DROŠĪBA UN NAUDA Drošības izmaksas IZMAKSAS Optimums2? Atlikusī risku vērtība DROŠĪBAS PASĀKUMI www.theartofsystems.com 2013.g. 7. novembris 15
  • DROŠĪBA UN NAUDA Tendences, kuras strādā pret mums: • Pieaugošie kiberdraudi. • Jaunas likumdošanas prasības. • Nepieciešamība nodrošināt lielāku produktivitāti. Valdību iesaistīšanās ? www.theartofsystems.com 2013.g. 7. novembris 16
  • DROŠĪBA UN VALSTS • Valsts loma – nodrošināt drošības infrastruktūru, atsevišķos gadījumos tieši iesaistoties risku samazināšanā / novēršanā. (katrs pats tik un tā atbildīgs par savu drošību) • Ko mainījušas Snovdena atklāsmes? [4] [5] Kopumā – ļoti daudz! • NSA var iekļūt (gandrīz?) visur! • NSA apzināti ietekmē standartu, protokolu un komerciālo produktu izstrādi ar mērķi samazināt to drošību. • Kiber-robeţu iespējamība. www.theartofsystems.com 2013.g. 7. novembris 17
  • DROŠĪBA UN VALSTS Nedaudz «NSA informācijas»: • Kompānijas, kuras ilgstoši sadarbojas ar NSA (minētas Snowdena dokumentos – PRISM programma): Microsoft, Google, Yahoo, Facebook, PalTalk, YouTube, Skype, AOL, Apple. • Programmu šifrēšanas iespēju vājināšana (Outlook, Skype, Lotus Notes ....) • Piekļuve ievērojamai daļai visas pasaules interneta un balss trafikam pieslēdzoties optisko sakaru kabeļiem un tieši telekomunikāciju kompānijām. • Programmas tiek realizētas aktīvi sadarbojoties ar partnerorganizācijām ārvalstīs. www.theartofsystems.com 2013.g. 7. novembris 18
  • DROŠĪBA UN VALSTS Un kas tad notiek pie mums? • Vai valsts aktīvi aizsargā savus pilsoņus pret «okšķeriem» ārvalstīs, palīdz viņiem (okšķeriem) vai izliekas neredzam? • Kā ar pašmāju okšķeriem ? Kā valdībai pašai sokas ar noslēpumu glabāšanu? • Mobilo sakaru aizsardzība? • IT datu un IT komunikāciju aizsardzība? • Cik efektīvi tipiska valsts iestāde var reaģēt uz šāda tipa apdraudējumiem? www.theartofsystems.com 2013.g. 7. novembris 19
  • DROŠĪBA UN VALSTS Daţas lietas ko mēs sargājam.... • Personas kodu ? Kāpēc ? • Personas koda kontrolsummu ? (algoritms viegli atrodams internetā) • Uzņēmuma reģistrācijas numura kontrolsumma? (iegūstama atrisinot vienādojumu sistēmu) www.theartofsystems.com 2013.g. 7. novembris 20
  • DROŠĪBA UN VALSTS • www.theartofsystems.com 2013.g. 7. novembris 21
  • KOMPTENCE DROŠĪBAS JOMĀ Drošība: pieejamība, konfidencialitāte, integritāte • Kāpēc mēs pamatā runājam pamatā par konfidencialitāti, drusku par pieejamību un gandrīz nemaz par integritāti ? • Kur paliek izstrādātāju un ieviesēju kompetence drošības jautājumos ? Drošas (vismaz saprātīgas) sistēmu izstrādes metodes? • Kad mēs sāksim runāt, par to, ka drošas sistēmas valsts sektorā ir jāizstrādā (nevis jāapgūst budţets līdz termiņam)? • Varbūt laiks arī skatīt «sistēmu» ārpus IT sistēmas robeţām? www.theartofsystems.com 2013.g. 7. novembris 22
  • KOMPTENCE DROŠĪBAS JOMĀ Piemērs: EA5BC83AA25C69C6E0431D02000AD871 EA5BC83AA25D69C6E0431D02000AD871 EA5BC83AA25E69C6E0431D02000AD871 EA5BC83AA25F69C6E0431D02000AD871 EA5BC83AA26069C6E0431D02000AD871 Vai tie varētu būt drošas WEB aplikācijas sesiju identifikatori? www.theartofsystems.com 2013.g. 7. novembris 23
  • KOMPTENCE DROŠĪBAS JOMĀ Piemērs: EA5BC83AA25C69C6E0431D02000AD871 EA5BC83AA25D69C6E0431D02000AD871 EA5BC83AA25E69C6E0431D02000AD871 EA5BC83AA25F69C6E0431D02000AD871 EA5BC83AA26069C6E0431D02000AD871 Vai tie varētu būt drošas WEB aplikācijas sesiju identifikatori? Ģenerēts ar Oracle SYS_GUID funkciju. www.theartofsystems.com 2013.g. 7. novembris 24
  • RISKU SAMĒRS www.theartofsystems.com 2013.g. 7. novembris 25
  • RISKU SAMĒRS Ja mēs vēl esam šeit .... • Pārspīlēti draudi (viss nav tik slikti kā izskatās) ? • Neesam nevienam interesanti (par maz naudas) ? • NSA mūs sargā ? • Valodas barjera ? www.theartofsystems.com 2013.g. 7. novembris 26
  • KO DARĪT ? Cilvēkam, kam ir noslēpumi: www.theartofsystems.com 2013.g. 7. novembris 27
  • KO DARĪT ? Cilvēkam, kam ir noslēpumi kurš vērtē tiesības uz privātumu: • Izglītot sevi drošības jautājumos; • Izvēlēties produktus ar labu reputāciju (TOR [6], TrueCrypt [7], PGP [8]); • Šifrēt savus datus, Izmantot netriviālas paroles, maksimālā iespējamā izmēra atslēgu garumus; • Rūpīgi apsvērt kādus un kur datus publicēt, kādas, kā raţotas iekārtas kādiem mērķiem izmantot. www.theartofsystems.com 2013.g. 7. novembris 28
  • KO DARĪT ? IT drošības speciālistam: • Izglītot sevi un «uzlauzt» kādu sistēmu ; • «Izkāpt» nedaudz ārpus komforta zonas, skatīties uz drošību plašāk nekā tikai IT; • Mēģināt izveikt reālu risku analīzi, iesaistīt organizācijas vadību un biznesa cilvēkus; • Apmācīt darbiniekus – vājākais posms drošībā vēl joprojām ir cilvēks; • Uzmanīties no brīnum-līdzekļu pārdevējiem un pēc iespējas izmantot KISS (Keep It Simple Stupid) principu. • Piedalīties jaunu sistēmu drošas arhitektūras plānošanā www.theartofsystems.com 2013.g. 7. novembris 29
  • KO DARĪT ? Vadītājam: • Izglītot sevi un darbiniekus, saprast, ko viņa uzņēmumam nozīmē drošība, tai skaitā IT drošība; • Iekļaut IT riskus kopējā risku analīzē (ne obligāti formāli); • Ticēt vairāk intuīcijai un veselajam saprātam nevis sertifikātiem. www.theartofsystems.com 2013.g. 7. novembris 30
  • PALDIES PAR UZMANĪBU! www.theartofsystems.com 2013.g. 7. novembris 31
  • AVOTI [1] https://www.asisonline.org/News/Press-Room/PressReleases/2013/Pages/Groundbreaking-Study-Finds-U.S.-Security-Industry-to-be-$350-BillionMarket.aspx [2] http://www.mcafee.com/us/resources/reports/rp-quarterly-threat-q1-2013.pdf [3] http://www.forbes.com/sites/andygreenberg/2012/03/23/shopping-for-zero-days-an-pricelist-for-hackers-secret-software-exploits/ [4] http://www.theguardian.com/world/nsa [5] http://www.theguardian.com/world/interactive/2013/nov/01/snowden-nsa-files-surveillancerevelations-decoded#section/1 [6] https://www.torproject.org/ [7] http://www.truecrypt.org/ [8] http://www.openpgp.org/ www.theartofsystems.com 2013.g. 7. novembris 32
  • KONTAKTI • E-pasts: mgabalins@gmail.com • Skype: mgabalins • Twitter: http://twitter.com/mgabalins • Tīmeklis: www.theartofsystems.com • LinkedIn: lv.linkedin.com/in/mgabalins/ • Telefons: +371-29242193 www.theartofsystems.com 2013.g. 7. novembris 33