Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Кібер-Шмібер

350 views

Published on

Індустрія кібер-безпеки, погляд зсередини. Факультет прикладної математики та інформатики ЧНУ, 27-03-2017

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Кібер-Шмібер

  1. 1. Кібер-Шмібер Індустрія кібер-безпеки, погляд зсередини Володимир Стиран CISSP CISA OSCP ISO27001LA CEH BLAH BLAH Director of Ops, Berezha Security
  2. 2. http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
  3. 3. Типу кібер-атаки Шкідливе ПЗ банківські Троянці, віруси, крипто-локери тощо ДДоС-атаки на інтернет-крамниці, органи влади, системи ДБО тощо Викрадення персони, доксінг, шантаж Атаки на критичну інфраструктуру енергетика, транспорт, фінансова система Кібер-шпіонаж політичний та економічний
  4. 4. Про гроші Індустрія кібер-безпеки Кібер-кримінальна економіка Рекорд втрат Рекорд прямих втрат “Середні” втрати $ 100 000 000 000 $ 400 000 000 000 $ 350 000 000 $ 65 000 000 $ 7 700 000
  5. 5. Зламали – всіх. Пропало – все. https://haveibeenpwned.com
  6. 6. Типу нападники
  7. 7. Загрози безпеки
  8. 8. Загрози безпеки
  9. 9. Типу захисники Правоохоронці «Кібер-війська» Громадські організації Науково-технічні інститути Розробники засобів безпеки Консалтингові та аудиторські фірми Корпоративна безпека
  10. 10. Галузі економіки* Банки/фінанси/страхування Інформаційні технології Оборонка/державні органи Консалтинг/професійні послуги Освіта Охорона здоров’я Енергетика/видобування Промисловість Телекомунікації Роздрібна торгівля Авіація Транспорт Неприбуткові організації Медіа Туризм Розваги Будівництво Агропромисловість Харчування
  11. 11. Задачі професії (не зовсім) кібер-безпеки Цілі: Конфіденційність Цілісність Доступність Інформації Методи: Люди Процеси Технології Принципи Найменших привілеїв Безпеки за замовчуванням Економіки механізмів Повної медіації Відкритого дизайну Розмежування прав Психологічної прийнятності Багатошарового захисту Захист найслабшої ланки
  12. 12. Оборонні спеціалізації Аналітик Інженер/архітектор Менеджер/офіцер Слідчий з інцидентів Адміністратор Консультант Аудитор Менеджер з ризиків Директор
  13. 13. Наступальні спеціалізації Аналітик з захисту ПЗ Пентестер Дослідник вразливостей Соціальний інженер Мисливець за вразливостями Мисливець за загрозами Конкурентний розвідник
  14. 14. Технічна кар’єра Інформаційні технології Мережі Програмування Аналіз даних Комп’ютерні розслідування Безпека ПЗ Криптографія Машинне навчання
  15. 15. Організаційна кар’єра Управління проектами Управління персоналом Управління ризиками Внутрішні контролі Аудит/оцінка захисту Стандарти та настанови Психологія Ведення переговорів
  16. 16. Необхідні навички 1. English 2. “Try harder” настрій 3. Критичне мислення 4. Уважність до деталей 5. Технічна обізнаність 6. Пошук інформації 7. Розумна достатність 8. Переговори
  17. 17. Перспективні навички 1. Розслідування інцидентів 2. Хмарні обчислення 3. Розвідка/аналітика 4. Виявлення вторгнень 5. Захист ПЗ 6. Аналіз шкідливого ПЗ
  18. 18. Професійні сертифікації N00b-ські CompTIA - Security+ (ISC)2 - SCSP Cisco - CCNA Security EC-Council - CEH Просунуті (ISC)2 - CISSP ISACA - CISA, CISM OffSec - OSCP/OSCE etc. SANS GIAC - Anything https://www.sans.org/reading-room/whitepapers/analyst/cybersecurity-professional-trends-survey-34615
  19. 19. Оплата праці (в Україні)* Початківці (0-2 роки) З досвідом (3-5 років) Професіонали (5+ років) Тактичні керівники Стратегічні керівники $0 - $1500 $1500 - $2500 $2500 - $4000 $3000+ $4000+
  20. 20. Оплата праці (глобально) https://www.sans.org/reading-room/whitepapers/analyst/cybersecurity-professional-trends-survey-34615
  21. 21. Стратегічні поради Плануйте розвиток Встановлюйте цілі Отримуйте оцінку Неперервно навчайтеся Робіть “щось інше” Просіть по допомогу “Повертайте” спільноті Хочу бути… через… На рік, два, п’ять, десять Правило “3 мушкетерів” Правило “+1 години” Будь-яке “важке” хобі Це дружня індустрія Навчайте колег
  22. 22. Bonus: легальний хакінг Способи Тести на проникнення Кар’єра Freelance Bug Bounty Прямі програми ББ-брокери Лабораторії Онлайн “Зроби сам” Capture the Flag Нюанси Завжди. Майте. Дозвіл. Зберігайте конфіденційність клієнта Консультуйтесь з юристом Страхуйте професійну відповідальність
  23. 23. Що далі?
  24. 24. Що далі? Теорія Web Hacking 101 (Book) Web Application Hacker’s Handbook (Book) Uni. of MD – Software Security (Coursera) Stanford University – Cryptography (Coursera) Bruce Schneier – Applied Cryptography (Book) Ross Anderson – Security Engineering (Book) Практика Kali Linux Metasploitable2 Burp Suite NOWASP Hack.Me HackerOne.com BugCrowd.com Risky.biz (en) Securit13 Podcast No Name Podcast
  25. 25. Bonus: як не стати кібер-жертвою 1. Не натискайте каку 2. Використовуйте пасфрази замість паролів 3. Використовуйте двохфакторну автентифікацію 4. Операційна система та програмне забезпечення 5. Антивірус 6. Робіть резервні копії даних 7. Використовуйте криптографію 8. Мобільна безпека 9. Фізична безпека 10. Зворотній зв'язок https://github.com/sapran/dontclickshit

×