Artur Marek Maciąg, profile picture
Uploaded byArtur Marek Maciąg
PPTX, PDF84 views

No more ... oops! I didn't again.

Prezentacja przygotowana na potrzeby warsztatów o tym samym tytule na konferencji #techrisk2018 we Wrocławiu

Embed presentation

Download to read offline
https://goo.gl/uA4rHz Materiały do ćwiczeń: Artur Marek Maciąg (toperzak@gmail.com) Inicjatywa Kultury Bezpieczeństwa (createsafetyculture@gmail.com)
KRAJOBRAZ ZAGROŻEŃ [RAPORTY CERT-ów] https://epatientfinder.com/worried-ransomware-need-backup-plan-literally/ http://www.aberdeenessentials.com/techpro-essentials/phishing-attack-risk-assessment-missing-risk/
1. DLACZEGO?
ISO 27005: „Ryzyko to zagrożenia wykorzystujące podatności zasobów w celu wytworzenia strat organizacji” KRAJOBRAZ ZAGROŻEŃ [ANALIZA RYZYKA] https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017 Zasób (Podatności, Kontrole), Zagrożenie (Profil Agenta Zagrożenia, Prawdopodobieństwo) oraz Wpływ WŁAŚCICIEL ŚRODKI ZARADCZE PODATNOŚCI RYZYKA ZASOBYZAGROŻENIA AGENCI ZAGROŻENIA WEKTORY ATAKU wartość dąży do minimalizacji redukują mogą posiadać mogą być redukowane przez wiodą do które zwiększają dla które wykorzystują którzy chcą nadużyć lub uszkodzić używają powodują wzrost oparte o grupy może być swiadomy nakłada
KONTROLE TECHNICZNE FIREWALLeIDPANTYWIRUSYKRYPTOGRAFIA ARCHITEKTURA BEZPIECZEŃSTWA STREFY BEZPIECZEŃSTWA ROZLICZALNOŚĆ REAGUJ TRENINGI CIĄGŁOŚĆ DZIAŁANIA (BCP) POLITYKIZARZĄDZANIE RYZYKIEM AUTORYZACJA KONTROLE ADMINISTRACYJNE OCHROŃ KONTROLE FIZYCZNE UWIERZYTELNIENIE ZAMKIBRAMKIBARIERY STRAŻE CCTVIDS WYKRYJ POUFNOŚĆ DANE BEZPIECZEŃSTWO INFORMACJI http://www.pearsonitcertification.com/articles/article.aspx?p=2731933&seqNum=2
2. DLACZEGO?
KTO? PRZESTĘPCY I SŁUŻBY SPECJALNE INNYCH PAŃSTW DLACZEGO? PIENIĄDZE I WŁADZA CO? KRADZIEŻ TOŻSAMOŚCI, PARALIŻ DZIAŁANIA, PROPAGANDA JAK? PHISHING, WODOPÓJ, RANSOMWARE, HASŁA, PODATNOŚCI GDZIE? GLOBALNIE: PAŃSTWO, FIRMA, RODZINA, TY KIEDY? PRAWDOPODOBNIE JUŻ JEST PO, TYLKO JESZCZE TEGO NIE WIESZ KRAJOBRAZ ZAGROŻEŃ [PERSPEKTYWA] RUTYNOWE PODWYŻSZONE KRYTYCZNE OGÓLNE SEKTOR RYNKU ORGANIZACJA ZAGROŻENIE ZZAGROŻENIE Z APT X https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017 https://attack.mitre.org/wiki/Main_Page https://resources.sei.cmu.edu/asset_files/WhitePaper/2013_019_001_40212.pdf ANALIZA STRATEGICZ. CYBER BEZPIECZ. ANALIZA FUNKCJON. ZBIERANIE DANYCH ŚRODOWISKO UDZIAŁÓWCY
3. DLACZEGO?
OBSERWACJA SŁABOŚCI DOSTOSOWANIE NARZĘDZI ZASTAWIENIE PUŁAPKI URUCHOMIENIE PUŁAPKI ADAPTACJA DO ŚRODOWISKA PRZEJĘCIE KONTROLI WYKORZYSTANIE KONTROLI KTOŚ ZA DUŻO UJAWNIŁ KTOŚ NIE ZAŁATAŁ LUB ŹLE SKONFIGUROWAŁ KTOŚ PRZECZYTAŁ WIADOMOŚĆ KTOŚ ZAREAGOWAŁ (KLIKNĄŁ LINK LUB OTWORZYŁ PLIK) KTOŚ NIE ZAUWAŻYŁ NIETYPOWEGO ZACHOWANIA SPRZĘTU I SYSTEMU KTOŚ NIE PRZEGLĄDAŁ LOGÓW KTOŚ NIE REAGOWAŁ NA ALERTY ŁAŃCUCH ZDARZEŃ PODCZAS ATAKU
4. DLACZEGO?
KTO? LUDZIE NA KAŻDYM SZCZEBLU ORGANIZACJI DLACZEGO? PECHOWA DWUNASTKA CO? BŁĘDY PROWADZĄCE DO WYPADKÓW I INCYDENTÓW JAK? SYSTEMATYCZNIE, POZORNIE BEZMYŚLNIE GDZIE? PRYWATNIE I SŁUŻBOWO – DOBRZE OPISANE W LOTNICTWIE KIEDY? ZAWSZE GDY POZA STREFĄ KOMFORTU CZYNNIK LUDZKI PECHOWA DWUNASTKA  Brak komunikacji i konsultacji  Przecenianie siebie  Brak wiedzy niezbędnej do wykonania zadania  Roztargnienie i brak uwagi  Brak pracy zespołowej  Zmęczenie  Brak zasobów  Presja  Brak zaangażowania  Stres  Brak świadomości kontekstu  Brak lub błędne wdrożenie norm https://www.faa.gov/regulations_policies/handbooks_manuals/aircraft/media/amt_ general_handbook.pdf
5. DLACZEGO?
BEZPIECZEŃSTWO „BEHAWIORALNIE”WWW.BehaviorModel.org możliwości motywacja trudne łatwe niskawysoka tutaj działa tutaj nie działa B=mat motivation (motywacja) avibilty (możliwości) triger (wyzwalacz) at this same time (jednocześnie) „GŁUPI UŻYTKOWNIK”: I TAK NIE DASZ RADY MIMO TEGO ŻE JESTEŚ SPECJALISTĄ W TYM CO ROBISZ „POZOSTAWIONY SOBIE”: NIE KLIKAJ KAŻDE HASŁO UNIKALNE I TRUDNE JAK NIE KUPIMY - TO WŁAMANIE JAK NIE ZROBISZ - TO KARA „SZKOLENIA Z BEZPIECZEŃSTWA”: TEN PUNKT PORUSZA SIĘ BLISKO OSI STRACH-NUDA (MOTYWACJA) NIE WIEM JAK-TRYWIALNE WIĘC NIE MUSZĘ (MOŻLIWOŚCI) „INŻYNIERIA SPOŁECZNA”: TEN PUNKT PORUSZA SIĘ PO LINI DZIAŁANIA, OPTYMALIZUJĄC KOSZTY I DOSTARCZAJĄC DAWKĘ MOTYWACJI PRZY POZIOMIE MOŻLIWOŚCI I ATRAKCYJNYM WYZWALACZU. STOSOWANA PRZY: • DECYZJE ZAKUPOWE • TECHNIKI ZARZĄDZANIA WYDAJNOŚCIĄ • WYWIADY • PHISHING I PHARMING • SPEAR PHISHING (OGONY) LUDZIE BĘDĄ POPEŁNIAĆ BŁĘDY (APETYT NA RYZYKO) WPŁYW INCYDENTÓW MOŻNA ZMNIEJSZYĆ USPRAWNIAJĄC ZDOLNOŚCI ADAPTACYJNE EDUKACJA W CELU ZMIANY ZACHOWANIA MUSI UWZGLĘDNIĆ MOŻLIWOŚCI I MOTYWACJĘ MAKSYMALIZACJA CZYNNIKÓW JEST KOSZTOWNA I NIE DAJE OCZEKIWANYCH KORZYŚCI STREFA KONTROLI I KOMFORTU STREFA ZAUFANIA I ROZWOJU STREFA PANIKI czas stres GDY DOŚWIADCZENIE POZWALA CI UŚPIĆ ZMYSŁY I ODPOCZĄĆ GDY ZAUFANIE DO TECHNOLOGII I/LUB LUDZI POZWALA CI DZIAŁAĆ PRZEZ JAKIŚ CZAS POD OBCIĄŻENIEM GDY „TRACISZ GRUNT POD NOGAMI” I DECYDUJESZ: • UCIEKAĆ • CHOWAĆ SIĘ • ATAKOWAĆ STREFY ILUZORYCZNEJ KONTROLI GDZIE NAJCZĘŚCIEJ POPEŁNIAMY BŁĘDY APETYT NA RYZYKO PRZESTRZEŃ ADAPTACJI https://sci-ikb.blogspot.com https://pl.wikipedia.org/wiki/Kaizen
2018 Inicjatywa Kultury Bezpieczeństwa v.2.0 (safety culture initative)
JĄDRO CIEMNOŚCI TY BEZPIECZEŃSTWO ANALIZA STRATEGICZNA: KTO? DLACZEGO? ANALIZA FUNKCJONALNA: CO? JAK? GDZIE? KIEDY? AUTORYZACJA METODA KIPLINGA + CITP POZNAJ I OCHROŃ https://en.wikipedia.org/wiki/Five_Ws http://www.sei.cmu.edu/about/organization/etc/citp.cfm KAIZEN (5W) + DIAGRAM ISHIKAWY MATERIAŁYMASZYNYMETODYLUDZIE ZARZĄDZANIE DLACZEGO? DLACZEGO? DLACZEGO? DLACZEGO? DLACZEGO? ROZLICZALNOŚĆ WYKRYJ I REAGUJ https://pl.wikipedia.org/wiki/Metoda_5_why https://pl.wikipedia.org/wiki/Diagram_Ishikawy BŁĘDY I ADAPTACJA UWIERZYTELNIENIE JAMY PRYWATNOŚCIPECHOWA 12 BEZPIECZNA POSTAWA ODZYSKAJ SPRAWNOŚĆ https://sci-ikb.blogspot.com NIST CSF CORE NETYKIETA
JAK NIE PARAWANING, TO CO? Każda kontrola ma podatność... ...każdy incydent to wiedza o tym co nie działa. Każdy wie o sobie tyle ile był w stanie sprawdzić... ... pozostałe przypadki zależą od zdolności adaptacji do sytuacji.
https://www.threatconnect.com/methodology/ http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
DANE WYWIADOWCZE I Z SYSTEMÓW BEZPIECZEŃSTWA SOC KTO? DLACZEGO? CO? GDZIE? KIEDY? JAK? WALIDACJA ŹRÓDŁA INFORMACJA TECHNICZNA INFORMACJA FUNKCJONALNA INFORMACJA STRATEGICZNA DECYZJE https://resources.sei.cmu.edu/asset_files/WhitePaper/2013_019_001_40212.pdf RUTYNOWE PODWYŻSZONE KRYTYCZNE OGÓLNE SEKTOR RYNKU ORGANIZACJA ZAGROŻENIE ZZAGROŻENIE Z APT X ANALIZA STRATEGICZ. CYBER BEZPIECZ. ANALIZA FUNKCJON. ZBIERANIE DANYCH ŚRODOWISKO UDZIAŁOWCY KOMUNIKACJA WIZUALNA EFEKTYWNA DYSTRYBUCJA I KONSUMPCJA INFORMACJI
1 2 3 4 5 6 7 8 co 1 Wpływ na funkcjonalność brak brak wpływu na usługi minimalny wpływ na usługi nie krytyczne minimalny wpływ na usługi krytyczne znaczący wpływ na usługi niekrytyczne odmowa usługi nie krytycznej znaczący wpływ na usługi krytyczne odmowa usługi krytycznej co 2 Wpływ na informacje brak podejrzewany ale nie potwierdzony naruszenie danych dotyczących prywatności naruszenie danych prawnie chronionych zniszczenie systemów nie krytycznych naruszenie danych systemów krytycznych kompromitacja kluczowych danych uwierzytelniających zniszczenie systemów krytycznych co 3 Niwelacja skutków Zgodna z oczekiwania mi Zależna od dodatkowych zasobów Trudna do określenia Niemożliwa kiedy 4 Określenie czasu wykrycia złośliwej aktywności do godziny 8 godzin 72 godziny tydzień miesiąc kwartał rok ponad rok lub nieznane co, kto 5 Określenie liczby narażonych zasobów (rekordów, systemów, uzytkowników) 1 do 3 do 1% do 5% do 25% do 50% do 75% ponad 75% gdzie 6 Określenie miejsca (sieci) występowania złośliwej aktywności Poziom 1 Biznesowy DMZ Poziom 2 Sieć biznesowa Poziom 3 segment zarządzania siecią biznesową Poziom 4 DMZ systemów krytycznych Poziom 5 segment zarządzania systemami krytycznymi Poziom 6 systemy krytyczne Poziom 7 systemy bezpieczeństwa nieznany kto 7 Dane osoby kontaktowej komunikacja decyzje koordynacja usługa techniczny kto, jak, 8 Dodatkowe informacje TTP narzędzia (forensic) artefakty sieciowe/hosta (forensic) nazwy domenowe adresy IP hashe i sygnatury nic dlaczego? X Cyber intelligence Generalny - wandalizm Generalny – pozyskanie finansów Generalny – pozyskanie tożsamości Narzędzie do ataku na kogoś jako dostawca lub wodopój APT – rabunek APT - na sektor APT - na organizację APT - Insider W oparciu o: https://www.us-cert.gov/incident-notification-guidelines Klasyfikacja niebieska dodana przez autora i nie znajduje się w wymaganiach określonych w materiałach źródłowych Raport w 72h
Określ nagrody za aktywność Komunikuj rozwój postawy Nagroda: punkty kompetencji + bonus Odpowiedzi: Poprawna Prawdopodobna Błędna Absurdalna Zbuduj 3 - 5 wyzwań określ priorytety wiedzy i kompetencje Wybierz incydent Określ wymagane kompetencje na stanowisku • WSPÓLNE AUTORSTWO TREŚCI • ZACHOWANIE WIEDZY PRAKTYCZNEJ • KONCENTRACJA NA WERYFIKACJI • KLASYFIKACJA TREŚCI • # UŁATWIA WYSZUKIWANIE • WSPÓŁZAWODNICTWO • WZAJEMNA POMOC • WYRÓŻNIENIE • SAMOROZWÓJ • WŁASNE TEMPO • WIRTUALNA WALUTA • RÓŻNE POZIOMY TRUDNOŚCI • NEUTRALNE TECHNOLOGICZNIE • PRZENOSZONE MIĘDZY ŚRODOWISKAMI PRACY • OCENA RYZYKA CZYNNIKA LUDZKIEGO
Istniejące mikrotesty: Bezpieczna sieć domowa: https://goo.gl/forms/9VKqnGHEGlCLCgjL2 Autouzupełnianie: https://goo.gl/forms/hvTIHjUY4N63A7wy1 Nie zgub tego urządzenia: https://goo.gl/forms/6Mw6tiddSB7oZpnN2 Bezpieczne usuwanie plików: https://goo.gl/forms/2SWEdn5m4vVFtskg2 Unikalne hasła: https://goo.gl/forms/5jwJ3do50blkcaom2 Zabezpiecz swój router WiFi: https://goo.gl/forms/j9ES667yI8592pqj2 Mejle phishingowe: https://goo.gl/forms/CFTurN7oGH1sEJIX2 Bezpieczeństwo danych w chmurze: https://goo.gl/forms/iSjM4bSiYu6Jgoei1 Ransomware: https://goo.gl/forms/flJXdb6M7ItZNCh42 Dzieci i edukacja: https://goo.gl/forms/ULzmlB0ULHviOZUa2 Kopie zapasowe: https://goo.gl/forms/QFUHQkBOe0tTrF1G2 Zakupy w sieci https://goo.gl/forms/7Sn5c27RwrEXwqLB3 Email i emocje: https://goo.gl/forms/ByUvfJNYg9EUHhED2 Konwersacje: https://goo.gl/forms/Ut0iQfSyjaWjiIqs1 Ochrona dokumentacji papierowej: https://goo.gl/forms/jReSLOQX3VO49Rmh1 Vishing: https://goo.gl/forms/4Fiz91RGj4H269B23 Oprogramowanie antywirusowe: https://goo.gl/forms/akKo1od6ad2LFYr33 Pełna lista: https://docs.google.com/spreadsheets/d/1lyh95i2QnhW6oBu0F7qoLx-2_IqarFjTl6zJqhuN_eY/edit?usp=sharing Lub: https://goo.gl/4dS6vd

More Related Content

PPTX
Jak przetrwać kolejną transformację
byArtur Marek Maciąg
 
PPTX
Owasp top 10 2010 final PL Beta
byThink Secure
 
PPTX
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
byArtur Marek Maciąg
 
PDF
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
byPROIDEA
 
PPT
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
bymsobiegraj
 
PPTX
Wyscig o czynnik ludzki
byArtur Marek Maciąg
 
PDF
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
byLogicaltrust pl
 
PPTX
Role Based Security Training
byJulia Wilk
 
Jak przetrwać kolejną transformację
byArtur Marek Maciąg
 
Owasp top 10 2010 final PL Beta
byThink Secure
 
[techrisk2019] Czas, błędy, wnioski i ryzyko technologiczne
byArtur Marek Maciąg
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
byPROIDEA
 
Reputacja jako aktywa. Zagrożenia, przewidywanie strat i zarządzanie ryzykiem
bymsobiegraj
 
Wyscig o czynnik ludzki
byArtur Marek Maciąg
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
byLogicaltrust pl
 
Role Based Security Training
byJulia Wilk
 

Similar to No more ... oops! I didn't again.

PPTX
Rbst biznes view
byArtur Marek Maciąg
 
ODP
Zaufanie W Systemach Informatycznych
byPawel Krawczyk
 
PDF
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
byLogicaltrust pl
 
PPT
Bezpieczeństwo informacji mtabor
byMichał Tabor
 
PPT
Michał Sobiegraj - Analiza ryzyka aplikacji webowych
bySebastian Kwiecien
 
PPTX
Światowe badanie bezpieczeństwa informacji 2014
byEYPoland
 
PDF
Zarządzanie bezpieczeństwem informacji w firmie
byKarol Chwastowski
 
PDF
Raport Bezpieczenstwo IT w polskich firmach
byD-Link Polska
 
PDF
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
byMarcin Ludwiszewski
 
PPTX
EXATEL InTECH Day PwC
byJerzy Łabuda
 
PDF
Bezpieczeństwo w polskim Internecie 2009
byWojciech Boczoń
 
PDF
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
byRafal
 
PDF
PLNOG22 - Dorota Szczepan-Jakubowska - Co zrobić w sytuacji kryzysowej?
byPROIDEA
 
PDF
nik-p-15-042-cyberbezpieczenstwo
byAdam Zakrzewski
 
PDF
Raport NIK poświęcony cyberbezpieczeństwu
byBusiness Insider Polska
 
PDF
EY 19. Światowe Badanie Bezpieczeństwa Informacji
byEYPoland
 
PPTX
VAVATECH - Bezpieczeństwo IT
byVavatech
 
PPTX
VAVATECH - Bezpieczeństwo IT
byVavatech
 
PPTX
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
bySecuRing
 
PDF
cso_mapa
byJacek Grzechowiak
 
Rbst biznes view
byArtur Marek Maciąg
 
Zaufanie W Systemach Informatycznych
byPawel Krawczyk
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
byLogicaltrust pl
 
Bezpieczeństwo informacji mtabor
byMichał Tabor
 
Michał Sobiegraj - Analiza ryzyka aplikacji webowych
bySebastian Kwiecien
 
Światowe badanie bezpieczeństwa informacji 2014
byEYPoland
 
Zarządzanie bezpieczeństwem informacji w firmie
byKarol Chwastowski
 
Raport Bezpieczenstwo IT w polskich firmach
byD-Link Polska
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
byMarcin Ludwiszewski
 
EXATEL InTECH Day PwC
byJerzy Łabuda
 
Bezpieczeństwo w polskim Internecie 2009
byWojciech Boczoń
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
byRafal
 
PLNOG22 - Dorota Szczepan-Jakubowska - Co zrobić w sytuacji kryzysowej?
byPROIDEA
 
nik-p-15-042-cyberbezpieczenstwo
byAdam Zakrzewski
 
Raport NIK poświęcony cyberbezpieczeństwu
byBusiness Insider Polska
 
EY 19. Światowe Badanie Bezpieczeństwa Informacji
byEYPoland
 
VAVATECH - Bezpieczeństwo IT
byVavatech
 
VAVATECH - Bezpieczeństwo IT
byVavatech
 
Zagrożenia dla aplikacji bankowych i sposoby zmniejszania ryzyka
bySecuRing
 
cso_mapa
byJacek Grzechowiak
 

More from Artur Marek Maciąg

PPTX
[EN]THS22_AMM_ishing.pptx
byArtur Marek Maciąg
 
PPTX
Short story about your information processing - cloud part
byArtur Marek Maciąg
 
PPTX
Krótka historia bezpieczeństwa Twojej informacji
byArtur Marek Maciąg
 
PPTX
Dirty 12 of Human Errors for Business Continuity/Incident Response
byArtur Marek Maciąg
 
PPTX
Security perspective -human factor
byArtur Marek Maciąg
 
PPTX
Od Zera do Bohatera!
byArtur Marek Maciąg
 
PPTX
Human Factor Safety Decomposed
byArtur Marek Maciąg
 
[EN]THS22_AMM_ishing.pptx
byArtur Marek Maciąg
 
Short story about your information processing - cloud part
byArtur Marek Maciąg
 
Krótka historia bezpieczeństwa Twojej informacji
byArtur Marek Maciąg
 
Dirty 12 of Human Errors for Business Continuity/Incident Response
byArtur Marek Maciąg
 
Security perspective -human factor
byArtur Marek Maciąg
 
Od Zera do Bohatera!
byArtur Marek Maciąg
 
Human Factor Safety Decomposed
byArtur Marek Maciąg
 

No more ... oops! I didn't again.

  • 1.
    https://goo.gl/uA4rHz Materiały do ćwiczeń: ArturMarek Maciąg (toperzak@gmail.com) Inicjatywa Kultury Bezpieczeństwa (createsafetyculture@gmail.com)
  • 2.
    KRAJOBRAZ ZAGROŻEŃ [RAPORTYCERT-ów] https://epatientfinder.com/worried-ransomware-need-backup-plan-literally/ http://www.aberdeenessentials.com/techpro-essentials/phishing-attack-risk-assessment-missing-risk/
  • 3.
  • 4.
    ISO 27005: „Ryzyko tozagrożenia wykorzystujące podatności zasobów w celu wytworzenia strat organizacji” KRAJOBRAZ ZAGROŻEŃ [ANALIZA RYZYKA] https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017 Zasób (Podatności, Kontrole), Zagrożenie (Profil Agenta Zagrożenia, Prawdopodobieństwo) oraz Wpływ WŁAŚCICIEL ŚRODKI ZARADCZE PODATNOŚCI RYZYKA ZASOBYZAGROŻENIA AGENCI ZAGROŻENIA WEKTORY ATAKU wartość dąży do minimalizacji redukują mogą posiadać mogą być redukowane przez wiodą do które zwiększają dla które wykorzystują którzy chcą nadużyć lub uszkodzić używają powodują wzrost oparte o grupy może być swiadomy nakłada
  • 5.
    KONTROLE TECHNICZNE FIREWALLeIDPANTYWIRUSYKRYPTOGRAFIA ARCHITEKTURA BEZPIECZEŃSTWASTREFY BEZPIECZEŃSTWA ROZLICZALNOŚĆ REAGUJ TRENINGI CIĄGŁOŚĆ DZIAŁANIA (BCP) POLITYKIZARZĄDZANIE RYZYKIEM AUTORYZACJA KONTROLE ADMINISTRACYJNE OCHROŃ KONTROLE FIZYCZNE UWIERZYTELNIENIE ZAMKIBRAMKIBARIERY STRAŻE CCTVIDS WYKRYJ POUFNOŚĆ DANE BEZPIECZEŃSTWO INFORMACJI http://www.pearsonitcertification.com/articles/article.aspx?p=2731933&seqNum=2
  • 6.
  • 7.
    KTO? PRZESTĘPCY ISŁUŻBY SPECJALNE INNYCH PAŃSTW DLACZEGO? PIENIĄDZE I WŁADZA CO? KRADZIEŻ TOŻSAMOŚCI, PARALIŻ DZIAŁANIA, PROPAGANDA JAK? PHISHING, WODOPÓJ, RANSOMWARE, HASŁA, PODATNOŚCI GDZIE? GLOBALNIE: PAŃSTWO, FIRMA, RODZINA, TY KIEDY? PRAWDOPODOBNIE JUŻ JEST PO, TYLKO JESZCZE TEGO NIE WIESZ KRAJOBRAZ ZAGROŻEŃ [PERSPEKTYWA] RUTYNOWE PODWYŻSZONE KRYTYCZNE OGÓLNE SEKTOR RYNKU ORGANIZACJA ZAGROŻENIE ZZAGROŻENIE Z APT X https://www.enisa.europa.eu/publications/enisa-threat-landscape-report-2017 https://attack.mitre.org/wiki/Main_Page https://resources.sei.cmu.edu/asset_files/WhitePaper/2013_019_001_40212.pdf ANALIZA STRATEGICZ. CYBER BEZPIECZ. ANALIZA FUNKCJON. ZBIERANIE DANYCH ŚRODOWISKO UDZIAŁÓWCY
  • 8.
  • 9.
    OBSERWACJA SŁABOŚCI DOSTOSOWANIE NARZĘDZI ZASTAWIENIEPUŁAPKI URUCHOMIENIE PUŁAPKI ADAPTACJA DO ŚRODOWISKA PRZEJĘCIE KONTROLI WYKORZYSTANIE KONTROLI KTOŚ ZA DUŻO UJAWNIŁ KTOŚ NIE ZAŁATAŁ LUB ŹLE SKONFIGUROWAŁ KTOŚ PRZECZYTAŁ WIADOMOŚĆ KTOŚ ZAREAGOWAŁ (KLIKNĄŁ LINK LUB OTWORZYŁ PLIK) KTOŚ NIE ZAUWAŻYŁ NIETYPOWEGO ZACHOWANIA SPRZĘTU I SYSTEMU KTOŚ NIE PRZEGLĄDAŁ LOGÓW KTOŚ NIE REAGOWAŁ NA ALERTY ŁAŃCUCH ZDARZEŃ PODCZAS ATAKU
  • 10.
  • 11.
    KTO? LUDZIE NAKAŻDYM SZCZEBLU ORGANIZACJI DLACZEGO? PECHOWA DWUNASTKA CO? BŁĘDY PROWADZĄCE DO WYPADKÓW I INCYDENTÓW JAK? SYSTEMATYCZNIE, POZORNIE BEZMYŚLNIE GDZIE? PRYWATNIE I SŁUŻBOWO – DOBRZE OPISANE W LOTNICTWIE KIEDY? ZAWSZE GDY POZA STREFĄ KOMFORTU CZYNNIK LUDZKI PECHOWA DWUNASTKA  Brak komunikacji i konsultacji  Przecenianie siebie  Brak wiedzy niezbędnej do wykonania zadania  Roztargnienie i brak uwagi  Brak pracy zespołowej  Zmęczenie  Brak zasobów  Presja  Brak zaangażowania  Stres  Brak świadomości kontekstu  Brak lub błędne wdrożenie norm https://www.faa.gov/regulations_policies/handbooks_manuals/aircraft/media/amt_ general_handbook.pdf
  • 12.
  • 13.
    BEZPIECZEŃSTWO „BEHAWIORALNIE”WWW.BehaviorModel.org możliwości motywacja trudne łatwe niskawysoka tutaj działa tutaj niedziała B=mat motivation (motywacja) avibilty (możliwości) triger (wyzwalacz) at this same time (jednocześnie) „GŁUPI UŻYTKOWNIK”: I TAK NIE DASZ RADY MIMO TEGO ŻE JESTEŚ SPECJALISTĄ W TYM CO ROBISZ „POZOSTAWIONY SOBIE”: NIE KLIKAJ KAŻDE HASŁO UNIKALNE I TRUDNE JAK NIE KUPIMY - TO WŁAMANIE JAK NIE ZROBISZ - TO KARA „SZKOLENIA Z BEZPIECZEŃSTWA”: TEN PUNKT PORUSZA SIĘ BLISKO OSI STRACH-NUDA (MOTYWACJA) NIE WIEM JAK-TRYWIALNE WIĘC NIE MUSZĘ (MOŻLIWOŚCI) „INŻYNIERIA SPOŁECZNA”: TEN PUNKT PORUSZA SIĘ PO LINI DZIAŁANIA, OPTYMALIZUJĄC KOSZTY I DOSTARCZAJĄC DAWKĘ MOTYWACJI PRZY POZIOMIE MOŻLIWOŚCI I ATRAKCYJNYM WYZWALACZU. STOSOWANA PRZY: • DECYZJE ZAKUPOWE • TECHNIKI ZARZĄDZANIA WYDAJNOŚCIĄ • WYWIADY • PHISHING I PHARMING • SPEAR PHISHING (OGONY) LUDZIE BĘDĄ POPEŁNIAĆ BŁĘDY (APETYT NA RYZYKO) WPŁYW INCYDENTÓW MOŻNA ZMNIEJSZYĆ USPRAWNIAJĄC ZDOLNOŚCI ADAPTACYJNE EDUKACJA W CELU ZMIANY ZACHOWANIA MUSI UWZGLĘDNIĆ MOŻLIWOŚCI I MOTYWACJĘ MAKSYMALIZACJA CZYNNIKÓW JEST KOSZTOWNA I NIE DAJE OCZEKIWANYCH KORZYŚCI STREFA KONTROLI I KOMFORTU STREFA ZAUFANIA I ROZWOJU STREFA PANIKI czas stres GDY DOŚWIADCZENIE POZWALA CI UŚPIĆ ZMYSŁY I ODPOCZĄĆ GDY ZAUFANIE DO TECHNOLOGII I/LUB LUDZI POZWALA CI DZIAŁAĆ PRZEZ JAKIŚ CZAS POD OBCIĄŻENIEM GDY „TRACISZ GRUNT POD NOGAMI” I DECYDUJESZ: • UCIEKAĆ • CHOWAĆ SIĘ • ATAKOWAĆ STREFY ILUZORYCZNEJ KONTROLI GDZIE NAJCZĘŚCIEJ POPEŁNIAMY BŁĘDY APETYT NA RYZYKO PRZESTRZEŃ ADAPTACJI https://sci-ikb.blogspot.com https://pl.wikipedia.org/wiki/Kaizen
  • 14.
    2018 Inicjatywa Kultury Bezpieczeństwav.2.0 (safety culture initative)
  • 15.
    JĄDRO CIEMNOŚCI TY BEZPIECZEŃSTWO ANALIZA STRATEGICZNA:KTO? DLACZEGO? ANALIZA FUNKCJONALNA: CO? JAK? GDZIE? KIEDY? AUTORYZACJA METODA KIPLINGA + CITP POZNAJ I OCHROŃ https://en.wikipedia.org/wiki/Five_Ws http://www.sei.cmu.edu/about/organization/etc/citp.cfm KAIZEN (5W) + DIAGRAM ISHIKAWY MATERIAŁYMASZYNYMETODYLUDZIE ZARZĄDZANIE DLACZEGO? DLACZEGO? DLACZEGO? DLACZEGO? DLACZEGO? ROZLICZALNOŚĆ WYKRYJ I REAGUJ https://pl.wikipedia.org/wiki/Metoda_5_why https://pl.wikipedia.org/wiki/Diagram_Ishikawy BŁĘDY I ADAPTACJA UWIERZYTELNIENIE JAMY PRYWATNOŚCIPECHOWA 12 BEZPIECZNA POSTAWA ODZYSKAJ SPRAWNOŚĆ https://sci-ikb.blogspot.com NIST CSF CORE NETYKIETA
  • 16.
    JAK NIE PARAWANING,TO CO? Każda kontrola ma podatność... ...każdy incydent to wiedza o tym co nie działa. Każdy wie o sobie tyle ile był w stanie sprawdzić... ... pozostałe przypadki zależą od zdolności adaptacji do sytuacji.
  • 18.
  • 19.
    DANE WYWIADOWCZE I ZSYSTEMÓW BEZPIECZEŃSTWA SOC KTO? DLACZEGO? CO? GDZIE? KIEDY? JAK? WALIDACJA ŹRÓDŁA INFORMACJA TECHNICZNA INFORMACJA FUNKCJONALNA INFORMACJA STRATEGICZNA DECYZJE https://resources.sei.cmu.edu/asset_files/WhitePaper/2013_019_001_40212.pdf RUTYNOWE PODWYŻSZONE KRYTYCZNE OGÓLNE SEKTOR RYNKU ORGANIZACJA ZAGROŻENIE ZZAGROŻENIE Z APT X ANALIZA STRATEGICZ. CYBER BEZPIECZ. ANALIZA FUNKCJON. ZBIERANIE DANYCH ŚRODOWISKO UDZIAŁOWCY KOMUNIKACJA WIZUALNA EFEKTYWNA DYSTRYBUCJA I KONSUMPCJA INFORMACJI
  • 21.
    1 2 34 5 6 7 8 co 1 Wpływ na funkcjonalność brak brak wpływu na usługi minimalny wpływ na usługi nie krytyczne minimalny wpływ na usługi krytyczne znaczący wpływ na usługi niekrytyczne odmowa usługi nie krytycznej znaczący wpływ na usługi krytyczne odmowa usługi krytycznej co 2 Wpływ na informacje brak podejrzewany ale nie potwierdzony naruszenie danych dotyczących prywatności naruszenie danych prawnie chronionych zniszczenie systemów nie krytycznych naruszenie danych systemów krytycznych kompromitacja kluczowych danych uwierzytelniających zniszczenie systemów krytycznych co 3 Niwelacja skutków Zgodna z oczekiwania mi Zależna od dodatkowych zasobów Trudna do określenia Niemożliwa kiedy 4 Określenie czasu wykrycia złośliwej aktywności do godziny 8 godzin 72 godziny tydzień miesiąc kwartał rok ponad rok lub nieznane co, kto 5 Określenie liczby narażonych zasobów (rekordów, systemów, uzytkowników) 1 do 3 do 1% do 5% do 25% do 50% do 75% ponad 75% gdzie 6 Określenie miejsca (sieci) występowania złośliwej aktywności Poziom 1 Biznesowy DMZ Poziom 2 Sieć biznesowa Poziom 3 segment zarządzania siecią biznesową Poziom 4 DMZ systemów krytycznych Poziom 5 segment zarządzania systemami krytycznymi Poziom 6 systemy krytyczne Poziom 7 systemy bezpieczeństwa nieznany kto 7 Dane osoby kontaktowej komunikacja decyzje koordynacja usługa techniczny kto, jak, 8 Dodatkowe informacje TTP narzędzia (forensic) artefakty sieciowe/hosta (forensic) nazwy domenowe adresy IP hashe i sygnatury nic dlaczego? X Cyber intelligence Generalny - wandalizm Generalny – pozyskanie finansów Generalny – pozyskanie tożsamości Narzędzie do ataku na kogoś jako dostawca lub wodopój APT – rabunek APT - na sektor APT - na organizację APT - Insider W oparciu o: https://www.us-cert.gov/incident-notification-guidelines Klasyfikacja niebieska dodana przez autora i nie znajduje się w wymaganiach określonych w materiałach źródłowych Raport w 72h
  • 22.
    Określ nagrody za aktywność Komunikujrozwój postawy Nagroda: punkty kompetencji + bonus Odpowiedzi: Poprawna Prawdopodobna Błędna Absurdalna Zbuduj 3 - 5 wyzwań określ priorytety wiedzy i kompetencje Wybierz incydent Określ wymagane kompetencje na stanowisku • WSPÓLNE AUTORSTWO TREŚCI • ZACHOWANIE WIEDZY PRAKTYCZNEJ • KONCENTRACJA NA WERYFIKACJI • KLASYFIKACJA TREŚCI • # UŁATWIA WYSZUKIWANIE • WSPÓŁZAWODNICTWO • WZAJEMNA POMOC • WYRÓŻNIENIE • SAMOROZWÓJ • WŁASNE TEMPO • WIRTUALNA WALUTA • RÓŻNE POZIOMY TRUDNOŚCI • NEUTRALNE TECHNOLOGICZNIE • PRZENOSZONE MIĘDZY ŚRODOWISKAMI PRACY • OCENA RYZYKA CZYNNIKA LUDZKIEGO
  • 23.
    Istniejące mikrotesty: Bezpieczna siećdomowa: https://goo.gl/forms/9VKqnGHEGlCLCgjL2 Autouzupełnianie: https://goo.gl/forms/hvTIHjUY4N63A7wy1 Nie zgub tego urządzenia: https://goo.gl/forms/6Mw6tiddSB7oZpnN2 Bezpieczne usuwanie plików: https://goo.gl/forms/2SWEdn5m4vVFtskg2 Unikalne hasła: https://goo.gl/forms/5jwJ3do50blkcaom2 Zabezpiecz swój router WiFi: https://goo.gl/forms/j9ES667yI8592pqj2 Mejle phishingowe: https://goo.gl/forms/CFTurN7oGH1sEJIX2 Bezpieczeństwo danych w chmurze: https://goo.gl/forms/iSjM4bSiYu6Jgoei1 Ransomware: https://goo.gl/forms/flJXdb6M7ItZNCh42 Dzieci i edukacja: https://goo.gl/forms/ULzmlB0ULHviOZUa2 Kopie zapasowe: https://goo.gl/forms/QFUHQkBOe0tTrF1G2 Zakupy w sieci https://goo.gl/forms/7Sn5c27RwrEXwqLB3 Email i emocje: https://goo.gl/forms/ByUvfJNYg9EUHhED2 Konwersacje: https://goo.gl/forms/Ut0iQfSyjaWjiIqs1 Ochrona dokumentacji papierowej: https://goo.gl/forms/jReSLOQX3VO49Rmh1 Vishing: https://goo.gl/forms/4Fiz91RGj4H269B23 Oprogramowanie antywirusowe: https://goo.gl/forms/akKo1od6ad2LFYr33 Pełna lista: https://docs.google.com/spreadsheets/d/1lyh95i2QnhW6oBu0F7qoLx-2_IqarFjTl6zJqhuN_eY/edit?usp=sharing Lub: https://goo.gl/4dS6vd