Úvod do kybernetické (ne)bezpečnosti •Lukáš Bláha •Senior IT Security Consultant •25. 4. 2016 navrh_2010_03.jpg Bio qV IT bezpečnosti více než 5 let q qPenetrační testy & testy sociálním inženýrstvím • qImplementace bezpečnostních technologií q qMobilní technologie a trendy • qZákazníci typu: •Finanční sektor •Telekomunikace •Energie •Farmacie •Ecommerce • Obsah qJaké jsou cíle útoků? q qKdo a proč útočí? q qJakým způsobem útočí? q qJaké existují ochrany? q qOkénko do budoucnosti Kdo byl napaden? qFinanční sektor – JP Morgan Chase, Multi-Bank Cyberheist, • Global Payments, Íránské banky, American Business Hack, Citigroup q qTelco – Vodafone, T-Mobile, AT&T q qIT – Adobe, Apple, HP, Kaspersky Lab, RSA, HBGary q qWeb/e-commerce – AshleyMadison, CarPhone, Living Social, Linkedin, Twitter, Ebay, SnapChat q qZdravotní organizace – Anthem, CareFirst, Premera q qArmáda – US Military, Stratfor, US Army q qObchod – UPS, Target, Home Depot, Starbucks q qVládní organizace – US OPM, Turecko, Sýrie, Austrálie, Jížní Afrika q qPrůmysl & infrastruktura – Israel Power Plant (červ Stuxnet), Ukraine Energy Grid q • • http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/ To jsou jenom ty co vime, povinnost reportovat Kdo a proč? qTypy útočníků a jejich motivace •White Hat Hacker – „good guys“ • •Black Hat Hacker - finanční zisk • •Script kiddie – zvědavost, sláva • •Hacktivista - politický/společenský/náboženský zájem, odplata • •Státem podporovaný hacker – „control cyberspace“, armádní cíle • •Špión - konkurenční boj • •Kyberterorista – šíření strachu a paniky Kdo a proč? qDříve útoky jednotlivců za účelem osobní slávy qDnes specializované a velmi motivované skupiny útočníků, kteří mají dostatek zdrojů (peněz, znalostí, času) q(ne)legální business - hacking na zakázku (445 miliard dolarů ročně) q qMalware-kity, botnety, exploit – komodita Jak? qObecný scénář útoku: • 1. Získání přístupu – fyzicky, e-mailem, • pomocí zranitelnosti síťové služby nebo aplikace. • Zajištění vzdáleného přístupu do sítě. • • 2. Prohledání sítě společnosti – hledání dalších zranitelných prvků. • • 3. Kompromitace jednotlivých systémů – zajištění kontinuálního pokračování útoku v případě odhalení jednoho z bodů. • • 4. Úplná kompromitace sítě (privilege escalation) – získání přístupových údajů k serverům, službám, aplikacím a nakonec i k účtům doménových administrátorů. • • 5. Sběr a exfiltrace citlivých dat. • • 6. Zahlazení stop – odstranění všech stop, které byly zanechány. Síť však zůstává kompromitována, aby se mohl útočník vrátit zpět. Jak dlouho trva utok? Kdy je objeven? Nejčastější vektory útoku qSoftwarové zranitelnosti – 0-day http://map.norsecorp.com/ https://www.fireeye.com/cyber-map/threat-map.html Nejčastější vektory útoku qChyby ve webových nebo mobilních aplikacích – SQL Injection, XSS, chybná autentizace q qŠpatná konfigurace – nedostatečné autentizační metody, slabá uživatelská hesla!! qMalware •vir, červ, trojský kůň, rootkit, spyware, backdoor, keylogger •ransomware •malwaretising q qSociální inženýrství •emailový – phishing •telefonický •fyzický •sociální sítě q qInside job q http://map.norsecorp.com/ https://www.fireeye.com/cyber-map/threat-map.html Jak se bránit? qBezpečnostní (penetrační) testy q qBezpečnostní hardening systémů q qTechnologie •Firewall, Antimalware, AntiSpam, … • •Security Information and Event Management •Vulnerability Management Systems • •Web Application Firewall •Data Loss Prevention •Network Behavior Analysis •Mobile Endpoint Protection • qVzdělávání koncových uživatelů v oblasti aktuálních bezpečnostních hrozeb q qDůkladná kontrola zaměstnanců • Job rotation, separation of duties Budoucnost a trendy qInternet of Things – lékařské přístroje, smart cars, smart home qMobilní zařízení - hlavní nástroj pro práci & zábavu qCílem budou i menší společnosti a jiné oblasti trhu (např. školství) qVíce útoků s jiným cílem než je finanční zisk – destrukce/vandalismus a politický/ideologický zájem qVznik nových zákonů, vyhlášek, regulací navrh_2010_03.jpg •Děkuji za pozornost • •Otázky? • •Lukas.Blaha@aec.cz