28
CYBERSECURITY INKUBÁTOR Filip Pávek Systems Engineer, Security CCNP R&S, CCNP Security, CCSI #35271 [email protected] ALEF NULA, a.s.
CYBERSECURITY INKUBÁTORFilip Pávek
Systems Engineer, SecurityCCNP R&S, CCNP Security, CCSI #[email protected] NULA, a.s.
CO ZNAMENÁ „CYBERSECURITY“?
NEZNÁMENÁ PRÁCI JEN PRO TECHNIKY!
• Bezpečnost – počítačové sítě, servery, koncové stanice, mobilní zařízení.
• Sběr a analýza datových toků.
• Testování zranitelností.
• Směrnice, normy, zákony.
• Analýzy rizik, gap analýzy.
PROČ CYBERSECURITY INKUBÁTOR
ZA NÁS:• Aktivně hledat nové kolegy.• Šířit osvětu v oblastech bezpečnosti.ZA VÁS:• Ujasnění co chci dělat, kde se vidím?• Mít možnost ptát se odborníků na věci nad rámec
přednášek.• Získat stáž – začít v době studia nabírat zkušenosti pro
budoucí kariéru!
PROGRAM PŘEDNÁŠEK
• 25.4. 2017 – Obecně o bezpečnosti
• 26.4. 2017 – Řízení přístupu do sítě (změna)
• 3.5. 2017 – Kybernetické hrozby
• 10.5. 2017 – Jak vypadá (ne)etický hacking
• 17.5. 2017 – Řízení přístupu do sítě (náhradní termín)
SLEDUJTE WEB a EMAIL!!!
CO VÁS NEMINE
NEJSME VE ŠKOLE ALE…
• Musíme použít nějaké hodnotící praktiky:
– Testy – NEEXISTUJE PASS NEBO FAIL STAV!!!
• Jaký testy, na co a kdy se budou psát.
• NO STRESS!!!
– Aktivita na přednáškách.
– Zájem o problematiku.
VÝZNAM A VNÍMÁNÍ BEZPEČNOSTIOBECNĚ O BEZPEČNOSTI
AGENDA
• Vnímání bezpečnosti běžných uživatelů IT.
• Co nás ohrožuje v kybernetickém prostoru.
• Jak je (ne)snadné útočit.
• Standardy a zákony.
VNÍMÁNÍ BEZPEČNOSTI BĚŽNÝCH UŽIVATELŮ IT
SVĚT IT KOLEM NÁS
JSTE NA NĚJ PŘIPRAVENI?• PC, laptopy, tablety, „chytré“ mobilní telefony, atd.
• Připojení do mobilní sítě a Wi-Fi všude (auta).
• IoT – chytré domácnosti/domy, spotřebiče, atd.
• Sociální sítě, aplikace mobilní/desktopové.
NEBEZPEČÍ IT SVĚTA KOLEM NÁS
• Neřešíme vůbec otázku bezpečnosti.– Hlavně že nám funguje Internet!
• Co Vaše domácí Wi-Fi?• Co veřejné Wi-Fi sítě (hotely, kavárny, letiště..)
– Hesla a jejich správa• Stačí nám dnes jedno heslo na vše?• Jak hesla spravujete?
– Extrémně rychlý vývoj mobilních a desktopových aplikací.• Kontrolujete licence aplikací nebo jen stahujete a používáte?• Jste si jistí, že aplikace kterou používáte nedělá něco navíc?• Řešíte bezpečnost kódu aplikace?
NEBEZPEČÍ IT SVĚTA KOLEM NÁS– Co vy a sociální sítě?
• Máte obavy, že budou Vaše informace zneužity?• Vkládáte fotky na Facebook, Instagram, atd.?• Co je vlastně soukromí?
– Chytré spotřebiče – pračka, kávovar, osvětlení, atd.• Jak se připojují, jak se ovládají?• Jaký protokol a jaký port používají?
– Jak nás ovlivňuje ztráta mobilního zařízení?• Soukromé vs. pracovní zařízení (BYOD, CYOD).• Jak se zbavujeme IT hraček (bazary, kamarádi, atd.)
– Kontrolujete na co klikáte na webu a jaké emaily otvíráte?
Máte čas tohle všechno vůbec řešit?
PŘÍKLADY KOLEM NÁS
“HEY SIRI, UNLOCK THE FRONT DOOR.” She unlocked the front door.
CHOVÁNÍ V KYBERNETICKÉM PROSTORU
Zdroj:govcert.cz
CO (NE)DĚLAT PO TECHNICKÉ STRÁNCE
Zdroj:govcert.cz
CO NÁS OHROŽUJE V KYBERNETICKÉM PROSTORU?
KDO MŮŽE BÝT ÚTOČNÍKEM
• Jednotlivci.
• Malé skupiny útočníků (různě organizované).
• Velmi dobře organizované skupiny.
• Skupiny útočníků na úrovni vlád zemí.
• Script Kiddie
• White Hat – (EthicalHacker)
• Black Hat – (Cracker)
• Gray Hat
KDO MŮŽE BÝT CÍLEM
NENÍ NIKDO, KOHO BY SE ÚTOKY NETÝKALI!
• Jednotlivci
• Soukromé společnosti
• Státní podniky
• Průmyslové odvětví
• Stát
TYPY ÚTOKŮ
• Spoofing – MAC, IP, Aplikace/služba• Reflection and Amplification – DNS, ICMP, NTP• Social Engineering• Phishing / Pharming• DoS/DDoS• Password attacks• Reconnaissance attacks• Man-in-the-Middle attacks , atd.
Zdroj:ENISA
ŠKODLIVÝ KÓD = MALWARE
• Virus, Adware, Spyware, Trojský kůň, Červ, Backdoor, Botnet, Adware, Downloader, Ransomware
• Zero-day attacks
• Blended threats
• Advanced Persistent Threat (APT)
MALWARE V Q1 2017
Zdroj:Malwarebytes
RANSOMWARE V Q1 2017
Zdroj:Malwarebytes
JAK JE (NE)SNADNÉ ÚTOČIT
KYBERNETICKÉ ÚTOKY
• Proč jsou tak populární?
• Čeho se bát?– Útok z vnitřní sítě?
– Útok z vnější sítě?
• Nástroje pro testování bezpečnosti sítě a systémů jsou totožné s nástroji k průniku!– Je těžké takové nástroje získat?
– Je těžké takové nástroje používat?
PROSTŘEDÍ PRO TESTOVÁNÍ BEZPEČNOSTI
STANDARDY A ZÁKONY
STANDARDY A ZÁKONY V ČR
• ISO 27000• ZoKB – 1.1. 2015, zákon č. 181/2014 Sb.,• Napříč EU – NIS Directive – 6.6. 2016.• Implementace NIS Directivy -> novela ZoKB
(aktuálně schválena PS).• GDPR – obecné nařízení - ochrana osobních údajů
– Schváleno 27.4. 2016– Účinný od 27.5. 2018
DÍKY ZA POZORNOST
![O DP T Kocourek 21 5 2013Katedra konstruování stroj ů Tomáš Kocourek 5 Obrázek 4:Inkubátor cca. 1909 [13] Roku 1930 se vývoj inkubátor ů zastavil a to p řevážn ě kv ůli](https://static.dokumenty.site/doc/80x56/5f2d99d0dde3f908a77e317b/o-dp-t-kocourek-21-5-2013-katedra-konstruovn-stroj-tom-kocourek-5-obrzek.jpg)
