Σχεδιάζοντας ένα σύγχρονο πρόγραµµα εκπαίδευσης στελεχών µικροµεσαίων επιχειρήσεων σε θέµατα ασφάλειας

Transcript

1 Σχεδιάζοντας ένα σύγχρονο πρόγραµµα εκπαίδευσης στελεχών µικροµεσαίων επιχειρήσεων σε θέµατα ασφάλειας Γιαννακόπουλος Χαράλαµπος Μηχανικός Η/Υ & Πληροφορικής, MSc, PhD Cand. Systems & Security Administrator ISO Security Auditor, HISP

2 Η ενθάρρυνση

3 Ενέργεια ΣΤ1 - Ενηµερωθείτε Αντικείµενο της ενέργειας: ιοργάνωση έξι (6) επαναλαµβανόµενων σεµιναρίων των τριών (3) ηµερών σε θέµατα ασφάλειας πληροφοριακών συστηµάτων Σκοπός: να παρέχει τις απαραίτητες γνώσεις στους εργαζόµενους των ΜΜΕ επιχειρήσεων και οργανισµών ώστε να αναγνωρίζουν τις επιθέσεις και τα προβλήµατα που συνήθως παρουσιάζονται καθώς και να γνωρίζουν τους βασικούς κανόνες για την αντιµετώπιση και αναχαίτιση των προβληµάτων αυτών. Στόχος: οι συµµετέχοντες να κατανοήσουν τον τρόπο που λειτουργούν οι hackers, τα εργαλεία που χρησιµοποιούν και να είναι σε θέση να αναπτύξουν µία αποτελεσµατική και αξιόπιστη Εταιρική Πολιτική Ασφάλειας.

4 Ενηµερωθείτε Μέρα 1η «Εισαγωγή σε θέµατα ασφάλειας υπολογιστικού και δικτυακού εξοπλισµού» Μέρη του πληροφοριακού εξοπλισµού Πως συνδεόµαστε στο δίκτυο ( ροµολογητές, switches, τηλεπικοινωνιακά δίκτυα, κλπ.) Εξυπηρετητές, σταθµοί εργασίας, µέσα αποθήκευσης δεδοµένων Λογισµικό Είδη επιθέσεων, τρόποι µόλυνσης, τεχνικές µετάδοσης ιών και συνήθη προβλήµατα ασφάλειας (downloads, επίσκεψη σε ιστοσελίδες, ηλεκτρονικό ταχυδροµείο, κ.ά.) Μεθοδολογία επίθεσης ενός hacker (αναγνώριση στόχου, συγκέντρωση πληροφοριών, χαρτογράφηση δικτύου, ανίχνευση αδυναµιών, απόκτηση πρόσβασης, κλπ.)

5 Ενηµερωθείτε Μέρα 2η «Μέθοδοι αντιµετώπισης προβληµάτων ασφάλειας υπολογιστικού και δικτυακού εξοπλισµού» Εργαλεία ανίχνευσης ευπαθειών Ασφάλεια σε Windows/Linux Εκµάθηση της χρήσης κατάλληλου εξοπλισµού (anti-viruses, personal firewalls, anti-spyware, cookies control, κ.ά.) Θέµατα Κρυπτογραφίας Βασικοί Κανόνες για την ενίσχυση της ασφάλειας και αντιµετώπιση συµβάντων επίθεσης Πολιτικές Ασφάλειας ISO 27000

6 Ενηµερωθείτε Μέρα 3η «Πρακτική εξάσκηση στην αντιµετώπιση προβληµάτων ασφάλειας υπολογιστικού και δικτυακού εξοπλισµού» Ξενάγηση των συµµετεχόντων στο Υπολογιστικό Κέντρο του ΕΑΙΤΥ (επίδειξη firewalls κτλ.) Χρήση του εργαστηρίου εικονικών υπολογιστών που διαθέτει το ΕΑΙΤΥ ως εργαλείο ανάλυσης επιθέσεων και εκπαίδευσης τεχνικών στην ασφάλεια Πληροφοριακών Συστηµάτων

7 Ρήσεις περί Ασφάλειας "The only secure computer is one that s unplugged, locked in a safe, and buried 20 feet under the ground in a secret location and I m not even too sure about that one." Dennis Huges (FBI) "Security is a journey, not a destination. You cannot solve your security problems once and for all and then just sit back." Leigh W. Jerome, PhD, of Pacific Telehealth & Technology Hui, on developing effective recordkeeping and storage procedures.

8 Security Intelligence Report (1/3)

9 Security Intelligence Report (2/3)

10 Security Intelligence Report (3/3) Περισσότερο (κατ αναλογία) κακόβουλο λογισµικό εντοπίζεται στις αναπτυσσόµενες χώρες απ ότι στις αναπτυγµένες. Ευρώπη: Τα περισσότερα προβλήµατα στην Αλβανία και τα λιγότερα στην Αυστρία και τη Φινλανδία. Ασία: Τα περισσότερα προβλήµατα στη Μογγολία και το Βιετνάµ καιταλιγότεραστηνταϊβάνκαιτηνιαπωνία. Αυτό οφείλεται στο ότι στις αναπτυγµένες χώρες: Ηεκπαίδευσησεθέµατα ασφάλειας υπολογιστικών συστηµάτων είναι καλύτερη. Ηχρήσηλογισµικού ασφάλειας είναι ευρύτερη.

11 Τι πρέπει να λάβουµε υπ όψιν Η τάση στο κακόβουλο λογισµικό είναι µεταβαλλόµενη. Αναδύονται νέες εκλεπτυσµένες απειλές και τεχνικές. Το θεωρητικό υπόβαθρο βοηθάει στην κατανόηση των σηµείων που πρέπει να προσεχθούν. Καλή η θεωρία, αλλά η ασφάλεια φαίνεται στην πράξη. Οι διαδικασίες είναι σηµαντικότερες από την τεχνική λύση. Οι εκπαιδευτές να διαθέτουν τόσο το επιστηµονικό υπόβαθρο όσο και ιδιαίτερη επαγγελµατική εµπειρία στο αντικείµενο της ασφάλειας πληροφοριακών συστηµάτων. Οι εκπαιδευόµενοι είναι ετερόκλητο κοινό.

12 ISO Information Security Management Systems 1. ISO/IEC 27001:2005: Information Security Management Systems (ISMS) 2. ISO/IEC 27002:2005 Code of Practice for ISMS 3. ISO/IEC ISMS Implementation Guide 4. ISO/IEC ISMS Measurements 5. ISO/IEC Risk Management 6. ISO/IEC Certification/Registration process 7. ISO/IEC Auditing ISMS systems 8. ISO/IEC Telecommunications in ISMS systems 9. ISO/IEC Implementing ISO/IEC in the healthcare industry

13 ISO Information Security Management Systems

14 Περιγραφή Επίθεσης

15 4 Security Technologies Every IT Organization Should Have Κάθε Οργανισµός Πληροφορικής πρέπει να διαθέτει τεχνολογίες ασφάλειας που θα καλύπτουν τρεις βασικούς µηχανισµούς ελέγχου: preventive, detective and corrective και να παρέχουν καταγραφή και αναφορά. 1. Risk Management Dashboard (RMD): συγκέντρωση και επεξεργασία στοιχείων από αρχεία καταγραφής 2. Anti-Malware: Anti-Virus και Anti-Spyware 3. Network Anomaly Detection (NAD): παρακολουθούν για γνωστές ενδείξεις ύποπτης συµπεριφοράς 4. Desired Configuration Management (DCM): ρυθµίζει τα συστήµατα, τα αναλύει και αναφέρει πόσο κοντά στις ιδανικές ρυθµίσεις βρίσκονται.

16 Στρογγυλή Τράπεζα Κλείσιµο Εκδήλωσης