2 o Infocom Security. Η εξέλιξη και το μέλλον των επιθέσεων παρείσδυσης. 5 Απριλίου 2012

Σχετικά έγγραφα
3 o Infocom Security. Η εξέλιξη και το μέλλον των επιθέσεων παρείσδυσης. Η πραγματικότητα ένα χρόνο μετά

018 Απειλές στον κυβερνοχώρο: Πρόληψη και διαχείριση κινδύνων

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (Ι) Απειλές Ασφαλείας Συμμετρική & Μη-Συμμετρική Κρυπτογραφία

Cyber Risk Insurance. Κωνσταντέλος Τάσος Διευθυντής Ανάπτυξης Εργασιών. Front Line S.A. Insurance Brokers

DDoS (Denial of Service Attacks)

Ασφάλεια, Διαθεσιμότητα και Ταχύτητα για τις Web Εφαρμογές

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

ΙΤ Infrastructures. Cyber Security Presentation

Τ.Ε.Ι. Δυτικής Ελλάδας Τμήμα Διοίκησης Επιχειρήσεων Μεσολόγγι. 9 η Διάλεξη. Μάθημα: Τεχνολογίες Διαδικτύου

Σχεδιάζοντας ένα σύγχρονο πρόγραµµα εκπαίδευσης στελεχών µικροµεσαίων επιχειρήσεων σε θέµατα ασφάλειας

ΕΠΑΝΑΛΗΠΤΙΚΟ ΤΕΣΤ ΣΤΗΝ ΕΝΟΤΗΤΑ

GDPR : Περιστατικά Παραβίασης Προσωπικών Δεδομένων 8 μήνες μετά

Ready Business Secure Business

Δίκτυα Υπολογιστών Firewalls. Χάρης Μανιφάβας

Antonis Stamatopoulos Commercial Director. AI Attacks & Incident Lifecycle Management

Security Project, Athens 26 May 2017

1.2 CISO. IaaS infrastructure as a service PaaS platform as a service SaaS software as a service IAM

Εργαστήριο Ασφάλεια Πληροφοριακών Συστημάτων SSL/TLS

Πανεπιστήμιο Πειραιά Τμήμα Ψηφιακών Συστημάτων. ίκτυα Υπολογιστών Ι. To Μοντέλο OSI. Αναπλ. Καθηγ. Π. εμέστιχας

Ασφάλεια Πληροφοριακών Συστημάτων

ΤΕΧΝΟΛΟΓΙΑ ΔΙΚΤΥΩΝ ΕΠΙΚΟΙΝΩΝΙΩΝ

1 Εισαγωγή στην Ασφάλεια Η/Υ

Κώστας Βούλγαρης Financial Lines & Casualty Manager. CyberEdge

Αρχιτεκτονική Ασφάλειας

Security in the Cloud Era

ΑΣΦΑΛΕΙΑΣ ΣΕ INTERNET HOSTS

Ασφάλεια Πληροφοριακών Συστημάτων

Οι Προκλήσεις της Ασφάλειας Διαδικτύου για τις Επιχειρήσεις & Τα Πρότυπα Προστασίας των Προσωπικών Δεδομένων

Εισβολείς. Προτεινόµενες ιστοσελίδες. Τεχνικές εισβολής Προστασία µε συνθηµατικό Στρατηγικές επιλογής συνθηµατικών Εντοπισµός εισβολών

Συστήματα Διαχείρισης Κινδύνου στα Ασύρματα Δίκτυα. Επιμέλεια: Βασίλης Παλιούρας MSc Information Security, MCSA, CCDA, CCA

Εισαγωγή στο πως λειτουργεί το διαδίκτυο

Managing Information. Lecturer: N. Kyritsis, MBA, Ph.D. Candidate Athens University of Economics and Business.

Στρατηγικές Ασφάλειας

Κεφάλαιο 2. Υπολογιστές και Τεχνολογία Επικοινωνιών Παρελθόν - Παρόν - Μέλλον

Ενότητα 1. Εισαγωγή στις βασικές έννοιες των ικτύων ΗΥ

Ηλεκτρονικό Εμπόριο. Ενότητα 9: Ασφάλεια Ηλεκτρονικού Εμπορίου Σαπρίκης Ευάγγελος Τμήμα Διοίκησης Επιχειρήσεων (Γρεβενά)

Web Application Firewall

BUSINESS SOFTWARE DIVISION

Connected Threat Defense

ΤΕΙ ΗΠΕΙΡΟΥ Τμήμα Τηλεπληροφορικής & Διοίκησης

ΠΤΥΧΙΑΚΗ ΕΡΓΑΣΙΑ ΑΛΕΞΑΝΔΡΗΣ ΚΩΝΣΤΑΝΤΙΝΟΣ A.M ΘΕΜΑ: ΑΣΦΑΛΕΙΑ ΣΤΟ TCP/IP ΚΑΙ ΣΤΟ WEB ΕΠΙΒΛΕΠΩΝ ΚΑΘΗΓΗΤΗΣ: ΤΣΙΑΝΤΗΣ ΛΕΩΝΙΔΑΣ

Σκοπιµότητα των firewalls

Εισαγωγή στην επιστήμη των υπολογιστών. Υλικό Υπολογιστών Κεφάλαιο 6ο ίκτυα υπολογιστών

Ασφάλεια στο δίκτυο GSM

Β. Μάγκλαρης 30/11/2015

Connected Threat Defense

Μοντέλο OSI 1.8. Κεφάλαιο 1. ΕΠΑ.Λ. Άμφισσας Σχολικό Έτος : Τάξη. : Β Τομέα Πληροφορικής Μάθημα. : Δίκτυα Υπολογιστών I Διδάσκων

Δίκτυα Υπολογιστών ΙΙ (Ασκήσεις Πράξης)

1.2.2 Το μοντέλο δικτύωσης TCP/IP 1 / 26

16REQ

GDPR. «Η προστασία των προσωπικών δεδομένων και η ασφάλεια των πληροφοριακών συστημάτων» Φώτης Ρωμούδης. Τρίτη 20/03/2018. Senior IT Consultant

ΤΕΧΝΟΛΟΓΙΚΟ ΕΚΠΑΙΔΕΥΤΙΚΟ ΙΔΡΥΜΑ ΚΑΛΑΜΑΤΑΣ (ΠΑΡΑΡΤΗΜΑ ΣΠΑΡΤΗΣ) ΤΜΗΜΑ ΤΕΧΝΟΛΟΓΙΑΣ ΠΛΗΡΟΦΟΡΙΚΗΣ ΚΑΙ ΤΗΛΕΠΙΚΟΙΝΩΝΙΩΝ

Δίκτυα Υπολογιστών I

Fraud Prevention Forum 2013

Υλοποίηση σχημάτων ασφαλείας σε ασύρματα δίκτυα

Δίκτυα Υπολογιστών Ι

Φύλλο Κατανόησης 1.8

Ιόνιο Πανεπιστήµιο Τµήµα Αρχειονοµίας Βιβλιοθηκονοµίας. Μοντέλο TCP/IP. Ενότητα E. Συστήµατα Επικοινωνίας

Η Ασφάλεια Πληροφοριών στο χώρο της Εκκαθάρισης των Χρηµατιστηριακών Συναλλαγών

Πολεμώντας τον πιο αδύναμο κρίκο Ανθρώπινο Λάθος. Ανδρέας Χριστοφορίδης Επικεφαλής Υπηρεσιών Τεχνολογικού κινδύνου

Μάθημα 6: Αρχιτεκτονική TCP/IP

ΗΜΕΡΟΛΟΓΙΟ ΓΛΩΣΣΑΡΙ ΔΙΑΔΙΚΤΥΟΥ

Τεχνολογίες & Εφαρμογές Πληροφορικής Ενότητα 10: Ασφάλεια στο Διαδίκτυο

ίκτυα - Internet Μάθηµα 3ο Ενότητα Β: Το Πρότυπο ΤCP/IP Eισαγωγή - Επικοινωνία µεταξύ δύο Υπολογιστών Παρασκευή 10 NOE 2006 ιευθύνσεις

ΤΟ ΠΡΟΤΥΠΟ ΙΕΕΕ ΑΣΥΡΜΑΤΗΣ ΕΥΡΥΖΩΝΙΚΗΣ ΠΡΟΣΒΑΣΗΣ

Πιστοποίηση επάρκειας ικανότητας φορέων ( ΚΠΣ)

Ασφάλεια Τηλεπικοινωνιακών Συστημάτων

Cryptography and Network Security Chapter 21. Fifth Edition by William Stallings

8.3 Ασφάλεια ικτύων. Ερωτήσεις

Εκπαίδευση στην Κυβερνοασφάλεια Απειλές Παραβιάσεων Προσωπικών Δεδομένων

Ασφάλεια Υπολογιστικών Συστηµάτων

Εξειδικευμένο λογισμικό για GRC

8.3 Ασφάλεια Δικτύου Ασφάλεια Πληροφοριών Επεξήγηση Ορολογίας Μέθοδοι Παραβίασης

G D P R : C O M P L I A N C E & P H Y S I C A L S E C U R I T Y

Πρωτόκολλα Επικοινωνίας Πρωτόκολλο IP

Ασφάλειας στην Πληροφορική και τις Επικοινωνίες

Εκτίμηση κινδύνου και μέτρα ασφαλείας για την προστασία προσωπικών δεδομένων

Ασφάλεια Υπολογιστικών Συστηµάτων

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ. ΔΙΑΧΕΙΡΙΣΗ ΑΣΦΑΛΕΙΑΣ: SSL/TLS, , Firewalls, IDS. Β. Μάγκλαρης

GDPR Από τη Θεωρία στην Πράξη Μύθοι και Πραγματικότητα Κώστας Παπαχριστοφής (MSc, MBA)

Παραδείγµατα δικτυακών τεχνολογιών. Ethernet Internet ATM

Διαχείριση Τεχνολογιών Ηλεκτρονικού Εμπορίου Security in the E-Commerce

2. Ασφάλεια Web Εφαρμογών 3. Αντιμετώπιση επιθέσεων τύπου Denial- of- Service (DoS & DDoS)

Α5.1 Εισαγωγή στα Δίκτυα. Α Λυκείου

How does blockchain apply to cyber security

Cryptography and Network Security Overview & Chapter 1. Fifth Edition by William Stallings

ΕΠΛ 001: ΕΙΣΑΓΩΓΗ ΣΤΗΝ ΕΠΙΣΤΗΜΗ ΤΗΣ ΠΛΗΡΟΦΟΡΙΚΗΣ. Δίκτυα Υπολογιστών

(Εννοιολογική θεμελίωση)

Εθνική ΥπηρεσίαΠληροφοριών

Voice over IP: Απειλές, Ευπάθειες και Αντίµετρα

Ασφάλεια Δικτύων. Τι (δεν) είναι Ασφάλεια Δικτύων. Γιάννης Ηλιάδης Υπεύθυνος Ασφάλειας Δικτύου ΤΕΙΡΕΣΙΑΣ Α.Ε. 24/11/07

ΣΕΜΙΝΑΡΙΟ. ΠΑΡΟΥΣΙΑΣΗ 19/5/11 Αµφιθέατρο

ΔΙΑΧΕΙΡΙΣΗ ΔΙΚΤΥΩΝ Διαχείριση Ασφαλείας (ΙΙ) Πρωτόκολλα & Αρχιτεκτονικές Firewalls Anomaly & Intrusion Detection Systems (IDS)

LAW FORUM GDPR DATA BREACH. Γιώργος Τσινός Υπεύθυνος Ασφάλειας Πληροφορίας (CISO)

GDPR και Τεχνικά Μέτρα Ασφάλειας Πληροφοριακών Συστημάτων

CYBER INSURANCE BY.

Επίπεδο δικτύου IP διευθυνσιοδότηση

Πρότυπο Αναφοράς Open Systems Interconnection (OSI) Επικοινωνίες Δεδομένων Μάθημα 5 ο

Ιόνιο Πανεπιστήμιο Τμήμα Πληροφορικής Εισαγωγή στην Επιστήμη των Υπολογιστών Δίκτυα υπολογιστών. (και το Διαδίκτυο)

Transcript:

2 o Infocom Security Η εξέλιξη και το μέλλον των επιθέσεων παρείσδυσης 5 Απριλίου 2012 KPMG has been awarded with the Europe Awards 2011 as the information security consultancy of the year 2011 by SC Magazine

Η εξέλιξη και το μέλλον των επιθέσεων παρείσδυσης Έλλειψη πολλαπλών επιπέδων ασφάλειας Έλλειψη μηχανισμών ελέγχου Ελλιπείς προδιαγραφές 1

Συχνότητα Η εξέλιξη και το μέλλον των επιθέσεων παρείσδυσης Υψηλή CaaS Exploiting Known Vulnerabilities Botnets Cyber War Hacktivism Economic espionage (Προδιαγραφές GAP ασφάλειας) Χαμηλή Password Guessing Self Replicating malicious code Malware Απαιτήσεις: Υπολογιστικοί πόροι Τεχνογνωσία 1990 2000 2010 2015 2

Περιεχόμενα 52 believe that the overall level of e-crime risk increased over the last 12 months KPMG e-crime survey 2011 Κίνητρα - Μέθοδοι - Τεχνικές Μηχανισμοί ασφάλειας

Κίνητρα (αντικειμενικοί σκοποί) Οικονομικό όφελος - Μη εξουσιοδοτημένες τηλεφωνικές κλήσεις [phone phreaking] (Kevin Mitnick 1998, Cyberia 2000, Dark Dante 2001) Προσωπική προβολή - Υποκλοπή εμπιστευτικών εταιρικών πληροφοριών (Kevin Mitnick 1990, HFM 2010) Στρατιωτική αποδυνάμωση μέσω άρνησης υπηρεσιών - Κυβερνο-στρατοί (Stuxnet 2009, NightDragon 2011) Οικονομικό όφελος - Υποκλοπή εμπιστευτικών πληροφοριών (cyber crime as a service) (Sony 2011) Προβολή κοινωνικής ατζέντας - Υποκλοπή απόρρητων πληροφοριών (Anonymous 2011) Προβολή κοινωνικής ατζέντας - Άρνηση υπηρεσιών (DOS) με σκοπό την προβολή κοινωνικής ατζέντας (GHS, Anonymous 2012) κ.α. 4

Cybercrime as a Service Πρόσβαση σε σταθμούς εργασίας (zombies) Δεδομένα προσωπικού χαρακτήρα (dubbed dumps) Εταιρικά εμπιστευτικά δεδομένα Χρήση εταιρικών πόρων (botnets) RSA 2012 Cyber crime trends report Μη κοινοποιημένες αδυναμίες (zero-day exploits) Επιθέσεις άρνησης υπηρεσιών (DOS) Forbes Magazine, April 2011 5

Cybercrime as a Service (συν.) Client-side attack / Application Threat Persistent Αποστολή spear-phishing e-mail Εγκατάσταση κακόβουλου λογισμικού 54 believe that their organization has not a threat management strategy for APT. RSA APT Summit Findings 2011 6

Cybercrime as a Service (συν.) Client-side attack / Service Threat Persistent Πρόσβαση στον ενδιάμεσο μεσολαβητή Εκτέλεση επιθέσεων τύπου Man-in-the-Middle 7

Μέθοδοι Τεχνικές Μη αυτοματοποιημένες τεχνικές Εκμετάλλευση τεχνολογικών αδυναμιών ασφάλειας (vulnerability identification and exploitation) Προκαθορισμένοι, μη πολύπλοκοι κωδικοί πρόσβασης Κενά ασφάλειας λόγω έλλειψης επικαιροποιημένου λογισμικού ασφάλειας Μη συμμόρφωση με τις οδηγίες των προμηθευτών 10% 5% 1% 84% Hacker Cracker Script kiddie Neophyte 8

Μέθοδοι Τεχνικές (συν.) Αυτοματοποιημένες, με την χρήση εμπορικών εργαλείων και εργαλείων ανοικτού κώδικα Κοινωνική μηχανική (social engineering) Κατανεμημένες επιθέσεις άρνησης υπηρεσιών (DDOS) Σενάρια επίθεσης, αξιοποιώντας πολλαπλές τεχνολογικές αδυναμίες (attack scenarios) Σενάρια επίθεσης σε περιφερειακές συσκευές (BYOD) κ.α. 20% 10% 50% 20% Hacker Cracker Script kiddie Neophyte Verizon 2012 Data breach investigations report 9

Κατανεμημένες επιθέσεις άρνησης υπηρεσιών OSI Layer 7 Application Layer 6 ation Layer 5 Session Layer 4 Transport Layer 3 Network Layer 2 Data Link Layer 1 Physical TCP /IP Application HTTP(S), Telnet, FTP Session e.g. RPC Transport Sockets/Steams - TLI TCP / UDP Network IP + ARP/RA RP/ICMP Physical Protocol Ethernet/FDDI/PPP Transmission medium Coax, Fiber, 10baseT.. Denial of Service Attacks Vulnerabilities exploitation Network flooding Teardrop & smurf Ping of Death Application flooding 10

Κατανεμημένες επιθέσεις άρνησης υπηρεσιών (συν.) Attacker Zombies HTTPS HTTP Spear phishing Victim 11

Κατανεμημένες επιθέσεις άρνησης υπηρεσιών (συν.) 12

Κατανεμημένες επιθέσεις άρνησης υπηρεσιών (συν.) Attacker Masters Slaves Reflectors HTTPS spoofing Spear phishing Victim 13

Κατανεμημένες επιθέσεις άρνησης υπηρεσιών (συν.) 14

Περιεχόμενα 66 believe that the level of network security has been increased over the last 12 months Ponemom Institute 2011 Κίνητρα - Μέθοδοι - Τεχνικές Μηχανισμοί ασφάλειας

Μηχανισμοί ασφάλειας Productivity first, security later Τεχνολογικοί (π.χ. τοίχοι προστασίας, ιομορφικό λογισμικό, κωδικοί πρόσβασης, κτλ) Εφαρμογή των τεχνικών προδιαγραφών ασφάλειας των προμηθευτών Εκτέλεση τεχνικών ανίχνευσης τεχνολογικών αδυναμιών (vulnerability scanning) Αποδοχή κινδύνων unknown unknown / highly unlikely 5% 10% 5% 80% Preventive Detective Corrective Containement 16

Υποκλοπή κωδικών πρόσβασης http://code.google.com/p/pyrit/ 2 billions passwords / sec 17

Υποκλοπή κωδικών πρόσβασης (συν.) Υποκλοπή πολύπλοκου κατακερματισμένου (NTLM) κωδικού 10 χαρακτήρων σε 24 ώρες 3 εργαστήρια ασφάλειας 32 κάρτες γραφικών 20 billion passwords per second 64 CPU Cores 320 ΤΒ αποθηκευτικός χώρος 22 billion passwords per second Relay Database 8TB Relay Database 4TB 26 billion passwords per second Central Database 300TB Relay Database 4TB 20 billion passwords per second Relay Database 4TB 20 billion passwords per second 18

Μηχανισμοί ασφάλειας (συν.) Υιοθέτηση κανονιστικών / θεσμικών πλαισίων ελέγχου Αυτοματοποιημένοι ελεγκτικοί μηχανισμοί GRC Βελτίωση των μηχανισμών ανίχνευσης επιθέσεων Βελτίωση των μηχανισμών περιορισμού πρόσβασης (least privilege) Informat ion Εφαρμογή πολλαπλών επιπέδων ασφάλειας (defense in depth) 20% 10% 40% 30% Preventive Corrective Detective Containement 19

Μηχανισμοί ασφάλειας (συν.) Measure security Αναδοχή ασφάλειας με γνώμονα την απόδοση (SROI) Ποσοτικοποίηση των κινδύνων (KRIs) και των μηχανισμών ασφάλειας (KCIs) Έλεγχοι πληροφοριακών συστημάτων Risk based / Proof-Of-Concept Act Globally Εφαρμογή παγκόσμιου πλαισίου συνεργασίας (Europol, FBI, Interpol, NATO, EU CERT) Ανάθεση κεντρικής διαχείρισης μηχανισμών ασφάλειας σε τρίτους (consolidated SaaS) Πιστοποίηση ασφάλειας εφαρμογών από εξωτερικούς φορείς (attestation) 20

Μηχανισμοί ασφάλειας (συν.) Operationalize security Ολιστική διαχείριση κινδύνων πληροφοριών Ενσωμάτωση μηχανισμών ασφάλειας στις καθημερινές διαδικασίες / λειτουργίες Υιοθέτηση κουλτούρας hacker Act as though you re already hacked Υιοθέτηση μηχανισμών περιορισμού επιπτώσεων Υιοθέτηση ισχυρών μηχανισμών πιστοποίησης (two-factor authentication) και κρυπτογράφησης Βελτίωση των μη-περιμετρικών μηχανισμών ασφάλειας 21

Μηχανισμοί ασφάλειας (συν.) 22

Η εξέλιξη και το μέλλον των επιθέσεων παρείσδυσης Security Discipline Viable Perpetual Arms Race Security Nirvana Security Discipline Not Viable CHAOS Software Engineering Less Secure Source: Gartner (May 2009) Security in 2013 and Beyond More Secure 23

Ερωτήσεις Στοιχεία επικοινωνίας Χρήστος Βιδάκης, CISA, CISM, CISSP, ISO 27001 LA Διευθυντής Risk Advisory Services IT Advisory Tel.: +30 210 60 62 100 Direct line: +30 210 60 62 228 cvidakis@kpmg.gr

2025 © DocPlayer.gr Πολιτική Απορρήτου | Όροι Χρήσης | Σχόλια