Ηλεκτρονική Ασφάλεια χρηστών & πληροφοριών στο εταιρικό περιβάλλον «Ο ανθρώπινος παράγοντας στην Ασφάλεια» Οκτώβριος 2016
Δομή Παρουσίασης Εισαγωγή & Βασικές Έννοιες στην Ηλεκτρονική Ασφάλεια Περιπτώσεις Απειλών με στόχο το χρήστη Βέλτιστες πρακτικές και κατευθύνσεις
Πρώτη Ενότητα Εισαγωγή & Βασικές Έννοιες στην Ηλεκτρονική Ασφάλεια
Τρέχουσες τάσεις & καταστάσεις στο ηλεκτρονικό έγκλημα Μια Βιομηχανία/Οικονομία σε ανάπτυξη Οικονομικές απώλειες ~ $445 δις το 2014 σε παγκόσμιο επίπεδο* Πλέον κάθε επιχείρηση ανεξαρτήτως μεγέθους/αγοράς αποτελεί στόχο. Μεγαλύτερο μέγεθος -> Μεγαλύτερα πιθανά οφέλη Αύξηση των ευκαιριών για κακόβουλους χρήστες Internet of Things, Mobile πλατφόρμες διαθέσιμες Οι τελικοί χρήστες βρίσκονται σε μεγαλύτερο κίνδυνο. *Πηγή: Net Losses: Estimating the Global Cost of Cybercrime, McAfee 2014
Περιπτώσεις αυξημένου ηλεκτρονικού ρίσκου & κινδύνου Τα πιο αξιοσημείωτα περιστατικά ασφάλειας παρατηρούνται συνήθως: Σε οργανισμούς που συμμετέχουν σε περιβάλλον υψηλής επιχειρηματικής ανταγωνιστικότητας Σε οργανισμούς που απέλυσαν εργαζόμενο με τον οποίο υπήρχαν οξυμένες σχέσεις Σε οργανισμούς που οι εργαζόμενοι δεν έχουν υψηλό βαθμό ενημέρωσης (security awareness) και βέλτιστων πρακτικών.
Πως επηρεάζεται ο οργανισμός Τρεις βασικές περιοχές που μπορούν να πληγούν τεχνικά: Εμπιστευτικότητα Ακεραιότητα Διαθεσιμότητα Άλλες συνέπειες: Νομικές Κοινωνικές Οικονομικές
Μια εσφαλμένη θεώρηση της Ασφάλειας Η Ασφάλεια Πληροφοριών είναι ένα πρόβλημα που λύνεται μόνο από το I.T. Η πολύπλευρη διάσταση του θέματος αγγίζει όλους τους εργαζόμενους και τους τρόπους δράσης τους. Οι τεχνικές δυνατότητες των συστημάτων και οι προδιαγραφές ασφάλειας βελτιώνονται Οι άνθρωποι / χρήστες ;
Η κοινή παραδοχή στο κόσμο της Ασφάλειας Ανθρώπινος παράγοντας: Ο πιο αδύναμος κρίκος της αλυσίδας. Μια διαφορετική δίοδος επιθέσεων και εκμετάλλευσης Συνήθως ο πιο εκμεταλλεύσιμος παράγοντας στο εταιρικό περιβάλλον. Παράδειγμα: Τραπεζικό πληροφοριακό σύστημα / εργαζόμενος. Γεγονός: Πιο εύκολο να προετοιμάσεις/ενημερώσεις εργαζομένους για θέματα ασφάλειας, απ οτι να ρυθμίσεις σωστά ενα firewall.
Δεύτερη Ενότητα Περιπτώσεις Απειλών με στόχο το χρήστη
Κοινωνική μηχανική (Social Engineering) Χειραγώγηση του ατόμου με διαφορετικά μέσα, με σκοπό την απόσπαση πληροφοριών εμπιστευτικού χαρακτήρα. Τα χαρακτηριστικά του ατόμου που μπορούν να γίνουν εκμεταλλεύσιμα: Εμπιστοσύνη Βοήθεια Φόβος Άλλα στοιχεία: Η αξία της πληροφορίας Η δύναμη της συνήθειας Η έλλειψη συγκέντρωσης
Κανάλια-μέσα επικοινωνίας επιτηθέμενου/χρήστη Ψηφιακά και Φυσικά μέσα Τηλέφωνο (Κλήσεις, SMS). e-mail (κακόβουλα URLs, συννημένα αρχεία διαφορετικών τύπων πχ. Exe, docx, xlsx κλπ.). Social Media (Facebook, Linkedin, Instagram κλπ.). Εφαρμογές Instant Messaging (Whatsapp, Viber κλπ). Hardware (USB sticks κ καλωδιακή επικοινωνία, κάρτες μνήμης κλπ.).
Phising Απάτη ηλεκτρονικού ψαρέματος Phising Παράφραση της λέξη fishing, που αφορά το ηλεκτρονικό ψάρεμα δεδομένων και πληροφορίας. Συχνά στηρίζεται σε κατασκευή πανομοιότυπων ιστοσελίδων για εξαπάτηση του χρήστη. Οι περιπτώσεις εστιάζουν σε σελίδες όπου γίνεται ηλεκτρονική υποβολή ευαίσθητων δεδομένων (πιστωτικές κάρτες, CVV, usernames/passwords κλπ). Ποικίλες τεχνικές phising Αναπτύσσονται νέες συνέχεια. Ενδεικτικά: Email / spam URL Manipulation Keyloggers Και άλλα περισσότερα -> http://www.phishing.org/phishing-techniques/
Phising σε ηλεκτρονικές συναλλαγές Ενδεικτικά παλαιότερη περίπτωση Amazon phising website:
Περίπτωση Blackboard Blackboard (http://uki.blackboard.com/) Εταιρία με ηλεκτρονικές πλατφόρμες e-learning για Πανεπιστήμια, μεγάλες επιχειρήσεις και οργανισμούς. Ενσωματώνει υλικό εκπαίδευσης οργανισμώνπελατών μεγάλου κόστους. Ευαισθησία δεδομένων χρηστών και εταιριών. Καμπάνια Phising Απρίλιος 2016 Παραπλάνηση χρήστη, Κλοπή ηλεκτρονικής ταυτότητας, Αποκάλυψη ευαίσθητων δεδομένων σε διαφορετικούς εταιρικούς πελάτες.
Blackboard Καμπάνια phising Άξονες Προσέγγισης: - Dear user : -Απρόσωπο - Has left two important course work : -Γενικότητα - login.blackboard.edu.. : Αληθοφάνεια -...inactive after 10 minutes : Επείγον Πηγή: The University of Tennessee (http://help.utk.edu/status/security.php?s=16) - Blackboard IT : Πλαστοπροσωπία
Social media phising Έρευνα Kaspersky (2014): 22% των επιθέσεων phising στοχεύουν το Facebook. Έρευνα Velocity Digital (2013): 25% των χρηστών δεν έχουν ασχοληθεί ποτέ με τις ρυθμίσεις ιδιωτικότητας (privacy settings). Χρήση κοινωνικών δικτύων για συλλογή προσωπικών πληροφοριών όπως: Ονοματεπώνυμο, Ημερομηνία γέννησης, Φίλοι, Εργοδότης, Χόμπι δραστηριότητες, Προτιμήσεις, Διευθύνσεις e-mail κ.α. Προετοιμασία δράσης βάση των παραπάνω. Αυξημένες πιθανότητες επιτυχημένης απόπειρας phising.
Phising περιπτώσεις σε κοινωνικά μέσα Συνηθισμένες πρακτικές phising σε κοινωνικά δίκτυα: Ψεύτικα προφίλ σε λογαριασμούς εξυπηρέτησης πελατών σε Twitter / Facebook. Ψεύτικα σχόλια σε δημοφιλή άρθρα/posts. Ψεύτικα URLs για live-streaming. Ψεύτικες εκπτώσεις/προσφορές online. Ψεύτικα online ερωτηματολόγια και διαγωνισμοί.
Επιθέσεις μέσω USB sticks Χρήση USB για απομακρυσμένη πρόσβαση σε υπολογιστή-δίκτυο Κατάλληλα εφοδιασμένα USB sticks για εκτέλεση κακόβουλου κώδικα μέσω autorun Έρευνα της Google με 297 USB sticks* ~48% των ατόμων του πειράματος, σήκωσαν και τοποθέτησαν το stick σε υπολογιστη Πιθανοί λόγοι: Για αναζήτηση στοιχείων σχετικά με τον ιδιοκτήτη Για περιέργεια σχετικά με το περιεχόμενα του Για να αποκτήσει το χαμένο USB stick Γιατί απλά είναι άλλο ένα USB stick (!) *April 2016 - Users Really Do Plug in USB Drives They Find https://cdn.elie.net/publications/users-really-do-plug-in-usb-drives-they-find.pdf
Επιθέσεις μέσω USB sticks (2) Σε ενα σύνηθες επιτυχημένο σενάριο: Ο κακόβουλος χρήστης έχει απευθείας πρόσβαση στον υπολογιστή του θύματος μόνο με τη τοποθέτηση του stick στη USB θύρα. Εναλλακτικά σενάρια: Τα USB sticks να μεταφέρουν ιούς (πχ ransomware) που μπορούν να δημιουργήσουν απώλεια διαθεσιμότητας πόρων (πχ διαγραφήκρυπτογράφηση αρχείων κλπ)
Επιθέσεις μέσω USB sticks (3) Άλλες περιπτώσεις: Το stick να ανήκει σε κάποιο απλό χρήστη ο οποίος έχει μολυνθεί απο κακόβουλο λογισμικό το οποίο έφτασε μέχρι το USB του. Ο ιος να μεταφερθεί εν αγνοία του ιδιοκτήτη σε άγνωστη υποδομή και το πρόβλημα να μεταδωθεί περαιτέρω. Συμπέρασμα Σε κάθε περίπτωση η κακόβουλη χρήση του USB stick μπορεί να φέρει άμεσα και καταστροφικά αποτελέσματα
Τρίτη Ενότητα Βέλτιστες πρακτικές και κατευθύνσεις
Αναγνώριση σημείων πιθανής κακόβουλης συμπεριφοράς Αυτός που σας καλεί / επικοινωνεί μαζί σας: Αρνείται να παράσχει ΑΜΕΣΑ αριθμό για να τον καλέσετε πίσω. Ρίχνουν συγκεκριμένα ονόματα στη συζήτηση. Το αίτημά τους δεν είναι συνηθισμένο / καθημερινό. Δεν νιώθουν άνετα όταν δέχονται ερωτήσεις. Σας απειλούν έμμεσα/άμεσα σε περίπτωση μη συμμόρφωσης με τις απαιτήσεις τους. Ισχυρίζονται ότι έχουν εξουσία πάνω στην απαίτησή τους. Πιέζουν για επείγουσα κατάσταση. Κολακεύουν για να πάρουν αυτό που θέλουν μέσω της επικοινωνίας.
Προστασία ευαίσθητων δεδομένων (1) Για ασφαλή περιήγηση & συναλλαγές: Κοιτάμε για https σε περιπτώσεις υποβολής ευαίσθητων δεδομένων. Κοιτάμε τη μπάρα URL στο browser αν ανήκει στο site που επιθυμούμε. Δεν αγνοούμε προειδοποιητικά μηνύματα ασφάλειας του browser. Στα κοινωνικά δίκτυα: Ελέγχουμε τις ρυθμίσεις ασφάλειας και ιδιωτικότητας. Περιορίζουμε τα προσωπικά δεδομένα στον κύκλο επαφών μας. Φιλτράρουμε περιεχόμενο από πιθανώς ψεύτικες έρευνες / διαγωνισμούς / διαφημίσεις.
Προστασία ευαίσθητων δεδομένων Για χρήση e-mail: (2) Σκεπτόμαστε προσεκτικά πριν ανοίξουμε συννημένα αρχεία ή απαντήσουμε σε οποιοδήποτε αίτημα που έρχεται. Δεν απαντάμε ποτέ σε mail παρέχοντας ευαίσθητη πληροφορία όπως username / password ή παρόμοια. Δεν εμπιστευόμαστε URLs που περιέχονται σε e-mail τα οποία μας προτρέπουν να τα επισκεφθούμε. Σε κάθε περίπτωση διαγράφουμε e-mails που μας φαίνονται ύποπτα ή έχουν εντελώς άγνωστη διεύθυνση αποστολέα.
Προστασία ευαίσθητων δεδομένων (3) Στα συστήματα της εταιρίας: Χρησιμοποιούμε έναν μοναδικό κωδικό για κάθε σύστημα (αν δουλεύουμε με πρόσβαση σε παραπάνω από ένα συστήματα). Αξιοποιούμε μια ισχυρή πολιτική κωδικών (π.χ. Συνδυασμούς απο κεφαλαία, πεζά, σύμβολα και αριθμούς). Δεν διατηρούμε επιλογές που επιτρέπουν να θυμούνται τους κωδικούς μας στη log in φόρμα. Δεν μοιραζόμαστε προσωπικό PIN και κωδικούς με άλλους συναδέλφους. Θυμόμαστε να κάνουμε log out από το σύστημα όταν απομακρυνόμαστε από τον υπολογιστή για κάμποση ώρα
Προστασία ευαίσθητων δεδομένων Στο τηλέφωνο: (4) Επιβεβαιώνουμε τον πελάτη με χρήση προσωπικών του δεδομένων απο τη καρτέλα του πελάτη. Δεν παρέχουμε κρίσιμη πληροφορία από το τηλέφωνο. Είμαστε επιφυλακτικοί με πιθανούς συνεργάτες τους οποίους δεν γνωρίζουμε προσωπικά.
Προστασία ευαίσθητων δεδομένων Στη χρήση USB sticks: (5) Χρησιμοποιούμε τα εταιρικά USB sticks μόνο για επαγγελματικό σκοπό και με αμιγώς συσχετιζόμενο με τη δουλειά περιεχόμενο. Δεν συνδέουμε USB προσωπικής χρήσης σε εταιρικό σύστημα. Δεν συνδέουμε άγνωστης προέλευσης USB σε εταιρικό σύστημα για κανένα απολύτως λόγο. USB sticks που βρέθηκαν σε χώρο εντός του κτιρίου ή ακόμα και γύρω απ αυτό πρέπει να παραδίδονται άμεσα σε προσωπικό του I.T. της εταιρίας.
Αναφορά Περιστατικών Ασφάλειας Ενημέρωση του τμήματος I.T. σε περίπτωση υποψίας περιστατικού. Πιθανές ενδείξεις: Μη ομαλή συμπεριφορά του υπολογιστή εργασίας, Ασυνέπεια συγκεκριμένων εφαρμογών (κυρίως browser), Λήψη ύποπτων e-mails σε λογαριασμό της εταιρίας, Ειδοποιήσεις από το αντιβιωτικό ή/και άλλο πρόγραμμα ασφάλειας Ίντερνετ, κ.α.
ISO 27001 Διεθνές Σύστημα Διαχείρισης Ασφάλειας Πληροφοριών Σύνολο προκαθορισμένων απαιτήσεων-controls, Ανεξάρτητο απο τομέα ή μέγεθος οργανισμού, Συμβατότητα με IS0 9k, 14k. Βασικές απαιτήσεις και κύκλος ζωής του προτύπου: Εγκαθίδρυση, Υλοποίηση, Λειτουργία, Παρακολούθηση, Διατήρηση.
ΙSO 27001 - Αντικείμενα ελέγχου Πολιτική Ασφάλειας, Οργάνωση της Ασφάλειας Πληροφοριών, Διαχείριση Αγαθών, Ασφάλεια Ανθρώπινων Πόρων, Φυσική και περιβαλλοντική ασφάλεια, Επικοινωνίες και διαχείριση λειτουργιών, Έλεγχος Πρόσβασης, Απόκτηση, Ανάπτυξη και Διατήρηση Πληροφοριακών Συστημάτων, Διαχείριση περιστατικών Ασφάλειας Πληροφοριών, Διαχείριση Επιχειρηματικής Συνέχειας, Συμμόρφωση.
Συμπεράσματα Ραγδαία ανάπτυξη στις τεχνικές και τις προσεγγίσεις του ηλεκτρονικού εγκλήματος. Ποιος είναι υπεύθυνος για την ασφάλεια του οργανισμού; ΟΛΟΙ - Ο καθένας ξεχωριστά. Απόλυτη ασφάλεια δε μπορούμε να πετύχουμε, Ο βαθμός ασφάλειας όμως εξαρτάται από τη στάση μας στο πρόβλημα. Ασφαλής διαχείριση -> κακή επένδυση για επίδοξους χάκερς. Εκπαίδευση & συνεχής ενημέρωση του ανθρώπινου δυναμικού. Βελτιστοποίηση επιχειρηματικών διαδικασιών με γνώμονα την ασφάλεια.
Ευχαριστώ για το χρόνο σας! Ερωτήσεις?