Emberek manipulálása (meggy!zése, megtévesztése), nem technikai eszközökkel tevékenységek végrehajtására bizalmas információk kiadására



Hasonló dokumentumok

Szolnoki Főiskola Szolnok

Spector 360 felhasználói monitoring adatszivárgás megelőzésére (DLP)

A Ket. végrehajtási rendeletei

Silent Signal Kft. Webáruházak biztonsági vizsgálatainak lehetőségei és tapasztalatai Szabó Péter Veres-Szentkirályi András

Szoftveripar és üzleti modellek

MŰSZAKI ÉS VAGYONGAZDÁLKODÁSI. IGAZGATÓSÁG MŰKÖDÉSI RENDJE S z a b á l y z a t Oldal: 2/13.

1 Betétlap. Oldalszám. X. Az adózó képviselői (szükség esetén több oldalon is részletezhető) 1. Képviselő neve: adószáma: Adóazonosító jele:

ETIKAI KÓDEX kivonat

PTGSZLAA Online számlarögzítő rendszer. MOLEHAND Szolgáltató Kft.

Milliós adatszivárgási károk Magyarországon A CDSYS adatvédelmi szakemberek körében készített felmérésének eredményei

Általános Felhasználási Feltételek (ÁFF)

A Semmelweis Egyetem kancellárjának K/1/2016. (I.04.) határozata. az Iratkezelési Szabályzat elfogadásáról

Vizsgáló- és kalibráló laboratóriumok felkészültségének általános körülményei (MSZ EN ISO/IEC 17025:2001) Tartalomjegyzék (1)

2015 Ecostudio Informatika Kft.

Juhász Ágnes BME, Ergonómia és Pszichológia Tanszék. Partnering 2004 Sopron

Bevezetés. Adatvédelmi célok

Problémakörök, megoldási igények a felsőoktatáshoz köthető elektronikus ügyintézésben

1. SZ. MELLÉKLET VOXBONE ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI

INFORMATIKAI ÉS INFORMATIKAI BIZTONSÁGI SZABÁLYZAT

Számítógépes adatbiztonság

Károli Gáspár Református Egyetem

Csaptelepek és öblítési rendszerek

Hungária Informatikai Kft.

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

Magyar. APC Smart-UPS SC. 1000/1500 VA 110/120/230 Vac. Toronykivitelű vagy 2U magas, RACK-be szerelhető szünetmentes tápegységhez

Szolgáltatási szerződés Szerződésszám: 2010/ web-hoszting szolgáltatási csomagról (egyéni előfizetők részére)

Adatait szigorúan bizalmasan kezeljük, harmadik fél számára nem adjuk ki.

Gyakorlati útmutató a kiber zsarolások megelőzésére

A licensztől a megoldásig

BELS ELLEN RZÉSI J E L E N T É S

6. TELJESÍTMÉNY ÉRTÉKELÉS Szempontjai és az értékelés rendje

Code of Conduct. Magatartási Kódex Bertelsmann.

XXII/7-14/2014.(11.18.) számú JEGYZŐI-POLGÁRMESTERI EGYÜTTES UTASÍTÁS

IT biztonság 2015/2016 tanév. ELTE IT Biztonság Speci

1. oldal, összesen: 29 oldal

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK

1. feladat: A BP partnerei pénzügyi szolgáltatók, amelyek lehetnek biztosítók, bankok, brókerházak.

Bevezetés és alapfogalmak

HP ProtectTools Felhasználói útmutató

Felhasználói kézikönyv. Magyar. APC Smart-UPS SC. 420/620 VA 110/120/230 Vac. Torony kivitelű szünetmentes tápegységhez

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

SZOLGÁLATI TITOK! KORLÁTOZOTT TERJESZTÉSŰ!

Üzleti etika kódex. Módosítva 2008 szeptemberében

Heves Megyei Vízmű Zrt. Adatvédelmi és adatbiztonsági szabályzata

8. Hálózatbiztonsági alapok. CCNA Discovery 1 8. fejezet Hálózatbiztonsági alapok

MSP4 A lega tfogo bb ipari mobil eszko zmenedzsment megolda s

PROJEKT ISMERTETŐ. PAT Pedagógus-továbbképzési Akkreditációs Testület

Összeállította: Friedrichné Irmai Tünde

2008. MÁV CARGO ÉRTESÍTŐ 5. szám

A SZEGEDI TUDOMÁNYEGYETEM INFORMATIKAI BIZTONSÁGI SZABÁLYZATA

Pécs Városi Költségvetési Központi Elszámoló Szervezet 7621 Pécs, Bercsényi u. 3. INFORMATIKAI BIZTONSÁGI SZABÁLYZAT. Hatályos: április 1.

Szakdolgozat témák 2015/16. tanév Szervezési és Vezetési Intézet

Pécsi Tudományegyetem Közgazdaságtudományi Kar HUMÁN ERŐFORRÁS. szakirányú továbbképzési szak

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK szerver, webtárhely és kapcsolódó szolgáltatások nyújtására...

ibanq 2 Felhasználói kézikönyv

Vállalkozói szerződés

I. Az üzemeltető adatai: Név: Meskete2015 Kft. továbbiakban üzemeltető. Székhely: 8174, Balatonkenese, Arany János utca 13

Általános Szerződési feltételek

Győrújbaráti II. Rákóczi Ferenc Általános Iskola Szervezeti és Működési Szabályzata

Általános Szerződési és Felhasználási feltételek

VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Üzleti kommunikációs igények és piaci lehetségek

NETLOCK SIGN szolgáltatás Rendelkezésre állási Szabályzata

ÖSSZEFOGLALÓ amely az Országos Munkavédelmi és Munkaügyi Főfelügyelőség Munkavédelmi Tanácsadó Szolgálata által valósult meg.

Az agresszió biológiai örökségünk eltávolíthatatlan része (Csányi V.)

Üzletszabályzat. STATUS Capital ZRt.

AZ ÜZLETI MAGATARTÁS IRÁNYELVEI

Adatkezelési szabályzat

Informatika biztonsági szabályzat

Általános Szerződési és Felhasználási feltételek

NYUGAT-MAGYARORSZÁGI EGYETEM A SZOFTVERHASZNÁLAT RENDJE

ÁLTALÁNOS SZERZŐ- DÉSI FELTÉTELEK Palatrans Express Kft. futárszolgálat, mint vállalkozás

Általános Szerződési és Felhasználási feltételek

Információ és kommunikáció

Adatkezelési Szabályzat. ( napjától hatályos szöveg)

Az itsmf Informatikai Szolgáltatásmenedzsment Fórum Magyarország Egyesület Alapszabálya

xkir Tesztintézmény Ügyvitel..SZAKMACSOPORT Irodai asszisztens..szakma OKJ SZÁMA: /

A vírusok Végi András¹, Antal Krisztina¹, Kiss Zsófia¹, Szécsényi Hajnalka¹, Demeter Lehel²

Felhasználási feltételek

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEK HELYHEZ KÖTÖTT TELEFON SZOLGÁLTATÁSRA MELLÉKLETEK

IV. Vásárlás - rendelés - fizetés menete. 1. Termékek kiválasztása és kosárba helyezése

Az Ön kézikönyve SHARP MX-NB10

Kinder Meglepetés 40! elnevezésű nyereményjáték HIVATALOS JÁTÉKSZABÁLYA ÉS ADATKEZELÉSI SZABÁLYZATA (Érvényes: től)

ISO Teljesítsük a Lehetetlent!

NYUGTALOTTO JÁTÉKSZABÁLYZAT

HIVATALOS JÁTÉKSZABÁLYA ÉS ADATKEZELÉSI SZABÁLYZATA

ÁLTALÁNOS SZERZŐDÉSI FELTÉTELEI

"Nagy karácsonyi Facebook kérdőív" játékszabályzat

Adversum Tanácsadó és Szolgáltató Kft.

DUNAÚJVÁROSI FŐISKOLA

Hatékony. kliensfelügyelet. Avégfelhasználói rendszerek tekintetében korántsem olyan egyértelmű a kép, mint az

Nemzeti Közszolgálati Egyetem. Informatikai és kommunikációs hálózat használatának és üzemeltetésének szabályai

IT BIZTONSÁG KÖZÉPTÁVÚ KIHÍVÁSAI A NAGYVÁLLALATI KÖRNYEZETBEN. (Váraljai Csaba, Szerencsejáték Zrt.) 2015

ADATVÉDELMI SZABÁLYZATA

A szerződés lényeges tulajdonságai az alábbiak szerint határozhatóak meg:

Általános Szerződési Feltételek (ÁSZF)

A PÉNZÜGYI SZERVEZETEK ÁLLAMI FELÜGYELETÉNEK KONZULTÁCIÓS ANYAGA

Ügyfél-tájékoztatási tevékenység. Dr. Rákosa Melinda NAV KAVIG Kiemelt Adózók Adóügyi és Végrehajtási Igazgatóhelyettes

GuideReg demó program telepítési útmutató

Átírás:

Social engineering Social engineering Emberek manipulálása (meggy!zése, megtévesztése), nem technikai eszközökkel tevékenységek végrehajtására bizalmas információk kiadására komputer rendszerek biztonságát érint! cselekményekhez kapcsolódóan 2

Technikák Ürügy gyártás Csali Elterelés, eltérítés Phising (adathalászat) Valamit valamiért 3 Ürügy gyártás Olyan helyzet, scenárió megteremtése és végrehajtása, melyben az áldozattól olyan bizalmas információk megszerezhet!k, melyeket normál körülmények között nem lehetne legtöbbször hamis megszemélyesítéssel el!zetes felkészülés, bennfentes infók szükségesek 4

Elterelés, eltérítés Corner game, átirányítás Áldozat rávétele arra, hogy információt, árut ne az eredeti célszemélynek, célhelyre juttasson el 5 Phising Privát, személyes információk megszerzése hozzáférési adatok (account, jelszó) leggyakrabban email, fake website segítségével elektronikusan nagy tömegben (spam) 6

Csali Vonzó formába csomagolt trójai megoldások fizikai média, vonzó infoscent-" linkek kiváncsiság, kapzsiság kihasználása 7 Quid pro quo Valamit valamiért Ellentételezésért (pl. segítség, ajándék) cserébe bizalmas infók kiadása Fordított social engineering a támadó olyan problémás helyzetet alakít ki, melyben az áldozat az! segítségét kéri 8

Még néhány fogalom Candy security (M&Ms) megoldások védelmen? Kukabúvárkodás kív"l er!s, belül gyenge biztonsági mi van, ha mégis átjutnak a küls! Security through obscurity eltitkolásra épített védelem mi van, ha infoszivárgás van? szenzitív info megfelel! megsemmisítése 9 Gyakori módszerek saját (technikai) alkalmazottnak adja ki magát partner cég alkalmazottjának adja ki magát magas pozícióban lév!nek adja ki magát ingyenes szoftvert, javítást ajánl vírusok, trójai programok küldése bejelentkezést kér valamilyen (ál)rendszerbe új munkatársnak adja ki magát, segítséget kér általa el!idézett probléma megoldásában segít regisztrációt igényl! rendszert üzemeltet 10

A social engineering szociológiája (pszichológiája) Kihasználható emberi tulajdonságok szánalom, kedvesség, stressz, szimpátia, naivitás, kapzsiság, felel!tlenség, hiúság emberi reakciók kiszámíthatósága Motivációk bosszúvágy, irányítás, kínzás, pénzügyi nyereség Módszerek személytelenség, barátságosság, ismer!sség Lehet!ségek túlterheltség, zavar, szórakozottság kihasználása 11 A jó social engineer Kedves, udvarias, meggy!z! megszerzése) kiválasztása) (eljárások, technikai adatok) Kell!en hidegvér" Gyors kapcsolat épít! képesség" (bizalom Jó emberismerettel rendelkezik (áldozatok Bennfentes információkkal rendelkezik 12

Támadásra utaló jelek Nincs pontos azonosítás, elérhet!ség Rendkívüli kérések S"rg!s intézkedési igények következményekkel fenyegetés Hivatali hatalommal fenyegetés Túlzott barátkozás, bizalmaskodás Együtt m"ködés hiánya esetén negatív 13 Leggyakoribb célpontok Az információk értékét nem ismer! alkalmazottak Különleges hozzáféréssel rendelkez!k Gyártók és beszállítók Speciális szervezeti egységek (HR, pénzügy) 14

Sebezhet!séget növel! tényez!k nagy alkalmazotti létszám több telephely információk biztonsági képzés hiánya nyilvánosan elérhet! telefonmellék adat/információ klasszifikálás hiánya incidens jelentési/reagálási eljárások hiánya 15 Megel!zés, védekezés Megfelel! biztonság politika kidolgozása alkalmazottakkal megismertetése betartattatása alkalmazottak képzése eljárások szabályozása alkalmazott technikai megoldások kockázat minimalizálása 16

A biztonság politika elemei Utasítások, el!írások az információt véd! magatartáshoz Kockázat felmérés védend! er!források, fenyegetések, lehetséges károk Irányelvek kialakítása Eljárások kialakítása technológiai háttér (automatikus eljárások, ellen!rzés) 17 Irányelvek Adatosztályozás adatok min!sítése titkos, privát, bels!, nyilvános adatok tulajdonosai, felel!sök Felhasználók osztályozása nem ellen!rzött személy, megbízható személy, kezességet vállaló, privilégizált felhasználók 18

Irányelvek (folyt.) Ellen!rzési és hitelesítési eljárások személy státuszának ellen!rzése információ-hozzáférés jogossága Ellen!rzési megoldások hívószám kijelzés, visszahívás, kezességvállalás, jelszó, kihívás-válasz, biometrikus azonosítás alkalmazotti nyilvántartások, biztonságos ellen!rz! csatornák 19 Irányelvek (folyt.) Információ-közlés, kiszolgáltatás szabályozása alkalmazottak ellen!rzése harmadik (igényl!) fél ellen!rzése min!sített információk továbbításának technikai szabályozása elektronikus és fizikai dokumentumok kezelése 20

Irányelvek (folyt.) Egyéb biztonsági szabályozás Telefon használat (hívás átirányítás, hivószám kijelzés, telefonközpont beállítások, jogosultságok) Alkalmazotti azonosítók (kit"z!k) vendégek azonosítás Behatolás jelentési eljárások Területek fizikai védelme számítási és kommunikációs infrastruktúra (szerel! szekrények, kábel rendez!k, szerver terem) 21 IT biztonsági szabályozás Speciálisan kezelend! kérdések felhasználói fiókok kezelése frekvencia, formai el!írások) alkalmazott, kontakt személyek adatai support kérdések, helpdesk m"ködése jelszó politika (megváltozatási hálózati eszközök kérdése (hozzáférési pontok, hosztok csatlakoztatása) felhasználó jogosultságok kiosztása privilégizált hozzáférések szabályozása 22

Rendszergazdai irányelvek Hozzáférési jogosultságok megváltoztatása Távoli hozzáférésekkel kapcsolatos kérdések Küls! technikai személyzet hozzáférési kérdései Alkalmazott autentikációs megoldások Operációs rendszerek beállításai Biztonsági frissítések telepítése Küls! adatmentések kriptográfiai védelme Antivírus szoftverek menedzsmentje 23 Rendszergazdai irányelvek (folyt.) Alapértelmezett jelszavak Szoftver telepítések szabályozása Sikertelen bejelentkezési kísérletek kezelése Rendszer leállítások, indítások szabályozása Vezeték nélküli hálózati hozzáférések szabályozása Bels! rendszerekre vonatkozó információ kiadása Logok elemzése, behatolás detektálás 24

2024 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés