Emberi tényezı az információbiztonságban

Hasonló dokumentumok
IT hálózat biztonság. A hálózati támadások célpontjai

Internet(?)biztonság(?) Elek Gábor c. r. alezredes vagyonvédelmi előadó

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

A DOLLÁROS PIZZA TÖRTÉNETE, AVAGY MENNYIT ÉR A BITCOIN?

Információbiztonsági kihívások. Horváth Tamás & Dellei László

Információbiztonsági Szabályzat elkészítése és javasolt tartalma. Debrıdy István Németh Ákos

OSINT. Avagy az internet egy hacker szemszögéből

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Tudjuk-e védeni dokumentumainkat az e-irodában?

Syllabus 1.0 Ez a dokumentum részletesen ismerteti az ECDL IT-biztonság modult és megfelelő alapokat ad az elméleti és gyakorlati vizsgához is.

ALKALMAZÁSOK ISMERTETÉSE

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Kezdő lépések Outlook Web Access

IKT eszközök. Kovács Tamás

Informatikai adatvédelem a. Dr. Kőrös Zsolt ügyvezető igazgató

A GDPR számítástechnikai oldala a védőnői gyakorlatban

IT-biztonság Syllabus 1.0 A syllabus célja 2014 ECDL Alapítvány Jogi nyilatkozat A modul célja

E mail titkosítás az üzleti életben ma már követelmény! Ön szerint ki tudja elolvasni bizalmas leveleinket?

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

IT-biztonság A kiberbűnözés fogalma A hackelés, a crackelés és az etikus hackelés közötti különbségek

Kezdő lépések. Céges . Tartalom

Vezeték nélküli hálózat

A Nemzeti Elektronikus Információbiztonsági Hatóság

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

3 A hálózati kamera beállítása LAN hálózaton keresztül

KOMMUNIKÁCIÓ ÉS ADATVÉDELEM. Készítette: Szabó Hangya Csilla

Tartalom. I. Rész A számítógép megosztása 5. Bevezetés 1. 1 n Saját profilt mindenkinek 7. Biztonsági programok 3 A könyvben használt jelek 4

Nokia N97_mini (Mail for Exchange) beállítása Virtualoso levelezésre

KX-TG7100HG/KX-TG7102HG

Információbiztonság fejlesztése önértékeléssel

A T-Online-os Ügyfelek postafiókjainak áttétele Virtualoso szolgáltatásra. Ha az ügyfél már rendelkezik saját domain névvel

T-Online-os Ügyfelek postafiókjainak áttétele Virtualoso szolgáltatásra. Ha az ügyfél még nem rendelkezik saját domain névvel

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

A fiatalok utazási, közlekedési szokásai napjainkban

Elektronikus levelek. Az informatikai biztonság alapjai II.

Csizmazia-Darab István Sicontact Kft. az ESET magyarországi képviselete

H P vezeték nélküli távoli rejtett kamera

INFORMATIKAI BIZTONSÁG ALAPJAI

1. A Windows Vista munkakörnyezete 1

7. Óravázlat. frontális, irányított beszélgetés. projektor, vagy interaktív tábla az ismétléshez,

NOTEBOOK ÜZEMBEHELYEZÉSI ÚTMUTATÓ MICROSOFT FIÓKKAL RENDLEKEZŐ PEDAGÓGUSOK RÉSZÉRE

Mobil Partner telepítési és használati útmutató

CAMLAND Beruházás-megfigyelő

MDM Exchange Alapokon AVAGY A MICROSOFT EXCHANGE 2013 MINT AZ MDM KŐBALTÁJA

Vodafone-os beállítások Android operációs rendszer esetében

Számítógépes vírusok. Barta Bettina 12. B

Kezdő lépések Microsoft Outlook

GLOBÁLIS KIHÍVÁS, REGIONÁLIS VÁLASZOK

Elektronikus Információs és Nyilvántartási Rendszer a Doktori Iskolák fiatal kutatói részére

AZ INFORMÁCIÓS TÁRSADALOM INFORMÁCIÓ- BIZTONSÁGA

Zimbra levelező rendszer

GDPR bevezetés tapasztalatai. a Társaság intézeteiben

4. Óravázlat. projektor, vagy interaktív tábla az ismétléshez, frontális, irányított beszélgetés

OZEKI Phone System. A jövő vállalati telefon rendszerének 4 alappillére. A jövő üzleti telefon rendszere SMS. Mobil mellékek. Összhang az IT-vel

fogadalom kampány offline kampány Előkészítő kampányok Felvezető Karácsonyi kampány kampány

e-szignó Online e-kézbesítés Végrehajtási Rendszerekhez

NOTEBOOK ÜZEMBEHELYEZÉSI ÚTMUTATÓ MICROSOFT- FIÓKKAL NEM RENDELKEZŐ PEDAGÓGUSOK RÉSZÉRE

TÁJÉKOZTATÓ. biztonságos Internet használatról, az ügyféloldali biztonság kialakítása érdekében

Gyakorlati vizsgatevékenység

PT02 Kisállat GPS Nyomkövető Használati Útmutató. helyes beüzemelés érdekében. A képek csak tájékoztató

A tananyag beosztása, informatika, szakközépiskola, 9. évfolyam 36

3G185 router Li-ion akkumulátor Usb kábel Telepítési útmutató.

Adatkezelési tevékenységek nyilvántartása

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

1. Digitális írástudás: a kőtáblától a számítógépig 2. Szedjük szét a számítógépet Szedjük szét a számítógépet 2.

Általános Adatvédelmi Rendelet (GDPR) Változó szabályozás, új kihívások

Információvédelem. Biró László Miklós IT biztonsági vezető MKBB.

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

MEH-EIA felhasználói dokumentáció gyakran ismételt kérdések

Felhőalkalmazások a. könyvvizsgálatban

TP-LINK Router Wireless M7350

Vodafone ReadyPay. Használati útmutató

Köszönetnyilvánítás... xv Bevezetés az otthoni hálózatok használatába... xvii. A könyv jellegzetességei és jelölései... xxi Segítségkérés...

XXXIII. Magyar Minőség Hét 2014 Átállás az ISO/IEC új verziójára november 4.

Számítógépes alapismeretek 2.

Használati utasítás.

SOCIAL ENGINEERING A BITONSÁGTECHNIKA TÜKRÉBEN Avagy a modern támadók nem símaszkot, hanem álarcot viselnek

Az információbiztonság új utakon

Technológia az adatszivárgás ellen

Apple ID létrehozása bankkártya adatok nélkül

Aurum-Protector Law IT csomag. Professzionális IT megoldások kifejezetten az ügyvédek igényei szerint összeállítva elérhető áron

Tagi nyilatkozat elektronikus aláírás folyamata MicroSigner alkalmazás használatával

Vállalati WIFI használata az OTP Banknál

Infokommunikációs rendszerek biztonságos üzemeltetési lehetőségének vizsgálata. Előadó Rinyu Ferenc

Nemzeti Hálózatbiztonsági Központ. Szekeres Balázs Műszaki igazgató PTA CERT-Hungary Központ Nemzeti Hálózatbiztonsági Központ

Dr. Horváth Zsolt Dr. Tóth Zoltán, 2011

PTA CERT-Hungary Nemzeti Hálózatbiztonsági Központ

A kiberbiztonság kihívásai és lehetőségei

10 állítás a gyerekek internethasználatáról

Ú J B E L É PŐK RÉSZÉRE NYÚJTOTT

TÁJÉKOZTATÓ a MicroSigner alapú alkalmazás használatáról

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

Oktatási Portál Felhasználói segédlet. DMS One Oktatási Portál. Felhasználói segédlet

Az informatikai biztonság kialakítása Wireles hálózatokon Üdvözlöm a jelenlévőket

Számadó, R. Nagy, I.: Kiberbizonytalanság

Szőr Péter ( )

TÁJÉKOZTATÓ a MicroSigner alapú elektronikus aláírás használatáról

A Hivatal érvényben lévő alábbi dokumentumok létrehozása, szinkronizálása szükséges

Átírás:

Kritikus infrastruktúrák védelme, információbiztonság 2016/2017/2 v1 2. rész Emberi tényezı az információbiztonságban Váczi Dániel Budapest, 2017.03. 16.

Mirıl lesz szó? A téma helye és jelentősége Mi az a social engineering? Támadási technikák Egy kivitelezett valós támadás ismertetése Védekezési technikák 2 Váczi Dániel - Emberi tényező az információbiztonságban

Bevezetı gondolatok Miért pont az enyém? Nincs semmi fontos adatom. Nem vagyok én olyan jelentős ember. Cél: Specifikus támadás Általános támadás 3 Váczi Dániel - Emberi tényező az információbiztonságban

Veled biztos nem történt meg? 4 Váczi Dániel - Emberi tényező az információbiztonságban

Mit védünk? Adat? Információ? Titkainkat! 5 Váczi Dániel - Emberi tényező az információbiztonságban

Mitıl is kell LEGINKÁBB védeni az információt? Saját magától, az EMBERTŐL! 6 Váczi Dániel - Emberi tényező az információbiztonságban

A komplex biztonságról: Amit el akarnak vinni, azt el is fogják Biztonságtechnika Adat-és információvédelem Szabályozás Tervezés Rendszerszemlélet Ellenőrzés 7 Váczi Dániel - Emberi tényező az információbiztonságban

Kell a szemléletváltozás! Olcsó nem egyenlő a megfelelővel Az emberi tényező alap tervezési szempont Ennek része generáció különbség Idősebb generáció a mai információs társadalomban nem úgy él, mint az megkívánná Alapvető informatikai hiányosságok (IoT) 8 Váczi Dániel - Emberi tényező az információbiztonságban

A rendszerben eltöltött hely ISO/IEC 27001:2003 A mellékletei közül a 7.2 De az 5-15 mind azt szabályozza, hogy ne lehessenek konkrét esetek 9 Váczi Dániel - Emberi tényező az információbiztonságban

Mi is az a social engineering? socialengineeringa művészete, még inkább a tudománya annak, hogy gyakorlatias műveletekkel befolyásoljukaz emberi lényeket, azért hogy a célunk érdekében cselekedjenek az életük néhány helyzetében. (ChristopherHadnagy) 10 Váczi Dániel - Emberi tényező az információbiztonságban

Ki használja? Kisgyerek Szórakozó helyen az ismerkedésnél Párkapcsolat Eladó Pszichológusok A pártok James Bond Hackerek Stb. 11 Váczi Dániel - Emberi tényező az információbiztonságban

Motiváció Pénzszerzés (bankkártya csalások) Bosszúvágy Ipari kémkedés Titkosszolgálati tevékenység Tudásuk, képességeik fitogtatása Social engineering audit Önös szempontok Stb. 12 Váczi Dániel - Emberi tényező az információbiztonságban

Biztonságtechnikára vonatkoztatva Olyan információszerzésre irányuló cselekvés, támadási forma, mely technikai ismeretekkel, vagy anélkül az emberi lény alapvető pszichológiai tulajdonságait használja ki. 13 Váczi Dániel - Emberi tényező az információbiztonságban

Szociálpszichológia Személyiséglélektan Pszichológia Gondolkodási módok Mimika és apró árulkodó gesztusok (Microexpressions) Összhang-, szimpátiateremtés (Building rapport) Személyiség felvétel (Pretexting) Kiderítési/kérdezési technikák (Elicitation) Befolyásolási taktikák (Influencetactics) 14 Váczi Dániel - Emberi tényező az információbiztonságban

Biztonságtechnikai érintett területei Adat-és információ védelem Mechanikai védelem Elektronikus rendszerek Élőerős őrzés-védelem 15 Váczi Dániel - Emberi tényező az információbiztonságban

Károk Anyagi Erkölcsi 16 Váczi Dániel - Emberi tényező az információbiztonságban

Identitás lopás Álruhába bújás Humán alapú technikák Céges alkalmazottnak adja ki magát Partner cég alkalmazottjának adja ki magát Új munkaerőnek adja ki magát Magas pozíciójú embernek adja ki magát Fontos embernek adja ki magát IT szakembernek/rendszergazdának adja ki magát Tombstonetheft ( sírkő lopás ) Thirdpartyauthorization (felhatalmazás) Hamis bizalom keltés 17 Váczi Dániel - Emberi tényező az információbiztonságban

Humán alapú technikák Reversesocialengineering(fordított SE) Valamit valamiért Jelszavak kitalálása Alapértelmezett jelszavak Személyre utaló jelszavak Rutin munkát végzők segítségkérése Bejutás az épületbe Tailgating Késés Hamis ID használata Piggybacking 18 Váczi Dániel - Emberi tényező az információbiztonságban

IT alapú technikák Alap információszerzés Internet böngészése Közösségi portálok figyelése Phishing(Adathalászat) Kártékony programok Keylogger Hálózatok figyelése Egyéb IT alapú támadások Telefonbeszélgetés Látszólag belső cím Távoli e-mail hozzáférés Okostelefonok/tabletek/PDA-ktámadásai WiFi 19 Váczi Dániel - Emberi tényező az információbiztonságban

Egyéb technikák Shouldersurfing Dumpsterdiving(kuka búvárkodás) 20 Váczi Dániel - Emberi tényező az információbiztonságban

Kártékony szoftverek bejutási lehetıségei (SE tekintetében) Csatolmányok Játékoknak, programoknak álcázott kártékony programok (trójai programok) Tartalom megtekintés alapuló átverések Baiting(fertőzött adathordozó) Frissítés/javítás felajánlása "Ingyen" programok Felugró ablakok Lánclevelek Supplychainattack 21 Váczi Dániel - Emberi tényező az információbiztonságban

A konkrét támadás 22 Váczi Dániel - Emberi tényező az információbiztonságban

Fı céljaink Bejutás az épületbe Minősített információk megszerzése Jelszó és felhasználónév megszerzése Belső telefonkönyv megszerzése Biztonságtudatosság tesztelése 23 Váczi Dániel - Emberi tényező az információbiztonságban

Audit kapcsán felmerülı kérdések Mennyire valós probléma? Milyen biztonsági kockázattal számolhatunk? Mekkora kockázat ez egy komplex rendszer tekintetében? 24 Váczi Dániel - Emberi tényező az információbiztonságban

Támadás felépítése 1. Cél(ok) meghatározása 2. Információ gyűjtés 3. Tervezés, előkészületek 4. A támadás kivitelezése 25 Váczi Dániel - Emberi tényező az információbiztonságban

1. Célok Bejutás az épületbe Minősített információk megszerzése Jelszó és felhasználónév megszerzése Belső telefonkönyv megszerzése Biztonságtudatosság tesztelése 26 Váczi Dániel - Emberi tényező az információbiztonságban

2. Elızetes információszerzés Internet Közösségi média Weblapok Google(hack) Online videók Épület körüljárás Ügyfélszolgálat Pénztárca Telefon hívások 27 Váczi Dániel - Emberi tényező az információbiztonságban

Facebook: Teljes név Becenév Születési dátum, hely Munkahely Tanulmányok (egyetem, főiskola, középiskola) Családtagok Párkapcsolati állapot Szakmai készségek Korábbi lakhelyek E-mail címek Mobiltelefonszám Lakcím Nemi identitás Ismert nyelvek Vallási nézet Politikai nézet Közösségi média LinkedIn: Teljes név Előző munkahelyek, pozíciók Publikációk Tanúsítványok Projektek, amikben az illető részt vett Különböző kurzusok, amiken a tulajdonos részt vett Elnyert díjak Beszélt nyelvek Tanulmányok Instagram, Snapchat, Tumblr 28 Váczi Dániel - Emberi tényező az információbiztonságban

3. Tervezés, elıkészületek A bejutáshoz szükséges lépések: Beléptetés felderítése Első alkalom Lehetőségek felderítése Második alkalom (hasonló kártya) Majdnem tökéletes kártya készítése 29 Váczi Dániel - Emberi tényező az információbiztonságban

4. A támadás kivitelezése Épületen belül: Belső hálózathoz történő hozzáférés Nyílt WiFihálózat tesztelése Notebook Okostelefon Épületen belüli információ gyűjtés Hálózati végpontok 30 Váczi Dániel - Emberi tényező az információbiztonságban

4. A támadás kivitelezése Személyes kontaktus: Megfelelő alany kiválasztása (generáció, szaktudás, korábbi ismeretek, technikai tudás) Általános felderítés apró kérdésekkel Helyszíni ismeretek szerzése Vagyon védelmi rendszer alapvető struktúrája Konkrét eset 31 Váczi Dániel - Emberi tényező az információbiztonságban

4. A támadás kivitelezése Biztonságtudatosság tesztelése: Belső információk lopása Nyitott iroda Nyitott irattárak Tiszta asztal politika Baiting Tárgyalókban hagyott információk Idegen adathordozók csatlakoztatása Phishing 32 Váczi Dániel - Emberi tényező az információbiztonságban

Miért is védjük az információt? Mai világ: A fél életünket számító gép előtt töltjük Mindenünk az eszközeinken, felhőkben van Üzemekben a gépek irányítása, IoT Szabadalom Pénzünk (e-bank) Közszolgáltatások Yahoo 33 Váczi Dániel - Emberi tényező az információbiztonságban

Mobil eszközökön tárolt adatok Telefonkönyv Híváslista -> közeli ismerősök, ügyfelek SMS E-mail kliens programok (Gmail, Outlook) Felhőszolgáltatók SD kártya Jelszavak, PIN kódok üzenetként Útvonalak (Waze, GoogleMaps, Tinder!, sport alkalmazások) Mentett Wi-Fihálózatok Naptár bejegyzés Szórakozó alkalmazások (képmegosztók, zene stream) Társkereső alkalmazások Böngészési előzmények Nyelvtudásról árulkodó szótárprogramok Utazási szokásaikn(bkv, Volán, MÁV menetrend) Különböző eszközök, amik csatlakoztatva voltak Bluetooth-alWi-Fi-vel 34 Váczi Dániel - Emberi tényező az információbiztonságban

Támadásra utaló jelek A hívó nem adja meg a telefonszámát Rendkívüli kérés Hivatali hatalmára hivatkozik Sürgősség Együttműködés hiánya esetén negatív következményekkel fenyegetőzik Dobálózik a nevekkel Bókol, hízeleg Flörtöl 35 Váczi Dániel - Emberi tényező az információbiztonságban

Személyazonosság ellenırzése Hívószám kijelzés (név, szám megegyezősége) Visszahívás (céges telefonkönyvből) Kezesség vállalás (megbízható személy kezeskedik-e érte) Megosztott titok (jelszó/naponta változó kód) Alkalmazott felettese/főnöke Biztonságos e-mail (digitálisan hitelesített) Hangfelismerés (személyes ismeretség) Személyes megjelenés kérése (igazolhatóság) 36 Váczi Dániel - Emberi tényező az információbiztonságban

Nem a problémákat kell orvosolni, hanem MEGELİZNI azokat. 37 Váczi Dániel - Emberi tényező az információbiztonságban

Üzleti szintő lépések Szenzitív munkakörökben dolgozók előzetes ellenőrzése BIZTONSÁGTUDATOSSÁG NÖVELÉSE Oktatás, képzés Szabályzatok készítése, frissítése, betartatása Intézkedések előre, jól definiáltsága (incidens esetén, mi a teendő) Figyelem fenntartása Audit KONTROL 38 Váczi Dániel - Emberi tényező az információbiztonságban

Üzleti szintő lépések Jogosultságkezelés Megfelelő titkosítások Naprakészség Mindezt rendszeresen Jogi alapok (titoktartási szerződések) Engedélyezési szintek megalkotása Tiszta szoftver Megfelelő hálózati beállítások Mentések 39 Váczi Dániel - Emberi tényező az információbiztonságban

Egyéni megelızés Mit adunk meg magunkról (fórumok, blogok, közösségi oldalak) Mit osztunk meg Ki láthatja az adatainkat Ki láthatja a képeinket Események Kinek milyen hozzáférést biztosítunk (pl.: Neptun) 40 Váczi Dániel - Emberi tényező az információbiztonságban

Egyéni megelızés Otthoni eszközök Frissítés (operációs rendszer, Antivirus, Adobe Reader, Java, activex) Vendég fiók létrehozása Böngésző bővítmények Wi-Fihálózat Törtprogramok (hozzászólások olvasása) www.virustotal.com 41 Váczi Dániel - Emberi tényező az információbiztonságban

Egyéni megelızés Mobil eszközök védelme Képernyő zárolása Antivirus program Root/jailbreak Alkalmazás boltok Fiók szinkronizálás Gyanús Wi-Fi Jelszókezelés 42 Váczi Dániel - Emberi tényező az információbiztonságban

Jelszó probléma: Egyéni megelızés Alapértelmezett Gyári beállítás 12345, admin Logikai kapcsolat Személy-jelszó ( anya névnapja) Login név-jelszó (Andrea Aerdna) Szótár Nyers erő (bruteforce) 70^10=2,8*10^18 10^18 26^18=3*10^25 43 Váczi Dániel - Emberi tényező az információbiztonságban

Egyéni megelızés Közösségi média Társkeresők Minden áron lejátszás kerülése E-mail Online fenyegetés fertőzéssel Biztonsági mentés NEVELÉS 44 Váczi Dániel - Emberi tényező az információbiztonságban

Gondolkodj! 45 Váczi Dániel - Emberi tényező az információbiztonságban

Köszönöm a figyelmet! 46 Váczi Dániel - Emberi tényező az információbiztonságban

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés