GNU/Linux >> Znalost Linux >  >> Linux

Informační bezpečnost 101:Co vaše firma potřebuje vědět

Základy zabezpečení informací

V této prezentaci pokryjeme základy toho, jak chránit své duševní vlastnictví, především pokud se týká informací, na kterých závisí vaše podnikání. Z technického hlediska se pouze menší část této prezentace zabývá nástroji pro ochranu vašeho podnikání; ačkoli zaujatost této příručky bude zaměřena na nástroje Linuxu, principy se týkají jakéhokoli počítačového systému a operačního systému. Stolní počítače/pracovní stanice, Mac, Windows nebo Linux; zabezpečení každé části vašeho pracoviště ICT je neuvěřitelně důležité. Téměř všechny podniky spoléhají na ICT jako na pokrevní linii všech segmentů svých operací.

Formát a zamýšlené publikum

Tato příručka je v prezentačním formátu, abyste ji mohli prezentovat kolegům na pracovišti, kteří by se chtěli proškolit nebo si rozšířit znalosti o principech, metodách a nástrojích zabezpečení.

Zamýšleným publikem jsou profesionálové v oblasti ICT v podnicích, ale stále je vhodná pro každého, kdo se zajímá o IS (Information Security).

Pokud chcete vidět osnovu snímku, přejděte pod prezentaci.

Nechte Alistaira, aby vám to představil!

Máte-li zájem o to, aby autor poskytl vaší firmě poutavou prezentaci, školení, konzultaci nebo podporu k některému z témat obsažených v této prezentaci nebo k podnikovým informačním systémům obecně (např. Linux a Open Source), pak se ozvěte dotek. Alistair má léta prezentačních dovedností a je vedoucím technickým lídrem, který pracoval pro renomované firmy jako Amazon a GE a také pro středně velké společnosti po celém světě.

Slide Deck


Tuto prezentaci nelze spustit. Zkuste obnovit stránku nebo ji zobrazit v jiném prohlížeči.

Zabezpečení informací 101

Co vaše firma potřebuje vědět

Průvodce proč , jak to je a co je ochrany vaší firmy před riziky zabezpečení informací.

(C) Copyright Alistair Ross 2017 | www.linuxnewbieguide.org


Témata obsažená v této prezentaci:

  • Proč je zabezpečení informací důležité?
  • Věci, které byste měli vědět
  • Kdo by měl zájem využívat mé ICT ​​systémy?
  • Jaké druhy útoků lze provést?
  • Jak se mohu chránit proti jednotlivým typům útoku?
  • Nástroje
  • Plánování na nejhorší
  • Další čtení.

Proč je zabezpečení informací důležité?

  • Škody, které může způsobit vašemu podnikání:
    • Ztráta duševního vlastnictví.
    • Ztráta reputace, podílu na trhu a značky.
    • Vydírání a výkupné (včetně ztráty přímých bankovních prostředků).


Profilování rizik

  • Nejprve si proberme rizikový profil vaší firmy.
    • Z pohledu vlastníka vaší firmy:
    • Vaše informace jsou vším, jsou mízou moderního podnikání.
  • Profil zájmů ve vaší infrastruktuře:
    • Hodnota „zdarma“ výpočetního výkonu pro útočníky.

Věci, které byste měli vědět 1/4:

  • Definice informační bezpečnosti, triáda CIA:
    • C důvěrnost:Ochrana vašich informací před neoprávněným přístupem.
    • ntegrity:Informace jsou takové, jaké by měly být, nebyly změněny neoprávněným (nebo dokonce chybným) způsobem.
    • A dostupnost:Zajištění, že informace, které máte, jsou vždy dostupné.

Věci, které byste měli vědět 2/4:

Tři hlavní prvky zabezpečení jsou:

Lidé

Proces


Technologie

Věci, které byste měli vědět 3/4:

  • Vaše organizace by měla mít zásady IS.
    • I když pamatujte, že pokud to svým zaměstnancům zatížíte, budou to řešit při každé příležitosti. Bezpečnost je o efektivním kompromisu.
  • Pouhý firewall není řešením:Je potřeba hloubková obrana.
  • Je to otázka kdy , nikoli if budete zneužiti.

Věci, které byste měli vědět 4/4:

  • Důvěřovat. Vaše podnikání je na tom postaveno, přesto:
    • Vaši zaměstnanci a prodejci může být nepřátelský!
      • Možná si nejsou vědomi pokusu o ně.
      • Mohou instalovat software, otevírat dokumenty a chodit na stránky, které dělají „špatné věci“.
      • Mohou úmyslně dělat špatně.
  • To, že je to v cloudu, neznamená, že je to bezpečné. Je jen tak dobrý jako lidé, kteří ho do cloudu vložili, a společnost provozující cloudovou službu.

Kdo by měl zájem využívat mé ICT ​​systémy?

  • Cílení útočníci
    • Zaměstnanci/nespokojení bývalí zaměstnanci
    • Najatí útočníci
    • Oportunisté
  • Necílení útočníci
    • Script Kiddies
  • Boti/Spamboti.

Jaké druhy útoků lze provést?

  • Sociální inženýrství:

  • Phishing
  • Opuštění dat na základě lidí (úmyslné i neúmyslné). – Data opouštějící dveře (a do cloudu).
  • Výkupné/Vydírání.
  • Osobně, poštou, osobním e-mailem a telefonicky.

Jaké druhy útoků lze provést? (pokračování…)

  • Fyzické zneužití

    • HID (Human Interface Devices) (např. Rubber Ducky, Bash Bunny)
    • Odposlech sítě LAN (např. odposlech Great Scott Throwing Star Lan)
    • WiFi (např. WiFi ananas)
    • Krádež papírových dokumentů atd.

Jaké druhy útoků lze provést (pokračování…)

  • Síťové a internetové zneužití

    • Zneužívání zranitelnosti
    • DNS, otrava/přesměrování DHCP
    • Snižování zátěže a zamlžování protokolu SSL
    • Útoky MITM (Muž uprostřed)
    • (D)DoS útoky
    • Ransomware a malware
    • Útoky Brute-Force / Slovník a Rainbowtable

Jak se mohu chránit proti jednotlivým typům útoku?

Sociální inženýrství:

  • Školení, školení, školení!
  • Ověřte všechny zdroje požadavků.
  • Uvědomte si informace, které zveřejňujete (veřejné nebo jiné).
    • Potřebuje/měl by dotazující se osoba skutečně tyto informace potřebovat?
  • Určete, který z vašich aktiv je pro zločince nejcennější.
  • Zůstaňte silní, nezlomte se. Okamžitě to nahlaste.

Fyzické:

  • Zámek a klíče
  • Když odejdete, odhlaste se ze svého počítače (nebo jej alespoň uzamkněte heslem).
  • Nakládejte s daty zodpovědně (skartujte, recyklace počítače). Mechanismy autentizace, auditovatelnost.

Jak se mohu chránit proti jednotlivým typům útoku? (pokračování…)

Síťová a internetová ochrana proti zneužití:

  • Heslo, 2FA, token. Šifrování.
    • Ověření koncového uživatele, adresáře.
    • Hesla na přepínačích, firewallech, sítích SAN, serverech a cloudových účtech jsou ještě důležitější.
    • Audit administrativních uživatelů. Zajištění odpovídající úrovně přístupu k síti.

(pokračování…)

  • Monitorování a skenování, analýza protokolu.
  • Oprava/aktualizace.
  • Pokud je přístupný na internetu, nejprve se zeptejte proč. Pak proveďte:
    • Zavřete nepotřebné porty/služby.
    • Proxy/reverzní proxy
    • Omezení adresy IP zdroje (firewall)
    • Připojení VPN
    • Amazon/Azure/cloud:VPC atd.
    • Zastavit zobrazování informací o verzi (např. status.html, phpinfo.php).

(pokračování…)

  • Šifrování
    • Asymetrické šifrování:Prostý text -> Veřejný klíč -> Šifrovaný text -> Soukromý klíč -> Prostý text).
    • Kontrola platnosti pomocí hašování MD5.
    • Certifikační autority – komu důvěřovat (seznam důvěryhodných autorit) – a kdy se může pokazit.
    • Šifrované zprávy/e-maily.

(pokračování…)

  • Ovládací prvky sítě (např. nezabezpečená WiFi a brána firewall)
    • Nepřipojujte se automaticky k volným/otevřeným veřejným WiFi hotspotům nebo těm, které používají WEP.
    • Důvěřovat, že WiFi SSID je skutečně SSID, jak se říká.

Zásady a školení zaměstnanců

  • Síla hesla, dvoufaktorové ověření, jeho vynucení.
  • Vyhněte se ukládání omezených dat na mobilní zařízení a vyměnitelná zařízení (např. USB klíčenky).
    • Krádež
    • Zneužití
    • Chyby zabezpečení mobilních zařízení:Spustitelné soubory a Drive-by (bluetooth atd.)
    • Osobní zařízení na pracovišti.

Zásady a školení vašich zaměstnanců (pokračování…)

  • Nezabezpečené systémy zasílání zpráv (Ano, to znamená vy, E-mail!), osobní e-mailové účty pro práci.
  • Sdílení hesel, zasílání hesel „nezbytně“.
  • Cloudové úložiště a cloudové aplikace:
    • Integrita dodavatelů cloudu a jak se starají o vaši bezpečnost (síla hesla atd.).
    • Prodejci cloudu ukončují činnost
    • Zásady dodavatele cloudu týkající se vašich informací.
  • Klikání na zkrácené odkazy, přílohy e-mailů, makra, vyskakovací okna, automaticky otevíraná okna, zavádějící odkazy.

Zásady a školení vašich zaměstnanců (pokračování…)

  • Operace HR a IT:Přihlášení, odchod a najímání.
  • Přimějte pracovníky mimo oddělení IT, aby hlásili jakékoli podezření na bezpečnostní riziko nebo narušení.
  • Požádejte svou výkonnou radu, aby poskytla pokyny ke klasifikaci dat; použijte matici RASCI, která bere v úvahu hodnotu každé úrovně aktiv, seřazenou podle kritičnosti pro obchodní operace a pověst.
  • Inventarizovat všechny věci (software, hardware, adresy IP, osoby)
    • Co je povoleno vs. co není povoleno.
  • Pro vývojáře:Kontrola kódu, použití nástrojů.

Zásady a školení vašich zaměstnanců (pokračování…)

  • Zaměstnanci IT musí běžně plánovat bezpečnostní audity (denně, týdně. Měsíčně může být příliš pozdě!). Zvažte:
    • Úrovně oprav,
    • Seznam chyb zabezpečení CVE, alespoň křížová kontrola s externě viditelnými aplikacemi.
    • Provádění / analýza zpráv z nástrojů zabezpečení.

Nástroje

  • Skenování portů:NMAP, ShieldsUp!
    • Běžná čísla portů (/etc/services).
  • OpenVAS – Skenování zranitelnosti.
  • OSSec – Detekce narušení.
  • Kali Linux – (distribuce testování pera) a MetaSploit Framework (Windows, Mac, Linux).
  • SecurityOnion – Linux Distro pro detekci narušení a monitorování zabezpečení.
  • Nástroje pro analýzu paketů TCPDump/Wireshark.
  • Tripwire – audit změn souborů.
  • Fail2Ban – Dočasné zablokování přístupu na základě IP přes bránu firewall.
  • SELinux / AppArmor

Nástroje (pokračování…)

  • Pro programátory:
    • Obecné metody vkládání SQL
    • Obecné zadávání dat a formuláře založené na HTML
    • Obecné metody XSS (Cross-Site Scripting)
    • OWASP (Otevřený projekt zabezpečení webových aplikací).
    • Zatraceně zranitelná webová aplikace (PHP)
    • BrakeMan (aplikace Ruby on Rails)

Nástroje (pokračování…)

  • Pro koncové uživatele – poslední obranná linie :
    • Windows GPO (Group Policy) k vynucení zásad.
    • Antivirus, Anti-Malware.
    • Osobní firewall.

Plánování na nejhorší

  • Vytvořte plán, který zahrnuje následující (alespoň)…
  • Jak se vrátíme do práce, když dojde k útoku?
    • Zastavte se a přemýšlejte – nepropadejte panice.
      • Brána firewall okamžitě zablokuje server.
      • Vytvořte kopii disku a pracujte na kopii .

Plánování na nejhorší (pokračování…)

  • Proveďte forenzní analýzu/shromážděte důkazy
    • Nalezení běžících procesů a popisovačů souborů (procfs, lsof).
    • Najděte podezřelé procesy (ps auxwww)
    • Analýza procesu (strace, ltrace)
    • Shromažďování protokolů
    • Hledání podezřelých a skrytých souborů (/tmp, /dev. Hledání na základě mtime).
    • Přihlášení uživatelé (kdo/kdo, poslední)
    • Nové uživatelské účty (označuje slabé dovednosti!) /etc/passwd.

Plánování na nejhorší (pokračování…)

  • Oznamte zjištění obchodním partnerům.
    • Důležitá péče podniku a kdy je třeba hlásit úřadům.
    • Schovatelský řetězec. Nedělejte žádné změny, plánujte použití jako důkaz u soudu.
    • Pomáháte svému vedoucímu se sdělením vašim klientům.
  • Obnovit ze záloh nebo vyvolat plán BC?

Další čtení

  • 20 kritických bezpečnostních ovládacích prvků SANS
  • Kniha Kevina Mitnicka o sociálním inženýrství
  • 10 hlavních zranitelností OWASP
  • Seznam chyb zabezpečení CVE

Klíčové poznatky/akční body

Bezpečnost informací je důležitá.

  • Nenechte to být dodatečný nápad!

Lidé, proces a technologie:

  • Vítězný vzorec pro získání I.S. správně

  • Lidé:vzdělání, sociální inženýrství, fyzické zneužívání, vydírání, zámek a klíč.
  • Proces:Inventář, Zásady.
  • Technologie:využití služeb, nástroje (včetně automatizovaných), monitorování a upozornění.

  • Pouhé používání brány firewall není řešením. Obrana do hloubky!


Osnova snímku

Prezentace probírala následující témata:

  • Proč je zabezpečení informací důležité?
    • Profil zájmů ve vaší firmě
      • Vaše informace jsou vším a jsou zranitelné!
      • Exfiltrace dat.
    • Profil zájmů ve vaší infrastruktuře.
      • Hodnota bezplatného výpočetního výkonu pro útočníky.
    • Škody, které to může způsobit vaší firmě:
      • Ztráta duševního vlastnictví a
      • Ztráta reputace, podílu na trhu a značky.
      • Vydírání a výkupné (včetně ztráty přímých bankovních prostředků).
  • Věci, které byste měli vědět:
    • Definice informační bezpečnosti, triáda CIA:
      • C důvěrnost:Ochrana vašich informací před neoprávněným přístupem.
      • ntegrity:Informace jsou takové, jaké by měly být, nebyly změněny neoprávněným (nebo dokonce chybným) způsobem.
      • A dostupnost:Zajištění, že informace, které máte, jsou vždy dostupné.
    • Hlavní prvky zabezpečení:
      • Lidé
      • Proces
      • Technologie
    • Mít zásady. Kdy je to důležité a kdy je to zátěž.
    • Brána firewall není řešením:Obrana do hloubky.
    • Kdy , nikoli if budete zneužiti.
    • Důvěra:Vaše podnikání je na tom postavené, přesto:
      • Vaši zaměstnanci a dodavatelé mohou být nepřátelští!
        • Možná si nejsou vědomi pokusu o ně.
        • Mohou instalovat software, otevírat dokumenty a chodit na stránky, které dělají špatné věci.
        • Mohou úmyslně dělat špatně.
    • Cloud !=Zabezpečení
  • Kdo by měl zájem využívat mé systémy ICT?
    • Cílení útočníci
      • Zaměstnanci/nespokojení bývalí zaměstnanci
      • Najatí útočníci
      • Oportunisté
    • Necílení útočníci
      • Script Kiddies
    • Boti/Spamboti.
  • Jaké druhy útoků lze provést?
    • Sociální inženýrství:
      • Phishing
      • Opuštění dat na základě lidí (úmyslné i neúmyslné). – Data opouštějící dveře (a do cloudu).
      • Výkupné/Vydírání.
      • Osobně, poštou, osobním e-mailem a telefonicky.
    • Fyzické zneužití
      • HID (Human Interface Devices) (např. Rubber Ducky, Bash Bunny)
      • Odposlech sítě LAN (např. odposlech Great Scott Throwing Star Lan)
      • WiFi (např. WiFi ananas)
    • Síťové a internetové zneužití.
      • Zneužívání zranitelnosti
      • DNS, otrava/přesměrování DHCP
      • Snižování zátěže a zamlžování protokolu SSL
      • Útoky MITM (Muž uprostřed)
      • (D)DoS útoky
      • Ransomware a malware
      • Hrubá síla
  • Jak se mohu chránit proti jednotlivým typům útoku?
    • Sociální sítě:
      • Ověřovat, ověřovat a důvěřovat.
    • Fyzické:
      • Zámek a klíče
      • Když odejdete, odhlaste se ze svého počítače (nebo jej alespoň uzamkněte heslem).
      • Nakládejte s daty zodpovědně (skartujte, recyklace počítače). Mechanismy autentizace, auditovatelnost.
    • Síťová a internetová ochrana proti zneužití.
      • Heslo, 2FA, token. Šifrování.
        • Ověření koncového uživatele, adresáře.
        • Hesla na přepínačích, firewallech, sítích SAN, serverech a cloudových účtech jsou ještě důležitější.
        • Audit administrativních uživatelů. Zajištění odpovídající úrovně přístupu k síti.
      • Monitorování a skenování, analýza protokolu.
      • Oprava/aktualizace.
      • Pokud je přístupný na internetu, proč?
        • Uzavření portů/služeb.
        • Proxy/reverzní proxy
        • Omezení adresy IP zdroje
        • Připojení VPN
        • Amazon/Azure/cloud:VPC atd.
        • Zastavit zobrazování informací o verzi (např. status.html, phpinfo.php).
      • Šifrování
        • Asymetrické šifrování:Prostý text -> Veřejný klíč -> Šifrovaný text -> Soukromý klíč -> Prostý text).
        • Kontrola platnosti pomocí hašování MD5.
        • Certifikační autority – komu důvěřovat (seznam důvěryhodných autorit) – a kdy se může pokazit.
        • Šifrované zprávy/e-maily.
      • Ovládací prvky sítě (např. nezabezpečená WiFi a brána firewall)
        • Nepřipojujte se automaticky k volným/otevřeným veřejným WiFi hotspotům nebo těm, které používají WEP.
        • Důvěřovat, že WiFi SSID je skutečně SSID, jak se říká.
      • Zásady a školení vašich zaměstnanců:správci/operátoři, management, vývojáři.
        • Síla hesla, dvoufaktorové ověření, jeho vynucení.
        • Vyhněte se ukládání omezených dat na mobilní zařízení a vyměnitelná zařízení (např. USB klíčenky).
          • Krádež
          • Zneužití
          • Chyby zabezpečení mobilních zařízení:Spustitelné soubory a Drive-by (bluetooth atd.)
          • Osobní zařízení na pracovišti.
        • Nezabezpečené systémy zasílání zpráv (Ano, to znamená vy, E-mail!), osobní e-mailové účty pro práci.
        • Sdílení hesel, zasílání hesel „nezbytně“.
        • Cloudové úložiště a cloudové aplikace:
          • Integrita dodavatelů cloudu a jak se starají o vaši bezpečnost (síla hesla atd.).
          • Prodejci cloudu ukončují činnost
          • Zásady dodavatele cloudu týkající se vašich informací.
          • Klikání na zkrácené odkazy, přílohy e-mailů, makra, vyskakovací okna, automaticky otevíraná okna, zavádějící odkazy.
        • Operace HR a IT:Přihlášení, odchod a najímání.
        • Přimějte pracovníky mimo oddělení IT, aby hlásili jakékoli podezření na bezpečnostní riziko nebo narušení.
        • Požádejte svou výkonnou radu, aby poskytla pokyny ke klasifikaci dat; použijte matici RASCI, která bere v úvahu hodnotu každé úrovně aktiv, seřazenou podle kritičnosti pro obchodní operace a pověst.
        • Inventarizovat všechny věci (software, hardware, adresy IP, osoby)
          • Co je povoleno vs. co není povoleno.
        • Pro vývojáře:Kontrola kódu, použití nástrojů.
      • Zaměstnanci IT musí běžně plánovat bezpečnostní audity (denně, týdně. Měsíčně může být příliš pozdě!). Zvažte:
        • Úrovně oprav,
        • Seznam chyb zabezpečení CVE, alespoň křížová kontrola s externě viditelnými aplikacemi.
        • Provádění / analýza zpráv z nástrojů zabezpečení.
    • Nástroje:
      • Skenování portů NMAP.
        • Běžná čísla portů (/etc/services).
      • Skenování zranitelnosti OpenVAS.
      • Detekce narušení OSSec.
      • Kali Linux a MetaSploit Framework (Windows, Mac, Linux).
      • TCPDump/Wireshark
      • SecurityOnion
      • Audit souboru Tripwire
      • SELinux / AppArmor
      • Pro programátory:
        • Obecné metody vkládání SQL
        • Obecné zadávání dat a formuláře založené na HTML
        • Obecné metody XSS (Cross-Site Scripting)
        • OWASP (Otevřený projekt zabezpečení webových aplikací).
        • Zatraceně zranitelná webová aplikace (PHP)
        • BrakeMan (aplikace Ruby on Rails)
      • Pro koncové uživatele – poslední obranná linie :
        • Windows GPO (Group Policy) k vynucení zásad.
        • Antivirus, Anti-Malware.
        • Osobní firewall.
  • Plánování na nejhorší
    • Jak se vrátíme do práce, když (ne pokud) dojde k útoku?
      • Zastavte se a přemýšlejte – nepropadejte panice.
        • Okamžité zablokování brány firewall
      • Proveďte forenzní analýzu/shromážděte důkazy
        • Nalezení běžících procesů a popisovačů souborů (procfs, lsof).
        • Analýza paketů (strace, )
        • Shromažďování protokolů
        • Hledání podezřelých a skrytých souborů (/tmp, /opt. Hledání na základě mtime).
      • Oznamte zjištění obchodním partnerům.
        • Důležitá péče podniku a kdy je třeba hlásit úřadům.
      • Obnovit ze záloh nebo vyvolat plán BC?
  • Další čtení
    • 20 kritických bezpečnostních ovládacích prvků SANS
    • Kniha Kevina Mitnicka o sociálním inženýrství
    • 10 hlavních zranitelností OWASP
    • Seznam chyb zabezpečení CVE


Linux

  1. Jaký je váš oblíbený trik s linuxovým terminálem?

  2. Jaký je váš oblíbený správce balíčků pro Linux?

  3. Příkazy systému Linux pro zobrazení informací o vašem hardwaru

  1. Všechno nejlepší k výročí GNOME:Jaká je vaše oblíbená verze?

  2. Jaký je váš oblíbený emulátor terminálu Linux?

  3. Jaká je vaše oblíbená desktopová linuxová distribuce?

  1. Jaký je váš oblíbený správce oken Linuxu?

  2. Jaký je váš oblíbený linuxový terminálový trik?

  3. Věděli jste, že ve vaší televizi máte Linux?