CYBERSECURITY INKUBÁTORFilip Pávek

Systems Engineer, SecurityCCNP R&S, CCNP Security, CCSI #35271filip.pavek@alef.comALEF NULA, a.s.

CO ZNAMENÁ „CYBERSECURITY“?

NEZNÁMENÁ PRÁCI JEN PRO TECHNIKY!

• Bezpečnost – počítačové sítě, servery, koncové stanice, mobilní zařízení.

• Sběr a analýza datových toků.

• Testování zranitelností.

• Směrnice, normy, zákony.

• Analýzy rizik, gap analýzy.

PROČ CYBERSECURITY INKUBÁTOR

ZA NÁS:• Aktivně hledat nové kolegy.• Šířit osvětu v oblastech bezpečnosti.ZA VÁS:• Ujasnění co chci dělat, kde se vidím?• Mít možnost ptát se odborníků na věci nad rámec

přednášek.• Získat stáž – začít v době studia nabírat zkušenosti pro

budoucí kariéru!

PROGRAM PŘEDNÁŠEK

• 25.4. 2017 – Obecně o bezpečnosti

• 26.4. 2017 – Řízení přístupu do sítě (změna)

• 3.5. 2017 – Kybernetické hrozby

• 10.5. 2017 – Jak vypadá (ne)etický hacking

• 17.5. 2017 – Řízení přístupu do sítě (náhradní termín)

SLEDUJTE WEB a EMAIL!!!

CO VÁS NEMINE

NEJSME VE ŠKOLE ALE…

• Musíme použít nějaké hodnotící praktiky:

– Testy – NEEXISTUJE PASS NEBO FAIL STAV!!!

• Jaký testy, na co a kdy se budou psát.

• NO STRESS!!!

– Aktivita na přednáškách.

– Zájem o problematiku.

VÝZNAM A VNÍMÁNÍ BEZPEČNOSTIOBECNĚ O BEZPEČNOSTI

AGENDA

• Vnímání bezpečnosti běžných uživatelů IT.

• Co nás ohrožuje v kybernetickém prostoru.

• Jak je (ne)snadné útočit.

• Standardy a zákony.

VNÍMÁNÍ BEZPEČNOSTI BĚŽNÝCH UŽIVATELŮ IT

SVĚT IT KOLEM NÁS

JSTE NA NĚJ PŘIPRAVENI?• PC, laptopy, tablety, „chytré“ mobilní telefony, atd.

• Připojení do mobilní sítě a Wi-Fi všude (auta).

• IoT – chytré domácnosti/domy, spotřebiče, atd.

• Sociální sítě, aplikace mobilní/desktopové.

NEBEZPEČÍ IT SVĚTA KOLEM NÁS

• Neřešíme vůbec otázku bezpečnosti.– Hlavně že nám funguje Internet!

• Co Vaše domácí Wi-Fi?• Co veřejné Wi-Fi sítě (hotely, kavárny, letiště..)

– Hesla a jejich správa• Stačí nám dnes jedno heslo na vše?• Jak hesla spravujete?

– Extrémně rychlý vývoj mobilních a desktopových aplikací.• Kontrolujete licence aplikací nebo jen stahujete a používáte?• Jste si jistí, že aplikace kterou používáte nedělá něco navíc?• Řešíte bezpečnost kódu aplikace?

NEBEZPEČÍ IT SVĚTA KOLEM NÁS– Co vy a sociální sítě?

• Máte obavy, že budou Vaše informace zneužity?• Vkládáte fotky na Facebook, Instagram, atd.?• Co je vlastně soukromí?

– Chytré spotřebiče – pračka, kávovar, osvětlení, atd.• Jak se připojují, jak se ovládají?• Jaký protokol a jaký port používají?

– Jak nás ovlivňuje ztráta mobilního zařízení?• Soukromé vs. pracovní zařízení (BYOD, CYOD).• Jak se zbavujeme IT hraček (bazary, kamarádi, atd.)

– Kontrolujete na co klikáte na webu a jaké emaily otvíráte?

Máte čas tohle všechno vůbec řešit?

PŘÍKLADY KOLEM NÁS

“HEY SIRI, UNLOCK THE FRONT DOOR.” She unlocked the front door.

CHOVÁNÍ V KYBERNETICKÉM PROSTORU

Zdroj:govcert.cz

CO (NE)DĚLAT PO TECHNICKÉ STRÁNCE

Zdroj:govcert.cz

CO NÁS OHROŽUJE V KYBERNETICKÉM PROSTORU?

KDO MŮŽE BÝT ÚTOČNÍKEM

• Jednotlivci.

• Malé skupiny útočníků (různě organizované).

• Velmi dobře organizované skupiny.

• Skupiny útočníků na úrovni vlád zemí.

• Script Kiddie

• White Hat – (EthicalHacker)

• Black Hat – (Cracker)

• Gray Hat

KDO MŮŽE BÝT CÍLEM

NENÍ NIKDO, KOHO BY SE ÚTOKY NETÝKALI!

• Jednotlivci

• Soukromé společnosti

• Státní podniky

• Průmyslové odvětví

• Stát

TYPY ÚTOKŮ

• Spoofing – MAC, IP, Aplikace/služba• Reflection and Amplification – DNS, ICMP, NTP• Social Engineering• Phishing / Pharming• DoS/DDoS• Password attacks• Reconnaissance attacks• Man-in-the-Middle attacks , atd.

Zdroj:ENISA

ŠKODLIVÝ KÓD = MALWARE

• Virus, Adware, Spyware, Trojský kůň, Červ, Backdoor, Botnet, Adware, Downloader, Ransomware

• Zero-day attacks

• Blended threats

• Advanced Persistent Threat (APT)

MALWARE V Q1 2017

Zdroj:Malwarebytes

RANSOMWARE V Q1 2017

Zdroj:Malwarebytes

JAK JE (NE)SNADNÉ ÚTOČIT

KYBERNETICKÉ ÚTOKY

• Proč jsou tak populární?

• Čeho se bát?– Útok z vnitřní sítě?

– Útok z vnější sítě?

• Nástroje pro testování bezpečnosti sítě a systémů jsou totožné s nástroji k průniku!– Je těžké takové nástroje získat?

– Je těžké takové nástroje používat?

PROSTŘEDÍ PRO TESTOVÁNÍ BEZPEČNOSTI

STANDARDY A ZÁKONY

STANDARDY A ZÁKONY V ČR

• ISO 27000• ZoKB – 1.1. 2015, zákon č. 181/2014 Sb.,• Napříč EU – NIS Directive – 6.6. 2016.• Implementace NIS Directivy -> novela ZoKB

(aktuálně schválena PS).• GDPR – obecné nařízení - ochrana osobních údajů

– Schváleno 27.4. 2016– Účinný od 27.5. 2018

DÍKY ZA POZORNOST