Upload
vlad-styran
View
108
Download
0
Embed Size (px)
Citation preview
Кібер-ШміберІндустрія кібер-безпеки, погляд
зсерединиВолодимир Стиран
CISSP CISA OSCP ISO27001LA CEH BLAH BLAH
Director of Ops, Berezha Security
http:
//w
ww
.info
rmati
onisb
eauti
ful.n
et/v
isual
izatio
ns/w
orld
s-bi
gges
t-dat
a-br
each
es-h
acks
/
Типу кібер-атакиШкідливе ПЗ
банківські Троянці, віруси, крипто-локери тощо
ДДоС-атакина інтернет-крамниці, органи влади, системи ДБО тощо
Викрадення персони, доксінг, шантажАтаки на критичну інфраструктуру
енергетика, транспорт, фінансова система
Кібер-шпіонажполітичний та економічний
Про грошіІндустрія кібер-безпеки
Кібер-кримінальна економіка
Рекорд втрат
Рекорд прямих втрат
“Середні” втрати
$ 100 000 000 000
$ 400 000 000 000
$ 350 000 000
$ 65 000 000
$ 7 700 000
Зламали – всіх. Пропало – все.
https://haveibeenpwned.com
Типу нападники
Загрози безпеки
Загрози безпеки
Типу захисники
Правоохоронці«Кібер-війська»Громадські організаціїНауково-технічні інститутиРозробники засобів безпекиКонсалтингові та аудиторські фірмиКорпоративна безпека
Галузі економіки*Банки/фінанси/страхуванняІнформаційні технологіїОборонка/державні органиКонсалтинг/професійні послугиОсвітаОхорона здоров’яЕнергетика/видобуванняПромисловістьТелекомунікації
Роздрібна торгівляАвіаціяТранспортНеприбуткові організаціїМедіаТуризмРозвагиБудівництвоАгропромисловістьХарчування
Задачі професії (не зовсім)кібер-безпекиЦілі:
КонфіденційністьЦілісністьДоступність
Інформації
Методи:ЛюдиПроцесиТехнології
ПринципиНайменших привілеївБезпеки за замовчуваннямЕкономіки механізмівПовної медіаціїВідкритого дизайнуРозмежування правПсихологічної прийнятностіБагатошарового захистуЗахист найслабшої ланки
Оборонні спеціалізаціїАналітикІнженер/архітекторМенеджер/офіцерСлідчий з інцидентівАдміністраторКонсультантАудиторМенеджер з ризиківДиректор
Наступальні спеціалізаціїАналітик з захисту ПЗПентестерДослідник вразливостейСоціальний інженерМисливець за вразливостямиМисливець за загрозамиКонкурентний розвідник
Технічна кар’єраІнформаційні технологіїМережіПрограмуванняАналіз данихКомп’ютерні розслідуванняБезпека ПЗКриптографіяМашинне навчання
Організаційна кар’єраУправління проектамиУправління персоналомУправління ризикамиВнутрішні контроліАудит/оцінка захистуСтандарти та настановиПсихологіяВедення переговорів
Необхідні навички1. English2. “Try harder” настрій3. Критичне мислення4. Уважність до деталей5. Технічна обізнаність6. Пошук інформації7. Розумна достатність8. Переговори
Перспективні навички1. Розслідування інцидентів2. Хмарні обчислення3. Розвідка/аналітика4. Виявлення вторгнень5. Захист ПЗ6. Аналіз шкідливого ПЗ
Професійні сертифікаціїN00b-ські
CompTIA - Security+(ISC)2 - SCSPCisco - CCNA SecurityEC-Council - CEH
Просунуті(ISC)2 - CISSPISACA - CISA, CISMOffSec - OSCP/OSCE etc.SANS GIAC - Anything
https://www.sans.org/reading-room/whitepapers/analyst/cybersecurity-professional-trends-survey-34615
Оплата праці (в Україні)*Початківці (0-2 роки)
З досвідом (3-5 років)
Професіонали (5+ років)
Тактичні керівники
Стратегічні керівники
$0 - $1500
$1500 - $2500
$2500 - $4000
$3000+
$4000+
Оплата праці (глобально)
https://www.sans.org/reading-room/whitepapers/analyst/cybersecurity-professional-trends-survey-34615
Стратегічні порадиПлануйте розвитокВстановлюйте ціліОтримуйте оцінкуНеперервно навчайтесяРобіть “щось інше”Просіть по допомогу“Повертайте” спільноті
Хочу бути… через…На рік, два, п’ять, десятьПравило “3 мушкетерів”
Правило “+1 години”Будь-яке “важке” хобі
Це дружня індустріяНавчайте колег
Bonus: легальний хакінгСпособи
Тести на проникнення
Кар’єраFreelance
Bug BountyПрямі програмиББ-брокери
ЛабораторіїОнлайн“Зроби сам”
Capture the Flag
НюансиЗавжди. Майте. Дозвіл.Зберігайте конфіденційність клієнтаКонсультуйтесь з юристомСтрахуйте професійну відповідальність
Що далі?
Що далі?Теорія
Web Hacking 101 (Book)Web Application Hacker’s Handbook (Book)Uni. of MD – Software Security (Coursera)Stanford University – Cryptography (Coursera)Bruce Schneier – Applied Cryptography (Book)Ross Anderson – Security Engineering (Book)
ПрактикаKali LinuxMetasploitable2Burp SuiteNOWASPHack.MeHackerOne.comBugCrowd.com
Risky.biz (en)Securit13 PodcastNo Name Podcast
Bonus: як не стати кібер-жертвою
1. Не натискайте каку2. Використовуйте пасфрази замість паролів3. Використовуйте двохфакторну автентифікацію4. Операційна система та програмне забезпечення5. Антивірус6. Робіть резервні копії даних7. Використовуйте криптографію8. Мобільна безпека9. Фізична безпека10. Зворотній зв'язок
https://github.com/sapran/dontclickshit