Konference SECURITY 2013

Izolované řízení a ztráta integrity aktiv vzniklých z různých zájmových pohledů na systém, metodická vágnost a neřízená kombinace různorodých standardů, přílišná orientace na procesy a slabá orientace na výsledky, neuchopené řízení hodnot mezi IT a ostatními útvary, absence synergie mezi projekty projektového portfolia, neprováděná agregace a profilace rizik do vyšších úrovní řízení. Tyto a další chyby při vrcholovém směrování IT trápí české organizace. Co je to vůbec IT governance, na co se při governance soustředit a jakým chybám se v praxi vyhnout?

Očakáva sa v našom teritóriu nárast projektov SIEM. Toto sú vyjadrenia a prognózy niektorých distribútorov pre rok 2013. Naplní sa táto predikcia? To sa ukáže až na konci roka. Ak Vás táto problematika zaujíma, alebo sa Vás aktuálne priamo dotýka, prezentácia sa Vám pokúsi na základe reálneho projektu priblížiť nástrahy, s ktorými sa môžete stretnúť pri implementácii SIEM HP ArcSight a navrhnúť spôsob ako sa s nimi vysporiadať.

Pozor změna programu! Z důvodu náhlé nemoci nevystoupí Andrej Povážan s prezentací Meranie prínosu bezpečnostného auditu, ale Petr Komárek ze společnosti ZONER software, a.s. s přednáškou Zabezpečení dat pomocí SSL, přehled důvěryhodných certifikačních autorit na trhu.

Ze všech stran se na nás valí nabídky na SIEM řešení. Na světě pravděpodobně neexistuje SIEM, o kterém by výrobce netvrdil, že je založen na unikátních technologiích a je to jediný SIEM mezi náhražkami a podvodníky. SIEM pomůže najít a zpracovat ty správné události, kdo ale pomůže najít ten správný SIEM? Nejlepším postupem je výběr na základě Proof of Concept s několika zvolenými řešeními. Během PoC ověříte, do jaké míry jsou pravdivé marketingové informace, ale hlavně zjistíte, jestli je Vaše organizace na nasazení SIEM řešení připravena. Odladíte prostředí, zjistíte slabé stránky v logování jednotlivých zařízení a uděláte si jasnou představu o tom, jakým způsobem bude probíhat samotná implementace.

Patnáctý ročník globálního průzkumu Ernst & Young v oblasti informační bezpečnosti ukazuje zvětšující se mezeru mezi tím, co je potřeba aby informační bezpečnost ve společnostech řešila a tím, co řeší doopravdy (resp. na co má mandát a prostředky). Rychlost změn, zvyšující se komplexita řešení a narůstající dopady bezpečnostních incidentů kladou na společnosti stále větší (a dražší) požadavky. Společně se podíváme na několik vybraných výsledků průzkumu a zamyslíme se nad jejich významem pro budoucí řízení informační bezpečnosti.

Ve velmi různorodém prostředí České pošty je od roku 2009 implementován SIEM RSA enVision, do kterého je v současné době připojeno cca 600 zařízení. Jaké výhody a úskalí jsou s provozem tohoto systému v reálném prostředí spojeny? Co při nasazování systému nepodcenit? Jaké jsou zkušenosti s připojováním vlastních systémů, které nejsou rozparsovány výrobcem? Takto praktický pohled na SIEM přináší Jiří Kout a Michal Miklánek z oddělení bezpečnosti ICT České pošty.

Testování odolnosti vůči sociálnímu inženýrství je jedním ze způsobů, jak prakticky ověřit úroveň bezpečnosti v organizacích. Proč se organizace rozhodne pro tento druh testování? Co organizace získá, pokud se nechá otestovat? A jak by měla organizace s výsledky testů následně pracovat? V rámci prezentace zodpovíme tyto otázky a představíme možné způsoby testování, jejichž využití bude demonstrováno na příkladech z praxe.

Každý den slýcháme o masivních útocích na webové servery organizací a to jak na webové aplikace pomocí známých zranitelností SQL Injection, Cross Site Scripting a dalších, tak útocích na síťové firewally a jiné klíčové infrastrukturní prvky a s nimi spojené úniky dat z těchto serverů. Jsou však toto z pohledu organizací skutečně největší hrozby dnešní internetové doby?

Ti skuteční hackeři a hackerské skupiny se dnes zaměřují hlavně na přesně cílené útoky na klíčové jednotlivce disponující přístupem k citlivým informacím, které je možné zpeněžit nebo využít jako konkurenční výhodu. Těmto typům útoků se souhrnně říká Advanced Persistent Threats (APT) a v dnešní době představují velké riziko pro malé firmy, nadnárodní organizace i vlády. Předvedeme si nástroje a techniky, které jsou hackery nejčastěji využívány pro útoky na uživatele a jejich klientský software, jako jsou internetové prohlížeče, Java nebo moduly Adobe a povíme si také o nejnovějších útocích na mobilní zařízení.

This presentation provides a high level overview of emerging security threats and the need for consolidated network and application security approach

Cílem penetračního testu je otestovat zkoumaný systém z pohledu útočníka. Jedná se o potenciálně mocný nástroj, avšak reálné projekty obvykle zdaleka nevyužijí jeho možnosti z důvodu, že si při jejich definici nikdo nepoložil správné otázky. Kdo konkrétně představuje pro můj systém bezpečnostní hrozbu? Které vektory útoku je smysluplné testem zmapovat a proč? V příspěvku bude představena jednoduše realizovatelná metodika modelu hrozeb a využití jejích výstupů pro definici následných auditních aktivit.

Příspěvek prakticky shrnuje procesní a technické aspekty implementace havarijních plánů pro ICT infrastrukturu a interní procesy společnosti. Klíčovým bodem BCM je příprava vhodné náhradní lokality a vytvoření náhradního datového centra pro provoz kritických ICT aplikací. Příspěvek se zabývá také organizačními a technickými aspekty řešení a jejich uvedením do praxe. Na závěr přednášky bude prezentován testovací scénář a praktické výsledky z testu v náhradní lokalitě a fungování ICT vůči náhradnímu datovému centru.

Jason Hart, VP, Cloud Solutions talks about how data centre virtualisation and cloud deployments have opened up new security vulnerabilities that aren’t well understood. With a background as an ethical hacker who has advised major public and private sector clients, Jason will also show how easy it is to access and breach virtual environments in a live (controlled) hack.

Souběžně se zaváděním nových technologií je nutné řešit i odpovídající rizika. K jejich řízení a vyhodnocování přispívá i interní IT audit, který ve své činnosti postupuje podle platných norem a z nich odvozených procesů či procedur. Ne vždy se mohou aktivity IT auditu jevit jako legální a bezproblémové. Cílem prezentace je ilustrovat kroky, které sníží rizika a pochybnosti spojené s testováním a ověřováním rizik.

Mobilní zařízení nám přináší řadu výhod, díky kterým můžeme být opravdu mobilní a flexibilní ať už při řešení soukromých či firemních záležitostí. Prohlížení webových stránek, synchronizace e-mailů, komunikace na sociálních sítích, tvorba fotografií a videa, GPS lokace a mnoho dalších funkcí. To vše integrované v jednom zařízení dělá ze současných mobilních zařízení nástroj, bez kterého se většina z nás nedokáže obejít. Všechny vyjmenované technologie však většinou pracují s velmi citlivými údaji, které jsou lákadlem snad pro každého útočníka. Jsou mobilní platformy proti současným útočníkům dostatečně chráněny? Jaká rizika představují špatně zabezpečená mobilní zařízení či nedodržování bezpečnostních zásad při jejich používání? Co vše se o Vás může útočník dozvědět? Odpovědi na tyto otázky spolu s praktickými ukázkami některých zajímavých útoků naleznete právě v této přednášce.

Typickou součástí zajištění bezpečnosti aplikace jsou při jejím vývoji penetrační testy. Jejich organizace s sebou přináší mnohá úskalí. Jak vybrat dodavatele? Jakou smlouvu s ním podepsat? Jak správně formulovat zadání a rozsah penetračních testů? Co vše je potřeba zajistit z pohledu testovaného? Komu penetrační testy oznámit nebo neoznámit? Jak pomocí penetračních testů nezpůsobit havárii provozu? Jak se nedostat do sporu s (nejen) interními předpisy? Jak zacházet s výsledky testů? Autor popisuje praktické zkušenosti s řešením otázek tohoto typu při organizaci penetračních testů.

Dvoufaktorová autentizace si po drobném terminologickém zaškobrtnutí (občas ještě vidíme popletení pojmů více faktorů versus více kanálů) celkem úspěšně razí cestu do mobilních aplikací. Jakkoliv je dvoufaktorové ověření identity v tomto prostředí v principu samozřejmě možné, jednoduchá úloha to není. Zejména je nutné dávat velmi dobrý pozor, aby v mobilním zařízení nezůstávala žádná zneužitelná stopa po tajné informaci, kterou má znát jen oprávněný uživatel a která je právě jedním z ověřovaných faktorů. Hrozbou je zde zejména zneužití dat z odcizeného zařízení k určení zbývajícího autentizačního faktoru hrubou silou. Vzhledem k tomu, že se často jedná o prostý číselný PIN, je nutné věnovat pozornost i na první pohled nicotným informačním stopám. V příspěvku si ukážeme, jaké konkrétní podoby může takový latentní otisk PIN mít, jak lze odhadnout míru přenositelné informace a jak se této zranitelnosti včas vyvarovat volbou vhodných kryptografických schémat. Upozorníme také na sílu forenzních technik, které mohou být silným nástrojem nejen v rukou kriminalistů, ale bohužel i kriminálníků.

S množícími se kybernetickými útoky se bezpečnost ICT stává čím dál tím důležitější. Na trhu je velké množství hardwarových či softwarových řešení, existuje celá řada dodavatelů, kteří se holedbají, že zajistí bezpečnost informačních či komunikačních technologií. Marketingové slogany jsou jistě lákavé, ale jaká je reálná vymahatelnost takových příslibů, resp. na co si dát pozor ve smlouvě, aby zákazník se domohl svých práv v případě, že bezpečnostní řešení nesplní jeho očekávání? Prezentace se zaměří jak na právní aspekty dodávek HW/SW řešení, tak na specifické aspekty outsourcingu bezpečnostní infrastruktury a jejím cílem je upozornit na právní úskalí, se kterými se zákazníci či dodavatelé bezpečnostních technologií mohou v praxi setkat.

Since the beginning of computer usage for work and then later also in personal life malware was “a part” of this technology. People got “used” to it and tried to fight it the best they could. But then “the game” became more personal. The malware started to aid criminals for the means of stealing money from users and companies and this also made the malware numbers to rise sky-high. The good thing is that people are aware about this threat but what they tend to forget is that they still have an unprotected piece of technology with direct access to their money in their pockets. What threats are there and how can you get infected is the question which will be answered in this presentation.

Ve velkých společnostech obvykle čelíme požadavku na zabezpečení velkého počtu instalovaných systémů na různých platformách a to často v krátkém čase a s omezenými zdroji (technické, lidské, …). Co by nám řešení hardeningu mohlo v této souvislosti přinést a na co bychom neměli zapomenout? Lze hardening ICT platforem skutečně uvést do reality nebo se jedná pouze o teorii? Případová studie řešení hardeningu ICT systémů z prostředí Skupiny ČEZ přiblíží možné důvody k řešení této problematiky, zvolený přístup řešení a podíváme se na výsledný efekt celé aktivity.

Téma obrany vůči pokročilým formám útoků je v současné době často skloňovaným pojmem v různých souvislostech. Příspěvek se v první části zaměřuje na způsoby obfuskace detekčních metod využívaných v moderním malware. V druhé polovině budou představeny detekční principy, které se snaží riziko napadení a případný dopad útoku s menším či větším úspěchem eliminovat.

Velice často se ve své praxi setkáváme s potížemi, kterak správně řešit infrastrukturní bezpečnost na úrovni síťové komunikace. Dochází k situaci, kdy vlastník bezpečnostních rizik vnímá infrastrukturu a bezpečnost za vyřešenou ve chvíli, kdy nainstaluje firewall, IPS a kontrolu 7- vrstvy OSI modelu. První problémy, na které všichni okamžitě záhy narazí, jsou problémy s vysokým stupněm mobility a dynamičnosti pracovních skupin či jednotlivců. V takovém případě je zajištění bezpečnosti na úrovni síťové vrstvy složitější a vyžaduje změnu přístupu v řešení filtrace. Jak se dá takový problém vyřešit, je ale kupodivu vcelku jednoduché, za předpokladu, že použijete správný přístup.

Seznamte se s aplikací technologie Flow Monitoring a Network Behavior Analysis pro zvýšení bezpečnosti datové sítě, zajištění viditelnosti do sítě, identifikace anomálií a příčin provozních problémů. Technologie bude prezentována na konkrétních případových studiích postavených na aplikaci řešení FlowMon ADS společnosti INVEA-TECH. V rámci prezentace budou představeny techniky monitoringu provozu datové sítě a behaviorální analýzy, které jsou vhodným doplňkem firewallu, IDS/IPS, vstupních bran a dalších nástrojů založených primárně na analýze obsahu. Díky tomu umožňuje behaviorální analýza detekovat bezpečnostní problémy a anomálie, které nejsou zjistitelné běžným způsobem.

SAP systém jako klasický „softwarový balík“ disponuje celou řadou inherentních kontrolních mechanismů a nástrojů na optimalizaci podpory procesů a výkonnosti systému SAP. Tyto kontroly budou ovšem fungovat jenom v případě, že se aktivují, správně nastaví a samozřejmě kontrolují. Pokud je budou společnosti aktivně využívat a zároveň budou vhodně řídit bezpečnost SAP, mají šanci podstatně zvýšit výkonnost systému SAP, a tím i kvalitu a spolehlivost údajů z tohoto ERP systému. Přednáška bude zaměřená na praktický přístup k SAP bezpečnosti a nastavení přístupových oprávnění v tomto prostředí.

Představení zkušeností s nasazením metod detekce pokročilých síťových hrozeb prostřednictvím behaviorální analýzy síťového provozu v oblasti státní správy. Shrnutí požadavků kladených na ochranu síťové infrastruktury státní správy jako součástí kritické infrastruktury státu. Regulatorní požadavky, role NBU. Hrozby, konkrétní případy detekce, čištění bezpečnostních politik síťového provozu. Postavení technologie NBA (Network Behavior Analysis) v kontextu dalších monitorovacích nástrojů a doporučení způsobu užití v rámci standardní bezpečnosti metodiky organizace.