Agenda. Quo vadis, security? Artur Maj, Prevenity



Podobne dokumenty
Agenda. Urządzenia mobilne w transakcjach elektronicznych. - szanse i zagrożenia. Artur Maj, Prevenity. Przegląd rynku urządzeń mobilnych

Agenda. Rys historyczny Mobilne systemy operacyjne

Urządzenia mobilne Nowe szanse, nowe zagrożenia FWZQJAEHEPQABIRQS

z testów penetracyjnych

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

OWASP i Top 10 Sposób tworzenia Top 10 Czym jest a czym NIE jest Top 10? Zmiany w wersji 2013 Omówienie nowych podatności na liście Podsumowanie

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Podstawy bezpieczeństwa

cat /agenda.txt /wybrane_fakty_i_mity grep zweryfikowane

Audyt zasobów sprzętowych i systemowych (za pomocą dostępnych apletów Windows oraz narzędzi specjalnych)

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Cyberbezpieczeństwo w świecie płatności natychmiastowych i e-walletów. Michał Olczak Obserwatorium.biz Warszawa,

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Internetowe Usługi Informacyjne

Szkolenie autoryzowane. STORMSHIELD Network Security Administrator. Strona szkolenia Terminy szkolenia Rejestracja na szkolenie Promocje

Wykrywanie i analiza złośliwych stron WWW. Łukasz Juszczyk CERT Polska/NASK lukasz.juszczyk@cert.pl

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Architektura bezpiecznych aplikacji internetowych na platformie Java Enterprise Edition. Jakub Grabowski Warszawa,

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

Wykład 6: Bezpieczeństwo w sieci. A. Kisiel, Bezpieczeństwo w sieci

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Zdalne logowanie do serwerów

! Retina. Wyłączny dystrybutor w Polsce

Kompleksowa ochrona sieci przedsiębiorstwa

AM 331/TOPKATIT Wsparcie techniczne użytkowników i aplikacji w Windows 7

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

Rozdział 6 - Z kim się kontaktować Spis treści. Wszelkie prawa zastrzeżone WiedzaTech sp. z o.o Kopiowanie bez zezwolenia zabronione.

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Bezpieczeństwo aplikacji typu software token. Mariusz Burdach, Prevenity. Agenda

PARAMETRY TECHNICZNE I FUNKCJONALNE

Wybrane problemy bezpieczeństwa w systemach IT.

Metody ochrony przed zaawansowanymi cyberatakami

Bezpieczeństwo mojej sieci O czym pomyśleć zanim będzie za późno Łukasz Bromirski lbromirski@cisco.com

Kompetencje Asseco Data Systems w obszarze IT Security

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Sprawa numer: BAK.WZP Warszawa, dnia 16 sierpnia 2016 r.

Bezpieczeństwo aplikacji. internetowych. 2. Szkolenie dla administratorów stron internetowych hufców Śląskiej Chorągwi ZHP

Trendy w bezpieczeństwie IT. Maciej Ogórkiewicz, Solidex S.A.

Zapewnienie dostępu do Chmury

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Innowacja Technologii ICT vs Człowiek

Metodologia ochrony informacji w systemach klasy desktop oraz na urządzeniach przenośnych

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

WorkingDoc CostControl: Precyzyjna kontrola kosztów wydruku na urządzeniach Grupy Ricoh

Uwaga!!! Autentykacja LDAP/AD zaimplementowana w Vigor wspiera tylko proste uwierzytelnianie (hasło przesyłane jest jawnym tekstem).

epolska XX lat później Daniel Grabski Paweł Walczak

OCHRONA PRZED RANSOMWARE

korporacyjnych i resortowych na bazie protokołu u IP M. Miszewski,, DGT Sp. z o.o.

Konfigurowanie Windows 8

Opis Przedmiotu Zamówienia

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Bezpieczny e-urząd. Praktyczne wyjaśnienie techniki ataku APT z wykorzystaniem exploitoraz malware.

1 Implementowanie i konfigurowanie infrastruktury wdraŝania systemu Windows... 1

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Program szkolenia: Bezpieczny kod - podstawy

Połączenie VPN Host-LAN SSL z wykorzystaniem przeglądarki. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Konto SSL 1.3. Grupa użytkowników

12. Wirtualne sieci prywatne (VPN)

Laboratorium 3. Zaawansowana konfiguracja i zarządzanie zaporami sieciowymi D-Link NetDefend cz.3.

Połączenie VPN aplikacji SSL. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile aplikacji SSL 1.3. Konto SSL 1.4. Grupa użytkowników

PROJEKTOWANIE BEZPIECZEŃSTWA STRATEGIE KONSERWACYJNE, PRAKTYKI ADMINISTRACYJNE

n6: otwarta wymiana danych

Xopero Backup Build your private cloud backup environment. Rozpoczęcie pracy

Bezpieczeństwo IT w środowisku uczelni

Księgarnia PWN: Greg Bastien, Christian Abera Degu Ściany ogniowe Cisco PIX

dr. inż. Albert Sadowski Kierownik Projektu Narzędzia open source w Audytach Bezpieczeństwa

Jak bezpieczne są Twoje dane w Internecie?

Bezpieczeństwo danych (kradzież, nieautoryzowana edycja) Bezpieczeństwo IT (sniffing, spoofing, proxy anonimizujące, tunelowanie i przekierowanie

Drobne błędy w portalach WWW

Połączenie VPN SSL Web Proxy. 1. Konfiguracja serwera VPN 1.1. Ustawienia ogólne 1.2. Profile SSL Web Proxy 1.3. Konto SSL 1.4. Grupa użytkowników

9:45 Powitanie. 12:30 13:00 Lunch

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

ekopia w Chmurze bezpieczny, zdalny backup danych Instrukcja użytkownika dla klientów systemu mmedica

Bezpieczeństwo usług na przykładzie VoIP

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

BEZPIECZNE APLIKACJE MOBILNE NAJISTOTNIEJSZE ZAGADNIENIA. Sławomir Jasek Wersja: 1.1,

Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

ZagroŜenia w sieciach teleinformatycznych. Sposoby zabezpieczeń.

Instrukcja instalacji systemu elektronicznego obiegu dokumentów - esoda.

WINDOWS Instalacja serwera WWW na systemie Windows XP, 7, 8.

Skuteczna kontrola aplikacji i działao użytkowników w sieci Rozwiązanie Palo Alto Networks. Agenda

Informatyka Śledcza jako narzędzie zabezpieczania i analizy wrażliwych danych

Gerard Frankowski, Zespół Bezpieczeństwa PCSS. Nowoczesne technologie bliżej nas Poznań,

Marek Pyka,PhD. Paulina Januszkiewicz

Wszechstronne urządzenie. z wbudowanymi wszystkimi funkcjami. zapory ogniowej i technologiami. zabezpieczeń. Symantec Gateway Security SERIA 5400

1 Dostarczony system bezpieczeństwa musi zapewniać wszystkie wymienione poniżej funkcje bezpieczeństwa oraz funkcjonalności dodatkowych.

Wymagania techniczne Comarch ERP e-sklep. Wersja

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

Zdalne zarządzanie systemem RACS 5

G DATA Client Security Business

Przewodnik konfiguracji Aruba WiFi oraz zabezpieczeń Palo Alto Networks w zakresie szczegółowej kontroli użytkowników sieci bezprzewodowej

1. Zakres modernizacji Active Directory

Jarosław Kuchta Administrowanie Systemami Komputerowymi. Dostęp zdalny

Bezpieczeństwo aplikacji webowych

Transkrypt:

Quo vadis, security? Artur Maj, Prevenity Agenda 1. Bezpieczeostwo informacji rys historyczny 2. Najistotniejsze wyzwania bezpieczeostwa - obecnie i w najbliższym czasie 3. Nasze rekomendacje 1

Bezpieczeostwo - rys historyczny Bezpieczeostwo rys historyczny Zagrożenia i ataki 10 lat temu Obecnie Ataki Proste Złożone Motywacja intruzów Koncentracja ataków Najpopularniejsze podatności* Sława, rzadko korzyści finansowe Strona serwera, np.: - Microsoft IIS, Apache Przepełnienie bufora Korzyści finansowe, rzadziej sława Strona klienta, np.: - Przeglądarka WWW, PDF Cross Site Scripting, SQL Injection Socjotechniki Rzadko stosowane Często stosowane *Źródło: Open Source Vulnerability Database (http://osvdb.org) 2

Bezpieczeostwo rys historyczny (cd.) Wybrane techniczne środki ochrony 10 lat temu Obecnie Zapory ogniowe Tradycyjne Nowej generacji Osobiste zapory ogniowe Rzadko stosowane Często stosowane Systemy antywirusowe Centralne serwery logów Samodzielne Rzadko stosowane Zintegrowane z innymi elementami ochrony Często stosowane, wypierane przez SIEM Wykrywanie włamao IDS, rzadko stosowane IPS, często stosowane Zdalny dostęp Szyfrowanie rzadko stosowane SSH, SSL, IPsec Najistotniejsze wyzwania bezpieczeostwa obecnie i w najbliższym czasie 3

Wyzwania bezpieczeostwa obecnie i w najbliższym czasie Próba wskazania 10 najistotniejszych wyzwao i obszarów zagrożeo bezpieczeostwa w polskich realiach na podstawie: Prognoz firm analitycznych Prognoz producentów produktów bezpieczeostwa Opinii uznanych światowych ekspertów ds. bezpieczeostwa Wyników realizowanych przez nas audytów bezpieczeostwa i testów penetracyjnych Ciągłej obserwacji rozwoju obszaru bezpieczeostwa informacji Wyzwanie #1 Zarządzanie poprawkami Brak zainstalowanych lub nieprawidłowo zainstalowane poprawki bezpieczeostwa Na poziomie warstwy sprzętowej Na poziomie środowiska wirtualnego Na poziomie systemu operacyjnego Na poziomie serwera aplikacji Na poziomie aplikacji 4

Wyzwanie #2 Nieprawidłowa konfiguracja Domyślne nazwy kont i hasła Domyślne ustawienia konfiguracji Nadmiarowe usługi Urządzenia mobilne Kradzież urządzenia Mobile malware Socjotechniki Wyzwanie #3 5

Wyzwanie #4 Systemy wbudowane Telewizory z dostępem do Internetu Komputery samochodowe Nowoczesny sprzęt AGD Zastosowania RFID Cloud Computing Wyzwanie #5 Kontrola nad dostępem do danych Kontrola nad fizyczną lokalizacją danych Kontrola nad backupem danych Błędy bezpieczeostwa w aplikacjach Cloud Computing Wyciek danych 6

Wyzwanie #6 Bezpieczeostwo aplikacji WWW Znane typy błędów bezpieczeostwa Nowe zagrożenia HTML 5.0 Wyzwanie #7 Uwierzytelnianie i autoryzacja Kradzież tożsamości Kradzież danych uwierzytelniających Nieautoryzowane transakcje 7

Aplikacje klienckie Wyzwanie #8 Podatności bezpieczeostwa Przeglądarki internetowe Plug-in y do przeglądarek Przeglądarki PDF Odtwarzacze multimediów Aplikacje Szyfrowane połączenia TLS/SSL Nieautoryzowane sieci VPN (np. Hamachi) Wyzwanie #9 Sieci społecznościowe i Web 2.0 Socjotechniki Dystrybucja złośliwego oprogramowania Wyciek informacji Zagrożenia prywatności SPAM 8

Wyzwanie #10 Socjotechniki Phishing (Smishing, Vishing itp.) Skrócone adresy URL Techniki SEO Wiele innych... Quo vadis, security? 9

Quo vadis, security? Zarówno teoria jak i doświadczenie pokazuje, że zapewnienie bezpieczeostwa informacji musi byd procesem ciągłym Zadanie to staje się coraz bardziej złożone, trudniejsze i jednocześnie ważniejsze dla biznesu Zagrożenia i ataki zmieniają się w czasie, podobnie jak techniczne środki bezpieczeostwa...... które chod są bardzo ważne, nie są wystarczające aby zapewnid skuteczną ochronę Nasze rekomendacje Zapewnienie 100% bezpieczeostwa niepraktyczne a wręcz niemożliwe sugerujemy skupid się na oszacowaniu ryzyka i jego redukcji do akceptowalnego poziomu W pierwszej kolejności należy adresowad realne zagrożenia a nie potencjalne lub medialne Przy wyborze rozwiązania uwzględnid nie tylko bieżące potrzeby ale również trendy i zmieniające się zagrożenia bezpieczeostwa Rozwiązania techniczne tylko jednym z wielu metod ochrony! 10

Dziękuję z uwagę artur.maj@prevenity.com 11

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres