Datasäkerhetsmetoder, sista träffen. Social engineering Lite återkoppling på utkasten

Relevanta dokument
Datasäkerhetsmetoder, sista träffen. Lite återkoppling på utkasten

E-post på ett säkrare sätt

Praktisk datasäkerhet (SäkA)

Sammanfattning av riktlinjer

IT-arbetsplatsenheten (ITE) Andreas Lange

Hur gör man ett trådlöst nätverk säkert?

Information till domstolens aktörer

Offentligt. Finlands Banks och Finansinspektionens skyddade e-post: anvisning för utomstående användare

E-post på ett säkrare sätt. Information till domstolens aktörer. Inledning

Att Säkra Internet Backbone

Social Engineering - människan som riskfaktor

Hur fungerar säker e-post?

Din guide till en säkrare kommunikation

Nätsäkert. Om datorer och internet för elever i Karlshamns kommun

Internetsäkerhet. banktjänster. September 2007

Vi har här sammanställt hur vi samlar in och hanterar dina personuppgifter i enlighet med Dataskyddsförordningen (GDPR).

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Offentligt. Finlands Banks och Finansinspektionens skyddade e-post: anvisning för utomstående användare

Användning av sociala linköpings universitet

Säkerhet på Internet. Sammanställt av Bengt-Göran Carlzon

SÄKERHETSLÄGET. för svenska små och medelstora företag 8 december, Check Point Software Technologies Ltd.

Tekniskt driftdokumentation & krishantering v.1.0

Att skicka fakturor. Fördjupning till dig som ska använda bankens Fakturaskrivare för e-fakturor och pappersfakturor

Säker IP telefoni? Hakan Nohre, CISSP

3 Skadliga program 26 Virus... Förord...3 Lättläst it...7 Bokens uppbyggnad och nivåer...8 Bokens innehåll på olika nivåer...9

Generell IT-säkerhet

Handledning i informationssäkerhet Version 2.0

IT-riktlinjer Nationell information

Säkra trådlösa nät - praktiska råd och erfarenheter

Informationssäkerhetsanvisning

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Att skicka e-fakturor. Fördjupning till dig som ska använda fakturaportalen

PromikBook bas (gratis) med bokföring, dokumenthantering, fakturering, kundreskontra och leverantörsreskontra.

IT-säkerhet i Svenska kyrkan gemensamma IT-plattform GIP

Metoder för datasäkerhet. Vad handlar en sådan kurs om???

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet. Publiceringsdatum Juni 2007 ( rev. September 2011)

Att skicka fakturor. Fördjupning till dig som ska använda bankens fakturaskrivare för e-fakturor och pappersfakturor via e-bokföring

E-POSTINSTÄLLNINGAR I E-POSTPROGRAMMET

AVTAL Övertorneå stadsnät Internet

Rapport Informationsklassning och riskanalys Mobila enheter Umeå Fritid

Datainspektionens granskningar av integritetsskyddet inom vård och omsorg. Erik Janzon Datainspektionen

Säkerhetsanalys. The Dribble Corporation - Krav. The Dribble Corporation - Mål. The Dribble Corporation Produkt: Dribbles. Vill börja sälja över nätet

Avtal om Kundens användning av Journal via nätet Bilaga 2 - Specifikation av Applikationen Journalen

Granskning av utbetalningar

WEBBAPPLIKATION 4.1. Centralen för utredning av penningtvätt. Sida 1 / 6 REGISTERING GUIDE. APPLIKATION: 2014 UNODC, version

Lättläst om Nordea internetbank

Att skicka fakturor. Fördjupning till dig som ska använda bankens Fakturaskrivare för e-fakturor och pappersfakturor via e-bokföring

Riskanalys. Förskolenämnden

Tillsyn enligt personuppgiftslagen (1998:204) Behandling av känsliga personuppgifter i mobila enheter

Många företag och myndigheter sköter sina betalningar till Plusoch

Lathund Google Kalender (i webbläsare)

Proceedo Manual V1.1 - Granska och attestera fakturor

Granskning av utbetalningar

FÖRHINDRA DATORINTRÅNG!

INCIDENTRAPPORT FÖR DRIFTSTÖRNING VÄSTBERGA DATACENTER, ZON 1

Rapport om IT-infrastruktur och säkerhet inom offentlig sektor

E-post inställningar. webgr.nu. Vill ni ha mer information hör av er:

TÄNK OM DET FINNS EN BANK SOM TÄNKER ANNORLUNDA

IT-policy Scenkonst Västernorrland AB

Kravspecifikation. Crowdfunding Halland

Kom igång med Riksbyggen Kundwebb


ID-KAPNINGAR & FAKTURABEDRÄGERI

Laboration 2 Datorverktyg vid LiU

Manual - Inloggning. Svevac

Ansök om Autogiro hos din golfklubb

Cramo Business Support. användar handbok

Din guide till IP RFID. Intertex Nu ännu starkare säkerhet för SIP. Snom - marknadens säkraste IP-telefon. Ur innehållet TALK TELECOM

Riktlinjer. Telefoni. Antagen av kommundirektören

Den digitala rånaren - och hur vi skyddar oss

Tillsyn enligt kreditupplysningslagen (1973:1173) och personuppgiftslagen (1998:204)

Samtals- och självskattningsunderlag: Gröna näringarna

USAbilForum Importera bil från USA! 2013/2014

PULS & TRÄNING Dokumentation för Trygghetskameror (GDPR)

DENACODE NUDDIS DIGITALT NÄRVAROSYSTEM. Denacode AB!

SKÖTSELSKOLAN. Instruktioner till personal - för dig som arbetar på ett entreprenadföretag

Innehållsförteckning:

Valfrihet innebär att varje kund hos oss väljer de

Kom igång med e-cm. Så gör du.

Regler för användning av skoldatanätet i Vaxholms stad.

Tillsyn enligt personuppgiftslagen (1998:204) bankers användning av s.k. appar

INNEHÅLLS FÖRTECKNING

Förnyad konkurrensutsättning. Manual för leverantör

Informationssäkerhet

Lathund Elektronisk fakturahantering

Datum: Version: Författare: Christina Danielsson Senast ändrad:

Guide för säker behörighetshantering

Lathund. IT-säkerhet, GDPR och NIS. Version 3.0

Kommuner, landsting i sociala medier

Lantbrukares syn på risker och säkerhet i arbetsmiljön ett genusperspektiv

P e r He l l q v i s t. S e n i o r S e c u r i t y S p e c i a l i s t No r d i c & B a l t i c r e g i o n

Denial of Services attacker. en översikt

Bilaga D - Intervjuer

E-legitimationer. Jonas Wiman. LKDATA Linköpings Kommun.

Juridiska säkerhetskrav

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Bedragarens mål Att få den anställda att föra över medel eller information till bedragaren.

Riktlinjer för informationssäkerhet

Bilaga, Definition av roller och begrepp, till policy för IT-säkerhet

Ändamål Behandlingar som utförs Kategorier av personuppgifter Att kunna hantera beställningar och köp

Transkript:

Datasäkerhetsmetoder, sista träffen Social engineering Lite återkoppling på utkasten

Social Engineering Socialt samspel handlar om sedvänjor, kultur och tradition Man kan utnyttja detta genom så kallad Social Engineering Vi attackerar människan bakom maskinen https://www.youtube.com/watch?v=lc7scxvkqoo

Vilka sociala svagheter kan vi utnyttja? Det finns flera skäl till att social engineering fungerar 1. Otydligt ansvar 2. Upplevda fördelar 3. Tillit 4. Moraliskt ansvar 5. Skuld

Vilka sociala svagheter kan vi utnyttja? Det finns flera skäl till att social engineering fungerar 1. Otydligt ansvar Detta är redan godkänt av nån annan, släpp in mig. 2. Upplevda fördelar 3. Tillit 4. Moraliskt ansvar 5. Skuld

Vilka sociala svagheter kan vi utnyttja? Det finns flera skäl till att social engineering fungerar 1. Otydligt ansvar 2. Upplevda fördelar 3. Tillit Offret tror sig få en fördel av handlingen Din chef vill att du gör det här 4. Moraliskt ansvar 5. Skuld

Vilka sociala svagheter kan vi utnyttja? Det finns flera skäl till att social engineering fungerar 1. Otydligt ansvar 2. Upplevda fördelar 3. Tillit Offret vill vara hjälpsamt 4. Moraliskt ansvar 5. Skuld

Vilka sociala svagheter kan vi utnyttja? Det finns flera skäl till att social engineering fungerar 1. Otydligt ansvar 2. Upplevda fördelar 3. Tillit 4. Moraliskt ansvar Offret övertygas om att det är rätt åtgärd Kanske handlingen fixar nåt påhittat problem 5. Skuld

Vilka sociala svagheter kan vi utnyttja? Det finns flera skäl till att social engineering fungerar 1. Otydligt ansvar 2. Upplevda fördelar 3. Tillit 4. Moraliskt ansvar 5. Skuld Offret övertygas om att hen gjort något fel Och handlingen rättar till felet

Vilka sociala svagheter kan vi utnyttja? Det finns flera skäl till att social engineering fungerar 1. Otydligt ansvar 2. Upplevda fördelar 3. Tillit 4. Moraliskt ansvar 5. Skuld Man vill vara hjälpsam

Social Engineering: Sikta mot toppen! Tisdag torsdag förra veckan: konferens i Göteborg Kl 11:10 kom ett epostmeddelande till vår administratör: Brevet i HTML innehåller LiUs logga och en bild av mig Kl 12:32 gör vår administratör en forward av meddelandet till vår fakturahanterare och mig

Whaling Meddelandet var så kallad whaling (eller CEO fraud ) Om det är noga förberett så kallas det ibland spear-phishing Ofta riktat mot högsta ledningen (jag är Prefekt, dvs högsta chef på ISY), men målet är egentligen ekonomiavdelningen Enligt FBI har denna typ av attacker genererat mer än 2.3 miljarder USD i förluster sedan 2013. Jo, också riktat mot LiU...

Det slutade väl i detta fall Det fanns ett Reply-to: fält riktat mot en falsk epostadress under attackerarens kontroll Men administratören gjorde en forward, inte ett svar Jag upptäckte detta inom ca 20 minuter och hörde omedelbart av mig till både administratör och ekonom, och lite senare LiUs Incident Response Team Ingenting hände, men våra rutiner hade antagligen stoppat utbetalningen i vilket fall

Motåtgärder Policy/Rutiner LiU: Fakturor ska attesteras av två olika personer Personligt exempel: Skicka aldrig passnumret per epost Företagsexempel: Låna aldrig ut ditt lösenord Men rutiner behöver en fungerande infrastruktur Medvetenhet Teknologi

Motåtgärder Policy/Rutiner Medvetenhet Man måste veta om att social engineering förekommer Man bör känna till hur vanliga attacker fungerar Alla i organisationen måste känna till det Teknologi

Motåtgärder Policy/Rutiner Medvetenhet Teknologi Epostsignaturer Autentisering

Rapporterna, allmänna kommentarer Gör en tydlig struktur: sekretess för sig, dataintegritet för sig och tillgänglighet för sig, hot-brist-skada, osv Se till att diskussionen handlar om er specifika situation, inte bara en allmän beskrivning av begreppen som sådana En vanligt fel är att blanda CIA, framförallt sekretess och tillgänglighet. Tillgänglighet handlar om att man ska kunna komma åt det man har tillåtelse att läsa och skriva. Tänk noga på sannolikheten att hoten realiseras, det har betydelse för prioriteringen Koppla rangordningen av riskerna med prioriteringen av åtgärderna, den stora svårigheten brukar vara att få till en välmotiverad prioritering

Hasardspel Tänk på sekretess också för underlaget till oddsen, kanske attackeraren vill komma åt vad som ligger bakom dem för att kunna spela bättre, alternativt ändra oddsen till sin fördel (Integritet). För tillgänglighet kan man fundera på om det kan finnas attacker där primärskadan är tillgänglighet och sekundärskadan är integritet (och tredjenivåskadan ekonomisk), säg att lägga ett vad och sedan DDOSa servern. I vilken situation kan detta vara fördelaktigt för en attackerare? Är detta troligt som attack? Man bör ha med insiderhot

Hemstyrsystem Hur sker kommunikationen mellan klient/lägenhet och server? Ska man använda dedikerad hårdvara, en webbapplikation, eller en mobilapp? Diskutera för och nackdelar Om det är dedikerad hårdvara kanske en enkel pinkod är bättre än ett lösenord, man måste ju vara på plats också? Tänk på sekretess också för förbrukningsdata. Dessa kan annars användas för att se om någon är hemma. Är ingen det, kan man ju bryta sig in ostört

Lillköpings sparbank En bank har höga krav på sekretess och integritet. Det svåra är att få till balans mellan dessa och tillgänglighet Här är insiderhoten mycket viktiga Ni behöver inte ha med en katastrofövning

Forskargrupp Forskargruppen hanterar persondata, så PUL är viktigt Gruppen är spridd över landet, så här bör man nämna VPN (krypterade tunnlar) så att trafiken är skyddad när den passerar över internet Kan utbildning vara en bra åtgärd?

Enmansfirmor (Lantbruk, mm) Fundera på vilka yttre hot som finns Anpassa CIA-analysen, och lista inte bara en typ av hot, i ett lantbruk t ex är fysiska hot viktiga men utesluter inte andra Kan utbildning vara en bra åtgärd?

Familjeveterinärerna/Dagligvarubutik Här måste man diskutera hur man skiljer man användare från varandra, hur hanteras lösenord? Har man skilda system för de olika uppgifterna, är det olika autentisering i de olika systemen? Har man grupper av anställda med olika behörighet eller är det personkopplat? Finns det riktade yttre hot (djurens rätt, t ex?)

Hemdatoranvändare Backup är viktigt även för en hemdatoranvändare En ensam användare har delvis andra krav än om det handlar om en hel familj Behövs det utbildning, och är det säkert att den skulle hjälpa? Kanske man ska ha ett system som är enkelt och begränsat? Virusskydd stoppar inte allt, och det kan vara svårt att få användaren att förstå hur farliga länkar i epost kan vara Hur hanterar man lösenord, backup, sociala medier, kanske ett fillager, fleranvändarsäkerhet?

En familj där föräldrarna arbetar hemma Som en ensam hemanvändare men med andra bekymmer Är hoten större pga hemarbete? Hur måste ni ta hänsyn till detta? En given åtgärd är en VPN-tunnel till arbetet Tillgänglighet är viktigare här Lägg arbete på struktur av rapporten, och att få den lättläst, man ska inte underskatta vikten av detta, särskilt för privatpersoner (för en säkerhetsmänniska i ett företag är det annorlunda).

Biljettförsäljning Insiders? Svarta marknaden för biljetter är stor Fundera på om det kan bli sekundärskador av en DDOS, säg att platser säljs flera gånger, eller att betalning förhindras men biljetten blir tillgänglig. Hur gör man biljetterna svåra att kopiera? Tänk på att en streckkod också kan förfalskas. Hur skulle man göra för att få en streckkod svårförfalskad? (Ledtråd: tänk på kryptoföreläsningen.)

Ekonomikonsulter/bokföringsfirma Bokföringslagen kräver en auditlog, vem som gjort vad, så detta är en krävd åtgärd. Rangordningen måste ta hänsyn till lagen. Samtidigt är inte sekretess för bokföring ett lagkrav (banksekretess är något annat). Däremot finns säkert ett avtal med kunden om sekretess, och man kommer säkert till domstol om man inte kan förlikas vid brott mot detta. Tillgänglighet är å andra sidan ett krav för bokföring

Rapporterna, allmänna kommentarer Gör en tydlig struktur: sekretess för sig, dataintegritet för sig och tillgänglighet för sig, hot-brist-skada, osv Se till att diskussionen handlar om er specifika situation, inte bara en allmän beskrivning av begreppen som sådana En vanligt fel är att blanda CIA, framförallt sekretess och tillgänglighet. Tillgänglighet handlar om att man ska kunna komma åt det man har tillåtelse att läsa och skriva. Tänk noga på sannolikheten att hoten realiseras, det har betydelse för prioriteringen Koppla rangordningen av riskerna med prioriteringen av åtgärderna, den stora svårigheten brukar vara att få till en välmotiverad prioritering

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss