GNU/Linux >> Linux Esercitazione >  >> Linux

Sicurezza delle informazioni 101:cosa deve sapere la tua azienda

Gli elementi essenziali della sicurezza delle informazioni

In questa presentazione tratteremo gli elementi essenziali di come proteggere la tua proprietà intellettuale, principalmente quando si riferisce alle informazioni da cui dipende la tua attività. Da un punto di vista tecnico, solo una piccola parte di questa presentazione riguarda gli strumenti per proteggere il tuo business; sebbene il pregiudizio di questa guida sarà verso gli strumenti Linux, i principi si riferiscono a qualsiasi sistema informatico e sistema operativo. Desktop/stazioni di lavoro, Mac, Windows o Linux; proteggere ogni parte del tuo posto di lavoro ICT è incredibilmente importante. Quasi tutte le aziende si affidano alle TIC come linea di sangue per tutti i segmenti delle proprie operazioni.

Formato e pubblico previsto

Questa guida è in formato di presentazione, in modo che tu possa presentarla ai colleghi di lavoro che desiderano formazione o per accrescere la conoscenza dei principi, dei metodi e degli strumenti di sicurezza.

Il pubblico previsto è per i professionisti ICT nelle aziende, ma è comunque appropriato per chiunque sia interessato all'IS (Sicurezza delle informazioni).

Se desideri vedere la struttura della diapositiva, scorri fino a sotto la presentazione.

Lascia che Alistair te lo presenti!

Se sei interessato che l'autore fornisca alla tua azienda una presentazione, formazione, consulenza o supporto coinvolgente su uno qualsiasi degli argomenti trattati in questa presentazione, o con i sistemi informativi aziendali in generale (sp. Linux e Open Source), allora entra tocco. Alistair ha anni di capacità di presentazione ed è un leader tecnico senior, avendo lavorato per aziende rispettabili come Amazon e GE, nonché per aziende di medie dimensioni in tutto il mondo.

Scheda diapositive


Impossibile avviare questa presentazione. Prova ad aggiornare la pagina o a visualizzarla in un altro browser.

Sicurezza delle informazioni 101

Cosa deve sapere la tua azienda

Una guida ai perché , il come è e il cosa c'è di proteggere la tua attività dai rischi per la sicurezza delle informazioni.

(C) Copyright Alistair Ross 2017 | www.linuxnewbieguide.org


Argomenti trattati in questa presentazione:

  • Perché la sicurezza delle informazioni è importante?
  • Cose che dovresti sapere
  • Chi sarebbe interessato a sfruttare i miei sistemi ICT?
  • Che tipo di attacchi si possono effettuare?
  • Come posso proteggermi da ogni tipo di attacco?
  • Attrezzi
  • Pianificare il peggio
  • Ulteriori letture.

Perché la sicurezza delle informazioni è importante?

  • Il danno che può causare alla tua attività:
    • Perdita di proprietà intellettuale.
    • Perdita di reputazione, quota di mercato e marchio.
    • Estorsioni e riscatti (inclusa la perdita di fondi bancari diretti).


Profilazione del rischio

  • In primo luogo, discutiamo del profilo di rischio nella tua attività.
    • Dal punto di vista del proprietario della tua attività:
    • Le tue informazioni sono tutto, sono la linfa vitale del business moderno.
  • Il profilo di interesse nella tua infrastruttura:
    • Il valore della potenza di calcolo "gratuita" per gli aggressori.

Cose che dovresti sapere 1/4:

  • Definizione di sicurezza delle informazioni, la triade della CIA:
    • C riservatezza:protezione delle tue informazioni da accessi non autorizzati.
    • Io integrità:le informazioni sono come dovrebbero essere, non modificate in modo non autorizzato (o addirittura errato).
    • A disponibilità:assicurarsi che le informazioni in tuo possesso siano sempre disponibili.

Cose che dovresti sapere 2/4:

I tre elementi principali della sicurezza sono:

Persone

Processo


Tecnologia

Cose che dovresti sapere 3/4:

  • La tua organizzazione dovrebbe avere un criterio IS.
    • Sebbene , ricorda che se lo rendi oneroso per il tuo personale, lo aggireranno in ogni occasione. La sicurezza consiste in un compromesso efficace.
  • Il semplice fatto di avere un firewall non è la risposta:è necessaria una difesa approfondita.
  • Si tratta di quando , non se vieni sfruttato.

Cose che dovresti sapere 4/4:

  • Fidati. La tua attività è costruita su di esso, eppure:
    • Il tuo personale e fornitori può essere ostile!
      • Potrebbero non essere a conoscenza di un tentativo su di loro.
      • Possono installare software, aprire documenti e accedere a siti che fanno "cose ​​negative".
      • Potrebbero intenzionalmente fare del male.
  • Solo perché è nel Cloud non significa che sia sicuro. È valido solo quanto le persone che lo mettono nel cloud e l'azienda che gestisce il servizio cloud.

Chi sarebbe interessato a sfruttare i miei sistemi ICT?

  • Attaccanti mirati
    • Personale/ex personale scontento
    • I battitori assoldati
    • Opportunisti
  • Attaccanti non presi di mira
    • Bambini della sceneggiatura
  • Bot/Spambot.

Che tipo di attacchi si possono effettuare?

  • Ingegneria sociale:

  • Phishing
  • Uscita dei dati basata sulle persone (intenzionale e non intenzionale). – Dati in uscita dalla porta (e nel cloud).
  • Riscatto/ricatto.
  • Di persona, per posta, e-mail personale e telefono.

Che tipo di attacchi si possono effettuare? (continua...)

  • Exploit fisici

    • HID (Human Interface Devices) (es. Rubber Ducky, Bash Bunny)
    • Tocca la rete LAN (es. Great Scott Throwing Star Lan Tap)
    • WiFi (es. L'ananas WiFi)
    • Rubare documenti cartacei ecc.

Che tipo di attacchi possono essere effettuati (continua...)

  • Exploit basati su rete e Internet

    • Sfruttamento delle vulnerabilità
    • DNS, avvelenamento/reindirizzamento DHCP
    • Offload e offuscamento SSL
    • MITM Attacks (Uomo al centro)
    • Attacchi (D)DoS
    • Ransomware e malware
    • Attacchi Brute-Force / Dictionary e Rainbowtable

Come posso proteggermi da ogni tipo di attacco?

Ingegneria sociale:

  • Formazione, formazione, formazione!
  • Verifica tutte le origini delle richieste.
  • Sii consapevole delle informazioni che stai rilasciando (pubbliche o meno).
    • La persona che chiede/dovrebbe davvero aver bisogno di tali informazioni?
  • Determina quali dei tuoi beni sono più preziosi per i criminali.
  • Sii forte, non romperti. Segnalalo subito.

Fisico:

  • Blocco e chiavi
  • Esci dalla macchina quando ti allontani (o almeno bloccala con una password).
  • Smaltire i dati in modo responsabile (frantumazione, riciclaggio di computer). Meccanismi di autenticazione, verificabilità.

Come posso proteggermi da ogni tipo di attacco? (continua...)

Protezione da exploit basata su rete e Internet:

  • Password, 2FA, token. Crittografia.
    • Autenticazione utente finale, directory.
    • Le password su switch, firewall, SAN, server e account cloud sono ancora più importanti.
    • Auditing degli utenti amministrativi. Garantire che i livelli di accesso alla rete siano appropriati.

(continua...)

  • Monitoraggio e scansione, analisi dei registri.
  • Patch/Aggiornamento.
  • Se è aperto a Internet, prima chiedi perché. Quindi fai:
    • Chiudi porte/servizi non necessari.
    • Proxy/Proxy inverso
    • Limitazione IP sorgente (firewall)
    • Connessioni VPN
    • Amazon/Azure/cloud:VPC e così via
    • Interrompi la visualizzazione delle informazioni sulla versione (ad es. status.html, phpinfo.php).

(continua...)

  • Crittografia
    • Crittografia asimmetrica:testo normale -> chiave pubblica -> testo cifrato -> chiave privata -> testo normale).
    • Verifica della validità con l'hashing MD5.
    • Autorità di certificazione:di chi affidare (l'elenco delle autorità di fiducia) e quando può andare storto.
    • Messaggistica/e-mail crittografata.

(continua...)

  • Controlli di rete (ad es. WiFi e firewall non sicuri)
    • Non connetterti automaticamente a hotspot Wi-Fi pubblici gratuiti o aperti o a quelli che utilizzano WEP.
    • Fidando che l'SSID WiFi sia davvero l'SSID che dice di essere.

Norme e Formazione del personale

  • Forza password, autenticazione a 2 fattori, applicazione della stessa.
  • Evita di memorizzare dati limitati su dispositivi mobili e dispositivi rimovibili (ad es. chiavette USB).
    • Furto
    • Uso improprio
    • Vulnerabilità mobili:eseguibili e drive-by (bluetooth ecc.)
    • Dispositivi personali sul posto di lavoro.

Norme e Formazione del personale (continua...)

  • Sistemi di messaggistica non sicuri (Sì, questo significa tu, e-mail!), account di posta elettronica personali per il lavoro.
  • Condivisione di password, invio di password "in chiaro".
  • Archiviazione cloud e applicazioni cloud:
    • Integrità dei fornitori di cloud e come si prendono cura della tua sicurezza (forza della password, ecc.).
    • I fornitori di cloud cessano l'attività
    • Le politiche del fornitore di cloud relative alle tue informazioni.
  • Facendo clic su collegamenti abbreviati, allegati e-mail, macro, popup, pop-under, collegamenti fuorvianti.

Norme e Formazione del personale (continua...)

  • Opzioni HR e IT:onboarding, offboarding e assunzione.
  • Convincere il personale non IT a segnalare qualsiasi sospetto rischio o violazione della sicurezza.
  • Fai in modo che il tuo comitato esecutivo fornisca indicazioni sulla classificazione dei dati; utilizzare una matrice RASCI che tenga conto del valore di ciascun livello di asset, ordinato per criticità per l'operatività aziendale e per la reputazione.
  • Inventario di tutte le cose (software, hardware, indirizzi IP, persone)
    • Cosa è autorizzato vs cosa non è autorizzato.
  • Per gli sviluppatori:revisione del codice, utilizzo degli strumenti.

Norme e Formazione del personale (continua...)

  • Il personale IT deve programmare regolarmente gli audit di sicurezza (giornalieri, settimanali. Mensilmente potrebbe essere troppo tardi!). Considera:
    • Livelli patch,
    • Elenco delle vulnerabilità CVE, controllo incrociato almeno rispetto alle applicazioni visibili esternamente.
    • Esecuzione/analisi dei rapporti da strumenti di sicurezza.

Attrezzi

  • Scansione delle porte:NMAP, ShieldsUp!
    • Numeri di porta comuni (/etc/services).
  • OpenVAS – Scansione delle vulnerabilità.
  • OSSec – Rilevamento intrusioni.
  • Kali Linux – (distro di test della penna) e MetaSploit Framework (Windows, Mac, Linux).
  • SecurityOnion – distribuzione Linux per il rilevamento delle intrusioni e il monitoraggio della sicurezza.
  • Strumenti di analisi dei pacchetti TCPDump/Wireshark.
  • Tripwire – controllo delle modifiche ai file.
  • Fail2Ban :blocco temporaneo dell'accesso basato su IP tramite firewall.
  • SELinux/AppArmor

Attrezzi (continua...)

  • Per i programmatori:
    • Metodi generali di SQL injection
    • Inserimento di dati generali e metodi di moduli basati su HTML
    • Metodi generali XSS (Cross-Site Scripting)
    • OWASP (Open Web Application Security Project).
    • Dannata app Web vulnerabile (PHP)
    • BrakeMan (app Ruby on Rails)

Attrezzi (continua...)

  • Per gli utenti finali:l'ultima linea di difesa :
    • GPO (Criteri di gruppo) di Windows per applicare i criteri.
    • Antivirus, Anti-Malware.
    • Firewall personale.

Pianificazione per il peggio

  • Fai un piano, che comprenda quanto segue (almeno)...
  • Quando si verifica un attacco, come si torna al lavoro?
    • Fermati e pensa – Niente panico.
      • Il firewall blocca immediatamente il server.
      • Fai una copia del disco e lavora sulla copia .

Pianificazione per il peggio (continua...)

  • Esegui analisi forense/raccogli prove
    • Trovare processi in esecuzione e handle di file (procfs, lsof).
    • Trova processi sospetti (ps auxwww)
    • Analisi del processo (strace, ltrace )
    • Raccolta log
    • Ricerca di file sospetti e nascosti (/tmp, /dev. Ricerca basata su mtime).
    • Utenti che hanno effettuato l'accesso (chi/w, ultimi)
    • Nuovi account utente (indica scarse competenze!) /etc/passwd.

Pianificazione per il peggio (continua...)

  • Riportare i risultati agli stakeholder aziendali.
    • Due diligence aziendale e quando segnalare alle autorità.
    • Catena di custodia. Non apportare modifiche, pianificare l'utilizzo come prova in tribunale.
    • Aiutare il tuo dirigente con il messaggio ai tuoi clienti.
  • Recuperare dai backup o richiamare BC Plan?

Ulteriori letture

  • I 20 principali controlli di sicurezza critici SANS
  • Il libro di Kevin Mitnick sull'ingegneria sociale
  • Le 10 principali vulnerabilità di OWASP
  • Elenco delle vulnerabilità CVE

Apprendimenti chiave/Punti d'azione

La sicurezza delle informazioni è importante.

  • Non lasciare che sia un ripensamento!

Persone, processi e tecnologia:

  • Una formula vincente per ottenere I.S. giusto

  • Persone:istruzione, ingegneria sociale, exploit fisici, estorsioni, serratura e chiavi.
  • Processo:Inventario, Norme.
  • Tecnologia:servizi sfruttati, strumenti (inclusi automatizzati), monitoraggio e avvisi.

  • Il solo fatto di avere un firewall non è la risposta. Difesa in profondità!


Schema diapositiva

Nella presentazione sono stati trattati i seguenti argomenti:

  • Perché la sicurezza delle informazioni è importante?
    • Il profilo di interesse per la tua attività
      • Le tue informazioni sono tutto e sono vulnerabili!
      • Esfiltrazione dei dati.
    • Il profilo di interesse nella tua infrastruttura.
      • Il valore della potenza di calcolo gratuita per gli aggressori.
    • Il danno che può causare alla tua attività:
      • Perdita di proprietà intellettuale e,
      • Perdita di reputazione, quota di mercato e marchio.
      • Estorsioni e riscatti (inclusa la perdita di fondi bancari diretti).
  • Cose che dovresti sapere:
    • Definizione di sicurezza delle informazioni, la triade della CIA:
      • C riservatezza:protezione delle tue informazioni da accessi non autorizzati.
      • Io integrità:le informazioni sono come dovrebbero essere, non modificate in modo non autorizzato (o addirittura errato).
      • A disponibilità:assicurarsi che le informazioni in tuo possesso siano sempre disponibili.
    • Principali elementi di sicurezza:
      • Persone
      • Processo
      • Tecnologia
    • Avere una politica. Quando è importante e quando è un peso.
    • Un firewall non è la risposta:difesa in profondità.
    • Quando , non se vieni sfruttato.
    • Fiducia:la tua attività è basata su di essa, eppure:
      • Il tuo staff e i tuoi fornitori possono essere ostili!
        • Potrebbero non essere a conoscenza di un tentativo su di loro.
        • Possono installare software, aprire documenti e accedere a siti che fanno cose cattive.
        • Potrebbero intenzionalmente fare del male.
    • Il cloud!=Sicuro
  • Chi sarebbe interessato a sfruttare i miei sistemi ICT?
    • Attaccanti mirati
      • Personale/ex personale scontento
      • I battitori assoldati
      • Opportunisti
    • Attaccanti non presi di mira
      • Bambini della sceneggiatura
    • Bot/Spambot.
  • Che tipo di attacchi possono essere effettuati?
    • Ingegneria sociale:
      • Phishing
      • Uscita dei dati basata sulle persone (intenzionale e non intenzionale). – Dati in uscita dalla porta (e nel cloud).
      • Riscatto/ricatto.
      • Di persona, per posta, e-mail personale e telefono.
    • Esplosioni fisiche
      • HID (Human Interface Devices) (es. Rubber Ducky, Bash Bunny)
      • Tocca la rete LAN (es. Great Scott Throwing Star Lan Tap)
      • WiFi (es. L'ananas WiFi)
    • Exploit basati su rete e Internet.
      • Sfruttamento delle vulnerabilità
      • DNS, avvelenamento/reindirizzamento DHCP
      • Offload e offuscamento SSL
      • MITM Attacks (Uomo al centro)
      • Attacchi (D)DoS
      • Ransomware e malware
      • Forza bruta
  • Come posso proteggermi da ogni tipo di attacco?
    • Social:
      • Verifica, verifica e attendi.
    • Fisico:
      • Blocco e chiavi
      • Esci dalla macchina quando ti allontani (o almeno bloccala con una password).
      • Smaltire i dati in modo responsabile (frantumazione, riciclaggio di computer). Meccanismi di autenticazione, verificabilità.
    • Protezione da exploit basata su rete e Internet.
      • Password, 2FA, token. Crittografia.
        • Autenticazione utente finale, directory.
        • Le password su switch, firewall, SAN, server e account cloud sono ancora più importanti.
        • Auditing degli utenti amministrativi. Garantire che i livelli di accesso alla rete siano appropriati.
      • Monitoraggio e scansione, analisi dei registri.
      • Patch/Aggiornamento.
      • Se è aperto a Internet, perché?
        • Chiudere porti/servizi.
        • Proxy/Proxy inverso
        • Limitazione IP sorgente
        • Connessioni VPN
        • Amazon/Azure/cloud:VPC e così via
        • Interrompi la visualizzazione delle informazioni sulla versione (ad es. status.html, phpinfo.php).
      • Crittografia
        • Crittografia asimmetrica:testo normale -> chiave pubblica -> testo cifrato -> chiave privata -> testo normale).
        • Verifica della validità con l'hashing MD5.
        • Autorità di certificazione:di chi affidare (l'elenco delle autorità di fiducia) e quando può andare storto.
        • Messaggistica/e-mail crittografata.
      • Controlli di rete (ad es. WiFi e firewall non sicuri)
        • Non connetterti automaticamente a hotspot Wi-Fi pubblici gratuiti o aperti o a quelli che utilizzano WEP.
        • Fidando che l'SSID WiFi sia davvero l'SSID che dice di essere.
      • Norme e formazione del personale:personale amministrativo/operativo, dirigenti, sviluppatori.
        • Forza password, autenticazione a 2 fattori, applicazione della stessa.
        • Evita di memorizzare dati limitati su dispositivi mobili e dispositivi rimovibili (ad es. chiavette USB).
          • Furto
          • Uso improprio
          • Vulnerabilità mobili:eseguibili e drive-by (bluetooth ecc.)
          • Dispositivi personali sul posto di lavoro.
        • Sistemi di messaggistica non sicuri (Sì, questo significa tu, e-mail!), account di posta elettronica personali per il lavoro.
        • Condivisione di password, invio di password "in chiaro".
        • Archiviazione cloud e applicazioni cloud:
          • Integrità dei fornitori di cloud e come si prendono cura della tua sicurezza (forza della password, ecc.).
          • I fornitori di cloud cessano l'attività
          • Le politiche del fornitore di cloud relative alle tue informazioni.
          • Facendo clic su collegamenti abbreviati, allegati e-mail, macro, popup, pop-under, collegamenti fuorvianti.
        • Opzioni HR e IT:onboarding, offboarding e assunzione.
        • Convincere il personale non IT a segnalare qualsiasi sospetto rischio o violazione della sicurezza.
        • Fai in modo che il tuo comitato esecutivo fornisca indicazioni sulla classificazione dei dati; utilizzare una matrice RASCI che tenga conto del valore di ciascun livello di asset, ordinato per criticità per l'operatività aziendale e per la reputazione.
        • Inventario di tutte le cose (software, hardware, indirizzi IP, persone)
          • Cosa è autorizzato vs cosa non è autorizzato.
        • Per gli sviluppatori:revisione del codice, utilizzo degli strumenti.
      • Il personale IT deve programmare regolarmente gli audit di sicurezza (giornalieri, settimanali. Mensilmente potrebbe essere troppo tardi!). Considera:
        • Livelli patch,
        • Elenco delle vulnerabilità CVE, controllo incrociato almeno rispetto alle applicazioni visibili esternamente.
        • Esecuzione/analisi dei rapporti da strumenti di sicurezza.
    • Utensili:
      • Scansione porta NMAP.
        • Numeri di porta comuni (/etc/services).
      • Scansione delle vulnerabilità OpenVAS.
      • Rilevamento intrusioni OSsec.
      • Kali Linux e MetaSploit Framework (Windows, Mac, Linux).
      • TCPDump/Wireshark
      • SecurityOnion
      • Controllo file Tripwire
      • SELinux/AppArmor
      • Per i programmatori:
        • Metodi generali di SQL injection
        • Inserimento di dati generali e metodi di moduli basati su HTML
        • Metodi generali XSS (Cross-Site Scripting)
        • OWASP (Open Web Application Security Project).
        • Dannata app Web vulnerabile (PHP)
        • BrakeMan (app Ruby on Rails)
      • Per gli utenti finali:l'ultima linea di difesa :
        • GPO (Criteri di gruppo) di Windows per applicare i criteri.
        • Antivirus, Anti-Malware.
        • Firewall personale.
  • Pianificare il peggio
    • Quando (non se) si verifica un attacco, come si torna al lavoro?
      • Fermati e pensa – Niente panico.
        • Il firewall si blocca immediatamente
      • Esegui analisi forense/raccogli prove
        • Trovare processi in esecuzione e handle di file (procfs, lsof).
        • Analisi dei pacchetti (strace, )
        • Raccolta log
        • Ricerca di file sospetti e nascosti (/tmp, /opt. Ricerca basata su mtime).
      • Riportare i risultati agli stakeholder aziendali.
        • Due diligence aziendale e quando segnalare alle autorità.
      • Recuperare dai backup o richiamare BC Plan?
  • Ulteriori letture
    • I 20 principali controlli di sicurezza critici SANS
    • Il libro di Kevin Mitnick sull'ingegneria sociale
    • Le 10 principali vulnerabilità di OWASP
    • Elenco delle vulnerabilità CVE


Linux

  1. Qual è il tuo trucco da terminale Linux preferito?

  2. Qual è il tuo gestore di pacchetti Linux preferito?

  3. Comandi Linux per visualizzare le informazioni sull'hardware

  4. Buon anniversario GNOME:Qual è la tua versione preferita?

  5. Qual è il tuo emulatore di terminale Linux preferito?

Qual è la tua distribuzione Linux preferita?

Sapevi che Linux è nella tua TV?

Sicurezza CI/CD - Come proteggere la pipeline CI/CD

Visualizza le informazioni di rete in Linux utilizzando quale strumento IP

Qual è la tua strategia di pianificazione della capacità?

Come configurare ONLYOFFICE CRM per le tue esigenze aziendali