Bezpieczeństwo informacji – trzy perspektywy, wspólna odpowiedzialność. Rafał Jeż, Kierownik Zespołu Zarządzania Ochroną Informacji, PZU Piotr Ratajczak, Kierownik Zespołu Operacyjnego Monitorowania Bezpieczeństwa IT, PZU Artur Rudy, Audytor w Zespole Audytu Ryzyk w Obszarze IT i Bezpieczeństwa, PZU
Dla instytucji finansowych informacje i dane to „najcenniejsze srebra rodowe” pozwalające budować przewagę konkurencyjną, a właściwe ich zabezpieczanie jest tym trudniejsze im większa jest skala działalności organizacji. W trakcie prezentacji przedstawiona zostanie formuła zarzadzania bezpieczeństwem informacji w PZU, oraz role i zadania, jakie w tym procesie zostały wyznaczone dla IT, Bezpieczeństwa i Audytu. Postaramy się pokazać, że „odpowiednie” nakłady finansowe na bezpieczeństwo to nie wszystko, najważniejsze to rozumienie potrzeb organizacji, efektywność i synergia.
The World's First Privileged Activity Monitoring Solution. Viktor Varga, Presales Engineer, BalaBit
Privileged users, such as system administrators, managers or outsourcing providers have unrestricted and uncontrolled access to your company's most sensitive IT assets. Privileged accounts have emerged as the primary target for cyber criminals and been exploited to perpetrate the most devastating data breaches today. Therefore, supervising the access of these users is crucial to protect your high-risk assets. BalaBit's activity monitoring solution is a perfect fit for this challenge. As a global leader in proxy-based session recording technologies it helps enterprises to control, audit and report the activities of privileged users in sensitive systems. Beyond the introduction of the technology, the presentation highlights some real-life customer stories and competitive advantages of the product. The presentation is closed with a short technical demo.
Ewolucja systemów zabezpieczeń wobec wyzwań w zwalczaniu ataków APT. Robert Dąbrowski, starszy inżynier systemowy, Fortinet
Ataki APT zadomowiły się w świadomości właścicieli i zarządców sieci informatycznych. Kiedy stajemy przed wyborem właściwego rozwiązania do ochrony infrastruktury dochodzimy do wniosku, że nie wystarczą już systemy pracujące w oparciu o statyczne sygnatury. Jednak dokładniejsza analiza nieznanego dotąd kodu stwarza zagrożenie zmniejszenia wydajności. Prezentacja ma na celu przedstawienie koncepcji rozszerzenia istniejących systemów zabezpieczeń w celu zwiększenia ich skuteczności w walce z zaawansowanymi atakami.
Typowe podatności mobilnego dostępu do Internetu. Karol Więsek, PwC
Autor przedstawi typowe podatności spotykane podczas prowadzonych testów mobilnego dostępu do Internetu. Podatności w oprogramowaniu urządzeń sieciowych, jak również związane z konfiguracją sieci/urządzeń umożliwiają korzystanie z mobilnego Internetu bez opłat. Część z przedstawionych mechanizmów ma zastosowanie przy omijaniu restrykcji w wydzielonych/zabezpieczonych sieciach innych niż mobilne.
Poznaj swojego wroga: Metasploit czyli jedno z bardziej lubianych narzędzi hakerów/pentesterów w praktyce. Paweł Maziarz, IT Security Expert, PwC
Metasploit to bardzo popularne narzędzie zarówno w świecie black jak i white hatów. Używają go chętnie hakerzy, pentesterzy czy nawet, jak się ostatnio okazuje, FBI. Podczas prelekcji przedstawiony zostanie Metasploit jako framework wspierający przeprowadzenie ataku na organizacje w jego różnych fazach. Na podstawie doświadczeń zdobytych podczas przeprowadzania wielu testów penetracyjnych zarówno w niedużych firmach jak i wielkich korporacjach, autor w oparciu o specjalnie przygotowane laboratorium przedstawi wykorzystanie Metasploita w akcji.
Nieustanna walka między cyberprzestępcami a osobami, które rozwijają systemy zabezpieczeń teleinformatycznych z dnia na dzień przechodzi na coraz wyższy poziom. Twórcy zagrożeń wciąż udoskonalają swoje metody ataków celem obejścia stosowanych przez organizacje środków zaradczych. Efekty pracy jednej ze stron stają się motorem napędowym rozwoju drugiej. Kluczowym czynnikiem w boju z najnowszymi cyberzagrożeniami staje się ciągła ocena ryzyka, dokładniejsza wiedza o działaniach podejmowanych przez wrogie podmioty oraz wypracowanie odpowiednich metod reakcji na nowe zagrożenia. Prezentacja odpowie na pytanie jak skutecznie wdrożyć proces oceny ryzyka IT oraz jak zapewnić odpowiedni poziom bezpieczeństwa usług teleinformatycznych. Zastanowimy się czy lepsze poznanie naszych przeciwników jest możliwe. Odpowiemy sobie na pytanie dlaczego warto analizować motywy zachowań atakującego, jak lepiej poznać swoją organizacji i co to oznacza w praktyce? Zastanowimy się też jaka jest rola ciągłej oceny ryzyka w skutecznym osiąganiu założonych celów biznesowych. Pokażemy jak nie dać się zaskoczyć – czyli jak oczekiwać nieoczekiwanego. Słuchacze będą mieli możliwość zapoznania się z realnym procesem wdrożonym w międzynarodowym banku, największymi wyzwaniami i i sposobami na ich rozwiązanie. W trakcie tej sesji chcemy też spojrzeć na ważne kwestie dotyczące bezpieczeństwa, które wychodzą poza skalę jednej firmy. Zastanowimy się jakie są perspektywy cyberbezpieczeństwa, jak działać razem, jakie rodzi to wyzwania i jak je pokonywać.
Audytowanie ukierunkowane na ryzyko – przejście z mechanizmów kontrolnych w kierunku analizy i identyfikacji ryzyk. Lilianna Rother-Obrączka, Menedżer Audytu, ING Bank Śląski
Podczas prezentacji zostanie przedstawione podejście do audytu, jednak nie z punktu widzenia kontroli istniejących w procesie, ale z punktu widzenia ryzyk w nim występujących. Ryzyko jest nieodłącznym elementem procesu. Dlatego też w ciągu ostatnich lat zmieniło się podejście do przeprowadzania audytów: z podejścia opartego o kontrole na podejście oparte o analizę ryzyk. W prezentacji zostaną zawarte między innymi informacje dotyczące: - Definicji kontroli i ryzyka; - Elementy zarządzania ryzykiem; - Spojrzenia na funkcję audytu z punktu widzenia standardów międzynarodowych IIA; a także - Model trzech linii obrony.
Managing Your Business According to the Rules – How the Privacy and Security Regulation Patchwork affects Business. Mark Williams
This presentation will give an overview of the patchwork of laws, regulations and customs that exist today in the U.S. business arena for dealing with Security and Privacy. We will then examine more in depth how these relate to other selected jurisdictions. Finally we will dive more deeply into the use of a GRC tool to help manage the workflow and reporting that is required.
Section 1 – The U.S. This part of the presentation will focus on the systems in place in the United States to provide privacy and security to the individual citizen and their data. We will show the complexity of the system, including the many disparate government agencies that have jurisdiction. We will itemize and describe some of the more well-known legislation in order to define the point that security and Privacy in the U.S. is anything but straight forward and leaves a somewhat confusing web of regulation and hence holes through which an individual’s rights might disappear. Section 2 – Other Jurisdictions This part of the presentation will focus on a brief overview of some other jurisdictions and their approach to privacy. We will look at Canada, the E.U., Mexico and Australia to briefly identify the framework under which personal data and privacy of controlled. This overview will help the participant to understand that many countries have differing views on the right to privacy and how to enforce it, and that the differences are not just E.U. to U.S. or indeed any one to one comparison. Section 3 – How to Comply This section will concentrate on the need for a centralized repository, collection, and reporting system to enable compliance with conflicting and competing requests for compliance evidence. A short case study will be given to demonstrate that the use of a tool to track and control workflow can save many hundreds of hours work, and keep the organization from reporting different outcomes to the same question, given different requestors.
Kluczowe czynniki sukcesu programu IDM. Jeremi Gryka, Dyrektor Departamentu Bezpieczeństwa, Bank BGŻ
Prezentacja ma za zadanie pokazać, o co sponsor projektu IDM i wspierający go kierownik projektu musi zadbać, aby projekt lub program mający na celu implementację zgodnych z najlepszymi praktykami procesów zarządzania tożsamością i uprawnieniami użytkowników systemów informatycznych, przy wparciu zautomatyzowanymi narzędziami klasy IDM/IAM, mógł przynieść satysfakcjonujące efekty.
Wybrane problemy bezpieczeństwa aplikacji webowych. Michał Sajdak, założyciel portalu Sekurak.pl
W trakcie prelekcji omówione zostaną ciekawe podatności w aplikacjach webowych. Zaprezentowana zostanie m.in. możliwość wykorzystania podatności shellshock przy ataku na aplikację, czy mało znany problem - XXE. Każda omawiana luka, po krótkim wstępie teoretycznym, prezentowana jest na żywo.
Czy Twoje firewalle chronią Cię wystarczająco? Rafał Gucwa, IT Risk & Security Expert, CISSP, CISA
Prezentacja przybliży najważniejsze elementy, jakie powinien zawierać każdy kompleksowy przegląd bądź audyt zarządzania urządzeniami typu firewall. Od konfiguracji samych urządzeń i oprogramowania firewall po procesy zarządzania bezpieczeństwem IT w organizacji. Materiał skierowany do do wszystkich, którzy chcieliby sprawdzić czy implementacja i procesy utrzymaniowe urządzeń firewall w ich organizacji zapewniają akceptowalny poziom ochrony. W czasie prelekcji zostanie przedstawione: - Co to jest i do czego służy firewall dzisiaj, w tym np. typy zapór sieciowych; - Dlaczego potrzebujemy firewalli, najczęstsze zastosowania oraz wymagania regulacyjne; - Weryfikacja aspektów technicznych takich jak architektura, konfiguracja, ochrona dostępu do firewall, hardening, logowanie, klastrowanie; - Sprawdzenie aspektów procesowych jak np. zarządzanie konfiguracją, analiza ryzyka związana z modyfikacją reguł firewall, rejestr wyjątków, wpływ na Secure SDLC i zarzadzanie projektami; - Przykłady, gdzie można się spodziewać najsłabszych punktów Prezentacja celuje w omówienie najważniejszych i najciekawszych elementów takiego audytu. Nie jest celem prezentacji dostarczenie kompletnego zestawienia testów audytowych czy też podręcznikowej wiedzy dot. audytowania systemów informatycznych. Temat zainteresuje zapewne audytorów IT, osoby zarządzające IT i bezpieczeństwem IT, architektów infrastruktury oraz administratorów sieci.
Złośliwe oprogramowanie w bankowości: „żaden problem…”. Przemysław Skowron, architekt i lider zespołu CSIRT, Grupa Alior Bank
W ostatnich latach przestępcy dużo częściej napadają klientów sektora finansowego niż same banki. Wysoka skuteczność ataków na komputery, urządzenia mobilne czy punkty dostępowe to znakomita okazja dla cyberprzestępców, by pójść krok dalej i spróbować nielegalnie zarobić. Napastnik jest poważny, to „bóg” ZeuS lub jego bliższy/dalszy krewny – potrafi m.in. wykonać operację w systemie bankowości elektronicznej i nakłonić (zmanipulować) klienta, by autoryzował przelew, którym wyprowadzi środki finansowe. Większość Ekspertów ds. Bezpieczeństwa proponuje „higienę” na urządzeniach klientów bankowości internetowej, równocześnie stosowanie systemów bezpieczeństwa jak antywirus, firewall, instalację wszystkich aktualizacji, a bankom wdrożenie systemów typu FDS (Fraud Detection System). Efektem są kolejne żniwa zbierane przez przestępców. W trakcie prezentacji wysnuję hipotezę o innym podejściu do problematyki złośliwego oprogramowania ukierunkowanego na klientów systemów bankowości elektronicznej – rozwiązanie, w praktyce dużo szybsze w implementacji, tańsze i efektywniejsze niż powszechnie stosowane propozycje.
The Windows Phone Freak Show – analiza luk w bezpieczeństwie aplikacji dla systemu Windows Phone razem z możliwością ich wykorzystania w praktyce. Luca De Fulgenti, Chief Technology Officer, Secure Network S.r.l.
Podatność zostanie połączona z odpowiednią pozycją raportu OWASP, katalogując przypadki niebezpiecznego użycia API Windows Phone SDK. Podczas sesji odbędzie się demonstracja strategii wykorzystania tych podatności oraz dyskusja na ten temat. Prelekcja w języku angielskim.
Testowanie bezpieczeństwa aplikacji mobilnych na przykładach platformy Android. Sławomir Jasek, Senior IT Security Consultant, SecuRing
Celem warsztatu jest zapoznanie uczestników z technikami weryfikacji bezpieczeństwa, ataku i zabezpieczania aplikacji mobilnych. W ramach warsztatów przeprowadzone zostaną m.in. ćwiczenia: - dekompilacja i analiza kodu aplikacji - pliki zapisywane przez aplikację na urządzeniu - weryfikacja logów systemowych - badanie możliwości ataku na wystawione przez aplikację IPC - poprawność konfiguracji połączenia SSL - przechwytywanie ruchu sieciowego pomiędzy aplikacją mobilną a serwerem - atakowanie interfejsu API po stronie serwera Uczestnicy otrzymają maszynę wirtualną zawierającą komplet narzędzi wspomagających ocenę bezpieczeństwa aplikacji mobilnych oraz przykładowe aplikacje zawierające podatności, możliwe do uruchomienia w załączonym emulatorze Android. Dla każdej podatności omówione zostanie ryzyko z nią związane, a także sposoby jej usunięcia.
Stosowane metodyki wdrożenia systemu zarządzania ciągłością działania – doświadczenia z zrealizowanych projektów. Kamil Pszczółkowski, Ekspert ds. bezpieczeństwa
Celem prezentacji jest podzielenie się doświadczeniem związanym ze stosowanych metodyk i podejść dot. wdrożenia systemu zarządzania bezpieczeństwa ciągłości działania zgodnego z ISO 22301. W czasie prelekcji zostanie omówione: - Kto jest zazwyczaj zamawiającym (sponsorem) wdrożenia ciągłości działania, biznes czy IT – jakie ma to konsekwencje na funkcjonowanie BCM w organizacji? - Strategia zarządzania ciągłością działania czy Polityka ciągłości działania – co jest pierwsze i czy ma to znaczenie? - Analiza BIA i ocena ryzyka – stosowane podejścia - Plany ciągłości działania – co powinny zawierać? - Najczęściej popełniane błędy
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej. Borys Łącki, IT Security Consultant, autor bloga www.bothunters.pl.
Systematyczne dbanie o bezpieczeństwo systemów i sieci to skomplikowany oraz kosztowny proces. Prelegent w oparciu o wieloletnie praktyczne doświadczenie w zakresie zabezpieczenia zasobów IT firm, przedstawi najpopularniejsze narzędzia wspomagające zarządzanie bezpieczeństwem infrastruktury IT w firmach. Dzięki praktycznemu podsumowaniu wad i zalet poszczególnych otwartych rozwiązań, uczestnik prezentacji będzie mógł trafniej podjąć decyzje dotyczące wyboru konkretnego oprogramowania.
Ocena bezpieczeństwa dostawców - jak skutecznie wdrożyć process oceny bezpieczeństwa dostawców oraz jak zapewnić odpowiedni poziom dostępności usług zewnętrznych. Pawel Kurzelewski, Bank RBS
Prezentacja odpowie na pytanie jak skutecznie wdrożyć proces oceny bezpieczeństwa dostawców oraz jak zapewnić odpowiedni poziom dostępności usług zewnętrznych. Przedstawione zostaną zagrożenia wynikające z outsourcingu procesów, wymagania regulacyjne oraz korzyści płynące z wdrożenia procesu kontroli dostawców. Słuchacze będą mieli możliwość zapoznania się z realnym procesem wdrożonym w międzynarodowym banku, największymi wyzwaniami, najczęściej spotykanymi ryzykami, a także dowiedzą się, ile trwa przegląd, jakie kompetencje musi posiadać analityk i jakie są alternatywy.
CASE STUDY: Chińczycy od dawna atakują polskie firmy. Historia ataku ukierunkowanego na jednego z klientów Niebezpiecznika, który w wyniku działań chińskich włamywaczy poniósł ponad milionowe straty. Piotr Konieczny, NIebezpiecznik.pl
Prelekcja przedstawi historię ataku ukierunkowanego na jednego z klientów Niebezpiecznika, który w wyniku działań chińskich włamywaczy poniósł ponad milionowe straty. Ukazane zostaną techniki pracy chińskiego gangu oraz wyniki śledztwa, które ujawniło, że nasz klient nie był pierwszą ofiarą a proceder wykradania pieniędzy jest regularny i masowy.
CaaS (Crime-as-a-Service) – czy każdy może zostać cyberprzestępcą? Jarosław Sordyl, Ekspert Krajowej Jednostki Europolu w Biurze Międzynarodowej Współpracy Policji
Przez ostatnie dekady tzw. „podziemie cyberprzestępcze” zmieniło się zasadniczo. Od pojedynczych grup hakerów dokonujących ataków dla prestiżu do obecnego kształtu dobrze zorganizowanych „korporacji” zarabiających na różnych działaniach biliony dolarów rocznie. Czy w dalszym ciągu zagrożeniem są „hakerzy”, crakerzy, skryp kiddies? To jedno z pytań, które musimy postawić sobie w przypadku wykorzystywania sieci Internet. Kto faktycznie i jak bardzo nam zagraża? Obecne trendy rozwoju cyberprzestępczości wskazują na bardzo intensywny rozwój tzw. „podziemia cybernetycznego” oferującego całkowicie kompletne środowiska i zarazem narzędzia do samodzielnego przeprowadzenia ataku, ukrycia działalności, uniemożliwienia wykrycia śladów ataku oraz sprzedaży danych czy też uzyskanych informacji. Rozwiązania takie stanowią swoistego rodzaju platformę cyberprzestepczą zwaną „Crime-as-a-Service” (przestępstwo jako serwis – CaaS). Jak ten system jest zorganizowany oraz jakie są jego elementy, jakie wykorzystywane są narzędzia i dlaczego jest to bardzo duży problem dla organizacji, firm oraz osób zajmujących się bezpieczeństwem IT? Gdzie są dostępne oraz co oferują usługi CaaS? Ta wiedza jest niezbędna do zabezpieczenia/przygotowania organizacji na potencjalny atak. Nie ulega wątpliwości że dostęp do „profesjonalnych” narzędzi ułatwiających czy też pozwalających na przeprowadzenie bardzo wyrafinowanego ataku z wykorzystaniem np. exploita 0-day jest poważnym problemem, na który należy zwrócić uwagę i odpowiednio wcześniej przygotować się na takie scenariusze ataku. Tym bardziej, że do przeprowadzenia takiego ataku nie potrzeba dzisiaj bardzo zaawansowanej wiedzy informatycznej – wystarczy karta kredytowa.
Nowe normy serii 27000 Janusz Cendrowski, Asseco Poland
W prezentacji będzie postawiona i uzasadniona teza, że wprowadzenie nowych norm stanowi wyzwanie dla organizacji posiadających systemy ISMS oraz dla audytorów ISO 27001. Przede wszystkim norma ISO/IEC 27001:2013 jest bardziej lakoniczna od poprzedniej wersji i wymaga dodatkowej interpretacji. Przykładowo, wymagania z jej części głównej nie zawierają takich terminów, jak „działania zapobiegawcze”, „incydenty związane z bezpieczeństwem” czy „skuteczność zabezpieczeń”, co wcale nie znaczy, że te obszary nie powinny podlegać audytowi. Załącznik A normy jest z jednej strony bardziej obszerny tematycznie – dotychczasowe 15 obszarów zastąpiono osiemnastoma, rozwinięto takie dziedziny jak np. relacje z dostawcami. Z drugiej jednak strony wiele szczegółowych wymagań dotyczących bezpieczeństwa sieci zastąpiono wymaganiami ogólnymi. Dopiero uważna lektura normy ISO/IEC 27002:2013 – zbioru zaleceń rozwijających wymagania ww. Załącznika A – dostarcza dowodu, że kwestie obecne w poprzednich wersjach dalej są aktualne i istotne dla audytu. Głównym problemem przy audytowaniu może się jednak stać ocena procesu szacowania ryzyka. Norma ISO/IEC 27001:2013 nie wymaga już stosowania podejścia zalecanego w normie ISO/IEC 27005. Zamiast tego preferowana jest norma ISO 31000, która jest bardzo ogólna, uniwersalna, ale i wygodna dla organizacji, gdyż wprowadza pojęcie szansy – ryzyka pozytywnego. Stosowanie szansy jako obejścia konieczności stosowania zabezpieczeń w ochronie informacji może jednak stanowić obszar nieporozumień w budowie ISMS a w szczególności w czasie ich audytowania. Dogłębna znajomość ww. norm oraz umiejętność właściwego ich stosowania będzie więc konieczna przy budowie nowych systemów ISMS oraz ich audytowaniu i certyfikacji.
Czym ONI nas atakują? Analiza prawdziwych zagrożeń pochodzących z Internetu. Marcin Marciniak, dziennikarz technologiczny, Computerworld
Każdy serwis dostępny przez Internet jest narażony na ataki z zewnątrz. Z Internetu przychodzą połączenia mające na celu przełamanie wykorzystywanych zabezpieczeń, naruszenie ciągłości działania serwisu oraz różne mniej lub bardziej skomplikowane ataki hakerskie. Przed prawdziwym produkcyjnym serwisem webowym w Polsce umieszczone zostały odpowiednie urządzenia, które rejestrowały, wykrywały i katalogowały ruch przychodzący. Przedstawimy analizę tego, co zarejestrowaliśmy i jak przekłada się zarejestrowany ruch na możliwość przeprowadzenia różnych ataków przez napastników. Właśnie takie internetowe śmieci mogą docierać do twoich aplikacji i im zagrozić – poznaj swojego wroga!