情報セキュリティの要点
このプレゼンテーションでは、主にビジネスが依存する情報に関連する場合に、知的財産を保護する方法の基本について説明します。技術的な観点から、このプレゼンテーションのごく一部だけがビジネスを保護するためのツールを扱っています。このガイドのバイアスはLinuxツールに向けられていますが、プリンシパルは任意のコンピューターシステムとオペレーティングシステムに関連しています。デスクトップ/ワークステーション、Mac、WindowsまたはLinux;職場のICTのあらゆる部分を保護することは非常に重要です。ほとんどすべての企業は、事業のすべてのセグメントへの血統としてICTに依存しています。
フォーマットと対象読者
このガイドはプレゼンテーション形式であるため、トレーニングを希望する職場の同僚にプレゼンテーションを行ったり、セキュリティの原則、方法、ツールに関する知識を深めたりすることができます。
対象読者は、企業のICT専門家を対象としていますが、IS(情報セキュリティ)に関心のあるすべての人に適しています。
スライドの概要をご覧になりたい場合は、プレゼンテーションの下までスクロールしてください。
アリステアにプレゼントしてもらいましょう!
著者があなたのビジネスに魅力的なプレゼンテーション、トレーニング、コンサルテーション、またはこのプレゼンテーションでカバーされているトピックのいずれか、または一般的なビジネス情報システム(sp。Linuxおよびオープンソース)に関するサポートを提供することに興味がある場合は、参加してください触る。 Alistairは長年のプレゼンテーションスキルを持ち、シニアテクニカルリーダーであり、AmazonやGEなどの評判の良いビジネスだけでなく、世界中の中堅企業で働いてきました。
スライドデッキ
このスライドショーを開始できませんでした。ページを更新するか、別のブラウザで表示してみてください。
情報セキュリティ101
ビジネスで知っておくべきこと
理由のガイド 、方法 と何 情報セキュリティのリスクからビジネスを保護します。
(C)Copyright Alistair Ross 2017 | www.linuxnewbieguide.org
このプレゼンテーションで取り上げるトピック:
- 情報セキュリティが重要なのはなぜですか?
- 知っておくべきこと
- 私のICTシステムの活用に興味があるのは誰ですか?
- どのような攻撃を行うことができますか?
- 各タイプの攻撃からどのように保護できますか?
- ツーリング
- 最悪の事態への計画
- さらに読む。
情報セキュリティが重要な理由
-
それがあなたのビジネスを引き起こす可能性のある害:- 知的財産の喪失。
- 評判、市場シェア、ブランドの喪失。
- 恐喝と身代金(直接銀行資金の損失を含む)。
リスクプロファイリング
- まず、ビジネスのリスクプロファイルについて説明しましょう。
- ビジネスオーナーの観点から:
- あなたの情報はすべてであり、現代のビジネスの生命線です。
- インフラストラクチャの関心プロファイル:
- 攻撃者にとっての「無料」の計算能力の価値。
知っておくべきこと1/4:
- 情報セキュリティの定義、CIAトライアド:
- C 機密性:不正アクセスからの情報の保護。
- 私 ntegrity:情報は本来あるべきものであり、許可されていない(または誤った)方法で変更されていない。
- A 可用性:あなたが持っている情報が常に利用可能であることを保証します。
知っておくべきこと2/4:
セキュリティの3つの主要な要素は次のとおりです。
人
プロセス
テクノロジー
知っておくべきこと3/4:
- 組織にはISポリシーが必要です。
- ただし 、スタッフに負担をかけると、あらゆる機会に回避できることを忘れないでください。セキュリティとは、効果的な妥協がすべてです。
- ファイアウォールを設置するだけでは答えはありません。多層防御が必要です。
- それはいつの問題です 、 if ではありません 悪用されます。
知っておくべきこと4/4: 
- 信頼。 あなたのビジネスはそれに基づいていますが、それでも:
- あなたのスタッフ および ベンダー 敵対する可能性があります!
- 彼らは彼らへの試みに気付いていないかもしれません。
- ソフトウェアをインストールしたり、ドキュメントを開いたり、「悪いこと」をしているサイトにアクセスしたりできます。
- 意図的に悪いことをする可能性があります。
- あなたのスタッフ および ベンダー 敵対する可能性があります!
- クラウドにあるからといって、安全であるとは限りません。それは、それをクラウドに置いた人々と、クラウドサービスを運営している会社と同じくらい良いものです。
私のICTシステムの活用に興味があるのは誰ですか?
-
標的型攻撃者- スタッフ/不満を持った元スタッフ
- 雇われた打者
- 日和見主義者
- 非標的攻撃者
- スクリプトキディ
- ボット/スパムロボット。
どのような攻撃を行うことができますか?
-
ソーシャルエンジニアリング:
- フィッシング
- ユーザーベースのデータが終了します(意図的および非意図的)。 –データがドアから出て(そしてクラウドに)出て行く。
- 身代金/恐喝。
- 直接、郵便、個人の電子メール、電話で。
どのような攻撃が可能ですか? (続き…)
-
物理的エクスプロイト- HID(ヒューマンインターフェイスデバイス)(例:ラバーダック、バッシュバニー)
- LANネットワークタッピング(例:Great Scott Throwing Star Lan Tap)
- WiFi(例:WiFiパイナップル)
- 紙の文書などを盗む
どのような攻撃を行うことができますか(続き…)
-
ネットワークおよびインターネットベースのエクスプロイト
- 脆弱性の悪用
- DNS、DHCPポイズニング/リダイレクト
- SSLのオフロードと難読化
- MITM攻撃(中間者)
- (D)DoS攻撃
- ランサムウェアとマルウェア
- ブルートフォース/辞書およびレインボーテーブル攻撃
各タイプの攻撃からどのように保護できますか?
ソーシャルエンジニアリング:
- トレーニング、トレーニング、トレーニング!
- リクエストのすべてのソースを確認します。
- 公開する情報(公開またはその他)に注意してください。
- 質問する人は本当にその情報が必要ですか?
- どの資産が犯罪者にとって最も価値があるかを判断します。
- 頑張って、壊れないでください。すぐに報告してください。
物理的: 
- ロックとキー
- 離れるときはマシンからログアウトします(または少なくともパスワードでロックします)。
- 責任を持ってデータを破棄します(細断処理、コンピューターのリサイクル)。認証メカニズム、監査可能性。
各タイプの攻撃からどのように保護できますか? (続き…)
ネットワークおよびインターネットベースのエクスプロイト保護:
- パスワード、2FA、トークン。暗号化。
- エンドユーザー認証、ディレクトリ。
- スイッチ、ファイアウォール、SAN、サーバー、クラウドアカウントのパスワードはさらに重要です。
- 管理ユーザーの監査。ネットワークアクセスレベルが適切であることを確認します。
(続き…)
- 監視とスキャン、ログ分析。
- パッチ適用/更新。
- インターネットに公開されている場合は、最初に理由を尋ねてください。次に、次のようにします。
- 不要なポート/サービスを閉じます。
- プロキシ/リバースプロキシ
- ソースIPの制限(ファイアウォール)
- VPN接続
- Amazon / Azure /クラウド:VPCなど
- バージョン情報の表示を停止します(例:status.html、phpinfo.php)。
(続き…)
- 暗号化
- 非対称暗号化:プレーンテキスト->公開鍵->暗号文->秘密鍵->プレーンテキスト)
- MD5ハッシュを使用した有効性チェック。
- 認証局–誰を信頼するか(信頼できる機関リスト)–そしていつうまくいかないか。
- 暗号化されたメッセージング/電子メール。
(続き…)
- ネットワーク制御(安全でないWiFiやファイアウォールなど)
- 無料/オープンのパブリックWiFiホットスポット、またはWEPを使用しているホットスポットに自動的に接続しないでください。
- WiFiSSIDが実際にSSIDであると信頼すること。
ポリシーとスタッフのトレーニング
- パスワード強度、2要素認証、その実施。
- モバイルデバイスやリムーバブルデバイス(USBスティックなど)に制限されたデータを保存しないでください。
- 盗難
- 誤用
- モバイルの脆弱性:実行可能ファイルとドライブバイ(Bluetoothなど)
- 職場の個人用デバイス。
ポリシーとスタッフのトレーニング(続き…)
- 安全でないメッセージングシステム(はい、つまり、電子メールです!)、仕事用の個人用電子メールアカウント。
- パスワードを共有し、「クリア」でパスワードを送信します。
- クラウドストレージとクラウドアプリケーション:
- クラウドベンダーの整合性と、セキュリティの管理方法(パスワード強度など)
- 廃業するクラウドベンダー
- お客様の情報に関するクラウドベンダーのポリシー。
- 短縮リンク、電子メールの添付ファイル、マクロ、ポップアップ、ポップアンダー、誤解を招くリンクをクリックします。
ポリシーとスタッフのトレーニング(続き…)
- 人事およびIT運用:オンボーディング、オフボーディング、および採用。
- セキュリティリスクまたは違反の疑いがある場合は、ITスタッフ以外のスタッフに報告してもらいます。
- 執行委員会にデータ分類に関するガイダンスを提供してもらいます。資産の各レベルの価値を考慮したRASCIマトリックスを使用し、事業運営と評判に対する重要度の順に並べます。
- すべてのもの(ソフトウェア、ハードウェア、IPアドレス、人)のインベントリ
- 許可されているものと許可されていないもの
- 開発者向け:コードレビュー、ツールの使用。
ポリシーとスタッフのトレーニング(続き…)
- ITスタッフは、セキュリティ監査を定期的にスケジュールする必要があります(毎日、毎週。毎月は遅すぎる可能性があります)。考えてみましょう:
- パッチレベル
- CVE脆弱性リスト、少なくとも外部から見えるアプリケーションとのクロスチェック。
- セキュリティツールからのレポートの実行/分析。
ツーリング
- ポートスキャン:NMAP、ShieldsUp!
- 共通ポート番号(/ etc / services)。
- OpenVAS –脆弱性スキャン。
- OSSec –侵入検知。
- Kali Linux –(ペネトレーションテストディストリビューション)およびMetaSploit Framework(Windows、Mac、Linux)。
- SecurityOnion –侵入検知とセキュリティ監視のためのLinuxディストリビューション。
- TCPDump/Wiresharkパケット分析ツール。
- Tripwire –ファイル変更の監査。
- Fail2Ban –ファイアウォールを介した一時的なIPベースのアクセスロックアウト。
- SELinux / AppArmor
ツーリング(続き…)
- プログラマー向け:
- 一般的なSQLインジェクション方法
- 一般的なデータ入力とHTMLベースのフォームメソッド
- 一般的なXSS(クロスサイトスクリプティング)メソッド
- OWASP(Open Web Application Security Project)。
- くそったれの脆弱なWebアプリ(PHP)
- BrakeMan(Ruby on Railsアプリ)
ツーリング(続き…)
- エンドユーザー向け–最後の防衛線 :
- ポリシーを適用するためのWindowsGPO(グループポリシー)。
- ウイルス対策、マルウェア対策。
- パーソナルファイアウォール。
最悪の事態への計画
- 次の内容で構成される計画を立てます(少なくとも)…
- 攻撃が発生した場合、どのようにしてビジネスに復帰しますか?
- 停止して考える–慌てる必要はありません。
- ファイアウォールはサーバーをすぐにブロックします。
- ディスクのコピーを作成し、コピーで作業します 。
- 停止して考える–慌てる必要はありません。
最悪の計画(続き…)
- フォレンジック分析を実行する/証拠を収集する
- 実行中のプロセスとファイルハンドル(procfs、lsof)を検索します。
- 疑わしいプロセスを見つける(ps auxwww)
- プロセス分析(strace、ltrace)
- ログ収集
- 疑わしいファイルと隠しファイルを探します(/ tmp、/dev。mtimeに基づいて検索を実行します)。
- ログインしているユーザー(who / w、last)
- 新しいユーザーアカウント(スキルが低いことを示します!)/ etc/passwd。
最悪の計画(続き…)
- 調査結果をビジネスの利害関係者に報告します。
- ビジネスのデューデリジェンスと当局への報告時期。
- CoC。変更を加えず、法廷で証拠として使用することを計画してください。
- クライアントへのメッセージで経営幹部を支援します。
- バックアップから回復しますか、それともBCプランを呼び出しますか?
参考資料
- SANSの重要なセキュリティ管理策トップ20
- ケビンミトニックのソーシャルエンジニアリングに関する本
- OWASPトップ10の脆弱性
- CVE脆弱性リスト
重要な学習/アクションポイント
情報セキュリティは重要です。
-
後から考えないでください!
人、プロセス、テクノロジー:
-
I.S。を取得するための勝利の公式右
- 人々:教育、ソーシャルエンジニアリング、物理的エクスプロイト、恐喝、ロック&キー。
- プロセス:在庫、ポリシー。
- テクノロジー:サービスエクスプロイト、ツール(自動化を含む)、監視およびアラート。
-
ファイアウォールを持っているだけでは答えはありません。多層防御!
スライドの概要
プレゼンテーションでは、次のトピックが取り上げられました。
- 情報セキュリティが重要なのはなぜですか?
- あなたのビジネスへの関心プロファイル
- あなたの情報はすべてであり、脆弱です!
- データの漏えい。
- インフラストラクチャの関心プロファイル。
- 攻撃者にとっての無料の計算能力の価値。
- それがあなたのビジネスを引き起こす可能性のある害:
- 知的財産の喪失、および
- 評判、市場シェア、ブランドの喪失。
- 恐喝と身代金(直接銀行資金の損失を含む)。
- あなたのビジネスへの関心プロファイル
- 知っておくべきこと:
- 情報セキュリティの定義、CIAトライアド:
- C 機密性:不正アクセスからの情報の保護。
- 私 ntegrity:情報は本来あるべきものであり、許可されていない(または誤った)方法で変更されていない。
- A 可用性:あなたが持っている情報が常に利用可能であることを保証します。
- セキュリティの主な要素:
- 人
- プロセス
- テクノロジー
- ポリシーを持っている。それが重要であるとき、そしてそれが負担であるとき。
- ファイアウォールは答えではありません:多層防御。
- いつ 、 if ではありません 悪用されます。
- 信頼:あなたのビジネスはそれに基づいていますが、それでも:
- スタッフやベンダーは敵対的である可能性があります!
- 彼らは彼らへの試みに気付いていないかもしれません。
- ソフトウェアをインストールしたり、ドキュメントを開いたり、悪いことをしているサイトにアクセスしたりできます。
- 意図的に悪いことをする可能性があります。
- スタッフやベンダーは敵対的である可能性があります!
- クラウド!=安全
- 情報セキュリティの定義、CIAトライアド:
- 私のICTシステムの活用に興味があるのは誰ですか?
- 標的型攻撃者
- スタッフ/不満を持った元スタッフ
- 雇われた打者
- 日和見主義者
- 非標的攻撃者
- スクリプトキディ
- ボット/スパムロボット。
- 標的型攻撃者
- どのような攻撃を行うことができますか?
- ソーシャルエンジニアリング:
- フィッシング
- ユーザーベースのデータが終了します(意図的および非意図的)。 –データがドアから出て(そしてクラウドに)出て行く。
- 身代金/恐喝。
- 直接、郵便、個人の電子メール、電話で。
- 物理的エクスプロイト
- HID(ヒューマンインターフェイスデバイス)(例:ラバーダック、バッシュバニー)
- LANネットワークタッピング(例:Great Scott Throwing Star Lan Tap)
- WiFi(例:WiFiパイナップル)
- ネットワークおよびインターネットベースのエクスプロイト。
- 脆弱性の悪用
- DNS、DHCPポイズニング/リダイレクト
- SSLのオフロードと難読化
- MITM攻撃(中間者)
- (D)DoS攻撃
- ランサムウェアとマルウェア
- ブルートフォース
- ソーシャルエンジニアリング:
- 各タイプの攻撃からどのように保護できますか?
- ソーシャル:
- 検証、検証、信頼。
- 物理的:
- ロックとキー
- 離れるときはマシンからログアウトします(または少なくともパスワードでロックします)。
- 責任を持ってデータを破棄します(細断処理、コンピューターのリサイクル)。認証メカニズム、監査可能性。
- ネットワークおよびインターネットベースのエクスプロイト保護。
- パスワード、2FA、トークン。暗号化。
- エンドユーザー認証、ディレクトリ。
- スイッチ、ファイアウォール、SAN、サーバー、クラウドアカウントのパスワードはさらに重要です。
- 管理ユーザーの監査。ネットワークアクセスレベルが適切であることを確認します。
- 監視とスキャン、ログ分析。
- パッチ適用/更新。
- インターネットに公開されているのなら、なぜですか?
- ポート/サービスを閉じます。
- プロキシ/リバースプロキシ
- ソースIPの制限
- VPN接続
- Amazon / Azure /クラウド:VPCなど
- バージョン情報の表示を停止します(例:status.html、phpinfo.php)。
- 暗号化
- 非対称暗号化:プレーンテキスト->公開鍵->暗号文->秘密鍵->プレーンテキスト)
- MD5ハッシュを使用した有効性チェック。
- 認証局–誰を信頼するか(信頼できる機関リスト)–そしていつうまくいかないか。
- 暗号化されたメッセージング/電子メール。
- ネットワーク制御(安全でないWiFiやファイアウォールなど)
- 無料/オープンのパブリックWiFiホットスポット、またはWEPを使用しているホットスポットに自動的に接続しないでください。
- WiFiSSIDが実際にSSIDであると信頼すること。
- ポリシーとスタッフのトレーニング:管理者/運用スタッフ、管理者、開発者。
- パスワード強度、2要素認証、その実施。
- モバイルデバイスやリムーバブルデバイス(USBスティックなど)に制限されたデータを保存しないでください。
- 盗難
- 誤用
- モバイルの脆弱性:実行可能ファイルとドライブバイ(Bluetoothなど)
- 職場の個人用デバイス。
- 安全でないメッセージングシステム(はい、つまり、電子メールです!)、仕事用の個人用電子メールアカウント。
- パスワードを共有し、「クリア」でパスワードを送信します。
- クラウドストレージとクラウドアプリケーション:
- クラウドベンダーの整合性と、セキュリティの管理方法(パスワード強度など)
- 廃業するクラウドベンダー
- お客様の情報に関するクラウドベンダーのポリシー。
- 短縮リンク、電子メールの添付ファイル、マクロ、ポップアップ、ポップアンダー、誤解を招くリンクをクリックします。
- 人事およびIT運用:オンボーディング、オフボーディング、および採用。
- セキュリティリスクまたは違反の疑いがある場合は、ITスタッフ以外のスタッフに報告してもらいます。
- 執行委員会にデータ分類に関するガイダンスを提供してもらいます。資産の各レベルの価値を考慮したRASCIマトリックスを使用し、事業運営と評判に対する重要度の順に並べます。
- すべてのもの(ソフトウェア、ハードウェア、IPアドレス、人)のインベントリ
- 許可されているものと許可されていないもの
- 開発者向け:コードレビュー、ツールの使用。
- ITスタッフは、セキュリティ監査を定期的にスケジュールする必要があります(毎日、毎週。毎月は遅すぎる可能性があります)。考えてみましょう:
- パッチレベル
- CVE脆弱性リスト、少なくとも外部から見えるアプリケーションとのクロスチェック。
- セキュリティツールからのレポートの実行/分析。
- パスワード、2FA、トークン。暗号化。
- ツーリング:
- NMAPポートスキャン。
- 共通ポート番号(/ etc / services)。
- OpenVAS脆弱性スキャン。
- OSSec侵入検知。
- Kali LinuxとMetaSploitフレームワーク(Windows、Mac、Linux)。
- TCPDump / Wireshark
- SecurityOnion
- Tripwireファイルの監査
- SELinux / AppArmor
- プログラマー向け:
- 一般的なSQLインジェクション方法
- 一般的なデータ入力とHTMLベースのフォームメソッド
- 一般的なXSS(クロスサイトスクリプティング)メソッド
- OWASP(Open Web Application Security Project)。
- くそったれの脆弱なWebアプリ(PHP)
- BrakeMan(Ruby on Railsアプリ)
- エンドユーザー向け–最後の防衛線 :
- ポリシーを適用するためのWindowsGPO(グループポリシー)。
- ウイルス対策、マルウェア対策。
- パーソナルファイアウォール。
- NMAPポートスキャン。
- ソーシャル:
- 最悪の事態への計画
- 攻撃が発生した場合(そうでない場合)、どのようにしてビジネスに復帰しますか?
- 停止して考える–慌てる必要はありません。
- すぐにファイアウォールブロック
- フォレンジック分析を実行する/証拠を収集する
- 実行中のプロセスとファイルハンドル(procfs、lsof)を検索します。
- パケット分析(strace、)
- ログ収集
- 疑わしいファイルと隠しファイルを探します(/ tmp、/opt。mtimeに基づいて検索を実行します)。
- 調査結果をビジネスの利害関係者に報告します。
- ビジネスのデューデリジェンスと当局への報告時期。
- バックアップから回復しますか、それともBCプランを呼び出しますか?
- 停止して考える–慌てる必要はありません。
- 攻撃が発生した場合(そうでない場合)、どのようにしてビジネスに復帰しますか?
- 参考資料
- SANSの重要なセキュリティ管理策トップ20
- ケビンミトニックのソーシャルエンジニアリングに関する本
- OWASPトップ10の脆弱性
- CVE脆弱性リスト