Curs Introductiv Elemente de Securitate Cibernetică PDF

Summary

This document is an introduction to cybersecurity. It covers introductory aspects, organizational structure, and the content of a cybersecurity course, as well as the implications within cyberspace. The topics also encompass concepts of cybersecurity, such as protecting data and cyberinfrastructure.

Full Transcript

Elemente de securitate cibernetică

Curs introductiv
 ASPECTE ORGANIZATORICE

Locație – amfiteatru (C) + sală de clasă (S)
7 Cursuri + 7 seminarii

Disciplină OBLIGATORIE

* 2 credite

Bibliografie
- Lester Evans, „Cybersecurity: An Essential Guide to Computer and Cyber Security for Beginners, Including

Ethical Hacking, Risk Assessment, Social Engineering, Attack and Defense Strategies, and Cyberwarfare”
- CompTIA Security+ All-in-One Exam Guide, Sixth Edition (Exam SY0-601))
 C.1. Introducere în securitate cibernetică
- vulnerabilități, riscuri, amenințări
- tipuri de atacuri/atacatori
- impactul atacurilor cibernetice asupra organizațiilor și
persoanelor
C.2. Principiile securității informatice
- integritate, confidențialitate, disponibilitate
- protecția datelor personale
- backup și criptare
- Securitate în cloud și protecția datelor online
C.3. Protecția datelor și infrastructurilor
- modelul OSI. IP-uri, DNS; cum funcționează rețelele
- sisteme de monitorizare, filtrarea traficului
- instrumente hardware și software pentru protecția rețelelor
- securitatea computerelor.

CONȚINUT CURS C.4. Securitatea sistemelor de operare și a dispozitivelor mobile
- securitatea sistemelor de operare, autentificare, autorizare,
permisiuni, procese, update

ELEMENTE DE - dispozitive mobile și riscuri de securitate
C.5. Mecanisme și tehnologii de autentificare
-parole, stocarea credențialelor, OTP, 2FA
SECURITATE - sms/mail, aplicații dedicate, token, biometrică
- inginerie socială
C.6. Standardizare și cadru legislativ
CIBERNETICĂ - standarde, reglementări, roluri
- strategia națională pentru securitate cibernetică
C.7. Atacuri și metode de prevenție
- metode de infectare/atac
- metode de protecție și prevenție
- gestionarea incidentelor și răspunsul la atacuri cibernetice
SPAŢIUL CIBERNETIC. SISTEM INFORMATIC ȘI DE COMUNICAȚII

Spaţiul cibernetic - mediul virtual,
generat de infrastructurile
cibernetice, incluzând conţinutul
informaţional procesat, stocat sau
transmis, precum şi acţiunile
derulate de utilizatori în acesta.
COPLEXITATEA SPAȚIULUI CIBERNETIC

Resursa Employees
Angajați Hackers Outsourcers
Outsoursing Aprovizionare
umană Consultanti Teroriști Customers
Clienți

Date Structurate
Structured Nestructurate
Unstructured Statice Dinamice
In motion

Aplicații pt.
Systems
Aplicatii Aplicații web Web 3.0
2.0 Mobile
Aplicatii Applications
informatice dispozitive
Applications
mobile

Infrastructură
Datacenters PC Laptops Mobil Cloud Atipice
CONCEPTE DE SECURITATE CIBERNETICĂ

- Infrastructuri cibernetice - infrastructuri de tehnologia informației şi comunicații, constând în sisteme
informatice, aplicații aferente, rețele şi servicii de comunicații electronice;

- Securitate cibernetică - starea de normalitate rezultată în urma aplicării unui ansamblu de măsuri
proactive şi reactive prin care se asigură confidențialitatea, integritatea, disponibilitatea, autenticitatea
şi nonrepudierea informațiilor în format electronic, a resurselor şi serviciilor
publice sau private, din spațiul cibernetic.

- Apărare cibernetică - totalitatea activităților, mijloacelor și măsurilor utilizate pentru a contracara
amenințările cibernetice și a atenua efectele acestora asupra sistemelor de comunicații și tehnologia
informației, sistemelor de armament, rețelelor și sistemelor informatice, care susțin capabilitățile militare
de apărare;
CONCEPTE DE SECURITATE CIBERNETICĂ

- atac cibernetic - acțiune ostilă desfășurată în spațiul cibernetic de natură să afecteze securitatea
cibernetică;

- audit de securitate cibernetică - activitate prin care se realizează o evaluare sistematică a tuturor
politicilor, procedurilor și măsurilor de protecție implementate la nivelul unor rețele și sisteme informatice,
în vederea identificării disfuncționalităților și vulnerabilităților și furnizării unor soluții de remediere a
acestora;

- centru operațional de securitate - echipă de experți în securitate cibernetică, ce are rolul de a
monitoriza, analiza și răspunde la incidentele de securitate cibernetică;
COMPONENTELE DE SECURITATE ALE SIC

vAdministrativă (organizare şi responsabilităţi)
vProtecţia fizică
vProtecţia personalului
vProtecţia documentelor
vINFOSEC
vPlanificare în cazuri de urgenţă
vManagementul configuraţiei
 AMENINȚĂRI CIBERNETICE
Actori statali
Securitate Atacuri ICS/ SCADA
Națională (Stuxnet)

Spionaj cibernetic, Competiție și Hacktivisti
Gallmaker hacking
Activism operation

Avantaje materiale Crimă organizată
Zeus

Răzbunare, Insideri și
Script-kiddies
Curiozitate Code Red
Ameninţări / Atacuri
 ATACATORI Hackers
Ø pătrund în sisteme/infrastructuri informatice
Ø scopuri diverse – tipuri de hackeri
Ø cunoștințe/abilități tehnice avansate
Ø utilizează metode/instrumente avansate sau inovative
Ø etica

White hats Gray hats Black hats
Ø angajați de organizații Ø penetrarea / compromiterea unor sisteme/infrastructuri Ø penetrarea / compromiterea unor sisteme/infrastructuri
informatice folosind metode inovative informatice folosind metode cunoscute sau inovative
Ø pătrund în sisteme/infrastructuri informatice folosind
metode cunoscute sau inovative Ø descoperirea de breșe de securitate Ø descoperirea de breșe de securitate / vulnerabilități
Ø descoperirea de breșe de securitate Ø raportarea (sau NU) la deținători pentru recompense / Ø monetizarea descoperirilor / tehnicilor / instrumentelor
faimă proprii
Ø evaluarea capacității de reziliență la atacuri
Ø publicarea după (sau NU) patch Ø acțiuni preponderent ilegale
Ø îmbunătățirea unor infrastructuri
Ø scopuri personale, financiare, politice, sociale
Vulnerability brokers
Pentesters, auditori, amatori
Script kiddies, Hacktivists, Cyber-criminals
ATACATORI

Script kiddies
Ø adolescenți
Ø fără abilități/cunoștințe tehnice
Ø tehnici disponibile online

Amatori
Ø pasionați
Ø cunoștințe tehnice de bază
Ø abilități limitate
ATACATORI
Vulnerability brokers
Ø cunoștințe și abilități tehnice avansate
Ø descoperirea unor bug-uri/breșe de securitate
Ø raportarea către producători contra unor recompense
(bug bounty programs)

Pentesters / Auditori
Ø cunoștințe și abilități tehnice avansate
Ø metode și instrumente HW/SW verificate/certificate
Ø certificări recunoscute
Ø evaluarea/auditarea politicilor de securitate implementate
Ø descoperirea unor breșe de securitate
Ø raportarea către deținătorii infrastructurilor în baza unor contracte
Ø condiții stricte de păstrare a confidențialității
ATACATORI
Cyber Criminals
Ø freelanceri / parte dintr-o organizație

Ø furt de date
Organized Hackers
Ø monetizarea tuturor descoperirilor
Ø organizații de criminalitate cibernetică
Ø piața neagră
Ø hacktivists / terrorists / state-sponsored hackers
Ø cripto-monede

State sponsored hackers
Hacktivists
Ø White/black hat – depinde de perspectivă
Ø atacatori profesioniști / amatori
Ø Organizație independentă / parte a unui serviciu secret
Ø acționează împotriva unor idei politice și sociale, companii, guverne, etnii,
religii sau în susținerea altora Ø Compromiterea unor infrastructuri guvernamentale, organizații teroriste,
corporații
Ø articole/site-uri fake news, website defacement, video compilații, divulgare
date confidențiale, DDoS (distributed denial of service ) Ø Obținerea de secrete de stat, secrete industriale/comerciale, alte informații
confidențiale
ATACATORI
Atacatori interni
(foști/actuali) angajați / parteneri / subcontractori
manipularea iresponsabilă/greșită de date confidențiale
pun în pericol funcționarea unor servicii / infrastructuri IT interne

manipularea iresponsabilă de echipamente conexe (BYOD)
infectarea cu malware prin accesarea unor resurse nesigure (website, email, fișiere transferate)
risc ridicat cauzat de accesul direct la date/infrastructură

Atacatori externi
exploatează vulnerabilități ale resursei umane / infrastructurii
tehnici certificate / ne-etice / ilegale
inginerie socială
independenți sau angajați (proprii sau competitori)
DE CE AVEM NEVOIE DE O CULTURĂ DE SECURITATE CIBERNETICĂ?
Atacuri cibernetice frecvente și sofisticate
Ransomware, malware, atacuri de tip phishing

Creșterea utilizării tehnologiei în viața de zi cu zi
Cumpărături online, banking, social media

Atacuri de inginerie socială
Phishing, vishing, manipularea psihologică

Conectarea tot mai multor dispozitive la internet (IoT)
Electrocasnice, camere de securitate, mașini inteligente

Creșterea volumului de date personale stocate online
Date personale și financiare stocate în cloud

Atacuri asupra infrastructurii critice
Rețele de energie, apă, spitale, transport
CUM NE PROTEJĂM PE DISPOZITIVELE PERSONALE?
Ø Actualizări regulate de software și securitate
ü Sistem de operare și aplicații
Ø Utilizarea parolelor complexe și unice
ü Manager de parole, schimbare periodică
Ø Autentificare în doi pași (2FA)
ü Pentru conturi critice (email, banking)
Ø Atenție la emailuri și mesaje suspecte
ü Evitarea deschiderii atașamentelor necunoscute
Ø Instalarea aplicațiilor doar din surse oficiale
ü Google Play, App Store – evitarea surselor nesigure
Ø Antivirus și firewall activat
ü Securizarea dispozitivelor împotriva malware-ului
Ø Criptarea datelor și backup regulat
ü Protejarea fișierelor sensibile și backup extern
ALEGEREA TA...
HUMAN FIREWALL
- 3 tipuri de organizații
v cele care au fost afectate de un atac cibernetic
v cele care vor fi afectate
v cele care nu știu că au fost atacate

Ø Resursa umană –conștientizare (cyber awareness)

ü Importanța datelor personale -
https://youtu.be/BpdcVfq2dB8?list=PLugzSPQyYJhLvZWeEHX5OuDzv2YMWT5RX&t=
311
Ø Formular
Ø Facebook Coffee Shop Like
Ø Starbucks Free WiFi
Ø Phishing – email scams Whaling
 Tipuri de atacuri

01 Phishing 04 Worms, Trojans and RAT

02 Scams (BEC, CEO scam) 05 Malware outbreak

03 Ransomware 06 Hacking and APT
EXEMPLE
EXEMPLE
Activităţi de phishing ce vizează compromiterea credenţialelor de acces la e-mail sau la alte conturi ale utilizatorului.
Ce observăm?
Elementele comune

Invocă măsuri coercitive!

Foloseşte elemente vizuale!

Întodeauna solicită o acţiune!

Link sau ataşament conţinut în corpul email-ului!
 Observaţii
Ø transmise în numele operatorului legitim,
Ø folosesc elemente vizuale care duc cu gândul la site-ul original,
Ø uneori au greşeli de scriere şi conţinut sărăcacios (nu toate link-urile din corpul email-ului
funcţionează);
Ø au un link în cadrul corpului e-mail-ului, uneori e-mail-ul este transmis în format html şi în locul link-
ului apare un buton, care apăsat va redirecţiona utilizatorul pe o pagină web controlată de
atacator;
Ø Solicită o acţine imediată din partea utilizatorului, ameninţând cu adoptarea unei măsuri
coercitive împotriva utilizatorului, în cazul în care acesta nu acţionează de îndată;
Ø Uneori prezintă oferte de genul - prea bine ca să fie adevărat.
Reţineţi
Când analizăm un email:

Ø băncile, platformele de comerţ electronic, nu solicită date personale sau credenţiale prin intermediul e-mail-ului, au alte
metode de a comunica cu utilizatorul şi de a cere acestuia să-şi confirme identitatea;

Ø orice activitate suspectă a unui cont duce la blocarea acestuia, utilizatorul putând să-l deblocheze numai după ce transmite
copii ale actelor de identiate sau facturi prin care să-şi confirme identitatea;

Ø email, prin care se solicită date personale, acţiunea de logare, date bancare = phishing.
Atenţie: conturile create cu ajutorul unei căsuţe de e-mail pot fi
compromise dacă contul de e-mail este compromis.

Facebook phishing
De asemenea, a luat amploare şi
compromiterea conturilor utilizate pe
platformele sociale.
Ø O acţiune foarte nocivă pentru bunul mers al activităţii profesionale este compromiterea contului de
e-mail al unui angajat, deoarce aceasta poate avea ca și consecință pierderi financiare semnificative,
Phishing-ul
compromiterea unor parteneri de afaceri şi folosirea contului de e-mail în scopuri maliţioase (iniţierea
ţinteşte conturile
unor alte atacuri de tip phishing sau transmiterea de malware către persoanele din lista de contacte); business de e-amil

Ø Foarte targhetate sunt conturile de e-mail integrate cu MO365 şi Google Business;
Utilizatorul primeşte un e-mail, aparent din partea unui coleg sau din partea unui partener de
afaceri, prin care i se comunică că a primit acces la un document, dar link-ul integrat în e-mail va
conduce utilizatorul pe o pagină aflată în controlul atacatorului;

Ø Pe aceasta pagină se va solicita user-ul şi parola de la contul de MO365 sau Google sub
pretextul accesului la acel document.
Accesarea link-ului din poză va redirecţiona utilizatorul către o
pagină falsă de logare în MO365 sau Google.

Consecinţe?
Fără măsuri de protecţie
suplimenatre, contul de e-mail
va fi accesibil atacatorului.
Acesta va avea acces la
setarile contului şi de cele mai
multe ori adaugă o regulă de
forwardare a e-mail-urilor
către o adresă controlată de el.
 Consecinţe ale compromiterii contului de e-mail folosit în activitatea de business?

Ø Pierderea de date;

Ø Pierderea de bani;

Ø Compromiterea altor utilizatori sau sisteme;

Ø Compromiterea partenerilor de afaceri;

201 Ø Pierderi de imagine;

Ø Îngreunarea activităţii, procese, uneori faliment;

Ø Amendă!
Obţinerea de date cu caracter personal (nume, adresă, număr de telefon,
date de identificare personală - CNP, serie buletin sau copii ale actelor de identiate, etc);
Ø În anumite situaţii atacatorul doreşte să obţină datele personale ale
utilizatorului, deoarece acest date pot fi folosite în operaţionalizarea de
conturi, chiar şi bancare, în falsificarea de documente, în alte activităţi de
criminalitate informatică de tip auction scams;
Ø Cel care intră în posesia datelor dumneavoastră, deschide un cont pe un site
de comerţ electronic, confirmă acel cont cu ajutorul datelor utilizatorului şi apoi
foloseşte contul respectiv pentru a induce în eroare cumpărători de bună
credinţă;
Ø De asemenea, falsificarea unui act de identitate este o operaţiune facilă,
aceste acte fiind folosite la deschiderea de conturi bancare sau firme, care
ulterior sunt folosite în alte activităţi de criminaliate informatică.

Cea mai buna măsură de protecţie este să nu furnizaţi datele dumneavoastră
ca urmare a unor solicitări venite prin e-mail, sau ca urmare a identificării în
mediul online a unor oferte de muncă (home work). Atenţie la ofertele de
muncă identificate în mediul online care presupun ca dumneavoastră să
derulaţi activităţi de tip "ofiţer financiar", "agent financiar" sau alte denumiri,
care implică primirea de transferuri în conturile dumneavoastră bancare şi
ulterior retrimiterea fondurilor către alţi destinatari prin servicii finaciare de
transfer rapid gen WesternUnion sau MoneyGram.
 Ø atacatorul se va folosi fie de numele unor autorităţi financiare sau fiscale cu care utilizatorul are o anume relaţie, acesta
fiind şi elementul care ar trebui să ridice suspiciuni cu privire la legitimitatea unui astfel de e-mail;

Ø atacatorul va copia pagini web sau elemente vizuale ale deţinătorului de drept; folosite de site-ul oficial.

201
 Ce observăm?

Pagini false ce imită paginile
băncilor.

201

Ce observăm?
 Reţineţi:

Ø Entităţile bancare nu solicită datele aferente cardurilor de credit prin e-mail sau telefonic şi nici nu
cerutilizatorului să le completeze online;

Ø Entităţile bancare nu transmit e-mail-uri prin care să solicite autentificarea în contul de online Banking;

Ø Verificaţi cu atenţie link-urile prin intermediul cărora sunteţi redirecţionaţi către pagini unde se solicită
datele bancare - verificaţi URL-ul.

201 Orice e-mail care solicită astfel de date poate fi catalogat ca fiind phishing.

Ø Un element important, pe care atacatorul nu-l poate ascunde este adresa URL a paginii web folosite
pentru a colecta datele care fac obiectul acţiunii de phishing. Aceste adrese URL pot fi verificate sau
scanate pentru a vedea dacă sunt maliţioase.
 BEC SCAM CEO SCAM

Victima este targhetată cu un e-mail de tip phishing, de In acest tip de fraudă, atcatorul reuşeşte să mapeze organigrama
regulă foarte bine realizat. Dacă utilizatorul furnizează instituţiei şi să determine care sunt relaţiile de subordonare, să
idetifce care sunt persoanele care sunt responsabile cu gestionarea
datele contului, user şi parolă şi contul de e-mail cu este
resurselor financiare şi va căuta să-l impersoneze pe managerul
protejat prin 2FA, atacatorul accesează setările contului şi acestora.
adaugă un forward (toate e-mail-urile care vor veni vor fi În majoritatea cazurilor aceşti angajaţi vor primi un e-mail,
automat forwardate către această adresa de e-mail), după apararent de la acest manager, prin care li se va solicita să
care datele contului vor fi folosite de atacator pentru a efectueze un transfer, dintr-o nevoie urgentă, aparută în mod
asculta pasiv corespondenţa pentru a identifica momentul în neaşteptat.
care se transmit înştinţări de plată sau facturi, sau pentru a ØÎntodeauna atacatorul va invoca nevoia urgentă de realizare a Tipuri de phishing care
transferului, va impersona adresa de e-mail a managerului (de
vedea care sunt relaţiile între membrii organizaţiei.
În momentul în care atacatorul observă că utilizatorul este
exemplu, dacă managerul foloseşte [email protected], angajatul fie ţintesc conducerea
primeşte un e-mail de la [email protected], dar în momentul în care va
implicat în derularea unei tranzacţii, atacatorul va identifica apăsa butonul de replay, la destinatar se va completa o adresă de organizaţiei
persoana care ar trebui să facă livrarea banilor şi îi e-mail diferită de [email protected] sau angajatul va primi e-mail de
transmite un e-mail spoof, identic cu cel în care se transmite la adrese similare cu [email protected] ca de pildă [email protected],
factura, dar cu datele aferente contului bancar în care ar [email protected], etc, varietatea de simulare a unei adrese de
trebuie să fie recepţionată plata modificate. e-mail fiind limitată doar de imaginaţia atacatorului;
Ø vor fi invocate motive de confidenţialitate, de exemplu presupusul
manager îi va solicita angajatului să nu comunice cu nimeni despre
aceasta până cănd afacerea nu va fi perfectată, uneori ameninţând
cu măsuri dacă aceste detalii sunt divulgate şi afacerea este
întreruptă;
Ø va căuta să exploateze dorinţa angajatului de a se face util şi
relaţia de subordonare existentă;
Ø se identifcă rapid prin faptul că în 100% din cazuri se solicită un
transfer rapid într-un cont care până la momentul respectiv nu a fost
folosit în circuitul financiar.
 Răspândirea de programe
Office maliţioase prin intermediul
ataşamentelor de e-mail

exe Extenisa fişerelor cunoscute.

Cele mai utilizate în distribuirea de malware:.doc,.rtf,.exe,.rar,.jar,.js,.scr,.pdf,.hta,.iqy;

java Care sunt ataşamentele uzuale pe care le primim pe e-mail?
Care sunt cele neuzuale?

jpeg
 Răspândirea de programe
maliţioase prin intermediul
Office
ataşamentelor de e-mail

exe Înainte de a începe trebuie să ştim că întodeauna este bine
să avem setat în Windows ca acesta să afişeze extenisa
fişerelor cunoscute.

Cele mai utilizate în distribuirea de malware:.doc,.rtf,.exe,.rar,.jar,.js,.scr,.pdf,.hta,.iqy;
java
Care sunt ataşamentele uzuale pe care le primim pe e-mail?
Care sunt cele neuzuale?

jpeg
 Reţineţi:

Ø În general atacatorul transmite un ataşament de tip doc, xls, rtf cu VBA object,

Ø PDF maițios sau care conține un link;

Ø RAR parolat în care atacatorul furnizează parola;

Ø.js,.hta, etc

Ø De exemplu, un botnet (NIVDORT) a reuşit să infecteze peste 100.000 de calculatoare în România tocmai prin
utilizarea unor campanii de tip phishing prin care încercau să exploateze dorinţa de câştig facil:
- ai câştigat o vacanţă cu familia în Poiana Braşov;
201 - ai câştigat un voucher de cumpăraturi în valoare de 500 de Euro de la MediaGalaxy;

De regulă, în ataşament se regăsea o arhivă ce pretindea că conţine un formular de solicitare a premiului, dar care
conţinea un executabil maliţios, care instalat oferea atacatorului acces total la resursele sistemului.

Nu deschidem atașamentele supecte!

NU DESCHIDEM ATAŞAMENTE DE TIP:.js,.jar,.exe conţinut în arhivă rar,.scr,.bat,.exe decât in mediul in care
se face analiza!
 Ø De regulă, atacatorul va folosi e-mail-uri prin care înştinţează utilizatorul cu privire la fapul că:
- Your invoice no.23343224;
- Your payment has been processed;
- Your package....;
- Your fax...;
- Your document...

Ø Întodeauna atacatorul va încerca să gasească un element care să determine o acţiune a utilizatorului:
- o plată procesată din contul utilizatorului, fără ştirea acestuia;
- o factură prea mare de la un operator de servicii cu care utilizatorul este sub contract;
- un colet neaşteptat;
- o promoţie, chiar dacă utilizatorul nu s-a înscris.

201 Ø Uneori acest tip de campanie reuşeşte să îmbine vulnerabilităţi ale MO pentru a infecta un sitem;

Ø De asemenea, acest tip de atac este foarte utilizatat în răspândirea de botneţi, ransomware şi

criptomineri, datorită ratei de succes foarte crescute;

Rasomware-ul și botnet de tip bancar au ca principal vector de infecţie e-mailuri maliţioase ce au în

Ataşament documente MO sau PDF maliţioase!
ATENŢIE!

Ø Chiar dacă fişierul prezentat ca factură este un document word (cu extensia.doc,.docx,.xls, ppt,.pptx),
atacatorul ne poate compromite prin exploatarea unor vulnerabilităţi tehnice ale MO sau prin exploatarea
unor funcţionalităţi tehnice ale aplicaţiilor din suita Microsoft Office - macro.
ØAceste aplicaţii permit inserarea unor funcţii care au capacitatea de a se executa atunci când utilizatorul
accesează documentul.
Ø În general, exploatarea acestor funcţionalităţi se declaşează prin activarea Macros din Word. Această
funcţionalitate este dezactivată by-default, dar un document care are un obiect VBA vă va solicita să activaţi
această funcţionalitate pentru a vedea conţinutul.
Ø Activată această funcţie, codul conţinut în obiect VBA va rula şi va descărca în calculator executabilul
maliţios.

201

Dezactivaţi macros pe host-uri!
Care sunt persoanele vizate de atacurile de tip phishing?

Ø Managementul organizatiei - acces la nivel strategic, influenţă în cadrul organizaţiei;
Ø HR - deţine date despre angajaţi, dispuşi întodeauna sa ajute; Concluzii
Ø Financiar - lucrează cu bani, procesează plăţi;
Ø IT - acces la sisteme informatice;
Ø Fiecare angajat.

Phishing-ul este folosit în majoritatea atacurilor cibernetice, peste 90% din numărul total de host-uri
compromise la nivel mondial se datorează acestui tip de atac.

Ce tipuri de atacuri de tip phishing pot ţinti organizaţia noastră?
Care sunt elementele care caracterizeză un email maliţios?
Cum reacţionăm proactiv?

Cum investigăm – sender IP și domeniu, link-uri, atașament - runbook?

Lessons learned = user awareneass;
Investigare phishing
Pregătire:
Definirea procesului de raportare, de exemplu toţi angajaţii ar trebui să ştie cum şi unde se raportează e-mail-urile
suspicioase. De aceea, trebuie construită o infractructură de raportare, de exemplu o casuţă de e-mail folosită de echipa
de infosec pentru a primi e-mail-urile suspicioase raportate de personal. Scanare de vulnerabilităţi, risk assesment şi
patching.
Identificare:
Investigarea
Echipa de infosec trebuie să fie aptă să catalogheze e-mail-urile raportate în, phishing, spam, legitim, categoriile putând atacurilor de tip
fi extinse în funcţie de ceea ce se doreşte.
Identificare se face prin: phishing
- verificare header;
- verificare link-uri;
- verificare ataşamente.
În funcţie de ceea ce se identifică, echipa de infosec trebuie să transimtă un feedback celui care a raportat şi în caz de
infecţie să pornească procesul de eradicare!
Izolare atac:
În funcţie de ceea ce se identifcă se dispun măsuri de blocare a elementelor malițioase (IOC- indicator of compromise) la
nivel de reţea şi a server-ului de e-mail.
Eradicare:
Dacă sunt utilizatori compromişi trebuie să ne asiguram că acestora li s-au resetat credenţialele.
Dacă sunt sisteme compromise, trebuie să ne asiguram că acestea sunt curaţate şi repuse în funcţiune.
Recuperare:
Monitorizăm reţeaua pentru a vedea dacă mai avem activitate suspectă pe conturile sau mașinile compromise.
Lecţii învaţate:
În funcţie de atacurile pe care le avem, dispunem informarea utilizatorilor, modificăm proceduri de lucru sau dispunem
reconfigurarea de siteme sau patching.

CUM FACEM ?
- PROCEDURI DE RĂSPUNS LA INCIDENTE DE SECURIATE CIBERNETICĂ,
- TESTARE, INSTRUIRE
Cum verificăm un link sau un ataşament!

01 Veificăm header-ul de email si link-urile din e-
mail;

Dacă se descarcă ataşamentul?
02 Ce se descarcă?
Se face analiză malware;

Dacă s-a dat click pe ataşament?
03 Cine? Ce? Când?
Ce loguri avem și de unde?

S-au completat credențiale sau parole, etc?
04 Next steps: Containment and eradication?
 MALWARE
Amenințări cibernetice moderne

Ransomware Trojans

Banking trojans
IoT Botnet

RAT
Rootkits

Adware
Cripto-mineri.
 - soft antivirus pe endpoint şi dacă este posibil o soluţie de tip EDR (endpoint detection
and response) instalată;
- softuri updatate la zi, mai ales cele din suita Adobe Flash, Windows,
Microsoft Office şi browser (exemplul: exploit kit); Cum ne aparăm de
- control la ce se instalează pe host-uri, nu instalăm soft-uri din surse
nesigure; malware:
- politici la nivel de reţea, ce intră şi ce iese din reţea, segregarea reţelei;
- drepturi limitate pentru utilizatori şi control al nivelului de acces,
implemenatrea de politici de securitate;
- politici de securitate la nivelul browser-ului, ad blocker instalat, dacă este
posibil dezactivarea JavaScript;
- vulnerability management program pentru identificarea şi remedierea
vulnerabilităţilor tehnice;
- instruirea utilizatorilor (pe ce dăm click!);
- control al porturilor fizice, să sţim cine ce introduce în reţea;
- implemenatrea unei politici stricte de utilizare a dispozitivelor USB, blocare
porturi USB, scanare AV pentru device-urile ce urmează a fi introduse, politică pentru
accepted device;
- evitarea site-urilor de tip filme online sau tv-online, mai ales dacă acestea ne solicită
- instalarea de software pentru a avea acces la conţinut;
- să existe un back-up al datelor importante;
- măsuri de protecţie şi control la nivel de reţea (proxy, firewall, IPS);
- răspuns rapid la incidente de securitate cibernetică.

CINE? – MANAGEMENTUL ORGANIZAȚIEI PRIN DEFINIREA DE STRATEGII ŞI POLITICI DE SECURITATE
 Mobile security tips:
Ø utilizare blocare ecran, laptop, telefon;
Ø utilizare parola puternică;
Ø utilizează reţele WiFi de încredere, dacă este posibilă utilizarea unui VPN
Exemplu de atac MITM:

201
 #Trivia: Online Safety

You post a picture of you and your best friend to your favorite social
media platform. She doesn’t feel comfortable with the image, so you
agree to take it down. Will this ensure that no one else sees the picture?

Answer: No. Once an image (or any information) is posted on the internet, it
is virtually impossible to remove it from circulation. Taking it off of your
social media page will help, but there is no guarantee that others have not
already seen it and/or downloaded it to their own machines.

49
 #Trivia: Online Safety

You receive an email from an online shopping site claiming that you were
incorrectly charged for your last purchase and are due a refund. The email
asks you to click a link where you will submit the necessary information.
What should you do?

Answer: Do NOT click the link! Check the sender’s address and search the
document for spelling/grammar mistakes. If you notice anything suspicious, the
email is likely a scam. Even if it seems legitimate, navigate to the site yourself
rather than clicking any links.

50
 #Trivia: Online Safety

You’ve just settled into your new hotel room when you realize you need to
transfer some funds from your savings account to your checking account.
In order to do this, you will need to connect your laptop to the hotel’s
public Wi-Fi and log in to your online bank. Should you risk it?

Answer: It depends. In general, it is never safe to transmit PII (Personally Identifiable
Information), especially financial information, over a public network. If you find yourself in a
situation where you may need to do so, first consider all your options, including using your
mobile data or a VPN (Virtual Private Network) to help protect your browsing.

51
 #Trivia: Online Safety

You have a long commute. Thankfully, your train just installed public Wi-Fi. Now you can
listen to your favorite music or podcast. However, when you check for social media
updates around lunch, you find that your account has been hacked. What steps could you
take to prevent your mobile device or laptop data from being compromised in the future?

Answer(s):
Turn off Wi-Fi and Bluetooth when not using them. These technologies leave you open to remote attacks.
Make sure the network is legitimate. Hackers love to create fake networks that mimic real ones, enticing
unsuspecting users to log on.
Don’t connect. Though perhaps drastic, one near-certain way to circumvent the dangers of public Wi-Fi is
simply to avoid using it whenever possible.

52
 #Trivia: Online Safety

Passwords often have complex requirements, and most online citizens will
need to remember numerous different passwords to access their internet
services. What is a way to help you keep track of all these different
passwords?
Answer(s):
Use a password manager. These are apps, devices, or cloud services that store your
passwords in an encrypted vault that can only be unlocked with a single master
password.
Use a “password pattern.” This is simply a pattern (recognizable only to you) that
you can use to help remember your passwords.

53
 #Trivia: Device Security

Which of the following are strong password practices? (Choose all that apply.)
1. Passwords should contain a mixture of upper and lower case letters, numbers, and special characters.
2. Passwords should have personal meaning to you (e.g. a relative’s birthday) so that you can remember
them more easily.
3. You should immediately change your password in the case of a known data breach.
4. You should store your passwords on paper or in a text document, giving you a backup in the event that
you forget them.

Answer: 1 & 3. While it is helpful for passwords to have some level of personal relevance, anything
concrete or publicly-available (high schools, birthdates, pets’ names, etc.) can be easily researched
and guessed by an attacker. Storing your passwords physically or in a text-document is also ill-
advised, as someone could gain access to the copy.

54
RISCURI, AMENINŢĂRI ŞI VULNERABILITĂŢI
v Ameninţare: pericol potențial de compromitere accidentală sau deliberată a securității unui SIC
prin pierderea confidențialității, a integrității sau disponibilității informațiilor şi serviciilor.

v Vulnerabilitate: o slăbiciune sau lipsă de control de natură tehnică, procedurală sau
operaţională, care ar putea fi speculată în scopuri ilicite.

v Risc: posibilitatea pierderii sau dezvăluirii informaţiilor unor persoane neautorizate, modificării
neautorizate şi/sau distrugerii într-un mod neautorizat al acestora

55
 EXEMPLU - RISC

Risc de impact, financiar sau reputațional, ca urmare a unei infecții cu ransomware cauzată
de lipsa unui produs antivirus/ EDR instalat la nivelul SIC.
IMPACTUL ATACURILOR CIBERNETICE ASUPRA ORGANIZAȚIILOR ȘI PERSOANELOR
Pierderea financiară semnificativă
Costuri de recuperare, amenzi, pierderi de afaceri

Compromiterea datelor personale și confidențiale
Furt de identitate, scurgeri de informații sensibile

Afectarea reputației
Pierderea încrederii clienților, partenerilor

Întreruperea operațiunilor
Imposibilitatea desfășurării activității zilnice

Posibile litigii și sancțiuni legale
Consecințe juridice și reglementări stricte

Impact psihologic asupra victimelor
Stres, nesiguranță, pierderea încrederii în tehnologie
Întrebări ???
Mulțumesc!