Relacja z IT T@lk o cyberbezpieczeństwie [Kraków]

Szacunkowy czas czytania: 3 minut

 

Na spotkanie z serii IT T@lk z Capgemini trafiłam przypadkowo. Wydarzenie pojawiło mi się jako polecane. Zapisałam się, choć wcześniej zupełnie nie kojarzyłam tej serii spotkań. Tym razem IT T@lk dotyczyło cyberbezpieczeństwa, więc nie mogło mnie tam zabraknąć 🙂

Po pierwsze muszę podkreślić, że zostałam zaskoczona bardzo pozytywnie. Sama organizacja eventu, miejsce (Plan Nowy 1), niespodziewane prezenty, pyszny catering to już super plusy. A prelekcje ekspertów były naprawdę bardzo ciekawe i zyskałam w trakcie nich nową wiedzę + sporo notatek.

Dlatego też postanowiłam się z Wami podzielić wrażeniami, notatkami i zachęcić Czytelników do wzięcia udziału w kolejnych wydarzeniach z serii (są organizowane nie tylko w Krakowie).

Link do wydarzenia: tutaj.

 

Prelekcja pierwsza

Agata Mizera – Jak przetrwać audyt bezpieczeństwa 

Prelekcja była dla mnie bardzo ciekawa, ponieważ pierwszy raz słuchałam o bezpieczeństwie z punktu widzenia formalnego, czyli certyfikacji i audytów. A prelegentka opowiadała z taką pasją, że aż przyjemnie było słuchać.

Dowiedziałam się, że audyty można podzielić na audyty zgodności (np. ze standardami lub przepisami prawnymi) oraz audyty bezpieczeństwa (analiza podatności). Najważniejszym elementem jeśli mówimy o bezpieczeństwie organizacji są dane/informacje i ich ochrona. Jest to dość logiczne, ale fajnie to sobie uświadomić. Najważniejszym elementem jeśli mówimy o zapewnianiu bezpieczeństwa jest ocena szans i ryzyk. Musimy wiedzieć co grozi naszej organizacji/aplikacji/procesowi, a dopiero potem zapewniać bezpieczeństwo. Zabezpieczanie na ślepo nie ma sensu – nakłady muszą być odpowiednie do ryzyk.

Audyt to nie audyt ludzi, tylko procesów. Nie można go brać zbyt „do siebie”. Najważniejsze, by być profesjonalistą, wtedy nic nam nie grozi, mimo np. niedociągnięć. Zgadzam się z tym na całej długości! W trakcie audytu, wbrew popularnym opiniom, audytor wcale nie szuka dziury w całym, ale po prostu szuka zgodności (z wytycznymi, ze standardami) i dowodów na zgodność.

Dowiedziałam się też o psychologicznym zabiegu wywoływania ciszy i umiejętności „zarządzania ciszą”. Na szczęście sama nie mam z ciszą problemów, ale to ostrzeżenie dla wszystkich, którzy jej nie lubią i dotyczy nie tylko audytów. Lepiej powiedzieć mniej niż więcej 🙂 Zwłaszcza, gdy się nie jest pytanym. Dlatego nie dajcie się sprowokować ciszy!

I na koniec: „Bezpieczeństwo to proces a nie stan.”

 

Prelekcja druga

Michał Malec – Testy penetracyjne – mity i prawdy

Prelekcja uzupełniła moją wiedzę o pentestach i systemie Kali Linux, z którego korzystam, ale niestety z braku czasu, tylko okazjonalnie.

Wypisałam dla Was kilka faktów zanotowanych w trakcie prelekcji:

  • Pentesty, czyli testy penetracyjne, mają swój początek w latach 60. XX wieku.
  • Pentesty nie są audytem bezpieczeństwa.
  • O pentestach zwykle wie mała liczba osób w organizacji, dlatego pojawia się o nich tak wiele mitów.
  • Pentesty trwają zwykle 1-3 tygodni (średnio).
  • Jest wiele różnych narzędzi i „gotowców”, które można wykorzystać przy pentestach. Oczywiście nie zapominajmy o socjotechnice.
  • Przykładowy raport z testów penetracyjnych: PDF.
  • Cele pentestów: wykrywanie zagrożeń, wykluczenie podatności, sprawdzenie zgodności ze standardami/regulacjami.
  • Pentestów raczej nie da się zautomatyzować, ponieważ zapewnianie bezpieczeństwa jest procesem dynamicznym, opartym na ciągłej analizie zmiennych warunków (np. nowe zagrożenia).

Po części teoretycznej, mogliśmy obejrzeć na żywo działanie kilku narzędzi, które wchodzą w skład Kali Linux oraz przykładowe przejęcie systemu.

 

Podsumowując – wieczór 14 listopada 2019 spędziłam bardzo owocnie 🙂