GNU/Linux >> Tutoriels Linux >  >> Linux

Sécurité de l'information 101 :ce que votre entreprise doit savoir

Les bases de la sécurité des informations

Dans cette présentation, nous allons couvrir l'essentiel de la protection de votre propriété intellectuelle, principalement en ce qui concerne les informations dont dépend votre entreprise. D'un point de vue technique, seule une petite partie de cette présentation traite des outils pour protéger votre entreprise ; bien que le parti pris de ce guide soit vers l'outillage Linux, les principes se rapportent à tout système informatique et système d'exploitation. Ordinateurs de bureau/postes de travail, Mac, Windows ou Linux ; sécuriser chaque partie de votre lieu de travail Les TIC sont extrêmement importantes. Presque toutes les entreprises comptent sur les TIC comme source de sang pour tous les segments de leurs opérations.

Format et public visé

Ce guide est sous forme de présentation, afin que vous puissiez le présenter à des collègues de travail qui souhaitent se former ou approfondir leurs connaissances sur les principes, les méthodes et les outils de sécurité.

Le public visé est les professionnels des TIC dans les entreprises, mais convient toujours à toute personne intéressée par la SI (sécurité de l'information).

Si vous souhaitez voir le plan de la diapositive, faites défiler jusqu'en dessous de la présentation.

Laissez Alistair le présenter pour vous !

Si vous souhaitez que l'auteur fournisse à votre entreprise une présentation, une formation, une consultation ou une assistance intéressantes sur l'un des sujets abordés dans cette présentation, ou sur les systèmes d'information d'entreprise en général (sp. Linux et Open Source), veuillez entrer touche. Alistair possède des années d'expérience dans la présentation et est un responsable technique senior, ayant travaillé pour des entreprises réputées comme Amazon et GE ainsi que pour des entreprises de taille moyenne dans le monde entier.

Plateau de diapositives


Impossible de démarrer ce diaporama. Essayez d'actualiser la page ou de l'afficher dans un autre navigateur.

Sécurité des informations 101

Ce que votre entreprise doit savoir

Un guide des pourquoi , le comment ça va et le ce qui est de protéger votre entreprise contre les risques liés à la sécurité des informations.

(C) Droit d'auteur Alistair Ross 2017 | www.linuxnewbieguide.org


Sujets abordés dans cette présentation :

  • Pourquoi la sécurité des informations est-elle importante ?
  • Ce que vous devez savoir
  • Qui serait intéressé par l'exploitation de mes systèmes TIC ?
  • Quel type d'attaques peut-on lancer ?
  • Comment puis-je me protéger contre chaque type d'attaque ?
  • Outillage
  • Planifier pour le pire
  • Autres lectures.

Pourquoi la sécurité des informations est-elle importante ?

  • Le mal que cela peut causer à votre entreprise :
    • Perte de propriété intellectuelle.
    • Perte de réputation, de part de marché et de marque
    • Extorsion et rançon (y compris perte de fonds bancaires directs).


Profilage des risques

  • Tout d'abord, discutons du profil de risque de votre entreprise.
    • Du point de vue du propriétaire de votre entreprise :
    • Vos informations sont primordiales ; elles sont la pierre angulaire de l'entreprise moderne.
  • Le profil d'intérêt pour votre infrastructure :
    • La valeur de la puissance de calcul "gratuite" pour les attaquants.

Ce que vous devez savoir 1/4 :

  • Définition de la sécurité de l'information, la triade de la CIA :
    • C onfidentialité :protection de vos informations contre tout accès non autorisé.
    • Je Intégrité :les informations sont telles qu'elles doivent être, non modifiées de manière non autorisée (ou même erronée).
    • Un disponibilité :s'assurer que les informations dont vous disposez sont toujours disponibles.

Ce que vous devez savoir 2/4 :

Les trois éléments principaux de la sécurité sont :

Personnes

Processus


Technologie

Ce que vous devez savoir 3/4 :

  • Votre organisation doit avoir une politique SI.
    • Bien que , rappelez-vous que si vous le rendez onéreux pour votre personnel, ils le contourneront à chaque occasion. La sécurité est une question de compromis efficace.
  • Se contenter d'avoir un pare-feu n'est pas la solution :une défense en profondeur est nécessaire.
  • C'est une question de quand , pas si vous êtes exploité.

Ce que vous devez savoir 4/4 :

  • Confiance. Votre entreprise en est bâtie, mais :
    • Votre personnel et fournisseurs peut être hostile !
      • Ils peuvent ne pas être au courant d'une tentative de leur part.
      • Ils peuvent installer des logiciels, ouvrir des documents et accéder à des sites qui font de "mauvaises choses".
      • Il peut intentionnellement faire du mal.
  • Ce n'est pas parce qu'il se trouve dans le Cloud qu'il est sécurisé. Sa qualité dépend des personnes qui l'ont mis dans le cloud et de l'entreprise qui exploite le service cloud.

Qui serait intéressé par l'exploitation de mes systèmes TIC ?

  • Attaquants ciblés
    • Personnel/ancien membre du personnel mécontent
    • Cogneurs engagés
    • Opportunistes
  • Attaquants non ciblés
    • Script Kiddies
  • Bot/Spambot.

Quel type d'attaques peut-on lancer ?

  • Ingénierie sociale :

  • Hameçonnage
  • Sortie des données basées sur les personnes (intentionnelle et non intentionnelle). – Données sortant de la porte (et dans le cloud).
  • Rançon/Chantage.
  • En personne, par courrier, par e-mail personnel et par téléphone.

Quel type d'attaques peut-on faire ? (suite…)

  • Exploits physiques

    • HID (dispositifs d'interface humaine) (ex. Rubber Ducky, Bash Bunny)
    • Tap du réseau LAN (ex. Great Scott Throwing Star Lan Tap)
    • WiFi (ex. L'ananas WiFi)
    • Voler des documents papier, etc.

Quel type d'attaques peut-on faire (suite…)

  • Exploits réseau et Internet

    • Exploitation des vulnérabilités
    • DNS, empoisonnement/redirection DHCP
    • Déchargement SSL et obfuscation
    • Attaques MITM (Homme au milieu)
    • Attaques (D)DoS
    • Rançongiciels et logiciels malveillants
    • Attaques Brute-Force / Dictionnaire et Rainbowtable

Comment puis-je me protéger contre chaque type d'attaque ?

Ingénierie sociale :

  • Formation, formation, formation !
  • Vérifiez toutes les sources des demandes
  • Soyez conscient des informations que vous divulguez (publiques ou autres).
    • La personne qui pose la question a-t-elle vraiment besoin de ces informations ?
  • Déterminez lesquels de vos actifs sont les plus précieux pour les criminels.
  • Restez fort, ne cassez pas. Signalez-le immédiatement.

Physique :

  • Serrure et clés
  • Déconnectez-vous de votre ordinateur lorsque vous vous éloignez (ou au moins verrouillez-le avec un mot de passe).
  • Éliminer les données de manière responsable (déchiquetage, recyclage informatique).Mécanismes d'authentification, auditabilité.

Comment puis-je me protéger contre chaque type d'attaque ? (suite…)

Protection contre les exploits basée sur le réseau et sur Internet :

  • Mot de passe, 2FA, jeton. Chiffrement.
    • Authentification de l'utilisateur final, répertoires.
    • Les mots de passe sur les commutateurs, les pare-feu, les SAN, les serveurs et les comptes cloud sont encore plus importants.
    • Audit des utilisateurs administratifs. S'assurer que les niveaux d'accès au réseau sont appropriés.

(suite…)

  • Surveillance et analyse, analyse des journaux.
  • Correction/Mise à jour.
  • S'il est ouvert à Internet, demandez d'abord pourquoi. Faites ensuite :
    • Fermez les ports/services inutiles.
    • Proxy/Proxy inverse
    • Limitation de l'adresse IP source (pare-feu)
    • Connexions VPN
    • Amazon/Azure/cloud :VPC, etc.
    • Arrêter l'affichage des informations de version (par exemple, status.html, phpinfo.php).

(suite…)

  • Chiffrement
    • Cryptage asymétrique :texte en clair > clé publique > texte chiffré > clé privée > texte en clair).
    • Vérification de la validité avec hachage MD5.
    • Autorités de certification – à qui faire confiance (la liste des autorités de confiance) – et quand cela peut mal tourner.
    • Messagerie/e-mail cryptés.

(suite…)

  • Contrôles du réseau (par exemple, Wi-Fi non sécurisé et pare-feu)
    • Ne vous connectez pas automatiquement aux points d'accès Wi-Fi publics gratuits/ouverts, ou à ceux qui utilisent le WEP.
    • Se fier au fait que le SSID Wi-Fi est bien celui qu'il prétend être.

Règles et formation de votre personnel

  • Force du mot de passe, authentification à 2 facteurs, application de celle-ci.
  • Évitez de stocker des données restreintes sur des appareils mobiles et des appareils amovibles (par exemple, des clés USB).
    • Vol
    • Utilisation abusive
    • Vulnérabilités mobiles :exécutables et drive-by (bluetooth, etc.)
    • Appareils personnels sur le lieu de travail

Politiques et formation de votre personnel (suite…)

  • Systèmes de messagerie non sécurisés (oui, c'est-à-dire vous, e-mail !), comptes de messagerie personnels pour le travail.
  • Partage de mots de passe, envoi de mots de passe en "clair".
  • Stockage cloud et applications cloud :
    • Intégrité des fournisseurs de cloud et comment ils veillent à votre sécurité (force du mot de passe, etc.)
    • Les fournisseurs de cloud font faillite
    • Règles du fournisseur de cloud concernant vos informations.
  • Clics sur des liens raccourcis, des pièces jointes à des e-mails, des macros, des popups, des pop-under, des liens trompeurs.

Politiques et formation de votre personnel (suite…)

  • Opérations RH et informatiques :intégration, départ et embauche
  • Demander au personnel non informatique de signaler tout risque ou violation de sécurité suspecté
  • Demandez à votre conseil d'administration de fournir des conseils sur la classification des données ; utiliser une matrice RASCI qui prend en compte la valeur de chaque niveau d'actif, classé par criticité pour les opérations commerciales et la réputation.
  • Inventorier toutes les choses (logiciels, matériel, adresses IP, personnes)
    • Ce qui est autorisé et ce qui ne l'est pas.
  • Pour les développeurs :révision du code, utilisation d'outils.

Politiques et formation de votre personnel (suite…)

  • Le personnel informatique doit planifier régulièrement des audits de sécurité (quotidiens, hebdomadaires. Mensuels, c'est peut-être trop tard !). Considérez :
    • Niveaux de correctifs,
    • Liste des vulnérabilités CVE, recoupez au moins les applications visibles de l'extérieur
    • Exécution/analyse des rapports à partir des outils de sécurité.

Outillage

  • Analyse de ports :NMAP, ShieldsUp !
    • Numéros de port communs (/etc/services).
  • OpenVAS – Analyse des vulnérabilités.
  • OSSec – Détection des intrusions
  • Kali Linux – (distribution de test de stylet) et MetaSploit Framework (Windows, Mac, Linux).
  • SecurityOnion – Distribution Linux pour la détection des intrusions et la surveillance de la sécurité.
  • Outils d'analyse de paquets TCPDump/Wireshark.
  • Tripwire – Audit des modifications de fichiers
  • Fail2Ban – Verrouillage temporaire de l'accès basé sur l'adresse IP via un pare-feu.
  • SELinux/AppArmor

Outillage (suite…)

  • Pour les programmeurs :
    • Méthodes générales d'injection SQL
    • Méthodes générales de saisie de données et de formulaire HTML
    • Méthodes générales XSS (Cross-Site Scripting)
    • OWASP (projet de sécurité des applications Web ouvertes).
    • Maudite application Web vulnérable (PHP)
    • BrakeMan (applications Ruby on Rails)

Outillage (suite…)

  • Pour les utilisateurs finaux :la dernière ligne de défense :
    • Windows GPO (stratégie de groupe) pour appliquer les politiques.
    • Antivirus, Antimalware.
    • Pare-feu personnel.

Planifier pour le pire

  • Élaborez un plan qui comprend (au moins) les éléments suivants…
  • Lorsqu'une attaque se produit, comment pouvons-nous reprendre nos activités ?
    • Arrêtez-vous et réfléchissez – Ne paniquez pas.
      • Le pare-feu bloque immédiatement le serveur.
      • Faire une copie du disque et travailler sur la copie .

Planifier le pire (suite…)

  • Effectuer une analyse médico-légale/réunir des preuves
    • Rechercher les processus en cours d'exécution et les descripteurs de fichiers (procfs, lsof).
    • Rechercher les processus suspects (ps auxwww)
    • Analyse de processus (strace, ltrace)
    • Collecte de journaux
    • Recherche de fichiers suspects et cachés (/tmp, /dev. Recherche basée sur mtime).
    • Utilisateurs connectés (qui/w, dernier)
    • Nouveaux comptes d'utilisateurs (indique de faibles compétences !) /etc/passwd.

Planifier le pire (suite…)

  • Rapporter les résultats aux parties prenantes de l'entreprise.
    • Diligence raisonnable de l'entreprise et quand signaler aux autorités
    • Chaîne de possession. N'apportez aucune modification, prévoyez de l'utiliser comme preuve au tribunal.
    • Aider votre cadre supérieur à transmettre le message à vos clients
  • Récupérer à partir de sauvegardes ou invoquer BC Plan ?

Autres lectures

  • Les 20 principaux contrôles de sécurité critiques de SANS
  • Le livre de Kevin Mitnick sur l'ingénierie sociale
  • Les 10 principales vulnérabilités de l'OWASP
  • Liste des vulnérabilités CVE

Enseignements clés/Points d'action

La sécurité des informations est importante.

  • Ne laissez pas cela être une réflexion après coup !

Personnes, processus et technologie :

  • Une formule gagnante pour obtenir I.S. à droite

  • Personnes :éducation, ingénierie sociale, exploits physiques, extorsion, serrure et clé
  • Processus :inventaire, règles
  • Technologie :exploits de service, outils (y compris automatisés), surveillance et alertes

  • Se contenter d'avoir un pare-feu n'est pas la solution. Défense en profondeur !


Contour de la diapositive

Les sujets suivants ont été abordés dans la présentation :

  • Pourquoi la sécurité des informations est-elle importante ?
    • Le profil d'intérêt pour votre entreprise
      • Vos informations sont primordiales, et elles sont vulnérables !
      • Exfiltration de données.
    • Le profil d'intérêt pour votre infrastructure.
      • La valeur de la puissance de calcul gratuite pour les attaquants.
    • Le mal que cela peut causer à votre entreprise :
      • Perte de propriété intellectuelle, et,
      • Perte de réputation, de part de marché et de marque
      • Extorsion et rançon (y compris perte de fonds bancaires directs).
  • Ce que vous devez savoir :
    • Définition de la sécurité de l'information, la triade de la CIA :
      • C onfidentialité :protection de vos informations contre tout accès non autorisé.
      • Je Intégrité :les informations sont telles qu'elles doivent être, non modifiées de manière non autorisée (ou même erronée).
      • Un disponibilité :s'assurer que les informations dont vous disposez sont toujours disponibles.
    • Principaux éléments de sécurité :
      • Personnes
      • Processus
      • Technologie
    • Avoir une politique. Quand c'est important et quand c'est un fardeau.
    • Un pare-feu n'est pas la solution :une défense en profondeur.
    • Quand , pas si vous êtes exploité.
    • Confiance :votre entreprise est bâtie dessus, mais :
      • Votre personnel et vos fournisseurs peuvent être hostiles !
        • Ils peuvent ne pas être au courant d'une tentative de leur part.
        • Ils peuvent installer des logiciels, ouvrir des documents et accéder à des sites qui font de mauvaises choses.
        • Il peut intentionnellement faire du mal.
    • Le Cloud !=Sécurisé
  • Qui serait intéressé par l'exploitation de mes systèmes TIC ?
    • Attaquants ciblés
      • Personnel/ancien membre du personnel mécontent
      • Cogneurs engagés
      • Opportunistes
    • Attaquants non ciblés
      • Script Kiddies
    • Bot/Spambot.
  • Quel type d'attaques peut-on lancer ?
    • Ingénierie sociale :
      • Hameçonnage
      • Sortie des données basées sur les personnes (intentionnelle et non intentionnelle). – Données sortant de la porte (et dans le cloud).
      • Rançon/Chantage.
      • En personne, par courrier, par e-mail personnel et par téléphone.
    • Exploits physiques
      • HID (dispositifs d'interface humaine) (ex. Rubber Ducky, Bash Bunny)
      • Tap du réseau LAN (ex. Great Scott Throwing Star Lan Tap)
      • WiFi (ex. L'ananas WiFi)
    • Exploits réseau et Internet.
      • Exploitation des vulnérabilités
      • DNS, empoisonnement/redirection DHCP
      • Déchargement SSL et obfuscation
      • Attaques MITM (Homme au milieu)
      • Attaques (D)DoS
      • Rançongiciels et logiciels malveillants
      • Force brute
  • Comment puis-je me protéger contre chaque type d'attaque ?
    • Réseaux sociaux :
      • Vérifier, vérifier et faire confiance.
    • Physique :
      • Serrure et clés
      • Déconnectez-vous de votre ordinateur lorsque vous vous éloignez (ou au moins verrouillez-le avec un mot de passe).
      • Éliminer les données de manière responsable (déchiquetage, recyclage informatique).Mécanismes d'authentification, auditabilité.
    • Protection contre les exploits basée sur le réseau et sur Internet.
      • Mot de passe, 2FA, jeton. Chiffrement.
        • Authentification de l'utilisateur final, répertoires.
        • Les mots de passe sur les commutateurs, les pare-feu, les SAN, les serveurs et les comptes cloud sont encore plus importants.
        • Audit des utilisateurs administratifs. S'assurer que les niveaux d'accès au réseau sont appropriés.
      • Surveillance et analyse, analyse des journaux.
      • Correction/Mise à jour.
      • S'il est ouvert à Internet, pourquoi ?
        • Fermeture des ports/services.
        • Proxy/Proxy inverse
        • Limitation de l'adresse IP source
        • Connexions VPN
        • Amazon/Azure/cloud :VPC, etc.
        • Arrêter l'affichage des informations de version (par exemple, status.html, phpinfo.php).
      • Chiffrement
        • Cryptage asymétrique :texte en clair > clé publique > texte chiffré > clé privée > texte en clair).
        • Vérification de la validité avec hachage MD5.
        • Autorités de certification – à qui faire confiance (liste des autorités de confiance) – et quand cela peut mal tourner.
        • Messagerie/e-mail cryptés.
      • Contrôles du réseau (par exemple, Wi-Fi non sécurisé et pare-feu)
        • Ne vous connectez pas automatiquement aux points d'accès Wi-Fi publics gratuits/ouverts, ou à ceux qui utilisent le WEP.
        • Se fier au fait que le SSID Wi-Fi est bien celui qu'il prétend être.
      • Règles et formation de votre personnel :personnel administratif/opérationnel, direction, développeurs.
        • Force du mot de passe, authentification à 2 facteurs, application de celle-ci.
        • Évitez de stocker des données restreintes sur des appareils mobiles et des appareils amovibles (par exemple, des clés USB).
          • Vol
          • Utilisation abusive
          • Vulnérabilités mobiles :exécutables et drive-by (bluetooth, etc.)
          • Appareils personnels sur le lieu de travail
        • Systèmes de messagerie non sécurisés (oui, c'est-à-dire vous, e-mail !), comptes de messagerie personnels pour le travail.
        • Partage de mots de passe, envoi de mots de passe en "clair".
        • Stockage cloud et applications cloud :
          • Intégrité des fournisseurs de cloud et comment ils veillent à votre sécurité (force du mot de passe, etc.)
          • Les fournisseurs de cloud font faillite
          • Règles du fournisseur de cloud concernant vos informations.
          • Clics sur des liens raccourcis, des pièces jointes à des e-mails, des macros, des popups, des pop-under, des liens erronés
        • Opérations RH et informatiques :intégration, départ et embauche
        • Demander au personnel non informatique de signaler tout risque ou violation de sécurité suspecté
        • Demandez à votre conseil d'administration de fournir des conseils sur la classification des données ; utiliser une matrice RASCI qui prend en compte la valeur de chaque niveau d'actif, classé par criticité pour les opérations commerciales et la réputation.
        • Inventorier toutes les choses (logiciels, matériel, adresses IP, personnes)
          • Ce qui est autorisé et ce qui ne l'est pas.
        • Pour les développeurs :révision du code, utilisation d'outils.
      • Le personnel informatique doit planifier régulièrement des audits de sécurité (quotidiens, hebdomadaires. Mensuels, c'est peut-être trop tard !). Considérez :
        • Niveaux de correctifs,
        • Liste des vulnérabilités CVE, recoupez au moins les applications visibles de l'extérieur
        • Exécution/analyse des rapports à partir des outils de sécurité.
    • Outillage :
      • Analyse des ports NMAP.
        • Numéros de port communs (/etc/services).
      • Analyse des vulnérabilités OpenVAS
      • Détection d'intrusion OSSec.
      • Kali Linux et le framework MetaSploit (Windows, Mac, Linux).
      • TCPDump/Wireshark
      • SecurityOnion
      • Audit des fichiers Tripwire
      • SELinux/AppArmor
      • Pour les programmeurs :
        • Méthodes générales d'injection SQL
        • Méthodes générales de saisie de données et de formulaire HTML
        • Méthodes générales XSS (Cross-Site Scripting)
        • OWASP (projet de sécurité des applications Web ouvertes).
        • Maudite application Web vulnérable (PHP)
        • BrakeMan (applications Ruby on Rails)
      • Pour les utilisateurs finaux :la dernière ligne de défense :
        • Windows GPO (stratégie de groupe) pour appliquer les politiques.
        • Antivirus, Antimalware.
        • Pare-feu personnel.
  • Planifier pour le pire
    • Quand (et non si) une attaque se produit, comment pouvons-nous reprendre nos activités ?
      • Arrêtez-vous et réfléchissez – Ne paniquez pas.
        • Bloquer le pare-feu immédiatement
      • Effectuer une analyse médico-légale/réunir des preuves
        • Rechercher les processus en cours d'exécution et les descripteurs de fichiers (procfs, lsof).
        • Analyse de paquets (strace, )
        • Collecte de journaux
        • Recherche de fichiers suspects et cachés (/tmp, /opt. Recherche basée sur mtime).
      • Rapporter les résultats aux parties prenantes de l'entreprise.
        • Diligence raisonnable de l'entreprise et quand signaler aux autorités
      • Récupérer à partir de sauvegardes ou invoquer BC Plan ?
  • Autres lectures
    • Les 20 principaux contrôles de sécurité critiques de SANS
    • Le livre de Kevin Mitnick sur l'ingénierie sociale
    • Les 10 principales vulnérabilités de l'OWASP
    • Liste des vulnérabilités CVE


Linux

  1. Quelle est votre astuce de terminal Linux préférée ?

  2. Quel est votre gestionnaire de packages Linux préféré ?

  3. Commandes Linux pour afficher les informations sur votre matériel

  4. Joyeux anniversaire GNOME :Quelle est votre version préférée ?

  5. Quel est votre émulateur de terminal Linux préféré ?

Quelle est votre distribution Linux préférée ?

Sécurité CI/CD - Comment sécuriser votre pipeline CI/CD

Afficher les informations réseau sous Linux à l'aide de What IP Tool

Quelle est votre stratégie de planification des capacités ?

Ne faites jamais cela sur votre linux rm -rf * / une commande pour casser tout linux

Comment configurer le CRM ONLYOFFICE pour les besoins de votre entreprise