Sikkerhet i mobile enheter & Teknologibildet 2015
Sikkerhet i mobile enheter & Teknologibildet 2015 Sean Armana Delivering Transformation. Together. Øvelse 1 Sett opp privat PC med delt internett som funksjon 30min før presentasjonen starter 2 Sett samme SSID som konferanse rommet , men uten passord 3 Sett maks sendestyrke for å virke mer troverdig 4 Avvent og se hvor mange som roamer over 5 Kjør wifigate i bakgrunn og vis resultatet før presentasjonen begynner! 6 Demonstrasjon av MITM attack med sniffing på en tilfelig device 2 Eksempel: Kjenner vi oss igjen?? 3 Threat Map https://maps.skycure.com/ 4 1 Introduksjon 2 Hva er mobil sikkerhet? 3 Navigasjon i teknologien 4 OSI modellen og sårbarheter 5 Mobil sikkerhet «fire faser» 6 Mobil Sikkerhetsstrategi 7 Bekjempelse 8 Avslutning og spørsmål 5 Mobil sikkerhet presentasjon 2015 Bakgrunn 1 Sean Armana 37 år - Fra Moss, Østfold - Bakgrunn: Hærens Ingeniør høgskole Krigsskolen HIG - 4 år i HP - 5 år i Sopra Steria - Teknikker, arkitekt, rådgiver, sikkerhetstester & revisor - Fagfelt Nettverk vs Sikkerhet - Arbeidsoppgaver: «Operasjonalisering av sikkerhet» 6 Owasp TOP 10 7 Sikkerhetsbekymring i mobile enheter… Enterprise Concerns for mobile security 2015 Virksomheter er redde for datatap!! #Regardless Data tap & HW tap 65% 8 Kilde: Mobile threat rapport 2015 Mobil Malware 40% Business data vs Private data 29% Fakta! Teknologi alene vil ikke kunne løse virksomhetens sikkerhetsutfordringer med mobile enheter! 9 Overordnet målsetning Sikre virksomhetens data ved å sikre mobile enheter 10 Tilgjengelig verktøykasse 11 Frusterert??? 12 OSI – har fasiten! 13 OSI har fasiten 14 OSI modellen sett opp mot sårbarheter 15 Oversikt over mottiltak mobil sikkerhet 16 Mobilsikkerhet – Fire Faser • Operativsystem • Virtualisering 17 • Arkitektur Fysisk Nettverk Applikasjon Malware • Skadevare Fase 1 – Fysisk sikkerhet Angrepsvektor Tap eller tyveri av enhet Metodikk Remote wipe, Locate device, Backup, Password enforcement, osv… Operativsystem ansvar MDM tjenester 18 Fase 2 – Nettverkssikkerhet Angrepsvektor Angrep som benytter nettverket (Rouge Aps, MITM og design svakheter som for eksempel mobile gw’s osv… mail server Metodikk Autoconnect disable, Network verification, bruk av SSL osv Ansvar: Bruker årvåkenhet og system arkitektur Application & Mobile GW’s 19 Fase 3 - Applikasjonssikkerhet «Risikofaktor Nr.1» Angrepsvektor Sårbarheter i applikasjon og application repacking Metodikk Virtualisering, sandkasse, kode review – OWASP m10 Ansvar: Utviklere, leverandører, revisjoner og pentestere Virtualisering og sandkasse løsninger 20 Fase 4 - Malware «Liten risiko» Angrepsvektor Ondsinnet kode, målrettet angrep eller phishing teknikker Metodikk AV, Malware protection GW, endpoint security osv.. Ansvar: Virksomheten, revisjoner og pentestinger AV, Endpoint protection osv… 21 Teknologi økosystem 22 23 Spørsmål ? Takk for oppmerksomheten… 24 KONTAKTER DITT VISITTKORT Sean Armana Security Advisor Sopra Steria AS Avdeling Postboks 2, 0051 Oslo Biskop Gunnerus’ gt. 14A, 0185 Oslo www.soprasteria.no 25 T. +47 225 75 600 M. +47 416 66 660 [email protected] Delivering Transformation. Together. 26 Title presentation
© Copyright 2024