Secode sikkerhetsklarering Secode og Secodes ansatte kan håndtere informasjon gradert STRENGT FORTROLIG iht. Beskyttelsesinstruksen av 1.7.1972:»Alle ansatte hos Secode har gyldig sikkerhetsklarering t.o.m HEMMELIG i henhold til Lov om forebyggende sikkerhetstjeneste av 1.7.2001, (heretter kalt Sikkerhetsloven) klareringene er utstedt av FLO IKT.»Secode har som selskap gyldig godkjenning til å håndtere informasjon t.o.m. HEMMELIG i henhold til Sikkerhetsloven, for vår hovedlokasjon Longum Park, Arendal godkjenning er utstedt av FLO IKT.»Secode har fasiliteter for fysisk lagring av dokumentasjon med godkjenning for gradering til og med HEMMELIG i henhold til Sikkerhetsloven godkjenning er utstedt av FLO IKT.»Secode har internt og separat saksbehandlingsnettverk som er godkjent for BEGRENSET og KONFIDENSIELT i henhold til Sikkerhetsloven, samt FORTROLIG og STRENGT FORTROLIG iht. Beskyttelsesinstruksen av 1.7.1972 godkjenning er utstedt av FLO IKT Secode blir jevnlig revidert av FLO IKT for å sikkerstille at rutiner for behandling av materiell gradert etter Sikkerhetsloven blir utført korrekt.
Secode The Company Leading MSSP in the Nordic Region More than 20 years security experience Offices in Norway, Sweden, Finland, Denmark and the Netherlands High Availability services with Operations Centers in Arendal and Gothenburg Trusted Partner for large Enterprises in Scandinavia: Banking and Financial services Retail Health-Care Government Defence BS
We practice what we preach ISO 27001:2005 Certified ISO 9001:2008 Certified ISO 17025:2005 Certified EVIT Certified Operations based on ITIL framework Local requirements Operations Center Sweden:»Fully compliant with SSF 200:4 skyddsklass 2 and SSF 200:4 skyddsklass 3»Has SUA level 1 clearance Local requirements Operations Center Norway:»All personel military clearance Secret»Location cleared for handling material with military classification up to Secret
Social Engineering: metoder eksempler funn Christian Jacobsen christian.jacobsen@secode.com
Hva er Social Engineering?
Zero-dayexploitsgetall thesexy headlines, butsocialengineeringgetsmost ofthe results Lav deteksjonsrate under og etter et angrep Opererer ofte eller delvis på utsiden av loggsystemer Komplekse angrepsvektorer Angrep kan gi langvarige konsekvenser Angriper det svakeste punktet i sikkerhetsstrukturen Angrepet er ikke målet Målet er klart definert på forhånd Low tech hacking Ikke utelukkende et substitutt for teknisk angrepsvektorer, men et supplement
Troverdighethandler om planlegging og å tilfredsstille forventninger Kompetansehandler om teknikk, erfaring, metodebruk og tilpasningsdyktighet
Metodeneer åpne og etablerte Basererseg på anerkjent kunnskap og metoder fra sosiologi og psykologi Internasjonaltfagmiljø hvor vi deltar
Hva brukes testene til? Å gjennomføre en Social Engineering-test uten at det foreligger planer om å følge opp resultatene med konstruktive, holdningsskapende prosjekter er som å gjennomføre en pentestuten å være villig til å patche i etterkant.
Resultater:alle resultater er verdifulle Prosentvis fremstilling av alle tiltak, kumulert fra Secodes tester 2010.
Noen eksempler på funn fra tester vi har gjort
Sikkerhet og sårbarhet 2011
Passorder enkelt å høste Ga passord Ga ikke passord Avslørte testen Prosentvis fremstilling av passordhøsting, kumulert fra Secodes tester 2010-2011.
Vi har Fått tilgang til en firmabil Fått nøkkelen til hvelv Hatt fri adgang til personalmapper Blitt så godt kjent med vaktselskapet hos en kunde at de ga oss nøklene til bygget Høstet brukernavn og passord fra 100% av de ansatte som ble testet Blitt ringt tilbake i kjølvannet av webmailtester for ytterligere supportbistand Fått tilgang til servere, printere, kablingsrom og klientmaskiner Funnet uautorisert webserver med webkamera fra kontormiljøet rett ut på internett Gjennomført DNS-endringer Fått tilgang til personsensitive dokumenter markert Unntatt offentligheten Blitt ansatt! og mye mer
Takkfor meg! --spørsmål? Secode Norge AS Christian Jacobsen christian.jacobsen@secode.com