Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Transkript

1 Penetrační testy Pohled na vaši síť očima hackera Ing. Jan Pawlik IT Security Specialist

2 Co je penetrační test? Hodnocení zabezpečení počítačových zařízení, systémů nebo aplikací. Provádí se testováním, simulací možných útoků na tento systém jak zevnitř tak zvenčí.

3 sběrinformací identifikace služeb známézranitelnosti Analýzavyužívaných technologií eskalaceoprávnění lámáníhesel skenportů EXPLOITY reakce zaměstnanců skenzranitelností skrytározhraní Socialengineering skrytéadresáře

4 Postup / metodika Fáze testování Identifikace cílů Detekce aplikací a služeb Identifikace zranitelností Automatizovaná i manuální Odhalení bezpečnostních mezer Analýza a návrh opatření Závěrečná zpráva Re-test Režimy testování Black box Grey box White box Výstupy závěrečná zpráva Seznam zranitelností Doporučená opatření Přehled o celkové úrovní zabezpečení 4

5 Druhy penetračních testů Testy infrastruktury Testy webových aplikací (OWASP) Specializované testy DoS útok Sociální inženýrství Prolamování hesel Analýza metadat na webových serverech Audit mobilních aplikací Audit zdrojového kódu Zátěžové testy: testování výkonu síťové a aplikační infrastruktury Plánování Testování Analýza Reporting Re-test

6 MitM PWD cracking Social engineering/phishing

7 Jak to probíhá v praxi příprava útoku Bez interakcí se sítí společnosti OSINT DNS dotazy WHOIS lookups Social Engineering Webové stránky (analýza metadat) Dumpster Diving Tailgating

8 Jak to probíhá v praxi průběh útoku Portscan

9 Jak to probíhá v praxi průběh útoku Portscan Zneužití služeb/zastaralých verzí/slovníkový útok (hrubou silou) ->přístup

10 Jak to probíhá v praxi průběh útoku Portscan Zneužití služeb/zastaralých verzí/slovníkový útok (hrubou silou) ->přístup Otevřený přístup

11 Jak zjistit přítomnost zranitelností v celé síti Malé sítě Nmap Pomalejší třídění nálezů Větší časová náročnost Velké sítě - Skener zranitelností/vulnerability manager Systematické třídění zranitelností Informace o dostupnosti exploitů Doporučení k nápravě

12

13

14 Další postup Ověření zranitelností Metasploit CVE (Commom Vulnerabilites and Exposures - cve.mitre.org) Profesionální nástroje Manuální techniky Zneužití zranitelností Vstup do interní sítě, přístup k dalším systémům Využití získaných informací Pokus o vyřazení systémů z provozu

15 Nejen technická část Sociální inženýrství Phishing Fyzický průnik

16 Přínosy Praktické prověření informační bezpečnosti na základě simulace útoku reálného hackera. Poskytnou přehled o slabých místech využitelných k průniku do informačního systému. Výsledná analýza zhodnotí odhalené bezpečnostní nedostatky podle stupně jejich závažnosti a navrhne nápravná opatření na jejich odstranění nebo minimalizaci rizika zneužití. Získáte jiný pohled na bezpečnost vašich systémů.

17 Reference Synthesia Penetrační testy a testy webových aplikací Kofola Externí a interní penetrační testy, test Wi-Fi Dopravní podnik Ostrava Externí a interní penetrační testy, test Wi-Fi Povodí Odry Komplexní bezpečnostní audit

18 Reference České dráhy Testy zákaznického portálu Sberbank Kompletní testy internetového bankovnictví Raiffeisenbank Test zabezpečení vnitřní sítě Test investičního portálu GUMOTEX Externí a interní testy infrastruktury DoS testy

19 UTM Firewall Web Filtr Monitoring Reporting VPN

20 Kontakt Trusted Network Solutions, a. s. Ing. Jan Pawlik IT Security Specialist