Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Transkript

1 Co se děje za Firewallem Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

2 Odkud hrozí útok? Internet Vnitřní LAN Vnitřní LAN Vnitřní LAN

3 Mám firewall jsem klidný opravdu? Kdy firewall neochrání vnitřní? síť? - dva příklady za všechny. Uživatel přijme a spustí soubor přes šifrovaný kanál. Uživatel klikne na https odkaz v okně chatu. Uživatel neuváženě potvrdí zavádějící dotaz aktivní části webové prezentace a stane se obětí sociálního inženýrství. Není lepší prověřit, zda je vnitřní síť skutečně odolná aktuálním hrozbám?

4 Co může být ve vnitřní síti ohroženo? Typický stav Do sítě jsou připojena nepovolená zařízení (notebooky, AP), na kterých nejsou vynucena stanovená bezpečnostní pravidla. Zařízení nejsou správně konfigurována (otevřené porty, přístupné soubory, povolena nevyužívaná volání web serveru, atp.). Nejsou použity poslední verze SW nebo aplikovány poslední opravy na všech zařízeních. Aktuální stav zranitelnosti elementů v síti lze ověřit jejich otestováním.?

5 Test zranitelnosti Podstata Pozorování a analýza provozu v síti Zjištění zranitelností Provedení simulovaných útoků Vygenerování reportu Metody použité pro identifikaci hostů: ICMP, TCP ports, UDP ports, DNS, Reverse DNS, DNS zone transfer, TCP RST, Traceroute, Other protocols Provedení Sonda v síti samostatně provede vybrané úlohy SW vygeneruje reporty

6 Penetrační test vs. vulnerability scan Položka Penetrační test Test zranitelnosti Úplnost, složitost velká omezená Časová náročnost týdny dny Automatické skenování ano ano Využití široké palety testovacího SW ano jeden Manuální práce ano minimální Práce mnoha bezpečnostních specialistů ano Cena n x Kč od Kč* ne * Provedení základního testu, předání reportu se základním komentářem

7 Výhody testu zranitelnosti Rychlé získání přehledu o stavu sítě za minimální náklady. Možnost opakování testů. Většinu nedostatků opravíte sami podle doporučení. Můžete se zaměřit na kritické aplikace a objednat si penetrační test zaměřený jen na ně. Více než 2500 známých otisků (signatur) útoků lze využít nejen k identifikaci a zastavení útoků, ale i k simulaci útoků a kontrole odolnosti elementů v síti. Test zranitelnosti bude prováděn na základě všech aktuálně známých zranitelností. FND (FortiGuard Distribution Network) = aktualizace signatur virů a známých útoků v reálném čase. Vazby na jiné zdroje FortiGate Vulnerability Encyclopedia Vazba na CVE (Common Vulnerabilities and Exposures): Vazba na Bug Traq Kategorizace hrozeb podle pravidel PCI DSS (Payment Card Industry Data Security Standard)

8 Průběh testu zranitelnosti 1. Seznámení s LAN (topologie sítě, adresní plán, ) 2. Vhodné umístění/zapojení sondy 3. Vhodný typ testu jen scan nebo i simulovaný útok? Certifikovaný test? stupeň agresivity, a další 4. Konfigurace konkrétního nastavení úloh v testu čas spuštění, vyřazení některých prvků z testu, atd. 5. Průběh testu Network Discovery > Scanning > Simulovaný útok > Reporting 6. Předání reportů, diskuse

9 Ukázka reportu summary report Kategorizace: aplikací, provozu, služeb

10 Ukázka reportu detail Systém detekuje OS na strojích

11 Ukázka reportu detail Systém detekuje běžící služby Další dělení na TCP/UDP

12 Ukázka reportu detail Detail služeb pro konkrétní stroj

13 Ukázka reportu detail zranitelnosti a doporučení Detailní reporty obsahují doporučená nápravná opatření dle FortiGate Vulnerability Encyclopedia. Postupy na opravu zranitelností, které byste hledali hodiny, máte k disposici pod aktivním odkazem v reportu.

14 Vypořádání rizik a další časté otázky Q: Nenakazí se moje síť během testu? Nezpůsobí test kolaps mých síťových prvků vlivem nestandardní zátěže? A: K nákaze dojít nemůže. Ke kolapsu dojít může, ale jedná se o plánovaný kolaps, doporučujeme provádění testů mimo exponované/kritické pracovní období. Je možné určit stupeň agresivity testu a tím ovlivnit míru zátěže. Test je vzdáleně monitorován. Q: Mohu v případě jakýchkoliv problémů test ukončit? A: Ano. A to jak vypnutím sondy, tak dohodou s administrátorem testu. Q: Jak dlouho bude test probíhat? A: To závisí na počtu elementů v síti a na zvoleném typu testu a jeho parametrech. Průměrně jde o několik hodin až několik desítek hodin. Průběh testu je možné sledovat a určit fázi, ve které se aktuálně nachází. Q: Jak je zabezpečeno, že nedojde k úniku citlivých informací po provedení testu? A: Právně (závazek ve smlouvě, možnost uzavřít separátní NDA), procesně (pravidla pro chování techniků provádějící test), technicky (zařízení, které je k testování využito, je certifikované a bezpečné). Q: Jak rychle po objednání je možné test spustit? A: Vřádu dnů od objednání, v případě dostupnosti specialisty, který testy provádí, v řádu hodin.

15 Návaznost testu odolnosti na produkty GTS

16 Děkuji za pozornost Prezentoval Václav Molík Ředitel úseku zákaznických projektů Další (obchodní) kontakty Tomáš Pfeffer Ředitel pro státní správu GTS Czech s.r.o. Přemyslovská Praha 3 Tel: Michal Ruda Viktor Pleštil Ředitel strategických projektů Manažer pro státní správu michal.ruda@gtsce.com viktor.plestil@gtsce.com One Region One Network One Offer