PENETRAČNÉ TESTY. Prevencia pred únikom dát

Podobné dokumenty
Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Webové služby a bezpečnosť. Jan Jusko

Testovanie 5. v školskom roku 2015/2016. Testovanie sa uskutoční 25. novembra 2015 (streda). Žiaci budú testy písať v nasledovnom poradí:

Možné elektronické služby katastra a ich realizácia v ČR

CERTIFIKAČNÉ ELEKTRONICKÉ TESTOVANIA - PERSPEKTÍVA

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Výsledky testovania žiakov 5. ročníka vybraných ZŠ v školskom roku 2014/2015 Testovanie v papierovej forme

Efektívne riadenie a administrácia fondov EÚ pre obdobie

Spoločnosť Wüstenrot monitoruje všetky bezpečnostné informácie a udalosti v informačnom systéme

Centrálny GIS MV SR. Ing. Kamil FAKO, PhD. OA, SITB MV SR

Systémy manažérstva kvality podľa normy ISO 9001: 2015

PENETRAČNÍ TESTY CYBER SECURITY

Krok 1 Pochopenie systémov. Krok 2 Hodnotenie silných a slabých stránok. Krok 3 Zber podkladov. - hodnotenie - overenie - postupy a smernice

METODICKÁ SMERNICA NA AKREDITÁCIU METHODICAL GUIDELINE FOR ACCREDITATION SVEDECKÉ POSUDZOVANIE INŠPEKČNÝCH ORGÁNOV

PRÍLOHY: Príloha 1 Organizačná štruktúra firmy

TESTOVANIE SOFTVÉRU MANUÁLNE

Právna úprava -,,kde čo nájsť? Typy účastníkov (vrátane definície MSP)

Optimalizácia digitalizačných procesov v Univerzitnej knižnici. Tomáš Fiala, Alojz Androvič Univerzitná knižnica v Bratislave

Metodické poznámky k výučbe oblasti Komunikácia prostredníctvom IKT Internet = web + ?

Legislatívny rámec. bezpečnej prevádzky civilného letectva (systém manažmentu bezpečnosti)

Boj s cielenými útokmi. Daniel Hetényi Trend Micro

E-learning na FCHPT STU v Bratislave. doc. Ing. Monika Bakošová, CSc.

ISTAV - INFORMAČNÝ SERVIS V STAVEBNÍCTVE

Študijné plány platné pre študentov v akademikom roku 2018/2019

Studentove t-testy. Metódy riešenia matematických úloh

VECTOR PARKS BRATISLAVA - SVÄTÝ JUR

Štruktúra údajov pre kontajner XML údajov 1. Dátové prvky pre kontajner XML údajov

Analýza rizík a kontrolné opatrenia

ELEKTRONICKÉ SLUŽBY NEV MOBILNÁ JEDNOTKA ABIT 2014

Návrh, implementácia a prevádzka informačného systému

Zásady manipulácie, zberu, prepravy a nakladania s VŽP. Vedľajší živočíšny produkt kuchynský odpad materiál kategórie 3

Novela zákona o SS a proces DI. 5. fórum poskytovateľov sociálnych služieb pre ľudí so ZP september 2013 Mgr. Lýdia Brichtová, PhD.

SOCA & Zákon o kybernetické bezpečnosti. od teorie k praxi. Ivan Svoboda & SOCA AFCEA CERT/SOC

Rozvojový projekt grafické systémy

1. prednáška MARKETING MANAŽMENT

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Používateľské požiadavky na platformu FASTER: Výsledky prieskumu

Špecifikácia testu. z matematiky. pre celoslovenské testovanie žiakov 9. ročníka ZŠ v školskom roku 2017/2018

Stredoškolská sexualita. Mgr. Michal Chovanec

Podlimitná zákazka Verejný obstarávateľ

INTEGROVANÝ SYSTÉM RIADENIA RIZÍK

OCHRANA INOVÁCIÍ PROSTREDNÍCTVOM OBCHODNÝCH TAJOMSTIEV A PATENTOV: DETERMINANTY PRE FIRMY EURÓPSKEJ ÚNIE ZHRNUTIE

Mobilná aplikácia pre zaznamenávanie údajov systému HACCP

Špecifikácia testu. zo slovenského jazyka a literatúry a z maďarského jazyka a literatúry

Téma. Čo je dnes jednoduchšie z pohľadu útočníka, ak chce získať (citlivé) dáta alebo informácie z organizácie?

Zdravotné postihnutie nie je prekážkou v prístupnosti na trh práce. Kto je občan so zdravotným postihnutím?

Odporúčané témy praktickej časti odbornej zložky maturitnej skúšky pre ELE POS

Užívateľská príručka systému CEHZ. Základné zostavy Farmy podľa druhu činnosti

Téma : Špecifiká marketingu finančných služieb

Princíp analýzy rizík a jej aplikácia na vodárenské systémy

Ak sa snažíte pochopiť jednu vec izolovane, že súvisí so všetkým vo vesmíre.

ROZHODOVANIE O VÝBERE TRHU

GSM GPRS technológia. Ing. Marek Kudla

Operačný systém Úvodná prednáška

NOVÉ NARIADENIE EÚ O OCHRANE OSOBNÝCH ÚDAJOV v kontexte kybernetickej bezpečnosti. Brno, 31. mája 2017

Škola, učiteľ/ka a mediálna výchova Výsledky prieskumu po jednotlivých položkách v tabuľkách a grafoch

EXTERNÉ a E-LEARNINGOVÉ štúdium. úvodný materiál

Ako podporiť predaj áut cez internet? - popis služby Etarget - prípadová štúdia Suzuki Slovakia

Diplomový projekt. Detská univerzita Žilinská univerzita v Žiline Matilda Drozdová

Návrh tém bakalárskych prác 2009/2010 (6 tém) Ing. Siničák. (Všeobecné strojárstvo-vs, Mechatronika-M, Počítačová podpora strojárskej výroby-ppsv)

Skupina ELTODO Slovensko

Rozhodnutie o zmene alebo ponechaní úrovne úrokových sadzieb (môžu byť aj záporné?).

Textový editor WORD. Práca s obrázkami a automatickými tvarmi vo Worde

PROJEKTOVANIE ENERGETICKY HOSPODÁRNYCH

Žiadosť o finančný príspevok FORMULÁR. Program cezhraničnej spolupráce Slovenská republika Česká republika

Statistiky produktu ISTAV Slovensko za rok 2015

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

IngA- Inžinier v automobilovom priemysle

Obrázok č. 1 Rozloženie typu realizovaných aktivít v RÚVZ v SR ku Medzinárodnému dňu bez fajčenia v roku 2011

Možnosti uplatnenia finančných mechanizmov pri hydrických funkciách lesov. Ing. Miroslav Kovalčík, PhD. Ing. Martin Moravčík, CSc.


Historická geografia. doc. RNDr. Daniel Gurňák, PhD. B1-548 Konzultačné hodiny: utorok, streda 12:00-13:00

Príloha 1. Špecifikácia testov

UČEBNÝ PLÁN podľa Inovovaného školského vzdelávacieho programu. Základná škola J.C. Hronského, Krátka 2, Šaľa

Návod na použite plaftormy ELMARK E- Business obsahuje popis hlavných možností a funkcií programu. Príručka je štruktúrovaná podľa poradia možností.

SLOVENSKÝ VODOHOSPODÁRSKY PODNIK, š.p. Pilotný projekt čistenia a zabezpečenia protipovodňovej funkcie vodnej nádrže Ružín. Vyhodnotenie projektu

Názov projektu: Čítaj viac a dvere k poznaniu sa samy otvoria. Kód projektu: METODICKÝ LIST

Prínosy energetického manažmentu.

TESTOVANIE ASYMETRIE EKONOMICKÝCH ČASOVÝCH RADOV MARIÁN VÁVRA ZACHARIAS PSARADAKIS NETECHNICKÉ

EÚ a viacjazyčnosť. Digitálny nástroj na prepájanie Európy (CEF) Platforma CEF pre automatizovaný preklad

Informácie o telefonovaní do zahraničia

FINANCOVANIE A KONTROLA PROJEKTOV. November 2015

DOCHÁDZKA

OŠETROVATEĽSKÝ PROCES PhDr. Andrea Krkošková

ZRÝCHLENIE EVIDENCIE VO VÝROBE

Písanie ZP. Alexandra. O čom to je. Postup. kontrola. Citovanie. Odkazy Abstrakt. textu

METODIKA POKYNY K PREDMETU MSI

Vplyv správy podnikového majetku na chod firmy

Príloha 2. Špecifikácia testu. z matematiky. pre celoslovenské testovanie žiakov 9. ročníka ZŠ v školskom roku 2013/2014.

P-660HN-TxA. Príručka pre rýchlu inštaláciu. Bezdrôtová brána n ADSL2+ so 4 portami

DANE A DAŇOVÝ SYSTÉM V SR

2695 Q počítačové systémy

Zníženie energetickej náročnosti objektu Administratívna budova obecného úradu v obci Slavošovce

Národný portál pre transfer technológií a ochrana a komercializácia duševného vlastníctva

Hromadná korešpondencia v programe Word Lektor: Ing. Jaroslav Mišovych

TESTER-MS6811 Návod na obsluhovanie

PPC brief. Zadanie pre tvorbu PPC reklamnej kampane

Dotazník Príloha 1 SPOKOJNOSŤ NÁVŠTEVNÍKOV TERMÁLNEHO KÚPALISKA PODHÁJSKA

Usmernenie pre administráciu osi 4 LEADER z Programu rozvoja vidieka SR

Ing. Marián Vasilečko, TT-IT s.r.o. Trnava GIS MESTA TRNAVA júna Konferencia CGIT 2013 hotel Partizán, Tále

Transkript:

PENETRAČNÉ TESTY Prevencia pred únikom dát

Agenda O mne Čo sú penetračné testy a prečo ich vykonávať? Čo sa dá testovať? Typy testov Priebeh testovania Ako si vybrať? Metodiky Výstupy testovania Riziká spojené s testovaním Chyby pri zadaní testu

O MNE...

O mne Tomáš Ležovič Penetračný tester v spoločnosti ESET spol s.r.o. V minulosti: Sieťový / Server admin Web app / Mobile app developer

ČO SÚ PENETRAČNÉ TESTY A PREČO ICH VYKONÁVAŤ?

Čo: Čo sú penetračné testy a prečo ich vykonávať? Simulácia skutočného útoku Prečo: Rýchly rozvoj sieťových technológií Časté incidenty Medializácia

ČO SA DÁ TESTOVAŤ?

Čo môžeme testovať na bezpečnosť? Sieťová infraštruktúra bezdrôtové technológie Aplikačná infraštruktúra Aplikácie Klientske zariadenia Verejné terminály Priemyselné zariadenia Procesy Ľudia Fyzické zabezpečenie

Štatistika Soc. inžinierstva Volania Email 15 4 Neúspešné Úspešné 15 10 30 S reakciou Vyplnilo Bez reakcie

TYPY TESTOV

Čo môžeme testovať na bezpečnosť? Test známych zraniteľnosti (Vulnerability Assessment) Široký záber Automatizovaný Množstvo false positive Bezpečnostný audit (Security Assessment) Stojí medzi VA a Pentestom Veľká škála možností Penetrační test (Penetration Test) Pevne daný ciel Postup do hĺbky Simulácia skutočného útoku Preverujú sa aj procesy

Testy známych zraniteľností Zmapovanie maximálneho množstva zraniteľností Ide do šírky Z pravidla obmedzené iba na využití automatizovaných nástrojov Nízka miera podielu ľudskej práce Nájdené zraniteľnosti nie sú overované Vyššia miera false negative a false positive nálezov. Potenciálne nízky negatívni dopad v priebehu testovania

Bezpečnostný audit Zmapovanie maximálneho množstva zraniteľností, ide do šírky Súčasťou je skenovanie zraniteľnosti automatizovanými nástrojmi Nie je zameraný na test známych zraniteľností Stredná miera ľudskej práce Odhalené zraniteľnosti sa ručne overujú Ručné vyhľadávanie zraniteľností Nižšia miera false negative a false positive nálezov Možnosť regulovať negatívny dopad v priebehu testovania

Penetračný test Sleduje pevne stanovený ciel Nepokrýva všetky zraniteľnosti sústredí sa na zneužiteľné Ide do hĺbky Vysoká miera ľudskej práce manuálne vyhľadávanie zraniteľností Nájdene zraniteľnosti sú overované PoC formou exploitácie Nízka miera false negative a false positive nálezov Potenciálne vysoký negatívny dopad behom testovania

PRIEBEH TESTOVANIA

Priebeh testovania Príprava testu definícia rozsahu, prístupov, cieľov 1. Zber informácií nepriamo, priamo 2. Skúmanie (enumerácia, mapovanie) Konzultácia ďalšieho postupu so zadávateľom 3. prienik do systému (exploitácia) 4. Udržanie si prístupu hacker Analýza, správa a prezentácia

Test vs skutočný útok Z pohľadu vykonávaných činnosti prakticky totožné, až na : Techniky a používané nástroje sú rovnaké, alebo veľmi podobné Líšia sa v netechnických veciach povolenie, dohodnutý rozsah a prístup, metodika Informácie o testovaní, správa, priebeh Časové obmedzenie 1 vs mnoho Nie je nutná dekompilácia, hrubá sila

AKO SI VYBRAŤ?

Čo zvážiť pred zadaním testu Predmet testov aplikácia, infraštruktúra, procesy Čo je cieľom testu najhoršie scenáre Z akej perspektívy, akého útočníka majú testy simulovať interný vs. externý, znalosť prostredia Dopad na testované ciele, výber prostredí testovacie vs. produkčné Doba realizácie, Metodika, Správa,

METODIKA

Metodika Zaistí postup, úplnosť Webové - OWASP TG, OWASP TOP 10 Mobilné - MSTG, MASVS Rôzne - OSSTMM, PTES

VÝSTUPY TESTOVANIA

Výstupy testovania Manažérske zhrnutie Popis testov Popis zistení / prienikov Odporúčané opatrenia Na vyžiadanie aj iné.. Screenshoty, videá..

Výsledky hodnotenie závažností Zjednodušené - nízka - critical CVSS bez vzdialeného prístupu nepoužiteľná OWASP DREAD OWASP RISK

RIZIKÁ SPOJENÉ S TESTOVANÍM

Riziká spojené s testovaním NEINVAZÍVNY PENETRAČNÝ TEST NEEXISTUJE

Riziká spojené s testovaním DoS Poškodenie dát Veľké množstvo nových záznamov Hostingové služby Testovanie DoS

NEDOSTATKY PRI ZADANÍ TESTU

Nedostatky pri zadaní testu Druh testu Garancia negatívneho dopadu Vopred požadované scenáre DoS a DDoS Nedostatočné podklady

Nedostatky pri zadaní testu Bez možnosti vidieť aplikáciu vopred Časové obmedzenia Chýbajúce dáta Zbytočné testy Chýbajúca súčinnosť kontaktná osoba

Viac Info: http://bit.ly/2dpdsey ĎAKUJEM ZA POZORNOSŤ

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář