Zkušenosti s realizací penetračních testů

Podobné dokumenty
I.-II. Páteřní optická síť kraje Vysočina

současný stav a další rozvoj Martin Procházka Kraj Vysočina

Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze leden 2015

Páteřní optická síť kraje Vysočina

Služby sítě pro organizace veřejné správy

Realizace datového centra kraje Vysočina Regionální SAN kraje Vysočina

Bezpečnostní politika a dokumentace

DIGITALIZAČNÍ PROJEKTY KRAJE VYSOČINA. Portál digitálního kulturního dědictví Kraje Vysočina. Listopad 2017

15 let federace eduroam. Jiří Bořík CESNET konference e-infrastruktury CESNET

Provedení penetračních testů pen-cypherfix2016

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Zásady pro udělování a užívání značky Kraj Vysočina DOPORUČUJE PRO BEZPEČNÝ INTERNET verze červen 2012

Konsolidace zálohování a archivace dat

Bezpečnost aktivně. štěstí přeje připraveným

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Fond Vysočiny GP Informační a komunikační technologie Martina Rojková

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Strategie bezpečnosti ICT Kraje Vysočina

Zásady pro udělování a užívání značky Kraj Vysočina ebezpečná škola verze duben 2015

eduroam v kostce aneb šest pohledů na mobilní wifi CESNET Day v Liberci

Digitalizace archivu města Brna

Bezpečnost na internetu - situace na Vysočině. Lucie Časarová, Kraj Vysočina Květen 2013

Zákon o kybernetické bezpečnosti základní přehled. Luděk Novák ludekn@ .cz,

Služby e-infrastruktury CESNET

Propojujeme nejen český internet. Martin Semrád. #InstallFest Praha,

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Implementace protokolu IPv6 v síti VŠE a PASNET. Ing. Miroslav Matuška Ing. Luboš Pavlíček

Strategie sdružení CESNET v oblasti bezpečnosti

IPv6 v CESNETu a v prostředí akademických sítí

Profesionální a bezpečný úřad Kraje Vysočina

Naplňování evropského nařízení GDPR v podmínkách Statutárního města Kladna. Ing. Zdeněk Slepička tajemník Magistrátu města Kladna

Implementace ZKB. Ing. Miroslav Jaroš. Energetický regulační úřad.

Praktické zkušenosti s nasazením. na KÚ Vysočina v oblasti ehealth. Libor Neumann, ANECT a.s. Petr Pavlinec, KÚ Vysočina. Pojednání o PEIGu 1

CESNET A SÍŤ ZČU. Michal Petrovič

Role forenzní analýzy

Obrana sítě - základní principy

BEZPEČNOST. Andrea Kropáčová CESNET Praha

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

JSEM ELEKTRONICKÁ IDENTITA. VĚŘÍTE MI? Jiří Bořík CESNET Olomouc

Popis služeb, které jsou provozovány na síti ROWANet k

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Seminář o bezpečnosti sítí a služeb. 11. února CESNET, z. s. p. o.

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Není cloud jako cloud, rozhodujte se podle bezpečnosti

Jarní setkání

CESNET A SÍŤ ZČU. Michal Petrovič

STUDIE PROVEDITELNOSTI

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Cyber Security GINIS. Ing. Igor Štverka GORDIC spol. s r. o.

Big Data a bezpečnost. Andrea Kropáčová, andrea@cesnet.cz CESNET, z. s. p. o.

Bezpečnostní politika společnosti synlab czech s.r.o.

Jednotný NIS Prezentace k zahájení projektu pro Radu kraje Vysočina. Projektový manažer - Ing. Ivan Sokolov, Ph.D.

Hardware - minulý rok

Analýza zranitelností databází. Michal Lukanič, Database Specialist

MOŽNOSTI FINANCOVÁNÍ PROJEKTŮ EGOVERNMENTU A KYBERNETICKÉ BEZPEČNOSTI Z INTEGROVANÉHO REGIONÁLNÍHO OPERAČNÍHO PROGRAMU (IROP) V PROGRAMOVÉM OBDOBÍ

Popis projektu. Elektronický archiv kraje Vysočina

Roamingová politika. federace eduroam.cz

Historie, současnost a budoucnost sdružení CESNET. Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o Praha

Security. v českých firmách

Vyberte takový SIEM, který Vám skutečně pomůže. Robert Šefr

Příloha č. 6 ZD - Požadavky na členy realizačního týmu

Realizace datového centra kraje Vysočina SAN kraje Vysočina

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Bezpečnost sítě CESNET2. Andrea Kropáčová, CESNET, z. s. p. o.

Extrémně silné zabezpečení mobilního přístupu do sítě.

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

současný stav a další rozvoj Martin Procházka Kraj Vysočina

Představení e-infrastruktury CESNET Ing. Jan Gruntorád, CSc. ředitel CESNET, z.s.p.o.

Penetrační testy v IP telefonii Filip Řezáč Department of Telecommunications VSB - Technical University of Ostrava Ostrava, Czech Republic

Optická gigabitová páteř univerzitní sítě má kruhovou topologii s uzly tvořící dva kruhy propojenými v následujícím pořadí:

Ondřej Caletka. 21. října 2015

Efektivní řízení rizik ISMS. Luděk Novák, Petr Svojanovský ANECT a.s.

Univerzita Karlova, Ústav výpočetní techniky Ovocný trh 560/5, Praha 1. OPATŘENÍ ŘEDITELE č. 1/2018. Organizační struktura Ústavu výpočetní techniky

Důvěryhodná výpočetní základna -DVZ

BeeSIP ANEB BEZPEČNOST SILNIČNÍHO PROVOZU V IP TELEFONII

Y13ANW ÚVOD DO WEBOVÝCH METODIK. Ing. Martin Molhanec, CSc.

WEBFILTR živě. přímo na svém počítači. Vyzkoušejte KERNUN CLEAR WEB. Připojte se přes veřejně dostupnou WiFi síť KERNUN.

POMŮCKA K AUDITU BEZPEČNOSTNÍCH OPATŘENÍ PODLE ZÁKONA O KYBERNETICKÉ BEZPEČNOSTI. Verze 2.1

Čtvrtý faktor. Celostní pohled na vícefaktorovou autentizaci. Miroslav Nečas

Integrace datových služeb vědecko-výukové skupiny

Seminář IT pro příspěvkové organizace Kraje Vysočina. Únor 2015

Vulnerabilities - Zranitelnosti

Efektivní správa ICT jako základ poskytování služby outsourcing IT

IT služby pro obce a příspěvkové organizace

PÁTEŘNÍ AKADEMICKÁ SÍŤ ČESKÉ REPUBLIKY. Michal Petrovič

Nabídka kurzů k systému řízení bezpečnosti informací (ISMS) ČSN ISO/IEC 27001:2014

CESNET a akademická sféra , Josef Baloun, Systémový inženýr

Standardy/praktiky pro řízení služeb informační bezpečnosti. Doc. Ing. Vlasta Svatá, CSc. Vysoká škola ekonomická Praha

Bezpečná VLAN v NIX.CZ. Ing. Tomáš Hála ACTIVE 24, s.r.o.

Security. v českých firmách

Zákon o kybernetické bezpečnosti

Výzva k předkládání projektů č. 2 A. BEZPEČNOST ICT A ZÁLOHOVÁNÍ DAT B. VIRTUALIZACE

Projekty a služby sdružení CESNET v oblasti bezpečnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

PENETRAČNÍ TESTY CYBER SECURITY

Nasazení jednotné správy identit a řízení přístupu na Masarykově univerzitě s využitím systému Perun. Slávek Licehammer

Případová studie.

Ondřej Caletka. 13. března 2014

UŽIVATELSKÉ ŠKOLENÍ LOTUS NOTES

Obsah. Úvod 13. Věnování 11 Poděkování 11

Transkript:

Zkušenosti s realizací penetračních testů Spolupráce Kraje Vysočina se sdružením Cesnet Prosinec 2017 Petr Pavlinec, odbor informatiky KrÚ Kraje Vysočina

Jak to celé vzniklo? 2001 Vznik samostatných krajů 2003 Žádost Kraje Vysočina o připojení k Cesnet2 2004 zřízení linky Pardubice-Jihlava, podpis smlouvy o spolupráci a nepřímém připojování 2005 Podpis smlouvy o zabezpečení uzlu Cesnet2 Krajská síť ROWANet distribuuje služby Cesnetu do prvních 8 mi měst na Vysočině 2006 Přístup Kraje Vysočina k síti EDUROAM (50 AP) 2011 Získání PI IP rozsahu, přechod na IPv6, smlouva o propagaci PI s Cesnetem Spolupráce s CSIRT.CZ na projektu ecrime Vysočina 2013 Instalace projektu eiger a CERIT-SC v nové budově KrÚ Realizace spoje Cesnet2 - Bohdaneč (MVČR)

Jak to celé vzniklo? 2014 Smlouvy o využití linky Cesnet Jihlava-Humpolec, příprava projektu CzechLight Aktivní využívání eiger pro potřeby záloh a archivace 2015 Spolupráce při zapojení kraje do projektu FENIX Zapojení kraje do projektu FTAS 2016 - Společná příprava podmínek pro čerpání dotací z IROP (Vnitřní konektivita škol) 2017 Spolupráce s FLAB penetrační testy Krajský FTAS server, regionální řešení pro RADIUS... A společné semináře, školení, konzultace...

Penetrační testy - zadání Součást implementace opatření při zavádění ISMS a obhájení ISO27001 Smlouva: kdo bude testovat (jmenovitě kvůli NDA) odkud bude testováno (konkrétní IP adresy) co bude testováno (konkrétní IP adresy) kdy bude testováno (nejen z pohledu období, ale i z pohledu časových oken) cíle testování

Penetrační testy - cíl Cíle testování aneb odpovědět na otázky: Lze získat neoprávněný přístup k službám/datům/systémům? Lze neoprávněně modifikovat/zničit data? Lze narušit dostupnost služeb/systémů? Lze získat autentizační údaje? Lze zneužít infrastrukturu k útokům na sítě a služby jiných institucí? Existují zranitelnosti či techniky sociálního inženýrství, které mohou vést k předchozím bodům?

Penetrační testy - průběh Průběh testů: Testování probíhalo cca 1,5 měsíce Důležité informační systémy byly důkladně otestovány Všechny nálezy byly profesionálně prezentovány 123 zranitelností všech kategorií Některé kroky administrátory odhaleny Nejzávažnější nalezené nedostatky byly identifikovány v těchto oblastech: zpracování webových aplikací, segmentace sítě a řízení přístupu a politika hesel.

Penetrační testy - výsledky Výstupy z pohledu IT kraje Přes velkou snahu o omezení spustitelnosti aktivního kódu z dokumentových formátu byl útok touto cestou úspěšný (PDF) Obrovské množství webových aplikací a služeb znamená značné riziko pro vnitřní služby (zranitelnost aplikací, vývojářské chyby) Snadná napadnutelnost úředních procesů (formy phisingu) Překvapivě méně úspěšné sociální inženýrství na běžných uživatelých Existence nezdokumentovaných a zneužitelných backdoorů u dodavatelských systémů Politika hesel není nikdy dost přísná. Nereálné bez podpůrných systémů (vícefaktor, PAM,...)

Penetrační testy - výsledky Výstupy z pohledu manažerského a lidského Přístup FLABu byl profesionální Závěry a jejich detailní technická prezentace byla pro některé admini a manažery šok Nemalé riziko ve ztrátě motivace (hlavně u vývojářů) Lidský tlak na manažera bezpečnosti Nezbytnost práce s psychologickou složkou celých testů, prezentace výsledků a následných opatření Extrémně důležitá role top-managementu vysvětlení, závěry, výstupy

Penetrační testy - opatření Jaká opatření realizujeme Záplatujeme Zásadně měníme politiku hesel (nasazení PAM) Zmenšujeme náš povrch na internetu Větší kontrola vývoje a správa zdrojového kódu Připravujeme mikrosegmentaci sítě Připravujeme zásadní reinženýring AD/LDAP Dokumentuje, testujeme...... ä chystáme se na další penetrační testy ;-)

Děkuji Kontakt Krajský úřad kraje Vysočina Žižkova 57, Jihlava 587 33 www.kr-vysocina.cz Ing. Petr Pavlinec vedoucí odboru informatiky pavlinec.p@kr-vysocina.cz www.kr-vysocina.cz/it www.rowanet.cz

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář