PENETRAČNÍ TESTY CYBER SECURITY

Podobné dokumenty
CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Obrana sítě - základní principy

Analýza zranitelností databází. Michal Lukanič, Database Specialist

Bezpečnostní výzvy internetu věcí z pohledu praxe Marek Šottl, Karel Medek public -

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

1.1 Zátěžové testování

1.05 Informační systémy a technologie

Úvod - Podniková informační bezpečnost PS1-2

1.05 Informační systémy a technologie

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

CYBERSECURITY INKUBÁTOR

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

INTERNÍ TECHNICKÝ STANDARD ITS

KLASICKÝ MAN-IN-THE-MIDDLE

BEZPEČNÁ SPRÁVA KLÍČŮ POMOCÍ HSM. Petr Dolejší Senior Solution Consultant

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Představení Kerio Control

Z internetu do nemocnice bezpečně a snadno

Penetrační testování

1. Organizace dokumentu. 2. Zabezpečení jako priorita. 3. Cloudová infrastruktura Hybrid Ads

Návrh a implementace bezpečnosti v podnikových aplikacích. Pavel Horal

Technická dokumentace veřejné zakázky malého rozsahu s názvem Penetrační testy aplikací TCPK Čl. 1. Úvodní ustanovení

PETR MAZÁNEK Senior systemový administrátor C# Developer

ISMS. Autentizace ve WiFi sítích. V Brně dne 5. a 12. prosince 2013

PB169 Operační systémy a sítě

České Budějovice. 2. dubna 2014

IP kamery Relicam. Verze 2 UŽIVATELSKÝ MANUÁL

Specifikace Části 1 Hacking

HP JetAdvantage Management. Oficiální zpráva o zabezpečení

Případová studie O2 SVĚT. Microsoft Azure zefektivňuje řízení prodejní sítě v O2 Slovakia

Implementace IPv6. Plán migrace. Příloha č. 1 Migrační plán. NÁZEV ZKRÁCENĚ IPv6. ředitel CEO. IT úsek IT CEO DATE VERSION V1.

Bezpečnost sítí, Firewally, Wifi. Ing. Pavel Píše

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Flow Monitoring & NBA. Pavel Minařík

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Testování softwaru. 10. dubna Bořek Zelinka

Koncept centrálního monitoringu a IP správy sítě

Efektivní řízení rizik webových a portálových aplikací

Enterprise Mobility Management

Správa stanic a uživatelského desktopu

Vývoj Internetových Aplikací

CCNA I. 3. Connecting to the Network. CCNA I.: 3. Connecting to the network

Vulnerabilities - Zranitelnosti

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

Technická opatření dle zákona o kybernetické bezpečnosti verze 1.0

Vzdálený přístup k počítačům

Dell SonicWALL. Security tips & tricks. Jan Ježek business communication s.r.o.

Zkušenosti z nasazení a provozu systémů SIEM

ANECT, SOCA a bezpečnost aplikací

Jak eliminovat rizika spojená s provozem nedůvěryhodných zařízení v síti? BVS. Jindřich Šavel NOVICOM s.r.o

Technická specifikace soutěžených služeb

Informace, lidské zdroje a technologie: Klíčové faktory pro zajištění kybernetické bezpečnosti

Bezpečnost IS. Základní bezpečnostní cíle

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Projekt podnikové mobility

RDF DSPS ROZVOJ PORTÁLU

PENETRAČNÉ TESTY. Prevencia pred únikom dát

Nasazení bezpečnostního monitoringu v praxi. Jan Svoboda AEC

Bezpečnost webových stránek

Citidea monitorovací a řídicí centrála pro smart řešení

Bezpečnost SingleCase

Cisco Networking Accademy. 7. Bezdrátové sítě (Wireless Networks)

Bezpečnostní aspekty informačních a komunikačních systémů KS2

Zabezpečení mobilních bankovnictví

Audit bezpečnosti počítačové sítě

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Bezpečná výměna souborů mezi vnitřní a vnější sítí organizace. Autor: Martin Hanzal, CTO SODATSW spol. s r. o., Horní 32, Brno, Czech Republic

Identifikátor materiálu: ICT-2-05

Počítačová síť ve škole a rizika jejího provozu

ELVAC a.s. ELVAC SOLUTIONS Strojní inženýring Elektroinženýring Software KATALOG ŘEŠENÍ

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

Business impact analýza a zvládání rizik spojených s provozem nedůvěryhodných zařízení BVS. František Sobotka NOVICOM s.r.o

Systém zabezpečení dat

Bezpečnostní projekt Případová studie

Téma bakalářských a diplomových prací 2014/2015 řešených při

& GDPR & ŘÍZENÍ PŘÍSTUPU

PROVOZOVÁNÍ PRIVATE CLOUD VE VEŘEJNÉ SPRÁVĚ

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

Konfigurace WDS režimu u produktů bezdrátových AP a routerů Tenda

AleFIT MAB Keeper & Office Locator

MST - sběr dat pomocí mobilních terminálů on-line/off-line

TOP 10 produktů a služeb

Network Security. Dell SonicWALL portfolio. Jan Ježek business communication s.r.o.

Informační bezpečnost. Dana Pochmanová, Boris Šimák

Bezpečnost ve vývoji webových aplikací

EMBARCADERO TECHNOLOGIES. Jak na BYOD chytře? Možnosti zapojování různých mobilních zařízení do podnikových informačních systémů.

Řízení privilegovaný účtů

Bezpečnost sítí

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Správce IT pro malé a střední organizace

Uživatel počítačové sítě

Administrační systém ústředen MD-110

ICZ - Sekce Bezpečnost

Kompletním IT Servery Počítačové sítě Docházkové systémy Počítačové stanice Tiskárny Zabezpečovací systémy Kamerové systémy IP telefony VoIP

Co je Symantec pcanywhere 12.0? Hlavní výhody Snadné a bezpečné vzdálené připojení Hodnota Důvěra

Transkript:

PENETRAČNÍ TESTY CYBER SECURITY

Prověření bezpečnosti systému Cílem penetračního testu je prověření účinnosti a robustnosti bezpečnostních mechanismů sloužících k ochraně zdrojů / dat / služeb před neoprávněným přístupem, modifikací či destrukcí Penetrační testy INTERNÍ ze strany uživatelů dané sítě (zaměstnanců, studentů na stáži apod.) EXTERNÍ ze strany uživatelů vnější sítě / internetu. Důraz je kladen na odhalení co největšího počtu závažných zranitelností a nalezení způsobu jejich zneužití k úspěšnému prolomení / obejití bezpečnostních mechanismů. Po ukončení testování budou nalezené zranitelnosti a způsoby jejich zneužití včetně ohodnocení z pohledu závažnosti přehledně shrnuty a diskutovány v závěrečné zprávě. Uvedeno bude rovněž doporučení k jejich odstranění. Po provedení testů tak bude možno zodpovědět následující otázky: Kde se nachází slabá místa systému z pohledu testované role / testovaných rolí? Jaká je pravděpodobnost, že budou nalezená slabá místa odhalena a zneužita? Jaká rizika pro systém představuje jejich zneužití? Jakým způsobem lze riziko snížit, případně zcela eliminovat? 02

Metodika a obecný postup testování Testování probíhá dle vlastní metodiky, která vychází primárně z metodik: OWASP v4 (The Open Web Application Security Project) OSSTMM (The Open Source Security Testing Methodology Manual). Postup testování lze rozdělit do 6 fází: 1. Identifikace cílů 2. Detekce aplikací, služeb, dat a komunikace 3. Identifikace zranitelností 4. Penetrační testování 5. Hledání hranice zneužití bezpečnostních mezer 6. Tvorba závěrečné zprávy 03

1. IDENTIFIKACE CÍLŮ V první fázi je pozornost zaměřena na lokalizaci předmětu testování. Typicky zařízení dostupných v síti z pohledu dané role (např. serverů, pracovních stanic, aktvních síťových prvků, atd.). 2. DETEKCE APLIKACÍ, SLUŽEB, DAT A KOMUNIKACE Druhá fáze se věnuje detekci a identifikaci aplikací/služeb, které se na nalezených zařízeních nachází, a také způsobu, jakým mezi sebou komunikují. Předmětem zájmu jsou tedy typicky operační systémy/firmware, protokoly, (otevřené) porty, servery (aplikační, poštovní, souborový) apod. Vyhledávána jsou rovněž dostupná data. 3. IDENTIFIKACE ZRANITELNOSTÍ Způsob identifikace zranitelností je silně závislý na použitých technologiích a zjištěných informacích. Na počátku je typicky využito automatizovaných nástrojů, v závislosti na výsledcích těchto testů je pak použito nástrojů specializovaných. Podaří-li se aplikaci, službu či způsob komunikace dostatečně identifikovat, bývá využito rovněž seznamů známých zranitelností. Speciální pozornost je věnována nesprávné konfiguraci (např. nezabezpečenému přenosu citlivých informací, či použití slabých šifrovacích schémat). 4. PENETRAČNÍ TESTOVÁNÍ Snaha o zneužití nalezených zranitelností, či kombinace zranitelností pro realizaci neoprávněného přístupu. I zde je typicky využíváno specializovaných nástrojů. Pozornost bývá typicky věnována například: Útokům na způsob komunikace Man-In-The-Middle Packet Sniffing Port Stealing ARP Cache Poisoning DHCP Spoofing Host File Poisoning Útokům na autentizační mechanismus Dictionary / Hybrid Crack / Brute-Force Attack Session Hijacking Uživatelským právům Eskalace privilegií Přístup k administrátorským rozhraním Útokům na autentizační mechanismus Buffer Overflow SQL Injection Code Injection Command Injection Directory Traversal 04

5. HLEDÁNÍ HRANICE ZNEUŽITÍ BEZPEČNOSTNÍCH MEZER Podaří-li se některý z útoků realizovat, probíhá v této fázi snaha o nalezení možnosti zneužití bezpečnostních mezer v co největší možné míře. Často se v této fázi opakují fáze 1-4. 6. TVORBA ZÁVĚREČNÉ ZPRÁVY Sumarizace nalezených zranitelností a bezpečnostních mezer Ohodnocení rizika Tvorba doporučení Předmět testování Síť / infrastruktura Aplikace Wi-fi, síťové prvky (FW, router,,..) Koncové stanice (desktop, mobil) Webové Mobilní Tlustý klient Použité nástroje Nástroje jsou vybrány na základě struktury sítě a použitých technologiích. Příkladem budiž následující: TCPDump WireShark Metasploit Nessus (ze)nmap Hydra Burp Suite OpenVAS aircrack-ng Arachni WVS sqlmap a další... Pro některé úzce specializované úkony bývá využíváno nástrojů vlastních, či modifikovaných. 05

Výchozí znalosti Penetrační testy mohou probíhat ve třech režimech s ohledem na znalosti, které jsou testerovi před započetím testů k dispozici. Jsou jimi tzv. Black-box, Grey-box a White-box testy. Black-box Tester nemá předem k dispozici žádné informace o síti, její architektuře, použitých technologíích, či konfiguraci. Tímto je simulován pohled hosta či útočníka, který se do vnitřní sítě dostal kupříkladu skrze nevhodně zabezpečený bezdrátový AP, případně přihlašovacími údaji legitimního uživatele získanými úspěšným phishingovým útokem. Grey-box V režimu Grey-box jsou testerovi předem dostupné informace, které má uživatel v testované roli typicky k dispozici. Simulován je tak kupříkladu útok ze strany zaměstnance. White-box V režimu White-box má tester k dispozici maximální množství dostupných informací o systému. Cílem je minimalizovat čas věnovaný (často zdlouhavému) získávání informací a naopak maximalizovat čas pro hledání bezpečnostních mezer. V tomto režimu je vyžadována úzká spolupráce s administrátory systému. Typicky bývá požadován například nákres topologie a logiky sítě, použitý HW (typ, verze firmware, konfigurace), použitý SW (verze, konfigurace), způsob logování a následné nakládání s logy, případně také bezpečnostní politika organizace (např. informace o tvorbě a správě uživatelských účtů, či politice tvorby hesel). 06

Faktory ovlivňující cenovou nabídku Rozsah systému IT IP adresy služby PC / mobilní zařízení počet mutací webové aplikace (např. pro desktop, mobil, záložní system - pro případ havárie) Ostatní systémy přístupový systém kamery alarm protiživelné zabezpečení (požár, voda) Uživatelé / zaměstnanci Dostupné informace Black / Grey / White Box čím méně informací, tím náročnější (dražší) práce, nebo (potenciálně) horší výsledky v dané časovém rámci Přístup Interní vs. externí (z internetu vs. z vnitřní sítě) Role Host Zaměstnanec Admin Způsob práce Automatizovaný vs manuální 07

Typ prostředí Produkce vs. testovací Časový rámec vyhrazený pro testování Kdykoli (24x7) Mimo pracovní dobu O víkendech Použitá metodika OWASP Top 10 OWASP Testing Guide OSSTMM Vlastní Rozsah závěrečné zprávy Přehledová vs. detailní Úroveň (hloubka) popisu zranitelností / doporučení Dle počtu nálezů Prezentace u zákazníka Výsledky analýzy / testů Školení správců / uživatelů s ohledem na výsledky Prezentace u zákazníka Po opravě Periodicky 08

Společnost XEVOS Solutions poskytuje komplexní IT řešení od systémové integrace, servisu a podpory, přes cloudová, serverová, REFERENCE síťová a tisková řešení, až po dodávky HW a SW vybavení. Našim cílem je pomáhat organizacím i jednotlivcům zvyšovat efektivitu a chránit jejich činnosti a podnikání. V posledních letech se velmi úzce specializujeme na oblast kybernetické bezpečnosti a s tím související ochranu našich zákazníků. Mezi primární aktivity společnosti patří především IT podpora a servis HW i SW řešení, kde se profilujeme jako nezávislý servisní partner. Tyto služby poskytujeme jak na našich pobočkách tak především onsite přímo u našich zákazníků. V oblasti servisu veškerých PC zařízení, periferií a komponent jsme vytvořili servisní centrum, ve kterém zajišťujeme opravy všech běžně dostupných značek na trhu. Provádíme záruční i pozáruční opravy. Nabízíme serverová, cloudová i klientská řešení pro firmy a domácnosti při využití platforem PC i MacOS, tiskových řešení, prezentační techniky, tabletů i chytrých telefonů. Veškeré implementace a odborné práce realizované společností XEVOS provádějí odborně vyškolení specialisté, kteří úspěšně absolvovali náročné zkoušky, testy a jsou držiteli prestižních certifikátů světových firem. Tyto certifikáty, společně s velkými praktickými zkušenostmi, dokazují naši vysokou odbornost a kvalitu. CERTIFIKACE

+420 591 140 315 ostrava@xevos.eu XEVOS Solutions s.r.o., 28. října 1584/281, 709 00 Ostrava www.xevos.eu

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář