Interpretace výsledků penetračních testů. Mgr. Karel Miko, CISA miko@dcit.cz DCIT, a.s., http://www.dcit.cz



Podobné dokumenty
Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Jak zorganizovat penetrační testy a nespálit se. Jiří Vábek Komerční banka, a.s.

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Penetrační testování

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

1.1 Zátěžové testování

PŘÍLOHA C Požadavky na Dokumentaci

Bezpečnost intranetových aplikací

SPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE

Zabezpečení mobilních bankovnictví

Jak testovat software v praxi. aneb šetříme svůj vlastní čas

Strategie, architektury a projekty jako nástroj řízení IT ve veřejné správě

TECHNICKÉ POŽADAVKY NA NÁVRH, IMPLEMENTACI, PROVOZ, ÚDRŽBU A ROZVOJ INFORMAČNÍHO SYSTÉMU

PENETRAČNÍ TESTY CYBER SECURITY

Penetrační testy v IP telefonii Filip Řezáč Department of Telecommunications VSB - Technical University of Ostrava Ostrava, Czech Republic

MEZINÁRODNÍ AUDITORSKÝ STANDARD ISA 530 VÝBĚR VZORKŮ

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

ZADÁVACÍ DOKUMENTACE VEŘEJNÉ ZAKÁZKY

Aktuální otázky provozu datových skladů PAVEL HNÍK

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Zkušenosti nejen z provozu Portálu občana. Jan Vlasák NAKIT Miroslav Vacula Jihomoravský kraj Václav Koudele - Microsoft

Architektura informačních systémů. - dílčí architektury - strategické řízení taktické řízení. operativní řízení a provozu. Globální architektura

Testování softwaru. 10. dubna Bořek Zelinka

SKUPINA 6. Jitka KAZIMÍROVÁ. Lektor: Allianz pojišťovna. Téma: Zkušenosti s outsourcingem IT auditu

Hledání na nova.prace.cz Změny v hledání na Prace.cz a co to znamená pro zadavatele inzerátů Červenec 2015

Jak vybrat správný firewall. Martin Šimek Západočeská univerzita

Audit bezpečnosti počítačové sítě

Bezpečnost sítí

Security. v českých firmách

Provozní hlediska systémového auditu v aplikacích a systémech

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA DCIT, a.s.,

Bezpečnost ve vývoji webových aplikací

OVLÁDÁNÍ APLIKACE NIS MEDEA

End-to-end testování. 26. dubna Bořek Zelinka

Sportovní soukromá základní škola Litvínov s.r.o. Podkrušnohorská 1677, Litvínov,

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Elektronická pošta. Miloš Wimmer

Fresco Hydra.NET. modul Server

Z á k l a d n í š k o l a V s e t í n, T r á v n í k y

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

ZÁVAZNÉ FUNKČNÍ A TECHNICKÉ POŽADAVKY ZADAVATELE NA PROTOTYP

Zavádění projektového řízení ve společnosti

Čl. 2 Princip posuzování změn v objektu nebo zařízení změny v řízení bezpečnosti nové poznatky změny v provozu

Návrh softwarových systémů - úvod, motivace

PENETRAČNÉ TESTY. Prevencia pred únikom dát

financnasprava.sk Portál Technologie Microsoft zjednodušují komunikaci občanů s Finanční správou SR a činí výběr daní transparentnějším.

Spisová služba a dokumentový systém pro veřejnou správu

A7B36SI2 Tematický okruh SI11 Revidoval: Martin Kvetko

Práce s ovými schránkami v síti Selfnet

VPN Bezpečnostní souvislosti

Hacking Jak reálná je tato hrozba? Jak se jí bránit?

Instrukce pro vzdálené připojení do učebny 39d

Základní principy obrany sítě II. Michal Kostěnec CESNET, z. s. p. o.

WINCOR NIXDORF. Certifikovaný PCI DSS auditor - QSA

PROVÁDĚCÍ SMLOUVA Č. 2. (č. ev. ČSÚ: S)

Zásady ochrany osobních údajů ve společnosti HIPPO, spol. s r.o.

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Zákon o kybernetické bezpečnosti

ČMIS Počítačová učebna = chytrá investice a zkušenosti s jejím financováním z fondů EU

STUDIJNÍ MATERIÁL PRO TECHNICKOU CERTIFIKACI ESET Business Edition, ESET Remote Administrator

Jak ochráníte svoji síť v roce 2015? Michal Motyčka

Security. v českých firmách

Instalace produktu Ontopia. ver (open-source verze)

GDPR v sociálních službách

Praktická aplikace legislativy v procesech e-fakturace. Mgr. Barbora Gaveau, LL.M. 16. května 2013

Jazz EDI GI Příručka uživatele

Nasazení nových modulů McAfee Seminář CIV (nejen) pro lokální správce

Analýza zranitelností databází. Michal Lukanič, Database Specialist

Implementace IPv6. Plán migrace. Příloha č. 1 Migrační plán. NÁZEV ZKRÁCENĚ IPv6. ředitel CEO. IT úsek IT CEO DATE VERSION V1.

Implementace finanční gramotnosti ve školní praxi. Analýza priorit cílů a jejich realizace při sestavování osobního finančního plánu

Aplikace a služba Money Dnes Publisher v deseti krocích

Michal Andrejčák, Klub uživatelů ŘS MicroSCADA, Hotel Omnia Janské Lázně, Cyber security Novinky / Statistiky.

Auditorské služby. Committed to your success

Řešení sporů, stížností a žádostí o chargeback. Občas se stane, že se vyskytne problém s objednávkou. V takovém případě vám rádi pomůžeme.

Zásady ochrany osobních údajů

Profesionální služby kolem Linuxu

zákonem, váže k subjektu (dodavateli, příp. subdodavateli) nikoliv k osobám u něj zaměstnaným, a slouží k prokázání zkušeností dodavatele.

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

Jazz pro Účetní (export) Příručka uživatele

Nezůstávejte stranou a zapojte se. Nemovitostní portál pro profesionály

Gymnázium a Střední odborná škola, Rokycany, Mládežníků 1115

Odstrašující příklady z IT praxe. Jan Vaněk a kolegové

Vzdálené připojení do sítě UP pomocí VPN

Testování uživatelského rozhraní internetové stránky společnosti České dráhy (cd.cz) A4B39TUR A2 Kateřina Cízlová

Zkušenosti z nasazení a provozu systémů SIEM

Obrana sítě - základní principy

Informační systém pro vedení živnostenského rejstříku IS RŽP

Příloha č. 3 Smlouvy Součinnost stran při poskytování některých plnění

Ondřej Caletka. 21. října 2015

ZÁSADY ZPRACOVÁNÍ OSOBNÍCH ÚDAJŮ

Obsah. Zpracoval:

A7B36SI2 Tematický okruh SI08 Revidoval: Martin Kvetko

Aplikační doložka KA ČR Ověřování výroční zprávy

Dopady spuštění základních registrů na subjekty územní samosprávy

Role forenzní analýzy

Úvod do problematiky spolupráce sociálního a zdravotního sektoru

Místní radiologické standardy, způsob jak zbohatnout?

Transkript:

Interpretace výsledků penetračních testů Mgr. Karel Miko, CISA miko@dcit.cz DCIT, a.s., http://www.dcit.cz

AGENDA K ČEMU BY (NE)MĚLY SLOUŽIT PENETRAČNÍ TESTY (NE)SPRÁVNÉ ZADÁNÍ PRO PENETRAČNÍ TEST VYPOVÍDACÍ HODNOTA PENTESTU -KDY (NE)PANIKAŘIT! PRÁCE S NÁLEZY BEZPEČNOST KONTRA FUKČNOST

K ČEMU BY (NE)MĚLY SLOUŽIT PENETRAČNÍ TESTY? K čemu rozhodně ANO K čemu rozhodně NE Především: Ověření reálné odolnosti systému Lze zhodnotit efektivitu procesů dohledu/monitoringu (ve variantě přepadovka ) Může obsahovat netradiční metody (DoS útoky, trojské koně, sociální inženýrství, ) Lze najít chyby v custom kódu (ty nejsou v globálních DB zranitelností) Zkoumá jen to, co je zjistitelné po síti (nezhodnotí nastavení řady věcí uvnitř systému) Nedává ucelený obraz o bezpečnosti systému Není vhodný pro testování izolovaných komponent Nenahrazuje code review Black-box varianta negarantuje prověření 100% systému (zejména u aplikací)

Co je penetrační test Vymezení pojmu penetrační test (pro jistotu) Penetrační test je posouzení úrovně bezpečnosti metodou pokusu o průnik do testovaného systému / databáze / sítě / Zcela jednoznačně se jedná o technickou formu posouzení (auditu) bezpečnosti Metodami i použitými nástroji blízký reálnému útoku (nejedná se o pouhé spuštění nástroje/scanneru) Penetrační test má mnoho variant (interní, externí, aplikační, wifi, dialup, bluetooth, ) Občas bývá za penetrační test chybně považován Vulnerabity Assessment Jedná o čistě mechanickou/strojovou záležitost (false-positives) Neobnáší demonstraci nalezených slabin (stačí méně knowhow)

(NE)SPRÁVNÉ ZADÁNÍ PRO PENETRAČNÍ TEST (1) Co je možné podrobit penetračnímu testu? Testovat lze prakticky cokoli u čeho existuje riziko nabourání Což často vede k megalomanským zadáním Nutno balancovat šířku a hloubku testů (musí zadavatel) Čím širší a/nebo hlubší tím dražší Prověřit penetračním testem veškerá zařízení? U externího testu (z Internetu) ANO U interního: firma 60+ zaměstnanců neefektivní U interního: firma 200+ zaměstnanců téměř nereálné Nestačí zadat naše interní síť = 100 serverů + 1000 stanic Je možné (a běžné) kombinovat penetrační test (detailní) s vulnerability assessmentem (pouze strojový)

(NE)SPRÁVNÉ ZADÁNÍ PRO PENETRAČNÍ TEST (2) Obyčejný pentest vs. pentest WWW aplikací Dnes v podstatě samostatné disciplíny V zadání penetračního testu je vhodné explicitně zmínit, zda je požadování důkladné prověření WWW aplikací Zadání testu WWW aplikací je složitější (testovací účty, ) WWW aplikace má smysl testovat jak z Internetu tak zevnitř Výsledky penetračních testů velmi rychle zastarávají Pokud nezpracujete výsledky do cca 6 měsíců, významně ztratí na vypovídací hodnotě Raději rozdělte test v čase do několika samostatných etap Zcela nesrozumitelné zadání Nabídněte cenu testu 1 IP adresy (my si to vynásobíme sami)

(NE)SPRÁVNÉ ZADÁNÍ PRO PENETRAČNÍ TEST (3) Rozsah testů lze omezit i časem Poptáváme specialistu na 3 dny on-site testů (ať se ukáže, kam se dostane) Lze, ale musíme vědět, co chceme zjistit Používá se zejména u obtížně ohraničitelných testů (např. test odolnosti velkých MS Windows prostředí) Custom aplikace testovat při dodávce (před releasem) Speciálně u WWW aplikací je penetrační test vhodné akceptační kritérium před spuštěním do provozu Pozor: i menší upgrade může vnést do aplikace zásadní slabiny Testování krabicových aplikací Poměrně běžně obsahují celkem závažné slabiny Uvědomte si, že děláte práci (platíte) za výrobce SW

VYPOVÍDACÍ HODNOTA PENTESTU KDY (NE)PANIKAŘIT! (1) Penetrační test nemá z principu ambici dát úplnou informaci o stavu bezpečnosti Nestačí mít 99% systému v pořádku, tester se snaží najít to 1% (v případě průniku je jedno, jestli bylo špatně 1% nebo 50%) Tester postupuje cestou nejmenšího odporu pokouší se proniknout přes nejslabší místa (zbytek není až tak zajímavý) V případě průniku obvykle test končí (nelze vyloučit, že může existovat i další možnost napadení) Penetrační test není žádné teoretizování Demonstrovaný průnik je obvykle tvrdá realita a lze jej jen velmi obtížně zpochybnit Pokud se do systému nabourá specialista (v řádu jednotek dní) může totéž dosáhnout např. technicky zdatný zaměstnanec

VYPOVÍDACÍ HODNOTA PENTESTU KDY (NE)PANIKAŘIT! (2) Když test nic nenajde buďte na pozoru Buď je testovaný systém dobře zabezpečen nebo testy nebyly dostatečně důkladné Např. tlak na cenu omezení kapacit menší detail testu Obtížně zhodnotit, neboť obvykle není test s čím srovnat (paralelní test od různých dodavatelů není obvyklý) Kvalita testera se srovnává obtížně Není nález jako nález Pentest by neměl obsahovat false-positives nálezy Vyžadujte ke každému nálezu doporučení (byť by mělo být částečně obecné) Neděste se: někdy i na první pohled závažné nálezy lze akceptovat

PRÁCE S NÁLEZY(1) Nálezy je nutné kategorizovat Základní ohodnocení nálezů podle závažnosti provede dodavatel (např. high, medium, low) je to pouze jeho názor Rozdělte si nálezy podle vlastních priorit, ty nemusí být identické s pohledem dodavatele Zohledněte, které opatření budete implementovat vlastními silami (zohledněte své kapacity) a které přenesete na externisty Získejte maximum doplňujících informací Prodiskutujte s dodavatelem praktickou zneužitelnost odhalených zranitelností, tester má často k dispozici pouze jeden úhel pohledu Využijte specialistů (na konzultace/diskuze) dokud projekt běží, po podpisu akceptačního protokolu to bude obtížnější

PRÁCE S NÁLEZY(2) Ověřovací (nikoli opakované) testy Pokud se s dodavatelem dohodnete předem, obvykle je schopen provést po opravách velmi rychlé ověření (1-2 člověkodny) Obvykle nepotřebujete zopakovat celý test (pokud, tak s delším časovým odstupem) Nálezy a jejich opravy v aplikacích Bývají nejnáročnější nejedná se o úpravu nastavení nýbrž o změny v kódu (J2EE,.NET, ) Ve většině případů nejste schopni vyřešit vlastními silami Optimální je mít s dodavatelem smluvně podchyceno, že závažné bezpečnostní chyby odstraní jako reklamaci (koneckonců jste mu za své peníze našli defekty v jeho díle)

BEZPEČNOST KONTRA FUKČNOST Penetrační test si kupujete, aby chyby hledal (ne řešil) Tester objektivně nemusí být schopen navrhnout správné řešení (nezná celý kontext, jeho specializace je chyby hledat) Najít slabinu je často jednodušší než ji napravit Některá doporučení mají povahu hraběcí rady (diskutujte je) Ne každá nebezpečná věc se dá vypnout Občas apriori odpor: když to funguje, tak to nebudeme měnit Všechny nálezy pentestu pravděpodobně nevyřešíte U interního testu je téměř pravidlem U starších aplikací bývají jakékoli změny obtížné Tradiční protipóly funkčnost vs. bezpečnost Business požadavky často proti bezpečnosti např. neobtěžovat heslem, zavirovaný klient taky klient,

Děkuji za pozornost Kontakt: Karel Miko DCIT, a.s. miko@dcit.cz V případě zájmu: Podrobnější informace a vzory výstupních zpráv interních i externích penetračních testů na požádání e-mailem

2025 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář