Co se děje za Firewallem Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?
Odkud hrozí útok? Internet Vnitřní LAN Vnitřní LAN Vnitřní LAN
Mám firewall jsem klidný opravdu? Kdy firewall neochrání vnitřní? síť? - dva příklady za všechny. Uživatel přijme a spustí soubor přes šifrovaný kanál. Uživatel klikne na https odkaz v okně chatu. Uživatel neuváženě potvrdí zavádějící dotaz aktivní části webové prezentace a stane se obětí sociálního inženýrství. Není lepší prověřit, zda je vnitřní síť skutečně odolná aktuálním hrozbám?
Co může být ve vnitřní síti ohroženo? Typický stav Do sítě jsou připojena nepovolená zařízení (notebooky, AP), na kterých nejsou vynucena stanovená bezpečnostní pravidla. Zařízení nejsou správně konfigurována (otevřené porty, přístupné soubory, povolena nevyužívaná volání web serveru, atp.). Nejsou použity poslední verze SW nebo aplikovány poslední opravy na všech zařízeních. Aktuální stav zranitelnosti elementů v síti lze ověřit jejich otestováním.?
Test zranitelnosti Podstata Pozorování a analýza provozu v síti Zjištění zranitelností Provedení simulovaných útoků Vygenerování reportu Metody použité pro identifikaci hostů: ICMP, TCP ports, UDP ports, DNS, Reverse DNS, DNS zone transfer, TCP RST, Traceroute, Other protocols Provedení Sonda v síti samostatně provede vybrané úlohy SW vygeneruje reporty
Penetrační test vs. vulnerability scan Položka Penetrační test Test zranitelnosti Úplnost, složitost velká omezená Časová náročnost týdny dny Automatické skenování ano ano Využití široké palety testovacího SW ano jeden Manuální práce ano minimální Práce mnoha bezpečnostních specialistů ano Cena n x 100.000 Kč od 8.000 Kč* ne * Provedení základního testu, předání reportu se základním komentářem
Výhody testu zranitelnosti Rychlé získání přehledu o stavu sítě za minimální náklady. Možnost opakování testů. Většinu nedostatků opravíte sami podle doporučení. Můžete se zaměřit na kritické aplikace a objednat si penetrační test zaměřený jen na ně. Více než 2500 známých otisků (signatur) útoků lze využít nejen k identifikaci a zastavení útoků, ale i k simulaci útoků a kontrole odolnosti elementů v síti. Test zranitelnosti bude prováděn na základě všech aktuálně známých zranitelností. FND (FortiGuard Distribution Network) = aktualizace signatur virů a známých útoků v reálném čase. Vazby na jiné zdroje FortiGate Vulnerability Encyclopedia Vazba na CVE (Common Vulnerabilities and Exposures): http://cve.mitre.org Vazba na Bug Traq Kategorizace hrozeb podle pravidel PCI DSS (Payment Card Industry Data Security Standard)
Průběh testu zranitelnosti 1. Seznámení s LAN (topologie sítě, adresní plán, ) 2. Vhodné umístění/zapojení sondy 3. Vhodný typ testu jen scan nebo i simulovaný útok? Certifikovaný test? stupeň agresivity, a další 4. Konfigurace konkrétního nastavení úloh v testu čas spuštění, vyřazení některých prvků z testu, atd. 5. Průběh testu Network Discovery > Scanning > Simulovaný útok > Reporting 6. Předání reportů, diskuse
Ukázka reportu summary report Kategorizace: aplikací, provozu, služeb
Ukázka reportu detail Systém detekuje OS na strojích
Ukázka reportu detail Systém detekuje běžící služby Další dělení na TCP/UDP
Ukázka reportu detail Detail služeb pro konkrétní stroj
Ukázka reportu detail zranitelnosti a doporučení Detailní reporty obsahují doporučená nápravná opatření dle FortiGate Vulnerability Encyclopedia. Postupy na opravu zranitelností, které byste hledali hodiny, máte k disposici pod aktivním odkazem v reportu.
Vypořádání rizik a další časté otázky Q: Nenakazí se moje síť během testu? Nezpůsobí test kolaps mých síťových prvků vlivem nestandardní zátěže? A: K nákaze dojít nemůže. Ke kolapsu dojít může, ale jedná se o plánovaný kolaps, doporučujeme provádění testů mimo exponované/kritické pracovní období. Je možné určit stupeň agresivity testu a tím ovlivnit míru zátěže. Test je vzdáleně monitorován. Q: Mohu v případě jakýchkoliv problémů test ukončit? A: Ano. A to jak vypnutím sondy, tak dohodou s administrátorem testu. Q: Jak dlouho bude test probíhat? A: To závisí na počtu elementů v síti a na zvoleném typu testu a jeho parametrech. Průměrně jde o několik hodin až několik desítek hodin. Průběh testu je možné sledovat a určit fázi, ve které se aktuálně nachází. Q: Jak je zabezpečeno, že nedojde k úniku citlivých informací po provedení testu? A: Právně (závazek ve smlouvě, možnost uzavřít separátní NDA), procesně (pravidla pro chování techniků provádějící test), technicky (zařízení, které je k testování využito, je certifikované a bezpečné). Q: Jak rychle po objednání je možné test spustit? A: Vřádu dnů od objednání, v případě dostupnosti specialisty, který testy provádí, v řádu hodin.
Návaznost testu odolnosti na produkty GTS
Děkuji za pozornost Prezentoval Václav Molík Ředitel úseku zákaznických projektů vaclav.molik@gtsce.com +420 777 794 334 Další (obchodní) kontakty Tomáš Pfeffer Ředitel pro státní správu tomas.pfeffer@gtsnovera.cz GTS Czech s.r.o. Přemyslovská 43 130 00 - Praha 3 Tel: 800 990 990 Michal Ruda Viktor Pleštil Ředitel strategických projektů Manažer pro státní správu michal.ruda@gtsce.com viktor.plestil@gtsce.com +420 606 661 162 +420 602 108 222 One Region One Network One Offer WWW.GTS.CZ