, penetrační testy RNDr. Igor Čermák, CSc. Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze Igor Čermák, 2011 Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 10 MI-POA Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Informační bezpečnost (MI-IBE) 10.přednáška, penetrační testy 1
Prosazování požadavků bezpečnosti Výdaje na IT Výdaje za IT (zařízení, software, služby) v roce 2009 odhadovány na 101 mld. Kč (zdroj: průzkum IDC pro společnost Microsoft říjen 2009); z toho 47 mld. Kč - HW 19 mld. Kč - SW 35 mld. Kč - služby IDC předpokládá nárůst na 131 mld. Kč v roce 2013 Celosvětově předpokládá IDC ve stejném období nárůst z 1,4 bilionu USD na 1,7 bilionu USD. Gartner (duben 2009) odhaduje letos pokles o 4 % (IDC a Forrester predikují menší pokles) Více než polovina firem plánuje omezit IT rozpočty (Gartner duben 2009) 2
Výdaje na bezpečnost Často diskutovaný problém a předmět častých dotazů V řadě firem se výdaje na bezpečnost explicitně neměří (nemají zpracované příslušné metriky) Neexistuje jediné správné procento výdajů na bezpečnost z celkového objemu výdajů na IT Metodologické obtíže (výdaje na bezpečnost včetně personální, fyzické, ) a IT bezpečnost) Obvyklá doporučení: v rozmezí 5 20 % z IT rozpočtu (obvyklá hodnota 10 %) Data z výzkumu Forrester Research: velké společnosti vydávají na IT bezpečnost 7-13 % (růst 2007-2009); malé a střední firmy (SMB) 9-10 % Hlavním motivem: zabezpečení podnikových dat Výdaje na IT bezpečnost Hlavní investiční IT priority firem (výzkum Robert Half Technology v USA zveřejněný v 04/2009): 1. Bezpečnost (43%) 2. Virtualizace (28%) 3. Zefektivnění datových center (27%) 4. Internetová telefonie VoIP (26%) 5. Software as a Service - SaaS (26%) 6. Green IT (20%) 7. Business Intelligence (19%) 8. Sociální sítě (18%) 9. Web 2.0 (17%) 10. Outsorcing (16%) Závěr: společnosti přes napjaté IT rozpočty kladou velkou váhu na bezpečnostní projekty (zabezpečení dat, systémy pro prevenci ztrát dat, šifrování dat, Identity a Access Mngmt.) 3
Prosazování požadavků na bezpečnost Podle IDC zůstávají bezpečnostní problémy prioritou i v době recese: V době ekonomické krize lze očekávat další zesílení hrozeb včetně kybernetického zločinu IT oddělení musí být proti nim vybavena nejlepšími možnými nástroji Hackeři se vracejí ke starým technikám počítačoví podvodníci využívají praktiky legitimního podnikání Malware určený ke krádežím identity je na vzestupu Falešné antiviry se množí jako houby po dešti Budoucnost mobilního malware Kyberzločinci vylepšují své metody Internet terorizují botnety Desatero největších prázdninových hrozeb Botnety se rozšířili o dalších 12 milionů IP adres (01-05/2009) Výzkum RSA odhalil zvýšená bezpečnostní rizika v souvislosti s implementací nových webových a mobilních technologií ve firmách. Prosazování požadavků na bezpečnost Regulatorní požadavky nutí více a více oborů do investic do řízení rizik, řízení přístupu a správy identit a dalších nákladných řešení Náročný trh přiměje společnosti být více opatrné na své stávající zákazníky (vliv ztráty důvěryhodnosti z důvodu ztráty dat klientů větší dopady na společnost v době recese například pád cen akcií společnosti apod.) Vzestup používání mobilních aplikací vyvolává nutnost investic do řešení poskytujících zabezpečení přístupu a dat umožňující vzdálený přístup zaměstnanců i partnerů V době recese roste bezpečnostní hrozba od insiderů Opatření typu redukce stavu pracovníků, omezování benefitů, provozní konsolidace, outsorcing zvyšují riziko vnitropodnikového napadení - zejména krádeže firemních dat 4
Prosazování požadavků na bezpečnost Chybějící zprávy v médiích (zejména v ČR) o konkrétních případech a výši škod Dle průzkumů inicializovaných společností EMC roste objem digitálních informací i v době stagnace nebo recese ekonomiky (faktory: mobilní uživatelé, netradiční IT zařízení (RFID, navigace, bezdrátová měřící zařízení), interakce uživatelů (IM, sociální sítě) opatření (virtualizace, deduplikace dat. Přes 30% dat jsou data vyžadující vyšší stupně zabezpečení (45% v roce 2012); rovněž požadavky na soulad s předpisy Jednou z cest k prosazování požadavků na bezpečnost jsou objektivní zjištění získaná např. z bezpečnostních auditů, penetrační testy 5
Předmět bezpečnostního auditu: informační systém počítačová síť vnitřní procesy, dokumentace, havarijní plány konkrétní servery a jejich operační systémy pracovní stanice antivirový systém aplikace, databáze internetové připojení celá organizace Bezpečnostní audit technická úroveň posouzení bezpečnosti konkrétních provozovaných technologií (sítí, serverů, aplikací, databází, ) Bezpečnostní audit organizační úroveň posouzení plnění formálních aspektů (dokumentace, procesy, záznamy, dodržování pravidel, kvalita řízení, ) Doporučení: Bezpečnostní audit by měl zahrnovat technické i organizační aspekty 6
Technické bezpečnostní audity penetrační testy (interní, externí, otevřená a skrytá varianta) vulnerability assesment testy/audity WWW aplikací audity OS, DB, aplikací audity LAN, WAN (nastavení firewallů, síťových prvků) audity bezdrátových sítí (WLAN) speciální audity (e-mailové systémy, antivirové systémy, IP telefonie) Organizační bezpečnostní audity posouzení shody dle ISO 27001 (audit ISMS) posouzení shody dle ISO 27002 (GAP analýza) audit plnění bezpečnostních požadavků dle jiných předpisů (opatření ČNB, SOX, Basel II, HIPAA,.) bezpečnostní audit vzhledem k interním předpisům společnosti (například vnitřní předpisy holdingu, korporace,..) posouzení bezpečnostní dokumentace, business continuity plánu, havarijních plánů a plánů obnovy posouzení souladu s platnou dokumentací Práce s nálezy z auditu 7
Dle Information Assurance Metodology (NSA): Úroveň 1 auditu - Assesment (politiky, procesy) Úroveň 2 auditu Evaluation (ověření nastavení bezpečnostních parametrů) Úroveň 3 auditu Blue and Red Team (penetrační testy) simulace skutečného útoku na aktiva organizace Interní audity (audity první stranou) Externí audity: druhou stranou (v rámci smluvního ujednání např. u dodavatele a odběratele) třetí stranou (nezávislou auditorskou firmou, výsledky často využity pro certifikaci nebo jako vyjádření pro regulatorní orgány 8
V oblasti bezpečnostních technických auditů prakticky neexistuje zavedený etalon pro audity typu "configuration review" (obvykle se vychází s best-practice doporučení výrobce, případně security checklistů nezávislých institucí) pro oblast penetračních testů a testů WWW aplikací existují: OSSTMM Open Source Security Testing Methodology Manual OWASP Open Web Application Security Project oba dokumenty jsou metodickým vodítkem (guideline) u penetračního testování a testování WWW aplikací je vhodné vyžadovat, aby metodicky vycházelo z OSSTMM a OWASP Opatření ČNB 2/2004 poměrně přehledný a srozumitelný předpis posouzení shody lze zahrnout do bezpečnostního auditu SOX, BASEL II, HIPAA aj. IT rizika jsou obvykle pouze část toho, co předpisy pokrývají požadavky na IT jsou často příliš obecné Z hlediska bezpečnosti IS/IT je nejčastěji provedeno mapování těchto předpisů na jiný standard (ISO 27001) 9
Technická oblast - configuration review téměř všichni výrobci publikují doporučení pro nastavení bezpečnostních paramterů formou bezpečnostního doporučení (tato doporučení ale obvykle nejsou přímo použitelná pro audit) řada institucí vydává nejrůznější Security checklisty (SANS, NIST, ISACA aj.) pro různé aplikace Klíčovou je znalost a zkušenosti auditora (řada bezpečnostních doporučení má spíše teoretickou povahu a v praxi je nelze uplatnit) Technické bezpečnostní audity obvykle nezabíhají mimo IT primární důraz je kladen na IT technologie, audit procesů se provádí pouze na úrovni IT Organizační bezpečnostní audity Jsou zaměřené na organizačně procesní aspekty, dokumentaci, postupy, procedury obvykle pokrývají bezpečnost informací i mimo IT často nezahrnují žádná technická šetření (sběr informací především interview, dokumentace) 10
Certifikační audity audit musí splňovat formální pravidla daná typem certifikace audit provádí akreditovaný auditor (akreditaci poskytuje akreditační orgán (ČIA) cílem auditu je získat příslušný certifikát Specifické formy bezpečnostních auditů různé formy auditu využívající např. metody sociálního inženýrství Méně časté, významné náklezy Penetrační testy Penetrační test je posouzení úrovně bezpečnosti metodou pokusu o průnik Může být realizován vzdáleně - po síti (z internetu) externí penetrační test, z vnitřní sítě interní penetrační test ve skryté variantě prověří penetrační test také monitorovací a reakční mechanizmy zadavatele (dohled nad systémem detekce) předmětem testu mohou být jednotlivá zařízení případně část sítě jedním z hlavních přínosů je využití kombinačních schopností odborníků - v tzv. aktivní variantě metodami i použitými nástroji blízký reálnému útoku (zvláště varianta penetračního testu bez předběžných znalosti nejbližší simulace skutečného útokui 11
Základní kroky penetračního testu rekognoskace - sběr informací o testovaném prostředí (registrované IP adresy, DNS domény,...) zmapování prostředí na síťové úrovni - portscany, analýza filtrovacích mechanizmů, odhad topologie automatizované testy bezpečnostních slabin (vulnerability asessment) speciální testy zjištěných služeb (WWW, SMTP, ) manuální testy na základě výsledků aut. testů identifikace slabin - známé slabiny (dle zdrojů typu CVE, CERT, BUGTRAQ) i nepublikované slabiny příp. praktická demonstrace zneužití slabin Externí penetrační testy obvykle z Internetu nejčastěji bez předběžných znalostí o testovaných sytémech a organizaci předmětem jsou všechny dostupné aktivní IP adresy/porty Interní penetrační testy prováděné z vnitřního prostředí obvykle poskytnuto základní oprávnění běžného zaměstnance předmět testu je diferencován (klíčové zařízení detailně, ostatní přehledově) Speciální testy testy WiFi sítí zátěžové testy (simulace útoku typu DoS) 12
Výsledek penetračního testu poskytuje představu o dopadech reálného útoku při současné úrovni znalostí útočníků Výstupem testu je zpráva (nález) a doporučení pro provedení nápravných opatření; Nevýhodou je, že ani negativní výsledek testu nedává jistotu bezpečnosti: Skutečný útočník má k dispozici více času ( neomezený čas) nástroje a metody jsou stále agresivnější znalost bezpečnostních slabin se neustále vyvíjí, řada existujících slabin nebyla doposud odhalena / zveřejněna Je vhodné testy opakovat Vulnerability Assessment (VA) Posouzení bezpečnosti automatizovaným způsobem Využití různých vulnerability scannerů (Nessus, ISS, Retina, Qualys) Bezpečnost je prověřována pouze vzdáleně po síti, což vede k omezení možnost posoudit lokální nastavení bezpečnosti; Oproti plnohodnotnému penetračnímu testu zcela chybí manuální fáze testu Výsledky VA bývají zatíženy chybou false positives (falešné nálezy) false negatives (neodhalené slabiny) Etalonem je databáze slabin daného v. scanneru 13
Výhody: Lze provádět vlastními silami (příp. pouze s drobnou asistencí externího specialisty) Rychle a levně odhalí "nejviditelnější" slabiny Lze realizovat vlastními silami Nevýhody: Některé testy mohou být nebezpečné (zranitelné systémy se mohou zhroutit) Výsledky zatíženy chybou Doporučení pokud vulnerability scanner detekoval kritické nálezy, je penetrační test (manuální) předčasný. Bezpečnostní audit WWW aplikací Prověření WWW aplikací: prověření odolnosti WWW rozhraní penetračním způsobem code-review (audit zdrojových kódů) Obvyklý postup test WWW rozhraní (simulace průniku, vzdáleně po síti) volitelně se znalostí zdrojových kódů dle povahy aplikace se znalostí uživatelského přístupu nebo z anonymní úrovně Audit zdrojových kódů není při složitosti a dynamice současných aplikací reálný při obvyklých bezpečnostních auditech se prakticky vůbec neprovádí 14
WWW aplikace jsou nejrizikovější komponentou IS obvykle jde o aplikace vyvinuté na zakázku a tudíž obsahují chyby "na zakázku ; takové chyby se obtížně identifikují, neboť jsou unikátní pro danou aplikaci; možnosti strojového testování jsou u WWW aplikací omezené (naopak kladný výsledek testu vyvolá falešný pocit bezpečí); WWW aplikace jsou často propojeny s interními systémy firmy (například databázemi), takže potenciální dopady úspěšného průniku bývají naprosto kritické WWW aplikace jsou nejrizikovější komponentou IS Bezpečnost testována na serverové i klientské straně hlavní hrozbou pro bezpečnost WWW aplikace jsou programátoři (nezvládnutý proces vývoje, časový tlak a tlak nákladů, zkracování termínů, omezování nákladů (testování)..) obtížná volba etalonu pro testy (OWASP) Klíčovým faktorem je kompetence auditora (je prakticky nereálné realizovat tento typ auditů interně) doporučení auditu obvykle vyžadují zásah do kódu aplikace - change management náklady organizace 15
Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. igor.cermak@fit.cvut.cz 16