Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší?



Podobné dokumenty
Hacking Jak reálná je tato hrozba? Jak se jí bránit?

Penetrační testy. Pohled na vaši síť očima hackera. Ing. Jan Pawlik IT Security Specialist

Penetrační testy OSSTMM. Jaromír Vaněk ICQ: Jabber:

Bezpečnost intranetových aplikací

Interpretace výsledků penetračních testů. Mgr. Karel Miko, CISA DCIT, a.s.,

Řešení pro správu logů, shodu a bezpečnost ve státní správě a samosprávě. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

Monitorování a audit databází v reálném čase. Ing. Jan Musil IBM Česká republika

Co se děje za Firewallem. Máte zajištěna data a funkce systémů před útokem z vnitřního segmentu sítě?

Modelování hrozeb. Hana Vystavělová AEC, spol. s r.o.

Penetrační testování

Zákon o kybernetické bezpečnosti: kdo je připraven?

Zranitelnost databáze a ochrana vašich citlivých dat. Michal Lukanič, Database Specialist

Bezpečnostní audity, penetrační testy

Bezpečnostní monitoring SIEM (logy pod drobnohledem)

Network Audit Komplexní provozní a bezpečnostní monitoring sítě

TOP 10 produktů a služeb

Bezpečnostní témata spojená se Zákonem o kybernetické bezpečnosti

Návrh vyhlášky k zákonu o kybernetické bezpečnosti. Přemysl Pazderka NCKB

PENETRAČNÍ TESTY CYBER SECURITY

Cloud pro utajované informace. OIB BO MV 2012, Karel Šiman

Bezpečnost aktivně. štěstí přeje připraveným

ehealth Day 2016 Jak zavést účinná organizační a technická opatření pro řízení bezpečnosti

IT bezpečnost na ZČU včera, dnes a zítra Seminář CIV by Ing. Petr Žák

Zákon o kybernetické bezpečnosti

CYBER SECURITY. Ochrana zdrojů, dat a služeb.

Návrh zákona o kybernetické bezpečnosti. Přemysl Pazderka Národní centrum kybernetické bezpečnosti Národní bezpečnostní úřad p.pazderka@nbu.

Bezepečnost IS v organizaci

Bezpečnost webových stránek

Koncept. Centrálního monitoringu a IP správy sítě

Provozní hlediska systémového auditu v aplikacích a systémech

Bezpečnostní projekty realizované ve společnosti OTE, a.s. - případová studie. OTE, a. s. AEC, spol. s r. o.

2.přednáška. Informační bezpečnost: Systém řízení informační bezpečnosti (ISMS)

Masarykova střední škola zemědělská a Vyšší odborná škola, Opava, příspěvková organizace

Jen technická ochrana nestačí. Ing. Jindřich Hlaváč, CISA DCIT, a.s.,

CYBERSECURITY INKUBÁTOR

Monitorování datových sítí: Dnes

Analýza zranitelností databází. Michal Lukanič, Database Specialist

Hardening ICT platforem: teorie nebo praxe. Pavel Hejduk ČEZ ICT Services, a. s.

Mgr. et Mgr. Jakub Fučík

Jiří SLABÝ Deloitte Téma: Bezpečnost informací zajímavé trendy nedávné minulosti Zajímavé statistiky a trendy z oblasti kybernetické bezpečnosti uplyn

POLICEJNÍ AKADEMIE ČESKÉ REPUBLIKY FAKULTA BEZPEČNOSTNÍHO MANAGEMENTU. DMZ z pohledu akademické sféry

Bezpečnostní rizika chytrých spotřebičů a Internetu věcí

o Kontaktní údaje o Jak připravit hlášení o kybernetickém incidentu o Klasifikace incidentu o Formulace hlášení o Způsob předávání na NCKB o Zpětná

Co je doma, to se počítá, aneb Jak ušetřit na komunikaci. Petr SOLNAŘ / Liberecká IS, a.s. Michal NOVÁK / SOITRON CZ, s.r.o

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

Firewall, IDS a jak dále? Flow monitoring a NBA, případové studie. Jiří Tobola INVEA-TECH

Potřebujeme kybernetickou bezpečnost? Jak chráníme informační aktiva?

Bezpečnostní monitoring a detekce anomálií, případová studie botnet Chuck Norris. Petr Špringl springl@invea.cz

Jak zorganizovat penetrační testy a nespálit se. Jiří Vábek Komerční banka, a.s.

Nástroje IT manažera

PROCES ŘEŠENÍ PROBLEMATIKY GDPR

Vzdělávací seminář Audit při realizaci projektu I.

Audit bezpečnosti počítačové sítě. Předmět: Správa počítačových sítí Jiří Kalenský

FlowMon Vaše síť pod kontrolou

ISMS. Síťová bezpečnost. V Brně dne 7. a 14. listopadu 2013

Auditorské služby. Committed to your success

ELEKTROWIN a. s. Politika společnosti. Interní materiál spol. ELEKTROWIN a.s.

Vulnerabilities - Zranitelnosti

Efektivní řízení rizik webových a portálových aplikací

BEZ LIDÍ TO NEPŮJDE. Ivan Svoboda, ANECT & SOCA. Pro zveřejnění

Zabezpečení mobilních bankovnictví

Co přinese a nepřinese za užitečné informace penetrační test

Jako příklady typicky ch hrozeb pro IT lze uvést: Útok

Nástroje IT manažera

Jarní setkání

Není cloud jako cloud, rozhodujte se podle bezpečnosti

POČÍTAČOVÉ SÍTĚ A KOMUNIKACE OBOR: INFORMAČNÍ TECHNOLOGIE

SIEM Mozek pro identifikaci kybernetických útoků. Jan Kolář , Praha, Cyber Security konference 2014

Zabezpečené vzdálené přístupy k aplikacím případová studie. Ing. Martin Pavlica Corpus Solutions a.s. divize Security Expert

AUDITY Hlavním cílem každého auditu musí být zjišťování faktů, nikoli chyb!

Kybernetická bezpečnost Ochrana proti sílící hrozbě

Testing as a Service. Přístupné, flexibilní a cenově výhodné řešení pro ověření kvality softwaru. Kompletní portfolio služeb testování softwaru

Jak efektivně ochránit Informix?

1. Integrační koncept

Vnitřní kontrolní systém a jeho audit

Výzvy IOP č. (04), 06, 08, 09

Technologický seminář Simac Technik ČR, a.s. Praha,

Mobilní aplikace ve světě ERP. Asseco Solutions, a.s. a Simac Technik ČR, a.s.

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Výzkum v oblasti kybernetické bezpečnosti

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Obrana sítě - základní principy

Turris Omnia: jak lovit hackery

Typ aktiv Aktivum Hrozba Zranitelnost Riziko

Možnosti zabezpečení mobilní komunikace. Jan Křečan Manažer prodeje mobilních firemních řešení

1 Úvod 1.1 Vlastnosti programového vybavení (SW)

Zkušenosti s realizací penetračních testů

DNSSEC. Proč je důležité chránit internetové domény? CZ.NIC z.s.p.o. Pavel Tůma

Bezpečnostní aspekty informačních a komunikačních systémů PS2-1

PROCESY CO ZÍSKÁTE: Předpoklad pro certifikace ISO. Lean Six Sigma Fast Track

vlastnosti Výsledkem sledování je: a) Využití aplikací b) Používání internetu c) Vytížení počítačů d) Operační systém e) Sledování tisků

Jak by měl vedoucí pracovník prosazovat zásady kybernetické bezpečnosti. Ing. Jiří Sedláček Chief of Security Experts

Hodinový rozpis kurzu Správce počítačové sítě (100 hod.)

Výběrové řízení na. Dodávku virtualizačních technologií a implementačních prací.

PROFESIONÁLNÍ SPRÁVA INFORMAČNÍCH TECHNOLOGIÍ

ANECT & SOCA GDPR & DLP. Ivan Svoboda / ANECT / SOCA. Lenka Suchánková / PIERSTONE. Petr Zahálka / AVNET / SYMANTEC

TECHNICKÉ POŽADAVKY NA NÁVRH, IMPLEMENTACI, PROVOZ, ÚDRŽBU A ROZVOJ INFORMAČNÍHO SYSTÉMU

Audit bezpečnosti počítačové sítě

Maturitní okruhy pro 1.KŠPA Kladno, s.r.o. Počítačové sítě a komunikace

SPECIFIKA CERTIFIKACE PODLE ČSN EN ISO 9001:2001 V ORGANIZACÍCH, KTERÉ SE ZABÝVAJÍ VÝVOJEM SOFTWARE

Transkript:

Penetrační test & bezpečnostní audit: Co mají společného? V čem se liší? Karel Miko, CISA (miko@dcit.cz) DCIT, s.r.o (www.dcit.cz)

Nadpis Penetrační test i bezpečnostní audit hodnotí bezpečnost předmětu šetření, který z nich si ale vybrat? Obsah příspěvku: Co je penetrační test? Co je bezpečnostní audit? Průběh testu/auditu a použité metody Výstupy testu/auditu a jejich přínosy pro zákazníka Nejčastější nálezy a zjištění

Penetrační test je... Penetrační test je zhodnocení bezpečnosti pokusem o průnik metodami i použitými nástroji blízký reálnému útoku (zvláště varianta bez znalosti ) - Ethical Hacking je prováděn vzdáleně - po síti (z internetu - externí, z vnitřní sítě - interní ) ve skryté variantě prověří také monitorovací a reakční mechanizmy (dohled nad systémem) předmětem jednotlivá zařízení případně část sítě (speciálně např. WWW aplikace, Wi-Fi sítě aj.) jedním z hl. přínosů je využití kombinačních schopností odborníků - v tzv. aktivní variantě

Průběh penetračního testu Základní kroky penetračního testu rekognoskace - sběr informací o testovaném prostředí (registrované IP adresy, DNS domény,...) zmapování prostředí na síťové úrovni - portscany, analýza filtrovacích mechanizmů, odhad topologie automatizované testy bezpečnostních slabin speciální testy zjištěných služeb (WWW, SMTP, ) manuální testy na základě výsledků aut. testů identifikace zranitelností - známé slabiny (CVE, CERT, BUGTRAQ) i nepublikované slabiny příp. praktická demonstrace zneužití slabin

Výsledek penetračního testu Výsledek penetračního testu Vám poskytne obrázek o tom, čeho by při současné úrovni znalostí mohl dosáhnout útočník při reálném útoku výstupem je nejen nález, ale i doporučení ani negativní výsledek testu nedává jistotu reálný útočník disponuje neomezeným časem nástroje a metody jsou stále agresivnější znalost bezpečnostních slabin se neustále vyvíjí, řada existujících slabin nebyla doposud odhalena / zveřejněna (význam opakování)

Nejčastější nálezy a jiné poznatky z praxe častá otázka: Je to legální? penetrační testy / hacking není mechanická záležitost zranitelný systém neochrání IDS ani správce u konzole bezp. slabiny nevznikají, existují již léta jen se o nich neví (v horším případě je znají jen někteří - black-hat ) dobrá rada: systémy přístupné z Internetu by měly počítat s tím, že budou (resp. mohou být) napadeny obvyklé příčiny úspěšných průniků defaultní nastavení, chybějící patche (rostoucí hrozba červů) chyby v implementaci vlastních WWW aplikací triviální hesla do systémů a aplikací security by obscurity u některých SW produktů

Bezpečnostní audit je... Bezp. audit je zhodnocení stavu bezpečnosti vůči vybranému etalonu s penetračním testem nelze srovnávat audit managementu inf. bezpečnosti (např. podle ISO17799) srovnáváme audit na technologické úrovni: servery, firewally, síťové prvky apod. (problém: volba etalonu) audit je prováděn fyzicky přímo na zkoumaném zařízení (např. serveru), nikoli po síti audit vyžaduje plný přístup ke zkoumaným zařízením, je prováděn za asistence administrátora audit je neinvazivní, časově relativně nenáročné šetření

Průběh auditu Základní scénář bezp. auditu (serveru) úvodní sběr informací o účelu zkoumaného zařízení (zpravidla interview s administrátorem) provedení technického šetření na místě je prováděno přímo na serveru za asistence správce je požadován plný přístup ke zkoumanému systému (tj. přístup pod privilegovaným uživatelem - root apod.) 1. krok - automatizovaný sběr informací SW nástrojem (konfiguraci OS, WWW serveru, pošt. serveru, DB, ) 2. krok - doplňkový manuální sběr informací sběr informací je pasivní - nedochází k modifikaci systému, není zkoumán obsah dat

Výsledek auditu Výsledkem bezpečnostního auditu je detailní zhodnocení konfigurace posuzovaného zařízení (server, firewall aj.). výstupem je nejen nález, ale i doporučení otázka volby etalonu - doporučení výrobců, nezávislých organizaci (NSA, CERT), zkušenosti z praxe audit do jisté míry spoléhá na bezchybnost systému opatřeného aktuálními updaty přestože při současné složitosti systémů je strojové zpracování nutné, není výrok auditu mechanickou záležitostí

Nejčastější nálezy a jiné poznatky z praxe audit poskytuje vysokou míru detailu - obvykle nejsou podrobně zkoumána kompletně všechna zařízení zabezpečení dodávaných systémů není ani u renomovaných dodavatelů samozřejmostí (ti navíc často garantují funkčnost jen na své konfiguraci) vhodná doba bývá překvapivě před spuštěním systému nejčastější identifikované problémy: chybná nastavení plynoucí ze standardní konfigurace zejména u interních systémů absence patchů (1 rok i více) pochybné požadavky některých SW na široká oprávnění neodborné zásahy administrátora důraz na funkčnost nikoli bezpečnost systému

Penetrační test vs. bezpečnostní audit Názory se různí: 1. Extrém - negativní výsledek penetračního testu je nejvyšší možný stupeň jistoty zabezpečení zkoumaného systému 2. Extrém - penetrace (black-box) je nesystematický přístup, který v případě negativního výsledku vytváří pouze iluzi o úrovni bezpečnosti Pravda je někde uprostřed: ani audit ani penetr. test neposkytuje absolutní jistotu, oba se však mohou vhodně doplňovat lze nalézt příklady slabin, které audit odhalí a penetrační test nikoli (a naopak)

Penetrační test vs. bezpečnostní audit penetrační test bezpečnostní audit metoda pokus o průnik (po síti) šetření na místě za asistence správce cíl zjistit míru zranitelnosti komplexní analýza a zhodnocení provedení obvykle back-box testing k dispozici plná informace o systému rizika možné omezení provozu minimální (pouze pasivní šetření) hl. přínosy řekne: jaký by byl zhruba návrhy zcela konkrétních změn výsledek reálného útoku nastavení jednotlivých parametrů výhoda ověření reakčních procesů ideální podklad pro revizi nastavení nevýhoda zůstávají skryté problémy neodhalí implementační chyby (průnikem test končí ) (akt. verzi považuje za bezchybnou) výstupy členění dle zařízení a komplexní analýza parametr-aktuální zjištěných slabin hodnota-doporučená hodnota (1 závěrečná zpráva) (1 zpráva o každém zařízení)

Otázky kontakt: Karel Miko, miko@dcit.cz Závěr

2024 © DocPlayer.cz Ochrana osobních údajů | Podmínky obsluhování | Kontaktní formulář