SecPoint Penetrator Audyt sieci może być przyjemny

Slides:



Advertisements
Podobne prezentacje
nowoczesny system zarządzania przedsiębiorstwem
Advertisements

I część 1.
Łamanie zabezpieczeń WEP w sieci Wi-Fi
Ćwiczenia praktyczne – zadanie nr 16
Bezpieczeństwo aplikacji WWW
Czy warto wdrażać ISO w Banku Spółdzielczym
Analiza ryzyka projektu
SOS SYSTEM OBSŁUGI SZKOŁY
Budowanie polityk bezpieczeństwa w urządzeniach typu firewall
KONKURS WIEDZY O SZTUCE
1 magia kuponów jak wykorzystać kupony w reklamie efektywnościowej.
Norton AntiVirus.
Od pomysłu do realizacji projektu - procedury. 2. Jakie są źródła finansowania naszego projektu?
ISO 9001:2000 z perspektywy CMMI a poznańska rzeczywistość
Honorata Prokop, Izabela Ubowska
Piotr Doskocz Aleksandra Lechki Krzysztof Lewicki
PLANET ADW-4302 v2 Modem ADSL 2/2+, Router, Firewall, bezprzewodowy g.
PLANET WLS-1280 Bezprzewodowy przełącznik sieci LAN
„Migracja środowisk Novell NDS/eDirectory oraz Novell Groupwise do środowiska Microsoft Active Directory oraz Microsoft Exchange przy użyciu narzędzi Quest.
Artur Szmigiel Paweł Zarębski Kl. III i
SAMBA JAKO SERWER PLIKÓW
Rynek tłumaczeń i lokalizacji w Polsce, Wrocław marca 2009r. Bezpieczeństwo danych - dyskusja Prowadzący: Wojciech Olejniczak Moravia IT
Praca Inżynierska „Analiza i projekt aplikacji informatycznej do wspomagania wybranych zadań ośrodków sportowych” Dyplomant: Marcin Iwanicki Promotor:
Dyskretny szereg Fouriera
Jakość i niezawodność systemu informacyjnego
Bezpieczeństwo w sieci
© Victo Testowanie dla menedżerów Wersja TDM Slajd 1 (27) Testowanie oprogramowania dla menedżerów Co menedżerowie i kierownicy naprawdę potrzebują
Nowoczesny system zarządzania firmą
Twoje narzędzie do pracy grupowej
Bezpieczeństwo pracy w sieciach informatycznych
Adrian Bukowski Dolnośląskie Centrum Rozwoju Lokalnego.
AKREDYTACJA LABORATORIUM Czy warto
Dotcom Projektowanie systemów CCTV Projektowanie sieci LAN
Modelowanie bezpieczeństwa infrastruktury IT na bazie doświadczeń z włamań i wykrytych podatności Prowadzący: Specjalista do sp. Informatyki Śledczej Maciej.
QR-CERT Centrum Certyfikacji i Personalizacji
Kalendarz 2011 Real Madryt Autor: Bartosz Trzciński.
KALENDARZ 2011r. Autor: Alicja Chałupka klasa III a.
Distributed Denial of Service w sieciach WAN
Rozwiązania informatyczne dla przedsiębiorstw
Bezpieczeństwo styku sieci korporacyjnej
Plan prezentacji Zarys projektu Geneza tematu
Google Testing Radosław Smilgin, , TestWarez.
Podstawy działania wybranych usług sieciowych
7-8 listopada 2007 Central European Outsourcing Forum
Kalendarz 2011r. styczeń pn wt śr czw pt sb nd
Bezpieczeństwo a zarządzanie projektami
Spotkanie Centrum Poczty i Postdata S.A.
Analiza mechanizmów sterowania przepływem pakietów w protokole TCP
„Bezpieczeństwo w Internecie”
(C) Jarosław Jabłonka, ATH, 5 kwietnia kwietnia 2017
Generatory pomocy multimedialnych
Bazy i Systemy Bankowe Sp. z o.o. ul. Kasprzaka 3, 85 – 321 Bydgoszcz
Razem tworzymy bezpieczny Internet
© GfK 2014 | GfK Health | Leki homeopatzcyne widziane okiem lekarzy 1 LEKI HOMEOPATYCZNE WIDZIANE OKIEM LEKARZY Czerwiec 2014.
Piotr Frydrych r. 1/27. Proponowana odpowiedź:  Jedno połączenie Poprawna odpowiedź:  Jedną godzinę 2/27.
Kalendarz 2020.
Zarządzanie bezpieczeństwem sieci akademickiej
Szkodliwe wirusy i oprogramowania
Eksploatacja zasobów informatycznych przedsiębiorstwa.
KOMPANIA WĘGLOWA S.A..
niezawodności Z problemem jakości systemów informacyjnych wiąże się problem zapewnienia odpowiedniej niezawodności ich działania.
SYSTEM ZARZĄDZANIA BEZPIECZEŃSTWEM INFORMACJI- wymagania normy ISO 27001:2007 Grażyna Szydłowska.
Zagrożenia komputera w sieci
Informatyka Zakres rozszerzony Zebrał i opracował : Maciej Belcarz OPROGRAMOWANIE„ZŁOSLIWE”
Bezpieczeństwo w sieciach VoIP Wojciech Dymkowski s4459.
„Szczegółowa analiza wpływu aktualizacji na poziom bezpieczeństwa systemów operacyjnych Microsoft Windows” Wykonał: Piotr Ognicki nr albumu: 6009 Promotor:
Łamanie haseł Aplikacje Internetowe i Rozproszone Wrocław,
Wady i zalety pracy w chmurze
Grzegorz Chodak Wykład
Zapis prezentacji:

SecPoint Penetrator Audyt sieci może być przyjemny Jacek Gawrych, system Engineer w firmie DOTCOM jacek@dtcom.pl, www.dtcom.pl

Agenda Audyt bezpieczeństwa systemów IT (ok. 15 min.) SecPoint Penetrator (ok. 10 min.) Pytania (ok. 5 min.) 2/29

Część 1 – Audyt systemów IT Audyt sieci jako część procesu zarządzania ryzykiem Cel audytu Czym grozi nierobienie audytu Korzyści z audytu Audyt a Firewall/IPS Sposoby realizacji audytów IT 3/29

procesu zarządzania ryzykiem (1/3) Audyt jako część procesu zarządzania ryzykiem (1/3) Dwie najważniejsze normy w zakresie bezpieczeństwa: ISO/IEC 27001 ISO/IEC 27002 (zwane też ISO/IEC 17799) nakazują wprowadzenie procesu zarządzania ryzykiem Brak procesu zarządzania ryzykiem = brak szansy na certyfikację Proces zarządzania ryzykiem -> norma ISO/IEC 27005 4/29

procesu zarządzania ryzykiem (2/3) Audyt jako część procesu zarządzania ryzykiem (2/3) Wartość zasobu – Podatności – Zagrożenia - Incydenty Zagrożenie 2 Incydent 1 System IT wartość 3.000.000PLN Podatność 1 Podatność 2 Podatność 3 Podatność 4 Incydent 3 Zagrożenie 1 Incydent 2 5/29

Serwer WWW sklep Internet Przykład Haker wykonuje atak SQL Injection Robak internetowy Serwer WWW sklep Internet Możliwość ataku SQL Injection Hasło: admin Login: admin Możliwość ataku XSS Niszczenie się pod wpływem kurzu Robak odgaduje hasło admina i przejmuje kontrolę nad systemem Haker Haker wykonuje atak XSS 6/29

procesu zarządzania ryzykiem (3/3) Audyt jako część procesu zarządzania ryzykiem (3/3) Składowe ryzyka: Wartość zasobu Poziom podatności Poziom zagrożenia Prawdopodobieństwo wystąpienia incydentu Co robi audyt bezpieczeństwa systemów IT? ZNAJDUJE PODATNOŚCI I OKREŚLA ICH POZIOMY! 7/29

Cel audytu Zapewnienie rzetelnego wsparcia dla całościowego procesu zarządzania ryzykiem Umożliwienie szybkiego eliminowania podatności związanych z: błędną konfiguracją aplikacji błędami programistycznymi w aplikacjach słabością haseł/kluczy 8/29

Czym grozi nierobienie audytów Wysokie prawdopodobieństwo błędu przy określaniu wielkości ryzyk Audyt ≠ wróżenie z fusów Niewykrycie podatności dostatecznie wcześnie i dopuszczenie do pojawienia się zagrożenia, które ją wykorzysta 9/29

Korzyści z audytu Otrzymujemy gotowy dokument, którego treść włączamy w proces zarządzania ryzykiem Mamy szansę zapobiec exploitacji aplikacji, zanim pojawi się poprawka danego błędu Mamy szansę wyeliminować błędy konfiguracyjne aplikacji Możemy zorientować się, czy hasła/klucze w naszych systemach są dostatecznie silne 10/29

Audyt a Firewall/IPS Firewall/IPS również może zapobiec incydentom -> nie dopuszczą zagrożenia do podatności, nawet jeśli ona się pojawi IPS heurystyczny może najwcześniej zapobiec atakowi ALE! Tylko audyt pozwala na ocenę podatności i włączenie jej do procesu zarządzania ryzykiem Tylko audyt może wyeliminować błędy konfiguracyjne Tylko audyt podejmie próbę złamania haseł

WNIOSEK NALEŻY UŻYWAĆ FIREWALL-I, IPS-ÓW I REGULARNIE PRZEPROWADZAĆ AUDYTY 12/29

Sposoby realizacji audytów IT (1/3) Test penetracyjny przeprowadzany przez grupę specjalistów Zalety Najlepsze i najpewniejsze wyniki Używa rozumu człowieka a nie algorytmów Może uwzględniać czynnik ludzki Wady Cena Czas trwania Niemożliwość częstego powtarzania Niewielu prawdziwych specjalistów 13/29

Sposoby realizacji audytów IT (2/3) Oprogramowanie do audytu Zalety Jakość/Cena Czas trwania -> możliwość częstego i regularnego przeprowadzania audytu Wady Wymaga umiejętności instalacji i konfiguracji Pomyłki (tzw. false positives) Niski poziom wsparcia producenta 14/29

Sposoby realizacji audytów IT (3/3) Urządzenia do audytu Zalety Jakość/Cena Czas trwania -> możliwość częstego i regularnego przeprowadzania audytu Wysoki poziom wsparcia producenta Nie wymagają instalacji – gotowe do użycia od momentu wyjęcia z pudełka Wady Pomyłki (tzw. false positives) 15/29

NASZA PROPOZYCJA SECPOINT PENETRATOR 16/29

Część 1 – Podsumowanie Audyt sieci jako część procesu zarządzania ryzykiem (ISO/IEC 27001, 27002, 27005) Cel audytu – wykrycie podatności i ich poziomów Czym grozi nierobienie audytu Korzyści z audytu Audyt a Firewall/IPS Sposoby realizacji audytów IT 17/29

Część 2 – SecPoint Penetrator Dlaczego SecPoint Penetrator Możliwości SecPoint Penetrator SecPoint Penetrator Portable Jak kupić/przetestować 18/29

Dlaczego SecPoint Penetrator Wysoka jakość audytów = mało pomyłek Dla znalezionych podatności podaje gotowe sposoby ich eliminacji Automatyczne audyty cykliczne Statystyki dla audytów cyklicznych Szybkie informacje o znalezionych podatnościach 19/29

Możliwości SecPoint Penetrator (1/6) Audyt dowolnego hosta w sieci IP Ponad 11.000 podatności w urządzeniu Bugtraq (www.securityfocus.com) Autorskie podatności SecPoint 20/29

Możliwości SecPoint Penetrator (2/6) Opcjonalne ataki agresywne Denial of Service Brute Force Buffer Overflow 21/29

Możliwości SecPoint Penetrator (3/6) Weryfikacja podatności prawdziwymi exploitami Symulacja prawdziwych ataków, jakie stosowałby haker lub robak Zawiera Metasploit Framework 22/29

Możliwości SecPoint Penetrator (4/6) Współpraca wielu urządzeń Stworzenie sieci Penetratorów, zarządzanych przez jeden z nich Możliwość symulacji ataków typu Distributed Denial of Service (DDoS) Wdrożone u dużego ISP w Rosji 23/29

Możliwości SecPoint Penetrator (5/6) Ataki słownikowe na: Protokoły Pliki z hasłami Zaszyfrowane pliki .ZIP 24/29

Możliwości SecPoint Penetrator (6/6) Generowanie statystyk dla audytów cyklicznych Możliwość obserwacji wykrywanych podatności w czasie Bardzo przydatne przy raportowaniu stanu bezpieczeństwa 25/29

Możliwości SecPoint Penetrator - Podsumowanie Audyt dowolnego hosta w sieci IP Opcjonalne ataki agresywne Weryfikacja podatności prawdziwymi exploitami Współpraca wielu urządzeń (DDoS) Ataki słownikowe (hasła w protokołach, plikach) Generowanie statystyk dla audytów cyklicznych 26/29

SecPoint Penetrator Portable Laptop Funkcjonalność Penetratora rakowalnego + Łamanie kluczy w sieciach bezprzewodowych WEP WPA WPA2 27/29

Jak kupić/przetestować SecPoint Penetrator Wersje dla organizacji o niemal dowolnej wielkości Darmowy test jednego adresu IP Manager sprzedaży: Maciej Kulka maciej.kulka@dtcom.pl www.dtcom.pl 28/29

PYTANIA 29/29