SecPoint Penetrator Audyt sieci może być przyjemny Jacek Gawrych, system Engineer w firmie DOTCOM jacek@dtcom.pl, www.dtcom.pl
Agenda Audyt bezpieczeństwa systemów IT (ok. 15 min.) SecPoint Penetrator (ok. 10 min.) Pytania (ok. 5 min.) 2/29
Część 1 – Audyt systemów IT Audyt sieci jako część procesu zarządzania ryzykiem Cel audytu Czym grozi nierobienie audytu Korzyści z audytu Audyt a Firewall/IPS Sposoby realizacji audytów IT 3/29
procesu zarządzania ryzykiem (1/3) Audyt jako część procesu zarządzania ryzykiem (1/3) Dwie najważniejsze normy w zakresie bezpieczeństwa: ISO/IEC 27001 ISO/IEC 27002 (zwane też ISO/IEC 17799) nakazują wprowadzenie procesu zarządzania ryzykiem Brak procesu zarządzania ryzykiem = brak szansy na certyfikację Proces zarządzania ryzykiem -> norma ISO/IEC 27005 4/29
procesu zarządzania ryzykiem (2/3) Audyt jako część procesu zarządzania ryzykiem (2/3) Wartość zasobu – Podatności – Zagrożenia - Incydenty Zagrożenie 2 Incydent 1 System IT wartość 3.000.000PLN Podatność 1 Podatność 2 Podatność 3 Podatność 4 Incydent 3 Zagrożenie 1 Incydent 2 5/29
Serwer WWW sklep Internet Przykład Haker wykonuje atak SQL Injection Robak internetowy Serwer WWW sklep Internet Możliwość ataku SQL Injection Hasło: admin Login: admin Możliwość ataku XSS Niszczenie się pod wpływem kurzu Robak odgaduje hasło admina i przejmuje kontrolę nad systemem Haker Haker wykonuje atak XSS 6/29
procesu zarządzania ryzykiem (3/3) Audyt jako część procesu zarządzania ryzykiem (3/3) Składowe ryzyka: Wartość zasobu Poziom podatności Poziom zagrożenia Prawdopodobieństwo wystąpienia incydentu Co robi audyt bezpieczeństwa systemów IT? ZNAJDUJE PODATNOŚCI I OKREŚLA ICH POZIOMY! 7/29
Cel audytu Zapewnienie rzetelnego wsparcia dla całościowego procesu zarządzania ryzykiem Umożliwienie szybkiego eliminowania podatności związanych z: błędną konfiguracją aplikacji błędami programistycznymi w aplikacjach słabością haseł/kluczy 8/29
Czym grozi nierobienie audytów Wysokie prawdopodobieństwo błędu przy określaniu wielkości ryzyk Audyt ≠ wróżenie z fusów Niewykrycie podatności dostatecznie wcześnie i dopuszczenie do pojawienia się zagrożenia, które ją wykorzysta 9/29
Korzyści z audytu Otrzymujemy gotowy dokument, którego treść włączamy w proces zarządzania ryzykiem Mamy szansę zapobiec exploitacji aplikacji, zanim pojawi się poprawka danego błędu Mamy szansę wyeliminować błędy konfiguracyjne aplikacji Możemy zorientować się, czy hasła/klucze w naszych systemach są dostatecznie silne 10/29
Audyt a Firewall/IPS Firewall/IPS również może zapobiec incydentom -> nie dopuszczą zagrożenia do podatności, nawet jeśli ona się pojawi IPS heurystyczny może najwcześniej zapobiec atakowi ALE! Tylko audyt pozwala na ocenę podatności i włączenie jej do procesu zarządzania ryzykiem Tylko audyt może wyeliminować błędy konfiguracyjne Tylko audyt podejmie próbę złamania haseł
WNIOSEK NALEŻY UŻYWAĆ FIREWALL-I, IPS-ÓW I REGULARNIE PRZEPROWADZAĆ AUDYTY 12/29
Sposoby realizacji audytów IT (1/3) Test penetracyjny przeprowadzany przez grupę specjalistów Zalety Najlepsze i najpewniejsze wyniki Używa rozumu człowieka a nie algorytmów Może uwzględniać czynnik ludzki Wady Cena Czas trwania Niemożliwość częstego powtarzania Niewielu prawdziwych specjalistów 13/29
Sposoby realizacji audytów IT (2/3) Oprogramowanie do audytu Zalety Jakość/Cena Czas trwania -> możliwość częstego i regularnego przeprowadzania audytu Wady Wymaga umiejętności instalacji i konfiguracji Pomyłki (tzw. false positives) Niski poziom wsparcia producenta 14/29
Sposoby realizacji audytów IT (3/3) Urządzenia do audytu Zalety Jakość/Cena Czas trwania -> możliwość częstego i regularnego przeprowadzania audytu Wysoki poziom wsparcia producenta Nie wymagają instalacji – gotowe do użycia od momentu wyjęcia z pudełka Wady Pomyłki (tzw. false positives) 15/29
NASZA PROPOZYCJA SECPOINT PENETRATOR 16/29
Część 1 – Podsumowanie Audyt sieci jako część procesu zarządzania ryzykiem (ISO/IEC 27001, 27002, 27005) Cel audytu – wykrycie podatności i ich poziomów Czym grozi nierobienie audytu Korzyści z audytu Audyt a Firewall/IPS Sposoby realizacji audytów IT 17/29
Część 2 – SecPoint Penetrator Dlaczego SecPoint Penetrator Możliwości SecPoint Penetrator SecPoint Penetrator Portable Jak kupić/przetestować 18/29
Dlaczego SecPoint Penetrator Wysoka jakość audytów = mało pomyłek Dla znalezionych podatności podaje gotowe sposoby ich eliminacji Automatyczne audyty cykliczne Statystyki dla audytów cyklicznych Szybkie informacje o znalezionych podatnościach 19/29
Możliwości SecPoint Penetrator (1/6) Audyt dowolnego hosta w sieci IP Ponad 11.000 podatności w urządzeniu Bugtraq (www.securityfocus.com) Autorskie podatności SecPoint 20/29
Możliwości SecPoint Penetrator (2/6) Opcjonalne ataki agresywne Denial of Service Brute Force Buffer Overflow 21/29
Możliwości SecPoint Penetrator (3/6) Weryfikacja podatności prawdziwymi exploitami Symulacja prawdziwych ataków, jakie stosowałby haker lub robak Zawiera Metasploit Framework 22/29
Możliwości SecPoint Penetrator (4/6) Współpraca wielu urządzeń Stworzenie sieci Penetratorów, zarządzanych przez jeden z nich Możliwość symulacji ataków typu Distributed Denial of Service (DDoS) Wdrożone u dużego ISP w Rosji 23/29
Możliwości SecPoint Penetrator (5/6) Ataki słownikowe na: Protokoły Pliki z hasłami Zaszyfrowane pliki .ZIP 24/29
Możliwości SecPoint Penetrator (6/6) Generowanie statystyk dla audytów cyklicznych Możliwość obserwacji wykrywanych podatności w czasie Bardzo przydatne przy raportowaniu stanu bezpieczeństwa 25/29
Możliwości SecPoint Penetrator - Podsumowanie Audyt dowolnego hosta w sieci IP Opcjonalne ataki agresywne Weryfikacja podatności prawdziwymi exploitami Współpraca wielu urządzeń (DDoS) Ataki słownikowe (hasła w protokołach, plikach) Generowanie statystyk dla audytów cyklicznych 26/29
SecPoint Penetrator Portable Laptop Funkcjonalność Penetratora rakowalnego + Łamanie kluczy w sieciach bezprzewodowych WEP WPA WPA2 27/29
Jak kupić/przetestować SecPoint Penetrator Wersje dla organizacji o niemal dowolnej wielkości Darmowy test jednego adresu IP Manager sprzedaży: Maciej Kulka maciej.kulka@dtcom.pl www.dtcom.pl 28/29
PYTANIA 29/29