Pobierz prezentację
Pobieranie prezentacji. Proszę czekać
OpublikowałRafał Miśko Został zmieniony 10 lat temu
1
SecPoint Penetrator Audyt sieci może być przyjemny
Jacek Gawrych, system Engineer w firmie DOTCOM
2
Agenda Audyt bezpieczeństwa systemów IT (ok. 15 min.)
SecPoint Penetrator (ok. 10 min.) Pytania (ok. 5 min.) 2/29
3
Część 1 – Audyt systemów IT
Audyt sieci jako część procesu zarządzania ryzykiem Cel audytu Czym grozi nierobienie audytu Korzyści z audytu Audyt a Firewall/IPS Sposoby realizacji audytów IT 3/29
4
procesu zarządzania ryzykiem (1/3)
Audyt jako część procesu zarządzania ryzykiem (1/3) Dwie najważniejsze normy w zakresie bezpieczeństwa: ISO/IEC 27001 ISO/IEC (zwane też ISO/IEC 17799) nakazują wprowadzenie procesu zarządzania ryzykiem Brak procesu zarządzania ryzykiem = brak szansy na certyfikację Proces zarządzania ryzykiem -> norma ISO/IEC 27005 4/29
5
procesu zarządzania ryzykiem (2/3)
Audyt jako część procesu zarządzania ryzykiem (2/3) Wartość zasobu – Podatności – Zagrożenia - Incydenty Zagrożenie 2 Incydent 1 System IT wartość PLN Podatność 1 Podatność 2 Podatność 3 Podatność 4 Incydent 3 Zagrożenie 1 Incydent 2 5/29
6
Serwer WWW sklep Internet
Przykład Haker wykonuje atak SQL Injection Robak internetowy Serwer WWW sklep Internet Możliwość ataku SQL Injection Hasło: admin Login: admin Możliwość ataku XSS Niszczenie się pod wpływem kurzu Robak odgaduje hasło admina i przejmuje kontrolę nad systemem Haker Haker wykonuje atak XSS 6/29
7
procesu zarządzania ryzykiem (3/3)
Audyt jako część procesu zarządzania ryzykiem (3/3) Składowe ryzyka: Wartość zasobu Poziom podatności Poziom zagrożenia Prawdopodobieństwo wystąpienia incydentu Co robi audyt bezpieczeństwa systemów IT? ZNAJDUJE PODATNOŚCI I OKREŚLA ICH POZIOMY! 7/29
8
Cel audytu Zapewnienie rzetelnego wsparcia dla całościowego procesu zarządzania ryzykiem Umożliwienie szybkiego eliminowania podatności związanych z: błędną konfiguracją aplikacji błędami programistycznymi w aplikacjach słabością haseł/kluczy 8/29
9
Czym grozi nierobienie audytów
Wysokie prawdopodobieństwo błędu przy określaniu wielkości ryzyk Audyt ≠ wróżenie z fusów Niewykrycie podatności dostatecznie wcześnie i dopuszczenie do pojawienia się zagrożenia, które ją wykorzysta 9/29
10
Korzyści z audytu Otrzymujemy gotowy dokument, którego treść włączamy w proces zarządzania ryzykiem Mamy szansę zapobiec exploitacji aplikacji, zanim pojawi się poprawka danego błędu Mamy szansę wyeliminować błędy konfiguracyjne aplikacji Możemy zorientować się, czy hasła/klucze w naszych systemach są dostatecznie silne 10/29
11
Audyt a Firewall/IPS Firewall/IPS również może zapobiec incydentom -> nie dopuszczą zagrożenia do podatności, nawet jeśli ona się pojawi IPS heurystyczny może najwcześniej zapobiec atakowi ALE! Tylko audyt pozwala na ocenę podatności i włączenie jej do procesu zarządzania ryzykiem Tylko audyt może wyeliminować błędy konfiguracyjne Tylko audyt podejmie próbę złamania haseł
12
WNIOSEK NALEŻY UŻYWAĆ FIREWALL-I, IPS-ÓW
I REGULARNIE PRZEPROWADZAĆ AUDYTY 12/29
13
Sposoby realizacji audytów IT (1/3)
Test penetracyjny przeprowadzany przez grupę specjalistów Zalety Najlepsze i najpewniejsze wyniki Używa rozumu człowieka a nie algorytmów Może uwzględniać czynnik ludzki Wady Cena Czas trwania Niemożliwość częstego powtarzania Niewielu prawdziwych specjalistów 13/29
14
Sposoby realizacji audytów IT (2/3)
Oprogramowanie do audytu Zalety Jakość/Cena Czas trwania -> możliwość częstego i regularnego przeprowadzania audytu Wady Wymaga umiejętności instalacji i konfiguracji Pomyłki (tzw. false positives) Niski poziom wsparcia producenta 14/29
15
Sposoby realizacji audytów IT (3/3)
Urządzenia do audytu Zalety Jakość/Cena Czas trwania -> możliwość częstego i regularnego przeprowadzania audytu Wysoki poziom wsparcia producenta Nie wymagają instalacji – gotowe do użycia od momentu wyjęcia z pudełka Wady Pomyłki (tzw. false positives) 15/29
16
NASZA PROPOZYCJA SECPOINT PENETRATOR
16/29
17
Część 1 – Podsumowanie Audyt sieci jako część procesu zarządzania ryzykiem (ISO/IEC 27001, 27002, 27005) Cel audytu – wykrycie podatności i ich poziomów Czym grozi nierobienie audytu Korzyści z audytu Audyt a Firewall/IPS Sposoby realizacji audytów IT 17/29
18
Część 2 – SecPoint Penetrator
Dlaczego SecPoint Penetrator Możliwości SecPoint Penetrator SecPoint Penetrator Portable Jak kupić/przetestować 18/29
19
Dlaczego SecPoint Penetrator
Wysoka jakość audytów = mało pomyłek Dla znalezionych podatności podaje gotowe sposoby ich eliminacji Automatyczne audyty cykliczne Statystyki dla audytów cyklicznych Szybkie informacje o znalezionych podatnościach 19/29
20
Możliwości SecPoint Penetrator (1/6)
Audyt dowolnego hosta w sieci IP Ponad podatności w urządzeniu Bugtraq ( Autorskie podatności SecPoint 20/29
21
Możliwości SecPoint Penetrator (2/6)
Opcjonalne ataki agresywne Denial of Service Brute Force Buffer Overflow 21/29
22
Możliwości SecPoint Penetrator (3/6)
Weryfikacja podatności prawdziwymi exploitami Symulacja prawdziwych ataków, jakie stosowałby haker lub robak Zawiera Metasploit Framework 22/29
23
Możliwości SecPoint Penetrator (4/6)
Współpraca wielu urządzeń Stworzenie sieci Penetratorów, zarządzanych przez jeden z nich Możliwość symulacji ataków typu Distributed Denial of Service (DDoS) Wdrożone u dużego ISP w Rosji 23/29
24
Możliwości SecPoint Penetrator (5/6)
Ataki słownikowe na: Protokoły Pliki z hasłami Zaszyfrowane pliki .ZIP 24/29
25
Możliwości SecPoint Penetrator (6/6)
Generowanie statystyk dla audytów cyklicznych Możliwość obserwacji wykrywanych podatności w czasie Bardzo przydatne przy raportowaniu stanu bezpieczeństwa 25/29
26
Możliwości SecPoint Penetrator - Podsumowanie
Audyt dowolnego hosta w sieci IP Opcjonalne ataki agresywne Weryfikacja podatności prawdziwymi exploitami Współpraca wielu urządzeń (DDoS) Ataki słownikowe (hasła w protokołach, plikach) Generowanie statystyk dla audytów cyklicznych 26/29
27
SecPoint Penetrator Portable
Laptop Funkcjonalność Penetratora rakowalnego + Łamanie kluczy w sieciach bezprzewodowych WEP WPA WPA2 27/29
28
Jak kupić/przetestować SecPoint Penetrator
Wersje dla organizacji o niemal dowolnej wielkości Darmowy test jednego adresu IP Manager sprzedaży: Maciej Kulka 28/29
29
PYTANIA 29/29
Podobne prezentacje
© 2024 SlidePlayer.pl Inc.
All rights reserved.