Transcript Title
IBM Global Technology Services
ISS Koncept řízení bezpečnosti,
Ethical Hacking
Jan Vaněk
© Copyright IBM Corporation 2007
IBM Global Technology Services
Internet Security Systems
Založena v r.1994, ústředí USA Atlanta, akvizice ISS v roce 2006
Orientována čistě na bezpečnost, průkopník a vedoucí společnost na
trhu IDS/IPS zařízení a vulnerability managementu
Vlastní výzkumný a vývojový team X-Force
Přes 1200 zaměstnanců, zastoupení v 25 zemích,
provozuje celosvětově, 8 Security Operation Center
Příjmy 330 MIO USD za r.2005, přes 11 tisíc Korporátních zákazníků
2
© Copyright IBM Corporation 2007
IBM Global Technology Services
X-Force výzkumný a vývojový team
IBM Internet Security Systems X-Force® R&D tým: Přední světová
bezpečnostní organizace, Založena v roce 1997
Nejstarší a nejznámější komerční výzkumná skupina zaměřená na
detekci zranitelností a vyhledávání bezpečnostních slabin
X-Force stojí za objevením více než 50% všech významných slabin v
OS a aplikacích. Vydává X-Press update, kterými jsou aktualizovány
ISS produkty
3
© Copyright IBM Corporation 2007
IBM Global Technology Services
Ochrana od Perimetru až po Desktop
Preventivní hloubková ochrana
4
© Copyright IBM Corporation 2007
IBM Global Technology Services
ISS - Koncept řízení bezpečnosti
The Proventia® ESP – a framework for ISS’ products and services
5
© Copyright IBM Corporation 2007
IBM Global Technology Services
Vulnerability Scannery
o Identifikace a klasifikace zranitelností uvnitř sítě
o Možnost plánování automatizovaných skenů a pravidelného reportingu
o Vizualizace prostřednictvím centrální správy
o Možnost nastavení workflow pro odstranění zranitelnosti
o ES1500 umožňuje skenovat až 5 segmentů sítě současně s různou politikou
o Existuje v SW variantě „Internet Scanner“ i jako specializovaná
appliance„EnterpriseScanner“
6
© Copyright IBM Corporation 2007
IBM Global Technology Services
Metody detekce škodlivých kódů/útoků
7
© Copyright IBM Corporation 2007
IBM Global Technology Services
Proventia Network IPS
o Zařízení, které umožňuje ochranu před útokem a škodlivými kody, které nejsou
odhalitelné standardními bezpečnostními mechanismy
o Další vrstva ochrany vedle firewallu a antivirových systémů
o V závislosti na typu zapojení funguje buď v IDS modu /detekce útoků a obsluha
rozhodu o následné akci/ nebo IPS modu – dochází automaticky k zablokování útoku
o Široká škála modelů, které se liší propustností, počtem portů, latencí, redundancí.
o Možnost dékodovat přes 200 protokolů a datových formátů
o Virtuální patching, (ochrana zranitelných – neopatchovaných systémů) využívá XPress updaty
o Ochrana před známými i neznámými útoky. Reakce na útok: Block, Quarantine,
Ignore, Log Evidence, Email SNMP, User-Specified
o Jednotný management použitelný nejen pro síťové IPS, ale i vulnerability skenery, host
IPS pro servery a desktopy a další ISS produkty.
8
© Copyright IBM Corporation 2007
IBM Global Technology Services
Proventia Network IPS Continuum:
The Most Complete Portfolio Available
How a customer benefits from an integrated portfolio:
Better Protection
• Protect each segment of
the network
• Consistent Naming for Attacks
• Simple Reporting – 1 System
• Automated Updates – XPU’s
4
9
Lower Cost
EZ Implementation
• Fewer Resources for a Single Management
System to handle all devices
• Automation (Updates, Trust X-Force)
• Single Reporting System
• Single process to manage security alerts
•
•
•
•
•
Same GUI throughout
Single System to Manage
Deployment Services
Managed Security Services
Certified Technical Support
© Copyright IBM Corporation 2007
IBM Global Technology Services
Odolnost proti výpadku, možnosti zapojení
Zařízení jsou odolná proti výpadkům:
o Výpadek hardware
o Výpadek napájení
o Software failure
Možnosti zapojení:
o Inline Prevention Mode
o Inline Simulation Mode
o Passive mode (IDS)
10
© Copyright IBM Corporation 2007
IBM Global Technology Services
Proventia Web Application Security
SQL (Structured Query
Language) Injection
XSS (Cross-site
scripting)
PHP (Hypertext
Preprocessor) fileincludes
CSRF (Cross-site
request forgery)
Path Traversal
HTTP Response Splitting
Forceful Browsing
Expands security
capabilities to meet both
compliance requirements
and threat evolution
11
© Copyright IBM Corporation 2007
IBM Global Technology Services
ISS Proventia IPS for Crossbeam
o IDS/IPS řešení pro bezpečnostní platformu
Crossbeam
– Chassis-based, Crossbeam je bezpečnostní
platforma pro zabezpečení perimetru,
integrovatelná s bezpečnostnímu produkty 3.
stran CheckPoint, IBM ISS, TrendMicro
– Vyvinuto za účelem dosažení vysoké
propustnosti (až 20 Gbps v rámci jednoho
chassi) a vysoké dostupnosti služby
(99,999999%)
12
© Copyright IBM Corporation 2007
IBM Global Technology Services
Proventia Multifunction Security System – MX řada
Komplexní zabezpečení
perimetru:
- Firewall a VPN
- Intrusion Prevention IDS/IPS
MX5110
(1000 signatur)
- Antivir a Antispyware (signaturový) Ports
- Web Filtering (62 kategorií)
- Antispam (98%)
Performance
Aktuálně 6 modelů od 50 do 3000 uživatelů
(Full Inspection)
Target
Deployment
13
10
600
Mbps
MX3006
6
200
Mbps
Enterprise
Medium
3000 uživatelů 500 uživatelů
© Copyright IBM Corporation 2007
IBM Global Technology Services
Serverová ochrana - 3 produktové řady
o Proventia Server for Windows
o Proventia Server for Windows
o RealSecure Server Sensor
Široká podpora platforem: Windows, Linux, Unix platforms (AIX, HP-UX and
Solaris)
Ochrana serveru před známými i neznámými útoky
o Možnost kotroly šifrovaného SSL spojení
o Ochrana před Buffer overflow útoky
o Řízení přístupu k serveru dle nastavené politiky, možnost vynucení politiky
o Personální firewall
o Kontrola integrity registrů, souborů, auditování OS
o Logování podezřelých aktivit a kontrola shody s nastavenou politikou
14
© Copyright IBM Corporation 2007
IBM Global Technology Services
Proventia Desktop – Vícevrstvá ochrana
80
115
135
445
1025
??
15
© Copyright IBM Corporation 2007
IBM Global Technology Services
SiteProtector centrální správa
16
© Copyright IBM Corporation 2007
IBM Global Technology Services
SiteProtector SP 1001 Appliance
Připraveno k nasazení do stávající infrastruktury, bez nutnosti pořizovat další
HW,SW
HW specifikace: 2U rack, CPU Dual Xeon 2.8 GHz, RAM 4 GB, Disk Space Dual 74
GB
Windows Server 2003, Database SQL Server 2005, Quarterly OS Security Updates,
Server protection Proventia Server for Windows
Umožňuje zpracování až 1mil. Událostí za den
17
© Copyright IBM Corporation 2007
IBM Global Technology Services
SiteProtector verze
18
© Copyright IBM Corporation 2007
IBM Global Technology Services
Managed Security Services & the Virtual-SOC
Customer
Sites
IBM Internet Security Systems
Global Security Operations Center
Meta data
(logs, events)
Security
Operations Center
SOC
Atlanta - Detroit
BackBone
Management
Monitoring
Alerting
Reporting
IT-Security Manager
SOC
Brussels
SOC
Tokyo
Value of Managed Security Services
• služby 24x7
• Quality SLA’s
• Security specialisté
• Alerting a eskalace incidentů
• 7 let archivace
19
SOC
Brisbane
• Včasné varování
• Security výzkum
• Garantovaná ochrana 50k USD
• Minimalizace rizik
© Copyright IBM Corporation 2007
IBM Global Technology Services
NetFlow
NetFlow je v současnosti nejrozšířenější průmyslový standard pro
měření a monitorování počítačových sítí na základě IP toků.
20
© Copyright IBM Corporation 2007
IBM Global Technology Services
IBM Proventia Network ADS
IBM Proventia® Network Anomaly Detection
System (ADS) is a two-tier, appliance-based
system that:
Delivers industry-leading network
behavior analysis to support network
protection, regulatory compliance and
network management
Incorporates global research to facilitate
up-to-date network protection and
analysis with Active Threat Feed and
ATLAS global threat portal
Complements existing security and
network protection strategies by
integrating with the IBM Internet Security
Systems™ protection platform
Works with the IBM Proventia
Management SiteProtector™
system, which helps streamline
network management through
centralized command and control
21
© Copyright IBM Corporation 2007
IBM Global Technology Services
Hlavní přínosy anomaly detection systému
Bezpečnostní přínosy
o Detekce Botnetů, Zero-day síťových červů armies and phishing
o Ochrana před útoky z řad interních uživatelů – detekce nezvyklých aktivit
o Možnost korelace s událostmi z dalších bezpečnostních komponent
o Vysledování nevhodného využívání zdrojů (Skype, YouTube atp.)
Další přínosy
o Monitoring využívání zdrojů
o Kapacitní plánování (trendování, historické statistiky využítí aplikací)
o Forenzní – (vysledování příčin chyb, identifikace nedostatečného výkonu atp.)
22
© Copyright IBM Corporation 2007
IBM Global Technology Services
Customizovatelný Reporting
23
© Copyright IBM Corporation 2007
IBM Global Technology Services
Penetrační testování – Ethical Hacking
24
© Copyright IBM Corporation 2007
IBM Global Technology Services
Motivy hackerů
o Peníze a zisk – citlivé finanční systémy
o Využití počítačového vybavení - jakýkoliv systém
– Schopnost uploadování zlomyslných kódů – vysoká propustnost, vysoká
úložná kapacita
– Použití systému jako Hacking Base – jakýkoliv systém
– Použití systému jako „DDOS attack soldier“ – velký počet systémů,
vysoká dostupnost
o Politický boj
o Zlomyslnost, Msta, Konkurence
o Sláva a pověst – systémy s velkou publicitou
o Rozptýlení a zábava
25
© Copyright IBM Corporation 2007
IBM Global Technology Services
Dopad Hackingu na obchodní aktivity
o Konkurenční trh – ztráta pozice
o Finanční ztráta – hmotné vs. nehmotné ztráty
o Cena značky – poškození dobrého jména
o Právní následky – zákonné povinnosti
o Důvěra zákazníků
26
© Copyright IBM Corporation 2007
IBM Global Technology Services
Co je Ethical Hacking?
o Způsob provádění bezpečnostních testů
o Simulace chování potencionálního vetřelce
o Odraz toho, co se může stát v případě opravdového útoku
o Proces zajištující kontrolu shody směrnic se skutečností
27
© Copyright IBM Corporation 2007
IBM Global Technology Services
Zadávací podmínky testů
o Směr vedení testu
o Předmět testování
o Black box vs. White box testing
o Destruktivní nedestruktivní
o Skrytý vs. Kooperativní
o Časové vymezení testů
28
© Copyright IBM Corporation 2007
IBM Global Technology Services
IBM a Ethical Hacking
o Pravidla pro provádění Ethical Hackingu
IBM pracuje vždy na základě „Pověřovacího dopisu“ nebo „Specifikace
rozsahu práce“
IBM respektuje vymezené hranice
IBM vždy upozorní klienta na provedené bezpečnostní průniky
IBM neposkytuje přístup ke klientským systémům osobám mimo
vymezený tým
IBM neprovádí akce, které mohou poškodit nebo zničit data klienta
IBM vždy respektuje přání klienta
29
© Copyright IBM Corporation 2007
IBM Global Technology Services
Postup provádění Ethical Hackingu
Úvodní
schůzka
Ethical
Hacking
Výsledná
zpráva
Analýz
a
o
Standardní zahájení
projektu
o
Vytvoření plánu
útoku
o
Analýza finálních
výsledků
o
Seznámení s plánem
útoků
o
Vyjednání a podepsání o
potvrzení “Get-out-ofJail-Free” : písemné
potvrzení ke svolení s o
provedením hackingu
(„Pověřovací dopis“,
„Specifikace rozsahu
práce“)
o
Sběr užitečných
informací
o
o
Automatická (as
much as possible)
analýza, scanování
a snifování v síti
Ohodnocení
nalezených
zranitelností
Vysvětlení nalezených
a použitých
zranitelností
o
Vyvození možných
o
doporučení a opatření
o
Vytvoření finálního
reportu
Diskuse ohledně
implementace
potenciálních opatření
30
Manuální průzkum
aplikací a OS
© Copyright IBM Corporation 2007
IBM Global Technology Services
Výsledky a závěrečná zpráva
31
© Copyright IBM Corporation 2007
IBM Global Technology Services
Často se vyskytující nálezy
o Špatně volená uživatelská hesla
o Neaplikované opravy známých bezpečnostních
chyb
o Chyby v kódu aplikací
• SQL injection
• XSS
o Testovací prostředí a aplikace
• Nedůslednost
• Defaultní nastavení
o Testovací přístupy
• „Admin backdoors“
32
© Copyright IBM Corporation 2007
IBM Global Technology Services
Přínosy realizace testů
o Zjištění zranitelných míst a následně doporučení na jejich odstranění
o Ověření bezpečnosti vyvíjených internetových aplikací
o Prověření činnosti externího dodavatele služeb
o Kontrola souladu s interní politikou
o Prověření bezpečnostního povědomí zaměstnanců a administrátorů
o Zvýraznění role bezpečnosti pro vyšší management
33
© Copyright IBM Corporation 2007