Transcript SecPoint Penetrator Audyt sieci może być przyjemny Jacek Gawrych, system Engineer w firmie DOTCOM [email protected], www.dtcom.pl.

SecPoint Penetrator
Audyt sieci może być przyjemny
Jacek Gawrych, system Engineer w firmie DOTCOM
[email protected], www.dtcom.pl
Agenda
• Audyt bezpieczeństwa systemów IT (ok. 15 min.)
• SecPoint Penetrator (ok. 10 min.)
• Pytania (ok. 5 min.)
2/29
Część 1 – Audyt systemów IT
• Audyt sieci jako część procesu zarządzania
ryzykiem
• Cel audytu
• Czym grozi nierobienie audytu
• Korzyści z audytu
• Audyt a Firewall/IPS
• Sposoby realizacji audytów IT
3/29
Audyt jako część
procesu zarządzania ryzykiem (1/3)
• Dwie najważniejsze normy w zakresie
bezpieczeństwa:
• ISO/IEC 27001
• ISO/IEC 27002 (zwane też ISO/IEC 17799)
nakazują wprowadzenie procesu zarządzania
ryzykiem
• Brak procesu zarządzania ryzykiem = brak szansy na
certyfikację
• Proces zarządzania ryzykiem -> norma ISO/IEC 27005
4/29
Audyt jako część
procesu zarządzania ryzykiem (2/3)
Wartość zasobu – Podatności – Zagrożenia - Incydenty
Zagrożenie 2
Incydent 1
Podatność 1
Zagrożenie 1
Podatność 2
System IT
wartość
3.000.000PLN
Podatność 3
Podatność 4
Incydent 2
5/29
Incydent 3
Przykład
Haker
wykonuje atak
SQL Injection
Robak
internetowy
Możliwość ataku
SQL Injection
Haker
Haker
wykonuje atak
XSS
Login: admin
Hasło: admin
Serwer WWW
sklep Internet
Możliwość ataku
XSS
Niszczenie się pod
wpływem kurzu
6/29
Robak
odgaduje
hasło admina i
przejmuje
kontrolę nad
systemem
Audyt jako część
procesu zarządzania ryzykiem (3/3)
• Składowe ryzyka:
• Wartość zasobu
• Poziom podatności
• Poziom zagrożenia
• Prawdopodobieństwo wystąpienia incydentu
• Co robi audyt bezpieczeństwa systemów IT?
ZNAJDUJE PODATNOŚCI
I OKREŚLA ICH POZIOMY!
7/29
Cel audytu
• Zapewnienie rzetelnego wsparcia dla
całościowego procesu zarządzania ryzykiem
• Umożliwienie szybkiego eliminowania
podatności związanych z:
• błędną konfiguracją aplikacji
• błędami programistycznymi w aplikacjach
• słabością haseł/kluczy
8/29
Czym grozi nierobienie audytów
• Wysokie prawdopodobieństwo błędu przy
określaniu wielkości ryzyk
Audyt ≠ wróżenie z fusów
• Niewykrycie podatności dostatecznie wcześnie
i dopuszczenie do pojawienia się zagrożenia,
które ją wykorzysta
9/29
Korzyści z audytu
• Otrzymujemy gotowy dokument, którego treść
włączamy w proces zarządzania ryzykiem
• Mamy szansę zapobiec exploitacji aplikacji,
zanim pojawi się poprawka danego błędu
• Mamy szansę wyeliminować błędy
konfiguracyjne aplikacji
• Możemy zorientować się, czy hasła/klucze w
naszych systemach są dostatecznie silne
10/29
Audyt a Firewall/IPS
• Firewall/IPS również może zapobiec incydentom ->
nie dopuszczą zagrożenia do podatności, nawet jeśli
ona się pojawi
• IPS heurystyczny może najwcześniej zapobiec
atakowi
ALE!
• Tylko audyt pozwala na ocenę podatności i włączenie
jej do procesu zarządzania ryzykiem
• Tylko audyt może wyeliminować błędy
konfiguracyjne
• Tylko audyt podejmie próbę złamania haseł
WNIOSEK
NALEŻY UŻYWAĆ FIREWALL-I, IPS-ÓW
I REGULARNIE PRZEPROWADZAĆ AUDYTY
12/29
Sposoby realizacji audytów IT (1/3)
• Test penetracyjny przeprowadzany przez grupę
specjalistów
• Zalety
• Najlepsze i najpewniejsze wyniki
• Używa rozumu człowieka a nie algorytmów
• Może uwzględniać czynnik ludzki
• Wady
• Cena
• Czas trwania
• Niemożliwość częstego powtarzania
• Niewielu prawdziwych specjalistów
13/29
Sposoby realizacji audytów IT (2/3)
• Oprogramowanie do audytu
• Zalety
• Jakość/Cena
• Czas trwania -> możliwość częstego i
regularnego przeprowadzania audytu
• Wady
• Wymaga umiejętności instalacji i konfiguracji
• Pomyłki (tzw. false positives)
• Niski poziom wsparcia producenta
14/29
Sposoby realizacji audytów IT (3/3)
• Urządzenia do audytu
• Zalety
• Jakość/Cena
• Czas trwania -> możliwość częstego i
regularnego przeprowadzania audytu
• Wysoki poziom wsparcia producenta
• Nie wymagają instalacji – gotowe do użycia od
momentu wyjęcia z pudełka
• Wady
• Pomyłki (tzw. false positives)
15/29
NASZA PROPOZYCJA
SECPOINT PENETRATOR
16/29
Część 1 – Podsumowanie
• Audyt sieci jako część procesu zarządzania
ryzykiem (ISO/IEC 27001, 27002, 27005)
• Cel audytu – wykrycie podatności i ich
poziomów
• Czym grozi nierobienie audytu
• Korzyści z audytu
• Audyt a Firewall/IPS
• Sposoby realizacji audytów IT
17/29
Część 2 – SecPoint Penetrator
•
•
•
•
Dlaczego SecPoint Penetrator
Możliwości SecPoint Penetrator
SecPoint Penetrator Portable
Jak kupić/przetestować
18/29
Dlaczego SecPoint Penetrator
• Wysoka jakość audytów = mało pomyłek
• Dla znalezionych podatności podaje gotowe
sposoby ich eliminacji
• Automatyczne audyty cykliczne
• Statystyki dla audytów cyklicznych
• Szybkie informacje o znalezionych
podatnościach
19/29
Możliwości SecPoint Penetrator (1/6)
• Audyt dowolnego hosta w sieci IP
• Ponad 11.000 podatności w urządzeniu
• Bugtraq (www.securityfocus.com)
• Autorskie podatności SecPoint
20/29
Możliwości SecPoint Penetrator (2/6)
• Opcjonalne ataki agresywne
• Denial of Service
• Brute Force
• Buffer Overflow
21/29
Możliwości SecPoint Penetrator (3/6)
• Weryfikacja podatności prawdziwymi
exploitami
• Symulacja prawdziwych ataków, jakie
stosowałby haker lub robak
• Zawiera Metasploit Framework
22/29
Możliwości SecPoint Penetrator (4/6)
• Współpraca wielu urządzeń
• Stworzenie sieci Penetratorów,
zarządzanych przez jeden z nich
• Możliwość symulacji ataków typu
Distributed Denial of Service (DDoS)
• Wdrożone u dużego ISP w Rosji
23/29
Możliwości SecPoint Penetrator (5/6)
• Ataki słownikowe na:
• Protokoły
• Pliki z hasłami
• Zaszyfrowane pliki .ZIP
24/29
Możliwości SecPoint Penetrator (6/6)
• Generowanie statystyk dla audytów
cyklicznych
• Możliwość obserwacji wykrywanych
podatności w czasie
• Bardzo przydatne przy raportowaniu stanu
bezpieczeństwa
25/29
Możliwości SecPoint Penetrator Podsumowanie
•
•
•
•
•
•
Audyt dowolnego hosta w sieci IP
Opcjonalne ataki agresywne
Weryfikacja podatności prawdziwymi exploitami
Współpraca wielu urządzeń (DDoS)
Ataki słownikowe (hasła w protokołach, plikach)
Generowanie statystyk dla audytów cyklicznych
26/29
SecPoint Penetrator Portable
• Laptop
• Funkcjonalność Penetratora rakowalnego
• + Łamanie kluczy w sieciach bezprzewodowych
• WEP
• WPA
• WPA2
27/29
Jak kupić/przetestować
SecPoint Penetrator
• Wersje dla organizacji o niemal dowolnej wielkości
• Darmowy test jednego adresu IP
• Manager sprzedaży:
• Maciej Kulka
• [email protected]
• www.dtcom.pl
28/29
PYTANIA
29/29