close

Вход

Забыли?

вход по аккаунту

Концерт Трилогия;doc

код для вставкиСкачать
Практический аудит ИБ
или
Тестирование на проникновение








Что такое “пентест” ?
Методология и структура пентеста
Инструментарий пентеста
Статистика, СМИ и реальное положение вещей
Сложности реальной оценки ИБ
Реальное положение ИБ в коорпорациях и крупных
компаниях
Организационные “пробелы” в ИБ
Выводы
Что такое “Тестирование на проникновение”
или
“пентест” ?
Тестирование на проникновение (жарг. Пентест) —
метод оценки безопасности компьютерных систем или
сетей средствами моделирования атаки
злоумышленника.
В чем разница между работой хакера и пентестера?
Краткая методология и структура тестирования




Сбор информации
–
Выявление периметра сети, сегментов сети, сканирование портов,
определение сервисов и серверов
–
Анализ структуры сети и назначения серверов
Реализация векторов проникновения и эксплуатация
–
Экспертная оценка, растановка приоритетов, выбор основных
векторов для атаки
–
Эксплуатация найденных уязвимостей
–
Повышение привилегий
–
Повторный сбор информации и обследование сети
Тесты на перехват трафика
–
Пассивный и Активный перехват трафика
–
Анализ перехваченной информации
–
Повышение привилегий
–
Повторный сбор информации и обследование сети
Подготовка отчета и рекомендаций
–
Написание общего отчета
–
Написание рекомендаций по устранению уязвимостей
–
Написание рекомендаций по корректировке ИТ и ИБ процессов
компании
Краткая методология и структура тестирования
Так же стоит отметить что:



За время тестирования, описанный выше цикл проходит несколько
итераций подряд, по мере “компромитации“ новых хостов и
получению дополнительной информации о сети и пользователях
Процесс тестирования часто включает в себя, моделирование
конфигурации сети или серверов заказчика на виртуальных
площадках
При обнаружении незнакомых или мало изученных IT-решений в сети
заказчика, аудитор проходит дополнительную итерацию обучения и
изучения данного продукта, включая моделирование и выявление
слабых мест продукта на своих мощностях
Инструментарий пентеста














ПО для инвентаризации ресурсов
Сканеры портов
Сканеры безопасности
Эксплойты (проникновение, повышение привилегий)
ПО облегчающие сбор информации и эксплуотацию ошибок
Brutforce ПО (перебор авторизационных данных)
ПО для перехвата трафика
ПО для закрепления в системе (BackDoors,RAT,Shells,...)
ПО для обхода антивирусной защиты (Пакеры,Джойнеры,
Полиморфные крипторы)
Публичные БД уязвимостей (Приватные по отдельной договоренности)
Аппаратные закладки
Мини-компьютеры
Спецализированные антенны и радио-адаптеры
Собственные разработки
Статистика, СМИ и реальное положение вещей
Общий процент успешного взлома на собственном опыте 80-85%
Типичные новости ИБ:













Румынский хакер взломал сайт Европейского космического агенства
За 12 месяцев хакеры совершили 6 масштабных взломов серверов
Всемирного Банка
Взломан сайт microsoft.com
Хакер pr0f взял на себя ответственность за взлом американской системы
водоснабжения
Citigroup потеряла $2,7 млн из-за хакерского взлома
Хакеры взломали CitiBank через уязвимость в web-интерфейсе
Хакер взломал сеть NASA с помощью SQL-инъекций
Взломана компьютерная сеть пентагона (1,5 тыс.компьютеров)
«Король хакеров» Гари МакКинон пойман за взлом сетей NASA и
Пентагона
Сеть Пентагона была взломана семнадцатилетним австрийским хакеромальтруистом Маркусом Хиршем
Арестован румынский хакер, взломавший сервера NASA
Обнаружены критические уязвимости в Facebook и Google Picasa
….
Статистика, СМИ и реальное положение вещей
И это все лишь “верхушка айсберга” !
Огласке и даже обнаружению подлежит лишь малая часть
проникновений. Абсолютное большинство взломов остается
незамеченным, т.к. Злоумышленники, в большистве своем, ставят
целью не отказ в обслуживаниии или deface, а тайную кражу
конфиденциальной информации.


Вспомните Сноудена, Duqu, Stuxnet и т.д (Их не обнаружили
сразу)
Сложности реальной оценки ИБ

Противодействие сотрудников IT








Противодействие части руководства



Шантаж, угрозы физического и юридического характера
Хамство
Недопонимание в области ИБ





Скрытие целых сегментов сети
Удаление ПО/Серверов
Блокирование фаерволом
«Затягивание» процессов на долгое время
Ложь, неполная правда
Подставы
Давление на начальство
«Почтовая переписка ген.директоров на общедоступной шаре —
нормально. Ведь нам надо же где-то хранить бэкапы!»
«Все это неправда, у нас этого нет. Сеть из нескольких зданий
построенная на хабах — неопасно. Трафик не перехватить»
«Зачем нам парольные политики? У нас все свои! А о почтовом
интерфейсе в сети Интернет никто не знает – он на нестандартном
порте!»
«У нас все глупые сотрудники, никто не сможет это сделать»
Выявление инсайдеров
Реальное положение ИБ в коорпорациях и крупных
компаниях
Примеры типичных уязвимостей:








Парольная и конфиденциальная информация на общих ресурсах
Скрипты и ПО системных администраторов
Не соответствие парольным политикам «на деле»
Web-уязвимости (SQL-Injection,include,xss и т. д.)
Уязвимое ПО в результате «забытого обновления»
Некорректная настройка ПО, забытый факт установки ПО
Заведомо оставленные уязвимости и черные ходы
Следы былых взломов
Организационные “пробелы” в ИБ


Физический доступ злоумышленника к ПК или витой паре

Беспрепятственная установка вредоносного ПО на ПК

Беспрепятственная установка шпионской аппаратуры

Беспрепятственное физическое подключение к сети компании
Физический периметр компании

Незамкнутый периметр контролируемой зоны

Вежливые сотрудники придерживающие или открывающие
дверь с электронным замком
Выводы





ИБ на бумаге недостаточно для каких-либо гарантий. Так же, как и при
сборке машины по ГОСТу, нет гарантий, что при крэш-тесте манекен не
будет разорван. Именно поэтому добросовестные производители
машин проводят крэш-тесты.
Нужна независимая и не предвзятая оценка ИБ
Нужна периодическая проверка ИБ
Относится к аудиту нужно как к возможности сделать процессы ИБ
лучше, а не как к поводу для «наказаний»
Следовать рекомендациям: Не только устранять уязвимости, но и
корректировать сам процесс обеспечения ИБ, что бы повторно
возникнуть аналогичная уязвимость не могла
1/--страниц
Пожаловаться на содержимое документа