Your SlideShare is downloading. ×
0
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Bezpečnostný audit a penetračné testy (Martin Zajíček)
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

Bezpečnostný audit a penetračné testy (Martin Zajíček)

1,577

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,577
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Bezpečnostný audit a penetračné testy Autor: Martin Zajíček (zajicek @ dcit-consulting.sk) DCIT Consulting, http://www.dcit-consulting.sk IT Security SR 2008
  • 2. Stručný prehľad prezentácie
    • Motivácia realizácie bezpečnostných auditov
    • Penetračný test
    • Technický bezpečnostný audit
    • Penetračný test vs. technický bezpečnostný audit
    • Podoba výstupov
  • 3. 1
    • Motivácia realizácie bezpečnostných auditov
  • 4. Kedy realizovať bezp. audit?
    • snaha začať riešiť technickú bezpečnosť a definovať jej východiskový stav/úroveň
    • pravidelný audit preverujúci aktuálny stav/úroveň bezpečnosti
    • audit naviazaný na implementáciu/ aktualizáciu/migráciu vybranej časti infraštruktúry či pri personálnych/ organizačných zmenách
  • 5. 2
    • Penetračný test
  • 6. Penetračný test - všeobecne
    • preverenie sieťovej infraštruktúry automatizovanými nástrojmi i „manuálne“
    • kvalita závislá od podielu manuálneho testovania na celkovom testovaní (spravidla relevantnejšie nálezy)
    • rôzne variácie a možnosti:
      • otvorená i skrytá (utajená) podoba
      • bez / s poskytnutím informácií (blackbox)
  • 7. Penetračný test – všeobecne 2
    • rôzne variácie a možnosti (pokrač.):
      • interný / externý variant
      • zamerania na celú infraštruktúru alebo len na špecifickú časť (DMZ, WWW aplikácia, atď.)
      • prierezové alebo plnohodnotné
      • možnosť doplniť rôzne doplnkové testy (DoS, test AV ochrany, testy trójskym koňom)
    • ide často krát o simuláciu útoku bez spolupráce so systémovou podporou
  • 8. Penetračný test – na čo myslieť
    • špecifikovať dôležité služby, ktorých výpadok môže spôsobiť vážne problémy
      • vyňatie z testovania alebo presun testovania mimo špičky
    • zmluvné podchytenie testovania (NDA!)
    • jasne definované komunikačné kanály v prípade vážnych nálezov
    • podchytiť aj následné odstránenie prípadných nedostatkov
  • 9. 3
    • Technický bezpečnostný audit
  • 10. Technický audit – všeobecne
    • zameranie na špecifickú časť infraštruktúry:
      • sieťové prvky
      • operačné systémy serverov / pracovných staníc
      • databázové systémy a i.
    • je jasne definovaný rozsah auditu z pohľadu definovania vzorky ale aj obsahu
    • nevyhnutná spolupráca so systémovou podporou auditovaných zariadení (!)
  • 11. Technický audit – na čo myslieť
    • v čase auditu čiastočné obmedzenie auditovanej infraštruktúry
    • možnosť náhľadu na zozbierané dáta
    • pripraviť „pôdu“ pre realizáciu auditu
    • zmluvné podchytenie testovania (NDA!)
    • podchytiť aj následné odstránenie prípadných nedostatkov
  • 12. 4
    • Penetračný test vs. technický bezpečnostný audit
  • 13. Pen. test vs technický audit
    • penetračný test je zameraný len na sieťovú oblasť
    • technický bezpečnostný audit je komplexnejší
    • vzájomný prienik pri sieťových službách
    • simulácia útoku vs spolupráca
  • 14. 5
    • Podoba výstupov
  • 15. Výstupy
    • spravidla ide o technicky detailnú správu
    • management summary, stručné zhodnotenie úrovne testovaného/auditovaného prostredia
    • summary všetkých odporúčaní (checklist)
    • prezentácia výsledkov s možnosťou diskutovať nálezy a odporúčania
  • 16. Výstupy
    • ukážky konkrétnych výstupov
  • 17. Hlavné odkazy prezentácie
    • penetra čný test <> technický bezpečnostný audit
    • dostatočnú pozornosť venovať oblasti mlčanlivosti a odkomunikovaní projektu smerom dovnútra
    • dostatočnú pozornosť venovať aj odstráneniu prípadných nedostatkov
  • 18. Záver Ďakujem za pozornosť

×