Bezpečnostný audit a penetračné testy (Martin Zajíček)

1,848 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,848
On SlideShare
0
From Embeds
0
Number of Embeds
145
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Bezpečnostný audit a penetračné testy (Martin Zajíček)

  1. 1. Bezpečnostný audit a penetračné testy Autor: Martin Zajíček (zajicek @ dcit-consulting.sk) DCIT Consulting, http://www.dcit-consulting.sk IT Security SR 2008
  2. 2. Stručný prehľad prezentácie <ul><li>Motivácia realizácie bezpečnostných auditov </li></ul><ul><li>Penetračný test </li></ul><ul><li>Technický bezpečnostný audit </li></ul><ul><li>Penetračný test vs. technický bezpečnostný audit </li></ul><ul><li>Podoba výstupov </li></ul>
  3. 3. 1 <ul><li>Motivácia realizácie bezpečnostných auditov </li></ul>
  4. 4. Kedy realizovať bezp. audit? <ul><li>snaha začať riešiť technickú bezpečnosť a definovať jej východiskový stav/úroveň </li></ul><ul><li>pravidelný audit preverujúci aktuálny stav/úroveň bezpečnosti </li></ul><ul><li>audit naviazaný na implementáciu/ aktualizáciu/migráciu vybranej časti infraštruktúry či pri personálnych/ organizačných zmenách </li></ul>
  5. 5. 2 <ul><li>Penetračný test </li></ul>
  6. 6. Penetračný test - všeobecne <ul><li>preverenie sieťovej infraštruktúry automatizovanými nástrojmi i „manuálne“ </li></ul><ul><li>kvalita závislá od podielu manuálneho testovania na celkovom testovaní (spravidla relevantnejšie nálezy) </li></ul><ul><li>rôzne variácie a možnosti: </li></ul><ul><ul><li>otvorená i skrytá (utajená) podoba </li></ul></ul><ul><ul><li>bez / s poskytnutím informácií (blackbox) </li></ul></ul>
  7. 7. Penetračný test – všeobecne 2 <ul><li>rôzne variácie a možnosti (pokrač.): </li></ul><ul><ul><li>interný / externý variant </li></ul></ul><ul><ul><li>zamerania na celú infraštruktúru alebo len na špecifickú časť (DMZ, WWW aplikácia, atď.) </li></ul></ul><ul><ul><li>prierezové alebo plnohodnotné </li></ul></ul><ul><ul><li>možnosť doplniť rôzne doplnkové testy (DoS, test AV ochrany, testy trójskym koňom) </li></ul></ul><ul><li>ide často krát o simuláciu útoku bez spolupráce so systémovou podporou </li></ul>
  8. 8. Penetračný test – na čo myslieť <ul><li>špecifikovať dôležité služby, ktorých výpadok môže spôsobiť vážne problémy </li></ul><ul><ul><li>vyňatie z testovania alebo presun testovania mimo špičky </li></ul></ul><ul><li>zmluvné podchytenie testovania (NDA!) </li></ul><ul><li>jasne definované komunikačné kanály v prípade vážnych nálezov </li></ul><ul><li>podchytiť aj následné odstránenie prípadných nedostatkov </li></ul>
  9. 9. 3 <ul><li>Technický bezpečnostný audit </li></ul>
  10. 10. Technický audit – všeobecne <ul><li>zameranie na špecifickú časť infraštruktúry: </li></ul><ul><ul><li>sieťové prvky </li></ul></ul><ul><ul><li>operačné systémy serverov / pracovných staníc </li></ul></ul><ul><ul><li>databázové systémy a i. </li></ul></ul><ul><li>je jasne definovaný rozsah auditu z pohľadu definovania vzorky ale aj obsahu </li></ul><ul><li>nevyhnutná spolupráca so systémovou podporou auditovaných zariadení (!) </li></ul>
  11. 11. Technický audit – na čo myslieť <ul><li>v čase auditu čiastočné obmedzenie auditovanej infraštruktúry </li></ul><ul><li>možnosť náhľadu na zozbierané dáta </li></ul><ul><li>pripraviť „pôdu“ pre realizáciu auditu </li></ul><ul><li>zmluvné podchytenie testovania (NDA!) </li></ul><ul><li>podchytiť aj následné odstránenie prípadných nedostatkov </li></ul>
  12. 12. 4 <ul><li>Penetračný test vs. technický bezpečnostný audit </li></ul>
  13. 13. Pen. test vs technický audit <ul><li>penetračný test je zameraný len na sieťovú oblasť </li></ul><ul><li>technický bezpečnostný audit je komplexnejší </li></ul><ul><li>vzájomný prienik pri sieťových službách </li></ul><ul><li>simulácia útoku vs spolupráca </li></ul>
  14. 14. 5 <ul><li>Podoba výstupov </li></ul>
  15. 15. Výstupy <ul><li>spravidla ide o technicky detailnú správu </li></ul><ul><li>management summary, stručné zhodnotenie úrovne testovaného/auditovaného prostredia </li></ul><ul><li>summary všetkých odporúčaní (checklist) </li></ul><ul><li>prezentácia výsledkov s možnosťou diskutovať nálezy a odporúčania </li></ul>
  16. 16. Výstupy <ul><li>ukážky konkrétnych výstupov </li></ul>
  17. 17. Hlavné odkazy prezentácie <ul><li>penetra čný test <> technický bezpečnostný audit </li></ul><ul><li>dostatočnú pozornosť venovať oblasti mlčanlivosti a odkomunikovaní projektu smerom dovnútra </li></ul><ul><li>dostatočnú pozornosť venovať aj odstráneniu prípadných nedostatkov </li></ul>
  18. 18. Záver Ďakujem za pozornosť

×