Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Bezpečnostný audit a penetračné testy (Martin Zajíček)

1,886 views

Published on

Published in: Technology
  • Be the first to comment

  • Be the first to like this

Bezpečnostný audit a penetračné testy (Martin Zajíček)

  1. 1. Bezpečnostný audit a penetračné testy Autor: Martin Zajíček (zajicek @ dcit-consulting.sk) DCIT Consulting, http://www.dcit-consulting.sk IT Security SR 2008
  2. 2. Stručný prehľad prezentácie <ul><li>Motivácia realizácie bezpečnostných auditov </li></ul><ul><li>Penetračný test </li></ul><ul><li>Technický bezpečnostný audit </li></ul><ul><li>Penetračný test vs. technický bezpečnostný audit </li></ul><ul><li>Podoba výstupov </li></ul>
  3. 3. 1 <ul><li>Motivácia realizácie bezpečnostných auditov </li></ul>
  4. 4. Kedy realizovať bezp. audit? <ul><li>snaha začať riešiť technickú bezpečnosť a definovať jej východiskový stav/úroveň </li></ul><ul><li>pravidelný audit preverujúci aktuálny stav/úroveň bezpečnosti </li></ul><ul><li>audit naviazaný na implementáciu/ aktualizáciu/migráciu vybranej časti infraštruktúry či pri personálnych/ organizačných zmenách </li></ul>
  5. 5. 2 <ul><li>Penetračný test </li></ul>
  6. 6. Penetračný test - všeobecne <ul><li>preverenie sieťovej infraštruktúry automatizovanými nástrojmi i „manuálne“ </li></ul><ul><li>kvalita závislá od podielu manuálneho testovania na celkovom testovaní (spravidla relevantnejšie nálezy) </li></ul><ul><li>rôzne variácie a možnosti: </li></ul><ul><ul><li>otvorená i skrytá (utajená) podoba </li></ul></ul><ul><ul><li>bez / s poskytnutím informácií (blackbox) </li></ul></ul>
  7. 7. Penetračný test – všeobecne 2 <ul><li>rôzne variácie a možnosti (pokrač.): </li></ul><ul><ul><li>interný / externý variant </li></ul></ul><ul><ul><li>zamerania na celú infraštruktúru alebo len na špecifickú časť (DMZ, WWW aplikácia, atď.) </li></ul></ul><ul><ul><li>prierezové alebo plnohodnotné </li></ul></ul><ul><ul><li>možnosť doplniť rôzne doplnkové testy (DoS, test AV ochrany, testy trójskym koňom) </li></ul></ul><ul><li>ide často krát o simuláciu útoku bez spolupráce so systémovou podporou </li></ul>
  8. 8. Penetračný test – na čo myslieť <ul><li>špecifikovať dôležité služby, ktorých výpadok môže spôsobiť vážne problémy </li></ul><ul><ul><li>vyňatie z testovania alebo presun testovania mimo špičky </li></ul></ul><ul><li>zmluvné podchytenie testovania (NDA!) </li></ul><ul><li>jasne definované komunikačné kanály v prípade vážnych nálezov </li></ul><ul><li>podchytiť aj následné odstránenie prípadných nedostatkov </li></ul>
  9. 9. 3 <ul><li>Technický bezpečnostný audit </li></ul>
  10. 10. Technický audit – všeobecne <ul><li>zameranie na špecifickú časť infraštruktúry: </li></ul><ul><ul><li>sieťové prvky </li></ul></ul><ul><ul><li>operačné systémy serverov / pracovných staníc </li></ul></ul><ul><ul><li>databázové systémy a i. </li></ul></ul><ul><li>je jasne definovaný rozsah auditu z pohľadu definovania vzorky ale aj obsahu </li></ul><ul><li>nevyhnutná spolupráca so systémovou podporou auditovaných zariadení (!) </li></ul>
  11. 11. Technický audit – na čo myslieť <ul><li>v čase auditu čiastočné obmedzenie auditovanej infraštruktúry </li></ul><ul><li>možnosť náhľadu na zozbierané dáta </li></ul><ul><li>pripraviť „pôdu“ pre realizáciu auditu </li></ul><ul><li>zmluvné podchytenie testovania (NDA!) </li></ul><ul><li>podchytiť aj následné odstránenie prípadných nedostatkov </li></ul>
  12. 12. 4 <ul><li>Penetračný test vs. technický bezpečnostný audit </li></ul>
  13. 13. Pen. test vs technický audit <ul><li>penetračný test je zameraný len na sieťovú oblasť </li></ul><ul><li>technický bezpečnostný audit je komplexnejší </li></ul><ul><li>vzájomný prienik pri sieťových službách </li></ul><ul><li>simulácia útoku vs spolupráca </li></ul>
  14. 14. 5 <ul><li>Podoba výstupov </li></ul>
  15. 15. Výstupy <ul><li>spravidla ide o technicky detailnú správu </li></ul><ul><li>management summary, stručné zhodnotenie úrovne testovaného/auditovaného prostredia </li></ul><ul><li>summary všetkých odporúčaní (checklist) </li></ul><ul><li>prezentácia výsledkov s možnosťou diskutovať nálezy a odporúčania </li></ul>
  16. 16. Výstupy <ul><li>ukážky konkrétnych výstupov </li></ul>
  17. 17. Hlavné odkazy prezentácie <ul><li>penetra čný test <> technický bezpečnostný audit </li></ul><ul><li>dostatočnú pozornosť venovať oblasti mlčanlivosti a odkomunikovaní projektu smerom dovnútra </li></ul><ul><li>dostatočnú pozornosť venovať aj odstráneniu prípadných nedostatkov </li></ul>
  18. 18. Záver Ďakujem za pozornosť

×