SlideShare a Scribd company logo

20090203 Полезни приложения в помощ на ИТ одитора

Nikolay Dimitrov
Nikolay Dimitrov
Technology
1 of 31
Download to read offline
… Пътят на самурая. Според целта, самураят изработва различни оръжия, овладявайки добре особеностите и начина на използването им. В това е същността на Пътя на самурая. Ако не успее да овладее използването на оръжията и не разбере ползата от всяко от тях, не е ли това повърхностност в уменията на един самурай? Миямото Мусаши «Го Рин Но Шо» (Ръкопис на Петте пръстена) Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 2
Програма  Стандартите за одит на информационни системи и CAATs  Общи изисквания и предизвикателства пред ползването на приложения  Видове приложения от полза за ИТ одитора в областите: Data mining и/или анализ на данни Оценка на мрежовата сигурност • Събиране на информация, сканиране и тестване на устройства в мрежа • Откриване на уязвимости • Тестване на безжични мрежи Извън обхват на презентацията: • Одит на СУБД, уеб приложения и уеб сървъри • Преглед и тестване на софтуер и програмен код • Управление на ИТ одит ангажиментите Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 3
Стандартите за одит на информационни системи и CAATs  Guideline 3 - Use of Computer-Assisted Audit Techniques (CAATs) CAATs обхващат всички одит техники, използващи компютърен хардуер и софтуер за извършването на по-ефективни и ефикасни одит тестове и ангажименти като цяло. Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 4
Какво искат ИТ одиторите от ползваните от тях приложения?  Да могат да бъдат ползвани върху различни операционни системи  Максимално богата функционалност и покритие на различни платформи  Лекота при използване и наличие на подходяща документация  Възможност за автоматизация на често повтарящи се или последователно изпълнявани задачи (скриптиране)  Лесно управление, съхраняване и преносимост на конфигурацията  Извеждане на резултатите от работата във файлове или към друго приложение  Оптимално използване на хардуерните ресурси  Ниска степен на влияние върху тестваните машини/мрежи Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 5
Какво може да ограничи ползването на приложенията  Няма възможност за закупуване и/или ползване Липса на средства, време и подкрепа от одит мениджмънта Невъзможност да се идентифицират подходящите приложения  Вътрешна съпротива в одит звеното Инерция, отказ от промяна на навици, страх от новото Недостатъчно познания, умения или мотивация  Неподходяща среда за одитиране Отказ от предоставяне на информация Непълни, некоректни и/или неактуални данни Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 6
Data mining и/или анализ на данни  Електронни таблици  Системи за управление на бази данни MS Office Excel MS Office Access OpenOffice Calc OpenOfiice Base Lotus Symphony Spreadsheets MS SQL 2005 Express  Data Warehouse MySQL  Business Intelligence PostgreSQL  ACL, IDEA Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 7
Пътна карта за работа в мрежата Слой Функция Приложен Приложни програми за крайния потребител Транспортен Адресиране и доставяне на данни на приложения Мрежов Базова комуникация, адресиране и маршрутизиране Канален Мрежов хардуер и драйвери на устройствата Физически Самият кабел или физическата преносна среда Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 8
Предизвикателства при ползването на приложения за анализ на данни  Какво е нужно, за да сте ефективни Много добро познаване на системите и данните, които ще одитирате Безпрепятствен и своевременен достъп до тях (‘read only’) Одиторски умения за работа с CAATs Прилагане на най-добрите практики и референтни модели Способност да се идентифицират проблемните области  Ползи Увеличен обхват • Преглед на цялата популация, вместо на извадка Намалено време за извършване и документиране на тестовете Повишена надеждност в резултата от тестовете Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 9
Оценка на мрежовата сигурност  Разузнаване  Снифъри и анализатори на мрежов трафик  Откриване и профилиране на устройства в мрежата  Скенери за уязвимости  Платформи за създаване на експлойти  LiveCD penetration testing toolkit Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 10
Разузнаване  SamSpade ping nslookup, dig DNS zone transfer whois, IP block search traceroute finger SMTP VRFY, SMTP relay check Анализ на еmail header Email blacklist Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 11
Разузнаване  LDAP Browser Explorer-like LDAP клиент за преглед и анализ на LDAP директории Олекотена версия на Softerra LDAP Administrator, без възможност за редакция на данните в LDAP директориите Поддържа филтриране, търсене и експорт на данни Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 12
Снифъри и анализатори на мрежов трафик  Wireshark (бивш Ethereal) Мощни филтри при прихващане и показване на пакетите Поддържа множество формати • tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor, Novell LANalyzer, WildPackets EtherPeek /AiroPeek Улавя в реално време пакети от Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI Поддържа декриптиране в IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2 Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 13
Снифъри и анализатори на мрежов трафик  Network Miner  Пасивен снифър  Събира данни за машините в мрежата, а не за трафика между тях  Ре-асемблира сертификати, извлечени от пакетите  Cain & Abel  Възстановяване на пароли чрез извличането им от прихванат трафик  Възползва се от слабости в (имплементацията на) стандартите, методите за автентикация и кеширане на данните Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 14
Снифъри и анализатори на мрежов трафик  Tcpdump network monitoring tool, използващ libpcap за прихващане на пакети в мрежа, към която е включен Често се ползва за debug-ване на приложения, генериращи или получаващи мрежов трафик Пуснат на рутер/шлюз може да прихваща и “показва” некриптиран трафик, съдържащ потребителски профили и пароли Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 15
Снифъри и анализатори на мрежов трафик  Ettercap • MitM атаки срещу PPTP тунели • “Събира” пароли от TELNET, FTP, Многофункционален sniffer / POP, RLOGIN, SSH1, ICQ, SMB, interceptor / logger за LAN мрежа. MySQL, HTTP, NNTP, X11, Поддържа активна и пасивна NAPSTER, IRC, RIP, BGP, SOCKS дисекция на много протоколи 5, IMAP 4, VNC, LDAP, NFS, SNMP, (вкл. криптирани) HALF LIFE, QUAKE 3, MSN, YMSG • Вмъкване на символи в изградена • Филтриране или спиране на пакети сесия • OS fingerprint • Снифинг на SSH1 сесии • Прекъсване на сесии • Снифинг на HTTPS сесии, дори • Пасивно сканиране на LAN през прокси • Проверка за други “тровещи” • Remote traffic through GRE tunnel програмки Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 16
Снифъри и скенери в безжични мрежи  NetStumbler Активен скенер, основно използван за: • Wardriving • Потвърждаване на мрежовата конфигурация • Откриване на неоторизирани ("rogue") точки за достъп  Inssider Open-source Работи с 64-битови Win ОС, вкл. Vista Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 17
Снифъри и скенери в безжични мрежи  Kismet Пасивен wireless снифър Има базови IDS възможности (засичане на активни снифъри и някои видове атаки) Поддържа channelhopping Може да записва прихванатите пакети в tcpdump/Wireshark формат Работи под Linux, *BSD и MacOS X Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 18
Профилиране на устройства  Nmap Открива (инвентаризира) компютри в мрежата Генерира списък с “отворени” портове на компютрите Определя версиите на приложенията, ползващи даден порт Определя вида и версията на ОС на сканирания компютър, както и някои от характеристиките на мрежовия адаптер Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 19
Профилиране на устройства  ike-scan Използва IKE протокола за откриване, разпознаване и тестване на IPsec VPN сървъри Генерира и изпраща IKE Phase- 1 пакети към определени машини Декодира и визуализира получения от тях отговор Може да краква pre-shared keys хешовете и да извлича ключовете от тях Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 20
Профилиране на устройства  LanSpy Улеснява събирането на информация за отдалечени машини Преглед на стартирани процеси Преглед на инсталирани приложения Открива • споделени ресурси • отворени портове и ползващи ги приложения • изградени сесии • потребителски групи и профили Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 21
Бенчмарк, одит и документиране на конфигурации на мрежови устройства  CIS Router Audit Tool (RAT)  Четири Perl програми snarf: изтегля конфигурационните файлове ncat: чете правилата и конфигурациите, генерира резултат в CSV формат ncat_report: чете CSV файла, създава HTML доклад rat: стартира останалите програми Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 22
Бенчмарк, одит и документиране на конфигурации на мрежови устройства  Nipper Генерира отчети от конфигурационни файлове на мрежови устройства Отчетът включва детайлен одит на настройките в съответствие с добрите практики, както и списък със самата конфигурация на устройството Поддържа устройства на Cisco, Juniper, HP, CheckPoint, Nortel, Nokia, 3Com, SonicWALL и Bay Networks Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 23
Комплексни скенери за уязвимости  Nessus Откриване и профилиране на устройства Тестване на конфигурации за съответствие с политиките Тества за наличие на пачове без да изисква инсталиране на агент Над 25 хил. плъгина за тестване на определени уязвимости Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 24
Комплексни скенери за уязвимости  GFI LanGuard Network Security Scanner Проверка за уязвимости (Windows и Linux) Открива споделени дялове, отворени портове и потребителски акаунти на работните станции Проверява за липсващи сервизни кръпки и пакети на операционната система и се грижи за инсталирането им  Retina Network Security Scanner Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 25
Комплексни скенери за уязвимости  Security Auditor's Research Assistant (SARA) Характеристики • Интегриран с National Vulnerability Database (NVD) • Изпълнява SQL injection тестове • Изпълнява XSS тестове • Може да се ползва в среда със защитни стени • Поддържа CVE • Самостоятелна и сървърна (daemon) версия • Поддържа потребителски разработени “допълнения” • Базиран на SATAN модела Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 26
Платформи за създаване на експлойти  Metasploit Среда за разработка, зареждане и изпълнение на експлойти срещу дадена машина • Избор и настройване на експлойт • Проверка дали мишената е уязвима към избрания експлойт • Избор и настройване на payload • Избор на начин за криптиране на payload-а, за да не бъде открит • Изпълнение на експлойта Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 27
LiveCD penetration testing toolkit  BackTrack 3 Slackware базирана live дистрибуция Обединява Whax и Auditor Security Collection LiveCD Над 300 инструмента, логически групирани по стадиите на penetration testing методологиите • Information Systems Security Assessment Framework (ISSAF) • The Open Source Security Testing Methodology Manual (OSSTMM) Тясно интегриран с Metasploit Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 28
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 29
Безплатни инструменти за одит на компютърни мрежи  nipper (network infrastructure  firewalk (determine what layer 4 configuration parser) protocols a given IP forwarding http://www.sourceforge.net/projects/ni device will pass) pper http://www.packetfactory.net/projects/f irewalk/  nmap (network mapper) http://www.insecure.org/nmap/  ike-scan (discover and fingerprint IKE hosts (IPsec VPN servers))  rat (router audit tool and benchmark) http://www.nta-monitor.com/tools/ike- http://www.cisecurity.org/ scan/  wireshark (network sniffer)  sam spade (freeware network query http://www.wireshark.org/ tool)  nessus (vulnerability scanner) http://preview.samspade.org/ssw/ http://www.nessus.org/ Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 30
Благодаря за вниманието! Николай Димитров, CISA, CIA, CCSA Мениджър ИТ одит е ndimitrov@dfkanda.bg t (02) 859 0122 m (089) 351 9564 w http://www.dfkanda.bg Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 31

Recommended

20090311 Одит на информационните системи в държавната администрация
20090311 Одит на информационните системи в държавната администрация20090311 Одит на информационните системи в държавната администрация
20090311 Одит на информационните системи в държавната администрацияNikolay Dimitrov
 
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUAREТехники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARESQALab
 
Презентация Фатих
Презентация ФатихПрезентация Фатих
Презентация ФатихFatih Dmrl
 
Security Log Management
Security Log ManagementSecurity Log Management
Security Log ManagementLogMan Graduate School on Knowledge Economy
 
Linux: Relaxing Administration - New Horizons Bulgaria
Linux: Relaxing Administration - New Horizons BulgariaLinux: Relaxing Administration - New Horizons Bulgaria
Linux: Relaxing Administration - New Horizons BulgariaNew Horizons Bulgaria
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovSvetlin Nakov
 
Protokoli
ProtokoliProtokoli
ProtokoliБлага Чобанова
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummiesCode Runners
 

Recommended

20090311 Одит на информационните системи в държавната администрация
20090311 Одит на информационните системи в държавната администрация20090311 Одит на информационните системи в държавната администрация
20090311 Одит на информационните системи в държавната администрацияNikolay Dimitrov
 
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUAREТехники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARE
Техники аналитика - CATWOE, H-METHOD, MOSCOW, SQUARESQALab
 
Презентация Фатих
Презентация ФатихПрезентация Фатих
Презентация ФатихFatih Dmrl
 
Security Log Management
Security Log ManagementSecurity Log Management
Security Log ManagementLogMan Graduate School on Knowledge Economy
 
Linux: Relaxing Administration - New Horizons Bulgaria
Linux: Relaxing Administration - New Horizons BulgariaLinux: Relaxing Administration - New Horizons Bulgaria
Linux: Relaxing Administration - New Horizons BulgariaNew Horizons Bulgaria
 
FABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovFABRIQ - Short - Svetlin Nakov
FABRIQ - Short - Svetlin NakovSvetlin Nakov
 
Protokoli
ProtokoliProtokoli
ProtokoliБлага Чобанова
 
Penetration testing for dummies
Penetration testing for dummiesPenetration testing for dummies
Penetration testing for dummiesCode Runners
 
Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиDido Viktorov
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network AttacksSvetlin Nakov
 
FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8Svetlin Nakov
 
Sdn nfv мрежова виртуализация
Sdn nfv мрежова виртуализацияSdn nfv мрежова виртуализация
Sdn nfv мрежова виртуализацияmartin.ivanov
 
Презентация - sniffing атаки
Презентация - sniffing атакиПрезентация - sniffing атаки
Презентация - sniffing атакиUniversity of Economics - Varna
 
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Lubomir Chorbadjiev
 
Netsec
NetsecNetsec
Netsecaltyalex
 
10724 vpn
10724 vpn10724 vpn
10724 vpnVeselin Velichkov
 
Referat
ReferatReferat
Referatt1234567t
 
Referat
ReferatReferat
Referatt1234567t
 
Intrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техникиIntrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техникиMaria Kostova
 
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка YiiСигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка YiiIlko Kacharov
 
Тестове на уеб приложения
Тестове на уеб приложенияТестове на уеб приложения
Тестове на уеб приложенияKalin Vasilev
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...radopetrov
 
VET4SBO Level 3 module 1 - unit 2 - 0.009 bg
VET4SBO Level 3 module 1 - unit 2 - 0.009 bgVET4SBO Level 3 module 1 - unit 2 - 0.009 bg
VET4SBO Level 3 module 1 - unit 2 - 0.009 bgKarel Van Isacker
 
Svetlin Nakov - .NET Framework Overview
Svetlin Nakov - .NET Framework OverviewSvetlin Nakov - .NET Framework Overview
Svetlin Nakov - .NET Framework OverviewSvetlin Nakov
 
Nakov - .NET Framework Overview + Security
Nakov - .NET Framework Overview + SecurityNakov - .NET Framework Overview + Security
Nakov - .NET Framework Overview + SecuritySvetlin Nakov
 
API Authentication
API AuthenticationAPI Authentication
API Authenticationpetya_st
 
Сравненителна характеристика на криптографски алгоритми
Сравненителна характеристика на криптографски алгоритмиСравненителна характеристика на криптографски алгоритми
Сравненителна характеристика на криптографски алгоритмиВаня Иванова
 
OS
OSOS
OSvoiarn
 

More Related Content

Similar to 20090203 Полезни приложения в помощ на ИТ одитора

Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиDido Viktorov
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network AttacksSvetlin Nakov
 
FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8Svetlin Nakov
 
Sdn nfv мрежова виртуализация
Sdn nfv мрежова виртуализацияSdn nfv мрежова виртуализация
Sdn nfv мрежова виртуализацияmartin.ivanov
 
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Lubomir Chorbadjiev
 
Intrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техникиIntrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техникиMaria Kostova
 
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка YiiСигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка YiiIlko Kacharov
 
Тестове на уеб приложения
Тестове на уеб приложенияТестове на уеб приложения
Тестове на уеб приложенияKalin Vasilev
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...radopetrov
 
VET4SBO Level 3 module 1 - unit 2 - 0.009 bg
VET4SBO Level 3 module 1 - unit 2 - 0.009 bgVET4SBO Level 3 module 1 - unit 2 - 0.009 bg
VET4SBO Level 3 module 1 - unit 2 - 0.009 bgKarel Van Isacker
 
Svetlin Nakov - .NET Framework Overview
Svetlin Nakov - .NET Framework OverviewSvetlin Nakov - .NET Framework Overview
Svetlin Nakov - .NET Framework OverviewSvetlin Nakov
 
Nakov - .NET Framework Overview + Security
Nakov - .NET Framework Overview + SecurityNakov - .NET Framework Overview + Security
Nakov - .NET Framework Overview + SecuritySvetlin Nakov
 
API Authentication
API AuthenticationAPI Authentication
API Authenticationpetya_st
 
Сравненителна характеристика на криптографски алгоритми
Сравненителна характеристика на криптографски алгоритмиСравненителна характеристика на криптографски алгоритми
Сравненителна характеристика на криптографски алгоритмиВаня Иванова
 

Similar to 20090203 Полезни приложения в помощ на ИТ одитора (20)

Методи и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежиМетоди и средства за филтриране на трафика в Lan мрежи
Методи и средства за филтриране на трафика в Lan мрежи
 
Network Security and Network Attacks
Network Security and Network AttacksNetwork Security and Network Attacks
Network Security and Network Attacks
 
FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8FABRIQ - Presentation Nakov 0.8
FABRIQ - Presentation Nakov 0.8
 
Sdn nfv мрежова виртуализация
Sdn nfv мрежова виртуализацияSdn nfv мрежова виртуализация
Sdn nfv мрежова виртуализация
 
Презентация - sniffing атаки
Презентация - sniffing атакиПрезентация - sniffing атаки
Презентация - sniffing атаки
 
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
Enterprise Content Management with Nuxeo EP 5.3.0 (in bulgarian)
 
Netsec
NetsecNetsec
Netsec
 
10724 vpn
10724 vpn10724 vpn
10724 vpn
 
Referat
ReferatReferat
Referat
 
Referat
ReferatReferat
Referat
 
Intrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техникиIntrusion detection system - класификация, методи и техники
Intrusion detection system - класификация, методи и техники
 
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка YiiСигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
 
Тестове на уеб приложения
Тестове на уеб приложенияТестове на уеб приложения
Тестове на уеб приложения
 
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
Криптографски протоколи за сигурна комуникация в интернет - същност, практиче...
 
VET4SBO Level 3 module 1 - unit 2 - 0.009 bg
VET4SBO Level 3 module 1 - unit 2 - 0.009 bgVET4SBO Level 3 module 1 - unit 2 - 0.009 bg
VET4SBO Level 3 module 1 - unit 2 - 0.009 bg
 
Svetlin Nakov - .NET Framework Overview
Svetlin Nakov - .NET Framework OverviewSvetlin Nakov - .NET Framework Overview
Svetlin Nakov - .NET Framework Overview
 
Nakov - .NET Framework Overview + Security
Nakov - .NET Framework Overview + SecurityNakov - .NET Framework Overview + Security
Nakov - .NET Framework Overview + Security
 
API Authentication
API AuthenticationAPI Authentication
API Authentication
 
Сравненителна характеристика на криптографски алгоритми
Сравненителна характеристика на криптографски алгоритмиСравненителна характеристика на криптографски алгоритми
Сравненителна характеристика на криптографски алгоритми
 
OS
OSOS
OS
 

20090203 Полезни приложения в помощ на ИТ одитора

  • 1.
  • 2. … Пътят на самурая. Според целта, самураят изработва различни оръжия, овладявайки добре особеностите и начина на използването им. В това е същността на Пътя на самурая. Ако не успее да овладее използването на оръжията и не разбере ползата от всяко от тях, не е ли това повърхностност в уменията на един самурай? Миямото Мусаши «Го Рин Но Шо» (Ръкопис на Петте пръстена) Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 2
  • 3. Програма  Стандартите за одит на информационни системи и CAATs  Общи изисквания и предизвикателства пред ползването на приложения  Видове приложения от полза за ИТ одитора в областите: Data mining и/или анализ на данни Оценка на мрежовата сигурност • Събиране на информация, сканиране и тестване на устройства в мрежа • Откриване на уязвимости • Тестване на безжични мрежи Извън обхват на презентацията: • Одит на СУБД, уеб приложения и уеб сървъри • Преглед и тестване на софтуер и програмен код • Управление на ИТ одит ангажиментите Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 3
  • 4. Стандартите за одит на информационни системи и CAATs  Guideline 3 - Use of Computer-Assisted Audit Techniques (CAATs) CAATs обхващат всички одит техники, използващи компютърен хардуер и софтуер за извършването на по-ефективни и ефикасни одит тестове и ангажименти като цяло. Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 4
  • 5. Какво искат ИТ одиторите от ползваните от тях приложения?  Да могат да бъдат ползвани върху различни операционни системи  Максимално богата функционалност и покритие на различни платформи  Лекота при използване и наличие на подходяща документация  Възможност за автоматизация на често повтарящи се или последователно изпълнявани задачи (скриптиране)  Лесно управление, съхраняване и преносимост на конфигурацията  Извеждане на резултатите от работата във файлове или към друго приложение  Оптимално използване на хардуерните ресурси  Ниска степен на влияние върху тестваните машини/мрежи Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 5
  • 6. Какво може да ограничи ползването на приложенията  Няма възможност за закупуване и/или ползване Липса на средства, време и подкрепа от одит мениджмънта Невъзможност да се идентифицират подходящите приложения  Вътрешна съпротива в одит звеното Инерция, отказ от промяна на навици, страх от новото Недостатъчно познания, умения или мотивация  Неподходяща среда за одитиране Отказ от предоставяне на информация Непълни, некоректни и/или неактуални данни Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 6
  • 7. Data mining и/или анализ на данни  Електронни таблици  Системи за управление на бази данни MS Office Excel MS Office Access OpenOffice Calc OpenOfiice Base Lotus Symphony Spreadsheets MS SQL 2005 Express  Data Warehouse MySQL  Business Intelligence PostgreSQL  ACL, IDEA Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 7
  • 8. Пътна карта за работа в мрежата Слой Функция Приложен Приложни програми за крайния потребител Транспортен Адресиране и доставяне на данни на приложения Мрежов Базова комуникация, адресиране и маршрутизиране Канален Мрежов хардуер и драйвери на устройствата Физически Самият кабел или физическата преносна среда Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 8
  • 9. Предизвикателства при ползването на приложения за анализ на данни  Какво е нужно, за да сте ефективни Много добро познаване на системите и данните, които ще одитирате Безпрепятствен и своевременен достъп до тях (‘read only’) Одиторски умения за работа с CAATs Прилагане на най-добрите практики и референтни модели Способност да се идентифицират проблемните области  Ползи Увеличен обхват • Преглед на цялата популация, вместо на извадка Намалено време за извършване и документиране на тестовете Повишена надеждност в резултата от тестовете Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 9
  • 10. Оценка на мрежовата сигурност  Разузнаване  Снифъри и анализатори на мрежов трафик  Откриване и профилиране на устройства в мрежата  Скенери за уязвимости  Платформи за създаване на експлойти  LiveCD penetration testing toolkit Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 10
  • 11. Разузнаване  SamSpade ping nslookup, dig DNS zone transfer whois, IP block search traceroute finger SMTP VRFY, SMTP relay check Анализ на еmail header Email blacklist Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 11
  • 12. Разузнаване  LDAP Browser Explorer-like LDAP клиент за преглед и анализ на LDAP директории Олекотена версия на Softerra LDAP Administrator, без възможност за редакция на данните в LDAP директориите Поддържа филтриране, търсене и експорт на данни Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 12
  • 13. Снифъри и анализатори на мрежов трафик  Wireshark (бивш Ethereal) Мощни филтри при прихващане и показване на пакетите Поддържа множество формати • tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor, Novell LANalyzer, WildPackets EtherPeek /AiroPeek Улавя в реално време пакети от Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI Поддържа декриптиране в IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2 Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 13
  • 14. Снифъри и анализатори на мрежов трафик  Network Miner  Пасивен снифър  Събира данни за машините в мрежата, а не за трафика между тях  Ре-асемблира сертификати, извлечени от пакетите  Cain & Abel  Възстановяване на пароли чрез извличането им от прихванат трафик  Възползва се от слабости в (имплементацията на) стандартите, методите за автентикация и кеширане на данните Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 14
  • 15. Снифъри и анализатори на мрежов трафик  Tcpdump network monitoring tool, използващ libpcap за прихващане на пакети в мрежа, към която е включен Често се ползва за debug-ване на приложения, генериращи или получаващи мрежов трафик Пуснат на рутер/шлюз може да прихваща и “показва” некриптиран трафик, съдържащ потребителски профили и пароли Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 15
  • 16. Снифъри и анализатори на мрежов трафик  Ettercap • MitM атаки срещу PPTP тунели • “Събира” пароли от TELNET, FTP, Многофункционален sniffer / POP, RLOGIN, SSH1, ICQ, SMB, interceptor / logger за LAN мрежа. MySQL, HTTP, NNTP, X11, Поддържа активна и пасивна NAPSTER, IRC, RIP, BGP, SOCKS дисекция на много протоколи 5, IMAP 4, VNC, LDAP, NFS, SNMP, (вкл. криптирани) HALF LIFE, QUAKE 3, MSN, YMSG • Вмъкване на символи в изградена • Филтриране или спиране на пакети сесия • OS fingerprint • Снифинг на SSH1 сесии • Прекъсване на сесии • Снифинг на HTTPS сесии, дори • Пасивно сканиране на LAN през прокси • Проверка за други “тровещи” • Remote traffic through GRE tunnel програмки Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 16
  • 17. Снифъри и скенери в безжични мрежи  NetStumbler Активен скенер, основно използван за: • Wardriving • Потвърждаване на мрежовата конфигурация • Откриване на неоторизирани ("rogue") точки за достъп  Inssider Open-source Работи с 64-битови Win ОС, вкл. Vista Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 17
  • 18. Снифъри и скенери в безжични мрежи  Kismet Пасивен wireless снифър Има базови IDS възможности (засичане на активни снифъри и някои видове атаки) Поддържа channelhopping Може да записва прихванатите пакети в tcpdump/Wireshark формат Работи под Linux, *BSD и MacOS X Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 18
  • 19. Профилиране на устройства  Nmap Открива (инвентаризира) компютри в мрежата Генерира списък с “отворени” портове на компютрите Определя версиите на приложенията, ползващи даден порт Определя вида и версията на ОС на сканирания компютър, както и някои от характеристиките на мрежовия адаптер Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 19
  • 20. Профилиране на устройства  ike-scan Използва IKE протокола за откриване, разпознаване и тестване на IPsec VPN сървъри Генерира и изпраща IKE Phase- 1 пакети към определени машини Декодира и визуализира получения от тях отговор Може да краква pre-shared keys хешовете и да извлича ключовете от тях Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 20
  • 21. Профилиране на устройства  LanSpy Улеснява събирането на информация за отдалечени машини Преглед на стартирани процеси Преглед на инсталирани приложения Открива • споделени ресурси • отворени портове и ползващи ги приложения • изградени сесии • потребителски групи и профили Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 21
  • 22. Бенчмарк, одит и документиране на конфигурации на мрежови устройства  CIS Router Audit Tool (RAT)  Четири Perl програми snarf: изтегля конфигурационните файлове ncat: чете правилата и конфигурациите, генерира резултат в CSV формат ncat_report: чете CSV файла, създава HTML доклад rat: стартира останалите програми Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 22
  • 23. Бенчмарк, одит и документиране на конфигурации на мрежови устройства  Nipper Генерира отчети от конфигурационни файлове на мрежови устройства Отчетът включва детайлен одит на настройките в съответствие с добрите практики, както и списък със самата конфигурация на устройството Поддържа устройства на Cisco, Juniper, HP, CheckPoint, Nortel, Nokia, 3Com, SonicWALL и Bay Networks Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 23
  • 24. Комплексни скенери за уязвимости  Nessus Откриване и профилиране на устройства Тестване на конфигурации за съответствие с политиките Тества за наличие на пачове без да изисква инсталиране на агент Над 25 хил. плъгина за тестване на определени уязвимости Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 24
  • 25. Комплексни скенери за уязвимости  GFI LanGuard Network Security Scanner Проверка за уязвимости (Windows и Linux) Открива споделени дялове, отворени портове и потребителски акаунти на работните станции Проверява за липсващи сервизни кръпки и пакети на операционната система и се грижи за инсталирането им  Retina Network Security Scanner Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 25
  • 26. Комплексни скенери за уязвимости  Security Auditor's Research Assistant (SARA) Характеристики • Интегриран с National Vulnerability Database (NVD) • Изпълнява SQL injection тестове • Изпълнява XSS тестове • Може да се ползва в среда със защитни стени • Поддържа CVE • Самостоятелна и сървърна (daemon) версия • Поддържа потребителски разработени “допълнения” • Базиран на SATAN модела Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 26
  • 27. Платформи за създаване на експлойти  Metasploit Среда за разработка, зареждане и изпълнение на експлойти срещу дадена машина • Избор и настройване на експлойт • Проверка дали мишената е уязвима към избрания експлойт • Избор и настройване на payload • Избор на начин за криптиране на payload-а, за да не бъде открит • Изпълнение на експлойта Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 27
  • 28. LiveCD penetration testing toolkit  BackTrack 3 Slackware базирана live дистрибуция Обединява Whax и Auditor Security Collection LiveCD Над 300 инструмента, логически групирани по стадиите на penetration testing методологиите • Information Systems Security Assessment Framework (ISSAF) • The Open Source Security Testing Methodology Manual (OSSTMM) Тясно интегриран с Metasploit Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 28
  • 29. Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 29
  • 30. Безплатни инструменти за одит на компютърни мрежи  nipper (network infrastructure  firewalk (determine what layer 4 configuration parser) protocols a given IP forwarding http://www.sourceforge.net/projects/ni device will pass) pper http://www.packetfactory.net/projects/f irewalk/  nmap (network mapper) http://www.insecure.org/nmap/  ike-scan (discover and fingerprint IKE hosts (IPsec VPN servers))  rat (router audit tool and benchmark) http://www.nta-monitor.com/tools/ike- http://www.cisecurity.org/ scan/  wireshark (network sniffer)  sam spade (freeware network query http://www.wireshark.org/ tool)  nessus (vulnerability scanner) http://preview.samspade.org/ssw/ http://www.nessus.org/ Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 30
  • 31. Благодаря за вниманието! Николай Димитров, CISA, CIA, CCSA Мениджър ИТ одит е ndimitrov@dfkanda.bg t (02) 859 0122 m (089) 351 9564 w http://www.dfkanda.bg Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 31