Beginners Guide to TikTok for Search - Rachel Pearson - We are Tilt __ Bright...
20090930 Одит и анализ на уязвимостите, заплахите и рисковете
1. 8МА НАЦИОНАЛНА КОНФЕРЕНЦИЯ
ИНФОРМАЦИОННА СИГУРНОСТ И СИСТЕМИ ЗА СЪХРАНЕНИЕ НА ДАННИТЕ
СОФИЯ, 30 СЕПТЕМВРИ 2009 Г.
ОДИТ И АНАЛИЗ НА УЯЗВИМОСТИТЕ,
ЗАПЛАХИТЕ И РИСКОВЕТЕ
Николай Димитров, CISA, CIA, CCSA
Мениджър Одиторски услуги
DFK ANDA Consulting Ltd.
2. Уязвимост?
Всяка слабост в даден ИТ актив, която ако бъде експлоатирана може да
доведе до компрометиране на неговата сигурност (поверителност,
цялост и наличност) и до щети за организацията
Най-чести причини за уязвимости
Програмни грешки
Неправилна конфигурация
Други фактори
Сложност на системите
Известност (популярност) и достъпност на приложението или устройството
Небрежност на потребителите
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 2
3. Риск?
Вероятността дадена заплаха да Рискът, свързан с уязвимостите
експлоатира съществуваща зависи от:
уязвимост в актив или група
активи и да попречи на Оценката на тяхната
организацията да постигне същественост от доставчика
своите цели
Броят на засегнатите ИТ активи в
организацията
Критичната значимост на
засегнатите ИТ активи за бизнеса
Щетите, които може да понесе
организацията, ако засегнатите
активи бъдат компрометирани
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 3
4. Връзка между уязвимости, заплахи и рискове
Източник: по ISO/IEC 27005:2008 Information security risk management
http://www.iso.org/iso/catalogue_detail?csnumber=42107
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 4
5. Актив, цел на
Филтриран атаката
порт
Експлоатиране
Зловреден код на уязвимости в
под карантина системата
Превантивна
защита
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 5
6. Жизнен цикъл на уязвимостите
Източник: HP Open Source Middleware Stacks White Paper: Security of Open Source Middleware Stacks
http://docs.hp.com/en/5991-7435/5991-7435.pdf
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 6
7. Публични бази данни за открити уязвимости
National Institute of Standards and Technology’s National Vulnerability Database
http://nvd.nist.gov/
SecurityFocus
http://www.securityfocus.com/vulnerabilities
Common Vulnerabilities and Exposures List
http://cve.mitre.org/
The Open Source Vulnerability Database
http://osvdb.org/
Secunia Advisories
http://secunia.com/advisories/
US-CERT Vulnerability Notes Database
https://www.kb.cert.org/vuls/
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 7
8. Оценка и управление на риска – процес
Идентифицирайте Опишете
съществените използваемите
заплахи контролни мерки
Определете Идентифицирайте Дефинирайте Оценете риска Оценете
важните активи и приложимите релевантни сценарии (приложимостта, разходите и
тяхната стойност уязвимости за заплахи и вероятността, ефективността
уязвимости щетите) на контролите
Разработете план Определете
за ограничаване нивото на
на рисковете остатъчния риск
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 8
9. Рамка за управлението на уязвимости
Идентифициране и потвърждение Третиране
Инвентарен списък с ИТ активите Мониторинг
Откриване на уязвимости Управление на инциденти
Потвърждаване на откритията Управление на промени
Тестване на актуализации
Оценка и приоритизация на риска Поддръжка и подобряване
Оценка на риска Управление на конфигурациите
Приоритизация на уязвимостите Споразумения за предоставяне на услуги
Политики и нормативни изисквания
Източник: The IIA Global Technology Audit Guide #6 Managing and Auditing IT Vulnerabilities
http://www.theiia.org/guidance/standards-and-guidance/ippf/practice-guides/gtag/gtag6/
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 9
10. Връзка между управлението на уязвимости и ИТ дейностите
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 10
11. 6 индикатора за незадоволително управление на уязвимостите
По-висок от допустимото брой Лоши работни връзки между
на инцидентите в рамките на отговорниците за управлението
даден период на ИТ активите и сигурността
Невъзможност систематично и Невъзможност да се извършват
последователно да се контролирано промени в
идентифицират уязвимостите конфигурациите на ИТ активите
Неприемливо излагане на риск Липса на система за управление
на критични активи на ИТ активите
Невъзможност да се оценят Липса на процес за управление
рисковете, свързани с всяка на конфигурациите, интегриран с
уязвимост и да се подберат и усилията за минимизиране на
приоритизират мерките за уязвимостите
тяхното управление
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 11
12. Одит и анализ на уязвимостите – фази
1. Определяне на обхвата на одита
Кои активи ще се проверяват?
Каква методология ще се използва?
2. Събиране на информация за ИТ активите
Определяне на версии на приложения и операционни системи
3. Оценка на риска
4. Проверка и потвърждаване на уязвимости в откритите приложения
(елиминиране на ‘false positives’)
5. Анализ и идентифициране на причините за уязвимостите
6. Докладване за нивото на остатъчен риск и препоръки за отстраняване на
причините или последиците
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 12
13. Ключови показатели за оценка на ефективността на управлението
на уязвимостите
Процентен дял на наблюдаваните и сканирани системи
Брой на откритите уникални уязвимости
Процентен дял на управляваните системи
Процентен дял на потвърдените уязвимости
Средно време за реакция и пачване на уязвимост
Operational Level Agreement (OLA)
Отделено време за непланирана работа
Брой на инцидентите, в следствие на уязвимост
Въздействие на инцидентите
14. Комплексни скенери за уязвимости
Nessus
Откриване и профилиране
на устройства
Тестване на конфигурации
за съответствие с
установени политики в
организацията
Тества за наличие на
пачове без да изисква
инсталиране на агент
Над 30 хил. плъгина за
тестване на конкретни
уязвимости
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 14
15. Платформи за създаване на експлойти
Metasploit
Среда за разработка, зареждане
и изпълнение на експлойти
срещу дадена машина
• Избор и настройване на експлойт
• Проверка дали мишената е
уязвима към избрания експлойт
• Избор и настройване на payload
• Избор на начин за криптиране на
payload-а, за да не бъде открит
• Изпълнение на експлойта
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 15
16. LiveCD penetration testing toolkit
BackTrack 4
Базиран на Ubuntu Interpid
Над 300 инструмента, логически групирани по стадиите на penetration testing
методологиите
• Information Systems Security Assessment Framework (ISSAF)
• The Open Source Security Testing Methodology Manual (OSSTMM)
Тясно интегриран с Metasploit
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 16
17. Благодаря за вниманието!
Николай Димитров, CISA, CIA, CCSA
Мениджър Одиторски услуги
DFK ANDA Consulting Ltd.
е ndimitrov@dfkanda.bg
t (02) 859 0122
m (088) 969 0361
w http://www.dfkanda.bg
Одит и анализ на уязвимостите, заплахите и рисковете 30 септември 2009 г. 17