Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Тестирование на проникновение в сетях Microsoft (v.2)Dmitry Evteev
Как показывает практика проведения тестирований на проникновение компанией Positive Technologies, всего 4-х часов достаточно атакующему, находящемуся во внутренней сети компании, для того, чтобы получить максимальный уровень привилегий. С чем это связано и можно ли от этого защититься? Данная тема будет освещена в ходе доклада Дмитрия Евтеева. На вебинаре будут подробно рассмотрены типовые успешные сценарии атак в сетях Microsoft, а также действия атакующего, связанные с пост эксплуатацией в Active Directory.
Анализ защищенности Web-приложений, выявление уязвимостей в реальных условияхDmitry Evteev
Уязвимости и атаки на Web-приложения, общепринятые классификации уязвимостей. Ошибки, допускаемые разработчиками при создании клиентской и серверной частей Web-приложения, их возможные последствия и методы выявления и устранения. Примеры из практики. Обзор специализированных средств защиты Web-приложений: Web Application Firewall (WAF). Стоит ли полагаться на WAF?
Методология выявления уязвимостей в Web-приложениях, в частности, с использованием различных средств автоматического анализа.
Ведущий: Халил Бидджу
На мастер-классе вы узнаете, как провести атаку на приложение, защищенное файрволом. Ведущий расскажет о техниках обхода WAF и представит систематизированный и практический подход к их применению. Мастер-класс будет интересен даже начинающим специалистам. Вниманию слушателей будет представлен новый инструмент для поиска уязвимостей межсетевых экранов — WAFNinja.
Исследование безопасности создаваемых информационных систем и разрабатываемых приложений становится распространенной практикой. Безопасники получили наконец заслуженное признание и «включены в цикл» разработки, их вписывают в нормативку, создают базы знаний для хранения результатов исследований. Чего ждут разработчики и владельцы информационных систем от исследователей? Поговорим о задачах, которые предстоит решать, и о качестве исследований, проводимых на регулярной основе.
Листовка нашего продукта, подготовленная к PHD 2016. Подробнее по ссылке http://www.slideshare.net/ValeryBoronin/application-inspector-ssdl-edition-product
English version:
www.slideshare.net/ValeryBoronin/pt-application-inspector-ssdl-edition-leaflet-67085824
PT AI Desktop edition product brief:
www.slideshare.net/ValeryBoronin/pt-application-inspector-desktop-edition-product-brief
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииLETA IT-company
Презентация Ивушкина Андрея, заместителя руководителя направления систем менеджмента компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
В современном бизнесе все решает время. Доступность корпоративных приложений из любой точки земного шара и с любых мобильных устройств - это и есть облик современного бизнеса. Но как обеспечить подобную доступность? VPN-шлюзы? Доставка приложений через веб-сервисы? Каждая компания свободна в выборе любого из решений. Но насколько безопасны эти решения? В презентации затронута практическая безопасность при организации удаленного доступа к приложениям с использованием решений самых популярных брендов в этой сфере.
РусКрипто CTF 2010 Full Disclosure (мастер класс)Dmitry Evteev
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
Развитие систем анализа защищенности. Взгляд в будущее!Dmitry Evteev
Системы анализа защищенности являются удобным и простым инструментом, помогающим своевременно обнаруживать уязвимости в информационных системах. Они прошли долгий путь от утилит из набора "для хакера" до систем обеспечения информационной безопасности в инфраструктуре любой сложности. Как все было на самом деле, что мы имеем сейчас и что нас ждет в будущем? Именно об этом и пойдет речь в этом выступлении.
Использование Web Application Firewall вызвано желанием снизить существующие угрозы со стороны атак, направленных на эксплуатацию уязвимостей в Web-приложениях. Однако, как и все созданное человек, WAF имеет недостатки, которые позволяют воспользоваться уязвимостями даже на самых защищенных серверах…
В презентации рассмотрены следующие вопросы:
- технические и организационные подробности подготовки и проведения РусКрипто CTF 2010
- заложенные уязвимости, пути их обнаружения и эксплуатации
- хронология событий на РусКрипто CTF 2010 и не найденные игроками уязвимости
2. http://www.ptsecurity.ru/lab/analytics/
Статистика по результатам тестирований на
проникновение 2011-2012
Статистика уязвимостей в веб-приложениях за 2012 год
(с 2006 года)
Статистика уязвимостей систем дистанционного
банковского обслуживания 2011-2012
Аналитика Positive Technologies
3. Тестирование на проникновение – это один из
методов проведения аудита информационной
безопасности, который при расширении
соответствующих границ позволяет получить оценку
состояния процессов информационной безопасности
на принципиально новом качественном уровне.
Тестирование на проникновение
4. Пентест - это запустить троянчика на
компьютере генерального директора.
Пентест в отличии от аудита ИБ бесполезен.
Пентест бесполезен для Бизнеса.
Пентест - это имитация
действий злоумышленника.
Заблуждения дилетантов про пентесты
5. Позитивное тестирование на проникновение
Заказчик
Формирование
требований,
определение границ
проведения работ
Менеджер
проекта
Управление
проектом
Группа экспертов
Сбор информации
Аналитик
Анализ результатов оценки
защищенности, оформление отчетных
документов
Группа экспертов
Инвентаризация сети,
идентификация сервисов
Группа экспертов
Идентификация уязвимостей:
инструментальное
сканирование и ручные
методы
Группа экспертов
Эксплуатация уязвимостей:
получение доступа,
повышение привилегий
Группа экспертов
Оценка защищенности
веб-приложений
Анализ защищенности с
новым уровнем
привилегий
Группа экспертов
Оценка защищенности
беспроводных сетей
Отчет
Система трекинга
Система автоматизации
социотехнических
проверок
База знаний по уязвимостям и методам
эксплутации
Система
тестирования
Координатор
проекта
Управление
проектом
(технические
аспекты)
Координатор проекта
Управление проектом
(технические аспекты),
контроль качества
Эксперты в различных
областях (SCADA, ERP, и др.)
привлекаются при
необходимости
Презентация Группа экспертов
Оценка эффективности
программы осведомленности в
вопросах ИБ Разработчики
Обновление базы
знаний MaxPatrol
База знаний
8. Их МНОГО и они уязвимы
«Пароли», Человеки, Технологии, Продукты,
Организационные составляющие и т.п.
Идентификаторы и пароли
9. ВСЕ веб-приложения уязвимы
Их ОЧЕНЬ много и они присутствуют практически во
всех компонентах информационной системы
Уязвимости веб-приложений
10. Уязвимости веб-приложений по степени риска (доля
сайтов, %)
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
Высокий Средний Низкий
45%
90% [ЗНАЧЕ
НИЕ]
11. Позитивный анализ приложений
Заказчик
Формирование
требований,
определение границ
проведения работ
Эксперт
Автоматизированное
сканирование, проверка
соответствия
конфигураций
рекомендациям по
безопасной настройке
Группа экспертов
Анализ PHP-кода
Система трекинга Группа экспертов
Анализ JAVA, ASP.NET и
другого кода
Группа экспертов
Анализ мобильных
приложений
Аналитик
Анализ результатов оценки
защищенности, оформление отчетных
документов
Отчет
Веб-приложение Веб-приложение
Веб-приложение
Мобильное
приложение
Менеджер проекта
Управление проектом
(организационные
вопросы)
Архитектор проекта
Управление проектом
(технические аспекты)
16. Распределение уязвимостей по уровням риска в
зависимости от типа CMS
25%
25%
7%
70%
72%
89%
5%
3%
4%
Собственной
разработки
Свободные
Коммерческие
Высокий Средний Низкий
18. Вероятность успешной атаки возрастает с числом
доступных систем и сервисов атакующему
Системы X Сервисы X Сервисы других систем &&
Пользователей, при этом Системы/Сервисы/
Пользователи постоянно пополняются
Не эффективное разграничение сетевых сервисов
19. Проблема «Бога»
Проблема множества систем X на количество
пользователей
Обслуживание инфраструктуры
Шифрование?
Установка «закладок»
Управление доступом/использование привилегий
20. Сервисы инфраструктуры
Популяризация «мобильного офиса»
Удаленный доступ для администратора сети
Клиенты и партнеры
Забытый «мусор» на периметре…
Необходимость в публикации приложений для
доступа «из вне»
23. http://www.ptsecurity.ru/lab/analytics/
Статистика по результатам тестирований на
проникновение 2011-2012
Статистика уязвимостей в веб-приложениях за 2012 год
(с 2006 года)
Статистика уязвимостей систем дистанционного
банковского обслуживания 2011-2012
Более подробно