SlideShare a Scribd company logo

тест на проникновение

A
a_a_a
1 of 15
Download to read offline
Тест на проникновение (Penetration Test) объективный метод оценки защищенности информационной системы предприятия Владимир Ткаченко, директор ООО «Агентство активного аудита» Евгений Ермолаев, CISM, Технический директор ООО «Агентство активного аудита»
Тест на проникновение Это Имитация атаки группой хакеров, цели которых: • проникновение информационную систему(ы) компании • кража и/или модификация конфиденциальных данных • нарушение работы критических бизнес процессов компании В отличие от реальных злоумышленников команда пентестеров соблюдает этические правила при проведении всех работ. Виды тестов: White box Исполнитель имеет доступ к системам и располагает полной информацией о них Black Box Имитирует группу хакеров, которые не имеют сведений о целевой системе (системах). Имитация хакеров, располагающих информацией частично (например о диапазоне IP адресов, Web сайтах, физическом месторасположении, идентификаторах беспроводных Grey Box сетей и т.д), а также возможно, доступом с низким уровнем привилегий в некоторые тестируемые системы. 08.06.2012 © ООО «Агентство активного аудита» 2
Цели теста Основные цели: - Снизить потенциальный финансовый и репутационный ущерб от реализации угроз; - Определить эффективность принятых мер защиты; - Получить фундамент для планирования развития ИТ и ИБ предприятия; - Защитить потенциальных пользователей (сотрудников, партнеров, заказчиков) систем(ы) или приложения от компрометации их данных или других мошеннических действий; - Получить независимую оценку о степени защищенности систем(ы) 08.06.2012 © ООО «Агентство активного аудита» 3
Задачи теста на проникновение Тестирование позволяет оценить: 1) Реальную картину защищенности информационной системы 08.06.2012 © ООО «Агентство активного аудита» 4
Задачи теста на проникновение Тестирование позволяет оценить: 2) недостатки в процессах и процедурах управления ИБ - установка обновлений в ИТ системах и ПО - управление изменениями - управление доступом - резервное копирование - обучение пользователей - управление инцидентами - использование лицензионного ПО 08.06.2012 © ООО «Агентство активного аудита» 5
Задачи теста на проникновение Тестирование позволяет оценить: 3) осведомленность и реакцию персонала на возникновение инцидентов ИБ - реакция на возникновение инцидента информационной безопасности - способность обнаруживать и противостоять атакам методом социальной инженерии 08.06.2012 © ООО «Агентство активного аудита» 6
Цели Возможные цели тестирования: • Внешний и внутренний периметр сети • WEB сайты • Базы данных • Специализированные приложения • Анализ конфигураций сетевых устройств, приложений и серверов на соответствие стандартам безопасности • Тестирование сотрудников на устойчивость к методам социальной инженерии • Физическое проникновение на территорию • Беспроводные сети • Анализ кода WEB-сайтов • Анализ кода приложений 08.06.2012 © ООО «Агентство активного аудита» 7
Векторы Методы проникновения по способу организации (вектору): 1) Проникновение через сетевую инфраструктуру 2) Социальная инженерия 3) Физическое проникновение 08.06.2012 © ООО «Агентство активного аудита» 8
КАК ПРОВОДИТЬ ТЕСТ? Методы оценки защищенности (согласно NIST) включают - Тестирование - процесс проверки систем в определенных условиях, позволяющий сравнить полученные результаты с ожидаемыми; - Экспертиза (обследование) – процесс инспектирования, аудита, изучения и анализа систем для понимания их текущего состояния (функционирования) или сбора доказательств; - Интервью - процесс получения информации от групп специалистов для понимания текущего состояния систем (процессов) и идентификации возможных мест для сбора доказательств. Наиболее распространенные методологии тестов на проникновение: • Special Publication SP 800-115 (Technical Guide to Information Security Testing and Assessment) ; • OSSTMM (Open Source Security Methodology Manual ); • ISSAF (Information System Security Assessment Framework ); • BSI (A Penetration Testing Model) 08.06.2012 © ООО «Агентство активного аудита» 9
Основные этапы теста Мероприятия ЭТАПЫ Результаты -Определение ответственных с - Соглашение о неразглашении обеих сторон; конфиденциальной информации; - Проведение встречи для Планирование - Договор (предмет, ответственность определения границ, подходов и сторон, оплата, сроки, условия и формат методов; и подготовка результатов) - Согласование тестов и путей воздействия -Сбор информации о целевой системе; - Составление карты сети; Оценка Список возможных уязвимостей и вариантов их эксплуатации - Идентификация уязвимостей; - Проникновение; защищенности - Получение привилегий в системе; - Развитие атаки (нарушение КЦД информации); - Компрометация пользователей и/или систем; - Создание каналов доступа к Отчет об анализе защищенности системе; - Уничтожение следов пребывания в Подготовка отчета системе 08.06.2012 © ООО «Агентство активного аудита» 10
РЕЗУЛЬТАТ Результат проведения теста на проникновение – отчет понятный менеджменту, ИТ и другим аудиторам Отчет позволяет: • Получить объективную картину состояния ИБ на предприятии; • Получить входные данные для анализа ИТ рисков; • Оценить степень эффективности текущих мер защиты; • Планировать дальнейшее развитие ИТ и ИБ на предприятии; • Предотвратить потери для бизнеса Отчет содержит: • Анализ угроз и уязвимостей по разделам (сетевой уровень (инфраструктура), приложения, базы данных, Web-сайты, беспроводные сети, атаки методами социальной инженерии, другие варианты атак (физическое проникновение)); • Сценарии атак и результаты реализации; • Рекомендации по снижению или устранению рисков. 08.06.2012 © ООО «Агентство активного аудита» 11
СКАНИРОВАНИЕ VS ТЕСТ НА ПРОНИКНОВЕНИЕ • Оценить все векторы атак; • Получить данные для анализа ИТ рисков; • Планировать бюджет ИТ и ИБ с максимальным ROI • Корректировать процессы и процедуры • Получить протоколы на английском на 500> стр; • Получить красивые графики для менеждеров ; • Потратить бюджет на тест на проникновение 08.06.2012 © ООО «Агентство активного аудита» 12
РЕЗУЛЬТАТ (ПРИМЕР) Уровень защищенности по векторам атак (экспертная оценка) Сетевой периметр 10 9 8 7 Физическое проникновение WEB-сайты (приложения) 6 5 4 3 2 1 0 Инсайдерские атаки (внутренний Интерфейсы приложений (подбор злоумышленник) паролей) Социальная инженерия Беспроводные сети Текущее состояние Идеальная защита Критический (система не защищена) 08.06.2012 © ООО «Агентство активного аудита» 13
СТАТИСТИКА ПО ПРОВЕДЕННЫМ ТЕСТАМ TOP 10 критических уязвимостей Риск от 0 до 10 Отсутствие процессов управления СУИБ (политики безопасности, 10 управление доступом, управление изменениями, управление … 9 Отсутствие обучения сотрудников основам ИБ Неправильные настройки безопасности публично доступных приложений 8 (невыполнение рекомендаций производителя) Множество доступных интерфейсов авторизации, и использование 8 администраторами простых паролей Неправильная архитектура сети, отсутствие разделения среды разработки, 7 тестирования и эксплуатации приложений (взлом критических … Отсутствие сегментирования сети, неправильная настройка правил 7 фильтрации и мониторинга систем предотвращения вторжений 6 Уязвимости WEB-сайтов приводящие к НСД в сеть (SQL injection) Возможность организации массовой рассылки с серверов корпоративной 6 почты (спам, фишинг) Настройки сетевых устройств по умолчанию (пароли, SNMP community и 5 др) Использование администраторами критических серверов для решения 4 повседневных задач и использование дополнительных нестандартных … 0 1 2 3 4 5 6 7 8 9 10 08.06.2012 © ООО «Агентство активного аудита» 14
info@auditagency.com.ua www.auditagency.com.ua 044 228 15 88

Recommended

PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 

Recommended

PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Pentest Report Sample
Pentest Report SamplePentest Report Sample
Pentest Report SampleTraining center "Echelon"
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
Методологии аудита информационной безопасности
Методологии аудита информационной безопасностиМетодологии аудита информационной безопасности
Методологии аудита информационной безопасностиPositive Hack Days
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииТесты на проникновение как основа реальной оценки состояния ИБ в организации
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
LETA IT-company
 
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...NAUMEN. Информационные системы управления растущим бизнесом
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
 
Certification
CertificationCertification
Certificationcnpo
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Alexey Kachalin
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
Expolink
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
Компания УЦСБ
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
Glib Pakharenko
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Alexey Kachalin
 

More Related Content

What's hot

Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
grishkovtsov_ge
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
DialogueScience
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
 
Audit intro
Audit introAudit intro
Audit introcnpo
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
Solar Security
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
Expolink
 
Certification
CertificationCertification
Certificationcnpo
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Alexey Kachalin
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
Aleksey Lukatskiy
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
Expolink
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
Aleksey Lukatskiy
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
Компания УЦСБ
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
cnpo
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
cnpo
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 

What's hot (20)

Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
Практические аспекты защиты персональных данных в ИС операторов связи (Сердюк...
 
Общий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасностиОбщий план комплексного аудита информационной безопасности
Общий план комплексного аудита информационной безопасности
 
Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...Практические аспекты проведения аудита информационной безопасности компании 2...
Практические аспекты проведения аудита информационной безопасности компании 2...
 
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действииЭтичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
 
Audit intro
Audit introAudit intro
Audit intro
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
 
Security as a Service = JSOC
Security as a Service = JSOCSecurity as a Service = JSOC
Security as a Service = JSOC
 
Марат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасностиМарат Хазиев (Астерит) - Аудит информационной безопасности
Марат Хазиев (Астерит) - Аудит информационной безопасности
 
Certification
CertificationCertification
Certification
 
пр 03.JSOC inside
пр 03.JSOC insideпр 03.JSOC inside
пр 03.JSOC inside
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!Аудит ИБ - всё начинается с него, но им не заканчивается!
Аудит ИБ - всё начинается с него, но им не заканчивается!
 
Майндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭКМайндкарта по 239-му приказу ФСТЭК
Майндкарта по 239-му приказу ФСТЭК
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
пр Спроси эксперта DLP
пр Спроси эксперта DLPпр Спроси эксперта DLP
пр Спроси эксперта DLP
 
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
пр Спроси эксперта. Все, что вы хотели узнать про «дыры» в коде, но не у кого...
 
Сканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакераСканер-ВС. Сертифицированный инструмент для этичного хакера
Сканер-ВС. Сертифицированный инструмент для этичного хакера
 
Сертификация - это просто ?
Сертификация - это просто ?Сертификация - это просто ?
Сертификация - это просто ?
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 

Similar to тест на проникновение

Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
Glib Pakharenko
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Alexey Kachalin
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
Positive Hack Days
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
Alexey Kachalin
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
Denis Batrankov, CISSP
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
Alexey Kachalin
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
Expolink
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteriaa_a_a
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Uladzislau Murashka
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
DialogueScience
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность?
Ivan Piskunov
 

Similar to тест на проникновение (20)

Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
ЛОМАТЬ И СТРОИТЬ, И СНОВА ЛОМАТЬ
 
5.про soc от jet
5.про soc от jet5.про soc от jet
5.про soc от jet
 
Evgeniy gulak sherif
Evgeniy gulak sherifEvgeniy gulak sherif
Evgeniy gulak sherif
 
Принципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБПринципы защиты информации и метрики ИБ
Принципы защиты информации и метрики ИБ
 
Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015Ломать и строить. PHDays 2015
Ломать и строить. PHDays 2015
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Как правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEMКак правильно сделать SOC на базе SIEM
Как правильно сделать SOC на базе SIEM
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Астерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информацииАстерит - практический подход к реализации проектов по защите информации
Астерит - практический подход к реализации проектов по защите информации
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Podgotovka k auditu
Podgotovka k audituPodgotovka k auditu
Podgotovka k auditu
 
04 Dorofeev
04 Dorofeev04 Dorofeev
04 Dorofeev
 
Presentation IS criteria
Presentation IS criteriaPresentation IS criteria
Presentation IS criteria
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность?
 

тест на проникновение

  • 1. Тест на проникновение (Penetration Test) объективный метод оценки защищенности информационной системы предприятия Владимир Ткаченко, директор ООО «Агентство активного аудита» Евгений Ермолаев, CISM, Технический директор ООО «Агентство активного аудита»
  • 2. Тест на проникновение Это Имитация атаки группой хакеров, цели которых: • проникновение информационную систему(ы) компании • кража и/или модификация конфиденциальных данных • нарушение работы критических бизнес процессов компании В отличие от реальных злоумышленников команда пентестеров соблюдает этические правила при проведении всех работ. Виды тестов: White box Исполнитель имеет доступ к системам и располагает полной информацией о них Black Box Имитирует группу хакеров, которые не имеют сведений о целевой системе (системах). Имитация хакеров, располагающих информацией частично (например о диапазоне IP адресов, Web сайтах, физическом месторасположении, идентификаторах беспроводных Grey Box сетей и т.д), а также возможно, доступом с низким уровнем привилегий в некоторые тестируемые системы. 08.06.2012 © ООО «Агентство активного аудита» 2
  • 3. Цели теста Основные цели: - Снизить потенциальный финансовый и репутационный ущерб от реализации угроз; - Определить эффективность принятых мер защиты; - Получить фундамент для планирования развития ИТ и ИБ предприятия; - Защитить потенциальных пользователей (сотрудников, партнеров, заказчиков) систем(ы) или приложения от компрометации их данных или других мошеннических действий; - Получить независимую оценку о степени защищенности систем(ы) 08.06.2012 © ООО «Агентство активного аудита» 3
  • 4. Задачи теста на проникновение Тестирование позволяет оценить: 1) Реальную картину защищенности информационной системы 08.06.2012 © ООО «Агентство активного аудита» 4
  • 5. Задачи теста на проникновение Тестирование позволяет оценить: 2) недостатки в процессах и процедурах управления ИБ - установка обновлений в ИТ системах и ПО - управление изменениями - управление доступом - резервное копирование - обучение пользователей - управление инцидентами - использование лицензионного ПО 08.06.2012 © ООО «Агентство активного аудита» 5
  • 6. Задачи теста на проникновение Тестирование позволяет оценить: 3) осведомленность и реакцию персонала на возникновение инцидентов ИБ - реакция на возникновение инцидента информационной безопасности - способность обнаруживать и противостоять атакам методом социальной инженерии 08.06.2012 © ООО «Агентство активного аудита» 6
  • 7. Цели Возможные цели тестирования: • Внешний и внутренний периметр сети • WEB сайты • Базы данных • Специализированные приложения • Анализ конфигураций сетевых устройств, приложений и серверов на соответствие стандартам безопасности • Тестирование сотрудников на устойчивость к методам социальной инженерии • Физическое проникновение на территорию • Беспроводные сети • Анализ кода WEB-сайтов • Анализ кода приложений 08.06.2012 © ООО «Агентство активного аудита» 7
  • 8. Векторы Методы проникновения по способу организации (вектору): 1) Проникновение через сетевую инфраструктуру 2) Социальная инженерия 3) Физическое проникновение 08.06.2012 © ООО «Агентство активного аудита» 8
  • 9. КАК ПРОВОДИТЬ ТЕСТ? Методы оценки защищенности (согласно NIST) включают - Тестирование - процесс проверки систем в определенных условиях, позволяющий сравнить полученные результаты с ожидаемыми; - Экспертиза (обследование) – процесс инспектирования, аудита, изучения и анализа систем для понимания их текущего состояния (функционирования) или сбора доказательств; - Интервью - процесс получения информации от групп специалистов для понимания текущего состояния систем (процессов) и идентификации возможных мест для сбора доказательств. Наиболее распространенные методологии тестов на проникновение: • Special Publication SP 800-115 (Technical Guide to Information Security Testing and Assessment) ; • OSSTMM (Open Source Security Methodology Manual ); • ISSAF (Information System Security Assessment Framework ); • BSI (A Penetration Testing Model) 08.06.2012 © ООО «Агентство активного аудита» 9
  • 10. Основные этапы теста Мероприятия ЭТАПЫ Результаты -Определение ответственных с - Соглашение о неразглашении обеих сторон; конфиденциальной информации; - Проведение встречи для Планирование - Договор (предмет, ответственность определения границ, подходов и сторон, оплата, сроки, условия и формат методов; и подготовка результатов) - Согласование тестов и путей воздействия -Сбор информации о целевой системе; - Составление карты сети; Оценка Список возможных уязвимостей и вариантов их эксплуатации - Идентификация уязвимостей; - Проникновение; защищенности - Получение привилегий в системе; - Развитие атаки (нарушение КЦД информации); - Компрометация пользователей и/или систем; - Создание каналов доступа к Отчет об анализе защищенности системе; - Уничтожение следов пребывания в Подготовка отчета системе 08.06.2012 © ООО «Агентство активного аудита» 10
  • 11. РЕЗУЛЬТАТ Результат проведения теста на проникновение – отчет понятный менеджменту, ИТ и другим аудиторам Отчет позволяет: • Получить объективную картину состояния ИБ на предприятии; • Получить входные данные для анализа ИТ рисков; • Оценить степень эффективности текущих мер защиты; • Планировать дальнейшее развитие ИТ и ИБ на предприятии; • Предотвратить потери для бизнеса Отчет содержит: • Анализ угроз и уязвимостей по разделам (сетевой уровень (инфраструктура), приложения, базы данных, Web-сайты, беспроводные сети, атаки методами социальной инженерии, другие варианты атак (физическое проникновение)); • Сценарии атак и результаты реализации; • Рекомендации по снижению или устранению рисков. 08.06.2012 © ООО «Агентство активного аудита» 11
  • 12. СКАНИРОВАНИЕ VS ТЕСТ НА ПРОНИКНОВЕНИЕ • Оценить все векторы атак; • Получить данные для анализа ИТ рисков; • Планировать бюджет ИТ и ИБ с максимальным ROI • Корректировать процессы и процедуры • Получить протоколы на английском на 500> стр; • Получить красивые графики для менеждеров ; • Потратить бюджет на тест на проникновение 08.06.2012 © ООО «Агентство активного аудита» 12
  • 13. РЕЗУЛЬТАТ (ПРИМЕР) Уровень защищенности по векторам атак (экспертная оценка) Сетевой периметр 10 9 8 7 Физическое проникновение WEB-сайты (приложения) 6 5 4 3 2 1 0 Инсайдерские атаки (внутренний Интерфейсы приложений (подбор злоумышленник) паролей) Социальная инженерия Беспроводные сети Текущее состояние Идеальная защита Критический (система не защищена) 08.06.2012 © ООО «Агентство активного аудита» 13
  • 14. СТАТИСТИКА ПО ПРОВЕДЕННЫМ ТЕСТАМ TOP 10 критических уязвимостей Риск от 0 до 10 Отсутствие процессов управления СУИБ (политики безопасности, 10 управление доступом, управление изменениями, управление … 9 Отсутствие обучения сотрудников основам ИБ Неправильные настройки безопасности публично доступных приложений 8 (невыполнение рекомендаций производителя) Множество доступных интерфейсов авторизации, и использование 8 администраторами простых паролей Неправильная архитектура сети, отсутствие разделения среды разработки, 7 тестирования и эксплуатации приложений (взлом критических … Отсутствие сегментирования сети, неправильная настройка правил 7 фильтрации и мониторинга систем предотвращения вторжений 6 Уязвимости WEB-сайтов приводящие к НСД в сеть (SQL injection) Возможность организации массовой рассылки с серверов корпоративной 6 почты (спам, фишинг) Настройки сетевых устройств по умолчанию (пароли, SNMP community и 5 др) Использование администраторами критических серверов для решения 4 повседневных задач и использование дополнительных нестандартных … 0 1 2 3 4 5 6 7 8 9 10 08.06.2012 © ООО «Агентство активного аудита» 14