Dmitry Evteev, profile picture
Uploaded byDmitry Evteev
PPT, PDF949 views

Ломаем (и строим) вместе

Документ посвящен использованию системы MaxPatrol для консалтинга и тестирования на проникновение (пентестов) в области информационной безопасности. Рассматриваются различные модули, включая анализ уязвимостей веб-приложений и соответствие стандартам, а также примеры применения и методологии тестирования. Также упоминается процесс оценки состояния защиты и управления уровнем безопасности систем.

Embed presentation

Downloaded 114 times
Ломаем (и строим) вместе! Дмитрий Евтеев ( Positive Technologies)
О чем пойдет речь MaxPatrol для консалтинга Примеры использования MaxPatrol в консалтинговых проектах. MaxPatrol для пентестов Тесты на проникновение, PCI ASV, анализ Web-приложений, аудиты ИБ, анализ ERP-систем. Настройки профиля сканирования, анализ результатов, подготовка отчетов.
MaxPatrol internals Тестирование на проникновение ( модуль PenTest) это комплекс мероприятий, направленных на оценку текущего состояния процессов обеспечения ИБ тестирование на преодоление защиты это один из методов проведения аудита ИБ Оценка уровня защищенности ( модуль Аудит ) это комплекс мероприятий, направленных на оценку текущего состояния процессов обеспечения ИБ методикой «белого-ящика» анализ защищенности ( технологический , организационный и т.д.) Управление уровнем защищенности ( модуль Compliance) это комплекс мероприятий, направленных на оценку уровня соответствия требованиям к обеспечению информационной безопасности ( внутренняя политика ИБ , PCI DSS, с тандарты серии ISO 2700 x, Center of Internet Security (CIS) guides и тд. )
Модуль PenTest: сканер портов
Модуль PenTest: сканер уязвимостей
Примеры пентестов : обнаружение уязвимостей
Модуль PenTest: анализ веб-приложений Анализ защищенности веб-приложений ( fuzzing)
Примеры пентестов : ч то такое анализ веб-приложения методикой «черного ящика» Web- сервер Рабочее место аудитора Проверка 1 Уязвимость 1: подбор пароля Impact: доступ к приложению (с ограниченными привилегиями) Уязвимость 2: внедрение операторов SQL Impact: только чтение файлов (включена опция magic quotes) Уязвимость 3: выход за каталог Impact: выполнение команд на сервере ( LFI over /proc ) Проверка N Найдена уязвимость
Модуль PenTest: настройка профиля сканирования веб-приложений
Модуль PenTest: тестирование новых приложений
Модуль PenTest: подбор паролей Общепринятые admin:123456 Administrator:P@ssw0rd … SAP (DIAG) SAP*: 06071992, PASS манданты: 000, 001, 066, все новые (RFC) SAPCPIC: ADMIN манданты:000, 001, 066, все новые … Oracle sys:manager sys:change_on_install … Cisco Cisco:Cisco … …
Примеры пентестов : Привет Павлик :)
Выявление уязвимых конфигураций : ... aaa authentication login default local-case aaa authentication login authen none ... line vty 0 3 exec-timeout 0 0 line vty 4 exec-timeout 0 0 privilege level 15 login authentication authen ... Модуль Compliance
Модуль Compliance: переопределение контролей
Модуль Аудит
Модуль Аудит : пример использования
Модуль Аудит : пример использования
Модуль Аудит : пример использования
Модуль Аудит : пример использования
Модуль Аудит : анализ СУБД
Модуль Аудит : анализ ERP- систем
Модуль Compliance: анализ ERP- систем
Примеры пентестов : анализ защищенности Сканирование сети Успешно подобран пароль! Эксплуатация SQL Injection Выполнение команд на сервере Повышение привилегий Атака на внутренние ресурсы Внутренний пентест Установка сканера MaxPatrol Поиск уязвимостей Эксплуатация уязвимостей Перемещение в ИС ЦО Проведение атаки на ресурсы ЦО Получение максимальных привилегий во всей сети!
Примеры пентестов : использование архитектуры
Примеры пентестов : анализ защищенности
Примеры пентестов : отчетность
Примеры пентестов : отчетность
Примеры пентестов : PCI ASV
Примеры пентестов : отчетность по PCI DSS
Примеры пентестов : отчетность по PCI DSS (метрики трудозатрат)
Спасибо за внимание! Вопросы ? [email_address] http://devteev.blogspot.com/

More Related Content

PPT
Fuzzing - автоматическое тестирование безопасности
bySQALab
 
PPT
Что такое пентест
byDmitry Evteev
 
PPTX
Этичный хакинг или пентестинг в действии
bySQALab
 
PPTX
5 особенностей при вводе в эксплуатацию веб приложения
byРуслан Раянов
 
PPTX
Тестирование на проникновение
byУчебный центр "Эшелон"
 
PPTX
Penetration testing
byTraining center "Echelon"
 
PPTX
5 особенностей при вводе в эксплуатацию веб приложения
byВячеслав Сычев
 
PPT
Security configuration review
byAlexander Dorofeev
 
Fuzzing - автоматическое тестирование безопасности
bySQALab
 
Что такое пентест
byDmitry Evteev
 
Этичный хакинг или пентестинг в действии
bySQALab
 
5 особенностей при вводе в эксплуатацию веб приложения
byРуслан Раянов
 
Тестирование на проникновение
byУчебный центр "Эшелон"
 
Penetration testing
byTraining center "Echelon"
 
5 особенностей при вводе в эксплуатацию веб приложения
byВячеслав Сычев
 
Security configuration review
byAlexander Dorofeev
 

What's hot

PPTX
RuSIEM 2016
byOlesya Shelestova
 
ODP
Security zap and selenium
byAnton Shapin
 
PPTX
Автоматизация построения правил для Approof
byPositive Hack Days
 
PDF
ИБ Стратегия обороны. Серия №1
byКомпания УЦСБ
 
PPTX
Внедрение автоматизации тестирования на Сервисной Шине
bySQALab
 
PPSX
Перспективные исследования и технологии
byAncud Ltd.
 
PPT
Slides for meeting on 29.03.2007
byatamur
 
PDF
Этичный хакинг
byPositive Hack Days
 
PPT
Развитие систем анализа защищенности. Взгляд в будущее!
byDmitry Evteev
 
PDF
ИБ Стратегия обороны. Серия №3
byКомпания УЦСБ
 
PPT
Fuzzing: ключевая концепция обеспечения безопасности проекта
byMedia Gorod
 
PPT
Fuzzing Qa A.Komlev
byguest4e4c91
 
PPT
Практика проведения DDoS-тестирований
byDmitry Evteev
 
PDF
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
byIosif Itkin
 
PDF
Formal Verification of a Linux Security Module
byDenis Efremov
 
PPT
Мобильный офис глазами пентестера
byDmitry Evteev
 
PPTX
этичный хакинг и тестирование на проникновение (Publ)
byTeymur Kheirkhabarov
 
PDF
Охота на угрозы на BIS summit 2016
bySergey Soldatov
 
PPTX
RuSIEM (15.11.2015)
byOlesya Shelestova
 
PDF
ИБ Стратегия обороны. Серия №4 ч.2
byКомпания УЦСБ
 
RuSIEM 2016
byOlesya Shelestova
 
Security zap and selenium
byAnton Shapin
 
Автоматизация построения правил для Approof
byPositive Hack Days
 
ИБ Стратегия обороны. Серия №1
byКомпания УЦСБ
 
Внедрение автоматизации тестирования на Сервисной Шине
bySQALab
 
Перспективные исследования и технологии
byAncud Ltd.
 
Slides for meeting on 29.03.2007
byatamur
 
Этичный хакинг
byPositive Hack Days
 
Развитие систем анализа защищенности. Взгляд в будущее!
byDmitry Evteev
 
ИБ Стратегия обороны. Серия №3
byКомпания УЦСБ
 
Fuzzing: ключевая концепция обеспечения безопасности проекта
byMedia Gorod
 
Fuzzing Qa A.Komlev
byguest4e4c91
 
Практика проведения DDoS-тестирований
byDmitry Evteev
 
Testing of a Risk Control System Implementation for High-Load Exchange and Br...
byIosif Itkin
 
Formal Verification of a Linux Security Module
byDenis Efremov
 
Мобильный офис глазами пентестера
byDmitry Evteev
 
этичный хакинг и тестирование на проникновение (Publ)
byTeymur Kheirkhabarov
 
Охота на угрозы на BIS summit 2016
bySergey Soldatov
 
RuSIEM (15.11.2015)
byOlesya Shelestova
 
ИБ Стратегия обороны. Серия №4 ч.2
byКомпания УЦСБ
 

Viewers also liked

PPTX
Жизнь проекта на production
byNikolay Sivko
 
PPT
Безопасность веб-приложений сегодня
byDmitry Evteev
 
PPTX
Managing Your Pentest Data with Kvasir: Toorcon 15
bygrutz
 
PDF
Group IB. Сергей Золотухин "Тренды развития киберпреступлений 2015"
byExpolink
 
PPT
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
byDefcon Moscow
 
PPTX
Немного о киберпреступности. Вячеслав Федоров
byBranchMarketing
 
PPTX
Ruby on Rails Penetration Testing
by3S Labs
 
PDF
Defcon Moscow #0x0A - Mikhail Firstov "Hacking routers as Web Hacker"
byDefcon Moscow
 
PPTX
Моделирование угроз для приложений
bySQALab
 
PPTX
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
byКонференция разработчиков программного обеспечения SECON'2014
 
PPTX
Django Web Application Security
bylevigross
 
PPTX
Vulnerability Assessment Presentation
byLionel Medina
 
PDF
Group and Team
bymetnashikiom2011-13
 
PPT
The Security Vulnerability Assessment Process & Best Practices
byKellep Charles
 
Жизнь проекта на production
byNikolay Sivko
 
Безопасность веб-приложений сегодня
byDmitry Evteev
 
Managing Your Pentest Data with Kvasir: Toorcon 15
bygrutz
 
Group IB. Сергей Золотухин "Тренды развития киберпреступлений 2015"
byExpolink
 
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
byDefcon Moscow
 
Немного о киберпреступности. Вячеслав Федоров
byBranchMarketing
 
Ruby on Rails Penetration Testing
by3S Labs
 
Defcon Moscow #0x0A - Mikhail Firstov "Hacking routers as Web Hacker"
byDefcon Moscow
 
Моделирование угроз для приложений
bySQALab
 
SECON'2014 - Команда CTRL-PNZ - Уязвимости для самых маленьких. Что это, как ...
byКонференция разработчиков программного обеспечения SECON'2014
 
Django Web Application Security
bylevigross
 
Vulnerability Assessment Presentation
byLionel Medina
 
Group and Team
bymetnashikiom2011-13
 
The Security Vulnerability Assessment Process & Best Practices
byKellep Charles
 

Similar to Ломаем (и строим) вместе

PPT
Penetration testing (AS IS)
byDmitry Evteev
 
PDF
Методологии аудита информационной безопасности
byPositive Hack Days
 
PPTX
From ERP to SCADA and back
byqqlan
 
PPT
Pentest requirements
byGlib Pakharenko
 
PDF
тест на проникновение
bya_a_a
 
PDF
PCI DSS - основные заблуждения при проведении тестов на проникновение
byDigital Security
 
PPTX
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
byLETA IT-company
 
PPT
Дащенко Владимир (УЦСБ) - Практический опыт проведения тестирований на проник...
byExpolink
 
PDF
Gordey - risk vs compliance
byqqlan
 
PPTX
Security testing presentation
byUladzislau Murashka
 
PDF
CodeFest 2012 - Пентест на стероидах
bySergey Belov
 
PDF
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
byCisco Russia
 
PPTX
Umurashka codeib-presentation-v2
byUladzislau Murashka
 
PPTX
Безопаность SAP-систем
byAlexey Kachalin
 
PPTX
Обычное apt (2016)
byAlexey Kachalin
 
PPS
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
byExpolink
 
PDF
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
byБанковское обозрение
 
PDF
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
byExpolink
 
PPTX
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
byAlexey Kachalin
 
PPTX
Методические рекомендации по техническому анализу. О. Макарова.
byExpolink
 
Penetration testing (AS IS)
byDmitry Evteev
 
Методологии аудита информационной безопасности
byPositive Hack Days
 
From ERP to SCADA and back
byqqlan
 
Pentest requirements
byGlib Pakharenko
 
тест на проникновение
bya_a_a
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
byDigital Security
 
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
byLETA IT-company
 
Дащенко Владимир (УЦСБ) - Практический опыт проведения тестирований на проник...
byExpolink
 
Gordey - risk vs compliance
byqqlan
 
Security testing presentation
byUladzislau Murashka
 
CodeFest 2012 - Пентест на стероидах
bySergey Belov
 
3 скакуна, несущих информационную безопасность вперед и стратегия Ciscoпо их ...
byCisco Russia
 
Umurashka codeib-presentation-v2
byUladzislau Murashka
 
Безопаность SAP-систем
byAlexey Kachalin
 
Обычное apt (2016)
byAlexey Kachalin
 
НТБ. Сергей Шерстюк. "Проблемы контроля привилегированных пользователей и их ...
byExpolink
 
Жизнь богаче схем ( APT Cobalt на кончиках пальцев). Сергей Золотухин, Group-IB
byБанковское обозрение
 
Positive Technologies. Григорий Тимофеев. "Позитивные технологии обеспечения ИБ"
byExpolink
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
byAlexey Kachalin
 
Методические рекомендации по техническому анализу. О. Макарова.
byExpolink
 

More from Dmitry Evteev

PPTX
Противодействие хищению персональных данных и платежной информации в сети Инт...
byDmitry Evteev
 
PPTX
penetest VS. APT
byDmitry Evteev
 
PPTX
Уязвимости систем ДБО в 2011-2012 гг.
byDmitry Evteev
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
PPT
Реальные опасности виртуального мира.
byDmitry Evteev
 
PPTX
Истории из жизни. Как взламывают сети крупных организаций.
byDmitry Evteev
 
PPTX
Демонстрация атаки на ДБО
byDmitry Evteev
 
PPTX
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
PPTX
Типовые проблемы безопасности банковских систем
byDmitry Evteev
 
PPTX
Услуги PT для банков
byDmitry Evteev
 
PPTX
PHDays 2012: Future Now
byDmitry Evteev
 
PPTX
Такой (не)безопасный веб
byDmitry Evteev
 
PPTX
Собираем команду хакеров
byDmitry Evteev
 
PPTX
Тестирование на проникновение в сетях Microsoft (v.2)
byDmitry Evteev
 
PPTX
Тестирование на проникновение в сетях Microsoft
byDmitry Evteev
 
PPT
PHDays CTF 2011 Quals/Afterparty: как это было
byDmitry Evteev
 
PPTX
Как взламывают сети государственных учреждений
byDmitry Evteev
 
PPT
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
PPT
CC HackQuest 2010 Full Disclosure (мастер-класс)
byDmitry Evteev
 
DOC
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
byDmitry Evteev
 
Противодействие хищению персональных данных и платежной информации в сети Инт...
byDmitry Evteev
 
penetest VS. APT
byDmitry Evteev
 
Уязвимости систем ДБО в 2011-2012 гг.
byDmitry Evteev
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
byDmitry Evteev
 
Реальные опасности виртуального мира.
byDmitry Evteev
 
Истории из жизни. Как взламывают сети крупных организаций.
byDmitry Evteev
 
Демонстрация атаки на ДБО
byDmitry Evteev
 
История из жизни. Демонстрация работы реального злоумышленника на примере ата...
byDmitry Evteev
 
Типовые проблемы безопасности банковских систем
byDmitry Evteev
 
Услуги PT для банков
byDmitry Evteev
 
PHDays 2012: Future Now
byDmitry Evteev
 
Такой (не)безопасный веб
byDmitry Evteev
 
Собираем команду хакеров
byDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft (v.2)
byDmitry Evteev
 
Тестирование на проникновение в сетях Microsoft
byDmitry Evteev
 
PHDays CTF 2011 Quals/Afterparty: как это было
byDmitry Evteev
 
Как взламывают сети государственных учреждений
byDmitry Evteev
 
Введение в тему безопасности веб-приложений
byDmitry Evteev
 
CC HackQuest 2010 Full Disclosure (мастер-класс)
byDmitry Evteev
 
Chaos Constructions HackQuest 2010 Full Disclosure (мастер-класс)
byDmitry Evteev
 

Ломаем (и строим) вместе

  • 1.
    Ломаем (и строим)вместе! Дмитрий Евтеев ( Positive Technologies)
  • 2.
    О чем пойдетречь MaxPatrol для консалтинга Примеры использования MaxPatrol в консалтинговых проектах. MaxPatrol для пентестов Тесты на проникновение, PCI ASV, анализ Web-приложений, аудиты ИБ, анализ ERP-систем. Настройки профиля сканирования, анализ результатов, подготовка отчетов.
  • 3.
    MaxPatrol internals Тестированиена проникновение ( модуль PenTest) это комплекс мероприятий, направленных на оценку текущего состояния процессов обеспечения ИБ тестирование на преодоление защиты это один из методов проведения аудита ИБ Оценка уровня защищенности ( модуль Аудит ) это комплекс мероприятий, направленных на оценку текущего состояния процессов обеспечения ИБ методикой «белого-ящика» анализ защищенности ( технологический , организационный и т.д.) Управление уровнем защищенности ( модуль Compliance) это комплекс мероприятий, направленных на оценку уровня соответствия требованиям к обеспечению информационной безопасности ( внутренняя политика ИБ , PCI DSS, с тандарты серии ISO 2700 x, Center of Internet Security (CIS) guides и тд. )
  • 4.
    Модуль PenTest: сканер портов
  • 5.
    Модуль PenTest: сканер уязвимостей
  • 6.
    Примеры пентестов : обнаружение уязвимостей
  • 7.
    Модуль PenTest: анализ веб-приложений Анализ защищенности веб-приложений ( fuzzing)
  • 8.
    Примеры пентестов : ч то такое анализ веб-приложения методикой «черного ящика» Web- сервер Рабочее место аудитора Проверка 1 Уязвимость 1: подбор пароля Impact: доступ к приложению (с ограниченными привилегиями) Уязвимость 2: внедрение операторов SQL Impact: только чтение файлов (включена опция magic quotes) Уязвимость 3: выход за каталог Impact: выполнение команд на сервере ( LFI over /proc ) Проверка N Найдена уязвимость
  • 9.
    Модуль PenTest: настройка профиля сканирования веб-приложений
  • 10.
    Модуль PenTest: тестирование новых приложений
  • 11.
    Модуль PenTest: подбор паролей Общепринятые admin:123456 Administrator:P@ssw0rd … SAP (DIAG) SAP*: 06071992, PASS манданты: 000, 001, 066, все новые (RFC) SAPCPIC: ADMIN манданты:000, 001, 066, все новые … Oracle sys:manager sys:change_on_install … Cisco Cisco:Cisco … …
  • 12.
    Примеры пентестов : Привет Павлик :)
  • 13.
    Выявление уязвимых конфигураций: ... aaa authentication login default local-case aaa authentication login authen none ... line vty 0 3 exec-timeout 0 0 line vty 4 exec-timeout 0 0 privilege level 15 login authentication authen ... Модуль Compliance
  • 14.
    Модуль Compliance: переопределение контролей
  • 15.
  • 16.
    Модуль Аудит : пример использования
  • 17.
    Модуль Аудит : пример использования
  • 18.
    Модуль Аудит : пример использования
  • 19.
    Модуль Аудит : пример использования
  • 20.
    Модуль Аудит : анализ СУБД
  • 21.
    Модуль Аудит : анализ ERP- систем
  • 22.
    Модуль Compliance: анализ ERP- систем
  • 23.
    Примеры пентестов : анализ защищенности Сканирование сети Успешно подобран пароль! Эксплуатация SQL Injection Выполнение команд на сервере Повышение привилегий Атака на внутренние ресурсы Внутренний пентест Установка сканера MaxPatrol Поиск уязвимостей Эксплуатация уязвимостей Перемещение в ИС ЦО Проведение атаки на ресурсы ЦО Получение максимальных привилегий во всей сети!
  • 24.
    Примеры пентестов : использование архитектуры
  • 25.
    Примеры пентестов : анализ защищенности
  • 26.
  • 27.
  • 28.
  • 29.
    Примеры пентестов : отчетность по PCI DSS
  • 30.
    Примеры пентестов : отчетность по PCI DSS (метрики трудозатрат)
  • 31.
    Спасибо за внимание!Вопросы ? [email_address] http://devteev.blogspot.com/