Albert Gonzalez first compromised a web application via SQL injection which gave him access to Heartland's web server. From there, he established remote control of the server and used it to pivot into other internal systems. By identifying the credit card transaction traffic flow, he was able to steal 40 million card numbers costing Heartland $130 million.
4. Gestão de Risco | Análise de Vulnerabilidade
Orientando pelo Números
“75 porcento das empresas serão infectadas com um malware alvo, que
sairam de seu tradicional perímetro e defesas do host. Até agora, estas
Organizações permanecem ignorantes.”
Organizações que sofreram uma brecha nos seus dados tiveram os seguintes
custos incluindo:
74% 59% 33% 32%
reportaram se depararam se depararam tiveram uma
perda de com possíveis com possíveis queda no valor
clientes litígios multas de suas ações
-Ponemon Institute Survey
5. Gestão de Risco | Análise de Vulnerabilidade
Tendências das Vulnerabilidade
CompTIA Redes Sociais Brechas Prejuízo
• Uma • Novas • A severidade das • Para 2011, a
organização não vulnerabiildades brechas numa média do custo
lucrativa diz que vieram do uso escala de 1 a 10. total de uma
as brechas de crescente dos Em 2008 a brecha de
segurança severidade média segurança atingiu
ficaram mais sites de redes foi de 4,8, em $85.161
severas nos sociais como 2009 de 5,3 e em
últimos 12 Facebook e 2012 de 5,9.
meses. Twitter.
6. Gestão de Risco | Análise de Vulnerabilidade
Os Quatro Pilares da Segurança
Para cada pilar, existem diversos objetivos adicionais a serem considerados,
relevantes e prioritários na área de segurança de dados.
7. Gestão de Risco | Análise de Vulnerabilidade
Diferente de teste de intrução
• Não necessita de consultores on-site
• Varreduras contínuas: diárias/semanais
• Relatórios de ação, com informações para remediações fundamentadas
em links com vendors de soluções
• Vai custar menos para você do que um teste de intrusão manual e vai
ocupar menos recursos do seu time
Lembre-se de que os ataques bem sucedidos não respeitam a
muralha convencional de proteção. Daí conhecer as suas
vulnerabilidades e antecipar correções nos ativos de segurança.
8. Gestão de Risco | Análise de Vulnerabilidade
Como administrar Vulnerabilidades?
Automatizar para se ter um regime contínuo de administração de
vulnerabilidades.
9. Gestão de Risco | Análise de Vulnerabilidade
The Automated Vulnerability Detection System (AVDS)
O AVDS é desenhado para detectar, administrar e controlar vulnerabilidades diariamente em
ambientes de TI múltiplos, heterogêneos e de aplicações WEB, através de uma simples
interface central de gerenciamento AUTOMATICAMENTE.
10. Gestão de Risco | Análise de Vulnerabilidade
Característica do sistema Automático
11. Gestão de Risco | Análise de Vulnerabilidade
Os componentes do sistema da AVDS
Scanning Server (SS)
Responsável por descobrir e
prover os dados de
vulnerabilidade para cada rede/
segmento. Uma visão de Hacker
de sua rede.
Information Server (IS)
Ponto Central de
Gerenciamento para todos
os scanning servers
12. Gestão de Risco | Análise de Vulnerabilidade
Diagrama de Rede do AVDS
14. Gestão de Risco | Análise de Vulnerabilidade
SecuriTeam
As vulnerabilidades para o sistema AVDS são fornecidos pelo portal Securiteam.com.
De propriedade e operado pela Beyond Security, SecuriTeam.com é o maior portal
independente de segurança na web
• Operante desde 1998 onde convergem todas as informações sobre novas
vulnerabilidades e que nos permite desenvolver as assinaturas de ataque muito
antes das atualizações dos ativos de segurança instalados.
• Recebe mais de 3.000.000 visitantes por mês
• Contém mais de 11,000 artigos de segurança, consultores, e guias de como fazer
• Atualiza e gerencia a base de dados de nossos testes de vulnerabilidade (9.900 ou
mais testes)
15. Gestão de Risco | Análise de Vulnerabilidade
Principais Funcionalidades do IS 1/3
• Sistema de Chamados
ü Controla o processo de correção
ü Designa tarefas corretivas
ü Acompanha o progresso das correções
ü Bilhetagem inclui detalhes completos
• Automação Completa
ü Atualizações Automatizadas
ü Escaneamentos programados
• Não necessita de qualquer tipo de agentes
• Escaneia qualquer coisa que “fale IP”
ü Comunicação, Produtos e Serviços de Segurança de Dados
ü Testes específicos de Sistemas Operacionais
ü Nível de Aplicação (Escaneamento até a camada 7)
ü Detecção de vulnerabilidades nas aplicações WEB
16. Gestão de Risco | Análise de Vulnerabilidade
Principais Funcionalidades do IS 2/3
• Administração de Ativos – A capacidade de controlar e monitorar o risco
dos ativos de acordo com as prioridades estabelecidas pelo
administrador.
• Relatórios Diferenciados – põe em evidência as mudanças ocorridas na
vulnerabilidade da rede e ajuda a acompanhar o processo corretivo
• Sistema de Auditoria para acompanhar toda a atividade de uso
• Mecanismo de Scoring customiza as severidades das vulnerabilidade
usando o modelo de definição de scoring CVSS
• Dia Zero de Scan – Escaneia imediatamente quando um novo problema
de ALTO RISCO aparece.
• Scans On-demand DoS disponível quando for necessário
• Completo gerenciamento da empresa:
ü Múltiplas redes
ü Hierarquia Empresa/Usuário
17. Gestão de Risco | Análise de Vulnerabilidade
Principais Funcionalidades do IS 3/3
• Totalmente Não Intrusivo
• Simula ataques na rede da organização sem causar qualquer dano
• Consumo mínimo de banda – Nenhum efeito negativo na performance
da rede – configurável entre 8k e 32K
• Precisão – menos de 0.1% de taxa de falso positivo
Definindo e administrando um número ilimitado de organizações através
de uma única interface – sistema de administração de vulnerabilidade que
permite administrar várias organizações de forma hierárquica (AD)
• Faz uso do portal SecuriTeam.com como fonte de informações
• Em conformidade com o padrão MITRE CVE
• Data Mining - drill down através de queries de relatórios interativos na
organização na rede, host e nível de porta
18. Gestão de Risco | Análise de Vulnerabilidade
Hierarquia Baseada em Regras
19. Gestão de Risco | Análise de Vulnerabilidade
Opções de relatórios
— Relatórios incluem:
ü Tabelas e Gráficos
ü Resumo do hosts vulneráveis ou ativos de IP
ü Vulnerabilidades incluindo informações de correções e classificações
Mitre CVE
— Tipos de Relatórios:
ü Relatórios de Resumos
ü Relatórios Detalhados das vulnerabilidades e dos chamados abertos
ü Relatórios Diferenciais
— Relatórios disponíveis em vários formatos incluindo HTML, PDF, XML & CSV
21. Gestão de Risco | Análise de Vulnerabilidade
Tendência da Vulnerabilidade (tela)
22. Gestão de Risco | Análise de Vulnerabilidade
Tendência da Vulnerabilidade por Scan (tela)
23. Gestão de Risco | Análise de Vulnerabilidade
Hosts mais vulneráveis por Organização (tela)
24. Gestão de Risco | Análise de Vulnerabilidade
Detalhe da vulnerabilidade HIGH s/chamado aberto (tela)
25. Gestão de Risco | Análise de Vulnerabilidade
Resultado do Scan diferencial por host (tela)
26. Gestão de Risco | Análise de Vulnerabilidade
Acompanhamento do Processo de Correção da Vulnerabilidade
(tela)
27. Gestão de Risco | Análise de Vulnerabilidade
Detalhes do Chamado Aberto (tela)
28. Gestão de Risco | Análise de Vulnerabilidade
Programa Flexível de Escaneamento (tela)
29. Gestão de Risco | Análise de Vulnerabilidade
Internet
DMZ
Router
Auth
Firewall Server
App/data
Server App/data
App/data Server
Server App/data
Server
L2
Switch
ProbeLSS
ProbeLSS
Router Router w/
WCCP
Auth
Server
Branch Office App/data
Router Server
Branch Office Branch Office
Router Router
ProbeLSS
App/data
ProbeLSS Server
ProbeLSS
L2 Switch L2 Switch App/data
Server
L4 Switch
31. Gestão de Risco | Teste de Intrusão
Pense como o inimigo pensa
Teste seus sistemas para verificar se ou como podem estar comprometidos
• Faça o teste de intrusão em:
Servidores Patches
IPS/IDS/Firewalls Políticas/ Usuários
Aplicação de clientes Usuários
• Nossa solução: CORE IMPACT
§ Software para teste automático de invasão
§ Lança teste de ameaças do mundo real contra as redes, aplicações e clientes,
de maneira segura e eficiente, demonstrando exatamente o estrago que um
invasor pode fazer
§ Funcionalidades: interface do usuário intuitiva; log completo de todas as
atividades; relatórios customizados; links para correções; tecnologia
patenteada
32. Gestão de Risco | Teste de Intrusão
Como os clientes usam Core Impact
Os cliente de Core Impact compartilham uma necessidade crítica de provar ou
sentir-se confiante na força de suas estratégias de segurança em relação a
ameaças em potencial:
Motivador #1 de “avaliação de risco”
• Realiza testes de invasão na rede e usuários final de forma segura, repetitiva e
efetiva em custo
• Verificação da eficiência das defesas de segurança (Fw/ IDS/IPS )
• Conformidade de segurança comprovada com as Regulamentações (e.g., FDIC,
HIPAA, SOX, PCI, etc.)
• Otimiza o processo de administração de vulnerabilidade
"Teste de invasão que vai além de um simples escaneamento de vulnerabilidades tem
que ser realizado com frequência”.
John Pescatore, VP Distinguished Analyst Gartner.
33. Gestão de Risco | Teste de Intrusão
O Ciclo da Administração da Vulnerabilidade
A
solução
endereça
o
mais
substancial
e
desafiador
aspecto
da
administração
da
vulnerabilidade
em
“testes
de
ameaças
do
mundo
real”.
34. Gestão de Risco | Teste de Intrusão
Impact 12.0 – Teste de Segurança Integrado
Primeiro produto a integrar o teste de segurança através de três vias de
ataques replicando ataques de multiestágio.
Base de dados comprometidas durante o teste
de aplicações web...
Pode ser conduzida por endereços de e-mail
para uso em IMPACT client-side Tests, que
avalia os usuários finais contra ataques de
engenharia social.
Servidores comprometidos durante os testes
de aplicações Web e estações de usuários
finais comprometidas durante o teste Client-
Side...
Podem ser usados como cabeças de ponta de
onde lançar IMPACT Network Tests, que
identifica e valida vulnerabilidade de OS serviços
nos sistemas de backend
35. Gestão de Risco | Teste de Intrusão
Teste de penetração externo (ou interno)
Internet
ü ü ü
Firewall
ü ü
Rede da Matriz ü ü
ü ü ü
Rede da Filial
36. Gestão de Risco | Teste de Intrusão
Teste de penetração externo (ou interno)
ü ü ü
ü ü
ü ü
ü ü ü
37. Gestão de Risco | Teste de Intrusão
Teste de penetração externo (ou interno)
Phishing, spear phishing
ü ü ü and client-side exploits
ü ü
ü ü
ü ü
38. Gestão de Risco | Teste de Intrusão
Teste de Segurança nas Aplicações Web
Internal Internal
Network Servers Workstations
User leverages
compromised
server to “pivot” the
test to internal
network systems.
Web Application
Server
ü
ü
SQL
Database
39. Gestão de Risco | Teste de Intrusão
Exemplo: O famoso ataque de Alberto Gonzalez
Albert Gonzalez: Condenado pela violação do sistema de
pagamentos da empresa Heartland Payment Systems e roubo de
40 milhões de números de cartões de crédito custando à
Heartland US$130 milhões. Abaixo as ações passo a passo.
7. Identificou o
destino do tráfego
1. Comprometeu 2. Ganhou acesso ao 4. Estabeleceu um 6. Identificou da transação dos
uma aplicação servidor web de controle outros sistemas cartões de crédito.
Web via SQL dados. persistente. na rede.
5. Instalou
Injection.
sniffer.
3. Não encontrou nenhuma 8. Acessou a base
informação de valor no de dados contendo
servidor web de dados. os números dos
cartões de crédito.
40. Gestão de Risco | Teste de Intrusão
Testes abrangentes
Testes de multiestágio com base nas ameaças do mundo real revelam exposições
nas camadas de infraestrutura quando se adota a abordagem do invasor. Abaixo
uma repetição do ataque efetuado pelo Alberto Gonzalez usando Core Impact.
8. Ajuda o Banner
Grabber a conhecer as
aplicações no sistema
5. Instala um alvo.
1. Identifica alvo das páginas web agente persistente 7. Roda o
via o Módulo de Information de SO. Information 9. Roda exploits de
6. Roda o módulo
Gathering (obtenção de de Sniffer de Gathering aplicações para
informações). tráfego.. Module comprometer o
sistema.
2. Gera 10. Roda o
dinamicamente um 3. Ganha acesso ao módulo Get
exploit de SQL servidor web de Sensitive Data para
Injection customizado. dados. identificar os
números dos
cartões de crédito.
4. Roda o módulo Get
Database Schema. Mostra que
a base de dados não contem
nada de valor.
41. Gestão de Risco | Teste de Intrusão
IMPACT revela os caminhos exploráveis dos ataques
A trilha de ataque do CORE IMPACT: Um dos 14 tipos de relatório para
identificar os riscos exploráveis e prover dados de ação para remediação eficaz.
Violação da App Web >>>Violação do servidor>>>Violação dos dados
42. Gestão de Risco | Teste de Intrusão
Complementando Scanners de Vulnerabilidades Identifica e
prova
O sistema complementa os scans vulnerabilidaes
de vulnerabilidades por: Descobre e críticas.
verifica
— Rodando exploits contra as vulnerabilidade
s
vulnerabilidades identificadas
durante a varredura
— Revelando quais vulnerabilidades
impõem riscos críticos (ameaças
de execução remota de códigos)
– sem falso positivos
— Demonstrando com segurança
as consequencias de uma
violação – incluindo ameaças de
multiestágios aos sistemas de Valida a Aplica patchs e
correção updates
backend
43. Gestão de Risco | Teste de Intrusão
Levantamento dos Riscos no Mundo Real
Teste de Intrusão provê Análise Profunda com Ameaças do Mundo Real
• O que os invasores podem saber
sobre os nossos sistemas?
Exploitation
• Quais sistemas podem realmente
ser comprometidos? Info Gathering Pivoting
• Quais as trilhas de ataque que
poderiam ser usadas para acessar
os sistemas de backend? Scanning
Potential Post-Exploitation
vulnerabilities
• Quais dados estariam expostos?
Re-Testing Reporting
• Como endereçamos as nossas
exposições? Patching &
Updating
• A remediação foi eficaz?
• Somos capazes de cumprir as
exigências?
44. Gestão de Risco | Teste de Intrusão
Software Abrangente para testes de intrusão
Provê uma visão do risco de TI por toda a Provê dados para a ação de mitigar riscos
infraestrutura • Relatórios nas atividades dos testes,
• Identifica as vulnerabilidades exploráveis sistemas vulneráveis, dados expostos, e
nas aplicações Web, sistemas de Rede, recomendações para remediação
sistemas de endpoint, usuários, redes • Relatórios visuais mostrando a cadeia de
sem fio e mobile. fragilidades
• Relatórios de tendências e benchmark e
Mapeia as trilhas de ataques desde os medição de progresso.
comprometimentos de baixo nível até as
violações de dados criticos na rede Apresentado numa solução de software que é…
• Levanta as implicações de uma violação,
revelando cadeias de sistemas e dados • Automatizado para acelerar testes em
grandes ambientes
expostos.
• Controlado e seguro
Filtra resultados de outras soluções de • Repetitivo visto que sistemas e ameaças
evoluem
segurança para apontar os riscos reais
• Atualizado visto que vulnerabilidades são
• Elimina falso/positivos e prioriza a descobertas e novas técnicas de ataque
remediação emergem
45. Gestão de Risco | Teste de Intrusão
Medida de Segurança usando ameaças do Mundo Real & Benchmarking
• Aponta fraquezas que poderiam permitir aos invasores a Relatórios
capacidade de executarem códigos rermotos.
§ Relatório da trilha de ataque
§ Relatório do PCI Vulnerability Validation
• Aponta graficamente cadeias de sistemas vulneráveis que
§ Relatório FISMA Vulnerability Validation
expõem os dados e fontes de backend.
§ Relatório diferencial (Delta Report)
• Acesso a patches e outras informações de remediações. § Relatório de Tendências (Trend Report)
§ Relatório de vulnerabilidades de
• Provê trilha de informações e auditorias para iniciativas de Aplicações Web
conformidade § Relatório Executivo de Aplicações Web
§ Relatório de Atividades
ath § Relatório Executivo Sintético
Attack P
§ Relatório de Host (Host Report)
§ Relatórios de vulnerabilidades
§ Relatório Client-Side Penetration Test
e d
Exploit
ilities § Relatório de Usuário Client-Side
on Vu lnerab
pplicati
Web A § Relatório de Teste de Intrusão em
sistemas wireless
46. Gestão de Risco | Teste de Intrusão
Prêmios Comentários
"After using IMPACT it seems obvious
to us that manual penetration is
obsolete."
By Earl Geer
2006 Wall Street "Organizations concerned with
Journal Innovation maintaining a tight security profile
Award will appreciate Core Security
Technologies' CORE IMPACT 6..."
By Cameron Sturdevant
Vulnerability Assessment &
Remediation
19 June 2006
CORE IMPACT 5 IMPACT receives 4 ½ stars.
By Frank J. Ohlhorst
"We rate CORE IMPACT as Lab Approved …
and we will be adding it to our test bench for
the coming year."
- SC Magazine, January 7, 2007 "We give our Tester's Choice Award
to CORE IMPACT. By Mike Fratto,
Reviewer
“CORE IMPACT 6.0 is an amazing tool
to validate your security posture.”
- Information Security Magazine, January
16, 2007