SlideShare a Scribd company logo

Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT - Open Source Defensive Security

L
Leszek Mi?

Prezentacja z konferencji BIN Gigacon 2015 - Warszawa, 23-24.09.2015r.

Technology
1 of 22
Download to read offline
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT. (Open Source Defensive Security) Leszek Miś leszek.mis@defensive-security.com
# Leszek Miś ● IT Security Architect @ Defensive-Security ● Offensive Security Certified Professional ● RHCA/RHCSS/RHCX/Sec+ ● CISSP in progress ● Członek ISSA/OWASP Poland ● Skupiam się głównie na: – Linux Security – Web Application Security – Penetration testing – Hardened IT Infrastructure (SSO/IdM/IDS) – Virtualization/Cloud – Linux forensics
Agenda ● IT / Cyber Security to ogromny obszar ● X wymiarów dążenia do doskonałości → obszary techniczne ● Wielowarstwowość vs ograniczenia ● Budowanie świadomości ● Wykwalifikowana kadra ● Defensive Security
IT Security to obszar ogromny ● OWASP Open Cyber Security Framework
IT Security to obszar ogromny ● Security Strategy Roadmap ● Risk Management ● Vulnerability Management ● Security Controls ● Arsenal ● Incident Response Management ● Data Loss Prevention ● Education & Training ● Business Continuity & Disaster Recovery ● Application & System Security ● Penetration Tests
X wymiarów dążenia do doskonałości
Obszary techniczne – System operacyjny → – utwardzony kernel → ● utwardzona kompilacja VS. – 0-day, privilege escalation, local root exploits, code execution, memory corruption, protection bypass, syscall filtering problems, race conditions
Obszary techniczne – System operacyjny → usługi sieciowe → – izolacja – uprawnienia – konfiguracja utwardzona – bezpieczna transmisja VS. – 0-day, remote exploits, sniffing, spoofing, MiTM, information gathering/enumeration, DOS, brute-force, restriction bypass, bind/reverse shells
Obszary techniczne – System operacyjny → wirtualizacja → – separacja uprawnień – minimalizm implementacyjny VS. – Privilege escalation, code execution, VM Guest to Host escaping, DOS, MiTM, arbitrary file writing-reading,
Obszary techniczne – System operacyjny → implementacja serwera HTTP → – aplikacje webowe → ● konfiguracja utwardzona ● wirtualne patchowanie ● firewall aplikacyjny WAF ● dobre praktyki / SDLC VS. – SQLi, XSS, CSRF, LFI/RFI, directory traversal, command execution, weak passwords, brute-force, session stealing
Obszary techniczne – System operacyjny → bazy danych → – konfiguracja utwardzona – SQL Database Firewall – uprawnienia – dobre praktyki VS. – Unrestricted DB access, network BF, info gathering, all DB privileges, 0-day exploit, command execution
Obszary techniczne – System operacyjny → użytkownik → – centralne zarządzanie tożsamością i prawami dostępu: ● IdM ● kontroler domeny linuksowej VS. – Brak spójności haseł i dostępów – Problem rozliczalności – „Do jakich systemów Kowalski znał hasło roota?”
Obszary techniczne – System operacyjny → – [*] → ● analiza behawioralna ● analiza zachowania usług i użytkowników ● analiza pamięci ● live patching VS. – 0 day attacks, malware, rootkits, backdoors, hidden channels, updating vs reboot, passwords
Obszary techiczne – Sieć → – dostęp → ● firewalle sieciowe/VLAN ● CDN ● konfiguracja urządzeń / proxy ● captive portals VS. – DOS, DDOS, pivoting, tunneling, bind/reverse shell, session hiding, sniffing, spoofing, unrestricted access, brute-force, panel admin access, guest WIFI access
Obszary techiczne – Sieć → – Analiza ruchu → ● Network IDS ● Network IPS ● WLAN IDS ● DLP VS. – Anomalia protokołowe, malware, fakeAP, unrestricted access to ports, data leakage, hidden data channels
Obszary techiczne – Sieć/system → – intruz → ● honeypoty czyli tzw. pułapki: ● webowe ● systemowe VS. – analiza działań intruza, tips&tricks, komunikacja C&C, malware, 0-day, zmarnowanie czasu atakującego, security by obscurity,
Obszary techniczne – System operacyjny → – zarządzanie zdarzeniami → ● analiza logów ● kontrola integralności ● systemy typu SIEM / zespoły typu SOC VS. – ukrywanie się, backdoor, rootkit, brute-force, data modifying, money laundry, log tampering, rozliczalność, attack scope
Człowiek jako jednostka – Człowiek → ● Szkolenia miękkie ● Programy antyphishingowe
Wielowarstwowość vs. ograniczenia – Przenikliwość zespołowa – Bezpieczeństwo jako wspólny mianownik zespołowości – Okresowe przekazywanie wiedzy pomiędzy zespołami dev+security+admin
Budowanie świadomości
Oferta Defensive Security – Edukacja w postaci ochrona vs atak (500+ przeszkolonych osób): ● „Open Source Defensive Security”: – http://defensive-security.com/agenda-3/ – Jedyny tak szczegółowy warsztat w Polsce z bezpieczeństwa Open Source – Analiza poziomu bezpieczeństwa aplikacji i usług - testy penetracyjne i audyty bezpieczeństwa – Konsultacje i wdrożenia korporacyjnych rozwiązań Open Source z zakresu bezpieczeństwa i infrastruktury IT
Dziękuję za uwagę, zapraszam do kontaktu. http://defensive-security.com Leszek Miś leszek.mis@defensive-security.com

Recommended

NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Leszek Mi?
 
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPROIDEA
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...PROIDEA
 
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Michał Smereczyński
 
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PROIDEA
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 

Recommended

NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comNGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.com
NGSec 2016 - Ile warstw, tyle szans. - Leszek Miś@Defensive-Security.comLeszek Mi?
 
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...
Exatel Security Days 2017 - Niech dane pozostaną z Tobą! Sieciowe techniki ek...Leszek Mi?
 
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPROIDEA
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...Atmosphere 2014: Scalable and under control - open cloud architecture conside...
Atmosphere 2014: Scalable and under control - open cloud architecture conside...PROIDEA
 
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...
PLNOG22 - Leszek Miś - Symulacje zdarzeń i anomalii sieciowych jako proaktywn...PROIDEA
 
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014Michał Smereczyński
 
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...
PLNOG14: Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy - ...PROIDEA
 
Krytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiKrytyczne błędy konfiguracji
Krytyczne błędy konfiguracjiLogicaltrust pl
 
Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?OWASP
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops securityLogicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
 
Devops security
Devops securityDevops security
Devops securityLogicaltrust pl
 
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)PROIDEA
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Piątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPPiątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPXSolve
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...Grzegorz Gałęzowski
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSLJak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL👨🏻‍💻 Albert Wolszon
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Mikrotik
MikrotikMikrotik
MikrotikMichał Ruta
 
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Pawel Krawczyk
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaLeszek Mi?
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
Shall we play a game? PL version
Shall we play a game? PL versionShall we play a game? PL version
Shall we play a game? PL versionMaciej Lasyk
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 
OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
 

More Related Content

What's hot

Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?OWASP
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiLogicaltrust pl
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Logicaltrust pl
 
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)PROIDEA
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Logicaltrust pl
 
Piątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPPiątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPXSolve
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Logicaltrust pl
 
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...Grzegorz Gałęzowski
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Logicaltrust pl
 
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSLJak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL👨🏻‍💻 Albert Wolszon
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Logicaltrust pl
 
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Pawel Krawczyk
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersLogicaltrust pl
 
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaLeszek Mi?
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykGawel Mikolajczyk
 
Shall we play a game? PL version
Shall we play a game? PL versionShall we play a game? PL version
Shall we play a game? PL versionMaciej Lasyk
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykGawel Mikolajczyk
 

What's hot (20)

Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?Czy naprawdę wiesz co robi twoja przeglądarka?
Czy naprawdę wiesz co robi twoja przeglądarka?
 
Devops/Sysops security
Devops/Sysops securityDevops/Sysops security
Devops/Sysops security
 
Testy bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadkiTesty bezpieczeństwa - niesztampowe przypadki
Testy bezpieczeństwa - niesztampowe przypadki
 
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
Darmowe narzędzia wspomagające proces zabezpieczania Twojej firmy.
 
Devops security
Devops securityDevops security
Devops security
 
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
Confidence 2017: Red teaming in Poland - test cases (Borys Łącki)
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
 
Piątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTPPiątek z XSolve - Bezpieczne nagłówki HTTP
Piątek z XSolve - Bezpieczne nagłówki HTTP
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
 
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
Quality of protection, grywalizacja i inne nietypowe zastosowania microsoft p...
 
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
 
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSLJak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
Jak w łatwy sposób zintegrować stronę z Cloudflare? - czyli darmowe SSL
 
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
Czy systematyczne podejście do testów bezpieczeństwa się opłaca?
 
Mikrotik
MikrotikMikrotik
Mikrotik
 
Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"Leszek Miś "Czy twoj WAF to potrafi"
Leszek Miś "Czy twoj WAF to potrafi"
 
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4DevelopersWyciek danych w aplikacjach - Artur Kalinowski, 4Developers
Wyciek danych w aplikacjach - Artur Kalinowski, 4Developers
 
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-PolskaModsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
 
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel MikolajczykSecurity B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
Security B-Sides Warsaw 2012 - Bezpieczenstwo IPv6 - Gawel Mikolajczyk
 
Shall we play a game? PL version
Shall we play a game? PL versionShall we play a game? PL version
Shall we play a game? PL version
 
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel MikolajczykSecurity B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
Security B-Sides Warsaw 2014 - Network Security Treasures - Gawel Mikolajczyk
 

Similar to Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT - Open Source Defensive Security

OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in actionLeszekMis
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...PROIDEA
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...Logicaltrust pl
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSecuRing
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue TeamuPiotr Kaźmierczak
 
Linux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoLinux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoWydawnictwo Helion
 
Skalowalność Magento - MMPL13
Skalowalność Magento - MMPL13Skalowalność Magento - MMPL13
Skalowalność Magento - MMPL13Divante
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PROIDEA
 
SQL Server 2008 Tips & tricks administracji
SQL Server 2008 Tips & tricks administracjiSQL Server 2008 Tips & tricks administracji
SQL Server 2008 Tips & tricks administracjiSQLExpert.pl
 
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...Logicaltrust pl
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...SecuRing
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...Marcin Ludwiszewski
 
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierciDivante
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...Logicaltrust pl
 
Advanced persistent threat - Moda na sukces odc. 31337
Advanced persistent threat - Moda na sukces odc. 31337Advanced persistent threat - Moda na sukces odc. 31337
Advanced persistent threat - Moda na sukces odc. 31337Logicaltrust pl
 
Bezpieczeństwo obiektów w XXI wieku
Bezpieczeństwo obiektów w XXI wiekuBezpieczeństwo obiektów w XXI wieku
Bezpieczeństwo obiektów w XXI wiekuDotcomBO
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PROIDEA
 
Cometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólnaCometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólnaJakub Hajek
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBpatryczek
 

Similar to Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT - Open Source Defensive Security (20)

OWASP Appsensor in action
OWASP Appsensor in actionOWASP Appsensor in action
OWASP Appsensor in action
 
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
CONFidence 2015: APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wy...
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera - wybrane studium prz...
 
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmieSześć sposobów na przejęcie sieci przemysłowej w twojej firmie
Sześć sposobów na przejęcie sieci przemysłowej w twojej firmie
 
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
[Confidence 2016] Red Team - najlepszy przyjaciel Blue Teamu
 
Linux. Serwery. Bezpieczeństwo
Linux. Serwery. BezpieczeństwoLinux. Serwery. Bezpieczeństwo
Linux. Serwery. Bezpieczeństwo
 
Skalowalność Magento - MMPL13
Skalowalność Magento - MMPL13Skalowalność Magento - MMPL13
Skalowalność Magento - MMPL13
 
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
PLNOG14: Ocena wydajności i bezpieczeństwa infrastruktury operatora telekomu...
 
SQL Server 2008 Tips & tricks administracji
SQL Server 2008 Tips & tricks administracjiSQL Server 2008 Tips & tricks administracji
SQL Server 2008 Tips & tricks administracji
 
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
Nietuzinkowe przypadki z testów penetracyjnych czyli historia o wyższości wyb...
 
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
Czy twoje zabezpieczenia są skuteczne? Błędy i podatności w rozwiązaniach zab...
 
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
2020 11-15 marcin ludwiszewski - purple, red, blue and others - rainbow team...
 
Pocałunek śmierci
Pocałunek śmierciPocałunek śmierci
Pocałunek śmierci
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
 
Advanced persistent threat - Moda na sukces odc. 31337
Advanced persistent threat - Moda na sukces odc. 31337Advanced persistent threat - Moda na sukces odc. 31337
Advanced persistent threat - Moda na sukces odc. 31337
 
Bezpieczeństwo obiektów w XXI wieku
Bezpieczeństwo obiektów w XXI wiekuBezpieczeństwo obiektów w XXI wieku
Bezpieczeństwo obiektów w XXI wieku
 
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
PLNOG 21: Tomasz Wodziński - A może tak zbudujemy sobie SOC’a ?
 
Cometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólnaCometari Dedicated Solutions Oferta ogólna
Cometari Dedicated Solutions Oferta ogólna
 
Bezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowychBezpieczenstwo sieci komputerowych
Bezpieczenstwo sieci komputerowych
 

Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT - Open Source Defensive Security

  • 1. Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT. (Open Source Defensive Security) Leszek Miś leszek.mis@defensive-security.com
  • 2. # Leszek Miś ● IT Security Architect @ Defensive-Security ● Offensive Security Certified Professional ● RHCA/RHCSS/RHCX/Sec+ ● CISSP in progress ● Członek ISSA/OWASP Poland ● Skupiam się głównie na: – Linux Security – Web Application Security – Penetration testing – Hardened IT Infrastructure (SSO/IdM/IDS) – Virtualization/Cloud – Linux forensics
  • 3. Agenda ● IT / Cyber Security to ogromny obszar ● X wymiarów dążenia do doskonałości → obszary techniczne ● Wielowarstwowość vs ograniczenia ● Budowanie świadomości ● Wykwalifikowana kadra ● Defensive Security
  • 4. IT Security to obszar ogromny ● OWASP Open Cyber Security Framework
  • 5. IT Security to obszar ogromny ● Security Strategy Roadmap ● Risk Management ● Vulnerability Management ● Security Controls ● Arsenal ● Incident Response Management ● Data Loss Prevention ● Education & Training ● Business Continuity & Disaster Recovery ● Application & System Security ● Penetration Tests
  • 6. X wymiarów dążenia do doskonałości
  • 7. Obszary techniczne – System operacyjny → – utwardzony kernel → ● utwardzona kompilacja VS. – 0-day, privilege escalation, local root exploits, code execution, memory corruption, protection bypass, syscall filtering problems, race conditions
  • 8. Obszary techniczne – System operacyjny → usługi sieciowe → – izolacja – uprawnienia – konfiguracja utwardzona – bezpieczna transmisja VS. – 0-day, remote exploits, sniffing, spoofing, MiTM, information gathering/enumeration, DOS, brute-force, restriction bypass, bind/reverse shells
  • 9. Obszary techniczne – System operacyjny → wirtualizacja → – separacja uprawnień – minimalizm implementacyjny VS. – Privilege escalation, code execution, VM Guest to Host escaping, DOS, MiTM, arbitrary file writing-reading,
  • 10. Obszary techniczne – System operacyjny → implementacja serwera HTTP → – aplikacje webowe → ● konfiguracja utwardzona ● wirtualne patchowanie ● firewall aplikacyjny WAF ● dobre praktyki / SDLC VS. – SQLi, XSS, CSRF, LFI/RFI, directory traversal, command execution, weak passwords, brute-force, session stealing
  • 11. Obszary techniczne – System operacyjny → bazy danych → – konfiguracja utwardzona – SQL Database Firewall – uprawnienia – dobre praktyki VS. – Unrestricted DB access, network BF, info gathering, all DB privileges, 0-day exploit, command execution
  • 12. Obszary techniczne – System operacyjny → użytkownik → – centralne zarządzanie tożsamością i prawami dostępu: ● IdM ● kontroler domeny linuksowej VS. – Brak spójności haseł i dostępów – Problem rozliczalności – „Do jakich systemów Kowalski znał hasło roota?”
  • 13. Obszary techniczne – System operacyjny → – [*] → ● analiza behawioralna ● analiza zachowania usług i użytkowników ● analiza pamięci ● live patching VS. – 0 day attacks, malware, rootkits, backdoors, hidden channels, updating vs reboot, passwords
  • 14. Obszary techiczne – Sieć → – dostęp → ● firewalle sieciowe/VLAN ● CDN ● konfiguracja urządzeń / proxy ● captive portals VS. – DOS, DDOS, pivoting, tunneling, bind/reverse shell, session hiding, sniffing, spoofing, unrestricted access, brute-force, panel admin access, guest WIFI access
  • 15. Obszary techiczne – Sieć → – Analiza ruchu → ● Network IDS ● Network IPS ● WLAN IDS ● DLP VS. – Anomalia protokołowe, malware, fakeAP, unrestricted access to ports, data leakage, hidden data channels
  • 16. Obszary techiczne – Sieć/system → – intruz → ● honeypoty czyli tzw. pułapki: ● webowe ● systemowe VS. – analiza działań intruza, tips&tricks, komunikacja C&C, malware, 0-day, zmarnowanie czasu atakującego, security by obscurity,
  • 17. Obszary techniczne – System operacyjny → – zarządzanie zdarzeniami → ● analiza logów ● kontrola integralności ● systemy typu SIEM / zespoły typu SOC VS. – ukrywanie się, backdoor, rootkit, brute-force, data modifying, money laundry, log tampering, rozliczalność, attack scope
  • 18. Człowiek jako jednostka – Człowiek → ● Szkolenia miękkie ● Programy antyphishingowe
  • 19. Wielowarstwowość vs. ograniczenia – Przenikliwość zespołowa – Bezpieczeństwo jako wspólny mianownik zespołowości – Okresowe przekazywanie wiedzy pomiędzy zespołami dev+security+admin
  • 21. Oferta Defensive Security – Edukacja w postaci ochrona vs atak (500+ przeszkolonych osób): ● „Open Source Defensive Security”: – http://defensive-security.com/agenda-3/ – Jedyny tak szczegółowy warsztat w Polsce z bezpieczeństwa Open Source – Analiza poziomu bezpieczeństwa aplikacji i usług - testy penetracyjne i audyty bezpieczeństwa – Konsultacje i wdrożenia korporacyjnych rozwiązań Open Source z zakresu bezpieczeństwa i infrastruktury IT
  • 22. Dziękuję za uwagę, zapraszam do kontaktu. http://defensive-security.com Leszek Miś leszek.mis@defensive-security.com