SlideShare ist ein Scribd-Unternehmen logo

Best practice v testování zranitelností

Als PPTX, PDF herunterladen
Risk Analysis Consultants, s.r.o.
Risk Analysis Consultants, s.r.o.

Tenable Info Day 2016 Best practice v testování zranitelností Viktor Tichý

Technologie
1 von 21
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Bes t prac tic e v tes tov ání z ranitelnos tí V i k t o r T i c h ý 1V 1 6 0 3 0 7
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Hledání nástroje na testování zranitelností pro penetrační testy Qualys partner od roku 2004 Tenable partner od roku 2015 Konkurenční výhody RAC v oblasti zranitelností Znalost procesu testování zranitelností Zkušenosti RAC s testováním zranitelností
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Základní schéma testování
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Určuje průběh scanu Ports scan Credentials x Non-Credentials scan Scan Zone Repository Schedule - četnost testování Scan + Scan Policy
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Basic network scan Základní politika - pro testování zranitelností Nejdůležitější parametr - rozsah TCP/UDP portů Ports scan
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Common ports 4,790 tcp/udp ports Typicky pro testování uvnitř sítě Možné nevýhody − Na některých nestandardních portech jsou neočekávané služby − Nejlépe provádět občas testování i full tcp/udp ports All tcp/udp ports Typicky pro internetová zařízení V případě blokování některých portů (udp) neúměrně zvýšení doby testování Custom Vlastní rozsah Ports scan
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Non-Credentials scan Testování bez autentizace Nalezne pouze zranitelnosti viditelné po síti (hacker perspective) Jednoduchá implementace scanů v organizaci Credentials scan Testování s autentizací Obtížná implementace scanů v organizaci – potřeba vysoká práva ! Nalezne i zranitelností nezjistitelné testováním bez autentizace Credentials x Non-Credentials scan Poměr nalezených zranitelností při testování s autentizací průměrně 2x -10x větší !
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Credentials x Non-Credentials scan
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Podporované typy autentizací
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Externí úložiště hesel Testování s autentizací Jsou nutné vysoká práva, nejlépe domain admin či root Problém s důvěrou a odpovědností při ukládání hesel a přístupových informací Řešení – použití externích úložišť pro autentizaci - CyberArk Bezpečné nezávislé úložiště hesel Auditovatelnost, oddělená správa od správy produktů Tenable Možnost OTP, systém hesla automaticky změní po použití
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Síťové požadavky „Neomezený“ přístup na cílová zařízení Bez ACL mezi jednotlivými VLANy Firewally s IDS/IPS funkcemi mohou ovlivňovat testy Bezpečnostní požadavky Zachovat oddělení jednotlivých bezpečnostních zón Typicky DMZ x Server LAN x User LAN Umístění scannerů Tenable Security Center až 512 scannerů Dělení příslušnosti ke scannerům - Zóny
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Způsoby testování z hlediska síťové dostupnosti
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s DMZ Testování z internetu − Zajímá nás, které porty jsou dostupné − Kontrola správnosti nastavení firewallu Testování uvnitř DMZ − Testujeme všechny služby a zranitelnosti − Nepotřebné služby zavřeme, odinstalujeme Serverová LAN Z klientské sítě − Uživatele by měli mít dostupné pouze potřebné porty (80,443, win rpc) Z serverové sítě (jiná VLAN) Typicky DMZ x Server LAN x User LAN Způsoby testování z hlediska síťové dostupnosti
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Odlišné výsledky z testování Podle způsobu testování (s/bez autentizace) Podle umístění scannerů Problém se střídáním výsledku pro jiné typy testováním Repository Řešení – použít více Repository Repository = databáze Credentialed, Compliance Internet, Internal apod..
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Obvyklá frekvence testování Internet 1x denně až 1xtýdně Testování ve vnitřní síti – 1x týdně Doba šíření bezpečnostních problémů se zkracuje Pro vysokou bezpečnost lépe testovat častěji, 1x denně Nastupující trend – nepřetržité testování (PVS,LCE) Problém, IT nemusí být schopno reagovat na kratší lhůty! Četnost testování Studie ukazuje, že u 50% nově publikovaných zranitelností jsou zranitelnosti využity do 2 týdnů pro únik dat (Verizon).
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Úrovně zranitelnosti Info, Low, Medium, High, Critical Critical zranitelnosti Velké množství zranitelností je Critical ! Možné zúžení rozsahu Je k dispozici exploit ? CVSS Score/CVSS Vector Úrovně zranitelností
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Metrika pro závažnost zranitelností Jaké informace o dané zranitelnosti byly zveřejněny? Je k dispozici exploit? Je možné zneužití dané zranitelnosti odkudkoliv? Je možné zneužít danou zranitelnost kdykoliv? Je nutná nějaká součinnost? Je náročné danou zranitelnost zneužít? Remotely exploitable vulnerabilities get priority using CVSS http://www.first.org/cvss/ KnowledgeBase - CVSS
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Access Vector - Odkud může být veden útok. A možnosti jsou: z internetu (network), ze sítě, kde se nachází systém trpící danou zranitelností (adjacent network) nebo útočník musí mít fyzický přístup k danému systému (local). Access Complexity - Ke zneužití dané zranitelnosti již nemusí být splněny žádné podmínky, není potřeba žádná součinnost (low), je nutné mít určité informace o systému, je potřeba minimální součinnost ze strany oběti, jako je třeba kliknutí na odkaz (medium), útok je možné realizovat jen za určitých podmínek, na určité konfiguraci a je nutné, aby oběť provedla několik kroků (high). Authentication - Ke zneužití zranitelnosti není nutný účet v systému (none), je nutné se přihlásit (single), je nutné se přihlásit do systému i do aplikace (multiple). Confidentiality impact - Zda zneužitím zranitelnosti dojde k získání citlivých informací, a to všech dat, která se nacházejí v paměti nebo na disku (complete), nebo jen části z nich (partial) anebo vůbec žádných (none). Integrity impact, Availability impact CVSS Metrika
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Implementace VM Odlišný postup než po dosažení cílového stavu V organizace není zavedeno pravidelné patchování => často velký počet zranitelností Příklad: 1000 zařízení v LAN – často 100.000 zranitelností s různou mírou rizika Dva možné postupy Odstranění pouze Critical zranitelností, s expolitem Odstranění všech vážných zranitelností (Critical+High) Implementace
© 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Zahlcení „adminů“ Obvykle velké množství zranitelností Nesouhlas s nezávislou kontrolou jejich práce (pouze někde) Konflikt bezpečnost x dostupnost Instalace patchů není bez rizika Dokud není bezpečnostní incident, obvykle pro management je stěžejní dostupnost Problém s „outsourcingem“, smlouvy obvykle neřeší včasné odstraňovaní zranitelností / patchování Vhodná východiska Rozumné stanovení rozsahu, např. pouze zranitelnosti critical Směrnice, která přesně vymezí rozsah odpovědnosti Úprava smluv s dodavateli Nejčastější problémy implementace
DĚKUJI ZA POZORNOST Copyright © 2016 Risk Analysis Consultants, s.r.o. tichy@rac.cz

Empfohlen

Symantec Advanced Threat Protection
Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection
Symantec Advanced Threat ProtectionMarketingArrowECS_CZ
 
Monitoring – analýza provozu sítě s možností detekce slabin a potencionálních...
Monitoring – analýza provozu sítě s možností detekce slabin a potencionálních...Monitoring – analýza provozu sítě s možností detekce slabin a potencionálních...
Monitoring – analýza provozu sítě s možností detekce slabin a potencionálních...MarketingArrowECS_CZ
 
Jak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruJak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruMarketingArrowECS_CZ
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
 
Moderní ochrana koncových stanic a mailového provozu
Moderní ochrana koncových stanic a mailového provozuModerní ochrana koncových stanic a mailového provozu
Moderní ochrana koncových stanic a mailového provozuMarketingArrowECS_CZ
 
Počítačové sítě - prof. Valášková
Počítačové sítě - prof. ValáškováPočítačové sítě - prof. Valášková
Počítačové sítě - prof. Valáškováguest7b9783a
 
Disaster Recovery – aneb zálohování a obnova dat pro případ, když všechny och...
Disaster Recovery – aneb zálohování a obnova dat pro případ, když všechny och...Disaster Recovery – aneb zálohování a obnova dat pro případ, když všechny och...
Disaster Recovery – aneb zálohování a obnova dat pro případ, když všechny och...MarketingArrowECS_CZ
 
Anti DDoS ochrana od F5
Anti DDoS ochrana od F5Anti DDoS ochrana od F5
Anti DDoS ochrana od F5MarketingArrowECS_CZ
 

Empfohlen

Symantec Advanced Threat Protection
Symantec Advanced Threat ProtectionSymantec Advanced Threat Protection
Symantec Advanced Threat ProtectionMarketingArrowECS_CZ
 
Monitoring – analýza provozu sítě s možností detekce slabin a potencionálních...
Monitoring – analýza provozu sítě s možností detekce slabin a potencionálních...Monitoring – analýza provozu sítě s možností detekce slabin a potencionálních...
Monitoring – analýza provozu sítě s možností detekce slabin a potencionálních...MarketingArrowECS_CZ
 
Jak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruJak nám pomůže ochrana perimetru
Jak nám pomůže ochrana perimetruMarketingArrowECS_CZ
 
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...
Co vše skrývá síťový provoz a jak detekovat kybernetické hrozby? / MARTIN ŠKO...Security Session
 
Moderní ochrana koncových stanic a mailového provozu
Moderní ochrana koncových stanic a mailového provozuModerní ochrana koncových stanic a mailového provozu
Moderní ochrana koncových stanic a mailového provozuMarketingArrowECS_CZ
 
Počítačové sítě - prof. Valášková
Počítačové sítě - prof. ValáškováPočítačové sítě - prof. Valášková
Počítačové sítě - prof. Valáškováguest7b9783a
 
Disaster Recovery – aneb zálohování a obnova dat pro případ, když všechny och...
Disaster Recovery – aneb zálohování a obnova dat pro případ, když všechny och...Disaster Recovery – aneb zálohování a obnova dat pro případ, když všechny och...
Disaster Recovery – aneb zálohování a obnova dat pro případ, když všechny och...MarketingArrowECS_CZ
 
Anti DDoS ochrana od F5
Anti DDoS ochrana od F5Anti DDoS ochrana od F5
Anti DDoS ochrana od F5MarketingArrowECS_CZ
 
Tipy a triky pro QualysGuard
Tipy a triky pro QualysGuardTipy a triky pro QualysGuard
Tipy a triky pro QualysGuardRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WASQualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WASRisk Analysis Consultants, s.r.o.
 
Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)DCIT, a.s.
 
TNPW2-2012-06
TNPW2-2012-06TNPW2-2012-06
TNPW2-2012-06Lukáš Vacek
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí MarketingArrowECS_CZ
 
Zabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíMobileMondayBratislava
 
TNPW2-2013-06
TNPW2-2013-06TNPW2-2013-06
TNPW2-2013-06Lukáš Vacek
 
Presentation IBM Rational AppScan
Presentation IBM Rational AppScanPresentation IBM Rational AppScan
Presentation IBM Rational AppScanMatouš Havlena
 
TNPW2-2014-04
TNPW2-2014-04TNPW2-2014-04
TNPW2-2014-04Lukáš Vacek
 
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíOKsystem
 
Bezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíBezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíPetr Dvorak
 
Jak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciJak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciMarketingArrowECS_CZ
 
4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_warepisaceku
 
Milan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na AndroiduMilan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na Androidumdevtalk
 
TNPW2-2016-04
TNPW2-2016-04TNPW2-2016-04
TNPW2-2016-04Lukáš Vacek
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generaceMilan Petrásek
 
Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETCESNET
 
NSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DCNSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DCMarketingArrowECS_CZ
 
2019 09-23-snidane qa-public
2019 09-23-snidane qa-public2019 09-23-snidane qa-public
2019 09-23-snidane qa-publicProfinit
 
Policy Compliance Testing (2011)
Policy Compliance Testing (2011)Policy Compliance Testing (2011)
Policy Compliance Testing (2011)Risk Analysis Consultants, s.r.o.
 
Shadow IT
Shadow ITShadow IT
Shadow ITRisk Analysis Consultants, s.r.o.
 
Představení nástroje Nuix
Představení nástroje NuixPředstavení nástroje Nuix
Představení nástroje NuixRisk Analysis Consultants, s.r.o.
 

Weitere ähnliche Inhalte

Ähnlich wie Best practice v testování zranitelností

QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WASQualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WASRisk Analysis Consultants, s.r.o.
 
Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)DCIT, a.s.
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí MarketingArrowECS_CZ
 
Zabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíMobileMondayBratislava
 
Presentation IBM Rational AppScan
Presentation IBM Rational AppScanPresentation IBM Rational AppScan
Presentation IBM Rational AppScanMatouš Havlena
 
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíOKsystem
 
Bezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíBezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíPetr Dvorak
 
Jak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciJak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciMarketingArrowECS_CZ
 
4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_warepisaceku
 
Milan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na AndroiduMilan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na Androidumdevtalk
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generaceMilan Petrásek
 
Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETCESNET
 
NSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DCNSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DCMarketingArrowECS_CZ
 
2019 09-23-snidane qa-public
2019 09-23-snidane qa-public2019 09-23-snidane qa-public
2019 09-23-snidane qa-publicProfinit
 

Ähnlich wie Best practice v testování zranitelností (20)

Tipy a triky pro QualysGuard
Tipy a triky pro QualysGuardTipy a triky pro QualysGuard
Tipy a triky pro QualysGuard
 
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WASQualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
QualysGuard InfoDay 2013 - Případová studie ČNB - QG WAS
 
Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)Interpretace výsledků penetračních testů (Karel Miko)
Interpretace výsledků penetračních testů (Karel Miko)
 
TNPW2-2012-06
TNPW2-2012-06TNPW2-2012-06
TNPW2-2012-06
 
McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí McAfee Adaptive threat intelligence i ve virtuálním prostředí
McAfee Adaptive threat intelligence i ve virtuálním prostředí
 
Zabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictvíZabezpečení mobilních bankovnictví
Zabezpečení mobilních bankovnictví
 
TNPW2-2013-06
TNPW2-2013-06TNPW2-2013-06
TNPW2-2013-06
 
Presentation IBM Rational AppScan
Presentation IBM Rational AppScanPresentation IBM Rational AppScan
Presentation IBM Rational AppScan
 
TNPW2-2014-04
TNPW2-2014-04TNPW2-2014-04
TNPW2-2014-04
 
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictvíSmart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
Smart Cards & Devices Forum 2013 - Zabezpečení mobilních bankovnictví
 
Bezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictvíBezpečnost mobilních bankovnictví
Bezpečnost mobilních bankovnictví
 
Jak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaciJak zefektivnit vaši serverovou virtualizaci
Jak zefektivnit vaši serverovou virtualizaci
 
4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware4320 vzdaleny pristup_k_serveru_net_ware
4320 vzdaleny pristup_k_serveru_net_ware
 
Milan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na AndroiduMilan Oulehla: Bezpečnost mobilních aplikací na Androidu
Milan Oulehla: Bezpečnost mobilních aplikací na Androidu
 
TNPW2-2016-04
TNPW2-2016-04TNPW2-2016-04
TNPW2-2016-04
 
O2 Firewally nové generace
O2 Firewally nové generaceO2 Firewally nové generace
O2 Firewally nové generace
 
Bezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNETBezpečnost síťové části e-Infrastruktury CESNET
Bezpečnost síťové části e-Infrastruktury CESNET
 
NSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DCNSX - Bezpečnost a automatizace sítí DC
NSX - Bezpečnost a automatizace sítí DC
 
2019 09-23-snidane qa-public
2019 09-23-snidane qa-public2019 09-23-snidane qa-public
2019 09-23-snidane qa-public
 
Policy Compliance Testing (2011)
Policy Compliance Testing (2011)Policy Compliance Testing (2011)
Policy Compliance Testing (2011)
 

Mehr von Risk Analysis Consultants, s.r.o.

RAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stopRAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stopRisk Analysis Consultants, s.r.o.
 
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stopRAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stopRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...Risk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
QualysGuard InfoDay 2014 - QualysGuard Continuous MonitoringQualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
QualysGuard InfoDay 2014 - QualysGuard Continuous MonitoringRisk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014Risk Analysis Consultants, s.r.o.
 
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...Risk Analysis Consultants, s.r.o.
 

Mehr von Risk Analysis Consultants, s.r.o. (20)

Shadow IT
Shadow ITShadow IT
Shadow IT
 
Představení nástroje Nuix
Představení nástroje NuixPředstavení nástroje Nuix
Představení nástroje Nuix
 
FTK5 - HW požadavky a instalace
FTK5 - HW požadavky a instalaceFTK5 - HW požadavky a instalace
FTK5 - HW požadavky a instalace
 
Použití EnCase EnScript
Použití EnCase EnScriptPoužití EnCase EnScript
Použití EnCase EnScript
 
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stopRAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
RAC DEAS - Univerzální SW nástroj k zajištění digitálních stop
 
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stopRAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
RAC DEAT - Univerální HW nástroje pro zajištění digitálních stop
 
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
QualysGuard InfoDay 2014 - QualysGuard Web Application Security a Web Applica...
 
QualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
QualysGuard InfoDay 2014 - QualysGuard Continuous MonitoringQualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
QualysGuard InfoDay 2014 - QualysGuard Continuous Monitoring
 
QualysGuard InfoDay 2014 - Asset management
QualysGuard InfoDay 2014 - Asset managementQualysGuard InfoDay 2014 - Asset management
QualysGuard InfoDay 2014 - Asset management
 
QualysGuard InfoDay 2014 - WAS
QualysGuard InfoDay 2014 - WASQualysGuard InfoDay 2014 - WAS
QualysGuard InfoDay 2014 - WAS
 
QualysGuard InfoDay 2014 - Policy compliance
QualysGuard InfoDay 2014 - Policy complianceQualysGuard InfoDay 2014 - Policy compliance
QualysGuard InfoDay 2014 - Policy compliance
 
QualysGuard InfoDay 2014 - Vulnerability management
QualysGuard InfoDay 2014 - Vulnerability managementQualysGuard InfoDay 2014 - Vulnerability management
QualysGuard InfoDay 2014 - Vulnerability management
 
Použití hashsetů v EnCase Forensic v7
Použití hashsetů v EnCase Forensic v7Použití hashsetů v EnCase Forensic v7
Použití hashsetů v EnCase Forensic v7
 
Analýza elektronické pošty v EnCase Forensic v7
Analýza elektronické pošty v EnCase Forensic v7Analýza elektronické pošty v EnCase Forensic v7
Analýza elektronické pošty v EnCase Forensic v7
 
Vybrané funkce Forensic Toolkit 5 + RAC Forensic Imager
Vybrané funkce Forensic Toolkit 5 + RAC Forensic ImagerVybrané funkce Forensic Toolkit 5 + RAC Forensic Imager
Vybrané funkce Forensic Toolkit 5 + RAC Forensic Imager
 
QualysGuard InfoDay 2013 - Qualys Questionnaire
QualysGuard InfoDay 2013 - Qualys QuestionnaireQualysGuard InfoDay 2013 - Qualys Questionnaire
QualysGuard InfoDay 2013 - Qualys Questionnaire
 
QualysGuard InfoDay 2013 - Nové funkce QG
QualysGuard InfoDay 2013 - Nové funkce QGQualysGuard InfoDay 2013 - Nové funkce QG
QualysGuard InfoDay 2013 - Nové funkce QG
 
QualysGuard InfoDay 2013 - Web Application Firewall
QualysGuard InfoDay 2013 - Web Application FirewallQualysGuard InfoDay 2013 - Web Application Firewall
QualysGuard InfoDay 2013 - Web Application Firewall
 
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
QualysGuard InfoDay 2013 - QualysGuard RoadMap for H2-­2013/H1-­2014
 
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
QualysGuard InfoDay 2013 - QualysGuard Security & Compliance Suite supporting...
 

Best practice v testování zranitelností

  • 1. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Bes t prac tic e v tes tov ání z ranitelnos tí V i k t o r T i c h ý 1V 1 6 0 3 0 7
  • 2. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Hledání nástroje na testování zranitelností pro penetrační testy Qualys partner od roku 2004 Tenable partner od roku 2015 Konkurenční výhody RAC v oblasti zranitelností Znalost procesu testování zranitelností Zkušenosti RAC s testováním zranitelností
  • 3. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Základní schéma testování
  • 4. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Určuje průběh scanu Ports scan Credentials x Non-Credentials scan Scan Zone Repository Schedule - četnost testování Scan + Scan Policy
  • 5. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Basic network scan Základní politika - pro testování zranitelností Nejdůležitější parametr - rozsah TCP/UDP portů Ports scan
  • 6. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Common ports 4,790 tcp/udp ports Typicky pro testování uvnitř sítě Možné nevýhody − Na některých nestandardních portech jsou neočekávané služby − Nejlépe provádět občas testování i full tcp/udp ports All tcp/udp ports Typicky pro internetová zařízení V případě blokování některých portů (udp) neúměrně zvýšení doby testování Custom Vlastní rozsah Ports scan
  • 7. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Non-Credentials scan Testování bez autentizace Nalezne pouze zranitelnosti viditelné po síti (hacker perspective) Jednoduchá implementace scanů v organizaci Credentials scan Testování s autentizací Obtížná implementace scanů v organizaci – potřeba vysoká práva ! Nalezne i zranitelností nezjistitelné testováním bez autentizace Credentials x Non-Credentials scan Poměr nalezených zranitelností při testování s autentizací průměrně 2x -10x větší !
  • 8. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Credentials x Non-Credentials scan
  • 9. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Podporované typy autentizací
  • 10. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Externí úložiště hesel Testování s autentizací Jsou nutné vysoká práva, nejlépe domain admin či root Problém s důvěrou a odpovědností při ukládání hesel a přístupových informací Řešení – použití externích úložišť pro autentizaci - CyberArk Bezpečné nezávislé úložiště hesel Auditovatelnost, oddělená správa od správy produktů Tenable Možnost OTP, systém hesla automaticky změní po použití
  • 11. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Síťové požadavky „Neomezený“ přístup na cílová zařízení Bez ACL mezi jednotlivými VLANy Firewally s IDS/IPS funkcemi mohou ovlivňovat testy Bezpečnostní požadavky Zachovat oddělení jednotlivých bezpečnostních zón Typicky DMZ x Server LAN x User LAN Umístění scannerů Tenable Security Center až 512 scannerů Dělení příslušnosti ke scannerům - Zóny
  • 12. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Způsoby testování z hlediska síťové dostupnosti
  • 13. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s DMZ Testování z internetu − Zajímá nás, které porty jsou dostupné − Kontrola správnosti nastavení firewallu Testování uvnitř DMZ − Testujeme všechny služby a zranitelnosti − Nepotřebné služby zavřeme, odinstalujeme Serverová LAN Z klientské sítě − Uživatele by měli mít dostupné pouze potřebné porty (80,443, win rpc) Z serverové sítě (jiná VLAN) Typicky DMZ x Server LAN x User LAN Způsoby testování z hlediska síťové dostupnosti
  • 14. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Odlišné výsledky z testování Podle způsobu testování (s/bez autentizace) Podle umístění scannerů Problém se střídáním výsledku pro jiné typy testováním Repository Řešení – použít více Repository Repository = databáze Credentialed, Compliance Internet, Internal apod..
  • 15. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Obvyklá frekvence testování Internet 1x denně až 1xtýdně Testování ve vnitřní síti – 1x týdně Doba šíření bezpečnostních problémů se zkracuje Pro vysokou bezpečnost lépe testovat častěji, 1x denně Nastupující trend – nepřetržité testování (PVS,LCE) Problém, IT nemusí být schopno reagovat na kratší lhůty! Četnost testování Studie ukazuje, že u 50% nově publikovaných zranitelností jsou zranitelnosti využity do 2 týdnů pro únik dat (Verizon).
  • 16. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Úrovně zranitelnosti Info, Low, Medium, High, Critical Critical zranitelnosti Velké množství zranitelností je Critical ! Možné zúžení rozsahu Je k dispozici exploit ? CVSS Score/CVSS Vector Úrovně zranitelností
  • 17. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Metrika pro závažnost zranitelností Jaké informace o dané zranitelnosti byly zveřejněny? Je k dispozici exploit? Je možné zneužití dané zranitelnosti odkudkoliv? Je možné zneužít danou zranitelnost kdykoliv? Je nutná nějaká součinnost? Je náročné danou zranitelnost zneužít? Remotely exploitable vulnerabilities get priority using CVSS http://www.first.org/cvss/ KnowledgeBase - CVSS
  • 18. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Access Vector - Odkud může být veden útok. A možnosti jsou: z internetu (network), ze sítě, kde se nachází systém trpící danou zranitelností (adjacent network) nebo útočník musí mít fyzický přístup k danému systému (local). Access Complexity - Ke zneužití dané zranitelnosti již nemusí být splněny žádné podmínky, není potřeba žádná součinnost (low), je nutné mít určité informace o systému, je potřeba minimální součinnost ze strany oběti, jako je třeba kliknutí na odkaz (medium), útok je možné realizovat jen za určitých podmínek, na určité konfiguraci a je nutné, aby oběť provedla několik kroků (high). Authentication - Ke zneužití zranitelnosti není nutný účet v systému (none), je nutné se přihlásit (single), je nutné se přihlásit do systému i do aplikace (multiple). Confidentiality impact - Zda zneužitím zranitelnosti dojde k získání citlivých informací, a to všech dat, která se nacházejí v paměti nebo na disku (complete), nebo jen části z nich (partial) anebo vůbec žádných (none). Integrity impact, Availability impact CVSS Metrika
  • 19. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Implementace VM Odlišný postup než po dosažení cílového stavu V organizace není zavedeno pravidelné patchování => často velký počet zranitelností Příklad: 1000 zařízení v LAN – často 100.000 zranitelností s různou mírou rizika Dva možné postupy Odstranění pouze Critical zranitelností, s expolitem Odstranění všech vážných zranitelností (Critical+High) Implementace
  • 20. © 2 0 1 6 R i s k A n a l y s i s C o n s u l t a n t s Zahlcení „adminů“ Obvykle velké množství zranitelností Nesouhlas s nezávislou kontrolou jejich práce (pouze někde) Konflikt bezpečnost x dostupnost Instalace patchů není bez rizika Dokud není bezpečnostní incident, obvykle pro management je stěžejní dostupnost Problém s „outsourcingem“, smlouvy obvykle neřeší včasné odstraňovaní zranitelností / patchování Vhodná východiska Rozumné stanovení rozsahu, např. pouze zranitelnosti critical Směrnice, která přesně vymezí rozsah odpovědnosti Úprava smluv s dodavateli Nejčastější problémy implementace
  • 21. DĚKUJI ZA POZORNOST Copyright © 2016 Risk Analysis Consultants, s.r.o. tichy@rac.cz