Тесты на проникновение как основа реальной оценки состояния ИБ в организации

Тесты на проникновение как основа реальной оценки состояния ИБ в организацииИвушкин Андрей

+7 (495) 921 1410 / www.leta.ruОктябрь 2011

Тесты на проникновение как основа реальной оценки состояния ИБ в организации

2

ЧТО МЫ ЗНАЕМ О БЕЗОПАСНОСТИ НАШЕЙ СЕТИ?

На что похожа система информационной безопасности Вашей организации?

+7 (495) 921 1410 / www.leta.ru


3

МНЕНИЯ О ТЕСТАХ НА ПРОНИКНОВЕНИЕ

• Не может адекватно оценить состояние ИБ; • Наши собственные знания о наших системах глубже и

объективней;• Мы регулярно проводим мониторинг лицензированным

средством выявления уязвимостей и не нуждаемся в обследованиях- это выкинутые деньги;

• Любую систему можно сломать, а потому на доказательство этого факта мы не намерены нести дополнительные расходы.

+7 (495) 921 1410 / www.leta.ru


4

ТЕКУЩАЯ СИТУАЦИЯ

• Преступники всеми силами стремятся к деньгам• Атаки на «Home banking», кража кредитных карт и фрод• Они уже имеют большой наработанный опыт краж

кредитных карт• Web приложения подвергаются атакам чаще, чем когда-

либо раньше• Наиболее доступны + имеют доступ к денежным

ресурсам компаний• Рабочие станции и сотрудники в большой степени

подвержены атакам• Сотрудники чаще всего подвержены атакам вредоносного

программного обеспечения при пользовании Интернетом

+7 (495) 921 1410 / www.leta.ru


5


• Переносные компьютеры и мобильные устройства представляют повышенный риск• Ноутбуки заражаются во время использования на

«вражеской» территории• Неявные границы сети

• Неявные границы сети, несколько деловых партнеров, более свободный доступ к сети

+7 (495) 921 1410 / www.leta.ru


6


+7 (495) 921 1410 / www.leta.ru

Методы работы хакеров становятся все более и более изощренными.


7

ТЕКУЩАЯ СИТУАЦИЯ. НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ УГРОЗЫ

+7 (495) 921 1410 / www.leta.ru

Угрозы Защитные меры

1. Сложные атаки на Web сайты через браузеры сотрудников

Web firewall, антивирус, IDS, политики, сегментация, тестирование

2. Кибер-шпионаж – Использование направленных фишинговых атак против сотрудников

Web firewall, антивирус, IDS, политики, сегментация, тестирование, обучение

3. Атаки инсайдеров (сотрудники, консультанты, партнеры)

Блокировка ethernet-розеток в конференц-зале, ограничение доступа, установка обновлений и сегментация сети, тестирование

4. Вредоносное ПО Web firewall, антивирус, IDS, политики, сегментация, тестирование

5. Эксплойты безопасности Web-приложений

Проверка ввода и тестирование


8


Сотрудники часто не знают всех своих коллег и внешних бизнес-партнеров, что делает особенно актуальными следующие атаки:

+7 (495) 921 1410 / www.leta.ru

• Фишинг-атаки;• Перевоплощение; • Использование информации из

социальных сетей.


9

МЕТОДОЛОГИЯ

• Open Source Security Testing Methodology Manual (уже версия 3.2)

http://www.isecom.org/osstmm/http://

www.isecom.org/mirror/OSSTMM.3.pdf• Open Web Application Security Projecthttps://www.owasp.org/

+7 (495) 921 1410 / www.leta.ru

http://www.isecom.org/mirror/OSSTMM.3.pdf





10

ПОДХОДЫНаиболее часто проверяются в ходе теста:• все уязвимости топ-10 списка OWASP WEB-уязвимостей;• определяем подвержено ли WEB-приложение фишинг-атакам;• проверяем безопасность механизмов аутентификации WEB-

приложений;• FTP hijacking;• реверс-инжиниринг неизвестных протоколов.Тестирование с использованием инсайдерской информации: • Тестирование настроек межсетевого экрана;• Тестирование WEB-приложений после авторизации;• Проверка безопасности платежных процедур;• Тестирование безопасности WEB-кода;• Тестирование WEB-приложений.Тестирование ноутбуков

+7 (495) 921 1410 / www.leta.ru


11

ЧТО МЫ ЗНАЕМ О БЕЗОПАСНОСТИ НАШЕЙ СЕТИ?

Так на какую картинку больше похожа система информационной безопасности Вашей организации?

+7 (495) 921 1410 / www.leta.ru

Выбранный вариант также не исключает возможных инцидентов с финансовыми последствиями для

Вашего бизнеса!


12

ЧТО ЖЕ ДАСТ ПЕНТЕСТ?

• Возможность моделирования действий потенциального злоумышленника, максимально приближенных к реальности;

• Продемонстрирует возможности проникновения в информационные системы и сценарии реализации успешной атаки;

• Даст возможность использования результатов работ для совершенствования системы управления информационной безопасностью.

+7 (495) 921 1410 / www.leta.ru


13

ПРАКТИКА. АРГУМЕНТАЦИЯ «ЗА»

• Проверить качество и состоятельность существующих контролей ИБ, а не подтвердить их отсутствие;

• Понять возможное влияние на бизнес компании, а не только лишь убедиться в наличии технических уязвимостей в системах организации;

• Оценить возможность реализации рисков на базе описанных сценариев атак;

• Определить понятную бизнесу цель проведения тестирования (возможность финансовых убытков, компрометации информации клиентов и партнеров, имиджевые потери компании т.д.)

+7 (495) 921 1410 / www.leta.ru


14

КОГДА ПРОВОДИТЬ?

+7 (495) 921 1410 / www.leta.ru

Планирование-реализация-проверка-улучшение (Plan-Do-Check-Act, PDCA). 1. Планирование мер обеспечения

информационной безопасности2. Реализация спланированных мер3. Проверка мер безопасности4. Возможности для улучшения,

реализуемые уже на следующем этапе.

И вновь потребуются планирование, реализация, проверка и улучшение — новый цикл.


15

ВЛИЯНИЕ НА ПРОЦЕССЫ И КОНТРОЛИ ИБ Процесс внесения изменений Процесс проведения

обновлений Регистрация событий аудита Мониторинг использования

системы Защита данных лог-файлов Протоколирование сбоев Процесс обеспечения

безопасности при конфигурировании серверов

Политика контроля доступа Обеспечение безопасности

сетевых сервисов

+7 (495) 921 1410 / www.leta.ru

Контроль сетевых подключений Безопасность процедур входа в

систему Идентификация и

аутентификация Ограничение доступа к

информации Процесс анализа уязвимостей Инвентаризация и владение

ресурсами Повышение осведомленности

персонала Процесс обеспечения контроля

вредоносного кода Сетевые механизмы контроля


16

ПОДВОДИМ ИТОГИ

Проводится: По требованию нормативных документов и стандартов; При необходимости продемонстрировать руководству ситуацию с

системой ИБ (периметра сети, определенного приложения); Для оценки безопасности специфических приложений(Web-

сервисов, беспроводных сетей, и др.приложений).Позволяет:• Обосновать необходимость расходов на ИБ;• Устранить в срочном порядке обнаруженные уязвимости;• Пересмотреть внутренние тех. и организационные контроли;• Показать уровень осведомленности персонала о требованиях по

информационной безопасности;• Выявить организационные аспекты ИБ, на которые следует

обратить внимание в первую очередь.

+7 (495) 921 1410 / www.leta.ru


17

КОНТАКТНАЯ ИНФОРМАЦИЯ

LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru

© 2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.

Ивушкин АндрейЗаместитель руководителя направления систем менеджментаМоб. тел.: +7 (495) 921-1410e-mail: [email protected]

Documents

Тесты на проникновение как основа реальной оценки состояния ИБ в организации