Embed Size (px)
DESCRIPTION
Citation preview
Ломаем (и строим) вместе!
Дмитрий Евтеев (Positive Technologies)
О чем пойдет речь
MaxPatrol для консалтинга
Примеры использования MaxPatrol в консалтинговых проектах.
MaxPatrol для пентестов Тесты на проникновение, PCI ASV, анализ Web-
приложений, аудиты ИБ, анализ ERP-систем.
Настройки профиля сканирования, анализ результатов, подготовка отчетов.
MaxPatrol internals
Тестирование на проникновение (модуль PenTest)
• это комплекс мероприятий, направленных на оценку текущего состояния процессов обеспечения ИБ
• тестирование на преодоление защиты
• это один из методов проведения аудита ИБ
Оценка уровня защищенности (модуль Аудит)
• это комплекс мероприятий, направленных на оценку текущего состояния процессов обеспечения ИБ методикой «белого-ящика»
• анализ защищенности (технологический, организационный и т.д.)
Управление уровнем защищенности (модуль Compliance)
• это комплекс мероприятий, направленных на оценку уровня соответствия требованиям к обеспечению информационной безопасности (внутренняя политика ИБ, PCI DSS, стандарты серии ISO 2700x, Center of Internet Security (CIS) guides и тд.)
Модуль PenTest: сканер портов
Модуль PenTest: сканер уязвимостей
Примеры пентестов: обнаружение уязвимостей
Модуль PenTest: анализ веб-приложений
Анализ защищенности веб-приложений (fuzzing)
Web-сервер
Рабочее место аудитора
Проверка 1
Уязвимость 1: подбор пароляImpact: доступ к приложению (с ограниченными привилегиями)
Уязвимость 2: внедрение операторов SQLImpact: только чтение файлов (включена опция magic quotes)
Уязвимость 3: выход за каталогImpact: выполнение команд на сервере (LFI over /proc)
Проверка N
Найдена уязвимость
Примеры пентестов: что такое анализ веб-приложения методикой «черного ящика»
Модуль PenTest: настройка профиля сканирования веб-приложений
Модуль PenTest: тестирование новых приложений
Модуль PenTest: подбор паролей
Общепринятые
• admin:123456
• Administrator:P@ssw0rd
…
SAP
• (DIAG) SAP*: 06071992, PASS
манданты: 000, 001, 066, все новые
• (RFC) SAPCPIC: ADMIN
манданты:000, 001, 066, все новые
…
Oracle
• sys:manager
• sys:change_on_install
…
Cisco
• Cisco:Cisco
…
…
Примеры пентестов: Привет Павлик :)
Выявление уязвимых конфигураций:...
aaa authentication login default local-case
aaa authentication login authen none
...
line vty 0 3
exec-timeout 0 0
line vty 4
exec-timeout 0 0
privilege level 15
login authentication authen
...
Модуль Compliance
Модуль Compliance: переопределение контролей
Модуль Аудит
Модуль Аудит: пример использования
Модуль Аудит: пример использования
Модуль Аудит: пример использования
Модуль Аудит: пример использования
Модуль Аудит: анализ СУБД
Модуль Аудит: анализ ERP-систем
Модуль Compliance: анализ ERP-систем
Примеры пентестов: анализ защищенности
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
РАБОЧИЕ СТАНЦИИ
ГОЛОВНОЙ ОФИС
ФИЛИАЛРАБОЧИЕ СТАНЦИИ
СЕРВЕРЫ
СЕТЕВОЕ ОБОРУДОВА
НИЕ
MP SERVER
Рабочее место
аудитора
WEB-СЕРВЕР
ПОДОБРАН ПАРОЛЬ
ПРОВЕДЕНИЕ ПРОВЕРОК
ПРОВЕДЕНИЕ ПРОВЕРОК
Внутренний пентест/аудит по результатам пентеста
Внутренний пентест/аудит по результатам пентеста
Сканирование сети
Успешно подобран пароль!• Эксплуатация SQL
Injection• Выполнение команд на
сервере• Повышение привилегий• Атака на внутренние
ресурсы
Внутренний пентест• Установка сканера
MaxPatrol• Поиск уязвимостей• Эксплуатация уязвимостей
Перемещение в ИС ЦО• Проведение атаки на
ресурсы ЦО
Получение максимальных привилегий во всей сети!
Примеры пентестов: использование архитектуры
Примеры пентестов: анализ защищенности
Примеры пентестов: отчетность
Примеры пентестов: отчетность
Примеры пентестов: PCI ASV
Примеры пентестов: отчетность по PCI DSS
Примеры пентестов: отчетность по PCI DSS (метрики трудозатрат)
