20090203 Полезни приложения в помощ на ИТ одитора

3 февруари 2009 г. Асоциация за одит и контрол на информационни системи - София 2

… Пътят на самурая. Според целта,

самураят изработва различни оръжия,

овладявайки добре особеностите и

начина на използването им. В това е

същността на Пътя на самурая. Ако не

успее да овладее използването на

оръжията и не разбере ползата от всяко

от тях, не е ли това повърхностност в

уменията на един самурай?

Миямото Мусаши

«Го Рин Но Шо»

(Ръкопис на Петте пръстена)

Програма

Стандартите за одит на информационни системи и CAATs

Общи изисквания и предизвикателства пред ползването на приложения

Видове приложения от полза за ИТ одитора в областите:

Data mining и/или анализ на данни

Оценка на мрежовата сигурност

• Събиране на информация, сканиране и тестване на устройства в мрежа

• Откриване на уязвимости

• Тестване на безжични мрежи

Извън обхват на презентацията:

• Одит на СУБД, уеб приложения и уеб сървъри

• Преглед и тестване на софтуер и програмен код

• Управление на ИТ одит ангажиментите

Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 3

Стандартите за одит на информационни системи и CAATs


Guideline 3 - Use of Computer-Assisted Audit Techniques (CAATs)

CAATs обхващат всички одит техники, използващи компютърен хардуер и

софтуер за извършването на по-ефективни и ефикасни одит тестове и

ангажименти като цяло.

Какво искат ИТ одиторите от ползваните от тях приложения?

Да могат да бъдат ползвани върху различни операционни системи

Максимално богата функционалност и покритие на различни платформи

Лекота при използване и наличие на подходяща документация

Възможност за автоматизация на често повтарящи се или

последователно изпълнявани задачи (скриптиране)

Лесно управление, съхраняване и преносимост на конфигурацията

Извеждане на резултатите от работата във файлове или към друго

приложение

Оптимално използване на хардуерните ресурси

Ниска степен на влияние върху тестваните машини/мрежи


Какво може да ограничи ползването на приложенията

Няма възможност за закупуване и/или ползване

Липса на средства, време и подкрепа от одит мениджмънта

Невъзможност да се идентифицират подходящите приложения

Вътрешна съпротива в одит звеното

Инерция, отказ от промяна на навици, страх от новото

Недостатъчно познания, умения или мотивация

Неподходяща среда за одитиране

Отказ от предоставяне на информация

Непълни, некоректни и/или неактуални данни


Data mining и/или анализ на данни

Електронни таблици

MS Office Excel

OpenOffice Calc

Lotus Symphony Spreadsheets

Data Warehouse

Business Intelligence

ACL, IDEA

Системи за управление на бази

данни

MS Office Access

OpenOfiice Base

MS SQL 2005 Express

MySQL

PostgreSQL


Пътна карта за работа в мрежата

Асоциация за одит и контрол на информационни системи - София

Слой Функция

Приложен Приложни програми за крайния потребител

Транспортен Адресиране и доставяне на данни на приложения

Мрежов Базова комуникация, адресиране и маршрутизиране

Канален Мрежов хардуер и драйвери на устройствата

Физически Самият кабел или физическата преносна среда

3 февруари 2009 г. 8

Предизвикателства при ползването на приложения за анализ на

данни

Какво е нужно, за да сте ефективни

Много добро познаване на системите и данните, които ще одитирате

Безпрепятствен и своевременен достъп до тях (‘read only’)

Одиторски умения за работа с CAATs

Прилагане на най-добрите практики и референтни модели

Способност да се идентифицират проблемните области

Ползи

Увеличен обхват

• Преглед на цялата популация, вместо на извадка

Намалено време за извършване и документиране на тестовете

Повишена надеждност в резултата от тестовете


Оценка на мрежовата сигурност

Разузнаване

Снифъри и анализатори на мрежов трафик

Откриване и профилиране на устройства в мрежата

Скенери за уязвимости

Платформи за създаване на експлойти

LiveCD penetration testing toolkit



SamSpade

ping

nslookup, dig

DNS zone transfer

whois, IP block search

traceroute

finger

SMTP VRFY, SMTP relay check

Анализ на еmail header

Email blacklist



LDAP Browser

Explorer-like LDAP клиент за

преглед и анализ на LDAP

директории

Олекотена версия на Softerra

LDAP Administrator, без

възможност за редакция на

данните в LDAP директориите

Поддържа филтриране, търсене

и експорт на данни



Wireshark (бивш Ethereal)

Мощни филтри при прихващане и показване на пакетите

Поддържа множество формати

• tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor, Novell LANalyzer, WildPackets EtherPeek /AiroPeek

Улавя в реално време пакети от Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI

Поддържа декриптиране в IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2



Network Miner

Пасивен снифър

Събира данни за машините в мрежата, а не за трафика между тях

Ре-асемблира сертификати, извлечени от пакетите

Cain & Abel

Възстановяване на пароли чрез извличането им от прихванат трафик

Възползва се от слабости в (имплементацията на) стандартите, методите за автентикация и кеширане на данните



Tcpdump

network monitoring tool,

използващ libpcap за

прихващане на пакети в мрежа,

към която е включен

Често се ползва за debug-ване

на приложения, генериращи или

получаващи мрежов трафик

Пуснат на рутер/шлюз може да

прихваща и “показва”

некриптиран трафик, съдържащ

потребителски профили и

пароли



Ettercap

Многофункционален sniffer /

interceptor / logger за LAN мрежа.

Поддържа активна и пасивна

дисекция на много протоколи

(вкл. криптирани)

• Вмъкване на символи в изградена

сесия

• Снифинг на SSH1 сесии

• Снифинг на HTTPS сесии, дори

през прокси

• Remote traffic through GRE tunnel

• MitM атаки срещу PPTP тунели

• “Събира” пароли от TELNET, FTP,

POP, RLOGIN, SSH1, ICQ, SMB,

MySQL, HTTP, NNTP, X11,

NAPSTER, IRC, RIP, BGP, SOCKS

5, IMAP 4, VNC, LDAP, NFS, SNMP,

HALF LIFE, QUAKE 3, MSN, YMSG

• Филтриране или спиране на пакети

• OS fingerprint

• Прекъсване на сесии

• Пасивно сканиране на LAN

• Проверка за други “тровещи”

програмки


Снифъри и скенери в безжични мрежи

NetStumbler

Активен скенер, основно

използван за:

• Wardriving

• Потвърждаване на мрежовата

конфигурация

• Откриване на неоторизирани

("rogue") точки за достъп

Inssider

Open-source

Работи с 64-битови Win ОС, вкл.

Vista


Снифъри и скенери в безжични мрежи

Kismet

Пасивен wireless снифър

Има базови IDS възможности

(засичане на активни снифъри и

някои видове атаки)

Поддържа channelhopping

Може да записва прихванатите

пакети в tcpdump/Wireshark

формат

Работи под Linux, *BSD и

MacOS X


Профилиране на устройства

Nmap

Открива (инвентаризира)

компютри в мрежата

Генерира списък с “отворени”

портове на компютрите

Определя версиите на

приложенията, ползващи даден

порт

Определя вида и версията на ОС

на сканирания компютър, както и

някои от характеристиките на

мрежовия адаптер



ike-scan

Използва IKE протокола за

откриване, разпознаване и

тестване на IPsec VPN сървъри

Генерира и изпраща IKE Phase-

1 пакети към определени

машини

Декодира и визуализира

получения от тях отговор

Може да краква pre-shared keys

хешовете и да извлича

ключовете от тях



LanSpy

Улеснява събирането на

информация за отдалечени

машини

Преглед на стартирани процеси

Преглед на инсталирани

приложения

Открива

• споделени ресурси

• отворени портове и ползващи ги

приложения

• изградени сесии

• потребителски групи и профили


Бенчмарк, одит и документиране на конфигурации на мрежови

устройства

CIS Router Audit Tool (RAT)

Четири Perl програми

snarf: изтегля

конфигурационните файлове

ncat: чете правилата и

конфигурациите, генерира

резултат в CSV формат

ncat_report: чете CSV

файла, създава HTML доклад

rat: стартира останалите

програми


Бенчмарк, одит и документиране на конфигурации на мрежови


Nipper

Генерира отчети от

конфигурационни файлове на

мрежови устройства

Отчетът включва детайлен

одит на настройките в

съответствие с добрите

практики, както и списък със

самата конфигурация на

устройството

Поддържа устройства на

Cisco, Juniper, HP, CheckPoint,

Nortel, Nokia, 3Com,

SonicWALL и Bay Networks


Комплексни скенери за уязвимости


Nessus

Откриване и профилиране на


Тестване на конфигурации за

съответствие с политиките

Тества за наличие на пачове без

да изисква инсталиране на агент

Над 25 хил. плъгина за тестване

на определени уязвимости




GFI LanGuard Network Security

Scanner

Проверка за уязвимости

(Windows и Linux)

Открива споделени дялове,

отворени портове и

потребителски акаунти на

работните станции

Проверява за липсващи

сервизни кръпки и пакети на

операционната система и се

грижи за инсталирането им

Retina Network Security Scanner



Security Auditor's Research Assistant (SARA)

Характеристики

• Интегриран с National Vulnerability Database (NVD)

• Изпълнява SQL injection тестове

• Изпълнява XSS тестове

• Може да се ползва в среда със защитни стени

• Поддържа CVE

• Самостоятелна и сървърна (daemon) версия

• Поддържа потребителски разработени “допълнения”

• Базиран на SATAN модела


Платформи за създаване на експлойти

Metasploit

Среда за разработка, зареждане

и изпълнение на експлойти

срещу дадена машина

• Избор и настройване на експлойт

• Проверка дали мишената е

уязвима към избрания експлойт

• Избор и настройване на payload

• Избор на начин за криптиране на

payload-а, за да не бъде открит

• Изпълнение на експлойта


LiveCD penetration testing toolkit

BackTrack 3

Slackware базирана live

дистрибуция

Обединява Whax и Auditor

Security Collection LiveCD

Над 300 инструмента, логически

групирани по стадиите на

penetration testing методологиите

• Information Systems Security

Assessment Framework (ISSAF)

• The Open Source Security Testing

Methodology Manual (OSSTMM)

Тясно интегриран с Metasploit



Безплатни инструменти за одит на компютърни мрежи

nipper (network infrastructure

configuration parser)

http://www.sourceforge.net/projects/ni

pper

nmap (network mapper)

http://www.insecure.org/nmap/

rat (router audit tool and benchmark)

http://www.cisecurity.org/

wireshark (network sniffer)

http://www.wireshark.org/

nessus (vulnerability scanner)

http://www.nessus.org/

firewalk (determine what layer 4

protocols a given IP forwarding

device will pass)

http://www.packetfactory.net/projects/f

irewalk/

ike-scan (discover and fingerprint

IKE hosts (IPsec VPN servers))

http://www.nta-monitor.com/tools/ike-

scan/

sam spade (freeware network query

tool)

http://preview.samspade.org/ssw/


http://www.sourceforge.net/projects/nipper

http://www.sourceforge.net/projects/nipper

http://www.insecure.org/nmap/

http://www.cisecurity.org/

http://www.wireshark.org/

http://www.nessus.org/

http://www.packetfactory.net/projects/firewalk/

http://www.packetfactory.net/projects/firewalk/

http://www.nta-monitor.com/tools/ike-scan/





http://preview.samspade.org/ssw/

Благодаря за вниманието!

Николай Димитров, CISA, CIA, CCSA

Мениджър ИТ одит

е [email protected]

t (02) 859 0122

m (089) 351 9564

w http://www.dfkanda.bg


mailto:[email protected]

http://www.dfkanda.bg/

Technology

20090203 Полезни приложения в помощ на ИТ одитора