Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

Transkrypt

1 Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

2 Kim jesteśmy, co oferujemy Nasza oferta usług: Rozszerzone wsparcie lokalne Projektowanie rozwiązań Migracje (JBoss, EDB, RHEL) Audyty bezpieczeństwa i legalności Warsztaty szkoleniowe i szkolenia autoryzowane Nasz zespół wsparcia: RHCA 2 (3 kolejne w trakcie) RHCDS 3 (2 kolejne w trakcie) RHCSS 2 (2 kolejne w trakcie) RHCE 8 ; RHCSP 6 JBoss Application Admin. 5 Postgres Adv. Admin. and Developers 4 Alfresco Developers 3 ITIL, SCRUM, PRINCE 2 2 Certyfikaty bezpeczeństwa (ABW) 2

3 Company confidential - under NDA Kim jesteśmy, co oferujemy O nas Nasza oferta usług: Rozszerzone wsparcie lokalne Projektowanie rozwiązań Migracje (JBoss, EDB, RHEL) Audyty bezpieczeństwa i legalności Warsztaty szkoleniowe i szkolenia autoryzowane Nasz zespół wsparcia: Nasi partnerzy, produkty i rozwiązania RHCA 2 (3 kolejne w trakcie) RHCDS 3 (2 kolejne w trakcie) RHCSS 2 (2 kolejne w trakcie) RHCE 8 ; RHCSP 6 JBoss Application Admin. 5 Postgres Adv. Admin. and Developers 4 Alfresco Developers 3 ITIL, SCRUM, PRINCE 2 2 Certyfikaty bezpeczeństwa (ABW) 2

4 Agenda 1. Zagrożenia i cele ataków. 2. Audyty bezpieczeństwa. 3. Wymagania pod kątem audytu + kroki przygotowawcze. 4. Open Source Security Testing Methodology. 5. Testy penetracyjne co wnoszą, przedstawienie oferty LP 6. Przystosowanie systemów RHEL pod CIS, PCI DSS (wskazówki, drogowskazy) przy konfiguracji systemów i usług aplikacyjnych 7. Co zrobić, aby zwiększyć bezpieczeństwo? 8. Model subskrypcyjny, enterprise agreement. 9.Szkolenia LP - hardening.

5 Zagrożenia Zakłócenie pracy systemu Brak dostępu do systemu/informacji Kradzież lub modyfikacja poufnych danych Podmiana treści stron publicznych Malware SPAM

6 Cele ataków Banki i instytucje finansowe Korporacje Systemy przemysłowe Małe i średnie firmy Użytkownicy końcowi W efekcie: Zachwianie pozycji biznesowej Straty finansowe Utrata wiarygodności wobec Klienta Udział w botnetach

7 Dlaczego jest aż tak źle? Brak wiedzy Brak doświadczenia Brak świadomości Brak czasu Brak pieniędzy Należy korzystać z usług specjalistów.

8 Audyty bezpieczeństwa Kompleksowe badanie systemu informatycznego organizacji i związanych z nim zasobów W praktyce prace audytorskie podzielić można na: Analizę bezpieczeństwa infrastruktury systemowej Analizę bezpieczeństwa infrastruktury sieciowej Analizę bezpieczeństwa infrastruktury aplikacyjnej Analizę zachowań użytkowników końcowych (świadomość!) Analizę kontroli dostępu do danych/zasobów Analizę kontroli dostępu fizycznego Analizę procedur i wykorzystywanych polityk Analizę oprogramowania pod kątem licencyjnym

9 Audyty bezpieczeństwa Cel: Weryfikacja stanu bezpieczeństwa organizacji Jak dobrze radzi sobie bezpieczeństwo? System informatyczny jest tak bezpieczny, jak jego najsłabsze ogniwo.

10 OSSTM Open Source Security Testing Metodology mapa drogowa dla audytora autorstwa ISECOM Czym jest audyt według OSSTM? - wynik analizy raportu OSSTM definiuje pięć kanałów: - Human, - Physical - Wireless - Telecommunications - Data Networks Mierzalne i porównywalne wyniki. Świetnie nadaje się do testowania środowisk cloud

11 Separacja i kontrola Bezpieczeństwo jest funkcją separacji. Threat może dotknąć zasób. 100% oddzielenie threatu i zasobu to brak funkcjonalności. Mechanizmy kontroli na różnych poziomach Jakiekolwiek rozwiązanie security jest lepsze niz jego brak?

12 Rodzaje testów testy penetracyjne ethical hacking security assessments oceny bezpieczeństwa vulnerability assessments oceny podatności red-teaming Blue-teaming Audyt bezpieczeństwa!= test penetracyjny

13 Testy penetracyjne Metoda badania poziomu bezpieczeństwa systemu IT polegająca na jak najbliższym naśladowaniu działań intruza Symulowany atak Legalny hacking Testy penetracyjne podzielić można na: Blackbox (minimum wiedzy na temat badanego systemu) Whitebox (pełna wiedza)

14 Testy penetracyjne Co chcemy przetestować (assets), a także kiedy i gdzie? Definicja obszaru wystąpień mechanizmów zabezpieczeń i procesów, wokół którego będziemy testować Definicja wszystkiego poza powyższym obszarem (scope) Interakcja scope'a z obszarami zewnętrznymi (vector) W jaki sposób? (rozkład procesu na elementarne części, kanały) Typ testu oraz określenie czego oczekujemy od testu Wynik: obszar ataku czyli niechroniona część scope'a

15 Testy penetracyjne Klienci pytają zazwyczaj o wycenę testów penetracyjnych: aplikacji webowych oraz serwerów HTTP (OWASP Testing Guide, OWASP Top 10) serwerów współpracy grupowej (poczta, kalendarze) systemów firewall/gateway/vpn systemów operacyjnych wraz z usługami pod kątem poprawnej konfiguracji zgodnej z polityką i standardami

16 Testy penetracyjne - korzyści Zwiększenie poziomu bezpieczeństwa infrastruktury poprzez wykrycie i usunięcie błędów krytycznych Podniesienie poziomu wiedzy kadry IT Ochrona marki, reputacji oraz partnerów biznesowych Uzasadnienie inwestycji związanych z bezpieczeństwem infrastruktury Możliwość skorzystania z dodatkowych konsultacji i zaleceń

17 Testy penetracyjne - oferta Oferta Linux Polska fokusuje się głównie na testach i analizie konfiguracji systemu Linux oraz oprogramowania open source: Wyszukiwanie podatności systemów operacyjnych (wewnętrzne i zewnętrzne) Analiza plików konfiguracyjnych krytycznych usług i aplikacji Testowanie aplikacji www wraz z serwerami HTTP oraz innych usług sieciowych Analiza mechanizmów uwierzytelnienia i autoryzacji oraz jakości używanych haseł Testowanie firewalli, routerów, bramek VPN oraz serwerów PROXY Testowanie działania systemów antywirusowych oraz antyspamowych Analiza kodów źródłowych aplikacji i usług Analiza powłamaniowa

18 Wykorzystywane oprogramowanie Backtrack Metasploit Sectool OSSEC RHN Satellite Server + Nessus

19 Co zrobić, aby zwiększyć bezpieczeństwo? Red Hat Enterprise Linux: stabilność certyfikacje H&S okres utrzymania wersji od 7 do 10 lat Bezpieczeństwo: EAL4+, Labeled Security Protection Profile, CAPP, RBACPP

20 Subskrypcje, enterprise agreement Opłaty pobierane na podstawie ilości systemów lub produktów Red Hat Usługi subskrypcyjne obejmują: dostęp do wspieranego oprogramowania (produkty Red Hat) dostęp do aktualizacji, poprawek błędów bezpieczeństwa i błędów funkcjonalnych wsparcie techniczne Open Source Assurance

21 Standardy bezpieczeństwa Przystosowanie systemów pod kątem standardów: - Center for Information Security (CIS) - Payment Card Industry Data Security Standard (PCI DSS) Zwrócenie uwagi na szczegóły konfiguracyjne systemu: partycjonowanie, zbędne pakiety i usługi, SELinux, FW, suid/sgid, uprawnienia, zarządzanie hasłami, syslog, auditd, SSH, USB, banery, PAM, sysctl, GRUB, su/sudo,lkm,poprawna konfiguracja demonów, backup, aide, algorytmy szyfrowania

22 Szkolenia w ofercie Linux Polska Hardening systemu Red Hat Enterprise Linux 6 do poziomu spełniającego standardy DSS. SELinux - tworzenie i zarządzanie polityką bezpieczeństwa. Autoryzowana ścieżka Red Hat Certified Security Specialist: RHS333 Network Services Security RHS429 SELinux Policy Administration RH423 Directory Services and Authentication + usługi zabezpieczania systemów oraz usług (hardening, np. mod_security)

23 Dziękuję