Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.



Podobne dokumenty
Bezpieczeństwo aplikacji internetowych. Rozwój napędzany potrzebą WALLF Web Gateway. Leszek Miś, RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Podział obowiązków, a kontrola dostępu centralne zarządzanie użytkownikami i ich uprawnieniami.

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Audyty bezpieczeństwa i zgodności oprogramowania Leszek Miś RHC{A,SS,X} Linux Polska Sp. z o.o.

Usprawnienie procesu zarządzania konfiguracją. Marcin Piebiak Solution Architect Linux Polska Sp. z o.o.

Wymagania techniczne dla programów antywirusowych. Oprogramowanie dla serwerów i stacji roboczych będących w sieci - ilość 450 sztuk:

Administratorzy systemów, inżynierowie, konsultanci, którzy wdrażają i zarządzają rozwiązaniami opartymi o serwery HP ProLiant

7. zainstalowane oprogramowanie zarządzane stacje robocze

Portal Security - ModSec Enterprise

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

Audytowane obszary IT

Bezpieczna infrastruktura zależna od świadomych zagrożeń pracowników.

OFERTA Audyt i usługi doradcze związane z wdrożeniem systemu zarządzania bezpieczeństwem informacji dla jednostek administracji publicznej

Audyty bezpieczeństwa dla samorządów i firm. Gerard Frankowski, Zespół Bezpieczeństwa PCSS

Specyfikacja audytu informatycznego Urzędu Miasta Lubań

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Szczegółowy opis przedmiotu umowy. 1. Środowisko SharePoint UWMD (wewnętrzne) składa się z następujących grup serwerów:

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

Complete Patch Management

Bezpieczeństwo danych w sieciach elektroenergetycznych

Serock warsztaty epuap 28 październik 2009 r. Sławomir Chyliński Andrzej Nowicki WOI-TBD Szczecin

Produkty. ESET Produkty

XXIII Forum Teleinformatyki

Szczegółowy opis przedmiotu zamówienia:

Client-side Hacking - wprowadzenie w tematykę ataków na klienta. Radosław Wal radoslaw.wal@clico.pl

Wstęp... ix. 1 Omówienie systemu Microsoft Windows Small Business Server

Splunk w akcji. Radosław Żak-Brodalko Solutions Architect Linux Polska Sp. z o.o.

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

ZAŁĄCZNIK Nr 3 do CZĘŚCI II SIWZ

Opis przedmiotu zamówienia

ZAŁĄCZNIK Nr 1 do CZĘŚCI II SIWZ

Opis Przedmiotu Zamówienia na realizację audytów dla poszczególnych Inicjatyw i infrastruktury IT w ramach projektu euczelnia

Enterprise SSO IBM Corporation

SIŁA PROSTOTY. Business Suite

Kompleksowe rozwiązania do ochrony danych. Wybrane przykłady wdroŝeń. Tomasz Tubis. Tivoli Summer Academy 2010

MONITOROWANIE DOSTĘPNOŚCI USŁUG IT

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

z testów penetracyjnych

Doskonalenie podstaw programowych kluczem do modernizacji kształcenia zawodowego

JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

TEMAT SZKOLENIA: Organizator szkolenia: Compendium Centrum Edukacyjne Sp. z o.o. posiadająca status Novell Training Services Partner Platinum.

APT x 3 - trzy firmy, trzy wektory ataków, trzy do zera. Wybrane studium przypadków. Borys Łącki LogicalTrust

Security Master Class Secure Configuration Life Cycle. Marcin Piebiak Senior Solutions Architect Linux Polska Sp. z o.o.

Sieci bezprzewodowe WiFi

Podstawy bezpieczeństwa

Jak bezpieczne są Twoje dane w Internecie?

9:45 Powitanie. 12:30 13:00 Lunch

Instalacja systemów operacyjnych i tworzenie domeny

Marek Krauze

Agenda. Quo vadis, security? Artur Maj, Prevenity

Bezpieczeństwo IT w środowisku uczelni

Kontekst jest najważniejszy Application Security (WALLF-ng) Leszek Miś Head of IT Security Department Linux Polska Sp. z o.o.

SZCZEGÓŁOWY OPIS PRZEDMIOTU ZAMÓWIENIA

24/10/2011 Norma bezpieczeństwa PCI DSS. Korzyści i problemy implementacji. 1

Opis Przedmiotu Zamówienia

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Egzamin : zabezpieczanie systemu Windows Server 2016 / Timothy Warner, Craig Zacker. Warszawa, Spis treści

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Administratorzy kontrolują systemy IT, a kto kontroluje administratorów?

ZAPROSZENIE DO SKŁADANIA OFERT

Zabezpieczanie systemu Windows Server 2016

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Zabezpieczanie platformy Windows Server 2003

Zdobywanie fortecy bez wyważania drzwi.

Analiza malware Remote Administration Tool (RAT) DarkComet

Oprogramowanie antywirusowe musi spełniać następujące wymagania minimalne:

Bezpieczeństwo systemów SCADA oraz AMI

Audyty zgodności z Rekomendacją D w Bankach Spółdzielczych

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Załącznik nr 1 I. Założenia ogólne:

REKOMENDACJA D Rok PO Rok PRZED

USŁUGI AUDYTU i BEZPIECZEŃSTWA INFORMACJI

Wprowadzenie do Active Directory. Udostępnianie katalogów

Security Master Class

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

Usługa: Audyt kodu źródłowego

Leszek Dziubiński Damian Joniec Elżbieta Gęborek. Computer Plus Kraków S.A.

Wybawi się od niebezpieczeństwa jedynie ten, kto czuwa także gdy czuje się bezpieczny Publiusz Siro. Audyt bezpieczeństwa

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Wirtualizacja sieci - VMware NSX

Webapplication Security Pentest Service

9. System wykrywania i blokowania włamań ASQ (IPS)

! Retina. Wyłączny dystrybutor w Polsce

Badanie bezpieczeństwa infrastruktury sieciowej

Opis Przedmiotu Zamówienia

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

Win Admin Replikator Instrukcja Obsługi

ZAŁĄCZNIK NR 3 OPIS PRZEDMIOTU ZAMÓWIENIA DOTYCZĄCY WDROŻENIA PLATFORMY ZAKUPOWEJ

Konfiguracja kolejności interfejsów sieciowych w Windows 10 dla oprogramowania Wonderware

OPIS PRZEDMIOTU ZAMÓWIENIA w odniesieniu do zadania antywirus - dostawa oprogramowania antywirusowego

Wyższy poziom bezpieczeństwa

Rozwi zania Client Management Solutions i Mobile Printing Solutions. Numer katalogowy dokumentu:

Aktualizacja do Microsoft SQL Server Adam Rynarzewski MCT

Znak sprawy: KZp

Wybrane problemy bezpieczeństwa w systemach IT.

Transkrypt:

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

Fakty Są 3 rodzaje serwerów: Zabezpieczone Niezabezpieczone Podobno zabezpieczone Systemy: Strategiczne/krytyczne Publiczne/lokalne 2

Fakty Rozbudowane infrastruktury wymagają narzędzi Bez dedykowanych systemów aktywnie skanujących infrastrukturę nie jesteśmy w stanie dowiedzieć się na czas o wystąpieniu podatności Czas administratorów vs nieograniczony czas atakujących Pomijanie aspektów bezpieczeństwa we wczesnej fazie projektów Zagrożenia kryją się w każdej warstwie ekosystemu 3

4 Fakty

Problemy W jaki sposób być na bieżąco z CVE dla całej infrastruktury? MS13-069 Microsoft Internet Explorer CCaret Use-After-Free Linksys WRT110 Remote Command Execution IBM AIX 6.1 / 7.1 - Local root Privilege Escalation OSX <= 10.8.4 - Local Root Priv Escalation (py) VMWare Setuid vmware-mount Unsafe popen(3) Linux Kernel 'MSR' Driver Local Privilege Escalation Solaris Recommended Patch Cluster 6/19 Local root on x86 HP ProCurve Manager SNAC UpdateCertificatesServlet File Upload HP SiteScope Remote Code Execution Microsoft SharePoint 2013 (Cloud) - Persistent Exception Handling Web Vulnerability 5

Problemy Czy jesteś w stanie podliczyć wszystkie urządzenia sieciowe w sieci? Ile z nich posiada interfejs webowy? Ile z nich posiada domyślne ustawienia? Czy potrafisz wykryć syndromy ataku lub jego początkowej fazy? Bezpieczeństwo platform wirtualizacyjnych cloud 6

Potrzeby Bezpieczeństwo jako proces, a nie jako kolejne urządzenia komercyjnego vendora Stale budowana świadomość Dostęp do aktualizowanych na bieżąco baz podatności typu: Zaawansowane narzędzia, umiejętności i usługi Ustanadryzowana konfiguracja systemowa Testy penetracyjne identyfikacja słabych punktów: Dedykowane per nowy projekt Okresowe/automatyczne 7

Potrzeby czyli minimalizowanie ryzyka Metodyka systemowej analizy bezpieczeństwa Centralna konfiguracja i możliwość sprawdzenia poprawności założeń polityki Audyt przystosowania systemów do spełniania standardów bezpieczeństwa STIG/PCI DSS/CIS Audytowanie integralności systemu plików i poprawności konfiguracji Testowanie bezpieczeństwa aplikacji webowych SDLC bezpieczeństwo w fazie projektowej Inwentaryzacja środowiska Aktywny monitoring DNS! 8

Rekomendacja D 9.17: Bank powinien monitorować sieci teleinformatyczne, komponenty infrastruktury teleinformatycznej, usługi sieciowe i systemy informatyczne pod kątem ich bezpieczeństwa 9.19: Eksploatowane w banku drukarki wykorzystywane do drukowania dokumentów zawierających informacje o wysokim stopniu poufności powinny być zabezpieczone przed możliwością wycieku informacji 9.21: Konfiguracja komponentów infrastruktury teleinformatycznej powinna podlegać okresowej weryfikacji pod kątem pozostałych zmian zachodzących w tym środowisku, a także ujawnianych luk bezpieczeństwa. 18.7: Szczególną uwagę bank powinien poświęcić identyfikacji istniejących podatności środowiska teleinformatycznego (w tym komponentów infrastruktury teleinformatycznej) oraz zagrożeń, które mogą je wykorzystać 9

Testy penetracyjne Kontrolowany atak na zamówienie 10

Testy penetracyjne Bezpieczeństwo: Aplikacji Baz danych OS Sieci innych 11

Systemowy standard bezpieczeństwa STIG Security Technical Implementation Guide Obowiązkowy standard dla systemów DoD Wiele punktów kontrolnych: + Dobre praktyki Restrykcyjne uprawnienia Wykrywanie błędów konfiguracyjnych Specyficzne audytowanie Kontrole dostępu (SELinux) Zarządzanie uzytkownikami 12

13 Przedstawienie raportu z audytu bezpieczeństwa konfiguracji systemu RHEL.

Pokaz skanowania sieci pod kątem podatności i analiza raportu. 14

Skanowanie 15

Narzędzia i umiejętności Obowiązkowe narzędzia pentestera: Backtrack/Kali Linux Metasploit Nmap/amap/vmap ZAP/Burp Proxy air*tools Wiele, wiele innych 16

17 Omówienie przejęcia kontroli nad infrastrukturą IT organizacji: APT

APT DDOS na serwery strony logowania banku W międzyczasie: Spear phishing Zainfekowany PDF/podatność w IE Stacja przesiadkowa do skanowania sieci Dodanie funkcji keyloggera do putty Uzyskanie haseł do serwerów Wykrycie serwerów bazodanowych Ukrycie w mikrokontrolerze klimatyzacji 18

Podsumowanie Rekomendacja D wymaga dodatkowych nakładów Zarządzanie i kontrola zmian Analiza incydentów i korelacja zdarzeń Kontrola integralności plików Audyty i testy penetracyjne Zwiększanie poziomu bezpieczeństwa usług, systemów i aplikacji - utwardzanie Szkolenia w pakiecie 19

Security - szkolenia Red Hat IdM jako kontroler domeny linuksowej na bazie IPA Server ModSecurity - skuteczna ochrona aplikacji webowych WALLF Web Gateway - instalacja, konfiguracja, zarządzanie RH413 Red Hat Enterprise Server Hardening RHS429 SELinux Policy Administration Puppet Enterprise Splunk 20

Dziękujemy za uwagę. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 21

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres