JAK DOTRZYMAĆ KROKU HAKEROM. Tomasz Zawicki, Passus

Podobne dokumenty
Skanowanie i weryfikacja podatności. Tomasz Zawicki CISSP Passus SA

Bezpieczeństwo aplikacji WWW. Klasyfikacja zgodna ze standardem OWASP. Zarządzanie podatnościami

Ochrona biznesu w cyfrowej transformacji

Zagrożenia związane z udostępnianiem aplikacji w sieci Internet

Gdzie czyha niebezpieczeństwo i czego się boimy? Tomasz Zawicki, Passus

Jak uchronić Twój biznes przed cyberprzestępczością

Jak efektywnie wykrywać podatności bezpieczeństwa w aplikacjach? OWASP The OWASP Foundation

Usługa skanowania podatności infrastruktury IT Banków oraz aplikacji internetowych

OCHRONA PRZED RANSOMWARE. Konfiguracja ustawień

ISO w Banku Spółdzielczym - od decyzji do realizacji

Tytuł prezentacji. Wykrywanie cyberzagrożeń typu Drive-by Download WIEDZA I TECHNOLOGIA. Piotr Bisialski Security and Data Center Product Manager

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Opis Przedmiotu Zamówienia na przeprowadzenie testów bezpieczeństwa systemu wspomagania nadzoru archiwalnego e-nadzór

SQL z perspektywy hakera - czy Twoje dane są bezpieczne? Krzysztof Bińkowski MCT,CEI,CEH,ECSA,ECIH,CLFE,MCSA,MCSE..

Realne zagrożenia i trendy na podstawie raportów CERT Polska. CERT Polska/NASK

Tomasz Nowocień, Zespół. Bezpieczeństwa PCSS

Malware przegląd zagrożeń i środków zaradczych

Agenda. Quo vadis, security? Artur Maj, Prevenity

Badanie bezpieczeństwa infrastruktury sieciowej

9:45 Powitanie. 12:30 13:00 Lunch

OFERTA DLA MIAST, GMIN, INSTYTUCJI FINANSOWYCH I PODMIOTÓW KOMERCYJNYCH DOTYCZĄCA ZAGADNIEŃ ZWIĄZANYCH Z CYBERBEZPIECZEŃSTWEM

OCHRONA PRZED RANSOMWARE

Arkanet s.c. Produkty. Norman Produkty

Vulnerability Management. Vulnerability Assessment. Greenbone GSM

C)IHE - Certified Incident Handling Engineer

Aplikacje webowe na celowniku. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o. 1

SIŁA PROSTOTY. Business Suite

Technologia Automatyczne zapobieganie exploitom

Tomasz Zawicki CISSP Passus SA

Bezpieczeństwo IT w środowisku uczelni

Complete Patch Management

ANALITYK BEZPIECZEŃSTWA IT

Portal Security - ModSec Enterprise

Fuzzing OWASP The OWASP Foundation Piotr Łaskawiec J2EE Developer/Pentester

! Retina. Wyłączny dystrybutor w Polsce

CYBER GUARD PRZEWODNIK PO PRODUKCIE

Bezpieczeństwo aplikacji Czy musi być aż tak źle? OWASP The OWASP Foundation

PROFESJONALNE USŁUGI BEZPIECZEŃSTWA

Włącz autopilota w zabezpieczeniach IT

Bezpieczeństwo "szyte na miarę", czyli w poszukiwaniu anomalii. Zbigniew Szmigiero CTP IBM Security Systems

Bezpieczeństwo danych w sieciach elektroenergetycznych

Zapewnienie bezpieczeństwa w całym cyklu życia aplikacji (czyli dlaczego lepiej zapobiegać chorobom, niż leczyć je w zaawansowanym stadium)

ZagroŜenia w sieci. Tomasz Nowocień, PCSS

Audytowane obszary IT

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Bezpieczeństwo IT Audyty bezpieczeństwa i testy penetracyjne

01. Bezpieczne korzystanie z urządzeń i systemów teleinformatycznych przez pracowników instytucji finansowych

z testów penetracyjnych

Luki w bezpieczeństwie aplikacji istotnym zagrożeniem dla infrastruktury krytycznej

Procedura Alarmowa. Administrator Danych... Zapisy tego dokumentu wchodzą w życie z dniem...

Nowe zagrożenia skuteczna odpowiedź (HP ArcSight)

Zasady bezpiecznego korzystania z bankowości elektronicznej

Audyt w zakresie bezpieczeństwa informacji w Wojewódzkim Urzędzie Pracy w Lublinie

Usługa: Audyt kodu źródłowego

Jak bezpieczne są Twoje dane w Internecie?

Wyzwania i dobre praktyki zarządzania ryzykiem technologicznym dla obszaru cyberzagrożeń

ZARZĄDZENIE NR 4/17. Dyrektora Gminnego Ośrodka Kultury w Kwidzynie z dnia 10 lutego 2017 roku

Wybrane problemy bezpieczeństwa w systemach IT.

Bezpieczna infrastruktura zależna od świadomych zagrożeń pracowników.

Procedura Alarmowa. Administrator Danych Dyrektor Ewa Żbikowska

Powstrzymywanie zaawansowanych, ukierunkowanych ataków, identyfikowanie użytkowników wysokiego ryzyka i kontrola nad zagrożeniami wewnętrznymi

SecureVisio. Funkcje i zastosowania

Powstanie i działalność Rządowego Zespołu Reagowania na Incydenty Komputerowe CERT.GOV.PL

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Wstęp do Microsoft Forefront. Jakub Januszewski Technology Adviser - Security Microsoft

Opis przedmiotu zamówienia (zwany dalej OPZ )

Metody ochrony przed zaawansowanymi cyberatakami

sprawdzonych porad z bezpieczeństwa

Produkty. MKS Produkty

Zagrożenia mobilne w maju

Marek Krauze

Aplikacje webowe w obliczu ataków internetowych na przykładzie CodeIgniter Framework

AGENT DS. CYBERPRZESTĘPCZOŚCI. Partner studiów:

Dystrybutor w Polsce: VigilancePro. All Rights Reserved, Copyright 2005 Hitachi Europe Ltd.

Kompleksowe zabezpieczenie współczesnej sieci. Adrian Dorobisz inżnier systemowy DAGMA

Webapplication Security Pentest Service

Rozdział 5: Zarządzanie testowaniem. Pytanie 1

INSTRUKCJA ZARZĄDZANIA SYSTEMAMI INFORMATYCZNYMI W COLLEGIUM MAZOVIA INNOWACYJNEJ SZKOLE WYŻSZEJ

Czy ochrona sieci jest nadal wyzwaniem, czy tylko jednorazową usługą?

KONFERENCJA CYFRYZACJA BIZNES SAMORZĄD - FUNDUSZE EUROPEJSKIE

BitDefender Total Security - 10PC kontynuacja

Znak sprawy: KZp

1. Streszczenie. 2. Opis problemu

Złośliwe oprogramowanie Sandrorat (podszywające się pod oprogramowanie Kaspersky) na platformę Android WYNIKI ANALIZY

Kradzież danych przez pracowników czy można się przed tym ustrzec? Damian Kowalczyk

Application Security Verification Standard. Wojciech Dworakowski, SecuRing

WSTĘP CYKL ŻYCIA ATAKU

Ataki w środowiskach produkcyjnych. (Energetic bear / Dragon Fly / Still mill furnace)

Jak skutecznie budować i wdrażać zabezpieczenia do walki z wyłudzeniami?

ABC bezpieczeństwa danych osobowych przetwarzanych przy użyciu systemów informatycznych (cz. 4)

Powiatowy Urząd Pracy Rybnik ul. Jankowicka 1 tel. 32/ , , fax

Monitorowanie Bezpieczeństwa Sieci Technologicznej

Szczegółowy opis przedmiotu zamówienia:

Agenda. Rys historyczny Mobilne systemy operacyjne

Narzędzie do rozpoznawania Ransomware

RAPORT SKANOWANIA ANTY-EXPLOITOWEGO kont hostingowych Smarthost.pl za rok 2016

Web Application Firewall - potrzeba, rozwiązania, kryteria ewaluacji.

Transkrypt:

JAK DOTRZYMAĆ KROKU HAKEROM Tomasz Zawicki, Passus

1. TESTY PENETRACYJNE

Metody przeprowadzania testów BlackBox sprawdzenie odporności na atak hakera. Zalety: realna próba odwzorowania ataku Wady: pełne informacje o systemie mogą dostarczyć więcej informacji o podatnościach i lukach WhiteBox test bezpieczeństwa bazujący na informacjach np. o architekturze systemu i kodzie źródłowym aplikacji Zalety: Efektywny sposób zapewnienia bezpieczeństwa, szczególnie w czasie tworzenia oprogramowania Wady: Duży zakres może skutkować wysoką ceną

Odcienie szarości GrayBox wersja pośrednia, po ustaleniu zakresu z zespołem pentesterów, opracowywany jest plan testu. Celem jest najkorzystniejsze wykorzystanie czasu i przeprowadzenie efektywnego testu. Wybór doświadczonego zespołu i ustalenie właściwego zakresu zapewnia najlepsze efekty. Ograniczenie zakresu testów wymusza tzw. poszukiwanie nisko wiszących owoców.

Dlaczego warto? Zasada ograniczonego zaufania kontrola własnej pracy jest subiektywna. Określenie poziomu zabezpieczeń wymaga obiektywnej oceny. Korzystanie z usług specjalistów dysponujących wiedzą przewyższającą przestępców. Umowa NDA zapewnia poufność i gwarantuje bezpieczeństwo

Z socjotechniką czy bez? Pentesterzy zalecają przeprowadzenie testów odtwarzających najczęstsze scenariusze ataku. Unikanie informowania o przeprowadzaniu testów Użytkownicy: 18% otworzy link w mailu phishingowym 8% kliknie w załącznik 8% wypełni formularz Kampania skierowana do 20 osób zwykle kończy się sukcesem Raport Verizon 2014r.

2. Automatyzowane testy penetracyjne

Wyniki skanerów podatności wymagają weryfikacji Skaner podatności: Narzędzie rozpoznające Wynik działania: raport dla administratorów, specjalistów IT Mogą występować False Positive (FP) Systemy do zarządzania podatnościami to: PLUS Skaner podatności Baza zasobów: serwery, stacje robocze, serwisy WEB owe Weryfikacja zgodności z regulacjami prawnymi System do koordynacji działań, stała analiza podatności

Wysoki stopień zagrożenia! Źródło: Raport: 25 Years of Vulnerabilities: 1988-2012 CVSS>7 Sourcefire Vulnerability Research Team (VRTTM)

Narzędzie przeprowadzające zautomatyzowane testy Weryfikacja raportu skanera podatności i systemów zarządzających podatnościami Definiowanie zakres testu wg potrzeb Brak ograniczeń w ilości przeprowadzanych testów.

Weryfikacja podatności przy pomocy exploitów Narzędzie lub system przeprowadzający testy penetracyjne importuje wynik działania skanera podatności Wykluczone występowanie False Positive (FP) Możliwość wykonywania testu na szeroko zdefiniowanym zakresie w dowolnym czasie Możliwość testowania w dni wolne od pracy lub w godz. nocnych

Albert Gonzalez Atak na systemy Heartland Payment Systems 2005-2007 r. Utrata 40 milionów numerów kart. Strata Banku Heartland 130 million USD. Exploity testowano na 20 programach antywirusowych. 1. Atak SQL Injection. 2. Uzyskanie dostępu do bazy serwer www. 4. Uzyskanie pełnej kontroli systemu. 5.Podsłuch sieci (sniffer). 6. Identyfikacja innych systemów w sieci. 7. Identyfikacja ruchu z informacjami o transakcjach kartowych. 8. Zdobycie dostępu do bazy danych z numerami kart. Obsługa serwisu www 3. Brak cennych danych. Sieć korporacyjna

3. Wiele wektorów ataku, wiele systemów ochrony

Malware, czy można się przed nim zabezpieczyć? Systemy antymaware: identyfikują komunikację C&C lokalizują fragmenty kodu złośliwego pomagają w identyfikacji poprzez sandboxing Systemy BDS pomagają w wykrywaniu ataków APT i 0-day retencja i dostęp do szczegółowych danych o ruchu umożliwiają wykorzystać informacje w celach dowodowych

Braki w zakresie zaawansowanych zabezpieczeń Jeśli jesteśmy celem ataków musimy mieć możliwości się bronić Monitoring z możliwościami forensic umożliwia identyfikacje zdarzeń i przeprowadzanie śledztw. Systemy chroniące przed włamaniami umożliwiają: wykrywanie próby infiltracji identyfikowanie komunikacji C&C zapobieganie wyciekowi danych identyfikowanie malware u

Walka z poszukiwaczami podatności Cyberprzestępcy wykorzystują znaną podatność lub bazują na nieznanej podatności 0-day Systemy, które mogą pomóc przed i w czasie ataku: Informacje z systemu zarządzania podatnościami Skanery podatności 0-day (Verisign idefence) Anty-Malware SIEM Szkolenia

Poziom bezpieczeństwa zależy od decyzji zabezpieczających Testowanie użytkowników: szkolenia i ankiety, a następnie test z wykorzystaniem socjotechnik. Monitoring zmian konfiguracji: Monitoring konfiguracji i logów Rejestracja zmian w ustawieniach firewalli Skanowanie podatności Sieci Lokalne Usługi dostępne publicznie Luki aplikacji www

Identyfikacja podatności i zarządzanie nimi Zapewnienie efektywnego mechanizmu wspierającego zarządzanie zmianami i proces naprawczy Działania + ReTest Przetrzymywanie informacji o istnieniu podatności Dalszy monitoring systemu

Podsumowanie

Proaktywość Aktywnie: uzyskanie wyniku pracy skanerów bezpieczeństwa nie zaczyna ani nie kończy zarządzania podatnościami. Proaktywnie: stosowanie systemu zarządzania podatnościami informacje o 0 day klasyfikacja systemów

Ochrona ofensywna Testy penetracyjne wspomagane oprogramowaniem: próba użycia exploitów wobec podatnych systemów wykonanie kampanii e-mail z zastosowaniem socjotechnik testowanie bezpieczeństwa webaplikacji Testy manualne: odpowiedniego typu właściwy zakres

Nowe rozwiązania bezpieczeństwa 2014 -> Pełen monitoring logów cały ekosystem Monitoring ruchu i reguł firewalli Antymalware Systemy wykrywania: zdarzeń bezpieczeństwa i wycieku danych anomalii w sieciach lokalnych

Q&A Pytania i odpowiedzi

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres