dr. inż. Albert Sadowski Kierownik Projektu Narzędzia open source w Audytach Bezpieczeństwa

dr. inż. Albert Sadowski Kierownik Projektu Narzędzia open source w Audytach Bezpieczeństwa

Referencje z Banków Spółdzielczych Projekty zakończone oraz w toku BS Lipsko - Audyt bezpieczeństwa kompleksowy BS Bielsko Biała - Audyt bezpieczeństwa kompleksowy BS Strzałkowo - Audyt bezpieczeństwa kompleksowy BS Kielce - Analiza Luki dot. Rekomendacji D BS Chynów - Audyt bezpieczeństwa kompleksowy BS Sędziszów - Audyt bezpieczeństwa kompleksowy BS Police - Audyt bezpieczeństwa kompleksowy BS Wisznice - Audyt bezpieczeństwa kompleksowy BS Żuromin - Audyt bezpieczeństwa kompleksowy BS Wolbrom - Audyt bezpieczeństwa kompleksowy BS Żołynia - Audyt bezpieczeństwa kompleksowy BS Głowaczów - Audyt bezpieczeństwa kompleksowy

Referencje szkoleniowe z Banków Spółdzielczych Szkolenia dedykowane dla Banków Spółdzielczych BS Kielce BS Wolbrom BS Żory BS Biała Rawska BS Strzałkowo BS Jedlińsk BS Mrozy BS Końskie BS Wisznice BS Biszcza BS Głowaczów BS Żołynia BS Rzemiosła Radom BS Białystok BS Kurów BS Proszkowice BS Radomyśl Wielki BS Poddębice BS Sędziszów BS Kalwaria Zebrzydowska BS Świerklaniec BS Zawiercie BS Kraśnik BS Skępe BS Police BS Wronki BS Lipno BS Żuromin BS Tarczyn SKOK Piast Tychy

Opracowanie polityki bezpieczeństwa informatycznego; stworzenie dokumentacji. Ocena istniejących dokumentów polityki bezpieczeństwa i procedur kontroli zabezpieczeń. Audyt bezpieczeństwa organizacji (wewnętrzny). Test penetracyjny typu "symulacja ataku zewnętrznego". Ochrona danych osobowych - konsulting prawny, stworzenie lub weryfikacja wymaganej ustawą dokumentacji. chrona danych osobowych - konsulting techniczny, ocena metod i systemów zabezpieczeń Ekspertyza bezpieczeństwa i hardening systemu Unix/Linux Ekspertyza bezpieczeństwa i hardening systemu Windows. Ekspertyza bezpieczeństwa i hardening systemu operacyjnego firewalla. Ekspertyza i hardening serwera WWW. Ekspertyza i hardening serwera poczty elektronicznej. Ekspertyza i hardening serwera aplikacyjnego lub bazodanowego. Ocena konfiguracji firewalla sprzetowego lub programowego. Instalacja i/lub skonfigurowanie popularnych systemów firewall, VPN, skanerów bezpieczeństwa i systemów detekcji intruzów. Ocena zabezpieczen infrastruktury usługi Internet Banking (system firewall, serwery strefy DMZ, serwery komunikacyjne, aplikacyjne i bazodanowe)

Kurs ABI: Polityka bezpieczeństwa systemu informatycznego (PBSI) Ochrona danych osobowych - realizacja wymogów ustawy (ODOR) Bezpieczeństwo systemów informatycznych (BSI) Kurs IB: Polityka bezpieczeństwa systemu informatycznego (PBSI) Bezpieczeństwo systemów informatycznych (BSI) Systemy firewall i VPN (FWVPN)

Wymóg realizacji Audytów Bezpieczeństwa (1) Rekomendacja D - 2002 - dotycząca zarządzania ryzykami towarzyszącymi systemom informatycznym i telekomunikacyjnym używanym przez banki (2002 r.): Niezależny audyt zewnętrzny powinien zweryfikować prawidłowość wyników uzyskanych przez audyt wewnętrzny oraz uzupełnić go o specjalistyczne badania. Audyt zewnętrzny może być przeprowadzany dla całego banku, lub dla wybranego obszaru działalności. Planowanie, przygotowanie i przeprowadzenie kontroli przez komórkę kontroli wewnętrznej oraz zlecanie kontroli niezależnym specjalistom wyższego szczebla zarządzania i profesjonalnym organizacjom zewnętrznym, specjalizującym się w badaniu prawidłowego funkcjonowania standardów w zakresie ochrony danych jest czynnikiem wzmacniającym bezpieczeństwo funkcjonowania systemów informatycznych.

Wymóg realizacji Audytów Bezpieczeństwa (2) Rekomendacja D - grudzień 2014 -dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach /zalecenia wejdą w życie z dniem 31 grudnia 2014 r./ Obszary technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego banku powinny być przedmiotem systematycznych, niezależnych audytów. Audyt obszarów technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego powinien być przeprowadzany regularnie oraz każdorazowo po wprowadzeniu zmian mogących znacząco wpłynąć na poziom bezpieczeństwa środowiska teleinformatycznego. Częstotliwość i zakres audytów powinny wynikać z poziomu ryzyka związanego z poszczególnymi obszarami audytowymi oraz wyników ich wcześniejszych przeglądów.

KNF: Nie są wymagane certyfikaty!

Etapy Audytu Bezpieczeństwa Audyt bezpieczeństwa pierwotny prace audytorskie w siedzibie Klienta Opracowanie i przekazanie Dokumentacji Po-Audytowej wraz z zaleceniami Oczekiwanie na usunięcie luk bezpieczeństwa przez Klienta Re-Audyt (audyt powtórny) po usunięciu luk bezpieczeństwa Wystawienie Certyfikatu Bezpieczeństwa Teleinformatycznego dla Banku Po usunięciu przez Klienta zidentyfikowanych luk bezpieczeństwa, dokonywany jest Re-Audyt (audyt powtórny) zakończony przy pozytywnym wyniku wystawieniem Certyfikatu Bezpieczeństwa Teleinformatycznego firmy Kerberos OCHRONA INFORMACJI.

Zakres Audytu

Audyt technicznych aspektów zbezpieczeń Testy penetracyjne z Internetu Określenie adresów IP, które maja być poddane testom penetracyjnym (symulacjom włamania).

Audyt technicznych aspektów zbezpieczeń Audyt serwerów Konieczność eliminacji luk bezpieczeństwa związanych z: Brakami aktualizacji (service pack-i, upgrade y, łatki) producentów Błędami konfiguracyjnymi w plikach konfiguracyjnych, w rejestrze Niepoprawną konfiguracją systemu uprawnień do plików i katalogów Otwartymi zbędnymi portami, działaniem potencjalnie niebezpiecznych serwisów sieciowych Wykorzystaniem aktywnych elementów serwisów WWW Funkcjonującymi aplikacjami Serwerami baz danych Istnieniem niebezpiecznych konto (konto typu gość) Błędnie skonfigurowanym systemem uwierzytelniania użytkowników Obecnością złośliwego oprogramowania i wirusów Zbyt małą wydajnością sprzętu (podatności na ataki DOS)

Audyt technicznych aspektów zbezpieczeń Audyt stacji roboczych Czy audytować wszystkie stacje czy wybrane (reprezentatywne)?

Audyt routerów, firewalli i bramek VPN Audyt technicznych aspektów zbezpieczeń Konieczność eliminacji luk bezpieczeństwa związanych z: Brakami aktualizacji (service pack-i, upgrade y, łatki) firmware u Niepoprawną konfiguracją systemów operacyjnych urządzeń Otwartymi zbędnymi portami, działaniem potencjalnie niebezpiecznych serwisów sieciowych Wykorzystaniem podatności serwisów WWW oraz ssh / telnet służących do zarządzania urządzeniami Zbyt słabymi metodami uwierzytelniania (np. stosowanie fabrycznych haseł) Zbyt małą wydajnością sprzętu (podatności na ataki DOS, przegrzanie) Zbyt małą przepustowością dla ruchu sieciowego Niepoprawną konfiguracją reguł filtracji ruchu Zbyt dużą (nadmiarową) liczbą reguł Błędnie skonfigurowanymi kanałami VPN Ogólnymi nieprawidłowościami w projekcie topologicznymi architektury Brakiem wykorzystania funkcji IDS / IPS o ile są zaimplementowane

Narzędzia open source w Audytach Bezpieczeństwa Miarodajne testy = Rzeczywiste narzędzia używane przez hackerów! A oni używają open source i rozwijają własne systemy środowiskowe!

Narzędzia open source w Audytach Bezpieczeństwa HconSTF narzędzie do badania podatności na proste testy penetracyjne występuje w 2 wersjach komercyjnej i darmowej open source jest częścią składową backtrack 1. analizator malware 2. platforma z pewną pulą exploitów 3. wyszukiwanie konkretnych dziur na stronach (zaimplementowane w KaliLinux - nowsza wersja Backtracka) 4. skaner portów 5. interfejs przeglądarki 6. skany XSS, sql injection 7. encodery - do robienia podpisów i sprawdzanie czy się nie zmienily

Narzędzia open source w Audytach Bezpieczeństwa HconSTF narzędzie do badania podatności na proste testy penetracyjne występuje w 2 wersjach komercyjnej i darmowej open source jest częścią składową backtrack 1. analizator malware 2. platforma z pewną pulą exploitów 3. wyszukiwanie konkretnych dziur na stronach (zaimplementowane w KaliLinux - nowsza wersja Backtracka) 4. skaner portów 5. interfejs przeglądarki 6. skany XSS, sql injection 7. encodery - do robienia podpisów i sprawdzanie czy się nie zmienily

Narzędzia open source w Audytach Bezpieczeństwa jsql Injection 1. do symulacii ataków na bazy 2. do wstrzykiwania kodu 3. odczyt drzewa bazy danych

Narzędzia open source w Audytach Bezpieczeństwa mailseeker narzędzie do przeszukiwania internetu w celu wyszukiwania adresów e-mail wpisujemy adres strony - na danej stronie wyszukujemy adresy e-mail wyszukiwarka dowolnych fraz

Nessus Narzędzia open source w Audytach Bezpieczeństwa

Narzędzia open source w Audytach Bezpieczeństwa OWASP Xenotix OWASP - organizacja tworzaca oprogramowanie do testów penetracyjnych (konferencje w calej Polsce, głównie - Kraków ) Kerberos a OWASP 1. framework do explointówxss 2. symuluje ataki wykorzystujące luki w JavaScrit do np. zmiany treści na stronie 3. header skaner do nagłówków stron (np. szukanie metod POST) 4. jeden z niewielu systemów posiadających potrójny silnik wyszukiwarki (IE, Firefox, Chrome) 5. funkcja skanów: ping-skan, port-skan, skan wewnętrznej sieci 6. detektor dodatków do stron 6. największa baza exploitów związanych z WWW 7. schell do JavaScritów 9. spoofing stron - podstawianie zawartosci strony po znalezieniu luki 10. zaczytywanie danych z cookies 11. spakowane gotowe skrypty

Narzędzia open source w Audytach Bezpieczeństwa OWASP Xenotix OWASP - organizacja tworzaca oprogramowanie do testów penetracyjnych (konferencje w calej Polsce, głównie - Kraków ) Kerberos a OWASP 1. framework do explointówxss 2. symuluje ataki wykorzystujące luki w JavaScrit do np. zmiany treści na stronie 3. header skaner do nagłówków stron (np. szukanie metod POST) 4. jeden z niewielu systemów posiadających potrójny silnik wyszukiwarki (IE, Firefox, Chrome) 5. funkcja skanów: ping-skan, port-skan, skan wewnętrznej sieci 6. detektor dodatków do stron 6. największa baza exploitów związanych z WWW 7. schell do JavaScritów

Narzędzia open source w Audytach Bezpieczeństwa OWASP ZAP 1. pula skanerów automatycznych i manualnych 2. wyszukiwanie podatności głównie typu Web 3. narzędzie fuser - do automatycznego hackowania znalezionych podatności 4. funkcja plug&hack - dodatek do wyszukiwarek 5. spidering - narzedzie do przeszukiwania adr. URL pod katem konkretnych podatności np. blędów XSS 6. tworzenie i podstawienie własnych certyfikatów SSL - transparentne rozkodowywanie połączen SSL (łamanie SSL-a) 7. ataki Cross Site Request Forgery (CSRF) - podobne do XSS, różnica polega na tym, ze XSS są wymierzone w strony internetowe natomiast CSRF dotyczy serwerów ftp, użytkowników - czyli identyfikacja tego co wpisał użytkownik

Narzędzia open source w Audytach Bezpieczeństwa OWASP ZAP 1. pula skanerów automatycznych i manualnych 2. wyszukiwanie podatności głównie typu Web 3. narzędzie fuser - do automatycznego hackowania znalezionych podatności 4. funkcja plug&hack - dodatek do wyszukiwarek 5. spidering - narzedzie do przeszukiwania adr. URL pod katem konkretnych podatności np. blędów XSS 6. tworzenie i podstawienie własnych certyfikatów SSL - transparentne rozkodowywanie połączen SSL (łamanie SSL-a) 7. ataki Cross Site Request Forgery (CSRF) - podobne do XSS, różnica polega na tym, ze XSS są wymierzone w strony internetowe natomiast CSRF dotyczy serwerów ftp, użytkowników - czyli identyfikacja tego co wpisał użytkownik

Pytania: Informacje organizacyjne o szkoleniach, zgłoszenia: Ilona Białecka, Handlowiec, 531 731 511, ilona.bialecka@kerberos.pl Informacje handlowe nt. Audytów Bezpieczeństwa: Artur Kosmala, Handlowiec, 794 147 631, artur.kosmala@kerberos.pl Informacje merytoryczne nt. Audytów Bezpieczeństwa: dr inż. Albert Sadowski, Kierownik Projektu, 600 200 633, albert.sadowski@kerberos.pl Agata Felczak, Kierownik Projektu, 600 010 955, agata.felczak@kerberos.pl