Biztonsági auditálás

HTML
DOWNLOAD

Méret: px

Mutatás kezdődik a ... oldaltól:

Download "Biztonsági auditálás"

Csenge Lakatos
9 évvel ezelőtt
Látták:

1 Biztonsági auditok Szabályozási kérdések Biztonsági auditálás A biztonság karakterizálása módszeres átvizsgálással, konzisztens és megbízható módon Elvárt célok a ténylegesen elvégzett tesztek dokumentálása felel!sségvállalók megnevezése világos és érthet! biztonsági metrikák kifejezése tanusítási eljárás lefolytatása 2

2 Auditálási rendszer, szabvány Cészer" valamilyen módszertant vagy szabványt használni teszt megfelel! elvégzésének biztosítása az összes szükséges komponens tesztelése el!írássoknak megfelel!ség kijelentése az eredmények mérhet!ek és számszer"síthet!k az eredmények konzisztensek és reprodukálhatók az eredmények az elvégzett tesztekb!l következnek 3 Biztonsági teszt megközelítések Vak teszt az auditor nem ismeri a rendszer biztonsági jellemz!it, a cél tud az auditról Dupla vak teszt a célt sem értesítik el!re az auditról Szürke doboz teszt az auditornak korlátozott ismeretei vannak a rendszerr!l hatékony módszer 4

3 Biztonsági teszt megközelítések (folyt.) Fehér doboz teszt az auditornak korlátozott ismeretei vannak a biztonsági rendszerr!l, de az összes csatornáról teljes információja van Tandem teszt Öntesztelés mind az auditor, mind a cél teljes információval rendelkezik az auditról és a rendszerr!l az auditor teljes információval rendelkezik, a cél nem tud az auditról 5 Biztonsági tesztek típusai Vulnerability scanning automatizált szkennelés Security scanning automatizált skennelés és kézi verifikálás (fals pozitívek kisz"rése) Betörési teszt Kockázat értékelés üzleti folyamatokkal összefüggésben Biztonsági audit (OS-ek, alkalmazások, hálózat) 6

4 Biztonsági tesztek típusai (folyt.) Etikus hackelés betörési teszt technikai eszközökkel hibák megtalálására Biztonsági tesztelés professzionális elemzés és tesztek végzése a rendszer és hálózat biztonságának megállapítására 7 Er!forrás igények Költségek Biztonsági auditálás Kockázat értékelés Betörési teszt Biztonsági tesztelés Etikus hackelés Security scanning Vunerability scanning Id! 8

5 Megfelel!ség (compliance) Jogi/törvényi megfelel!ség nem megfelel!ség büntet!jogi következményekkel (adatvédelmi törvények) Szabályozásnak megfelel!ség ipari/testületi szabályozás (szabványok) Politikának/irányelveknek megfelel!ség üzleti/szervezeti szabályozás 9 Fals pozitív Fals negatív Szürke pozitív Szürke negatív Szellem hiba Tesztelési (mérési) hibák Nem elég körültekintés Entrópia hiba Falzifikálás Mintavételi hiba Propagációs hiba 10

6 Biztonsági tesztelés területei Információbiztonság Fizikai biztonság Folyamatbiztonság Kommunikációs biztonság Internetes biztonság Wireless biztonság 11 Információbiztonsági tesztelés Magatartás ellen!rzése Információ integritási átvizsgálás Hírszerzési felmérés Internetes jelenlét Dokumentum kezelés (pl. megsemmisítés elektronikus dokumentumokra is) Humán er!forrás ellen!rzés Privát információk védelme Információ (ki)adási szabályok 12

7 Folyamatbiztonsági tesztelés Magatartás ellen!rzése Kérvényezési/engedélyezési gyakorlat accountok, jogosultságok, fizikai hozzáférés Social engineering állóság Bizalmi posztokat betölt!k ellen!rzése 13 Internet technológiai biztonsági tesztelés Behatolás detektálás ellen!rzése Hálózat felmérése (Rendszer) szolgáltatások azonosítása Internetes alkalmazások ellen!rzése Sebezhet!ségi értékelés Megbízható rendszerek ellen!rzése Hozzáférés ellen!rzés Jelszó feltörés Túlélési tesztelés, DoS tesztelés Riasztási és log feldolgozási ellen!rzés 14

8 Kommunikációs biztonsági tesztelés Telefonközpont ellen!rzése Üzetrögzítés ellen!rzése Fax rendszer ellen!rzése Betárcsázási rendszer és távoli hozzáférés ellen!rzése VoIP rendszer ellen!rzése Vezeték nélküli hálózat ellen!rzése EMR ellen!rzés Bluetooth, WiFi, vezeték nélküli perifériák, vezeték nélküli riasztó rendszer, RFID rendszerek ellen!rzése 15 Fizikai biztonsági tesztelés Fizikai hozzáférés ellen!rzése Határ (perimeter) ellen!rzése Monitorozó, riasztó rendszer tesztelése Helyszín és környezet ellen!rzése 16

9 Tesztek kockázati értékelése Cél a tesztek elvégzése minimális károkozással, de a lehet! legszélesebb kiterjedésben Biztonság (személyi, anyagi) worst case scenario-k felállítása Magán titkok személyes információk védelme (jog, etika) Gyakorlatiasság minimális komplexitás, megfelel! mélység Használhatósági szempontból elfogadható biztonság elvárása 17 M"veleti biztonsági metrikák Láthatóság lehetséges célpontok száma Megbízhatóság authentikáció nélküli interakciókban megjelen! célpontok száma Hozzáférés interakciónkénti lehetséges hozzáférések száma Az el!bbiek id!beli változása 18

10 Korlátozottsági metrikák Sebezhet!ségek védelmi problémák, hibák száma, melyek az információ biztonságot veszélyzetik Gyengeségek hibák száma az interakciók szabályozásában (authentikáció, ellentételezés, megkötések, folytonosság) Aggályok hibák száma a folyamatok szabályozásában (nem visszautasítás, titkosság, integritás, riasztások) Kitettség hibák, igazolatlan tevékenységek száma, melyek célpontok láthatóságára vezet Anomáliák száma 19 Felmérési tevékenységek Versenyképességi felmérés Web- és FTP szerver directory szerkezet feltérképezése Internet infrastruktúra és IT költségeinek megállapítása (OS, alkalmazások, HW) Támogató infrastruktúra költségeinek meghatározása (személyzet) Elektronikus kereskedelem forgalmának megállapítása 20

11 Felmérési tevékenységek (folyt.) Privát adatok védelme nyílvánossági politika és tényleges gyakorlat összehasonlítása adatbázisok típusának, méretének meghatározása storage-ok helyének meghatározása cookie-kal kapcsolatos elemzés (engedélyezés, tartalom, lejárat) kulcs személyekkel kapcsolatos publikált adatok számbavétele 21 Internet technológiai biztonság OSSTMM The Open Source Security Testing Methodology Manual 13 December 2006 Section C Internet Technology Security 22

12 Hálózat felmérése Használt domain nevek Szerver nevek IP címek Hálózat térképe ISP/ASP információ Rendszerek és szolgáltatások tulajdonosai 23 Port scannelés Nyitott, zárt, ellen!rzött (sz"rt) portok Aktív rendszerek IP címei Bels! rendszerek hálózati címei (IP, MAC) Becsomagolt protokollok (tunneling) listája Routolási protokollok listája Scannelési technikai részletek TTL-ek, ICMP, ARP SYN, FIN, NULL csomagokkal DNS lekérdezések 24

13 Szolgáltatások, rendszerek Szolgáltatások típusai Szolgáltató alkalmazások, patch-ek Op. rendszer típusok, patch szintek TCP szekvenciaszámok hálózati címek 25 Sebezhet!ségi ellen!rzés Alkalmazások sebezhet!ségi kategóriák szerint Patch szintek Lehetséges DoS sebezhet!ségek Obscurity által védett területek Bels! és DMZ beli rendszerek listája Mail és DNS rendszerek listája Alkalmazott elnevezési konvenciók 26

14 Webalkalmazások Forrás és bináris kód Protokoll specifikációk Hiba találgatás Autentikációs mechanizmusok login lehet!ségek, autentikáció megkerülés, hamisított tokenek, lehallgatás-visszajátszási lehet!ségek Session kezelés konkurens sessionök, sessionid-k, cookie-k, oldal elérési szekvenciák 27 Webalkalmazások (folyt.) Input manipuláció változók, protokoll payload korlátok hosszú stringek kezelése SQL injektálás Xsite scripting lehet!ségek directory elérés, bejárás URL encoding HTTP fejléc mez!k manipulálása rejtett "rlapmez!k manipulálása alkalmazás logikával ellenkez! inputok 28

15 Webalkalmazások (folyt.) Kimenet manipulálása cookie-k megváltoztatása cache kezelés megváltoztatása ideiglenes fájlok manipulálása Információ szivárgás ellen!rzése HTML dokumentum rejtett tartalmának vizsgálata (rejtett mez!k, megjegyzések) Hiba és debug üzenetek tartalmának ellen!rzése 29 Routerek Hálózati eszközök routerek típusai, szolgáltatások csomag típusok, forgalom típusok NAT-olás T"zfalak sz"rt csatornák implementált szolgáltatások sz"rési szabályok árasztások, TEARDROP kezelése 30

16 Javasolt biztonsági megközelítés (best practices) Távoli elérés csak titkosított csatornán Csak autentikált távoli hozzáférés Korlátozások: minden tiltva, specifikus engedélyezés Monitorozás és logolás Decentralizálás Bizalmi egymásra épülések minimalizálása Csak szükséges alkalmazások és szolgáltatások telepítése Egyszer"ség a konfigurációs hibák elkerülésére 31 Javasolt biztonsági megközelítés (best practices) Alkalmazások Biztonsági megoldások használhatósága fontos szempont Üzleti szabályok érvényesítése az inputokra és az outputokra Input validálás Fontos feldolgozási lépések a szerver oldalon Réteges biztonsági megoldások alkalmazása 32

Hasonló dokumentumok

Bevezetés. Adatvédelmi célok

Bevezetés. Adatvédelmi célok Bevezetés Alapfogalmak Adatvédelmi célok Adatok és információk elérhet!ségének biztosítása és védelme Hagyományosan fizikai és adminisztratív eszközökkel Számítógépes környezetben automatizált eszközökkel