Biztonsági auditálás

Hasonló dokumentumok
Bevezetés. Adatvédelmi célok

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Hálózati fenyegetettség

Alkalmazások biztonsága

Web-fejlesztés NGM_IN002_1

Behatolás detektálás. Behatolás megel!zés. IDS rendszerek. Detektálás Eltérítés Elhárítás. (ellenlépések) Megel!z! csapás Küls! megel!

A GDPR FELKÉSZÜLÉS INFORMATIKAI KÉRDÉSEI. Az audit gyakorlati szempontjai. Sipos Győző CISA IT biztonságtechnikai auditor

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Tűzfal megoldások. ComNETWORX nap, I. 30. ComNETWORX Rt.

Bevezető. Az informatikai biztonság alapjai II.

Szoftver-mérés. Szoftver metrikák. Szoftver mérés

A Bankok Bázel II megfelelésének informatikai validációja

Előadás témája: DVR-ek és hálózati beállításuk Szentandrási-Szabó Attila Műszaki és kereskedelmi igazgató

IPv6 Biztonság: Ipv6 tűzfalak tesztelése és vizsgálata

API tervezése mobil környezetbe. gyakorlat

eduroam konfiguráció workshop Mohácsi János NIIF Intézet

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Számítógép hálózatok

Fábián Zoltán Hálózatok elmélet

Silent Signal Kft. Webáruházak informatikai biztonsága Veres-Szentkirályi András Marketingtorta - 4 1

IBM Rational AppScan. IBM Software Group. Preisinger Balázs Rational termékmenedzser

Hálózati biztonság. Hálózati biztonság. 2 Ajánlott irodalom

Az internet az egész világot behálózó számítógép-hálózat.

Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

Informatikai hálózattelepítő és - Informatikai rendszergazda

A tűzfal mögötti adatvédelem. Kalmár István ICT technológia szakértő

Web Security Seminar. Összefoglalás. Qualys InfoDay május 14.

Bevezetés a hálózatok világába Forgalomirányítási és kapcsolási alapok Hálózatok méretezése Connecting Networks

Az iskolai rendszerű képzésben az összefüggő szakmai gyakorlat időtartama. 10. évfolyam Adatbázis- és szoftverfejlesztés gyakorlat 50 óra

Az Internet. avagy a hálózatok hálózata

General Data Protection Regulation G D P R. általános adatvédelmi rendelet. Dr. Czelleng Arnold 1

Optimalizáció ESX-től View-ig. Pintér Kornél ügyfélszolgála3 mérnök

Forgalmi grafikák és statisztika MRTG-vel

NGFW + IPS + anti-apt + BYOD = Sophos UTM 9.2

Adatbázisok elleni fenyegetések rendszerezése. Fleiner Rita BMF/NIK Robothadviselés 2009

HÁLÓZATI BEÁLLÍTÁS. Videorögzítőkhöz

Félreértések elkerülése érdekében kérdezze meg rendszergazdáját, üzemeltetőjét!

Technikai tudnivalók a Saxo Trader Letöltéséhez tűzfalon vagy proxy szerveren keresztül

A CRD prevalidáció informatika felügyelési vonatkozásai

A DOKUMENTÁCIÓS RENDSZER

Webes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk

Bevezető. PoC kit felépítése. NX appliance. SPAN-Proxy

Az adott eszköz IP címét viszont az adott hálózat üzemeltetői határozzákmeg.

AZ INFORMATIKAI BIZTONSÁG SPECIÁLIS TÉMAKÖREI. Hungarian Cyber Security Package

Az adatvédelmi irányítási rendszer bevezetésének és auditálásának tapasztalatai. Dr. Szádeczky Tamás

Weboldalak biztonsága

Organizáció. Számítógépes Hálózatok Gyakorlati jegy. Vizsga. Web-oldal

Vállalati WIFI használata az OTP Banknál

Átfogó EBK Oktatás. 1. Az adatkezelők jogos érdeke:

Tűzfalak működése és összehasonlításuk

S, mint secure. Nagy Attila Gábor Wildom Kft.

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Informatikai hálózattelepítő és - Informatikai rendszergazda

Ajánlatkérő adatlap. 1. Kérelmező szervezet adatai: 2. Kérelmező szervezet vezetősége, kapcsolattartója:

{simplecaddy code=1005}

Pánczél Zoltán / Lyukvadászok szabálykönyve

Szoftverminőségbiztosítás

Hálózatok Rétegei. Számítógépes Hálózatok és Internet Eszközök. TCP/IP-Rétegmodell. Az Internet rétegei - TCP/IP-rétegek

Alkalmazások architektúrája

Webes alkalmazások fejlesztése 1. előadás. Webes alkalmazások és biztonságuk. Cserép Máté

Weboldalak Biztonsági Kérdései

IP alapú kommunikáció. 11. Előadás Hálózat Monitoring/Hálózat Manadgement Kovács Ákos

Web service fenyegetések e- közigazgatási. IT biztonsági tanácsadó


Titkok. Oracle adatbázisok proaktív es reaktív védelmi eszközei. Mosolygó Ferenc, vezetı technológiai tanácsadó. <Insert Picture Here>

G Data MasterAdmin 9 0 _ 09 _ _ # r_ e p a P ch e T 1

HTML és CSS. Horváth Árpád május 6. Óbudai Egyetem Alba Regia M szaki Kar (AMK) Székesfehérvár

Rubin SMART COUNTER. Műszaki adatlap 1.1. Státusz: Jóváhagyva Készítette: Forrai Attila Jóváhagyta: Parádi Csaba. Rubin Informatikai Zrt.

Önkormányzati és. kistérségi infokommunikációs kihívások. Lengyel György projekt igazgató. SCI-Network Távközlési és Hálózatintegrációs Rt.

OSINT. Avagy az internet egy hacker szemszögéből

A Wireshark program használata Capture Analyze Capture Analyze Capture Options Interface

Webapp (in)security. Gyakori hibákról és azok kivédéséről fejlesztőknek és üzemeltetőknek egyaránt. Veres-Szentkirályi András

Intelligens biztonsági megoldások. Távfelügyelet

Wi - Fi hálózatok mérése (?) Tóth Tibor

SSL VPN KAPCSOLAT TELEPÍTÉSI ÚTMUTATÓ

DDoS támadások, detektálás, védekezés. Galajda József - Core Transport Network Planning Expert

Cloud Akkreditációs Szolgáltatás indítása CLAKK projekt. Kozlovszky Miklós, Németh Zsolt, Lovas Róbert 9. LPDS MTA SZTAKI Tudományos nap

ÉRETTSÉGI TÉTELCÍMEK 2018 Informatika

Bodroghelyi Csaba főigazgató-helyettes. Jóváhagyta: Sződyné Nagy Eszter, főosztályvezető. Készítésért felelős: Szabályzat kódja: NAR IRT_SZT_k04

MINSÉGBIZTOSÍTÁS 1. eladás

vezeték nélküli Turi János Mérnök tanácsadó Cisco Systems Magyarország Kft.

A csatlakozási szerződés 1. sz. melléklete

TANÚSÍTVÁNY. tanúsítja, hogy az. InfoScope Kft. által kifejlesztett. Attribútum tanúsítványok érvényességét ellenőrző SDK InfoSigno AC SDK v1.0.0.

Infokommunikációs alkalmazásfejlesztő. Informatikai alkalmazásfejlesztő

Számítógépes Hálózatok ősz 2006

Organizáció. Számítógépes Hálózatok ősz Tartalom. Vizsga. Web-oldal

Hálózati alapismeretek

Szoftver-technológia II. Architektúrák dokumentálása UML-lel. Irodalom. Szoftver-technológia II.

FELHASZNÁLÓI KÉZIKÖNYV. WF-2322 Vezetéknélküli Hozzéférési Pont

Lajber Zoltán. Bevezetés

13. gyakorlat Deák Kristóf

R5 kutatási feladatok és várható eredmények. RFID future R Király Roland - Eger, EKF TTK MatInf

Hálózatvédelem, biztonság

IATF - International Automotive Task Force IATF 16949:2016 Hivatalos értelmezés

Webtárhely létrehozása a helyen. Lépések Teendő 1. Böngészőbe beírni: 2. Jobb oldalon regisztrálni (tárhelyigénylés).

Az ISO es tanúsításunk tapasztalatai

WLAN router telepítési segédlete

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

SACColni pedig kell Szolgáltatás tudatos kontroll és számlázás Service Aware Control and Charging

TRBOnet Térinformatikai terminál és diszpécseri konzol

Átírás:

Biztonsági auditok Szabályozási kérdések Biztonsági auditálás A biztonság karakterizálása módszeres átvizsgálással, konzisztens és megbízható módon Elvárt célok a ténylegesen elvégzett tesztek dokumentálása felel!sségvállalók megnevezése világos és érthet! biztonsági metrikák kifejezése tanusítási eljárás lefolytatása 2

Auditálási rendszer, szabvány Cészer" valamilyen módszertant vagy szabványt használni teszt megfelel! elvégzésének biztosítása az összes szükséges komponens tesztelése el!írássoknak megfelel!ség kijelentése az eredmények mérhet!ek és számszer"síthet!k az eredmények konzisztensek és reprodukálhatók az eredmények az elvégzett tesztekb!l következnek 3 Biztonsági teszt megközelítések Vak teszt az auditor nem ismeri a rendszer biztonsági jellemz!it, a cél tud az auditról Dupla vak teszt a célt sem értesítik el!re az auditról Szürke doboz teszt az auditornak korlátozott ismeretei vannak a rendszerr!l hatékony módszer 4

Biztonsági teszt megközelítések (folyt.) Fehér doboz teszt az auditornak korlátozott ismeretei vannak a biztonsági rendszerr!l, de az összes csatornáról teljes információja van Tandem teszt Öntesztelés mind az auditor, mind a cél teljes információval rendelkezik az auditról és a rendszerr!l az auditor teljes információval rendelkezik, a cél nem tud az auditról 5 Biztonsági tesztek típusai Vulnerability scanning automatizált szkennelés Security scanning automatizált skennelés és kézi verifikálás (fals pozitívek kisz"rése) Betörési teszt Kockázat értékelés üzleti folyamatokkal összefüggésben Biztonsági audit (OS-ek, alkalmazások, hálózat) 6

Biztonsági tesztek típusai (folyt.) Etikus hackelés betörési teszt technikai eszközökkel hibák megtalálására Biztonsági tesztelés professzionális elemzés és tesztek végzése a rendszer és hálózat biztonságának megállapítására 7 Er!forrás igények Költségek Biztonsági auditálás Kockázat értékelés Betörési teszt Biztonsági tesztelés Etikus hackelés Security scanning Vunerability scanning Id! 8

Megfelel!ség (compliance) Jogi/törvényi megfelel!ség nem megfelel!ség büntet!jogi következményekkel (adatvédelmi törvények) Szabályozásnak megfelel!ség ipari/testületi szabályozás (szabványok) Politikának/irányelveknek megfelel!ség üzleti/szervezeti szabályozás 9 Fals pozitív Fals negatív Szürke pozitív Szürke negatív Szellem hiba Tesztelési (mérési) hibák Nem elég körültekintés Entrópia hiba Falzifikálás Mintavételi hiba Propagációs hiba 10

Biztonsági tesztelés területei Információbiztonság Fizikai biztonság Folyamatbiztonság Kommunikációs biztonság Internetes biztonság Wireless biztonság 11 Információbiztonsági tesztelés Magatartás ellen!rzése Információ integritási átvizsgálás Hírszerzési felmérés Internetes jelenlét Dokumentum kezelés (pl. megsemmisítés elektronikus dokumentumokra is) Humán er!forrás ellen!rzés Privát információk védelme Információ (ki)adási szabályok 12

Folyamatbiztonsági tesztelés Magatartás ellen!rzése Kérvényezési/engedélyezési gyakorlat accountok, jogosultságok, fizikai hozzáférés Social engineering állóság Bizalmi posztokat betölt!k ellen!rzése 13 Internet technológiai biztonsági tesztelés Behatolás detektálás ellen!rzése Hálózat felmérése (Rendszer) szolgáltatások azonosítása Internetes alkalmazások ellen!rzése Sebezhet!ségi értékelés Megbízható rendszerek ellen!rzése Hozzáférés ellen!rzés Jelszó feltörés Túlélési tesztelés, DoS tesztelés Riasztási és log feldolgozási ellen!rzés 14

Kommunikációs biztonsági tesztelés Telefonközpont ellen!rzése Üzetrögzítés ellen!rzése Fax rendszer ellen!rzése Betárcsázási rendszer és távoli hozzáférés ellen!rzése VoIP rendszer ellen!rzése Vezeték nélküli hálózat ellen!rzése EMR ellen!rzés Bluetooth, WiFi, vezeték nélküli perifériák, vezeték nélküli riasztó rendszer, RFID rendszerek ellen!rzése 15 Fizikai biztonsági tesztelés Fizikai hozzáférés ellen!rzése Határ (perimeter) ellen!rzése Monitorozó, riasztó rendszer tesztelése Helyszín és környezet ellen!rzése 16

Tesztek kockázati értékelése Cél a tesztek elvégzése minimális károkozással, de a lehet! legszélesebb kiterjedésben Biztonság (személyi, anyagi) worst case scenario-k felállítása Magán titkok személyes információk védelme (jog, etika) Gyakorlatiasság minimális komplexitás, megfelel! mélység Használhatósági szempontból elfogadható biztonság elvárása 17 M"veleti biztonsági metrikák Láthatóság lehetséges célpontok száma Megbízhatóság authentikáció nélküli interakciókban megjelen! célpontok száma Hozzáférés interakciónkénti lehetséges hozzáférések száma Az el!bbiek id!beli változása 18

Korlátozottsági metrikák Sebezhet!ségek védelmi problémák, hibák száma, melyek az információ biztonságot veszélyzetik Gyengeségek hibák száma az interakciók szabályozásában (authentikáció, ellentételezés, megkötések, folytonosság) Aggályok hibák száma a folyamatok szabályozásában (nem visszautasítás, titkosság, integritás, riasztások) Kitettség hibák, igazolatlan tevékenységek száma, melyek célpontok láthatóságára vezet Anomáliák száma 19 Felmérési tevékenységek Versenyképességi felmérés Web- és FTP szerver directory szerkezet feltérképezése Internet infrastruktúra és IT költségeinek megállapítása (OS, alkalmazások, HW) Támogató infrastruktúra költségeinek meghatározása (személyzet) Elektronikus kereskedelem forgalmának megállapítása 20

Felmérési tevékenységek (folyt.) Privát adatok védelme nyílvánossági politika és tényleges gyakorlat összehasonlítása adatbázisok típusának, méretének meghatározása storage-ok helyének meghatározása cookie-kal kapcsolatos elemzés (engedélyezés, tartalom, lejárat) kulcs személyekkel kapcsolatos publikált adatok számbavétele 21 Internet technológiai biztonság OSSTMM 2.2. - The Open Source Security Testing Methodology Manual 13 December 2006 Section C Internet Technology Security 22

Hálózat felmérése Használt domain nevek Szerver nevek IP címek Hálózat térképe ISP/ASP információ Rendszerek és szolgáltatások tulajdonosai 23 Port scannelés Nyitott, zárt, ellen!rzött (sz"rt) portok Aktív rendszerek IP címei Bels! rendszerek hálózati címei (IP, MAC) Becsomagolt protokollok (tunneling) listája Routolási protokollok listája Scannelési technikai részletek TTL-ek, ICMP, ARP SYN, FIN, NULL csomagokkal DNS lekérdezések 24

Szolgáltatások, rendszerek Szolgáltatások típusai Szolgáltató alkalmazások, patch-ek Op. rendszer típusok, patch szintek TCP szekvenciaszámok hálózati címek 25 Sebezhet!ségi ellen!rzés Alkalmazások sebezhet!ségi kategóriák szerint Patch szintek Lehetséges DoS sebezhet!ségek Obscurity által védett területek Bels! és DMZ beli rendszerek listája Mail és DNS rendszerek listája Alkalmazott elnevezési konvenciók 26

Webalkalmazások Forrás és bináris kód Protokoll specifikációk Hiba találgatás Autentikációs mechanizmusok login lehet!ségek, autentikáció megkerülés, hamisított tokenek, lehallgatás-visszajátszási lehet!ségek Session kezelés konkurens sessionök, sessionid-k, cookie-k, oldal elérési szekvenciák 27 Webalkalmazások (folyt.) Input manipuláció változók, protokoll payload korlátok hosszú stringek kezelése SQL injektálás Xsite scripting lehet!ségek directory elérés, bejárás URL encoding HTTP fejléc mez!k manipulálása rejtett "rlapmez!k manipulálása alkalmazás logikával ellenkez! inputok 28

Webalkalmazások (folyt.) Kimenet manipulálása cookie-k megváltoztatása cache kezelés megváltoztatása ideiglenes fájlok manipulálása Információ szivárgás ellen!rzése HTML dokumentum rejtett tartalmának vizsgálata (rejtett mez!k, megjegyzések) Hiba és debug üzenetek tartalmának ellen!rzése 29 Routerek Hálózati eszközök routerek típusai, szolgáltatások csomag típusok, forgalom típusok NAT-olás T"zfalak sz"rt csatornák implementált szolgáltatások sz"rési szabályok árasztások, TEARDROP kezelése 30

Javasolt biztonsági megközelítés (best practices) Távoli elérés csak titkosított csatornán Csak autentikált távoli hozzáférés Korlátozások: minden tiltva, specifikus engedélyezés Monitorozás és logolás Decentralizálás Bizalmi egymásra épülések minimalizálása Csak szükséges alkalmazások és szolgáltatások telepítése Egyszer"ség a konfigurációs hibák elkerülésére 31 Javasolt biztonsági megközelítés (best practices) Alkalmazások Biztonsági megoldások használhatósága fontos szempont Üzleti szabályok érvényesítése az inputokra és az outputokra Input validálás Fontos feldolgozási lépések a szerver oldalon Réteges biztonsági megoldások alkalmazása 32

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés