Bezpečnostní audity, penetrační testy

31.10.2011

Bezpečnostní audity, penetrační testy RNDr. Igor Čermák, CSc.

Katedra počítačových systémů Fakulta informačních technologií České vysoké učení technické v Praze © Igor Čermák, 2011

Informační bezpečnost, MI-IBE, zimní semestr 2011/2012, Přednáška 10 MI-POA

Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti

Igor Čermák (ČVUT FIT)

Bezpečnostní audity, penetrační testy

MI-IBE 2011, Přednáška 10

Informační bezpečnost (MI-IBE)

10.přednáška Bezpečnostní audity, penetrační testy Igor Čermák (ČVUT FIT)



1

31.10.2011

Prosazování požadavků bezpečnosti




Výdaje na IT •

• • • •

Výdaje za IT (zařízení, software, služby) v roce 2009 odhadovány na 101 mld. Kč (zdroj: průzkum IDC pro společnost Microsoft – říjen 2009); z toho – 47 mld. Kč - HW – 19 mld. Kč - SW – 35 mld. Kč - služby IDC předpokládá nárůst na 131 mld. Kč v roce 2013 Celosvětově předpokládá IDC ve stejném období nárůst z 1,4 bilionu USD na 1,7 bilionu USD. Gartner (duben 2009) – odhaduje letos pokles o 4 % (IDC a Forrester predikují menší pokles) Více než polovina firem plánuje omezit IT rozpočty (Gartner – duben 2009)




2

31.10.2011

Výdaje na bezpečnost • • • • • •

•

Často diskutovaný problém a předmět častých dotazů V řadě firem se výdaje na bezpečnost explicitně neměří (nemají zpracované příslušné metriky) Neexistuje jediné „správné“ procento výdajů na bezpečnost z celkového objemu výdajů na IT Metodologické obtíže (výdaje na bezpečnost – včetně personální, fyzické,…) a IT bezpečnost) Obvyklá doporučení: v rozmezí 5 – 20 % z IT rozpočtu (obvyklá hodnota 10 %) Data z výzkumu Forrester Research: velké společnosti vydávají na IT bezpečnost 7-13 % (růst 2007-2009); malé a střední firmy (SMB) 9-10 % Hlavním motivem: zabezpečení podnikových dat




Výdaje na IT bezpečnost •

Hlavní investiční IT priority firem (výzkum Robert Half Technology v USA zveřejněný v 04/2009): 1. Bezpečnost (43%) 2. Virtualizace (28%) 3. Zefektivnění datových center (27%) 4. Internetová telefonie – VoIP (26%) 5. Software as a Service - SaaS (26%) 6. Green IT (20%) 7. Business Intelligence (19%) 8. Sociální sítě (18%) 9. Web 2.0 (17%) 10. Outsorcing (16%) • Závěr: společnosti přes napjaté IT rozpočty kladou velkou váhu na bezpečnostní projekty (zabezpečení dat, systémy pro prevenci ztrát dat, šifrování dat, Identity a Access Mngmt.)




3

31.10.2011

Prosazování požadavků na bezpečnost •

Podle IDC zůstávají bezpečnostní problémy prioritou i v době recese: – V době ekonomické krize lze očekávat další zesílení hrozeb včetně kybernetického zločinu – IT oddělení musí být proti nim vybavena nejlepšími možnými nástroji

• „Hackeři se vracejí ke starým technikám“ • • • • • • • • •

„počítačoví podvodníci využívají praktiky legitimního podnikání“ „Malware určený ke krádežím identity je na vzestupu“ „Falešné antiviry se množí jako houby po dešti“ „Budoucnost mobilního malware“ „Kyberzločinci vylepšují své metody“ „Internet terorizují botnety“ „Desatero největších prázdninových hrozeb“ „Botnety se rozšířili o dalších 12 milionů IP adres“ (01-05/2009) „Výzkum RSA odhalil zvýšená bezpečnostní rizika v souvislosti s implementací nových webových a mobilních technologií ve firmách“ • ……………………………. Igor Čermák (ČVUT FIT)



Prosazování požadavků na bezpečnost – Regulatorní požadavky nutí více a více oborů do investic do řízení rizik, řízení přístupu a správy identit a dalších nákladných řešení – Náročný trh přiměje společnosti být více opatrné na své stávající zákazníky (vliv ztráty důvěryhodnosti z důvodu ztráty dat klientů – větší dopady na společnost v době recese – například pád cen akcií společnosti apod.) – Vzestup používání mobilních aplikací vyvolává nutnost investic do řešení poskytujících zabezpečení přístupu a dat umožňující vzdálený přístup zaměstnanců i partnerů •

V době recese roste bezpečnostní hrozba od „insiderů“ – Opatření typu redukce stavu pracovníků, omezování benefitů, provozní konsolidace, outsorcing zvyšují riziko vnitropodnikového napadení - zejména krádeže firemních dat




4

31.10.2011

Prosazování požadavků na bezpečnost • •

•

Chybějící zprávy v médiích (zejména v ČR) o konkrétních případech a výši škod Dle průzkumů inicializovaných společností EMC roste objem digitálních informací i v době stagnace nebo recese ekonomiky (faktory: mobilní uživatelé, netradiční IT zařízení (RFID, navigace, bezdrátová měřící zařízení), interakce uživatelů (IM, sociální sítě) – opatření (virtualizace, deduplikace dat. Přes 30% dat jsou data vyžadující vyšší stupně zabezpečení (45% v roce 2012); rovněž požadavky na soulad s předpisy Jednou z cest k prosazování požadavků na bezpečnost jsou objektivní zjištění získaná např. z bezpečnostních auditů








5

31.10.2011

Bezpečnostní audity •Předmět bezpečnostního auditu: • • • • • • • • • • • •

informační systém počítačová síť vnitřní procesy, dokumentace, havarijní plány konkrétní servery a jejich operační systémy pracovní stanice antivirový systém aplikace, databáze internetové připojení celá organizace




Bezpečnostní audity •Bezpečnostní audit – technická úroveň – posouzení bezpečnosti konkrétních provozovaných technologií (sítí, serverů, aplikací, databází,…) Bezpečnostní audit – organizační úroveň – posouzení plnění formálních aspektů (dokumentace, procesy, záznamy, dodržování pravidel, kvalita řízení,…) Doporučení: Bezpečnostní audit by měl zahrnovat technické i organizační aspekty




6

31.10.2011

Bezpečnostní audity •Technické bezpečnostní audity • • • • • • •

penetrační testy (interní, externí, otevřená a skrytá varianta) vulnerability assesment testy/audity WWW aplikací audity OS, DB, aplikací audity LAN, WAN (nastavení firewallů, síťových prvků) audity bezdrátových sítí (WLAN) speciální audity (e-mailové systémy, antivirové systémy, IP telefonie)




Bezpečnostní audity Organizační bezpečnostní audity • posouzení shody dle ISO 27001 (audit ISMS) • posouzení shody dle ISO 27002 (GAP analýza) • audit plnění bezpečnostních požadavků dle jiných předpisů (opatření ČNB, SOX, Basel II, HIPAA,….) • bezpečnostní audit vzhledem k interním předpisům společnosti (například vnitřní předpisy holdingu, korporace,..) • posouzení bezpečnostní dokumentace, business continuity plánu, havarijních plánů a plánů obnovy • posouzení souladu s platnou dokumentací •Práce s nálezy z auditu




7

31.10.2011

Bezpečnostní audity • Dle Information Assurance Metodology (NSA): – Úroveň 1 auditu - Assesment (politiky, procesy) – Úroveň 2 auditu – Evaluation (ověření nastavení bezpečnostních parametrů) – Úroveň 3 auditu – Blue and Red Team (penetrační testy) – simulace skutečného útoku na aktiva organizace




Bezpečnostní audity • Interní audity (audity „první“ stranou) • Externí audity: – „druhou stranou“ (v rámci smluvního ujednání např. u dodavatele a odběratele) – „třetí stranou“ (nezávislou auditorskou firmou, výsledky často využity pro certifikaci nebo jako vyjádření pro regulatorní orgány




8

31.10.2011

Bezpečnostní audity • V oblasti bezpečnostních technických auditů – prakticky neexistuje zavedený etalon pro audity typu "configuration review" (obvykle se vychází s best-practice doporučení výrobce, případně security checklistů nezávislých institucí) – pro oblast penetračních testů a testů WWW aplikací existují: • OSSTMM Open Source Security Testing Methodology Manual • OWASP Open Web Application Security Project – oba dokumenty jsou metodickým vodítkem (guideline) – u penetračního testování a testování WWW aplikací je vhodné vyžadovat, aby metodicky vycházelo z OSSTMM a OWASP




Bezpečnostní audity • Opatření ČNB 2/2004 – poměrně přehledný a srozumitelný předpis – posouzení shody lze zahrnout do bezpečnostního auditu • SOX, BASEL II, HIPAA aj. – IT rizika jsou obvykle pouze část toho, co předpisy pokrývají – požadavky na IT jsou často příliš obecné – Z hlediska bezpečnosti IS/IT je nejčastěji provedeno mapování těchto předpisů na jiný standard (ISO 27001)




9

31.10.2011

Bezpečnostní audity • Technická oblast - configuration review – téměř všichni výrobci publikují doporučení pro nastavení bezpečnostních paramterů formou bezpečnostního doporučení (tato doporučení ale obvykle nejsou přímo použitelná pro audit) – řada institucí vydává nejrůznější „Security checklisty“ (SANS, NIST, ISACA aj.) pro různé aplikace – Klíčovou je znalost a zkušenosti auditora (řada bezpečnostních doporučení má spíše „teoretickou“ povahu a v praxi je nelze uplatnit)




Bezpečnostní audity • Technické bezpečnostní audity • obvykle nezabíhají mimo IT • primární důraz je kladen na IT technologie, audit procesů se provádí pouze na úrovni IT • Organizační bezpečnostní audity • Jsou zaměřené na organizačně procesní aspekty, dokumentaci, postupy, procedury • obvykle pokrývají bezpečnost informací i mimo IT • často nezahrnují žádná technická šetření (sběr informací především interview, dokumentace) Igor Čermák (ČVUT FIT)



10

31.10.2011

Bezpečnostní audity • Certifikační audity • audit musí splňovat formální pravidla daná typem certifikace • audit provádí akreditovaný auditor (akreditaci poskytuje akreditační orgán (ČIA) • cílem auditu je získat příslušný certifikát

• Specifické formy bezpečnostních auditů • různé formy auditu využívající např. metody sociálního inženýrství • Méně časté, významné náklezy Igor Čermák (ČVUT FIT)



Bezpečnostní audity • Penetrační testy • Penetrační test je posouzení úrovně bezpečnosti metodou pokusu o průnik – Může být realizován • vzdáleně - po síti (z internetu) – externí penetrační test“, • z vnitřní sítě – interní penetrační test

– ve „skryté“ variantě prověří penetrační test také monitorovací a reakční mechanizmy zadavatele (dohled nad systémem detekce) – předmětem testu mohou být jednotlivá zařízení případně část sítě – jedním z hlavních přínosů je využití kombinačních schopností odborníků - v tzv. „aktivní variantě“ – metodami i použitými nástroji blízký reálnému útoku (zvláště varianta penetračního testu „bez předběžných znalosti“ – nejbližší simulace skutečného útokui Igor Čermák (ČVUT FIT)



11

31.10.2011

Bezpečnostní audity • Základní kroky penetračního testu – rekognoskace - sběr informací o testovaném prostředí (registrované IP adresy, DNS domény, ...) – zmapování prostředí na síťové úrovni - portscany, analýza filtrovacích mechanizmů, odhad topologie – automatizované testy bezpečnostních slabin (vulnerability asessment) – speciální testy zjištěných služeb (WWW, SMTP, …) – manuální testy na základě výsledků aut. testů – identifikace slabin - známé slabiny (dle zdrojů typu CVE, CERT, BUGTRAQ) i nepublikované slabiny – příp. praktická demonstrace zneužití slabin




Bezpečnostní audity • Externí penetrační testy – obvykle z Internetu – nejčastěji bez předběžných znalostí o testovaných sytémech a organizaci – předmětem jsou všechny dostupné aktivní IP adresy/porty

• Interní penetrační testy – prováděné z vnitřního prostředí – obvykle poskytnuto základní oprávnění běžného zaměstnance – předmět testu je diferencován (klíčové zařízení detailně, ostatní přehledově)

• Speciální testy – testy WiFi sítí – zátěžové testy (simulace útoku typu DoS) Igor Čermák (ČVUT FIT)



12

31.10.2011

Bezpečnostní audity • Výsledek penetračního testu poskytuje představu o dopadech reálného útoku při současné úrovni znalostí útočníků – Výstupem testu je zpráva (nález) a doporučení pro provedení nápravných opatření; – Nevýhodou je, že ani negativní výsledek testu nedává „jistotu“ bezpečnosti: • Skutečný útočník má k dispozici více času („neomezený“ čas) • nástroje a metody jsou stále agresivnější • znalost bezpečnostních slabin se neustále vyvíjí, řada existujících slabin nebyla doposud odhalena / zveřejněna

– Je vhodné testy opakovat




Bezpečnostní audity • Vulnerability Assessment (VA) • Posouzení bezpečnosti automatizovaným způsobem – Využití různých vulnerability scannerů (Nessus, ISS, Retina, Qualys) – Bezpečnost je prověřována pouze vzdáleně po síti, což vede k omezení možnost posoudit lokální nastavení bezpečnosti; – Oproti plnohodnotnému penetračnímu testu zcela chybí manuální fáze testu – Výsledky VA bývají zatíženy chybou • false positives (falešné nálezy) • false negatives (neodhalené slabiny)

– Etalonem je databáze slabin daného v. scanneru Igor Čermák (ČVUT FIT)



13

31.10.2011

Bezpečnostní audity • Výhody: – Lze provádět vlastními silami (příp. pouze s drobnou asistencí externího specialisty) – Rychle a levně odhalí "nejviditelnější" slabiny – Lze realizovat vlastními silami

• Nevýhody: – Některé testy mohou být nebezpečné (zranitelné systémy se mohou zhroutit) – Výsledky zatíženy chybou • Doporučení – pokud vulnerability scanner detekoval kritické nálezy, je penetrační test (manuální) předčasný. Igor Čermák (ČVUT FIT)



Bezpečnostní audity • Bezpečnostní audit WWW aplikací • Prověření WWW aplikací: – prověření odolnosti WWW rozhraní penetračním způsobem – code-review (audit zdrojových kódů)

• Obvyklý postup – test WWW rozhraní (simulace průniku, vzdáleně po síti) – volitelně se znalostí zdrojových kódů – dle povahy aplikace se znalostí uživatelského přístupu nebo z anonymní úrovně

• Audit zdrojových kódů není při složitosti a dynamice současných aplikací reálný – při obvyklých bezpečnostních auditech se prakticky vůbec neprovádí




14

31.10.2011

Bezpečnostní audity • WWW aplikace jsou nejrizikovější komponentou IS – obvykle jde o aplikace vyvinuté na zakázku a tudíž obsahují chyby "na zakázku„; takové chyby se obtížně identifikují, neboť jsou unikátní pro danou aplikaci; – možnosti strojového testování jsou u WWW aplikací omezené (naopak kladný výsledek testu vyvolá falešný pocit bezpečí); – WWW aplikace jsou často propojeny s interními systémy firmy (například databázemi), takže potenciální dopady úspěšného průniku bývají naprosto kritické




Bezpečnostní audity • WWW aplikace jsou nejrizikovější komponentou IS – Bezpečnost testována na serverové i klientské straně – hlavní hrozbou pro bezpečnost WWW aplikace jsou programátoři (nezvládnutý proces vývoje, časový tlak a tlak nákladů, zkracování termínů, omezování nákladů (testování)..) – obtížná volba etalonu pro testy (OWASP) – Klíčovým faktorem je kompetence auditora (je prakticky nereálné realizovat tento typ auditů interně) – doporučení auditu obvykle vyžadují zásah do kódu aplikace change management – náklady organizace




15

31.10.2011

Otázky? Děkuji za pozornost RNDr. Igor Čermák, CSc. [email protected] Igor Čermák (ČVUT FIT)



16

Bezpečnostní audity, penetrační testy

Recommend Documents