Biztonsági auditok Szabályozási kérdések
Biztonsági auditálás • A biztonság karakterizálása módszeres
átvizsgálással, konzisztens és megbízható módon Elvárt célok a ténylegesen elvégzett tesztek dokumentálása felel!sségvállalók megnevezése világos és érthet! biztonsági metrikák kifejezése tanusítási eljárás lefolytatása
• • • • •
2
Auditálási rendszer, szabvány
• Cészer" valamilyen módszertant vagy szabványt használni • teszt megfelel! elvégzésének biztosítása • az összes szükséges komponens tesztelése • el!írássoknak megfelel!ség kijelentése • az eredmények mérhet!ek és számszer"síthet!k • az eredmények konzisztensek és reprodukálhatók • az eredmények az elvégzett tesztekb!l következnek
3
Biztonsági teszt megközelítések
• Vak teszt • az auditor nem ismeri a rendszer
biztonsági jellemz!it, a cél tud az auditról Dupla vak teszt a célt sem értesítik el!re az auditról Szürke doboz teszt az auditornak korlátozott ismeretei vannak a rendszerr!l hatékony módszer
• • • • •
4
Biztonsági teszt megközelítések (folyt.)
• Fehér doboz teszt • az auditornak korlátozott ismeretei vannak a • •
biztonsági rendszerr!l, de az összes csatornáról teljes információja van Tandem teszt mind az auditor, mind a cél teljes információval rendelkezik az auditról és a rendszerr!l Öntesztelés az auditor teljes információval rendelkezik, a cél nem tud az auditról
• •
5
Biztonsági tesztek típusai
• Vulnerability scanning • automatizált szkennelés • Security scanning • automatizált skennelés és kézi verifikálás (fals pozitívek kisz"rése) • Betörési teszt • Kockázat értékelés • üzleti folyamatokkal összefüggésben • Biztonsági audit • (OS-ek, alkalmazások, hálózat) 6
Biztonsági tesztek típusai (folyt.)
• Etikus hackelés • betörési teszt technikai eszközökkel hibák megtalálására • Biztonsági tesztelés • professzionális elemzés és tesztek végzése a rendszer és hálózat biztonságának megállapítására
7
Költségek
Er!forrás igények Biztonsági auditálás Biztonsági tesztelés
Kockázat értékelés Betörési teszt
Etikus hackelés
Security scanning Vunerability scanning
Id!
8
Megfelel!ség (compliance)
• Jogi/törvényi megfelel!ség • nem megfelel!ség büntet!jogi
következményekkel (adatvédelmi törvények) Szabályozásnak megfelel!ség ipari/testületi szabályozás (szabványok) Politikának/irányelveknek megfelel!ség üzleti/szervezeti szabályozás
• • • •
9
Tesztelési (mérési) hibák
• Fals pozitív • Fals negatív • Szürke pozitív • Szürke negatív • Szellem hiba • Nem elég körültekintés • Entrópia hiba • Falzifikálás • Mintavételi hiba • Propagációs hiba 10
Biztonsági tesztelés területei
• Információbiztonság • Fizikai biztonság • Folyamatbiztonság • Kommunikációs biztonság • Internetes biztonság • Wireless biztonság 11
Információbiztonsági tesztelés
• Magatartás ellen!rzése • Információ integritási átvizsgálás • “Hírszerzési” felmérés • Internetes jelenlét • Dokumentum kezelés (pl. megsemmisítés elektronikus dokumentumokra is) • Humán er!forrás ellen!rzés • Privát információk védelme • Információ (ki)adási szabályok 12
Folyamatbiztonsági tesztelés
• Magatartás ellen!rzése • Kérvényezési/engedélyezési gyakorlat • accountok, jogosultságok, fizikai hozzáférés • “Social engineering állóság” • Bizalmi posztokat betölt!k ellen!rzése 13
Internet technológiai biztonsági tesztelés
• Behatolás detektálás ellen!rzése • Hálózat felmérése • (Rendszer) szolgáltatások azonosítása • Internetes alkalmazások ellen!rzése • Sebezhet!ségi értékelés • Megbízható rendszerek ellen!rzése • Hozzáférés ellen!rzés • Jelszó feltörés • Túlélési tesztelés, DoS tesztelés • Riasztási és log feldolgozási ellen!rzés 14
Kommunikációs biztonsági tesztelés
• Telefonközpont ellen!rzése • Üzetrögzítés ellen!rzése • Fax rendszer ellen!rzése • Betárcsázási rendszer és távoli hozzáférés ellen!rzése • VoIP rendszer ellen!rzése • Vezeték nélküli hálózat ellen!rzése • EMR ellen!rzés • Bluetooth, WiFi, vezeték nélküli perifériák, vezeték nélküli riasztó rendszer, RFID rendszerek ellen!rzése
15
Fizikai biztonsági tesztelés
• Fizikai hozzáférés ellen!rzése • Határ (perimeter) ellen!rzése • Monitorozó, riasztó rendszer tesztelése • Helyszín és környezet ellen!rzése 16
Tesztek kockázati értékelése • Cél a tesztek elvégzése minimális károkozással, de a lehet! legszélesebb kiterjedésben • Biztonság (személyi, anyagi) • worst case scenario-k felállítása • Magán titkok • személyes információk védelme (jog, etika) • Gyakorlatiasság • minimális komplexitás, megfelel! mélység • Használhatósági szempontból elfogadható biztonság elvárása
17
M"veleti biztonsági metrikák
• Láthatóság • lehetséges célpontok száma • Megbízhatóság • authentikáció nélküli interakciókban megjelen! célpontok száma • Hozzáférés • interakciónkénti lehetséges hozzáférések száma • Az el!bbiek id!beli változása 18
Korlátozottsági metrikák • Sebezhet!ségek • védelmi problémák, hibák száma, melyek az információ biztonságot veszélyzetik • Gyengeségek • hibák száma az interakciók szabályozásában • • •
(authentikáció, ellentételezés, megkötések, folytonosság) Aggályok hibák száma a folyamatok szabályozásában (nem visszautasítás, titkosság, integritás, riasztások) Kitettség hibák, igazolatlan tevékenységek száma, melyek célpontok láthatóságára vezet Anomáliák száma
• •
19
Felmérési tevékenységek
• Versenyképességi felmérés • Web- és FTP szerver directory szerkezet feltérképezése • Internet infrastruktúra és IT költségeinek megállapítása (OS, alkalmazások, HW) • Támogató infrastruktúra költségeinek meghatározása (személyzet) • Elektronikus kereskedelem forgalmának megállapítása
20
Felmérési tevékenységek (folyt.)
• Privát adatok védelme • nyílvánossági politika és tényleges gyakorlat összehasonlítása • adatbázisok típusának, méretének meghatározása • storage-ok helyének meghatározása • cookie-kal kapcsolatos elemzés (engedélyezés, tartalom, lejárat) • kulcs személyekkel kapcsolatos publikált adatok számbavétele
21
Internet technológiai biztonság
OSSTMM 2.2. - The Open Source Security Testing Methodology Manual 13 December 2006
Section C – Internet Technology Security
22
Hálózat felmérése • Használt domain nevek • Szerver nevek • IP címek • Hálózat térképe • ISP/ASP információ • Rendszerek és szolgáltatások tulajdonosai 23
Port scannelés • Nyitott, zárt, ellen!rzött (sz"rt) portok • Aktív rendszerek IP címei • Bels! rendszerek hálózati címei (IP, MAC) • Becsomagolt protokollok (tunneling) listája • Routolási protokollok listája • Scannelési technikai részletek • TTL-ek, ICMP, ARP • SYN, FIN, NULL csomagokkal • DNS lekérdezések
24
Szolgáltatások, rendszerek
• Szolgáltatások típusai • Szolgáltató alkalmazások, patch-ek • Op. rendszer típusok, patch szintek • TCP szekvenciaszámok • hálózati címek 25
Sebezhet!ségi ellen!rzés
• Alkalmazások sebezhet!ségi kategóriák szerint • Patch szintek • Lehetséges DoS sebezhet!ségek • “Obscurity” által védett területek • Bels! és DMZ beli rendszerek listája • Mail és DNS rendszerek listája • Alkalmazott elnevezési konvenciók 26
Webalkalmazások • Forrás és bináris kód • Protokoll specifikációk • Hiba találgatás • Autentikációs mechanizmusok • login lehet!ségek, autentikáció
megkerülés, hamisított tokenek, lehallgatás-visszajátszási lehet!ségek Session kezelés konkurens sessionök, sessionID-k, cookie-k, oldal elérési szekvenciák
• •
27
Webalkalmazások (folyt.)
• Input manipuláció • változók, protokoll payload korlátok • hosszú stringek kezelése • SQL injektálás • Xsite scripting lehet!ségek • directory elérés, bejárás • URL encoding • HTTP fejléc mez!k manipulálása • rejtett "rlapmez!k manipulálása • alkalmazás logikával ellenkez! inputok 28
Webalkalmazások (folyt.)
• Kimenet manipulálása • cookie-k megváltoztatása • cache kezelés megváltoztatása • ideiglenes fájlok manipulálása • Információ szivárgás ellen!rzése • HTML dokumentum rejtett tartalmának vizsgálata (rejtett mez!k, megjegyzések) • Hiba és debug üzenetek tartalmának ellen!rzése
29
Hálózati eszközök • Routerek • routerek típusai, szolgáltatások • csomag típusok, forgalom típusok • NAT-olás • T"zfalak • sz"rt csatornák • implementált szolgáltatások • sz"rési szabályok • árasztások, TEARDROP kezelése 30
Javasolt biztonsági megközelítés (best practices)
• Távoli elérés csak titkosított csatornán • Csak autentikált távoli hozzáférés • Korlátozások: minden tiltva, specifikus engedélyezés • Monitorozás és logolás • Decentralizálás • Bizalmi egymásra épülések minimalizálása • Csak szükséges alkalmazások és szolgáltatások telepítése • Egyszer"ség a konfigurációs hibák elkerülésére
31
Javasolt biztonsági megközelítés (best practices)
• Alkalmazások • Biztonsági megoldások használhatósága fontos szempont • Üzleti szabályok érvényesítése az inputokra és az outputokra • Input validálás • Fontos feldolgozási lépések a szerver oldalon • Réteges biztonsági megoldások alkalmazása
32
