Web Security Seminar Qualys InfoDay 2013
Összefoglalás 2013. május 14.
Sérülékenység menedzsment workflow Sérülékenység menedzsment – hogyan csináljuk, hogy tényleg működjön? •
Legyen igaz amit mondunk, ne legyen hibás adat
•
Tudjuk kinek mire van szüksége
•
Csak a releváns dolgokat kommunikáljuk
•
Csak a javítható hibák javítását kérjük
•
Hogyan lehet megenni az elefántot?
•
–
Kockázat alapú megközelítés
–
Patch riport
–
Kivételek kezelése
Az eredmények mérhetőek legyenek –
•
Pozitív visszajelzések
Együttműködés más rendszerekkel: –
Patch Management
–
Ticketing
–
Asset Management
Proyet Consulting Kft. szolgáltatási ajánlatai
Vizsgálatok az internet felől Internet felől elérhető IP cím hálózati sérülékenység vizsgálata •
Technológia: Qualys VM external scan
•
A vizsgálat tartalma: – operációs rendszerek, nyitott portok, szolgáltatások, adatbázisok, web szerverek
•
A vizsgálat időtartama: kb. 1 – 1,5 óra
•
Javasolt gyakoriság: negyedévente
•
Vizsgálati jelentés: – Qualys Executive report (angol, pdf) – Qualys technical report (angol, html)
•
A vizsgálat módja: távolról végzett vizsgálat
•
A vizsgálat ára: egyszeri vizsgálat: – az első IP cím: – minden további IP cím:
19.500,- Ft 9.500,- Ft
Vizsgálatok a hálózat belsejében Szerverek és egyéb fontos hálózati hostok eseti sérülékenység vizsgálata •
Technológia: Qualys internal Vulnerability Assessment
•
A vizsgálat tartalma: – operációs rendszerek , nyitott portok, szolgáltatások, adatbázisok, web szerverek
•
A vizsgálat időtartama: kb. 2 – 6 óra
•
Javasolt gyakoriság: félévente
•
Vizsgálati jelentés: – Qualys Executive report (angol, pdf) – Qualys technical report (angol, html)
•
A vizsgálat módja: helyszíni vizsgálat
•
A vizsgálat ára: egyszeri vizsgálat: – Alapcsomag: – minden további IP cím:
145.000,- Ft, benne 30 IP cím vizsgálata 2.000,- Ft
Web alkalmazások vizsgálata/1 Web alkalmazások eseti vizsgálata • • • •
•
• •
Technológia: Qualys WAS A vizsgálat tartalma: – A web alkalmzás sérülékenység vizsgálata a Qualys Web Application Scanner-rel A vizsgálat időtartama: max. 24 óra Javasolt gyakoriság: – A fejlesztés béta fázisának kiadása előtt – A fejlesztés átadási teszt részeként – Élesben üzemelő rendszerek esetén 1 évente Vizsgálati jelentés: – Qualys WAS Executive report (angol, pdf) – Qualys WAS technical report (angol, html) A vizsgálat módja: távolról végzett vizsgálat A vizsgálat ára: – 79.500,- Ft / web alkalmazás
Web alkalmazások vizsgálata/2 Web alkalmazások időszakos, mélyreható vizsgálata - betörésteszt • •
• •
•
• •
Technológia: Proyet pentest metodology (OTSSM, OWASP, CEH) A vizsgálat tartalma: Preparation – Web alkalmazás grey box teszt – A hálózati környezet betörésteszt vizsgálata Tests A vizsgálat időtartama: 2 – 6 nap Javasolt gyakoriság: Report on Critical vulns. – A fejlesztés béta fázisának kiadása előtt Remediation recommendation – A fejlesztés átadási teszt részeként – Élesben üzemelő rendszerek esetén 1 évente Re-test after remediation Vizsgálati jelentés: – Súlyos probléma esetén azonnali értesítés Handing over the Report – Vezetői összefoglaló Issuing Certificate – Részletes technikai jelentés – Megfelelőségi igazolás A vizsgálat módja: távolról végzett vizsgálat A vizsgálat ára: egyedi ajánlat alapján: – 250.000,- Ft – 750.000,- Ft / web alkalmazás
Web alkalmazások vizsgálata/3 Web alkalmazások folyamatos felügyelete • •
• • •
• •
Technológia: Qualys SECURE SEAL A vizsgálat tartalma: – Malware detection – naponta – Hálózati scan – hetente – Web Application Scan - hetente – SLL Certification validation - hetente A vizsgálat időtartama: Javasolt gyakoriság: folyamatos Vizsgálati jelentés: – Probléma esetén azonnali e-mail értesítés – A vizsgálati eredmények (a státusz) elérhető web interfészen keresztül A vizsgálat módja: távolról végzett vizsgálat A vizsgálat ára: folyamatos vizsgálat 1 éven keresztül, azaz éves előfizetés – 1 db URL-re: 165.000,- Ft / év
Szerverek folyamatos sérülékenység vizsgálata Szerverek és hálózati eszközök sérülékenység vizsgálata (a hálózat belsejéből) •
Technológia: Qualys Vulnerability Management és Asset Management module
•
A vizsgálat tartalma: – operációs rendszerek , nyitott portok, szolgáltatások, adatbázisok, web szerverek – Asset Manegement
– Normál scan, trusted scan •
A vizsgálat időtartama: -
•
Javasolt gyakoriság: – Kritikus eszközök: hetente
– Fontos eszközök: havonta – Automatizált mérések •
Vizsgálati jelentés: – Testreszabott jelentések tetszőleges időben
•
A vizsgálat ára: éves előfizetés a mérendő IP címek alapján: –
32 IP cím: 1 mFt / év
– 1024 IP cím: 5,5 mFt / év
Qualys Try & Buy model – Qualys Pilot A Qualys szolgáltatások ingyenes tesztelése •
Technológia: Qualys Vulnerability Management és Asset Management module, Policy Compliance, Web Application Scanner
•
A pilot tartalma: – A megvalósítani kívánt konfiguráció!
•
A vizsgálat időtartama: 1-3 hónap
•
Támogatás (Proyet szakértői) – Telepítés, betanítás – A vizsgálati konfigurációk és jelentés templétek kialakítása
– A javítási workflow kialakítása – Az üzemeltetés során felmerült problémák megoldása – Összefoglaló jelentés •
A pilot ára: ingyenes
Kérdések?
Szakmai rendezvényeink a közeljövőben Szeptember 12.
Mobile Security Seminar, AirWatch solutions (MDM, MCM, MAM, BYOD …)
Szeptember 25-26.
ITBN (kiállítás, előadások)
Október
PCI DSS tanfolyam
Záró gondolatok The art of war teaches us to rely
Erős elkötelezettség a szakma iránt
not on the likelihood of the enemy's not coming, but on our own readiness to receive him.
Jól képzett, tapasztalt szakértői csapat Professzionális partnerek Elkötelezett, hosszú távú partnerkapcsolatok
/Sun Tzu/
Elérhetőségeink Szegő Vilmos, CISA, CISM ügyvezető igazgató Vezető tanácsadó
[email protected] mobil: 06 30 933 9527
Kollár György, CISSP, CEH műszaki igazgató Vezető tanácsadó
[email protected] mobil: 06 30 986 8854
