Post on 25-May-2015
Методологии аудита информационной безопасности
Александр Дорофеев
CISSP, CISA
Аудит - систематический, независимый и документированный процесс получения свидетельств аудита и объективного их оценивания с целью установления степени выполнения согласованных критериев аудита
Аудит - проверка выполнения требований
4
Информационная безопасность
Люди Процессы Технологии
Критерии аудита ИБ
5
• способность сотрудников противостоять действиям злоумышленников, пытающихся с помощью обмана получить конфиденциальную информацию
• способность сотрудников противостоять действиям злоумышленников, пытающихся с помощью обмана получить конфиденциальную информацию
Люди
• требования корпоративных политик, международных стандартов, законодательства
• требования корпоративных политик, международных стандартов, законодательства
Процессы
• уровень защищенности информационных систем от внутренних и внешних злоумышленников
• уровень защищенности информационных систем от внутренних и внешних злоумышленников
Технологии
Оценка процессов ИБ
Оценка «бумаги» Оценка
«бумаги» Оценка
«жизни» Оценка
«жизни»
6
Подходы к оценке защищенности
Классический тест на проникновение Классический тест на проникновение
Сканирование на наличие
уязвимостей
Сканирование на наличие
уязвимостей
Анализ конфигурации
системы
Анализ конфигурации
системы
Комплексный подход
Комплексный подход
7
Что такое тестирование на проникновение?
• Метод оценки защищенности информационной системы или сети с помощью имитации атаки (действий злоумышленников).
• English: penetration testing, ethical hacking
8
Модель злоумышленника
9
Классический тест на проникновение
• Имитация действий реального злоумышленника – поиск первой уязвимости, позволяющей получить доступ к системе
• Больше искусство, чем аудит. Качество сильно зависит от уровня специалиста
• Обычный результат: несколько опасных уязвимостей
• Высокий риск нарушения доступности систем
10
Сканирование
• Использование исключительно сканеров для поиска уязвимостей
• Качество сильно зависит от используемого сканера.
• Результат: множество уязвимостей различного уровня опасности
• Средний риск нарушения работоспособности систем
11
Анализ конфигурации системы
• Проверка настроек систем в соответствии с рекомендуемыми вендорами или сообществами профессионалов по ИБ (NIST, Center of Internet Security).
• Результат: множество уязвимостей различного уровня опасности
• Низкий риск нарушения работоспособности систем
12
13
Комплексный подход
Сканирование
Тестирование на
проникновение
Анализ конфигурации
Комплексное тестирование • сбор информации о внешних ресурсах в Интернет
• сканирование сети
• согласование перечня с заказчиком
• сбор информации о внешних ресурсах в Интернет
• сканирование сети
• согласование перечня с заказчиком
идентификация целевых
сетевых узлов
• с помощью сканеров
• вручную (по баннерам, ошибки конфигурации)
• с помощью сканеров
• вручную (по баннерам, ошибки конфигурации) поиск уязвимостей
• подбор паролей
• перехват трафика
• запуск эксплойтов
• и т.д.
• подбор паролей
• перехват трафика
• запуск эксплойтов
• и т.д.
эксплуатация уязвимостей и
проведение атак
• запуск локальных эксплойтов
• использование собранной информации для доступа к другим системам
• запуск локальных эксплойтов
• использование собранной информации для доступа к другим системам
расширение привилегий и зоны влияния
14
Цели оценки защищенности
15
• Демонстрация незащищенности систем
Классический тест на
проникновение
• Быстрый поиск уязвимостей для их устранения Сканирование
• Поиск уязвимостей при минимальном воздействии на работу систем
Анализ конфигурации
• Поиск максимального количества уязвимостей с контролируемыми рисками проекта
Комплексный подход
Методологии
16
Основные инструменты •NMAP •NMAP
Сканеры портов
•Nessus
•Open-VAS
•Nikto
•Nessus
•Open-VAS
•Nikto
Сканеры уязвимостей
•Cain & Abel
•Wireshark
•Cain & Abel
•Wireshark Снифферы
•THC-hydra
•LCP
•THC-hydra
•LCP Утилиты для
подбора паролей
•Metasploit Framework •Metasploit Framework Наборы эксплойтов
•Backtrack
•Сканер-ВС
•Backtrack
•Сканер-ВС LiveCD
17
18
19
Александр Дорофеев
CISSP, CISA
Директор
АНО “Учебный центр “Эшелон”
E-mail: adorofeev@uc-echelon.ru
Тел.: +7(495) 645-38-09