Audyty bezpieczeństwa

Audyt to konsekwentny, niezależny, udokumentowany proces uzyskiwania dowodu z audytu (jego obiektywnej oceny) w celu określenia stopnia spełniania warunków audytu. 

Testy penetracyjne

Korzystamy z różnych wariantów wykonywania testów penetracyjnych:

• OSSTMM/ Open-Source Security Testing Methodology Manual/ ISECOM/ Institute for Security and Open Methodologies (zakres wykonywania testów bezpieczeństwa)
• OWASP/ Web Application Penetration Testing
• NIST/ National Institute of Standards and Technology w zakresie bezpieczeństwa systemów automatyki przemysłowej

Terminologia jaką wykorzystuje firma: test penetracyjny, podatność, pentester, klasyfikacja, ryzyko, prawdopodobieństwo.

Metodologia testowania 

Bazowanie na standardach przemysłowych (OWASP/OSSTMM/ISSAF/NIST). Metody przeprowadzania testów i audytów.

• BlackBox

- tester początkowo nie ma wiedzy na temat zdalnego systemu
- klient udostępnia domeny, url-e, zakres adresów IP
- następuje stymulacja typowych działań hackerskich (zagrożenie zewnętrzne)
- częste podejście przy testach „external” dla DMZ/ECAP
- dla tej metody kluczowe jest zebranie najważniejszych, właściwych informacji na temat celu ataku „biały wywiad”, dodatkowo przeprowadzana jest aktywna analiza systemów (website spidering, posrt scanning, port service probing, enumeracja DNS)
- kolejno identyfikacja i analiza wektorów ataku
- weryfikacja znalezionych podatności, eliminacja false-positivów
- działania w celu eskalacji uprawień systemu, eksploitacji środowiska
- prezentacja raportu wraz z rekomendacjami

• WhiteBox (Crystal Box)

- klient udostępnia informacje o systemie, dokumentację, interview
- test jest odzwierciedleniem czynności wykonywanych przez potencjalnego cyberprzestępcę, posiadającego szeroką wiedzę dotyczącą celu ataku
- faza rekonesansu zostaje zredukowana do minimum
- przegląd właściwego fragmentu kodu źródłowego
- różnica między WhiteBox a BlackBox to ilość oraz akuratność szczegółów testowanego środowiska

• GreyBox

- połączenie dwóch podejść WhiteBox oraz BlackBox
- testerowi udostępnia się zazwyczaj login i hasło do systemu (najniższe przywileje)
- istnieje możliwość udostępnienia dodatkowych danych podstawowych np. technologia, wersja systemu
- jest to najczęściej stosowane podejście będące symulacją akcji nieuprzywilejowanego użytkownika, który nie ma wiedzy na temat celu ataku
- najczęstsza metoda przy ocenie bezpieczeństwa aplikacji dla firm trzecich, poza generycznym podejściem znajdującym się w opisie, typu Black Box (zgłaszanie znalezionych i zweryfikowanych podatności deweloperowi w aplikacji/ środowisku). Praca z dostawcą pozwala na dodatkową weryfikację i wprowadzenie „łat”.

Etapy testu

Metodyka oparta na OWASP/ Web Application Penetration zgodnie z OWASP Testing Guide.

W skrócie:

1. Określenie zakresu/celu
2. Zbieranie informacji
3. Testowanie zarządzania konfiguracją
4. Testowanie zarządzania tożsamością
5. Testowanie uwierzytelniania
6. Testowanie zarządzania sesjami
7. Testowanie autoryzacji
8. Testowanie logiki biznesowej
9. Testowanie zabezpieczeń kryptograficznych
10. Testowanie walidacji danych
11. Testowanie obsługi błędów
12. Testy client-side (JavaScript, DOM XSS, HTML Injection)

Audyt procesów

Zbiór danych do analizy w oparciu o:

- dokumentację, architekturę, projekt, dokumentację powdrożeniową
- wywiad z osobami z działu projektów, rozwoju, administracji i utrzymaniem systemu IT, aplikacji
- zbiór wyników do przeprowadzenia pełnej analizy przy użyciu narzędzi, przeglądu ustawień i elementów
- przegląd oraz analizę konfiguracji środowiska witalizacyjnego
- przegląd i analizę konfiguracji serwerów narzędziowych a także aplikacji wspomagających, automatyzujących pracę
- przegląd i analizę systemów operacyjnych utrzymujących komponent systemu
- przegląd i analizę uprawień kont uprzywilejowanych, serwisowych
- przegląd i analizę środowiska IT, aplikację (sieć, storage)

Klasyfikacja podatności. Metodologia klasyfikacji

Oparta na metodzie OWASP/ Open Web Application Security Project. Wszystkie podatności są analizowane pod względem Prawdopodobieństwa i Wpływu. Skala współczynników 1-9.

Prawdopodobieństwo:

- czynniki dotyczące atakujących Threat Agent, zaangażowania atakującego w celu oszacowania prawdopodobieństwa sukcesu ataku
- poziomy trudności – oszacowanie umiejętności technicznych cyberprzestępcy, wykonanie testów zabezpieczeń, poziom wiedzy z zakresu programowania i zagadnień sieciowych
- motyw – jaką motywację ma grupa atakujących by znaleźć, wykorzystać lukę?
- możliwość – jakie zasoby, możliwości są wymagane dla tej grupy atakujących?
-rozmiar – jak duża jest grupa atakujących?

Podatność:

Celem jest oszacowane prawdopodobieństwa odkrycia, wykorzystania podatności.

- łatwość znalezienia – jaki jest poziom trudności w znalezieniu podatności?
- łatwość wykorzystania – jak łatwo wykorzystać podatność?
- świadomość – jak dobrze znana jest luka?
- detekcja włamań – jakie jest prawdopodobieństwo wykorzystania luki?

Wpływ:

Techniczne współczynniki wpływu (Technical):
współczynniki związane z poufnością, integralnością, dostępnością, odpowiedzialnością.

Celem jest oszacowanie wielkości wpływu na system w przypadku wykorzystania odkrytej podatności.
- utrata poufności – ile danych może zostać ujawnionych, jaki jest stopień wrażliwości?
- utrata integralności – ile danych może ulec uszkodzeniu i w jakim stopniu?
- utrata dostępności – ile usług może zostać utraconych i jak ważne są dla firmy/ organizacji?
- utrata rozliczalności – czy można przypisać atak do konkretnej jednostki?

Współczynniki związane z biznesem – zależne od wpływu technicznego, najważniejsze jest zrozumienie celów organizacji. Warto wdrożyć opis klasyfikacji zasobów.

- szkody finansowe – jak wielka szkoda może wynikać z ataku?
- utrata reputacji – czy podatność będzie miała wpływ na utratę reputacji firmy/organizacji?
- niezgodność – w jakim stopniu szkodliwa jest niezgodność?
- naruszenie prywatności – jak wiele informacji personalnych ujawnia dana niezgodność?

Skontaktuj się z nami: biuro@netcomplex.pl