[WikiDyd] [TitleIndex] [WordIndex

Cel zajęć

Zajęcia mają na celu zapoznanie się z procedurami audytu bezpieczeństwa systemu, w tym także testów penetracyjnych.

Wprowadzenie

W ramach zajęć studenci będą sprawdzać bezpieczeństwo określonego systemu. Audyt będzie się składał z trzech części:

Podczas wykonywania testów penetracyjnych należy wykorzystać całą swoją wiedzę, umiejętności i możliwości, aby znaleźć słabości w zabezpieczeniach systemu. Jest to rodzaj ataku na system, za zgodą i przyzwoleniem jego właściciela. Atakujący szuka dziur i wolno mu wszystko pod warunkiem, że przedstawi rzetelny raport z wyników swojej pracy. Zabronione jest tylko niszczenie danych i destabilizowanie jego działania.

Najczęściej testy bezpieczeństwa przeprowadzane są przez zewnętrzne, specjalistyczne firmy, które niezależnie oceniają stopień zabezpieczenia kontrolowanego systemu. Audytorzy mają swoje wewnętrzne procedury (listy rzeczy do sprawdzenia), których używają w czasie kontroli. W przypadku naszych zajęć laboratoryjnych zaproponujemy Państwu przykładowe i krótkie listy takich problemów.

Zewnętrzne testy penetracyjne

Audytor nie ma dostępu do systemu.

  1. Czy system nasłuchuje tylko na niezbędnych do działania portach?
  2. Czy można określić wersje systemu operacyjnego i zainstalowanego na nim oprogramowania?
  3. Czy system umożliwia logowania spoza sieci lokalnej?
  4. Jakie używane są procedury uwierzytelniania?
  5. Czy można przechwycić nazwę jakiegokolwiek użytkownika?
  6. Czy można przechwycić jakiekolwiek hasło?
  7. Czy są znane błędy bezpieczeństwa w oprogramowaniu obsługującym usługi sieciowe?

Wewnętrzne testy penetracyjne

Audytor ma uprawnienia takie jak zwykły użytkownik systemu.

  1. W jaki sposób użytkownik jest uwierzytelniany?
  2. Czy są jakieś wymagania na hasło użytkownika (długość, częstotliwość zmian)?
  3. Czy użytkownik może wpłynąć na stabilność działania systemu (przepełnić dysk, zająć w 100% pamięć)?
  4. Czy użytkownik może poznać nazwy innych użytkowników i ich hasła?
  5. Co może użytkownik ponad to co jest mu niezbędne do realizowania przeznaczonych mu zadań?

Audyt polityki bezpieczeństwa

Audytor pracuje z pełnymi uprawnieniami administracyjnymi

  1. Czy jest opracowany dokument polityki bezpieczeństwa i osoba odpowiedzialna za jego aktualność?
  2. Czy są wyznaczone osoby odpowiedzialne za bezpieczeństwo systemu i określona jest ich odpowiedzialność oraz hierarchia?
  3. Czy została ustalone poziomy ochrony i czy zostały do nich poprawnie sklasyfikowane wszystkie dane?
  4. Czy jest opracowana polityka szkolenia użytkowników w sprawach związanych z bezpieczeństwem?
  5. Czy jest opracowana procedura zgłaszania błędów i usterek, oraz schemat reagowania na nie?
  6. Czy dostęp do krytycznych elementów systemu jest odpowiednio chroniony fizycznie?
  7. Czy sprzęt jest odpowiednio używany? (zapasowe zasilanie, procedura niszczenia, itp.)
  8. Czy praca systemu jest regularnie monitorowana?
  9. Czy jest wdrożona jest ochrona przeciw oprogramowaniu szkodliwemu (wirusy, robaki, itp.)?
  10. Czy opracowana i realizowana jest procedura kopii bezpieczeństwa?
  11. Czy są jasno zdefiniowane i zabezpieczone zadania realizowane przez system?
  12. Czy są opracowane procedury zarządzania kontami użytkowników (dodawanie, zmiana hasła, kasowanie)?
  13. Czy działa zapisywane są wszystkie próby dostępu do systemu?
  14. Czy system wykorzystuje współcześnie zaufane algorytmy kryptograficzne?
  15. Czy został przeanalizowany i oceniony wpływ awarii systemu IT na ciągłość procesów biznesowych?
  16. Czy system był poprawnie przygotowany do audytu (tzn. bez poufnych danych)?

Zaproponowane pytania to tylko krótki wybór z często obserwowanych problemów. Zachęcamy studentów do samodzielnego rozszerzenia tych list.

Potrzebna wiedza

Do dobrego audytu potrzebna jest bardzo szeroka wiedza z zagadnień bezpieczeństwa systemów IT. Potrzebne będą wszelkie informacje zdobyte do tej pory w ciągu całego wykładu i laboratorium.

Dodatkowe informacje

Dokument politykę bezpieczeństwa można sprawdzić pod kątem zgodności z normą ISO/EIC 17799 (była ona przedstawiana na poprzednich zajęciach). Testy penetracyjne, czyli kontrolowany atak na system wymaga większego zaangażowania i indywidualnego spojrzenia.

Hasła dla Google: audyt bezpieczeństwa, security audit, penetration tests, checklist

Przykładowe zadania

  1. Przeprowadź audyt zgodnie z opisaną we wprowadzeniu listą popularnych problemów.
  2. Przeprowadź serie testów penetracyjnych systemu wskazanego przez prowadzących.
  3. Wyszukaj i wskaż słabości systemu widoczne od wewnątrz (z punktu widzenia zwykłego użytkownika).
  4. Sprawdź dokument polityki bezpieczeństwa i jego zgodność z rzeczywistością.
  5. Przygotuj raport z audytu, który będzie zawierał zalecenia w jaki sposób wyeliminować zaobserwowane słabości.

2015-09-23 06:44