Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PHDays 8
1. «Технические тонкости и особенности
проведения аудита безопасности
корпоративной ИТ-инфраструктуры»
Спикер:
Иван Пискунов
15 - 16 мая 2018
Москва
2. Главные проблемы проведения тех аудита ИБ
1. Объем
• какие ИТ-системы?
• какой объем выборки?
• учтены требования compliance?
• включены ли пожелания заказчика?
2. Сроки
• сбор информации, чтение документации, проведение интервью
• тех тестирование ИТ-систем
• анализпарсинг результатов тестирования
• оформление отчета и аудиторского заключения
3. Документирование
• журнал тех тестов
• журнал proof’ов
• итоговое заключение и тех отчет
4. Типовые задачи аудита ИБ Windows и Linux
систем (список контролей)
ПРИМЕР ТИПОВЫХ КОНТРОЛЕЙ:
• длина и сложность пароля
• наличие обновлений ОС и ПО
• список административных учеток
• задачи резервного копирования
• выполнение автоматических заданий
• права доступа к сетевым ресурсам
5. Какие инструменты использовать для аудита?
Сложная
архитектура?
«Зоопарк» систем?
Дорого?
Ограничения лицензии?
Несовместимость
форматов?
6. #Кейс 1. Windows (13)
CHECK:
Парольная политика + Список всех пользователей домена
TASK:
1. Выгрузка все пользователей домена (Excel, Txt)
2. Поиск учетных записей с истекшим паролем
3. Поиск учетных записей с «неограниченным» паролем
4. Поиск учетных записей с пустым паролем
TOOLS:
1. Скрипт power shell
9. #Кейс 2. Windows
CHECK:
Активные учетные записи уволенных сотрудников
TASK:
1. Выгрузка все пользователей домена (Excel, Txt)
2. Выгрузка всех пользователей из 1С:ЗУиП или SAP HM
3. Поиск активных учетных записей уволенных сотрудников в AD
путем сопоставления User AD и User 1С:ЗУиПSAP HM
TOOLS:
1. Функция «ВПР» в таблицах Excel
10. #Кейс 3. Windows (12)
Microsoft Baseline Security Analyzer (MBSA) - продукт фирмы Shavlik
Technologies, приобретенный и доработанный Microsoft для целей аудита
безопасности дек стопных и серверных систем Windows.
Список контролей:
11. #Кейс 3. Windows (22)
Можно просканировать все компьютеры домена запустив утилиту в режиме CLI:
C:%Username%>rnbsacli. ехе /hf
12. #Кейс 4. Linux
CHECK:
Комплексная безопасность Linux сервера (ISACA Security Audit/Assurance Program)
TASK:
1. защита GRUB;
2. учетные записи пользователей;
3. парольная политика;
4. удаленное подключение к серверу;
5. настройки сети;
6. журналы регистрации событий.
7. анализ управления доступом,
8. анализ прав пользователей,
9. поиск не безопасной конфигурации и т.д.
TOOLS:
1. Скрипты BASH + core utils
13. #Кейс 5. Linux
Lynis – утилита в режиме CLI для аудита Linux и Unix-систем. Cканирует
опции безопасности и определяет состояние защищенности (hardening state)
машины
14. #Кейс 6. Linux (12)
LBSA (Linux Basic Security Audit script) - это базовый скрипт аудита
конфигурации безопасности Linux-систем. Скрипт должен в идеале
запускаться по расписанию для систематической проверки изменений
конфигурации. Целью скрипта является экспресс аудит настроек
безопасности и выгрузка отчета.
16. PROFIT
1. Тест большого количества ИТ-систем за приемлемое время
2. Проверка всех базовых контролей (80% всех compliance
checklist )
3. Импорт данных в журналы без конвертации или доработки
4. Прозрачность процедуры тестирования и гарантированный
уровень результата
5. Экономия N-суммы бюджета на сертифицированное и
проприетарное ПО
6. Автоматизация типовых рутинных задач аудита ИБ
17. На что еще стоит обратить внимание?
1. Экспертная оценка имеет приоритетное значение
2. Compliance оценка при подготовке к сертификации
3. Срез текущего уровня безопасности ИТ-систем
4. Журнал proof’ов для третьих лиц
18. Контакты
Пискунов Иван | Ivan Piskunov
CEH, CCNA, MCSA, IT Auditor
www.ipiskunov.blogspot.com
iv.piskunov@mail.ru
@audit2sec #whoami
@w2hack
18