Ce diaporama a bien été signalé.
Nous utilisons votre profil LinkedIn et vos données d’activité pour vous proposer des publicités personnalisées et pertinentes. Vous pouvez changer vos préférences de publicités à tout moment.
Mapowanie wiedzy pentestera na
potrzeby ochrony krytycznej
infrastruktury IT.
(Open Source Defensive Security)
Leszek Miś
...
# Leszek Miś
● IT Security Architect @ Defensive-Security
● Offensive Security Certified Professional
● RHCA/RHCSS/RHCX/Se...
Agenda
● IT / Cyber Security to ogromny obszar
● X wymiarów dążenia do doskonałości → obszary techniczne
● Wielowarstwowoś...
IT Security to obszar ogromny
● OWASP Open Cyber Security Framework
IT Security to obszar ogromny
● Security Strategy Roadmap
● Risk Management
● Vulnerability Management
● Security Controls...
X wymiarów dążenia do
doskonałości
Obszary techniczne
– System operacyjny →
– utwardzony kernel →
● utwardzona kompilacja
VS.
– 0-day, privilege escalation, ...
Obszary techniczne
– System operacyjny → usługi sieciowe →
– izolacja
– uprawnienia
– konfiguracja utwardzona
– bezpieczna...
Obszary techniczne
– System operacyjny → wirtualizacja →
– separacja uprawnień
– minimalizm implementacyjny
VS.
– Privileg...
Obszary techniczne
– System operacyjny → implementacja serwera HTTP →
– aplikacje webowe →
● konfiguracja utwardzona
● wir...
Obszary techniczne
– System operacyjny → bazy danych →
– konfiguracja utwardzona
– SQL Database Firewall
– uprawnienia
– d...
Obszary techniczne
– System operacyjny → użytkownik →
– centralne zarządzanie tożsamością i prawami
dostępu:
● IdM
● kontr...
Obszary techniczne
– System operacyjny →
– [*] →
● analiza behawioralna
● analiza zachowania usług i użytkowników
● analiz...
Obszary techiczne
– Sieć →
– dostęp →
● firewalle sieciowe/VLAN
● CDN
● konfiguracja urządzeń / proxy
● captive portals
VS...
Obszary techiczne
– Sieć →
– Analiza ruchu →
● Network IDS
● Network IPS
● WLAN IDS
● DLP
VS.
– Anomalia protokołowe, malw...
Obszary techiczne
– Sieć/system →
– intruz →
● honeypoty czyli tzw. pułapki:
● webowe
● systemowe
VS.
– analiza działań in...
Obszary techniczne
– System operacyjny →
– zarządzanie zdarzeniami →
● analiza logów
● kontrola integralności
● systemy ty...
Człowiek jako jednostka
– Człowiek →
● Szkolenia miękkie
● Programy antyphishingowe
Wielowarstwowość vs. ograniczenia
– Przenikliwość zespołowa
– Bezpieczeństwo jako wspólny mianownik zespołowości
– Okresow...
Budowanie świadomości
Oferta Defensive Security
– Edukacja w postaci ochrona vs atak (500+ przeszkolonych osób):
● „Open Source Defensive Securi...
Dziękuję za uwagę,
zapraszam do kontaktu.
http://defensive-security.com
Leszek Miś
leszek.mis@defensive-security.com
Prochain SlideShare
Chargement dans…5
×

Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT - Open Source Defensive Security

450 vues

Publié le

Prezentacja z konferencji BIN Gigacon 2015 - Warszawa, 23-24.09.2015r.

Publié dans : Technologie
  • Soyez le premier à commenter

Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT - Open Source Defensive Security

  1. 1. Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT. (Open Source Defensive Security) Leszek Miś leszek.mis@defensive-security.com
  2. 2. # Leszek Miś ● IT Security Architect @ Defensive-Security ● Offensive Security Certified Professional ● RHCA/RHCSS/RHCX/Sec+ ● CISSP in progress ● Członek ISSA/OWASP Poland ● Skupiam się głównie na: – Linux Security – Web Application Security – Penetration testing – Hardened IT Infrastructure (SSO/IdM/IDS) – Virtualization/Cloud – Linux forensics
  3. 3. Agenda ● IT / Cyber Security to ogromny obszar ● X wymiarów dążenia do doskonałości → obszary techniczne ● Wielowarstwowość vs ograniczenia ● Budowanie świadomości ● Wykwalifikowana kadra ● Defensive Security
  4. 4. IT Security to obszar ogromny ● OWASP Open Cyber Security Framework
  5. 5. IT Security to obszar ogromny ● Security Strategy Roadmap ● Risk Management ● Vulnerability Management ● Security Controls ● Arsenal ● Incident Response Management ● Data Loss Prevention ● Education & Training ● Business Continuity & Disaster Recovery ● Application & System Security ● Penetration Tests
  6. 6. X wymiarów dążenia do doskonałości
  7. 7. Obszary techniczne – System operacyjny → – utwardzony kernel → ● utwardzona kompilacja VS. – 0-day, privilege escalation, local root exploits, code execution, memory corruption, protection bypass, syscall filtering problems, race conditions
  8. 8. Obszary techniczne – System operacyjny → usługi sieciowe → – izolacja – uprawnienia – konfiguracja utwardzona – bezpieczna transmisja VS. – 0-day, remote exploits, sniffing, spoofing, MiTM, information gathering/enumeration, DOS, brute-force, restriction bypass, bind/reverse shells
  9. 9. Obszary techniczne – System operacyjny → wirtualizacja → – separacja uprawnień – minimalizm implementacyjny VS. – Privilege escalation, code execution, VM Guest to Host escaping, DOS, MiTM, arbitrary file writing-reading,
  10. 10. Obszary techniczne – System operacyjny → implementacja serwera HTTP → – aplikacje webowe → ● konfiguracja utwardzona ● wirtualne patchowanie ● firewall aplikacyjny WAF ● dobre praktyki / SDLC VS. – SQLi, XSS, CSRF, LFI/RFI, directory traversal, command execution, weak passwords, brute-force, session stealing
  11. 11. Obszary techniczne – System operacyjny → bazy danych → – konfiguracja utwardzona – SQL Database Firewall – uprawnienia – dobre praktyki VS. – Unrestricted DB access, network BF, info gathering, all DB privileges, 0-day exploit, command execution
  12. 12. Obszary techniczne – System operacyjny → użytkownik → – centralne zarządzanie tożsamością i prawami dostępu: ● IdM ● kontroler domeny linuksowej VS. – Brak spójności haseł i dostępów – Problem rozliczalności – „Do jakich systemów Kowalski znał hasło roota?”
  13. 13. Obszary techniczne – System operacyjny → – [*] → ● analiza behawioralna ● analiza zachowania usług i użytkowników ● analiza pamięci ● live patching VS. – 0 day attacks, malware, rootkits, backdoors, hidden channels, updating vs reboot, passwords
  14. 14. Obszary techiczne – Sieć → – dostęp → ● firewalle sieciowe/VLAN ● CDN ● konfiguracja urządzeń / proxy ● captive portals VS. – DOS, DDOS, pivoting, tunneling, bind/reverse shell, session hiding, sniffing, spoofing, unrestricted access, brute-force, panel admin access, guest WIFI access
  15. 15. Obszary techiczne – Sieć → – Analiza ruchu → ● Network IDS ● Network IPS ● WLAN IDS ● DLP VS. – Anomalia protokołowe, malware, fakeAP, unrestricted access to ports, data leakage, hidden data channels
  16. 16. Obszary techiczne – Sieć/system → – intruz → ● honeypoty czyli tzw. pułapki: ● webowe ● systemowe VS. – analiza działań intruza, tips&tricks, komunikacja C&C, malware, 0-day, zmarnowanie czasu atakującego, security by obscurity,
  17. 17. Obszary techniczne – System operacyjny → – zarządzanie zdarzeniami → ● analiza logów ● kontrola integralności ● systemy typu SIEM / zespoły typu SOC VS. – ukrywanie się, backdoor, rootkit, brute-force, data modifying, money laundry, log tampering, rozliczalność, attack scope
  18. 18. Człowiek jako jednostka – Człowiek → ● Szkolenia miękkie ● Programy antyphishingowe
  19. 19. Wielowarstwowość vs. ograniczenia – Przenikliwość zespołowa – Bezpieczeństwo jako wspólny mianownik zespołowości – Okresowe przekazywanie wiedzy pomiędzy zespołami dev+security+admin
  20. 20. Budowanie świadomości
  21. 21. Oferta Defensive Security – Edukacja w postaci ochrona vs atak (500+ przeszkolonych osób): ● „Open Source Defensive Security”: – http://defensive-security.com/agenda-3/ – Jedyny tak szczegółowy warsztat w Polsce z bezpieczeństwa Open Source – Analiza poziomu bezpieczeństwa aplikacji i usług - testy penetracyjne i audyty bezpieczeństwa – Konsultacje i wdrożenia korporacyjnych rozwiązań Open Source z zakresu bezpieczeństwa i infrastruktury IT
  22. 22. Dziękuję za uwagę, zapraszam do kontaktu. http://defensive-security.com Leszek Miś leszek.mis@defensive-security.com

×