audity a penetračné testovanie základné predpoklady ... · 4/3/2019  · • information...

Audity a penetračné testovanieZákladné predpoklady kybernetickej bezpečnosti

Ján Jablonský

Jan.jablonsky@alef.com

Rozdelenie IT a OT systémov

CIA (IT) vs. AIC (OT)

C = Confidentiality

I = Integrity

A = Availability

Next generation

4

Prečo audit, prečo pentest?

Sofistikovanejšie

hrozby a útoky na

systémy, zvýšené

nároky na bezpečnosť

a ochranu aktív

spoločnosti vyžadujú

komplexnejší prístup.

Komplexnosť

požiadaviek na

implementáciu IT

riešení pre potreby

rozvoja business.

6

Audit kybernetickej bezpečnosti

Legislatívny pohľad

Zákon č. 69/2018 Z.z. o

kybernetickej bezpečnosti

§29 – Audit

Vyhláška č. 362/2018 Z.z. Národného bezpečnostného

úradu ktorou sa ustanovuje obsah bezpečnostných

opatrení, obsah a štruktúra bezpečnostnej dokumentácie

a rozsah všeobecných bezpečnostných opatrení

§2 – Obsah a štruktúra bezpečnostnej dokumentácie

d) vykonanú analýzu rizík kybernetickej bezpečnosti,

e) záverečnú správu o výsledkoch auditu kybernetickej bezpečnosti

podľa § 29 zákona

8

• Nezávislé overenie bezpečnostného systému

• Zhodnotenie adekvátnosti implementovaných opatrení

• Štandardne kontrolovaný obsah, validita a dodržiavanie bezpečnostnej dokumentácie

• Realizácie na rôznych úrovniach technického detailu

Audit je základným

predpokladom pre

zistenie aktuálnych

zraniteľnosti a

vypracovania

analýzy rizík.

Audit kybernetickejbezpečnosti

Analýza rizík

Katalóg zraniteľnosti

Klasifikácia informácií

Bezpečnostné

politiky

Bezpečnostná

stratégia

10

Pentest predĺžená ruka bezpečnosti

Metoda hodnotenia

zabezpečenia počítačových

zariadení, systémov a

aplikácií. Vykonáva sa

testovaním, simulovaním

možných útokov na daný

systém ako z externého tak

z interného prostredia

1. Webové a mobilné

aplikácie

2. IT infraštruktúra

3. Social engineering

4. Špeciálne

1. White-Box

Kategorizácia penetračných testov

2. Black-Box

3. Grey-Box

1. Transparentné

testovanie

2. Utajené testovanie

Metodika pre penetračné testovanie

• OWASP Testing Guide (OTG)

• Open Source Security Testing Methodology Manual (OSSTMM)

• Information Systems Security Assessment Framework (ISSAF)

• Penetration Testing Execution Standard (PTES)

• NIST SP 800-115

Vulnerability assessment v OT

• OT = Vysoká citlivosť na Dostupnosť

• Zistenie aktuálneho stavu systémov

• Zistenie zraniteľností v danom systéme

• Zisťuje sa prístup operátorov k OT systémov

• Porovnanie systému voči medzinárodných štandardov (ISA/IEC 62 443)

• Návrh riešení na odstránenie zraniteľností

Prečo chcem pentest alebo vulnerability assessment v OT?

Určenie, ako efektívne dokáže cieľový systém odolávať reálnym útokom

identifikáciu možných dodatočných protiopatrení, ktoré môžu prispieť ku zníženiu hrozieb

určenie miery pravdepodobnosti, akou sofistikovaný útočník dokáže úspešne kompromitovať systém

overenie schopnosti organizácie včas detegovať útok a vhodným spôsobom reagovať

Overenie kvality dodávaných služieb pri upgrade aplikácií a infraštruktúry

Overenie úrovne bezpečnostného povedomia u zamestnancov

Review zdrojového kódu – v prípade individuálnych požiadaviek klienta

Požiadavky na dodávateľa

• Skúsenosti a kvalifikácia

• Audity/Vulnerability management/Penetrační testy obecne

• Rovnaký typ auditu/ penetračných testov

• Certifikácie realizačného tímu

• Dokumentácia

• Typový výstup

17

Špecifická komplexnosť auditu a penetračného testovania si

vyžaduje individuálny prístup a skúsenosti.

Ďakujem za pozornosť