Анализ информационной безопасности сети предприятия

Февраль 15, 2021

Главная
Разное
Анализ информационной безопасности сети предприятия

Содержание

2. Содержание Планирование анализа сетевой безопасности Сбор информации об организации Тест на проникновение Учебный пример: анализ сетевой
3. Планирование анализа сетевой безопасности Планирование анализа сетевой безопасности Сбор информации об организации Тест на проникновение Учебный
4. Почему взламывают сети? Сетевая безопасность может подвести по нескольким причинам: Человеческий фактор Нарушения политик и распоряжений
5. Что такое многоуровневая защита? Использование многоуровневого подхода: Повышает риск обнаружения для взломщика Снижает шансы взломщика на
6. Для чего выполнять анализ безопасности? Анализ безопасности может: Ответить на вопросы “Защищена ли наша сеть?” и
7. Планирование анализа безопасности
8. Определение диапазона анализа безопасности
9. Определение целей анализа безопасности
10. Типы анализа безопасности Сканирование уязвимостей: Нацелено на известные недостатки Может быть автоматизировано Требует минимальной обработки экспертами
11. Использование сканирования уязвимостей для анализа сетевой безопасности Разработка процесса сканирования: Определение уязвимостей Присвоение уровня риска обнаруженным
12. Использование тестового проникновения для анализа сетевой защищенности Шаги для успешного тестового проникновения: Определите наиболее вероятные действия
13. Понимание компонентов аудита IT- безопасности Процессы Технологии Реализация Документирование Операции Начните с политик Создайте процессы Примените
14. Реализация аудита IT-безопасности Сравнение областей Политика безопасности Документирование процедур Операции Что Вы должны делать Что Вы
15. Отчет об анализе безопасности Объедините информацию в отчете по следующему шаблону: Определите уязвимости Документируйте планы исправлений
16. Сбор информации об организации Планирование анализа сетевой безопасности Сбор информации об организации Тестовое проникновение Учебный пример:
17. Что такое неагрессивная атака? Примеры неагрессивных атак: Информационная разведка Сканирование портов Получение информации об узле на
18. Техника информационной разведки Основные типы информации, разыскиваемой атакующими: Конфигурация системы Действующие учетные записи пользователей Контактная информация
19. Противодействие информационной разведке Предоставляйте для регистрации в Интернет только безусловно необходимую информацию Регулярно просматривайте корпоративный веб-сайт
20. Какая информация может быть получена из сканирования портов? Тонкости в сканировании портов: Медленное сканирование Сканирование одного
21. Противодействие сканированию портов Меры противодействия сканированию портов: Внедрение многоуровневой фильтрации трафика План на случай компрометации или
22. Какая информация может быть собрана об удаленном узле? Типы информации, которая может быть собрана с использованием
23. Защита информации о конфигурации сетевого узла
24. Тестовое проникновение Планирование анализа сетевой безопасности Сбор информации об организации Тестовое проникновение Учебный пример: анализ сетевой
25. Что такое тестовое проникновение? Примеры методов тестового проникновения: Автоматическое сканирование уязвимостей Атаки на пароли Атаки на
26. Что такое автоматическое сканирование уязвимостей? Сканирование уязвимостей производится с помощью утилит, автоматизирующих следующие задачи: Сбор баннеров
27. Что такое атаки на пароли? Два основных типа атак на пароли: Атаки «грубой силы» (прямой перебор)
28. Что такое атаки по типу «отказ в обслуживании»? Атаки на отказ в обслуживании могут быть разделены
29. Противодействие атакам на отказ в обслуживании
30. Понимание атак на приложения и базы данных Основные атаки на приложения и базы данных включают в
31. Что такое анализ сетевого трафика? Атакующий выполняет следующие действия: Компрометация узла Установка сетевого монитора Использование сетевого
32. Противодействие атакам сетевого анализа Чтобы снизить угрозу атак сетевого анализа, убедитесь в следующем: Используйте шифрование для
33. Как атакующие избегают обнаружения во время атаки Основные способы избежать обнаружения во время атаки: Переполнение или
34. Как атакующие избегают обнаружения после атаки Основные способы избежать обнаружения после осуществления атаки: Подмена системных файлов
35. Противодействие технологиям сокрытия от обнаружения
36. Учебный пример: анализ сетевой безопасности компании Northwind Traders Планирование анализа сетевой безопасности Сбор информации об организации
37. Описание учебного примера
38. Определение области оценки безопасности
39. Определение целей оценки безопасности
40. Выбор программ и утилит Следующие утилиты будут использованы для оценки безопасности в Northwind Traders: Microsoft Security
41. Демонстрация: Выполнение анализа безопасности Выполнение сканирования портов с помощью Portqry.exe Использование KB824146Scan.exe для сканирования на уязвимости
42. Отчет о результатах исследования Ответьте на следующие вопросы, чтобы закончить отчет: Какой риск представляют собой уязвимости?
43. Итоги Планируйте анализ безопасности, определяйте диапазон анализа и его и цели Предоставляйте для публикации на сайте
44. Пример: Microsoft IT Окружение Несанкционированный доступ 56000 постоянных сотрудников, 7000 временных, 28000 внешних исполнителей 400 офисов
45. Пример: Microsoft IT Полезные советы Все записывайте Создайте сильную команду Открывайте новые таланты Оценивайте эффективность работы
46. Что дальше? Узнайте о семинарах по безопасности: http://www.microsoft.com/seminar/events/security.mspx Подпишитесь на рассылку по безопасности: http://www.microsoft.com/technet/security/signup/default.mspx Security Risk
48. Скачать презентацию

Содержание
Планирование анализа сетевой безопасности
Сбор информации об организации
Тест на проникновение
Учебный пример: анализ сетевой

безопасности компании Northwind Traders

Планирование анализа сетевой безопасности
Планирование анализа сетевой безопасности
Сбор информации об организации
Тест на проникновение
Учебный

пример: анализ сетевой безопасности компании Northwind Traders

Почему взламывают сети?
Сетевая безопасность может подвести по нескольким причинам:
Человеческий фактор
Нарушения политик

и распоряжений
Неправильная настройка программного и аппаратного обеспечения
Незнание собственной сети
Некомпетентность
Несвоевременная установка обновлений

Что такое многоуровневая защита?
Использование многоуровневого подхода:
Повышает риск обнаружения для взломщика
Снижает шансы взломщика

на успех

Для чего выполнять анализ безопасности?
Анализ безопасности может:
Ответить на вопросы “Защищена ли наша

сеть?” и “Как нам узнать, защищена ли наша сеть?”
Обеспечить рекомендациями, которые помогут улучшить защиту
Обнаружить ошибки в настройке или отсутствующие обновления безопасности
Обнаружить неожиданные уязвимости в защите организации
Удостоверить в соответствии государственным предписаниям

Слайд 7

Планирование анализа безопасности

Слайд 8

Определение диапазона анализа безопасности

Слайд 9

Определение целей анализа безопасности

Слайд 10

Типы анализа безопасности
Сканирование уязвимостей:
Нацелено на известные недостатки
Может быть автоматизировано
Требует минимальной обработки экспертами

Слайд 11

Использование сканирования уязвимостей для анализа сетевой безопасности
Разработка процесса сканирования:
Определение уязвимостей
Присвоение уровня риска

обнаруженным уязвимостям
Определение уязвимостей, которые не были устранены
Определение временного графика улучшения защищенности

Слайд 12

Использование тестового проникновения для анализа сетевой защищенности
Шаги для успешного тестового проникновения:
Определите наиболее

вероятные действия взломщика сети или приложения

Определите, как атакующий может использовать уязвимость

Найдите ресурсы, к которым есть доступ на чтение, модификацию или удаление

Найдите недостатки в защите сети или приложения

Определите, была ли обнаружена атака

Определите сигнатуры и характеристики атаки

Дайте рекомендации

Слайд 13

Понимание компонентов аудита IT- безопасности
Процессы
Технологии
Реализация
Документирование
Операции
Начните с политик
Создайте процессы
Примените технологии
Модель политики безопасности
Политики

Слайд 14

Реализация аудита IT-безопасности
Сравнение областей
Политика безопасности
Документирование процедур
Операции
Что Вы должны делать
Что Вы говорите,

что Вы делаете

Что Вы делаете на самом деле

Слайд 15

Отчет об анализе безопасности
Объедините информацию в отчете по следующему шаблону:
Определите уязвимости
Документируйте планы

исправлений
Определите, где должны произойти изменения
Назначьте ответственных за реализацию принятых рекомендаций
Порекомендуйте время следующего анализа безопасности

Слайд 16

Сбор информации об организации
Планирование анализа сетевой безопасности
Сбор информации об организации
Тестовое проникновение
Учебный пример:

анализ сетевой безопасности компании Northwind Traders

Слайд 17

Что такое неагрессивная атака?
Примеры неагрессивных атак:
Информационная разведка
Сканирование портов
Получение информации об узле на

основе сигнатур
Обнаружение сетей и узлов

Неагрессивная атака: сбор информации о сети предприятия из открытых источников, для подготовки к последующей проникающей атаке

Слайд 18

Техника информационной разведки
Основные типы информации, разыскиваемой атакующими:
Конфигурация системы
Действующие учетные записи пользователей
Контактная информация
Ресурсы

экстранет и сервера удаленного доступа
Бизнес-партнеры, слияния и поглощения

Слайд 19

Противодействие информационной разведке
Предоставляйте для регистрации в Интернет только безусловно необходимую информацию
Регулярно просматривайте

корпоративный веб-сайт в поисках конфиденциальной информации

Издайте распоряжение, регламентирующее правила пользования открытыми форумами

Для публикации на веб и регистрации используйте адреса электронной почты, основанные на должностных функциях

✔

Слайд 20

Какая информация может быть получена из сканирования портов?
Тонкости в сканировании портов:
Медленное сканирование
Сканирование

одного и того же порта с разных узлов
Распределенное сканирование с разных хостов (оптимально из разных сетей)

Обычно, результаты сканирования содержат:

Список «прослушиваемых» («открытых») портов
Список портов, обрывающих соединения
Список портов, подключение к которым не было установлено по таймауту

Слайд 21

Противодействие сканированию портов
Меры противодействия сканированию портов:
Внедрение многоуровневой фильтрации трафика
План на случай компрометации

или сбоев

Запуск только необходимых служб

Внедрение системы обнаружения вторжений

✔

Публикация сервисов только через МСЭ

✔

Слайд 22

Какая информация может быть собрана об удаленном узле?
Типы информации, которая может быть

собрана с использованием технологии сигнатур:

Реализация IP и ICMP
Ответы TCP
Открытые порты
Баннеры
Поведение служб
Запросы удаленной операционной системы

Слайд 23

Защита информации о конфигурации сетевого узла

Слайд 24

Тестовое проникновение
Планирование анализа сетевой безопасности
Сбор информации об организации
Тестовое проникновение
Учебный пример: анализ сетевой

безопасности компании Northwind Traders

Слайд 25

Что такое тестовое проникновение?
Примеры методов тестового проникновения:
Автоматическое сканирование уязвимостей
Атаки на пароли
Атаки на

отказ в обслуживании
Атаки на приложения и базы данных
Сетевой анализ («вынюхивание», sniffing)

Взлом (атака, проникновение): Выполнение определенных действий, которые приводят к компрометации информации, снижению устойчивости или доступности системы

Слайд 26

Что такое автоматическое сканирование уязвимостей?
Сканирование уязвимостей производится с помощью утилит, автоматизирующих следующие

задачи:

Сбор баннеров и сигнатур
Реализация уязвимости
Тестирование на основе косвенных данных
Определение установленных обновлений

Слайд 27

Что такое атаки на пароли?
Два основных типа атак на пароли:
Атаки «грубой силы»

(прямой перебор)
Обнаружение сохраненных паролей

Слайд 28

Что такое атаки по типу «отказ в обслуживании»?
Атаки на отказ в обслуживании

могут быть разделены на 3 категории:

Флуд
Атаки на истощение ресурсов
Сбой службы

Атаки «отказ в обслуживании» (DoS): Любая попытка действий, которые могут привести к выходу из строя системы, и нарушению ее нормального функционирования

Примечание: Атаки на отказ в обслуживании не должны запускаться против Вашей собственной работающей сети

Слайд 29

Противодействие атакам на отказ в обслуживании

Слайд 30

Понимание атак на приложения и базы данных
Основные атаки на приложения и базы

данных включают в себя:

Переполнения буфера:

Пишите приложения с управляемым кодом

Атаки внедрения SQL:

Проверяйте ввод на корректность размера и типа

Слайд 31

Что такое анализ сетевого трафика?
Атакующий выполняет следующие действия:
Компрометация узла
Установка сетевого монитора
Использование сетевого

анализатора для захвата передаваемой по сети конфиденциальной информации (н-р, сетевые учетные данные)
Использование полученных учетных данных для компрометации других узлов

Анализ сетевого трафика (sniffing): возможность атакующего прослушать коммуникации между сетевыми узлами

Слайд 32

Противодействие атакам сетевого анализа
Чтобы снизить угрозу атак сетевого анализа, убедитесь в следующем:

Используйте шифрование для защиты данных
Используйте коммутаторы вместо концентраторов
Защитите основные сетевые устройства
Используйте crossover-кабели
Запретите использование сетевых анализаторов
Выполняйте регулярное сканирование

Слайд 33

Как атакующие избегают обнаружения во время атаки
Основные способы избежать обнаружения во время

атаки:

Переполнение или замусоривание файлов журналов
Нарушение работоспособности служб записи событий
Атаки на систему обнаружения вторжений
Атаки со сменой представления
Отправка фальшивых пакетов

Слайд 34

Как атакующие избегают обнаружения после атаки
Основные способы избежать обнаружения после осуществления атаки:

Подмена системных файлов (установка руткитов)
Подчистка журналов

Слайд 35

Противодействие технологиям сокрытия от обнаружения

Слайд 36

Учебный пример: анализ сетевой безопасности компании Northwind Traders
Планирование анализа сетевой безопасности
Сбор информации

об организации
Тестовое проникновение
Учебный пример: анализ сетевой безопасности компании Northwind Traders

Слайд 37

Описание учебного примера

Слайд 38

Определение области оценки безопасности

Слайд 39

Определение целей оценки безопасности

Слайд 40

Выбор программ и утилит
Следующие утилиты будут использованы для оценки безопасности в Northwind

Traders:

Microsoft Security Risk Assessment Utility
Microsoft Baseline Security Analyzer
KB824146SCAN.exe
Portqry.exe
Проверка вручную на уязвимость переполнения буфера
Проверка вручную на наличие уязвимости внедрения SQL

Слайд 41

Демонстрация: Выполнение анализа безопасности
Выполнение сканирования портов с помощью Portqry.exe
Использование KB824146Scan.exe для сканирования

на уязвимости
Определение уязвимостей переполнения буфера
Определение уязвимостей внедрения SQL
Использование Microsoft Baseline Security Analyzer для сканирования уязвимостей

Слайд 42

Отчет о результатах исследования
Ответьте на следующие вопросы, чтобы закончить отчет:
Какой риск

представляют собой уязвимости?
В чем причина уязвимости?
Каково потенциальное воздействие уязвимости?
Какова вероятность того, что уязвимость будет использована для взлома?
Что нужно сделать, чтобы устранить уязвимость?
Если возможно, дайте несколько вариантов
Как временно устранить уязвимость?
Кто отвечает за устранение уязвимости?

Слайд 43

Итоги
Планируйте анализ безопасности, определяйте диапазон анализа и его и цели
Предоставляйте для публикации

на сайте и для регистрации в Интернет только безусловно необходимые данные

Потребуйте от пользователей использовать сложные пароли, и обучите их «парольным фразам»

Предположите, что атакующий точно знает версию операционной системы, и предпримите все действия для защиты системы

✔

Устанавливайте последние обновления безопасности и пакеты обновлений

✔

Слайд 44

Пример: Microsoft IT
Окружение
Несанкционированный доступ
56000 постоянных сотрудников, 7000 временных, 28000 внешних исполнителей
400 офисов

по всему миру

100000 попыток взлома ежемесячно
150000 зараженных писем

Слайд 45

Пример: Microsoft IT
Полезные советы
Все записывайте
Создайте сильную команду
Открывайте новые таланты
Оценивайте эффективность работы команды

и ее участников
Применяйте отраслевые стандарты и общепринятые методы

Слайд 46

Что дальше?
Узнайте о семинарах по безопасности:
http://www.microsoft.com/seminar/events/security.mspx
Подпишитесь на рассылку по безопасности:
http://www.microsoft.com/technet/security/signup/default.mspx
Security Risk Self-assesment

Tool
http://www.securityguidance.com
Пройдите on-line обучение
https://www.microsoftelearning.com/security/
http://www.microsoft.com/technet/
traincert/virtuallab/security.mspx
Книга «Assessing Network Security by Kevin Lam, David LeBlanc, and Ben Smith»
http://www.microsoft.com/mspress/books/6788.asp

Анализ информационной безопасности сети предприятия

Содержание

СодержаниеПланирование анализа сетевой безопасностиСбор информации об организацииТест на проникновениеУчебный пример: анализ сетевой

Планирование анализа сетевой безопасностиПланирование анализа сетевой безопасностиСбор информации об организацииТест на проникновениеУчебный

Почему взламывают сети?Сетевая безопасность может подвести по нескольким причинам:Человеческий факторНарушения политик

Что такое многоуровневая защита?Использование многоуровневого подхода:Повышает риск обнаружения для взломщикаСнижает шансы взломщика

Для чего выполнять анализ безопасности?Анализ безопасности может:Ответить на вопросы “Защищена ли наша

Планирование анализа безопасности

Определение диапазона анализа безопасности

Определение целей анализа безопасности

Типы анализа безопасностиСканирование уязвимостей:Нацелено на известные недостаткиМожет быть автоматизированоТребует минимальной обработки экспертами

Использование сканирования уязвимостей для анализа сетевой безопасностиРазработка процесса сканирования:Определение уязвимостейПрисвоение уровня риска

Использование тестового проникновения для анализа сетевой защищенностиШаги для успешного тестового проникновения:Определите наиболее

Реализация аудита IT-безопасностиСравнение областейПолитика безопасностиДокументирование процедурОперацииЧто Вы должны делатьЧто Вы говорите,

Отчет об анализе безопасностиОбъедините информацию в отчете по следующему шаблону:Определите уязвимостиДокументируйте планы

Сбор информации об организацииПланирование анализа сетевой безопасностиСбор информации об организацииТестовое проникновениеУчебный пример:

Что такое неагрессивная атака?Примеры неагрессивных атак:Информационная разведкаСканирование портовПолучение информации об узле на

Противодействие информационной разведкеПредоставляйте для регистрации в Интернет только безусловно необходимую информациюРегулярно просматривайте

Какая информация может быть получена из сканирования портов?Тонкости в сканировании портов:Медленное сканированиеСканирование

Противодействие сканированию портовМеры противодействия сканированию портов:Внедрение многоуровневой фильтрации трафикаПлан на случай компрометации

Какая информация может быть собрана об удаленном узле?Типы информации, которая может быть

Защита информации о конфигурации сетевого узла

Тестовое проникновениеПланирование анализа сетевой безопасностиСбор информации об организацииТестовое проникновениеУчебный пример: анализ сетевой

Что такое тестовое проникновение?Примеры методов тестового проникновения:Автоматическое сканирование уязвимостейАтаки на паролиАтаки на

Что такое автоматическое сканирование уязвимостей?Сканирование уязвимостей производится с помощью утилит, автоматизирующих следующие

Что такое атаки на пароли?Два основных типа атак на пароли:Атаки «грубой силы»

Что такое атаки по типу «отказ в обслуживании»?Атаки на отказ в обслуживании