Анализ информационной безопасности сети предприятия

Содержание

Слайд 2

Содержание

Планирование анализа сетевой безопасности
Сбор информации об организации
Тест на проникновение
Учебный пример: анализ сетевой

Содержание Планирование анализа сетевой безопасности Сбор информации об организации Тест на проникновение
безопасности компании Northwind Traders

Слайд 3

Планирование анализа сетевой безопасности

Планирование анализа сетевой безопасности
Сбор информации об организации
Тест на проникновение
Учебный

Планирование анализа сетевой безопасности Планирование анализа сетевой безопасности Сбор информации об организации
пример: анализ сетевой безопасности компании Northwind Traders

Слайд 4

Почему взламывают сети?

Сетевая безопасность может подвести по нескольким причинам:

Человеческий фактор
Нарушения политик

Почему взламывают сети? Сетевая безопасность может подвести по нескольким причинам: Человеческий фактор
и распоряжений
Неправильная настройка программного и аппаратного обеспечения
Незнание собственной сети
Некомпетентность
Несвоевременная установка обновлений

Слайд 5

Что такое многоуровневая защита?

Использование многоуровневого подхода:
Повышает риск обнаружения для взломщика
Снижает шансы взломщика

Что такое многоуровневая защита? Использование многоуровневого подхода: Повышает риск обнаружения для взломщика
на успех

Слайд 6

Для чего выполнять анализ безопасности?

Анализ безопасности может:

Ответить на вопросы “Защищена ли наша

Для чего выполнять анализ безопасности? Анализ безопасности может: Ответить на вопросы “Защищена
сеть?” и “Как нам узнать, защищена ли наша сеть?”
Обеспечить рекомендациями, которые помогут улучшить защиту
Обнаружить ошибки в настройке или отсутствующие обновления безопасности
Обнаружить неожиданные уязвимости в защите организации
Удостоверить в соответствии государственным предписаниям

Слайд 7

Планирование анализа безопасности

Планирование анализа безопасности

Слайд 8

Определение диапазона анализа безопасности

Определение диапазона анализа безопасности

Слайд 9

Определение целей анализа безопасности

Определение целей анализа безопасности

Слайд 10

Типы анализа безопасности

Сканирование уязвимостей:

Нацелено на известные недостатки
Может быть автоматизировано
Требует минимальной обработки экспертами

Типы анализа безопасности Сканирование уязвимостей: Нацелено на известные недостатки Может быть автоматизировано Требует минимальной обработки экспертами

Слайд 11

Использование сканирования уязвимостей для анализа сетевой безопасности

Разработка процесса сканирования:

Определение уязвимостей
Присвоение уровня риска

Использование сканирования уязвимостей для анализа сетевой безопасности Разработка процесса сканирования: Определение уязвимостей
обнаруженным уязвимостям
Определение уязвимостей, которые не были устранены
Определение временного графика улучшения защищенности

Слайд 12

Использование тестового проникновения для анализа сетевой защищенности

Шаги для успешного тестового проникновения:

Определите наиболее

Использование тестового проникновения для анализа сетевой защищенности Шаги для успешного тестового проникновения:
вероятные действия взломщика сети или приложения

1

Определите, как атакующий может использовать уязвимость

3

Найдите ресурсы, к которым есть доступ на чтение, модификацию или удаление

4

Найдите недостатки в защите сети или приложения

2

Определите, была ли обнаружена атака

5

Определите сигнатуры и характеристики атаки

6

Дайте рекомендации

7

Слайд 13

Понимание компонентов аудита IT- безопасности

Процессы

Технологии

Реализация

Документирование

Операции

Начните с политик
Создайте процессы
Примените технологии

Модель политики безопасности

Политики

Понимание компонентов аудита IT- безопасности Процессы Технологии Реализация Документирование Операции Начните с

Слайд 14

Реализация аудита IT-безопасности

Сравнение областей

Политика безопасности

Документирование процедур

Операции

Что Вы должны делать

Что Вы говорите,

Реализация аудита IT-безопасности Сравнение областей Политика безопасности Документирование процедур Операции Что Вы
что Вы делаете

Что Вы делаете на самом деле

Слайд 15

Отчет об анализе безопасности

Объедините информацию в отчете по следующему шаблону:

Определите уязвимости
Документируйте планы

Отчет об анализе безопасности Объедините информацию в отчете по следующему шаблону: Определите
исправлений
Определите, где должны произойти изменения
Назначьте ответственных за реализацию принятых рекомендаций
Порекомендуйте время следующего анализа безопасности

Слайд 16

Сбор информации об организации

Планирование анализа сетевой безопасности
Сбор информации об организации
Тестовое проникновение
Учебный пример:

Сбор информации об организации Планирование анализа сетевой безопасности Сбор информации об организации
анализ сетевой безопасности компании Northwind Traders

Слайд 17

Что такое неагрессивная атака?

Примеры неагрессивных атак:

Информационная разведка
Сканирование портов
Получение информации об узле на

Что такое неагрессивная атака? Примеры неагрессивных атак: Информационная разведка Сканирование портов Получение
основе сигнатур
Обнаружение сетей и узлов

Неагрессивная атака: сбор информации о сети предприятия из открытых источников, для подготовки к последующей проникающей атаке

Слайд 18

Техника информационной разведки

Основные типы информации, разыскиваемой атакующими:

Конфигурация системы
Действующие учетные записи пользователей
Контактная информация
Ресурсы

Техника информационной разведки Основные типы информации, разыскиваемой атакующими: Конфигурация системы Действующие учетные
экстранет и сервера удаленного доступа
Бизнес-партнеры, слияния и поглощения

Слайд 19

Противодействие информационной разведке

Предоставляйте для регистрации в Интернет только безусловно необходимую информацию

Регулярно просматривайте

Противодействие информационной разведке Предоставляйте для регистрации в Интернет только безусловно необходимую информацию
корпоративный веб-сайт в поисках конфиденциальной информации

Издайте распоряжение, регламентирующее правила пользования открытыми форумами

Для публикации на веб и регистрации используйте адреса электронной почты, основанные на должностных функциях





Слайд 20

Какая информация может быть получена из сканирования портов?

Тонкости в сканировании портов:

Медленное сканирование
Сканирование

Какая информация может быть получена из сканирования портов? Тонкости в сканировании портов:
одного и того же порта с разных узлов
Распределенное сканирование с разных хостов (оптимально из разных сетей)

Обычно, результаты сканирования содержат:

Список «прослушиваемых» («открытых») портов
Список портов, обрывающих соединения
Список портов, подключение к которым не было установлено по таймауту

Слайд 21

Противодействие сканированию портов

Меры противодействия сканированию портов:

Внедрение многоуровневой фильтрации трафика

План на случай компрометации

Противодействие сканированию портов Меры противодействия сканированию портов: Внедрение многоуровневой фильтрации трафика План
или сбоев

Запуск только необходимых служб

Внедрение системы обнаружения вторжений





Публикация сервисов только через МСЭ


Слайд 22

Какая информация может быть собрана об удаленном узле?

Типы информации, которая может быть

Какая информация может быть собрана об удаленном узле? Типы информации, которая может
собрана с использованием технологии сигнатур:

Реализация IP и ICMP
Ответы TCP
Открытые порты
Баннеры
Поведение служб
Запросы удаленной операционной системы

Слайд 23

Защита информации о конфигурации сетевого узла

Защита информации о конфигурации сетевого узла

Слайд 24

Тестовое проникновение

Планирование анализа сетевой безопасности
Сбор информации об организации
Тестовое проникновение
Учебный пример: анализ сетевой

Тестовое проникновение Планирование анализа сетевой безопасности Сбор информации об организации Тестовое проникновение
безопасности компании Northwind Traders

Слайд 25

Что такое тестовое проникновение?

Примеры методов тестового проникновения:

Автоматическое сканирование уязвимостей
Атаки на пароли
Атаки на

Что такое тестовое проникновение? Примеры методов тестового проникновения: Автоматическое сканирование уязвимостей Атаки
отказ в обслуживании
Атаки на приложения и базы данных
Сетевой анализ («вынюхивание», sniffing)

Взлом (атака, проникновение): Выполнение определенных действий, которые приводят к компрометации информации, снижению устойчивости или доступности системы

Слайд 26

Что такое автоматическое сканирование уязвимостей?

Сканирование уязвимостей производится с помощью утилит, автоматизирующих следующие

Что такое автоматическое сканирование уязвимостей? Сканирование уязвимостей производится с помощью утилит, автоматизирующих
задачи:

Сбор баннеров и сигнатур
Реализация уязвимости
Тестирование на основе косвенных данных
Определение установленных обновлений

Слайд 27

Что такое атаки на пароли?

Два основных типа атак на пароли:

Атаки «грубой силы»

Что такое атаки на пароли? Два основных типа атак на пароли: Атаки
(прямой перебор)
Обнаружение сохраненных паролей

Слайд 28

Что такое атаки по типу «отказ в обслуживании»?

Атаки на отказ в обслуживании

Что такое атаки по типу «отказ в обслуживании»? Атаки на отказ в
могут быть разделены на 3 категории:

Флуд
Атаки на истощение ресурсов
Сбой службы

Атаки «отказ в обслуживании» (DoS): Любая попытка действий, которые могут привести к выходу из строя системы, и нарушению ее нормального функционирования

Примечание: Атаки на отказ в обслуживании не должны запускаться против Вашей собственной работающей сети

Слайд 29

Противодействие атакам на отказ в обслуживании

Противодействие атакам на отказ в обслуживании

Слайд 30

Понимание атак на приложения и базы данных

Основные атаки на приложения и базы

Понимание атак на приложения и базы данных Основные атаки на приложения и
данных включают в себя:

Переполнения буфера:

Пишите приложения с управляемым кодом

Атаки внедрения SQL:

Проверяйте ввод на корректность размера и типа

Слайд 31

Что такое анализ сетевого трафика?

Атакующий выполняет следующие действия:

Компрометация узла
Установка сетевого монитора
Использование сетевого

Что такое анализ сетевого трафика? Атакующий выполняет следующие действия: Компрометация узла Установка
анализатора для захвата передаваемой по сети конфиденциальной информации (н-р, сетевые учетные данные)
Использование полученных учетных данных для компрометации других узлов

Анализ сетевого трафика (sniffing): возможность атакующего прослушать коммуникации между сетевыми узлами

1

2

3

4

Слайд 32

Противодействие атакам сетевого анализа

Чтобы снизить угрозу атак сетевого анализа, убедитесь в следующем:

Противодействие атакам сетевого анализа Чтобы снизить угрозу атак сетевого анализа, убедитесь в

Используйте шифрование для защиты данных
Используйте коммутаторы вместо концентраторов
Защитите основные сетевые устройства
Используйте crossover-кабели
Запретите использование сетевых анализаторов
Выполняйте регулярное сканирование

Слайд 33

Как атакующие избегают обнаружения во время атаки

Основные способы избежать обнаружения во время

Как атакующие избегают обнаружения во время атаки Основные способы избежать обнаружения во
атаки:

Переполнение или замусоривание файлов журналов
Нарушение работоспособности служб записи событий
Атаки на систему обнаружения вторжений
Атаки со сменой представления
Отправка фальшивых пакетов

Слайд 34

Как атакующие избегают обнаружения после атаки

Основные способы избежать обнаружения после осуществления атаки:

Как атакующие избегают обнаружения после атаки Основные способы избежать обнаружения после осуществления

Подмена системных файлов (установка руткитов)
Подчистка журналов

Слайд 35

Противодействие технологиям сокрытия от обнаружения

Противодействие технологиям сокрытия от обнаружения

Слайд 36

Учебный пример: анализ сетевой безопасности компании Northwind Traders

Планирование анализа сетевой безопасности
Сбор информации

Учебный пример: анализ сетевой безопасности компании Northwind Traders Планирование анализа сетевой безопасности
об организации
Тестовое проникновение
Учебный пример: анализ сетевой безопасности компании Northwind Traders

Слайд 37

Описание учебного примера

Описание учебного примера

Слайд 38

Определение области оценки безопасности

Определение области оценки безопасности

Слайд 39

Определение целей оценки безопасности

Определение целей оценки безопасности

Слайд 40

Выбор программ и утилит

Следующие утилиты будут использованы для оценки безопасности в Northwind

Выбор программ и утилит Следующие утилиты будут использованы для оценки безопасности в
Traders:

Microsoft Security Risk Assessment Utility
Microsoft Baseline Security Analyzer
KB824146SCAN.exe
Portqry.exe
Проверка вручную на уязвимость переполнения буфера
Проверка вручную на наличие уязвимости внедрения SQL

Слайд 41

Демонстрация: Выполнение анализа безопасности

Выполнение сканирования портов с помощью Portqry.exe
Использование KB824146Scan.exe для сканирования

Демонстрация: Выполнение анализа безопасности Выполнение сканирования портов с помощью Portqry.exe Использование KB824146Scan.exe
на уязвимости
Определение уязвимостей переполнения буфера
Определение уязвимостей внедрения SQL
Использование Microsoft Baseline Security Analyzer для сканирования уязвимостей

Слайд 42

Отчет о результатах исследования

Ответьте на следующие вопросы, чтобы закончить отчет:

Какой риск

Отчет о результатах исследования Ответьте на следующие вопросы, чтобы закончить отчет: Какой
представляют собой уязвимости?
В чем причина уязвимости?
Каково потенциальное воздействие уязвимости?
Какова вероятность того, что уязвимость будет использована для взлома?
Что нужно сделать, чтобы устранить уязвимость?
Если возможно, дайте несколько вариантов
Как временно устранить уязвимость?
Кто отвечает за устранение уязвимости?

Слайд 43

Итоги

Планируйте анализ безопасности, определяйте диапазон анализа и его и цели

Предоставляйте для публикации

Итоги Планируйте анализ безопасности, определяйте диапазон анализа и его и цели Предоставляйте
на сайте и для регистрации в Интернет только безусловно необходимые данные

Потребуйте от пользователей использовать сложные пароли, и обучите их «парольным фразам»

Предположите, что атакующий точно знает версию операционной системы, и предпримите все действия для защиты системы





Устанавливайте последние обновления безопасности и пакеты обновлений


Слайд 44

Пример: Microsoft IT

Окружение
Несанкционированный доступ

56000 постоянных сотрудников, 7000 временных, 28000 внешних исполнителей
400 офисов

Пример: Microsoft IT Окружение Несанкционированный доступ 56000 постоянных сотрудников, 7000 временных, 28000
по всему миру

100000 попыток взлома ежемесячно
150000 зараженных писем

Слайд 45

Пример: Microsoft IT

Полезные советы

Все записывайте
Создайте сильную команду
Открывайте новые таланты
Оценивайте эффективность работы команды

Пример: Microsoft IT Полезные советы Все записывайте Создайте сильную команду Открывайте новые
и ее участников
Применяйте отраслевые стандарты и общепринятые методы

Слайд 46

Что дальше?

Узнайте о семинарах по безопасности:
http://www.microsoft.com/seminar/events/security.mspx
Подпишитесь на рассылку по безопасности:
http://www.microsoft.com/technet/security/signup/default.mspx
Security Risk Self-assesment

Что дальше? Узнайте о семинарах по безопасности: http://www.microsoft.com/seminar/events/security.mspx Подпишитесь на рассылку по
Tool
http://www.securityguidance.com
Пройдите on-line обучение
https://www.microsoftelearning.com/security/
http://www.microsoft.com/technet/
traincert/virtuallab/security.mspx
Книга «Assessing Network Security by Kevin Lam, David LeBlanc, and Ben Smith»
http://www.microsoft.com/mspress/books/6788.asp
Имя файла: Анализ-информационной-безопасности-сети-предприятия.pptx
Количество просмотров: 172
Количество скачиваний: 0