Ломаем (и строим) вместе

Ломаем (и строим) вместе!

Дмитрий Евтеев (Positive Technologies)

О чем пойдет речь

MaxPatrol для консалтинга

Примеры использования MaxPatrol в консалтинговых проектах.

MaxPatrol для пентестов Тесты на проникновение, PCI ASV, анализ Web-

приложений, аудиты ИБ, анализ ERP-систем.

Настройки профиля сканирования, анализ результатов, подготовка отчетов.

MaxPatrol internals

Тестирование на проникновение (модуль PenTest)

• это комплекс мероприятий, направленных на оценку текущего состояния процессов обеспечения ИБ

• тестирование на преодоление защиты

• это один из методов проведения аудита ИБ

Оценка уровня защищенности (модуль Аудит)

• это комплекс мероприятий, направленных на оценку текущего состояния процессов обеспечения ИБ методикой «белого-ящика»

• анализ защищенности (технологический, организационный и т.д.)

Управление уровнем защищенности (модуль Compliance)

• это комплекс мероприятий, направленных на оценку уровня соответствия требованиям к обеспечению информационной безопасности (внутренняя политика ИБ, PCI DSS, стандарты серии ISO 2700x, Center of Internet Security (CIS) guides и тд.)

Модуль PenTest: сканер портов

Модуль PenTest: сканер уязвимостей

Примеры пентестов: обнаружение уязвимостей

Модуль PenTest: анализ веб-приложений

Анализ защищенности веб-приложений (fuzzing)

Web-сервер

Рабочее место аудитора

Проверка 1

Уязвимость 1: подбор пароляImpact: доступ к приложению (с ограниченными привилегиями)

Уязвимость 2: внедрение операторов SQLImpact: только чтение файлов (включена опция magic quotes)

Уязвимость 3: выход за каталогImpact: выполнение команд на сервере (LFI over /proc)

Проверка N

Найдена уязвимость

Примеры пентестов: что такое анализ веб-приложения методикой «черного ящика»

Модуль PenTest: настройка профиля сканирования веб-приложений

Модуль PenTest: тестирование новых приложений

Модуль PenTest: подбор паролей

Общепринятые

• admin:123456

• Administrator:P@ssw0rd

…

SAP

• (DIAG) SAP*: 06071992, PASS

манданты: 000, 001, 066, все новые

• (RFC) SAPCPIC: ADMIN

манданты:000, 001, 066, все новые

…

Oracle

• sys:manager

• sys:change_on_install

…

Cisco

• Cisco:Cisco

…

…

Примеры пентестов: Привет Павлик :)

Выявление уязвимых конфигураций:...

aaa authentication login default local-case

aaa authentication login authen none

...

line vty 0 3

exec-timeout 0 0

line vty 4

exec-timeout 0 0

privilege level 15

login authentication authen

...

Модуль Compliance

Модуль Compliance: переопределение контролей

Модуль Аудит

Модуль Аудит: пример использования

Модуль Аудит: пример использования

Модуль Аудит: пример использования

Модуль Аудит: пример использования

Модуль Аудит: анализ СУБД

Модуль Аудит: анализ ERP-систем

Модуль Compliance: анализ ERP-систем

Примеры пентестов: анализ защищенности

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

РАБОЧИЕ СТАНЦИИ

ГОЛОВНОЙ ОФИС

ФИЛИАЛРАБОЧИЕ СТАНЦИИ

СЕРВЕРЫ

СЕТЕВОЕ ОБОРУДОВА

НИЕ

MP SERVER

Рабочее место

аудитора

WEB-СЕРВЕР

ПОДОБРАН ПАРОЛЬ

ПРОВЕДЕНИЕ ПРОВЕРОК

ПРОВЕДЕНИЕ ПРОВЕРОК

Внутренний пентест/аудит по результатам пентеста

Внутренний пентест/аудит по результатам пентеста

Сканирование сети

Успешно подобран пароль!• Эксплуатация SQL

Injection• Выполнение команд на

сервере• Повышение привилегий• Атака на внутренние

ресурсы

Внутренний пентест• Установка сканера

MaxPatrol• Поиск уязвимостей• Эксплуатация уязвимостей

Перемещение в ИС ЦО• Проведение атаки на

ресурсы ЦО

Получение максимальных привилегий во всей сети!

Примеры пентестов: использование архитектуры

Примеры пентестов: анализ защищенности

Примеры пентестов: отчетность

Примеры пентестов: отчетность

Примеры пентестов: PCI ASV

Примеры пентестов: отчетность по PCI DSS

Примеры пентестов: отчетность по PCI DSS (метрики трудозатрат)

Спасибо за внимание!Вопросы?

devteev@ptsecurity.ruhttp://devteev.blogspot.com/