Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej infrastruktury IT - Open Source Defensive Security
1. Mapowanie wiedzy pentestera na
potrzeby ochrony krytycznej
infrastruktury IT.
(Open Source Defensive Security)
Leszek Miś
leszek.mis@defensive-security.com
2. # Leszek Miś
● IT Security Architect @ Defensive-Security
● Offensive Security Certified Professional
● RHCA/RHCSS/RHCX/Sec+
● CISSP in progress
● Członek ISSA/OWASP Poland
● Skupiam się głównie na:
– Linux Security
– Web Application Security
– Penetration testing
– Hardened IT Infrastructure (SSO/IdM/IDS)
– Virtualization/Cloud
– Linux forensics
3. Agenda
● IT / Cyber Security to ogromny obszar
● X wymiarów dążenia do doskonałości → obszary techniczne
● Wielowarstwowość vs ograniczenia
● Budowanie świadomości
● Wykwalifikowana kadra
● Defensive Security
4. IT Security to obszar ogromny
● OWASP Open Cyber Security Framework
5. IT Security to obszar ogromny
● Security Strategy Roadmap
● Risk Management
● Vulnerability Management
● Security Controls
● Arsenal
● Incident Response Management
● Data Loss Prevention
● Education & Training
● Business Continuity & Disaster Recovery
● Application & System Security
● Penetration Tests
11. Obszary techniczne
– System operacyjny → bazy danych →
– konfiguracja utwardzona
– SQL Database Firewall
– uprawnienia
– dobre praktyki
VS.
– Unrestricted DB access, network BF, info gathering, all DB
privileges, 0-day exploit, command execution
12. Obszary techniczne
– System operacyjny → użytkownik →
– centralne zarządzanie tożsamością i prawami
dostępu:
● IdM
● kontroler domeny linuksowej
VS.
– Brak spójności haseł i dostępów
– Problem rozliczalności
– „Do jakich systemów Kowalski znał hasło roota?”
13. Obszary techniczne
– System operacyjny →
– [*] →
● analiza behawioralna
● analiza zachowania usług i użytkowników
● analiza pamięci
● live patching
VS.
– 0 day attacks, malware, rootkits, backdoors, hidden channels,
updating vs reboot, passwords
14. Obszary techiczne
– Sieć →
– dostęp →
● firewalle sieciowe/VLAN
● CDN
● konfiguracja urządzeń / proxy
● captive portals
VS.
– DOS, DDOS, pivoting, tunneling, bind/reverse shell, session
hiding, sniffing, spoofing, unrestricted access, brute-force,
panel admin access, guest WIFI access
15. Obszary techiczne
– Sieć →
– Analiza ruchu →
● Network IDS
● Network IPS
● WLAN IDS
● DLP
VS.
– Anomalia protokołowe, malware, fakeAP, unrestricted
access to ports, data leakage, hidden data channels
16. Obszary techiczne
– Sieć/system →
– intruz →
● honeypoty czyli tzw. pułapki:
● webowe
● systemowe
VS.
– analiza działań intruza, tips&tricks, komunikacja C&C,
malware, 0-day, zmarnowanie czasu atakującego, security
by obscurity,
17. Obszary techniczne
– System operacyjny →
– zarządzanie zdarzeniami →
● analiza logów
● kontrola integralności
● systemy typu SIEM / zespoły typu SOC
VS.
– ukrywanie się, backdoor, rootkit, brute-force, data modifying,
money laundry, log tampering, rozliczalność, attack scope
19. Wielowarstwowość vs. ograniczenia
– Przenikliwość zespołowa
– Bezpieczeństwo jako wspólny mianownik zespołowości
– Okresowe przekazywanie wiedzy pomiędzy zespołami
dev+security+admin
21. Oferta Defensive Security
– Edukacja w postaci ochrona vs atak (500+ przeszkolonych osób):
● „Open Source Defensive Security”:
– http://defensive-security.com/agenda-3/
– Jedyny tak szczegółowy warsztat w Polsce z
bezpieczeństwa Open Source
– Analiza poziomu bezpieczeństwa aplikacji i usług - testy
penetracyjne i audyty bezpieczeństwa
– Konsultacje i wdrożenia korporacyjnych rozwiązań Open Source z
zakresu bezpieczeństwa i infrastruktury IT
22. Dziękuję za uwagę,
zapraszam do kontaktu.
http://defensive-security.com
Leszek Miś
leszek.mis@defensive-security.com