Monika Sadlok - Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy już niezbędna praktyka?
www.tsh.io
Dlaczego miły, uprzejmy i towarzyski pracownik stanowi jedno z największych zagrożeń bezpieczeństwa każdej firmy czy organizacji? Ponieważ to jego pozytywne cechy charakteru wykorzystywane są przez osoby próbujące uzyskać dostęp do chronionych informacji w sposób nieuprawniony. Czy zatem testy bezpieczeństwa powinny uwzględniać metodologię inżynierii społecznej? Z pewnością tak. O tym będzie moja prezentacja.
5. Ale…
1. poznamy definicję socjotechniki i
przykłady jej stosowania,
2. poznamy kilka narzędzi pomocnych w
fazie reaserchu,
3. przekonamy się, że najsłabszym
elementem systemów bezpieczeństwa
jest człowiek,
4. poznamy ścieżki dla samodzielnych
poszukiwań.
7. zespół technik służących osiągnięciu pewnych, wcześniej
zdefiniowanych celów
jest to działanie celowe, przemyślane
sztuka/umiejętność efektywnej manipulacji jednostką lub
grupą/organizacją
8. Inżynierią społeczną rządzi 6 reguł, które
pozostają niezmienne od momentu, kiedy
człowiek pozyskał wiedzę, że manipulacja
przynosi korzyści.
17. Przykład?
Wszyscy znali, czytali, podziwiali?!
Więc może coś innego?
Może i banalne, ale jeśli zależy nam na
popularności w mediach
społecznościowych...
26. Rodzaje testów bezpieczeństwa
BLACK BOX
Pentester nie posiada żadnych szczegółowych informacji na temat badanego obiektu.
Ten rodzaj weryfikacji jest stosowany do symulacji zewnętrznego ataku, bez posiadania
wiedzy wewnętrznej.
WHITE BOX
Pentester posiada kompleksowe informacje na temat badanego obiektu.
Obejmują one dane dostępowe, dokumentację analityczną, kod źródłowy oraz wszelkie
inne informacje, które pomogę uzyskać pełny obraz badanego systemu.
GRAY BOX
Typ testu pomiędzy Black a White box. W tym przypadku pentester może otrzymać
okrojone informacje o badanym obiekcie, np. na poziomie wiedzy zwykłego
użytkownika.
30. Standardy testów bezpieczeństwa
PTES (Penetration Testing Execution Standard)
- definiuje testy penetracyjne na nowo,
- ustanawia podstawowe zasady ważne dla początkujących
i doświadczonych testerów,
- www.pentest-standard.org.
45. Raport
- to najważniejszy element testów penetracyjnych
- pozwalają przedstawić czynności jakie wykonałeś i
przekazać informacje jak zabezpieczyć luki w systemie
- powinien składać się z trzech części (streszczenia dla
zarządu, prezentacji dla zarządu, ustalenia techniczne)
46. Raport odpowiada na pytania:
- Czy środki bezpieczeństwa zostały
odpowiednio dobrane?
- Czy wdrożone systemy zostały prawidłowo
skonfigurowane?
- Czy chroniony zasób nie posiada w sobie
luk umożliwiających atak?
47. Tego lepiej unikać
Co prawda w tej części sieci nie odnaleziono żadnych problemów, ale mogą one
występować lub nie występować do momentu ich odkrycia.
Skutki przeprowadzenia testu na tej bazie danych mogą mieć poważne skutki.
Zaleca się, aby odkryte błędy zostały usunięte zgodnie z priorytetami
określonymi w raporcie.
49. Człowiek czy skaner?
Skaner automatyczny
- masowe, cykliczne skany,
- czasowa przewaga w rozbudowanych aplikacjach,
- możliwość pominięcia nietypowych przypadków,
- możliwość pominięcia oczywistych, ale nietypowych
podatności,
- niska skuteczność w testowaniu logiki biznesowej.
54. PODSUMOWANIE
Bezpieczeństwo nie jest stanem, lecz procesem.
Testy bezpieczeństwa pomagają zapobiegać niebezpieczeństwom,
zanim się zmaterializują.
Testy bezpieczeństwa potrafią zweryfikować pracowników firmy, czy
przestrzegają polityki bezpieczeństwa, czy są lojalni.
Testy bezpieczeństwa same w sobie nie usuną luk w systemie.