Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Audity a penetračné testovanieZákladné predpoklady kybernetickej bezpečnosti
Ján Jablonský
Rozdelenie IT a OT systémov
CIA (IT) vs. AIC (OT)
C = Confidentiality
I = Integrity
A = Availability
Next generation
4
Prečo audit, prečo pentest?
Sofistikovanejšie
hrozby a útoky na
systémy, zvýšené
nároky na bezpečnosť
a ochranu aktív
spoločnosti vyžadujú
komplexnejší prístup.
Komplexnosť
požiadaviek na
implementáciu IT
riešení pre potreby
rozvoja business.
6
Audit kybernetickej bezpečnosti
Legislatívny pohľad
Zákon č. 69/2018 Z.z. o
kybernetickej bezpečnosti
§29 – Audit
Vyhláška č. 362/2018 Z.z. Národného bezpečnostného
úradu ktorou sa ustanovuje obsah bezpečnostných
opatrení, obsah a štruktúra bezpečnostnej dokumentácie
a rozsah všeobecných bezpečnostných opatrení
§2 – Obsah a štruktúra bezpečnostnej dokumentácie
d) vykonanú analýzu rizík kybernetickej bezpečnosti,
e) záverečnú správu o výsledkoch auditu kybernetickej bezpečnosti
podľa § 29 zákona
8
• Nezávislé overenie bezpečnostného systému
• Zhodnotenie adekvátnosti implementovaných opatrení
• Štandardne kontrolovaný obsah, validita a dodržiavanie bezpečnostnej dokumentácie
• Realizácie na rôznych úrovniach technického detailu
Audit je základným
predpokladom pre
zistenie aktuálnych
zraniteľnosti a
vypracovania
analýzy rizík.
Audit kybernetickejbezpečnosti
Analýza rizík
Katalóg zraniteľnosti
Klasifikácia informácií
Bezpečnostné
politiky
Bezpečnostná
stratégia
10
Pentest predĺžená ruka bezpečnosti
Metoda hodnotenia
zabezpečenia počítačových
zariadení, systémov a
aplikácií. Vykonáva sa
testovaním, simulovaním
možných útokov na daný
systém ako z externého tak
z interného prostredia
1. Webové a mobilné
aplikácie
2. IT infraštruktúra
3. Social engineering
4. Špeciálne
1. White-Box
Kategorizácia penetračných testov
2. Black-Box
3. Grey-Box
1. Transparentné
testovanie
2. Utajené testovanie
Metodika pre penetračné testovanie
• OWASP Testing Guide (OTG)
• Open Source Security Testing Methodology Manual (OSSTMM)
• Information Systems Security Assessment Framework (ISSAF)
• Penetration Testing Execution Standard (PTES)
• NIST SP 800-115
Vulnerability assessment v OT
• OT = Vysoká citlivosť na Dostupnosť
• Zistenie aktuálneho stavu systémov
• Zistenie zraniteľností v danom systéme
• Zisťuje sa prístup operátorov k OT systémov
• Porovnanie systému voči medzinárodných štandardov (ISA/IEC 62 443)
• Návrh riešení na odstránenie zraniteľností
Prečo chcem pentest alebo vulnerability assessment v OT?
Určenie, ako efektívne dokáže cieľový systém odolávať reálnym útokom
identifikáciu možných dodatočných protiopatrení, ktoré môžu prispieť ku zníženiu hrozieb
určenie miery pravdepodobnosti, akou sofistikovaný útočník dokáže úspešne kompromitovať systém
overenie schopnosti organizácie včas detegovať útok a vhodným spôsobom reagovať
Overenie kvality dodávaných služieb pri upgrade aplikácií a infraštruktúry
Overenie úrovne bezpečnostného povedomia u zamestnancov
Review zdrojového kódu – v prípade individuálnych požiadaviek klienta
Požiadavky na dodávateľa
• Skúsenosti a kvalifikácia
• Audity/Vulnerability management/Penetrační testy obecne
• Rovnaký typ auditu/ penetračných testov
• Certifikácie realizačného tímu
• Dokumentácia
• Typový výstup
17
Špecifická komplexnosť auditu a penetračného testovania si
vyžaduje individuálny prístup a skúsenosti.
Ďakujem za pozornosť