Upload
nikolay-dimitrov
View
12
Download
3
Embed Size (px)
DESCRIPTION
IT Audit tools
Citation preview
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 2
… Пътят на самурая. Според целта,
самураят изработва различни оръжия,
овладявайки добре особеностите и
начина на използването им. В това е
същността на Пътя на самурая. Ако не
успее да овладее използването на
оръжията и не разбере ползата от всяко
от тях, не е ли това повърхностност в
уменията на един самурай?
Миямото Мусаши
«Го Рин Но Шо»
(Ръкопис на Петте пръстена)
Програма
Стандартите за одит на информационни системи и CAATs
Общи изисквания и предизвикателства пред ползването на приложения
Видове приложения от полза за ИТ одитора в областите:
Data mining и/или анализ на данни
Оценка на мрежовата сигурност
• Събиране на информация, сканиране и тестване на устройства в мрежа
• Откриване на уязвимости
• Тестване на безжични мрежи
Извън обхват на презентацията:
• Одит на СУБД, уеб приложения и уеб сървъри
• Преглед и тестване на софтуер и програмен код
• Управление на ИТ одит ангажиментите
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 3
Стандартите за одит на информационни системи и CAATs
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 4
Guideline 3 - Use of Computer-Assisted Audit Techniques (CAATs)
CAATs обхващат всички одит техники, използващи компютърен хардуер и
софтуер за извършването на по-ефективни и ефикасни одит тестове и
ангажименти като цяло.
Какво искат ИТ одиторите от ползваните от тях приложения?
Да могат да бъдат ползвани върху различни операционни системи
Максимално богата функционалност и покритие на различни платформи
Лекота при използване и наличие на подходяща документация
Възможност за автоматизация на често повтарящи се или
последователно изпълнявани задачи (скриптиране)
Лесно управление, съхраняване и преносимост на конфигурацията
Извеждане на резултатите от работата във файлове или към друго
приложение
Оптимално използване на хардуерните ресурси
Ниска степен на влияние върху тестваните машини/мрежи
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 5
Какво може да ограничи ползването на приложенията
Няма възможност за закупуване и/или ползване
Липса на средства, време и подкрепа от одит мениджмънта
Невъзможност да се идентифицират подходящите приложения
Вътрешна съпротива в одит звеното
Инерция, отказ от промяна на навици, страх от новото
Недостатъчно познания, умения или мотивация
Неподходяща среда за одитиране
Отказ от предоставяне на информация
Непълни, некоректни и/или неактуални данни
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 6
Data mining и/или анализ на данни
Електронни таблици
MS Office Excel
OpenOffice Calc
Lotus Symphony Spreadsheets
Data Warehouse
Business Intelligence
ACL, IDEA
Системи за управление на бази
данни
MS Office Access
OpenOfiice Base
MS SQL 2005 Express
MySQL
PostgreSQL
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 7
Пътна карта за работа в мрежата
Асоциация за одит и контрол на информационни системи - София
Слой Функция
Приложен Приложни програми за крайния потребител
Транспортен Адресиране и доставяне на данни на приложения
Мрежов Базова комуникация, адресиране и маршрутизиране
Канален Мрежов хардуер и драйвери на устройствата
Физически Самият кабел или физическата преносна среда
3 февруари 2009 г. 8
Предизвикателства при ползването на приложения за анализ на
данни
Какво е нужно, за да сте ефективни
Много добро познаване на системите и данните, които ще одитирате
Безпрепятствен и своевременен достъп до тях (‘read only’)
Одиторски умения за работа с CAATs
Прилагане на най-добрите практики и референтни модели
Способност да се идентифицират проблемните области
Ползи
Увеличен обхват
• Преглед на цялата популация, вместо на извадка
Намалено време за извършване и документиране на тестовете
Повишена надеждност в резултата от тестовете
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 9
Оценка на мрежовата сигурност
Разузнаване
Снифъри и анализатори на мрежов трафик
Откриване и профилиране на устройства в мрежата
Скенери за уязвимости
Платформи за създаване на експлойти
LiveCD penetration testing toolkit
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 10
Разузнаване
SamSpade
ping
nslookup, dig
DNS zone transfer
whois, IP block search
traceroute
finger
SMTP VRFY, SMTP relay check
Анализ на еmail header
Email blacklist
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 11
Разузнаване
LDAP Browser
Explorer-like LDAP клиент за
преглед и анализ на LDAP
директории
Олекотена версия на Softerra
LDAP Administrator, без
възможност за редакция на
данните в LDAP директориите
Поддържа филтриране, търсене
и експорт на данни
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 12
Снифъри и анализатори на мрежов трафик
Wireshark (бивш Ethereal)
Мощни филтри при прихващане и показване на пакетите
Поддържа множество формати
• tcpdump (libpcap), Pcap NG, Cisco Secure IDS iplog, Microsoft Network Monitor, Novell LANalyzer, WildPackets EtherPeek /AiroPeek
Улавя в реално време пакети от Ethernet, IEEE 802.11, PPP/HDLC, ATM, Bluetooth, USB, Token Ring, Frame Relay, FDDI
Поддържа декриптиране в IPsec, ISAKMP, Kerberos, SNMPv3, SSL/TLS, WEP, and WPA/WPA2
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 13
Снифъри и анализатори на мрежов трафик
Network Miner
Пасивен снифър
Събира данни за машините в мрежата, а не за трафика между тях
Ре-асемблира сертификати, извлечени от пакетите
Cain & Abel
Възстановяване на пароли чрез извличането им от прихванат трафик
Възползва се от слабости в (имплементацията на) стандартите, методите за автентикация и кеширане на данните
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 14
Снифъри и анализатори на мрежов трафик
Tcpdump
network monitoring tool,
използващ libpcap за
прихващане на пакети в мрежа,
към която е включен
Често се ползва за debug-ване
на приложения, генериращи или
получаващи мрежов трафик
Пуснат на рутер/шлюз може да
прихваща и “показва”
некриптиран трафик, съдържащ
потребителски профили и
пароли
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 15
Снифъри и анализатори на мрежов трафик
Ettercap
Многофункционален sniffer /
interceptor / logger за LAN мрежа.
Поддържа активна и пасивна
дисекция на много протоколи
(вкл. криптирани)
• Вмъкване на символи в изградена
сесия
• Снифинг на SSH1 сесии
• Снифинг на HTTPS сесии, дори
през прокси
• Remote traffic through GRE tunnel
• MitM атаки срещу PPTP тунели
• “Събира” пароли от TELNET, FTP,
POP, RLOGIN, SSH1, ICQ, SMB,
MySQL, HTTP, NNTP, X11,
NAPSTER, IRC, RIP, BGP, SOCKS
5, IMAP 4, VNC, LDAP, NFS, SNMP,
HALF LIFE, QUAKE 3, MSN, YMSG
• Филтриране или спиране на пакети
• OS fingerprint
• Прекъсване на сесии
• Пасивно сканиране на LAN
• Проверка за други “тровещи”
програмки
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 16
Снифъри и скенери в безжични мрежи
NetStumbler
Активен скенер, основно
използван за:
• Wardriving
• Потвърждаване на мрежовата
конфигурация
• Откриване на неоторизирани
("rogue") точки за достъп
Inssider
Open-source
Работи с 64-битови Win ОС, вкл.
Vista
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 17
Снифъри и скенери в безжични мрежи
Kismet
Пасивен wireless снифър
Има базови IDS възможности
(засичане на активни снифъри и
някои видове атаки)
Поддържа channelhopping
Може да записва прихванатите
пакети в tcpdump/Wireshark
формат
Работи под Linux, *BSD и
MacOS X
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 18
Профилиране на устройства
Nmap
Открива (инвентаризира)
компютри в мрежата
Генерира списък с “отворени”
портове на компютрите
Определя версиите на
приложенията, ползващи даден
порт
Определя вида и версията на ОС
на сканирания компютър, както и
някои от характеристиките на
мрежовия адаптер
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 19
Профилиране на устройства
ike-scan
Използва IKE протокола за
откриване, разпознаване и
тестване на IPsec VPN сървъри
Генерира и изпраща IKE Phase-
1 пакети към определени
машини
Декодира и визуализира
получения от тях отговор
Може да краква pre-shared keys
хешовете и да извлича
ключовете от тях
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 20
Профилиране на устройства
LanSpy
Улеснява събирането на
информация за отдалечени
машини
Преглед на стартирани процеси
Преглед на инсталирани
приложения
Открива
• споделени ресурси
• отворени портове и ползващи ги
приложения
• изградени сесии
• потребителски групи и профили
Асоциация за одит и контрол на информационни системи - София 3 февруари 2009 г. 21
Бенчмарк, одит и документиране на конфигурации на мрежови
устройства
CIS Router Audit Tool (RAT)
Четири Perl програми
snarf: изтегля
конфигурационните файлове
ncat: чете правилата и
конфигурациите, генерира
резултат в CSV формат
ncat_report: чете CSV
файла, създава HTML доклад
rat: стартира останалите
програми
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 22
Бенчмарк, одит и документиране на конфигурации на мрежови
устройства
Nipper
Генерира отчети от
конфигурационни файлове на
мрежови устройства
Отчетът включва детайлен
одит на настройките в
съответствие с добрите
практики, както и списък със
самата конфигурация на
устройството
Поддържа устройства на
Cisco, Juniper, HP, CheckPoint,
Nortel, Nokia, 3Com,
SonicWALL и Bay Networks
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 23
Комплексни скенери за уязвимости
Асоциация за одит и контрол на информационни системи - София
Nessus
Откриване и профилиране на
устройства
Тестване на конфигурации за
съответствие с политиките
Тества за наличие на пачове без
да изисква инсталиране на агент
Над 25 хил. плъгина за тестване
на определени уязвимости
3 февруари 2009 г. 24
Комплексни скенери за уязвимости
Асоциация за одит и контрол на информационни системи - София
GFI LanGuard Network Security
Scanner
Проверка за уязвимости
(Windows и Linux)
Открива споделени дялове,
отворени портове и
потребителски акаунти на
работните станции
Проверява за липсващи
сервизни кръпки и пакети на
операционната система и се
грижи за инсталирането им
Retina Network Security Scanner
3 февруари 2009 г. 25
Комплексни скенери за уязвимости
Security Auditor's Research Assistant (SARA)
Характеристики
• Интегриран с National Vulnerability Database (NVD)
• Изпълнява SQL injection тестове
• Изпълнява XSS тестове
• Може да се ползва в среда със защитни стени
• Поддържа CVE
• Самостоятелна и сървърна (daemon) версия
• Поддържа потребителски разработени “допълнения”
• Базиран на SATAN модела
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 26
Платформи за създаване на експлойти
Metasploit
Среда за разработка, зареждане
и изпълнение на експлойти
срещу дадена машина
• Избор и настройване на експлойт
• Проверка дали мишената е
уязвима към избрания експлойт
• Избор и настройване на payload
• Избор на начин за криптиране на
payload-а, за да не бъде открит
• Изпълнение на експлойта
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 27
LiveCD penetration testing toolkit
BackTrack 3
Slackware базирана live
дистрибуция
Обединява Whax и Auditor
Security Collection LiveCD
Над 300 инструмента, логически
групирани по стадиите на
penetration testing методологиите
• Information Systems Security
Assessment Framework (ISSAF)
• The Open Source Security Testing
Methodology Manual (OSSTMM)
Тясно интегриран с Metasploit
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 28
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 29
Безплатни инструменти за одит на компютърни мрежи
nipper (network infrastructure
configuration parser)
http://www.sourceforge.net/projects/ni
pper
nmap (network mapper)
http://www.insecure.org/nmap/
rat (router audit tool and benchmark)
http://www.cisecurity.org/
wireshark (network sniffer)
http://www.wireshark.org/
nessus (vulnerability scanner)
http://www.nessus.org/
firewalk (determine what layer 4
protocols a given IP forwarding
device will pass)
http://www.packetfactory.net/projects/f
irewalk/
ike-scan (discover and fingerprint
IKE hosts (IPsec VPN servers))
http://www.nta-monitor.com/tools/ike-
scan/
sam spade (freeware network query
tool)
http://preview.samspade.org/ssw/
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 30
Благодаря за вниманието!
Николай Димитров, CISA, CIA, CCSA
Мениджър ИТ одит
t (02) 859 0122
m (089) 351 9564
w http://www.dfkanda.bg
3 февруари 2009 г.Асоциация за одит и контрол на информационни системи - София 31