Embed Size (px)
Citation preview
Mapowanie wiedzy pentestera na potrzeby ochrony krytycznej
infrastruktury IT.
(Open Source Defensive Security)
Leszek Miś[email protected]
# Leszek Miś● IT Security Architect @ Defensive-Security
● Offensive Security Certified Professional
● RHCA/RHCSS/RHCX/Sec+
● CISSP in progress
● Członek ISSA/OWASP Poland
● Skupiam się głównie na:
– Linux Security
– Web Application Security
– Penetration testing
– Hardened IT Infrastructure (SSO/IdM/IDS)
– Virtualization/Cloud
– Linux forensics
Agenda
● IT / Cyber Security to ogromny obszar
● X wymiarów dążenia do doskonałości → obszary techniczne
● Wielowarstwowość vs ograniczenia
● Budowanie świadomości
● Wykwalifikowana kadra
● Defensive Security
IT Security to obszar ogromny
● OWASP Open Cyber Security Framework
IT Security to obszar ogromny
● Security Strategy Roadmap
● Risk Management
● Vulnerability Management
● Security Controls
● Arsenal
● Incident Response Management
● Data Loss Prevention
● Education & Training
● Business Continuity & Disaster Recovery
● Application & System Security
● Penetration Tests
X wymiarów dążenia do doskonałości
Obszary techniczne
– System operacyjny →
– utwardzony kernel →● utwardzona kompilacja
VS.
– 0-day, privilege escalation, local root exploits, code execution, memory corruption, protection bypass, syscall filtering problems, race conditions
Obszary techniczne
– System operacyjny → usługi sieciowe →
– izolacja– uprawnienia– konfiguracja utwardzona– bezpieczna transmisja
VS.
– 0-day, remote exploits, sniffing, spoofing, MiTM, information gathering/enumeration, DOS, brute-force, restriction bypass, bind/reverse shells
Obszary techniczne
– System operacyjny → wirtualizacja →
– separacja uprawnień– minimalizm implementacyjny
VS.
– Privilege escalation, code execution, VM Guest to Host escaping, DOS, MiTM, arbitrary file writing-reading,
Obszary techniczne
– System operacyjny → implementacja serwera HTTP →
– aplikacje webowe →● konfiguracja utwardzona● wirtualne patchowanie● firewall aplikacyjny WAF● dobre praktyki / SDLC
VS.
– SQLi, XSS, CSRF, LFI/RFI, directory traversal, command execution, weak passwords, brute-force, session stealing
Obszary techniczne
– System operacyjny → bazy danych →
– konfiguracja utwardzona– SQL Database Firewall– uprawnienia– dobre praktyki
VS.
– Unrestricted DB access, network BF, info gathering, all DB privileges, 0-day exploit, command execution
Obszary techniczne
– System operacyjny → użytkownik →
– centralne zarządzanie tożsamością i prawami dostępu:
● IdM● kontroler domeny linuksowej
VS.
– Brak spójności haseł i dostępów
– Problem rozliczalności
– „Do jakich systemów Kowalski znał hasło roota?”
Obszary techniczne
– System operacyjny →
– [*] →● analiza behawioralna● analiza zachowania usług i użytkowników● analiza pamięci● live patching
VS.
– 0 day attacks, malware, rootkits, backdoors, hidden channels, updating vs reboot, passwords
Obszary techiczne– Sieć →
– dostęp →● firewalle sieciowe/VLAN● CDN● konfiguracja urządzeń / proxy● captive portals
VS.
– DOS, DDOS, pivoting, tunneling, bind/reverse shell, session hiding, sniffing, spoofing, unrestricted access, brute-force, panel admin access, guest WIFI access
Obszary techiczne
– Sieć →
– Analiza ruchu →● Network IDS● Network IPS● WLAN IDS● DLP
VS.
– Anomalia protokołowe, malware, fakeAP, unrestricted access to ports, data leakage, hidden data channels
Obszary techiczne
– Sieć/system →
– intruz →● honeypoty czyli tzw. pułapki:
● webowe● systemowe
VS.
– analiza działań intruza, tips&tricks, komunikacja C&C, malware, 0-day, zmarnowanie czasu atakującego, security by obscurity,
Obszary techniczne
– System operacyjny →
– zarządzanie zdarzeniami →● analiza logów● kontrola integralności● systemy typu SIEM / zespoły typu SOC
VS.
– ukrywanie się, backdoor, rootkit, brute-force, data modifying, money laundry, log tampering, rozliczalność, attack scope
Człowiek jako jednostka
– Człowiek → ● Szkolenia miękkie● Programy antyphishingowe
Wielowarstwowość vs. ograniczenia
– Przenikliwość zespołowa
– Bezpieczeństwo jako wspólny mianownik zespołowości
– Okresowe przekazywanie wiedzy pomiędzy zespołami dev+security+admin
Budowanie świadomości
Oferta Defensive Security
– Edukacja w postaci ochrona vs atak (500+ przeszkolonych osób):● „Open Source Defensive Security”:
– http://defensive-security.com/agenda-3/– Jedyny tak szczegółowy warsztat w Polsce z
bezpieczeństwa Open Source
– Analiza poziomu bezpieczeństwa aplikacji i usług - testy penetracyjne i audyty bezpieczeństwa
– Konsultacje i wdrożenia korporacyjnych rozwiązań Open Source z zakresu bezpieczeństwa i infrastruktury IT
