'

Анализ информационной безопасности сети предприятия

Понравилась презентация – покажи это...





Слайд 0

Анализ информационной безопасности сети предприятия


Слайд 1

Содержание Планирование анализа сетевой безопасности Сбор информации об организации Тест на проникновение Учебный пример: анализ сетевой безопасности компании Northwind Traders


Слайд 2

Планирование анализа сетевой безопасности Планирование анализа сетевой безопасности Сбор информации об организации Тест на проникновение Учебный пример: анализ сетевой безопасности компании Northwind Traders


Слайд 3

Почему взламывают сети? Сетевая безопасность может подвести по нескольким причинам: Человеческий фактор Нарушения политик и распоряжений Неправильная настройка программного и аппаратного обеспечения Незнание собственной сети Некомпетентность Несвоевременная установка обновлений


Слайд 4

Что такое многоуровневая защита? Использование многоуровневого подхода: Повышает риск обнаружения для взломщика Снижает шансы взломщика на успех


Слайд 5

Для чего выполнять анализ безопасности? Анализ безопасности может: Ответить на вопросы “Защищена ли наша сеть?” и “Как нам узнать, защищена ли наша сеть?” Обеспечить рекомендациями, которые помогут улучшить защиту Обнаружить ошибки в настройке или отсутствующие обновления безопасности Обнаружить неожиданные уязвимости в защите организации Удостоверить в соответствии государственным предписаниям


Слайд 6

Планирование анализа безопасности


Слайд 7

Определение диапазона анализа безопасности


Слайд 8

Определение целей анализа безопасности


Слайд 9

Типы анализа безопасности Сканирование уязвимостей: Нацелено на известные недостатки Может быть автоматизировано Требует минимальной обработки экспертами


Слайд 10

Использование сканирования уязвимостей для анализа сетевой безопасности Разработка процесса сканирования: Определение уязвимостей Присвоение уровня риска обнаруженным уязвимостям Определение уязвимостей, которые не были устранены Определение временного графика улучшения защищенности


Слайд 11

Использование тестового проникновения для анализа сетевой защищенности Шаги для успешного тестового проникновения: Определите наиболее вероятные действия взломщика сети или приложения 1 Определите, как атакующий может использовать уязвимость 3 Найдите ресурсы, к которым есть доступ на чтение, модификацию или удаление 4 Найдите недостатки в защите сети или приложения 2 Определите, была ли обнаружена атака 5 Определите сигнатуры и характеристики атаки 6 Дайте рекомендации 7


Слайд 12

Понимание компонентов аудита IT- безопасности Процессы Технологии Реализация Документирование Операции Начните с политик Создайте процессы Примените технологии Модель политики безопасности Политики


Слайд 13

Реализация аудита IT-безопасности Сравнение областей Политика безопасности Документирование процедур Операции Что Вы должны делать Что Вы говорите, что Вы делаете Что Вы делаете на самом деле


Слайд 14

Отчет об анализе безопасности Объедините информацию в отчете по следующему шаблону: Определите уязвимости Документируйте планы исправлений Определите, где должны произойти изменения Назначьте ответственных за реализацию принятых рекомендаций Порекомендуйте время следующего анализа безопасности


Слайд 15

Сбор информации об организации Планирование анализа сетевой безопасности Сбор информации об организации Тестовое проникновение Учебный пример: анализ сетевой безопасности компании Northwind Traders


Слайд 16

Что такое неагрессивная атака? Примеры неагрессивных атак: Информационная разведка Сканирование портов Получение информации об узле на основе сигнатур Обнаружение сетей и узлов Неагрессивная атака: сбор информации о сети предприятия из открытых источников, для подготовки к последующей проникающей атаке


Слайд 17

Техника информационной разведки Основные типы информации, разыскиваемой атакующими: Конфигурация системы Действующие учетные записи пользователей Контактная информация Ресурсы экстранет и сервера удаленного доступа Бизнес-партнеры, слияния и поглощения


Слайд 18

Противодействие информационной разведке Предоставляйте для регистрации в Интернет только безусловно необходимую информацию Регулярно просматривайте корпоративный веб-сайт в поисках конфиденциальной информации Издайте распоряжение, регламентирующее правила пользования открытыми форумами Для публикации на веб и регистрации используйте адреса электронной почты, основанные на должностных функциях u u u u


Слайд 19

Какая информация может быть получена из сканирования портов? Тонкости в сканировании портов: Медленное сканирование Сканирование одного и того же порта с разных узлов Распределенное сканирование с разных хостов (оптимально из разных сетей) Обычно, результаты сканирования содержат: Список «прослушиваемых» («открытых») портов Список портов, обрывающих соединения Список портов, подключение к которым не было установлено по таймауту


Слайд 20

Противодействие сканированию портов Меры противодействия сканированию портов: Внедрение многоуровневой фильтрации трафика План на случай компрометации или сбоев Запуск только необходимых служб Внедрение системы обнаружения вторжений u u u u Публикация сервисов только через МСЭ u


Слайд 21

Какая информация может быть собрана об удаленном узле? Типы информации, которая может быть собрана с использованием технологии сигнатур: Реализация IP и ICMP Ответы TCP Открытые порты Баннеры Поведение служб Запросы удаленной операционной системы


Слайд 22

Защита информации о конфигурации сетевого узла


Слайд 23

Тестовое проникновение Планирование анализа сетевой безопасности Сбор информации об организации Тестовое проникновение Учебный пример: анализ сетевой безопасности компании Northwind Traders


Слайд 24

Что такое тестовое проникновение? Примеры методов тестового проникновения: Автоматическое сканирование уязвимостей Атаки на пароли Атаки на отказ в обслуживании Атаки на приложения и базы данных Сетевой анализ («вынюхивание», sniffing) Взлом (атака, проникновение): Выполнение определенных действий, которые приводят к компрометации информации, снижению устойчивости или доступности системы


Слайд 25

Что такое автоматическое сканирование уязвимостей? Сканирование уязвимостей производится с помощью утилит, автоматизирующих следующие задачи: Сбор баннеров и сигнатур Реализация уязвимости Тестирование на основе косвенных данных Определение установленных обновлений


Слайд 26

Что такое атаки на пароли? Два основных типа атак на пароли: Атаки «грубой силы» (прямой перебор) Обнаружение сохраненных паролей


Слайд 27

Что такое атаки по типу «отказ в обслуживании»? Атаки на отказ в обслуживании могут быть разделены на 3 категории: Флуд Атаки на истощение ресурсов Сбой службы Атаки «отказ в обслуживании» (DoS): Любая попытка действий, которые могут привести к выходу из строя системы, и нарушению ее нормального функционирования Примечание: Атаки на отказ в обслуживании не должны запускаться против Вашей собственной работающей сети


Слайд 28

Противодействие атакам на отказ в обслуживании


Слайд 29

Понимание атак на приложения и базы данных Основные атаки на приложения и базы данных включают в себя: Переполнения буфера: Пишите приложения с управляемым кодом Атаки внедрения SQL: Проверяйте ввод на корректность размера и типа


Слайд 30

Что такое анализ сетевого трафика? Атакующий выполняет следующие действия: Компрометация узла Установка сетевого монитора Использование сетевого анализатора для захвата передаваемой по сети конфиденциальной информации (н-р, сетевые учетные данные) Использование полученных учетных данных для компрометации других узлов Анализ сетевого трафика (sniffing): возможность атакующего прослушать коммуникации между сетевыми узлами 1 2 3 4


Слайд 31

Противодействие атакам сетевого анализа Чтобы снизить угрозу атак сетевого анализа, убедитесь в следующем: Используйте шифрование для защиты данных Используйте коммутаторы вместо концентраторов Защитите основные сетевые устройства Используйте crossover-кабели Запретите использование сетевых анализаторов Выполняйте регулярное сканирование


Слайд 32

Как атакующие избегают обнаружения во время атаки Основные способы избежать обнаружения во время атаки: Переполнение или замусоривание файлов журналов Нарушение работоспособности служб записи событий Атаки на систему обнаружения вторжений Атаки со сменой представления Отправка фальшивых пакетов


Слайд 33

Как атакующие избегают обнаружения после атаки Основные способы избежать обнаружения после осуществления атаки: Подмена системных файлов (установка руткитов) Подчистка журналов


Слайд 34

Противодействие технологиям сокрытия от обнаружения


Слайд 35

Учебный пример: анализ сетевой безопасности компании Northwind Traders Планирование анализа сетевой безопасности Сбор информации об организации Тестовое проникновение Учебный пример: анализ сетевой безопасности компании Northwind Traders


Слайд 36

Описание учебного примера


Слайд 37

Определение области оценки безопасности


Слайд 38

Определение целей оценки безопасности


Слайд 39

Выбор программ и утилит Следующие утилиты будут использованы для оценки безопасности в Northwind Traders: Microsoft Security Risk Assessment Utility Microsoft Baseline Security Analyzer KB824146SCAN.exe Portqry.exe Проверка вручную на уязвимость переполнения буфера Проверка вручную на наличие уязвимости внедрения SQL


Слайд 40

Демонстрация: Выполнение анализа безопасности Выполнение сканирования портов с помощью Portqry.exe Использование KB824146Scan.exe для сканирования на уязвимости Определение уязвимостей переполнения буфера Определение уязвимостей внедрения SQL Использование Microsoft Baseline Security Analyzer для сканирования уязвимостей


Слайд 41

Отчет о результатах исследования Ответьте на следующие вопросы, чтобы закончить отчет: Какой риск представляют собой уязвимости? В чем причина уязвимости? Каково потенциальное воздействие уязвимости? Какова вероятность того, что уязвимость будет использована для взлома? Что нужно сделать, чтобы устранить уязвимость? Если возможно, дайте несколько вариантов Как временно устранить уязвимость? Кто отвечает за устранение уязвимости?


Слайд 42

Итоги Планируйте анализ безопасности, определяйте диапазон анализа и его и цели Предоставляйте для публикации на сайте и для регистрации в Интернет только безусловно необходимые данные Потребуйте от пользователей использовать сложные пароли, и обучите их «парольным фразам» Предположите, что атакующий точно знает версию операционной системы, и предпримите все действия для защиты системы u u u u Устанавливайте последние обновления безопасности и пакеты обновлений u


Слайд 43

Пример: Microsoft IT Окружение Несанкционированный доступ 56000 постоянных сотрудников, 7000 временных, 28000 внешних исполнителей 400 офисов по всему миру 100000 попыток взлома ежемесячно 150000 зараженных писем


Слайд 44

Пример: Microsoft IT Полезные советы Все записывайте Создайте сильную команду Открывайте новые таланты Оценивайте эффективность работы команды и ее участников Применяйте отраслевые стандарты и общепринятые методы


Слайд 45

Что дальше? Узнайте о семинарах по безопасности: http://www.microsoft.com/seminar/events/security.mspx Подпишитесь на рассылку по безопасности: http://www.microsoft.com/technet/security/signup/default.mspx Security Risk Self-assesment Tool http://www.securityguidance.com Пройдите on-line обучение https://www.microsoftelearning.com/security/ http://www.microsoft.com/technet/ traincert/virtuallab/security.mspx Книга «Assessing Network Security by Kevin Lam, David LeBlanc, and Ben Smith» http://www.microsoft.com/mspress/books/6788.asp


Слайд 46

Вопросы?


×

HTML:





Ссылка: