Intrångstester SIG Security, 28 oktober 2014

Relevanta dokument
IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Bilaga 9 Säkerhet Dnr: /2015 Förfrågningsunderlag

IT-säkerhet Externt och internt intrångstest samt granskning av IT-säkerhetsprocesser

Internt penetrationstest. Tierps kommun. Revisionsrapport. Juni Erik Norman 1(6)

IT-säkerhet Externt intrångstest Mjölby kommun April 2016

Bilaga 10 Säkerhet. Dnr: / stockholm.se. Stadsledningskontoret It-avdelningen

Social Engineering ett av de största hoten mot din verksamhet

IT-säkerhet Internt intrångstest

Swedish Association for Software Testing Inspect it AB

Bilaga 3 Säkerhet Dnr: /

Riskhantering för informationssäkerhet med ISO Lars Söderlund, TK 318 Ag 7 Lüning Consulting AB

Bilaga 3 Säkerhet. Bilaga 3 Säkerhet. Dnr Kommunikation som tjänst - A

Granskning av IT-säkerhet - svar

Riktlinje för säkerhetskrav vid upphandling av IT-stöd

Myndigheten för samhällsskydd och beredskaps författningssamling

Bilaga 3 till F:203. Säkerhet. Dnr Fasta och mobila operatörstjänster samt transmission -C. Bilaga 3. Säkerhet

Hur kan olika typer av riskanalyser stödja informationssäkerhetsarbetet i din verksamhet? EBITS,

SSF Säkerhetschef. Informationssäkerhet Per Oscarson

Penetration testing Tjänstebeskrivning

Cyber security Intrångsgranskning. Danderyds kommun

Policy för säkerhetsarbetet i. Södertälje kommun

ISA Informationssäkerhetsavdelningen

Håbo kommuns förtroendevalda revisorer

Ledningssystem för IT-tjänster

Välkommen till VÅR SÄKRA STUDENTKVÄLL

När IT-revisorn knackar på dörren Emil Gullers och Martin Bohlin. Security World, September 2010

EBITS Totalförsvarets Forskningsinstitut David Lindahl Erik Westring

Checklista utbildningar och andra möten. Best practice 2013, Mongara AB

ANVÄNDARHANDBOK. Advance Online

Informationssäkerhetsgranskning. ISO ledningssystem för informationssäkerhet

FÖRHINDRA DATORINTRÅNG!

Uppföljning av extern och intern penetrationstest samt granskning av ITsäkerhetsprocesserna

hypernet - Stöd för lärande Lärare

Informationssäkerhetsprogram Valter Lindström Strateg

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Riktlinjer för informationssäkerhet

Granskning av e-legitimationer och kvalitetsmärket Svensk e-legitimation. Varför och för vem?

Kurser och seminarier från AddQ Consulting

Säkra trådlösa nät - praktiska råd och erfarenheter

Koncernkontoret Enheten för säkerhet och intern miljöledning

Incidenthantering ur ledningskontra teknisktperspektiv. Stefan Öhlund & André Rickardsson

Bläddra vidare för fler referenser >>>

Stadsrevisionen. Projektplan. Hanteringen av personuppgifter i skolans it-system. goteborg.se/stadsrevisionen

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

HUR MAN LYCKAS MED BYOD

Att skydda det mest skyddsvärda

Revisionsrapport Granskning av generella ITkontroller för ett urval av system vid Skatteverket 2018

Förändringsstrategi anpassad till just din organisations förutsättningar och förmåga

Nuvarande MSBFS 2009:10 Förslag till ny föreskrift Tillämpningsområde Tillämpningsområde 1 1 första stycket 2 1 andra stycket 3 2 första stycket

Introduktionskurs INFORMATIONSSÄKERHET STOCKHOLM 25-26/11-08 GÖTEBORG 2-3/12-08

Informations- och IT-säkerhet i kommunal verksamhet

HITTA KRONJUVELERNA. Charlotta Rudoff & Åsa Schwarz PAGE 2 THIS IS KNOWIT

Ledning och styrning av IT-tjänster och informationssäkerhet

Varför just jag? kommer

Min syn på optimal kommunikation i en PU-process

Utveckla MIK-arbetet. systematisk utveckling av arbetet med medie- och informationskunnighet på skolan

Toshiba EasyGuard i praktiken: tecra a5

Varför öva tillsammans?

Riskanalys och riskhantering

Informationssäkerhet, Linköpings kommun

Sänk kostnaderna genom a/ ställa rä/ krav och testa effektivt

Styrning av behörigheter

VGR-RIKTLINJE FÖR KOMMUNIKATION OCH DRIFT

Vi skyddar din information. Vårt informationssäkerhetsarbete och skydd av personuppgifter

Granskning av generella IT-kontroller för ett urval system vid Skatteverket 2017

Värderingskartlägging. Vad är värderingar?

Dnr UFV 2018/211. Riskhantering. Rutiner för informationssäkerhet. Fastställda av Säkerhetschefen Senast reviderade

Teststrategier och Testcertifiering. Per Strandberg, Maj 2013

Hur blir vi ett framgångsrikt företag? Hur skapar vi helhet i verksamheten? Hur kan vi utveckla våra affärsflöden? Vilka verktyg och strukturer

CARLSSONS RESOR DEL III

EN SNABBT FÖRÄNDERLIG VÄRLD. Har dina kommunikationslösningar vad som krävs?

Riskanalys och informationssäkerhet 7,5 hp

Hantering av behörigheter och roller

Enkätundersökning: En bild av myndigheternas informationssäkerhetsarbete

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Riktlinjer för informationssäkerhet

Växjö kommun. Övergripande säkerhetsgranskning. säkerhet avseende externt och internt dataintrång. Informationssäkerhetsspecialister:

Bästa resultat med rätt organisation och rätt kompetens!

Version Testteam 4 Testledare: Patrik Bäck

Nya regler om styrning och riskhantering

Revisionsrapport. Granskning av intern styrning och kontroll av informationssäkerheten vid Verket för högskoleservice 2010.

Lisa kortmanual. Version Miljödata AB Ronnebygatan 46 Tel Karlskrona Org. nr

Informations- säkerhet

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Transparens och förtroende Så gör vi Internet säkrare. Anne-Marie Eklund Löwinder Säkerhetschef Twitter: amelsec

Strategi för förstärkningsresurser

Ellemtelvs kostym IBM vs Apple

Styrelsens ansvar enligt Solvens 2

Granskning av IT-säkerhet

DIG IN TO Nätverkssäkerhet

EBITS E-MÖTE / VIRTUELLT MÖTE 5 INFORMATIONSKLASSNING. 1 Syfte. 2 Avgränsningar. 3 Bakgrund. 4 Informationsformer

Informationssäkerhetspolicy

Sedan år 2000 har Anita Eckersand arbetat inom Varbergs kommun.

Granskning av intern IT - säkerhet. Juni 2017

Säker programmering - Java

Tillitsdeklarationen och revisionsprocessen. Åsa Wikenståhl Efosdagen

Stadsrevisionen. Projektplan. Informationssäkerhetsarbetet i Göteborgs Stad. goteborg.se/stadsrevisionen

Kontinuitetshantering i samhällsviktig verksamhet

Transkript:

Intrångstester SIG Security, 28 oktober 2014

Mattias Berglund Oberoende konsult inom IT- och informationssäkerhetsområdet Fokus på test och granskningar av system Bakgrund inom drift och förvaltning, säkerhetskonsult sedan 2007 Gillar att (försöka) förstå hur saker hänger ihop

Om presentationen Vad? Djupdykning i ämnet intrångstester - definition, karaktärsdrag, leverabler mm Problembild och förslag på bättre användande Att tänka på när man utformar ett test Varför? Tydliggöra ett komplext och missförstått/missbrukat begrepp Ökad förståelse --> bättre tester --> större värde för verksamheten Ett av mina personliga favoritområden :-) Varning! Baseras på egna erfarenheter och reflektioner som säkerhetstestare Okonventionella definitioner kan förekomma

Säkerhetstester

Allmänt Ett verktyg i verksamhetens riskhantering Verifiera skyddsmekanismer, identifiera säkerhetsbrister, prioritera åtgärder Sårbarhetsavsökning/analys, Applikationssäkerhetstest, Källkodsgranskning, Konfigurationsgranskning mm Allt vanligare... Tilltagande hotbild, växande säkerhetsindustri, compliance, mm Katalysator för kvalitetsarbete Systematiskt säkerhetsarbete Regler för testning kan beskrivas i en test- och granskningspolicy NIST SP 800-115 (Technical Guide to Information Security Testing and Assessment)

Intrångstester

Definition Ett intrångstest är ett säkerhetstest där realistiska angrepp simuleras i försök att kringgå säkerheten i ett system

Ett koncept Med många namn Penetrationstest, Pentest, Ethical hacking... Under utveckling Red/blue teaming, wargames Social engineering Inte bara inom IT- och informationssäkerhet Fysisk säkerhet, test av perimeterskydd...

Vad skiljer intrångstester från andra tekniska tester? Den höga nivå av REALISM man försöker skapa i testprocessen...

Riskbaserat scenario Testet baseras på ett scenario för att erhålla ett tydligt sammanhang och fokus för testprocessen Angriparens profil Vilket är angriparens mål? Vilka är angriparens förutsättningar? - förkunskap om, och behörighet i målsystemet, samt logisk/fysisk utgångspunkt... Verksamhetens förutsättningar Vilken förhandsinformation delges verksamheten (system- och informationsägare, drift- och förvaltningsorganisationer)?

Holistiskt målsystem Testet utförs mot ett målsystem som definierats med ett holistikt synsätt Utgångspunkt Informationssystemet

Informationssystemet

Informationssystemet

Informationssystemet

Informationssystemet

Informationssystemet

Holistiskt målsystem Testet utförs mot ett målsystem som definierats med ett holistikt synsätt Utgångspunkt Informationssystemet Avgränsningar Väl avvägda avgränsningar är avgörande för testets kvalitet - förståelse för systemet, säkerhet, hot och risk, kombinerat på ett pragmatiskt sätt Scope Utgör området inom vilket testning får ske - inte de utpekade systemkomponenter som ska testas Konsekvens: allt testas inte! (bredd vs djup)

Målfokuserad testprocess Testprocessen utgör ett scenariobaserat rollspel där testaren strävar efter att uppnå angriparens mål Karaktärsdrag Dynamisk process där målet formar och driver testaktiviteter Iterativ dataanalys som formar strategier för angrepp Fokus på aktivt utnyttjande av sårbarheter Skapar ett unikt "mindset" för testaren

Varför realistiska tester? Extremt tydlig koppling till risk Awareness och utbildning Enda sättet att mäta faktisk/operativ säkerhet - holistiska system med komponenter i samverkan

Problembild Konceptet har blivit urvattnat och vagt För mycket fokus på IT och för lite på information Intrångstest-by-default, när man egentligen borde göra andra tester (vad är syftet med testet, egentligen?)

En bättre approach Återkommande "standardtester" (apptester, sårbarhetsanalyser osv) som det huvudsakliga verktyget för att arbeta med säkerhetsmässig kvalitet i systemkomponenter Riktade intrångstester som kompletterande verktyg för att utvärdera det övergripande arbetet med informationssäkerhet och öka medvetande i verksamheten

Utforma ett intrångstest

En process

Steg för steg Ingångsvärde - en osäkerhet/ovisshet (risk) Kartlägg informationssystemet - följ informationen och dess interaktionspunkter Profilera angriparen - mål, behörighet, utgångspunkt, förhandskunskap Gör pragmatiska avgränsningar - interaktionskanaler/vektorer, behörighetsroller Tips Var konkret med angriparens mål, ju mer specifikt, ju tydligare testprocess Låt testvektorer verka som den naturliga avgränsningar - undvik att "sortera bort" komponenter som är synliga över en vektor Värdefulla verktyg - "Threat modeling" och OSSTMM

Exempelscenario En angripare på Internet, utan förkunskaper eller behörigheter i systemmiljön, försöker erhålla obehörig åtkomst till e-post tillhörande företagets ledningsgrupp En angripare utanför det fysiska skalskyddet försöker erhålla obehörig åtkomst till företagets trådlösa nätverk En angripare inloggad i applikationen med rollen "användare", försöker erhålla obehörig åtkomst till kontokortsinformation

En pentestares egenskaper Teknisk kompetens och kreativitet Förmågan att kommunicera Metodik och process for iterativ dataanalys

Metodik (exempel)

Sammanfattning Intrångstester syftar till att återskapa realism (riskbaserat, holistiskt, målfokuserat) Demonstrerar risk, ger "awareness" och verifierar den operativa helheten - informationssystemets komponenter i samverkan Var klar över syftet för testet - intrångstester är inte alltid "best fit" Kartlägg systemet, profilera angriparen och gör pragmatiska avgränsningar (var noggrann med scope!) Kreativ testare för realism, god kommunikation och testprocess för professionalism

Kontakt Mattias Berglund 0 x m a b u @ g m a i l. c o m @ 0 x m a b u (twitter)

2024 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss