logging en monitoring presentatie met penetratie testen 0.5
Post on 25-May-2015
254 Views
Preview:
DESCRIPTION
TRANSCRIPT
Technische audits
Performance logging penetratie configuratie
Ferdinand Uittenbogaard
Lunch seminar Rijksauditdienst
Technische audit | 14 maart 2011
Inhoud
bull Logging voor wie Performance
bull Logging
bull Penetratie testenbull
bull Wat kan de RAD biedenbull Vooraf adviesbull oordeel
Technische audit | 14 maart 2011
Risicoacutes gebrekkige logging
bull Incident management (trends) (brandblussen)
bull Geen inzicht in systeemkostenbull VMacutes goedkoper bull Performance support staffbull Scale up of scale out beslissingen
bull Geen inzicht in system utilisation bull Geen inzicht in systeemperformancebull Geen value management op afgeronde
projectenbull 8020 regel
voettekst3
Monitor and evaluate IT performance
voettekst4
strategisch
Tactisch
Operationeel
Business Risk Risk
Management
KPIrsquos SLArsquos
Logische informatie
beschikbaarheid performance van
systemen
Fysieke informatie Devices servers netwerk
printers etc
Management informatie (maandrapportage)Wat moet het management
weten om beslissingen te kunnen nemen
Welke zaken moeten daartoe gemeten worden
Daarna moet de informatie systematisch gemeten worden
voettekst5
Rapportage framework
Meetinformatie
Systematische meeting
Maandrapportage
8
21
9
8
55
Pie chart hell
Routers Unix LinuxAS 400 WebApps
voettekst6
Devices
Unix Linux
AS 400
Web
Apps
Monitoring groeimodel
Lunch seminar rapportage en logging7
Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen
De fysieke gebeurtenissen correleren met applicaties services en business processen
IT level monitoring
Awareness van management
Correctieve monitoring
Voorkomen van problemen
Aansturing van het controle proces
Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise
monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering
bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured
bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management
Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Inhoud
bull Logging voor wie Performance
bull Logging
bull Penetratie testenbull
bull Wat kan de RAD biedenbull Vooraf adviesbull oordeel
Technische audit | 14 maart 2011
Risicoacutes gebrekkige logging
bull Incident management (trends) (brandblussen)
bull Geen inzicht in systeemkostenbull VMacutes goedkoper bull Performance support staffbull Scale up of scale out beslissingen
bull Geen inzicht in system utilisation bull Geen inzicht in systeemperformancebull Geen value management op afgeronde
projectenbull 8020 regel
voettekst3
Monitor and evaluate IT performance
voettekst4
strategisch
Tactisch
Operationeel
Business Risk Risk
Management
KPIrsquos SLArsquos
Logische informatie
beschikbaarheid performance van
systemen
Fysieke informatie Devices servers netwerk
printers etc
Management informatie (maandrapportage)Wat moet het management
weten om beslissingen te kunnen nemen
Welke zaken moeten daartoe gemeten worden
Daarna moet de informatie systematisch gemeten worden
voettekst5
Rapportage framework
Meetinformatie
Systematische meeting
Maandrapportage
8
21
9
8
55
Pie chart hell
Routers Unix LinuxAS 400 WebApps
voettekst6
Devices
Unix Linux
AS 400
Web
Apps
Monitoring groeimodel
Lunch seminar rapportage en logging7
Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen
De fysieke gebeurtenissen correleren met applicaties services en business processen
IT level monitoring
Awareness van management
Correctieve monitoring
Voorkomen van problemen
Aansturing van het controle proces
Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise
monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering
bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured
bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management
Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Risicoacutes gebrekkige logging
bull Incident management (trends) (brandblussen)
bull Geen inzicht in systeemkostenbull VMacutes goedkoper bull Performance support staffbull Scale up of scale out beslissingen
bull Geen inzicht in system utilisation bull Geen inzicht in systeemperformancebull Geen value management op afgeronde
projectenbull 8020 regel
voettekst3
Monitor and evaluate IT performance
voettekst4
strategisch
Tactisch
Operationeel
Business Risk Risk
Management
KPIrsquos SLArsquos
Logische informatie
beschikbaarheid performance van
systemen
Fysieke informatie Devices servers netwerk
printers etc
Management informatie (maandrapportage)Wat moet het management
weten om beslissingen te kunnen nemen
Welke zaken moeten daartoe gemeten worden
Daarna moet de informatie systematisch gemeten worden
voettekst5
Rapportage framework
Meetinformatie
Systematische meeting
Maandrapportage
8
21
9
8
55
Pie chart hell
Routers Unix LinuxAS 400 WebApps
voettekst6
Devices
Unix Linux
AS 400
Web
Apps
Monitoring groeimodel
Lunch seminar rapportage en logging7
Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen
De fysieke gebeurtenissen correleren met applicaties services en business processen
IT level monitoring
Awareness van management
Correctieve monitoring
Voorkomen van problemen
Aansturing van het controle proces
Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise
monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering
bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured
bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management
Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Monitor and evaluate IT performance
voettekst4
strategisch
Tactisch
Operationeel
Business Risk Risk
Management
KPIrsquos SLArsquos
Logische informatie
beschikbaarheid performance van
systemen
Fysieke informatie Devices servers netwerk
printers etc
Management informatie (maandrapportage)Wat moet het management
weten om beslissingen te kunnen nemen
Welke zaken moeten daartoe gemeten worden
Daarna moet de informatie systematisch gemeten worden
voettekst5
Rapportage framework
Meetinformatie
Systematische meeting
Maandrapportage
8
21
9
8
55
Pie chart hell
Routers Unix LinuxAS 400 WebApps
voettekst6
Devices
Unix Linux
AS 400
Web
Apps
Monitoring groeimodel
Lunch seminar rapportage en logging7
Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen
De fysieke gebeurtenissen correleren met applicaties services en business processen
IT level monitoring
Awareness van management
Correctieve monitoring
Voorkomen van problemen
Aansturing van het controle proces
Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise
monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering
bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured
bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management
Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Management informatie (maandrapportage)Wat moet het management
weten om beslissingen te kunnen nemen
Welke zaken moeten daartoe gemeten worden
Daarna moet de informatie systematisch gemeten worden
voettekst5
Rapportage framework
Meetinformatie
Systematische meeting
Maandrapportage
8
21
9
8
55
Pie chart hell
Routers Unix LinuxAS 400 WebApps
voettekst6
Devices
Unix Linux
AS 400
Web
Apps
Monitoring groeimodel
Lunch seminar rapportage en logging7
Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen
De fysieke gebeurtenissen correleren met applicaties services en business processen
IT level monitoring
Awareness van management
Correctieve monitoring
Voorkomen van problemen
Aansturing van het controle proces
Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise
monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering
bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured
bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management
Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Maandrapportage
8
21
9
8
55
Pie chart hell
Routers Unix LinuxAS 400 WebApps
voettekst6
Devices
Unix Linux
AS 400
Web
Apps
Monitoring groeimodel
Lunch seminar rapportage en logging7
Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen
De fysieke gebeurtenissen correleren met applicaties services en business processen
IT level monitoring
Awareness van management
Correctieve monitoring
Voorkomen van problemen
Aansturing van het controle proces
Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise
monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering
bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured
bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management
Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Monitoring groeimodel
Lunch seminar rapportage en logging7
Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen
De fysieke gebeurtenissen correleren met applicaties services en business processen
IT level monitoring
Awareness van management
Correctieve monitoring
Voorkomen van problemen
Aansturing van het controle proces
Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise
monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering
bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured
bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management
Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise
monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering
bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured
bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management
Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Wat kunnen de auditors betekenen
voettekst9
Beoordelingen Assurance
bull Bepalen huidige niveau van volwassenheid
bull Opzet van de loggingbull Beoordeling informatiewaarde
rapportagesbull Compliance van de logging setup
met best practisebull Beoordelen Stappenplan voor
verbeteringbull Beoordelen
Overeengekomen werkzaamheden
bull Accuratesse metingenbull Werkingbull Wordt het doel van logging
behaald met de huidige selectie van logging events
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Normen voor logging (operations)1 Logging voldoet aan de volgende eisen
Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs
serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log
besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)
3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen
4 Computer events (start stop runlevels hardware events performance changes)
5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten
6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris
7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages
8 Een audit-log mag niet meer worden gewijzigd (read only access)
9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort
10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard
voettekst10
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Logs logs logs beautiful logs Authentication server or system logs may
include successful and failed authentication attempts
System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use
Intrusion detection and prevention system logs may include malicious activity and inappropriate use
Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)
Firewall logs may include unauthorized connection attempts and inappropriate use
Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information
Antivirus logs may include update failures and other indications of outdated signatures and software
Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications
voettekst11
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Deel 2 de security audit dmv pentest
voettekst12
IT audit
Security audit
Penetratie test
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Penetratie test fases
voettekst13
Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak
Uitvoeringbull Vast stellen van kwetsbaarheden
Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Penetratie testEvaluatie methode om de security van een computer system of
netwerk te testen door een aanval te simuleren
1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen
2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten
3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing
4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen
voettekst14
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices
op het netwerk (passief onderzoek)
bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)
bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden
Waar sniffenbull Bij de netwerk koppelingen
waar verkeer het netwerk binnenkomt en naar buiten gaat
bull Achter de firewalls om de filter regels te testen
bull Achter IDSsIPSs om de kijken of de triggers juist werken
bull Voor een belangrijk (kritiek) systeem
bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren
voettekst15
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily
exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any
security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate
length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program
1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack
1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files
1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise
1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode
1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts
voettekst16
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Rapportagedoelen
voettekst17
Beoordelen van
de impleme
ntatie status van
security maatreg
elen
Vaststellen van tegenmaatregelen voor
geiumldentificeerde kwetsbaarheden
Kosten baten analyse voor de
geiumlmplementeerde security maatregelen
Input voor
algemeen risico management en dreigingenanaly
ses kwetsbaarheidanalyses
Rapport
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
Vragen
Audit afspraken details etc
Contact cluster manager IT1 Marcel ten Have
voettekst18
- Slide 1
- Inhoud
- Risicoacutes gebrekkige logging
- Monitor and evaluate IT performance
- Management informatie (maandrapportage)
- Maandrapportage
- Monitoring groeimodel
- Best practise logging
- Wat kunnen de auditors betekenen
- Normen voor logging (operations)
- Logs logs logs beautiful logs
- Deel 2 de security audit dmv pentest
- Penetratie test fases
- Penetratie test
- Wat en waar
- Kwetsbaarheidscategorieeumln
- Rapportagedoelen
- Vragen
-
top related