![Page 1: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/1.jpg)
Audity a penetračné testovanieZákladné predpoklady kybernetickej bezpečnosti
Ján Jablonský
![Page 2: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/2.jpg)
Rozdelenie IT a OT systémov
CIA (IT) vs. AIC (OT)
C = Confidentiality
I = Integrity
A = Availability
![Page 3: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/3.jpg)
Next generation
![Page 4: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/4.jpg)
4
Prečo audit, prečo pentest?
![Page 5: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/5.jpg)
Sofistikovanejšie
hrozby a útoky na
systémy, zvýšené
nároky na bezpečnosť
a ochranu aktív
spoločnosti vyžadujú
komplexnejší prístup.
Komplexnosť
požiadaviek na
implementáciu IT
riešení pre potreby
rozvoja business.
![Page 6: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/6.jpg)
6
Audit kybernetickej bezpečnosti
![Page 7: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/7.jpg)
Legislatívny pohľad
Zákon č. 69/2018 Z.z. o
kybernetickej bezpečnosti
§29 – Audit
Vyhláška č. 362/2018 Z.z. Národného bezpečnostného
úradu ktorou sa ustanovuje obsah bezpečnostných
opatrení, obsah a štruktúra bezpečnostnej dokumentácie
a rozsah všeobecných bezpečnostných opatrení
§2 – Obsah a štruktúra bezpečnostnej dokumentácie
d) vykonanú analýzu rizík kybernetickej bezpečnosti,
e) záverečnú správu o výsledkoch auditu kybernetickej bezpečnosti
podľa § 29 zákona
![Page 8: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/8.jpg)
8
• Nezávislé overenie bezpečnostného systému
• Zhodnotenie adekvátnosti implementovaných opatrení
• Štandardne kontrolovaný obsah, validita a dodržiavanie bezpečnostnej dokumentácie
• Realizácie na rôznych úrovniach technického detailu
![Page 9: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/9.jpg)
Audit je základným
predpokladom pre
zistenie aktuálnych
zraniteľnosti a
vypracovania
analýzy rizík.
Audit kybernetickejbezpečnosti
Analýza rizík
Katalóg zraniteľnosti
Klasifikácia informácií
Bezpečnostné
politiky
Bezpečnostná
stratégia
![Page 10: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/10.jpg)
10
Pentest predĺžená ruka bezpečnosti
![Page 11: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/11.jpg)
Metoda hodnotenia
zabezpečenia počítačových
zariadení, systémov a
aplikácií. Vykonáva sa
testovaním, simulovaním
možných útokov na daný
systém ako z externého tak
z interného prostredia
1. Webové a mobilné
aplikácie
2. IT infraštruktúra
3. Social engineering
4. Špeciálne
![Page 12: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/12.jpg)
1. White-Box
Kategorizácia penetračných testov
2. Black-Box
3. Grey-Box
1. Transparentné
testovanie
2. Utajené testovanie
![Page 13: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/13.jpg)
Metodika pre penetračné testovanie
• OWASP Testing Guide (OTG)
• Open Source Security Testing Methodology Manual (OSSTMM)
• Information Systems Security Assessment Framework (ISSAF)
• Penetration Testing Execution Standard (PTES)
• NIST SP 800-115
![Page 14: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/14.jpg)
Vulnerability assessment v OT
• OT = Vysoká citlivosť na Dostupnosť
• Zistenie aktuálneho stavu systémov
• Zistenie zraniteľností v danom systéme
• Zisťuje sa prístup operátorov k OT systémov
• Porovnanie systému voči medzinárodných štandardov (ISA/IEC 62 443)
• Návrh riešení na odstránenie zraniteľností
![Page 15: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/15.jpg)
Prečo chcem pentest alebo vulnerability assessment v OT?
Určenie, ako efektívne dokáže cieľový systém odolávať reálnym útokom
identifikáciu možných dodatočných protiopatrení, ktoré môžu prispieť ku zníženiu hrozieb
určenie miery pravdepodobnosti, akou sofistikovaný útočník dokáže úspešne kompromitovať systém
overenie schopnosti organizácie včas detegovať útok a vhodným spôsobom reagovať
Overenie kvality dodávaných služieb pri upgrade aplikácií a infraštruktúry
Overenie úrovne bezpečnostného povedomia u zamestnancov
Review zdrojového kódu – v prípade individuálnych požiadaviek klienta
![Page 16: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/16.jpg)
Požiadavky na dodávateľa
• Skúsenosti a kvalifikácia
• Audity/Vulnerability management/Penetrační testy obecne
• Rovnaký typ auditu/ penetračných testov
• Certifikácie realizačného tímu
• Dokumentácia
• Typový výstup
![Page 17: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/17.jpg)
17
Špecifická komplexnosť auditu a penetračného testovania si
vyžaduje individuálny prístup a skúsenosti.
![Page 18: Audity a penetračné testovanie Základné predpoklady ... · 4/3/2019 · • Information Systems Security Assessment Framework (ISSAF) • Penetration Testing Execution Standard](https://reader033.vdocuments.pub/reader033/viewer/2022042001/5e6dda6bc165e44f222a7531/html5/thumbnails/18.jpg)
Ďakujem za pozornosť