Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy już niezbędna...
-
Upload
the-software-house -
Category
Technology
-
view
234 -
download
0
Transcript of Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy już niezbędna...
Inżynieria społeczna jako element testów bezpieczeństwa - tylko teoria, czy już niezbędna praktyka
Monika Sadlok
/sadlokmonika
Czego nie będzie w prezentacji?
- instrukcji związanych z konfiguracją narzędzi wykorzystywanych w pracy pentestera
gotowych testów
Ej, no co ty?
To po co mam tutaj siedzieć?
Ale…1. poznamy definicję socjotechniki i
przykłady jej stosowania,2. poznamy kilka narzędzi pomocnych w
fazie reaserchu,3. przekonamy się, że najsłabszym
elementem systemów bezpieczeństwa jest człowiek,
4. poznamy ścieżki dla samodzielnych poszukiwań.
Zaczynamy od definicji!Czym jest inżynieria społeczna?
zespół technik służących osiągnięciu pewnych, wcześniej zdefiniowanych celów
jest to działanie celowe, przemyślane
sztuka/umiejętność efektywnej manipulacji jednostką lub grupą/organizacją
Inżynierią społeczną rządzi 6 reguł, które pozostają niezmienne od momentu, kiedy człowiek pozyskał wiedzę, że manipulacja przynosi korzyści.
1. Reguła wzajemności
2. Reguła zaangażowania
3. Reguła społecznego dowodu słuszności
4. Reguła sympatii
5. Reguła autorytetu
6. Reguła niedostępności
Kto wykorzystuje inżynierię społeczną?
HAKERZY
Przykład?
Wszyscy znali, czytali, podziwiali?!Więc może coś innego?
Może i banalne, ale jeśli zależy nam na popularności w mediach
społecznościowych...
SZPIEDZY
NIELOJALNY PRACOWNIKNIEŚWIADOMY PRACOWNIK
SPRZEDAWCY
Jak wykorzystać tę wiedzę w testach bezpieczeństwa?
Rodzaje testów bezpieczeństwaBLACK BOXPentester nie posiada żadnych szczegołowych informacji na temat badanego obiektu.Ten rodzaj weryfikacji jest stosowany do symulacji zewnętrznego ataku, bez posiadania wiedzy wewnętrznej. WHITE BOXPentester posiada kompleksowe informacje na temat badanego obiektu. Obejmują one dane dostępowe, dokumentację analityczną, kod zrodłowy oraz wszelkieinne informacje, ktore pomogę uzyskac pełny obraz badanego systemu. GRAY BOXTyp testu pomiędzy Black a White box. W tym przypadku pentester może otrzymać okrojone informacje o badanym obiekcie, np. na poziomie wiedzy zwykłego użytkownika.
Pamiętaj testerze!!!!
Cel testów bezpieczeństwa
- biznesowy - technologiczny
Standardy testów bezpieczeństwa
PTES (Penetration Testing Execution Standard)- definiuje testy penetracyjne na nowo,- ustanawia podstawowe zasady ważne dla początkujących
i doświadczonych testerów,- www.pentest-standard.org.
Rozpoznanie:
- wykorzystanie portali społecznościowych
- google hacking- rozmowa z klientem
Socjotechnika, a urządzenia mobilne? No Problem
Socjotechnika == manipulacja
Raport
- to najważniejszy element testów penetracyjnych
- pozwalają przedstawić czynności jakie wykonałeś i przekazać informacje jak zabezpieczyć luki w systemie
- powinien składać się z trzech części (streszczenia dla zarządu, prezentacji dla zarządu, ustalenia techniczne)
Raport odpowiada na pytania:
- Czy środki bezpieczeństwa zostały odpowiednio dobrane?
- Czy wdrożone systemy zostały prawidłowo skonfigurowane?
- Czy chroniony zasób nie posiada w sobie luk umożliwiających atak?
Tego lepiej unikaćCo prawda w tej części sieci nie odnaleziono żadnych problemów, ale mogą one występować lub nie występować do momentu ich odkrycia.
Skutki przeprowadzenia testu na tej bazie danych mogą mieć poważne skutki.
Zaleca się, aby odkryte błędy zostały usunięte zgodnie z priorytetami określonymi w raporcie.
Czas trwania testów
Czas to pieniądz … pieniądz jest czasem..a czasem go nie ma
Człowiek czy skaner?
Skaner automatyczny- masowe, cykliczne skany,- czasowa przewaga w rozbudowanych aplikacjach,- możliwość pominięcia nietypowych przypadków,- możliwość pominięcia oczywistych, ale nietypowych
podatności,- niska skuteczność w testowaniu logiki biznesowej.
GRZECHY PENTESTÓW
PYCHAMamy świetne zabezpieczenia!
- brak dojrzałości organizacji- nieomylność ludzka- raport “AD ACTA”
CHCIWOŚĆTesty są kosztowne i nie są nam potrzebne
- cena czy jakość, czy jakoś(ć) to będzie,
- czas to pieniądz,- niedoszacowanie wydatków.
NIECZYSTOŚĆ
- brak opracowanej strategii,- rozmycie odpowiedzialności.
LENISTWO
Czuwaj nawet jeśli jesteś bezpieczny
- droga na skróty- kopiowanie
PODSUMOWANIE
Bezpieczeństwo nie jest stanem, lecz procesem.
Testy bezpieczeństwa pomagają zapobiegać niebezpieczeństwom,
zanim się zmaterializują.
Testy bezpieczeństwa potrafią zweryfikować pracowników firmy, czy
przestrzegają polityki bezpieczeństwa, czy są lojalni.
Testy bezpieczeństwa same w sobie nie usuną luk w systemie.
Polecam:
Z cyklu tego NIE powiedział P.Coelho
Najważniejsze w życiu są testy bezpieczeństwa.