R e v i e w s & P e n e t r a t i o n T e s t i n g

Transkript

1 R e v i e w s & P e n e t r a t i o n T e s t i n g NetProtect AG Rautistr Zürich Tel: `58`48

2 WAS? Das Resultat eines Security-Tests liegt in der Offenlegung von Schwachstellen und Sicherheitslöcher. Im Gegensatz zu herkömmlichen Tests, die auf dem standardisierten Einsatz von Security-Scannern basieren, hat die NetProtect AG in ihrer Dienstleistung eine einzigartige Kombination von simulierten Angriffen und passiven Bedrohungsanalysen vereint. Mit unseren beiden Modulen: Penetration Tests und Security Reviews decken wir Schwachstellen auf, bevor sich potentielle Hacker diese zunutze machen! WIE? Die Sicherheit ist immer nur so gut wie das schwächste Glied in einer Kette; eine einwandfrei konfigurierte Firewall ist wertlos, wenn das System auf dem sie läuft nicht richtig konfiguriert ist, die User hinter der Firewall eigene Backdoors oder sogar Modems installieren und eine mit kritischen Exploits behaftete Applikation verwendet wird. Um den Anspruch eines umfassenden Security Tests zu genügen, müssen daher alle technischen und organisatorischen Teilaspekte beim Analyseprozess berücksichtigt werden. Je nach Anforderung werden auf den folgenden vier Ebenen Tests durchgeführt: Benutzer, Netzwerk, Applikation und System. Die Penetration Tests konzentrieren sich v.a. auf die Netzwerk- und Applikationsebene. Bei den Reviews stehen die Systeme und Benutzer in Vordergrund.

3 WER? Ein Team von erfahrenen Sicherheitsspezialisten sowie System- und Netzwerkspezialisten sorgt dafür, dass die von der NetProtect AG angewandte Methode sehr eng an realistische Hackerangriffe angelehnt ist. Die Zusammensetzung des Teams wird individuell auf die Kundenbedürfnisse abgestimmt und deckt die Bedürfnisse in heterogenen Systemumfeldern optimal ab. REVIEWS VS. PENETRATION TESTS Bei Reviews werden die Sicherheitstests On-Site direkt auf den Kundenrechnern durchgeführt. Dadurch dass man mit vollen Berechtigungsstufen auf den zu kontrollierenden Rechnern arbeitet, kann man mögliche Schwachstellen bis auf die tiefsten Systemebenen feststellen. Im Gegensatz dazu werden bei den Penetration Tests ob intern oder extern mögliche Schwachstellen nur über die Netzwerkebene lokalisiert.

4 Das Vorgehen wird jeweils auf die spezifischen Kundenanforderungen zugeschnitten. In der Regel erfolgt eine sehr enge Zusammenarbeit mit dem Kunden vor Ort. So sind einzelne Punkte wie Schulung, Briefing, etc. nicht als fixe Wegpunkte, sondern als ein andauernder Prozess in Ablauf des Tests zu verstehen. Vorbereitung Analyse der Netzwerktopologie auf Basis der bestehenden Dokumentation; Alternativ dazu eigenes Footprinting Definition Vorgehen Test und gemeinsame Strategiebesprechung Erläuterung der abzuklärenden Punkte und benötigten Informationen Einordnung kritischer Ressourcen und Festlegung Prioritätenplan Unterzeichnung der Papers: Non- Disclosure, Non-Liability, Written Order Security Test-Module Penetration Tests: Standard & Advanced Security Reviews: Standard & Advanced Analyse Analyse der internen/externen Testergebnisse Soll/Ist-Vergleich der Ergebnisse mit Anforderungen (Security Policies) Report Ist-Aufnahme vor Ort Abklären offene Punkte Überprüfen Aktualität der gelieferten Dokumentationen Beurteilung der Sicherheit aufgrund von Konzept, Design und Technologien Abweichungen bzgl. Anforderungen bzw. Security Policies

5 Spezifische Beurteilung der einzelnen Komponenten wie Servers, Router, Systeme und vorgegebene Applikationen (Ergebnisse der einzelnen Tests im Pdf-Format auf CD) Vorschläge und Empfehlungen für Verbesserung der Security und organisatorischer Massnahmenplan Briefing OPTIONAL: Konfiguration Schwachstellen gemäss Prioritätenplan und Bedrohungssituation in einem mehrstufigen Ansatz durch Task-Force Team minimieren Hardening der Applikationen und Systeme Präsentation der wichtigsten Ergebnisse auf verschiedenen Ebenen (executive & technical) Schulung Spezifisch auf einzelne Themengebiete und Kundenbedürfnisse abgestimmte Mitarbeiterschulungen zur Sensibilisierung und Prävention.

6 Modul 1: Standard Penetration Tests Die Standard Penetration Tests wurden entworfen um Firmen sehr schnell die Schwachstellen der Perimeter Security Infrastruktur aus Sicht eines externen Angreifers aufzuzeigen. Das Bundle umfasst ein Information Gathering (Informationssammlung), eine Sicherheitsanalyse bei welcher die Angriffspunkte identifiziert werden sowie die darauf aufbauenden Attacken. Bei den Penetration Tests werden die in der Vorphase gefundenen Schwachstellen ausgenutzt, um an Daten auf ausgewählten Hosts innerhalb der DMZ oder des Intranets zu gelangen. Information Gathering Obwohl vom Kunden im Vorfeld die wesentlichen System- und Netzwerkinformationen ausgehändigt werden, ist ein sogenanntes Footprinting sinnvoll. Dies erlaubt der NetProtect AG geschwätzige und schlecht konfigurierte Dienste aus Sicht eines Hackers zu analysieren und so die potentielle Angriffsfläche einzugrenzen. Erfasst werden TCP/UDP-Services, Architektur, ACL, SNMP-Informationen, Routing Tabellen, Namen, Banner, Protokolle, Domains, Zugriffssteuerungen, Postings an Newsgroups etc. Identifikation Angriffspunkte Auf Netzwerkebene werden neben kommerziellen Scannern auch diverse nicht-kommerzielle Scripts eingesetzt. Die direkt von der Hackerszene bezogenen und teils selbst programmierten Scripts sind eine komplementäre Ergänzung und garantieren eine fast lückenlose Abdeckung der aktuellsten Schwachstellen.

7 Abhängig von den jeweiligen Systemen und Netzwerktopologien differieren die Penetration Tests. Im Modul 1 folgenden werden Penetration Tests auf den Ebenen Netzwerk & Applikationen durchgeführt. Diese Tests können sowohl aus dem internen Netzwerk heraus (aus Sicht eines normalen Benutzers) oder über das Internet erfolgen. Netzwerkebene Spoofing / Hijacking: Eine Vorraussetzung um die Source Adresse zu spoofen und eine Verbindung von einer nicht vertrauenswürdigen Maschine aufzubauen ist die Sequence Number Prediction. Bei erfolgreichem Spoofen einer Adresse wird versucht eine Verbindung zu übernehmen (Hijacking) Sniffing: Gezieltes Überwachen von Netzwerkverbindungen um an Informationen wie z.b. Userpasswörter zu gelangen. RIP: Versuche z.b. über RIP Routingtabellen auf dedizierten Hosts abzuändern. DoS-Attacks: Syn-Flood Attacks, ICMP- Bombs, Buffer Overflows und andere Attacken werden eingesetzt um gezielt Source-Code einfliessen zu lassen. Applikationsebene DNS: DNS Spoofing oder DNS Cache Manipulationen Mailattacken: Flooding, Exploits, Malicious Code, Trojans and Backdoors FTP, NFS, HTTP, NEWS etc. : Es werden vielfältige Angriffe unternommen um Root Rechte auf einer Maschine zu erlangen und einzelne Dateien zu manipulieren Webserver: Testen von CGI, ASP, PHP etc.

8 Modul 2: Advanced Penetration Tests Der Advanced Penetration Test umfasst das Modul 1 und erweitert dieses. Hinzu kommen Untersuchungen auf der Userebene und eine Analyse des Telefonleitungsnetzes (PSTN): Telefonleitungsnetz: Bei den externen Scanns werden zusätzlich Wardialer eingesetzt. Das RAS-Segment und möglicherweise unerlaubt installierte Modems können auf diverse sicherheitskritische Eigenschaften und Konfigurationsmängel untersucht werden. Social Engeneering: Die technischen Möglichkeiten zur Informationsgewinnung werden ergänzt durch die Methodik des Social Engeneerings. Erfahrene Spezialisten werden über diesen Ansatz auf verschiedenen hierarchischen Ebenen Testanrufe und unangemeldete Besuche durchführen um so an kritische Daten zu gelangen.

9 Modul 1: Standard Review Das Modul 1 betrifft eine interne Analyse der Systeme. Im Gegensatz zu den netzwerkbasierenden Penetration Testings finden diese Analysen On-Site mit vollen Zugriffsrechten direkt auf den zu untersuchenden Objekten beim Kunden statt. Interne (ON-Site) Analyse: Gemäss aktuellen Untersuchungen gehen über 70 % der Attacken zulasten interner autorisierter oder nicht autorisierter Benutzer (vgl. Abb.) Die internen Security Reviews der NetProtect AG tragen der heutigen Bedrohungslage Rechnung. NetProtect AG bietet mit der Schwachstellenanalyse des internen Netzwerkes eine präventive Schutzmassnahme um dem internen Missbrauch vorzubeugen. Dazu wird eine statistisch signifikante Menge aus kritischen Ressourcen (Server, Router, Workstations etc.) gebildet. Diese wird gemäss vordefinierten Policies und Bedrohungspotential äquivalent zur externen Sicherheitsanalyse untersucht: File Permissions, installierte Backdoors, Softwareversionen, Registry, unerlaubte Software, veraltete Treiber etc. Datenbank Security Kontrollen (Authorisation, Authentifizierung und Systemintegrität)

10 Modul 2: Advanced Review Das Advanced Review umfasst das Modul 1. Neben einer proaktiven Schwachstellenanalyse kommt eine passive Bedrohungsanalyse und eine Untersuchung organisatorischer Prozesse. Passive Bedrohungsanalyse: Zu diesem Zweck werden über einen Zeitraum von min. 2 Wochen ein netzwerkbasierendes Intrusion Detection System aufgesetzt: Ein auf Signaturen und Netzwerkanomalien programmiertes System vor der Firewall zur frühzeitigen Erkennung von Attacken die von der Firewall blockiert werden. Ein Intrusion Detetection System innerhalb der DMZ und des RAS Segmentes Ein Intrusion Detection System in ausgewählten Bereichen des Intranet Organisatorische Ebene: Die Ebenen User, Systeme, Applikationen und Netzwerk werden um die organisatorische Ebene erweitert: Angestellte (Administratoren, System- und Netzwerkbetreuer, Security-Verantwortliche, ausgewählte User) werden hinsichtlich Sicherheitsbewusstsein, Verantwortungsgebiete und Richtlinien interviewt Organisatorische Prozessabläufe werden hinsichtlich sicherheitskritischer Ereignisse untersucht