Transcription
Open source metodiky a nástroje v Cyber SecurityMotivace a možnosti pro jejich využitíJan Kincl j [email protected] LinkedInUniverzita Tomáše Bati ve ZlíněFakulta aplikované informatiky21.07.2022Laboratoř penetračního testováníPT LAB
O laboratoři https://ptlab.fai.utb.cz/ LinkedIn Kybernetická a aplikační bezpečnost Kryptografie Pen. testy Ing. David Malaník, Ph.D.–vedoucí laboratoře Ing. Jan Kincl–junior researcher Monitoring a správa infrastruktur networking mobilní malware21.07.2022Open source metodiky a nástroje v Cyber Security2/15Penetration TestingLaboratory
Motivace Dlouhodobá bezpečnostní situace není dobrá Ztráty 2021: cca. US 6 bil. Ransomware: US 170 000 - S 1.85 mil - 23 dní Narůstající intenzita útoků na infrastruktury Negativní vliv pandemie COVID 19 konflikt na Ukrajině Útoky více cílené, větší intenzita Potřeba důsledného zabezpečování infrastruktur Limitace správcovského týmu Lidské zdroje, finance pro provoz Možné řešení ? -- Open Source21.07.2022Open source metodiky a nástroje v Cyber Security3/15Penetration TestingLaboratory
GRAFYOdhad vývoje počtu útoků na 2Open source metodiky a nástroje v Cyber Security4/15Penetration TestingLaboratory
GRAFYProcentuální nárůst počtu útoků nafirmy, dle .2022Open source metodiky a nástroje v Cyber Security5/15Penetration TestingLaboratory
GRAFYVýskyt klíčového slova COVID-19 vjednotlivých typech t-%20August%202020.pdf21.07.2022Open source metodiky a nástroje v Cyber Security6/15Penetration TestingLaboratory
Open source metodiky a jak je použít OSSTMM - Open Source Security Testing Methodology Manual Organizace ISECOMMetodika pro provádění bezpečnostních testůStanovuje sérii kroků a vhodných zaměřeníDoporučuje oblasti, na které je vhodné se zaměřit při zajišťování bezpečnosti Analýza Metodika práce Testování bezdrátových sítí ,,Lidská” bezpečnost OWASP – Open Web Application Security Project Organizace vyvíjející open source metodiky a nástroje pro zajištění bezpečnosti OWASP Web Security Testing Guide Metodika pro testování bezpečnosti webových aplikací a služeb OWASP Mobile Security Testing Guide Metodika pro testování bezpečnosti mobilních aplikací Obě metodiky zahrnují postupy, doporučené nástroje a ukázkové příklady21.07.2022Open source metodiky a nástroje v Cyber Security7/15Penetration TestingLaboratory
Open source metodiky a jak je použít OSINT - Open Source Inteligence Získávání informací z veřejně dostupných zdrojů Využívání open source nástrojů OTX – Open Threat Exchange Platforma pro sdílení informací ohledně hrozeb kybernetického bezpečnosti Výzkum validace výsledků odhalování trendů návrh opatření21.07.2022Open source metodiky a nástroje v Cyber Security8/15Penetration TestingLaboratory
Open source metodiky a jak je použít Možnosti využití: OSSTMM – možný základ pro: Stanovení firemních bezpečnostních politik Splnění certifikací ISECOM, norem ISO 27000, rozšíření COBIT, ITIL Stanovení průběhu a zaměření penetračního testu – vím co objednat Požadavky, kritéria, cíle pro testování, kontakty apod. OWASP Web a Mobile security testing guide Postupy pro vývojářské týmy pro zajištění bezpečnosti aplikací Korektní vývoj, práce se zařízeným, ošetření vstupů apod. Cílem zajistit bezpečnost infrastruktury nebo produktu společnosti Nákladem ,,pouze“ vlastní práce při implementaci, know-how zdarma21.07.2022Open source metodiky a nástroje v Cyber Security9/15Penetration TestingLaboratory
Důležité pojmy, se kterými se lze potkat CWE - Common Weakness Enumeration(https://cwe.mitre.org/) Obecný seznam běžných SW a HW zranitelností CVE - Common Vulnerabilities and Exposures (https://cve.mitre.org/) Konkrétní identifikátory odhalených zranitelností a jejich zneužití CVSS - Common Vulnerability Scoring Systém Standart pro posuzování závažnosti zranitelností skóre 0 – 10 Open source metodiky a nástroje v Cyber Security10/15Penetration TestingLaboratory
Zajímavé open-source nástroje, které lze využít Zabbix – kompletní řešení pro realizaci monitoringu infrastruktury Systémové metriky detekce definovaných incidentů aut. Management AlienVault – Open Threat Exchange SIEM systém Řešení pro bezpečnostní monitoring zařízení, detekci zranitelností,podezřelého chování, průniku do infrastruktury Have I Been Pwned? – možnost kontroly úniku uživatelských údajů Mail-tester – možnost testu míry ,,Spamovosti“ vašeho mailu OWASP ZAP – bezpečnostní skener webových aplikací Security Headers – nástroj pro kontrolu HTTP Response Headers webových služeb SSL Server Test – nástroj pro kontrolu SSL konfigurace webových služeb21.07.2022Open source metodiky a nástroje v Cyber Security11/15Penetration TestingLaboratory
Zajímavé open-source nástroje, které lze využít OSINT Framework – nástroj pro vyhledávání OSINT vhodných nástrojůGNURadio– Rodina open source nástrojů pro zpracování signálůMISP – Malware Information Sharing PlatformMalice – ,,Open source VirusTotal“OpenCTI – Open cyber threat intelligence – sdílená vědomostní báze cyber securityOpenTitan – Projekt cílící na korektní a bezpečný návrh mikroprocesorůLockdoor Framework – open source framework využitelný při penetračních testechCuckoo – Nástroj pro automatizovanou analýzu malwaruKali LinuxKitploit - ,,studnice“ zajímavých nástrojů a informací při práci s bezpečností21.07.2022Open source metodiky a nástroje v Cyber Security12/15Penetration TestingLaboratory
Zajímavé open-source nástroje které lze využítAlienVaultNáhled výsledku bezpečnostníhoauditu zařízení, vytvořenopomocí AlienVault21.07.2022Open source metodiky a nástroje v Cyber Security13/15Penetration TestingLaboratory
Výhody a přínosy Komunitní základ jednotlivých metodik a nástrojů Obrovské množství poskytovaných dat při detekci zranitelnostíFlexibilní komunitní vývoj nástrojůVelmi rychlá reakce na nové hrozby a problémy OWASP Top10Rozsáhlá komunita uživatelů a vývojářů Podpora zajištění úrovně kybernetické bezpečnosti Vodítka a pomůcky pro vývojářské týmy, IT oddělení, SecOps, SOC apod. Základ pro nastavení bezpečnostních politik společnosti ,,První krůčky“ k zisku certifikací ZDARMA – alespoň pořizovací náklad21.07.2022Open source metodiky a nástroje v Cyber Security14/15Penetration TestingLaboratory
Děkuji za pozornostOpen source metodiky a nástroje v Cyber SecurityMotivace a možnosti pro jejich využitíJan Kincl j [email protected] LinkedInUniverzita Tomáše Bati ve ZlíněFakulta aplikované informatiky21.07.2022Laboratoř penetračního testováníPT LAB
Penetration Testing 21.07.2022 Open source metodiky a nástroje v yber Security 7/15 Laboratory Open source metodiky a jak je použít OSSTMM-Open Source Security Testing Methodology Manual Organizace ISECOM Metodika pro provádění bezpečnostních testů Stanovuje sériikrokůa vhodných zaměření Doporučuje oblasti,na které je vhodné se zaměřit při zajišťování .
