w w w . v i a v i s . c z 1 / 30 Bezpečnostní testování Kybernetická a informační bezpečnost II Vladimír Lazecký vladimir.lazecky@viavis.cz www.viavis.cz 2 / 30 Proč bezpečnostní testování Způsob prověření funkčnosti a účinnosti bezpečnostních opatření Někdy jde o jediný způsob Nedílná součást systematického řešení KB Testy technických opatření Testy organizačních opatření Testy jako motivace k dodržování pravidel www.viavis.cz 3 / 30 Limity bezpečnostních testů Testy nikdy neodhalí všechny slabiny Testy by měly být opakovatelné: Nemusí platit vždy – měnící se podmínky Vliv anomálií Testovací slepota: Testující upadá do stejných vzorců www.viavis.cz 4 / 30 Kdy testovat Před implementací opatření: Zjištění výchozího stavu Motivace odpovědných Před nasazením do provozu: Ověření stanovené míry bezpečnosti Součást akceptačních testů www.viavis.cz 5 / 30 Kdy testovat Po implementaci a v rutinním provozu bezp. opatření: Zda jsou splněny cíle Zda je udržena stanovená míra bezpečnosti v čase Provozní rutina: Dlouho se nic nedělo… Provozní slepota www.viavis.cz 6 / 30 Typy bezpečnostních testů „Check list testy“ = testy shody s definovanými požadavky Trusted Information Security Assessment Exchange (TISAX) – testy shody s požadavky, automotice The Digital Operational Resilience Act (DORA) – finanční sektor BASEL III – systém řízení operačního rizika bank Validace – GAMP 5 např. farmaceutických provozů, validace integrity dat www.viavis.cz 7 / 30 Penetrační testy – používané metodiky Open Source Security TesYng Methodology Manual (OSSTMM) Open Web ApplicaYon Security Project (OWASP) Web ApplicaYon Security ConsorYum Threat ClassificaYon (WASC-TC) PenetraYon TesYng ExecuYon Standard (PTES) InformaYon Systems Security Assessment Framework (ISSAF) www.viavis.cz 8 / 30 Typy penetračních testů Systematické třídění neexistuje, přesto se o ně pokusíme J Vulnerability scan – detekce zranitelností Zjištění, zda testované systémy nemají známé zranitelnosti: Databáze zranitelností Konfigurační chyby Obvykle jde o automatizované testy Výhody/nevýhody? www.viavis.cz 9 / 30 Penetrační testy Testy s cílem průniku: Ověření funkčnosti bezpečnostních mechanismů Testuje se nejen vlastní průnik, ale za bude zachycen a jak bude reagováno Součástí jsou obvykle vulnerability scany www.viavis.cz 10 / 30 Typy penetračních testů Testy bez znalosti: Blind test, double blind test Testující nemá žádné vstupní informace Součástí testů je OSINT Testující postupuje jako útočník Výhody/nevýhody? www.viavis.cz 11 / 30 Typy penetračních testů Testy se znalostí: Testující zná některé reálie, může mít oprávnění přístupu Testy útoku ze strany zaměstnance, partnera… Výhody/nevýhody? www.viavis.cz 12 / 30 Typy penetračních testů Externí testy Testy vedené z vnějšku perimetru Interní testy Testy vedené za perimetrem www.viavis.cz 13 / 30 Typy penetrační testů Nekooperativní testy Testy bez součinnosti se zadavatelem Testuje se i zda je test zachycen Kooperativní testy Testy za přímé účasti zadavatele Obvykle se rovnou odstraňují nedostatky Hardening www.viavis.cz 14 / 14 Sociotechnické testy Sociotechnické testy Předmětem testování je uživatel a jeho chování EAcký kodex testování Cílem: Testy uživatelských návyků, dodržování pravidel, jejich znalost, schopnost test odhalit Metody: Manipulace, zneužiJ důvěry, podvrhy Výhody: MoAvace zaměstnanců k dodržování pravidel Nevýhody: Ohrožení důvěry a firemní kultury www.viavis.cz 15 / 14 Kombinace testů Testy lze vhodně kombinovat Technické testy x sociotesty Phishing, vishing – test průniku do systému Testy se znalostí x bez znalosti = tzv. GREY test Kreativní testy Testovací scénář na míru www.viavis.cz 16 / 14 Fáze bezpečnostních testů Přípravná etapa: Cíl testu Získávání informací – OSINT, konzultace Plánování testu: Volba technik testování Tvorba testovacích scénářů Validace scénářů Detekce zranitelností: Výstupy OSINT: Smlouvy, systémy.. www.viavis.cz 17 / 14 Fáze bezpečnostních testů Testování Realizace testovacích scénářů Zvyšování brutality testů Detekce zranitelností, hodnocení, částečné posouzení rizik Návrhy protiopatření www.viavis.cz 18 / 14 Fáze bezpečnostních testů Zpracování výsledků a předání zprávy Obsah zprávy: Metodika Popis realizace Zjištěné zranitelnosti s hodnocením Návrh jejich odstranění - protiopatření www.viavis.cz 19 / 14 Pojďme si hrát Jste firma nabízející penetrační testy Zákazník – cpzp.cz objednává blind test Cílem testu je získat přístup do databáze pojišťenců Připravte 3 testovací scénáře Omezení: Nedestruktivní test Etický kodex Cena testu 160.000 CZK www.viavis.cz 20 / 14 Pojďme si hrát Jste firma nabízející penetrační testy Zákazník – slu.cz objednává test Cílem testu je získat přístup do databáze studentů – zjištění odolnosti Připravte 3 testovací scénáře Omezení: Nedestruktivní test Etický kodex Cena testu 160.000 CZK www.viavis.cz 21 Prostor pro vaše dotazy www.viavis.cz 22 Prostor pro vaše dotazy… Děkuji za pozornost Za tým VIAVIS a.s. § Vladimír Lazecký