Security
Директор, к.т.н.
- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Тест на проникновение в соответствии с PCI DSS презентация
Содержание
- 1. Тест на проникновение в соответствии с PCI DSS
- 2. © 2002—2009, Digital Security Кто? Что?
- 3. © 2002—2009, Digital Security Что это?
- 5. © 2002—2009, Digital Security Что показывает?
- 6. © 2002—2009, Digital Security Задача –
- 7. © 2002—2009, Digital Security Качество теста
- 8. © 2002—2009, Digital Security Пример внутреннего
- 9. 32 Итог Получен доступ с правами администратора
- 10. © 2002—2009, Digital Security ВОПРОСЫ 33
© 2002—2009, Digital Security Кто? Что? Зачем? 2 Требование 11.3 стандарта PCI DSS. Область применения – область обработки, хранения, передачи карточных данных (рабочие станции, серверы, сетевое оборудование). То есть все
Слайд 2
© 2002—2009, Digital Security
Кто? Что? Зачем?
2
Требование 11.3 стандарта PCI DSS.
Область применения
– область обработки, хранения, передачи карточных данных (рабочие станции, серверы, сетевое оборудование). То есть все объекты, попадающие под QSA-аудит.
Один раз в год или после серьезных изменений инфраструктуры
Цель – проникновение.
Один раз в год или после серьезных изменений инфраструктуры
Цель – проникновение.
Тест на проникновение в соответствии с PCI DSS
Слайд 3
© 2002—2009, Digital Security
Что это?
3
Тест на проникновение
Внешний периметр (из Интернет).
Внутренний периметр
(внутри корпоративной сети).
Алгоритм проникновения
Поиск уязвимостей.
Реализация уязвимостей.
Продвижение вглубь системы.
Обход существующих систем защиты.
Алгоритм проникновения
Поиск уязвимостей.
Реализация уязвимостей.
Продвижение вглубь системы.
Обход существующих систем защиты.
Тест на проникновение
Алгоритм сканера
Поиск уязвимостей по сигнатурам.
Генерирования отчёта.
Слайд 5
© 2002—2009, Digital Security
Что показывает?
4
Объективная реальность
Эффективность систем защиты.
Адекватность конфигурации ОС серверов
и рабочих станций, баз данных и активного сетевого оборудования.
Эффективность СУИБ в целом:
управление обновлениями;
парольная политика;
система журналирования и оповещения.
информированность пользователей
Эффективность СУИБ в целом:
управление обновлениями;
парольная политика;
система журналирования и оповещения.
информированность пользователей
Тест на проникновение
Слайд 6
© 2002—2009, Digital Security
Задача – проникновение (не сканирование!)
5
Тест на проникновение
Проникновение – получение доступа к ИС.
Карточные данные – не цель, цель - среда.
Если есть доступ к среде, значит карточные данные не защищены.
! Шифрование данных не является достаточной защитой:
возможность получения доступа к данным до или после проведения криптографических процедур;
перехват аутентификационных данных.
Итоговый вывод об успешном прохождении пентеста делает только QSA-аудитор
Слайд 7
© 2002—2009, Digital Security
Качество теста на проникновение
6
Тест на проникновение
Качество теста.
Опыт.
Исследования в
области ИБ
Квалифицированные специалисты.
Контроль Совета PCI SSC.
К критичным нарушениям QSA-аудитором процедуры проверки относятся:
Заведомо ложная трактовка аудитором требований стандарта;
Обозначение в Отчете о Соответствии невыполненного требования как выполненного.
Тест на проникновение – не просто сканирование
Отзыв статуса QSA у аудитора – проблемы с сертификатом у его заказчика
Квалифицированные специалисты.
Контроль Совета PCI SSC.
К критичным нарушениям QSA-аудитором процедуры проверки относятся:
Заведомо ложная трактовка аудитором требований стандарта;
Обозначение в Отчете о Соответствии невыполненного требования как выполненного.
Тест на проникновение – не просто сканирование
Отзыв статуса QSA у аудитора – проблемы с сертификатом у его заказчика
Слайд 8
© 2002—2009, Digital Security
Пример внутреннего теста на проникновение
32
Найдена уязвимость хранимого межсайтового
скриптинга на внутреннем портале.
Внедряется код, который перенаправляет в невидимом фрейме браузер пользователя на ресурс созданный специалистом проводящим тест на проникновение..
Проведение атаки SMB RELAY для аутентификации на контроллере домена используя NTLM пользователя.
Используя аутентификацию пользователя, специалист пробует выполнить код на контроллере домена – запуск командной строки.
Когда администратор посетил портал, на контроллере домена откроется черный ход – командная строка с правами доменного администратора.
Внедряется код, который перенаправляет в невидимом фрейме браузер пользователя на ресурс созданный специалистом проводящим тест на проникновение..
Проведение атаки SMB RELAY для аутентификации на контроллере домена используя NTLM пользователя.
Используя аутентификацию пользователя, специалист пробует выполнить код на контроллере домена – запуск командной строки.
Когда администратор посетил портал, на контроллере домена откроется черный ход – командная строка с правами доменного администратора.
Тест на проникновение
Слайд 932
Итог
Получен доступ с правами администратора к контроллеру домена.
Ошибки
Уязвимость типа XSS.
Тест на
проникновение
Пример внутреннего теста на проникновение
Слайд 10
© 2002—2009, Digital Security
ВОПРОСЫ
33
www.dsec.ru
www.dsecrg.ru
www.pcidss.ru
Тест на проникновение
