Abstract image of a woman sitting on books and studying on a laptop

Penetration_testing a.spiridenkovas

Baltic Data Center (BDC), profile picture
Baltic Data Center (BDC)

Penetration testing is one of the most usefull authorised and legal tools in discovering security breaches.

Technology
Related topics:
Penetration-Testing
1 of 10
Download to read offline
1
2
3
4
5
6
7
8
9
10
ĮSILAUŽIMO GALIMYBĖS ĮVERTINIMAS (ANGL. PENETRATION TESTING): TEORIJA IR PRAKTIKA A.Spiridenkovas
Kas yra įsilaužimo galimybės įvertinimas ir kam to reikia? 2 “Įsilaužimo galimybės įvertinimas gali būti apibrėžtas kaip legalus ir autorizuotas bandymas nustatyti saugumo pažeidžiamumus ir sėkmingas jų panaudojimas įsilaužimui į sistemą tam, kad padarytume ją saugesne.” Kam to reikia? - Saugumo įvertinimas (rizikų valdymas) - Atitiktis (PCI, ISO, SOX, įstatymai) - Kontrolės (IDS, DLP, ugniasienės)
2013 m. 3
Atsitiktinumas 4
Ką būtina padaryti, prieš atliekant įsilaužimo galimybės vertinimą - Vadovybės pritarimas; - Taikymo srities nustatymas; - Žinojimas, kas yra jautrausia ir kas gali sukelti didžiausią žalą; - Patikrinkite saugumo testuotojus, žinokite jų sugebėjimus; - Žinokite, kokius metodus jie naudoja; - Peržiūrėkite ataskaitų pavyzdžius; - Automatizuotų saugumo spragų nustatymo programų naudojimas nėra įsiskverbties bandymo testas. 5
6
Dažniausiai pasitaikantys nesusipratimai - Apimtis yra nuslėpiama nuo testuotojų arba blogai apibrėžta; - Trečios šalys nėra informuotos apie testus; - Sistema nėra paruošta; - Blogai suderintas testavimo laikas; - Sistemų administratoriai pradeda šalinti klaidas arba išjunginėti sistemas testo metu; - Pakartotinas patikrinimas nėra numatomas biudžete; - Periodinis testavimas išvis nėra svarstomas; - Apie biudžetą išvis neverta kalbėti... 7
Įsiskverbimo testų tipai 8 „Juodosios dežės“ (black-box (blind)) „Pilkosios dežės“ (gray-box (partial disclosure)) „Baltosios dežės“ (white-box (full disclosure))
Įsiskverbimo testų etapai 9 1. Establish goal (tikslo nustatymas) 2. Reconnaissance (žvalgyba, informacijos rinkimas) 3. Discovery (aptikimas, prievadų skanavimas) 4. Exploitation 5. Brute forcing 6. Social engineering 7. Taking control 8. Pivoting 9. Evidence collection 10. Reporting 11. Remediation
AČIŪ! 10

More Related Content

PDF
Virtualių darbo vietų sprendimai.
Baltic Data Center (BDC)
 
PPTX
A kovaliov agile public procurement - pm days 2014
Baltic Data Center (BDC)
 
PDF
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Baltic Data Center (BDC)
 
PDF
Bdc data centri dlia biznesa
Baltic Data Center (BDC)
 
PDF
Kyoto prezentacija 2013 05 15
Baltic Data Center (BDC)
 
PDF
SAP prezentacija
Baltic Data Center (BDC)
 
PDF
Shagnut v oblaco_v_meste_s-bdc
Baltic Data Center (BDC)
 
PDF
Kompiuterizuotu darbo vietu alternatyvos
Baltic Data Center (BDC)
 
Virtualių darbo vietų sprendimai.
Baltic Data Center (BDC)
 
A kovaliov agile public procurement - pm days 2014
Baltic Data Center (BDC)
 
Audrius cesiulis pwhc_pasaulinis_it_saugumo_tyrimas
Baltic Data Center (BDC)
 
Bdc data centri dlia biznesa
Baltic Data Center (BDC)
 
Kyoto prezentacija 2013 05 15
Baltic Data Center (BDC)
 
SAP prezentacija
Baltic Data Center (BDC)
 
Shagnut v oblaco_v_meste_s-bdc
Baltic Data Center (BDC)
 
Kompiuterizuotu darbo vietu alternatyvos
Baltic Data Center (BDC)
 

More from Baltic Data Center (BDC) (7)

PDF
Rezerviniai duomenu centru sprendimai.
Baltic Data Center (BDC)
 
PDF
Foto ekskursija po bdc kyotto cooling
Baltic Data Center (BDC)
 
PDF
Bdc future of business analytics final
Baltic Data Center (BDC)
 
PDF
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
Baltic Data Center (BDC)
 
PDF
2013 05 28 29 kyoto_vakaris stakauskas
Baltic Data Center (BDC)
 
PDF
2013 0425 rimi sap migracijos aspektai_robertas_balkys
Baltic Data Center (BDC)
 
PDF
2013 04 25 ito tendencijos giedrius askoldavicius
Baltic Data Center (BDC)
 
Rezerviniai duomenu centru sprendimai.
Baltic Data Center (BDC)
 
Foto ekskursija po bdc kyotto cooling
Baltic Data Center (BDC)
 
Bdc future of business analytics final
Baltic Data Center (BDC)
 
2013 04 11 praktiniai veiklos tęstinumo valdymo aspektai a.samuchov
Baltic Data Center (BDC)
 
2013 05 28 29 kyoto_vakaris stakauskas
Baltic Data Center (BDC)
 
2013 0425 rimi sap migracijos aspektai_robertas_balkys
Baltic Data Center (BDC)
 
2013 04 25 ito tendencijos giedrius askoldavicius
Baltic Data Center (BDC)
 
Ad

Penetration_testing a.spiridenkovas

  • 1. ĮSILAUŽIMO GALIMYBĖS ĮVERTINIMAS (ANGL. PENETRATION TESTING): TEORIJA IR PRAKTIKA A.Spiridenkovas
  • 2. Kas yra įsilaužimo galimybės įvertinimas ir kam to reikia? 2 “Įsilaužimo galimybės įvertinimas gali būti apibrėžtas kaip legalus ir autorizuotas bandymas nustatyti saugumo pažeidžiamumus ir sėkmingas jų panaudojimas įsilaužimui į sistemą tam, kad padarytume ją saugesne.” Kam to reikia? - Saugumo įvertinimas (rizikų valdymas) - Atitiktis (PCI, ISO, SOX, įstatymai) - Kontrolės (IDS, DLP, ugniasienės)
  • 5. Ką būtina padaryti, prieš atliekant įsilaužimo galimybės vertinimą - Vadovybės pritarimas; - Taikymo srities nustatymas; - Žinojimas, kas yra jautrausia ir kas gali sukelti didžiausią žalą; - Patikrinkite saugumo testuotojus, žinokite jų sugebėjimus; - Žinokite, kokius metodus jie naudoja; - Peržiūrėkite ataskaitų pavyzdžius; - Automatizuotų saugumo spragų nustatymo programų naudojimas nėra įsiskverbties bandymo testas. 5
  • 6. 6
  • 7. Dažniausiai pasitaikantys nesusipratimai - Apimtis yra nuslėpiama nuo testuotojų arba blogai apibrėžta; - Trečios šalys nėra informuotos apie testus; - Sistema nėra paruošta; - Blogai suderintas testavimo laikas; - Sistemų administratoriai pradeda šalinti klaidas arba išjunginėti sistemas testo metu; - Pakartotinas patikrinimas nėra numatomas biudžete; - Periodinis testavimas išvis nėra svarstomas; - Apie biudžetą išvis neverta kalbėti... 7
  • 8. Įsiskverbimo testų tipai 8 „Juodosios dežės“ (black-box (blind)) „Pilkosios dežės“ (gray-box (partial disclosure)) „Baltosios dežės“ (white-box (full disclosure))
  • 9. Įsiskverbimo testų etapai 9 1. Establish goal (tikslo nustatymas) 2. Reconnaissance (žvalgyba, informacijos rinkimas) 3. Discovery (aptikimas, prievadų skanavimas) 4. Exploitation 5. Brute forcing 6. Social engineering 7. Taking control 8. Pivoting 9. Evidence collection 10. Reporting 11. Remediation