9
www.rac.cz Risk Analysis Consultants V060420 TIPY A TRIKY RAC QualysGuard InfoDay 2010 1
| Date post: | 18-Nov-2014 |
| Category: |
Education |
| Upload: | risk-analysis-consultants-sro |
| View: | 674 times |
| Download: | 3 times |
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
TIPY A TRIKY
RAC QualysGuard InfoDay 2010 1
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 2
Rozdělení zařízení dle přístupu a odpovědných osobRozdělení zařízení podle operačního systému nebo aplikacíNa základě Asset Groups lze přidělovat v QG přístupová práva
Rozdělení zařízení podle scheduled scanůObvykle se plánují penetrační testy po Asset Groups
Rozdělení zařízení podle reportováníPodle lokalityInternetové servery / DMZ servery / Intranetové serveryPodle odpovědných osob / administrátoři
Asset Groups
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 3
Bussiness RiskUmožňuje stanovit celkovou míru rizikaJe relativně nezávislé na počtu testovaných zařízení, umožňuje stanovit celkový trend v celé organizaciMatici pro výpočet lze upravit
Způsoby stanovení Bussines ValuePřidělují se jednotlivým Assets GroupsInternetové servery/DMZ servery – obvykle CriticalIntranetové servery – Critical / MediumDesktopové stanice - Low
Business Risk
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 4
Servery /datová centraObvyklý interval týdně
Internetové serveryMinimum je měsíčněVelká část zákazníků testuje týdněNěkteří zákazníci testují denně
Desktopové staniceObvykle stačí měsíčně, případně 2x měsíčně
Četnost testování
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 5
Testování z internetuVe všech typech licencí lze vždy použít externí scannery umístěné v datových centrech QualysuPoužití vlastních Appliancí nepřináší žádné výhody pro testování Internetové sítě
Vnitřní síťZáleží na segmentaci sítě, nejčastěji 1x Applinace pro DMZ, 1x Applinace pro LAN síť Často 1x Appliance v centrále a 1x Applinace v záložním centruTestování s průchodem přes firewally a routery s ACL možné, obvykle jsou výsledky zkreslenyPodpora použití VLAN, umožňuje obejít ACL na routerechPerformace Appliancí dostatečná , 1 Appliance je schopná testovat až 5000 IP/denně
Umístění penetračních appliancí
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 6
Internetové servery Full TCP Ports Scan, Full/Standard UDP ScanScan Dead HostsVšechny zranitelnostiBrute force Standard/Exhaustive
Intranetové serveryStandard TCP Ports scan, Standard UDP scanPro první test použít nízkou intenzituVšechny zranitelnostiBrute force používat opatrně Minimal/, hrozí zablokování účtů
Doporučené profily penetračního testování
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Profil testování v QG VM
RAC QualysGuard InfoDay 2010 7
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2010 8
Výhody testování s autentizací Vyloučí nebo potvrdí potenciální zranitelnostiNajde většinu zranitelností chybějící patche, bez autentizace detekovány pouze některé zranitelnosti
Windows serveryPřihlášení přes win rpc port Nutno použít přístup s vysokými právy, zvláště pro testování Policy ComplianceNajde velké množství zranitelností, řádově 10 x více než bez autentizace
Unix serveryPřihlášení přes ssh portVhodný použít root přístupV současné době velké množství podporovaných platforem HP-UX, AIX, Linux (Suse, RedHat, Centos, Debian, Ubuntu), Mac OS X
Testování s autentizací
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Počet zranitelností dle oprávnění
RAC QualysGuard InfoDay 2010 9
