Audit tehnic de securitate

  • Home
  • Audit tehnic de securitate

AUDIT DE SECURITATE

Audituri tehnice si evaluari de riscuri

 

1. Audit tehnic de securitate pentru configuratiile sistemelor IT&C

VERIFICAREA CONFIGURATIILOR TEHNICE

Pentru echipamentele de retea:

  • se analizeaza arhitectura de retea in ansamblu, conectarea la Internet, zona DMZ, LAN-ul intern,
  • se verifica segmentarea fizica si logica a retelei (subretele VLANs),
  • se verifica configuratia echipamentelor de acces la retea (switch-uri, AP wireless),
  • sunt auditate regulile de firewall de pe echipamentele de retea.

Pentru sistemele de autentificare si autorizare:

  • se verifica securitatea configuratiei si a protocoalelor utilizate pentru Radius, Diameter, LDAP, Active Directory, Identity Management.

Pentru sistemele de operare Windows si Linux:

  • se verifica setarile de securitate si regulile de “hardening” aplicate.

Pentru bazele de date:

  • se verifica configuratia si setarile bazelor de date.

Pentru aplicatii:

  • se analizeaza arhitectura aplicatiei, mecanismele de securitate existente, protocoalele utilizate in transferul de informatii, mecanismele de autentificare in aplicatii, expunerea datelor catre utilizatori, mecanismele de import/export a datelor.

BENEFICII:

  • verificarea manuala a setarilor si a configuratiei echipamentelor IT&C, astfel incat sa nu se omita aspecte importante,
  • validarea faptului ca arhitectura retelei si a aplicatiilor respecta cerintele de securitate,
  • identificarea configuratiilor eronate (misconfiguration) si corectarea lor,
  • verificarea faptului ca echipamentele sunt configurate conform recomandarilor producatorului si ca se conformeaza bunelor practici de securitate din domeniu.

SCANARI DE VULNERABILITATI

Este un proces automat de identificare a vulnerabilitatilor din sistemele IT&C. Se utilizeaza aplicatii specifice de detectie a vulnerabilitatilor.

Vulnerabilitatile pot consta in configuratii eronate, utilizarea de protocoale nesigure, sisteme care nu mai sunt in suport la producator, pachete software neactualizate care expun sistemul la un risc de securitate, etc.

Procesul incepe cu scanarea de porturi si servicii pentru cartografierea perimetrului de retea (router/firewall), amprentarea sistemului de operare si identificarea serviciilor critice.

BENEFICII:

  • auditul tehnic al retelei de comunicatii se face conform metodologiei OSSTMM de la ISECOM https://www.isecom.org/OSSTMM.3.pdf,
  • vulnerabilitatile identificate sunt clasificate in functie de nivelul de risc existent (scor CVSS),
  • raportul contine informatii detaliate despre ce trebuie facut pentru a remedia vulnerabilitatile identificate.

TESTE DE PENETRARE

Testele de penetrare se realizeaza fara a fi solicitate detalii despre sistemul tinta.

Sunt testate aplicatiile web expuse la internet.

Testarea se face atat automat cu aplicatii specifice, dar si manual pentru validarea vulnerabilitatii identificate.

Testarea vulnerabilitatilor de “input”: toti parametrii de “request” vor fi fortati la maxim in cautarea riscurilor de securitate din OWASP Top 10: SQL Injection, Broken Authentication, Sensitive Data Exposure, XML External Entities (XXE), Broken Access Control, Security Misconfiguration, Cross-Site Scripting XSS, Insecure Deserialization, Using Components with Known Vulnerabilities, Insufficient Logging & Monitoring.

BENEFICII:

  • se realizeaza conform metodologiei de testare OWASP OTGv4 https://www.owasp.org/images/1/19/OTGv4.pdf,
  • nu este necesar accesul “onsite” la client, testele se executa de la distanta, din internet,
  • testele se executa din perspectiva unui atacator real (hacker), care incearca sa penetreze sistemul de securitate al aplicatiei si sa obtina acces la date,
  • raportul de testare contine recomandari ce trebuie intreprinse pentru a remedia vulnerabilitatile identificate.

2. Evaluarea riscurilor de securitate IT

EVALUARE

Se evalueaza masurile tehnice si organizatorice existente in companie. Se evalueaza documentatia interna (politici, proceduri, regulamente, instructiuni de lucru) in corelatie cu masurile de securitate implementate cu ajutorul sistemelor IT&C (restrictii de securitate).

Se identifica potentiale scenarii de risc care pot afecta confidentialitatea, integritatea sau disponibilitatea informatiilor sensibile, precum cele legate de datele personale.

Pentru scenariile de risc identificate se evalueaza riscurile inerente bazate pe probabilitatea de aparitie si a impactului acestora, conform unei matrici de evaluare.

Riscurile sunt analizate si prioritizate in functie de nivelul de risc. Pentru scenariile de risc cu un nivel ridicat de expunere, se identifica solutii care sa reduca probabilitatea de aparitie a evenimentului ori sa reduca impactul produs in cazul aparitiei.

BENEFICII:

  • analiza de risc ofera o imagine completa si de ansamblu asupra riscurilor existente,
  • analiza de risc cuprinde scenarii din cele mai diverse si ia in calcul toate masurile implementate, atat la nivel tehnic cat si la nivel organizatoric,
  • riscurile pot fi corelate pentru identificarea celor mai bune optiuni de tratare, astfel incat o actiune sa poata trata multiple riscuri,
  • activitatile de tratare a riscurilor pot fi prioritizate in functie de nivelul de risc, astfel se optimizeaza costurile si se fac investitii exact acolo unde este mai mare nevoie.