Przykładowy audyt bezpieczeństwa
Etap planowania audytu
Potrzebujesz szczegółowej pomocy z sformułowaniu zakresu audytu bezpieczeństwa?
Jeśli tak, skontaktuj się z nami.
Przed uruchomieniem produkcyjnym portalu służącemu obsłudze klientów korporacyjnych, instytucja finansowa zleciła wykonanie audytu bezpieczeństwa .
Ustalono, że prace obejmować będą:
- Audyt bezpieczeństwa sieci (w której znajduje się portal www)
- Audyt bezpieczeństwa Infrastruktury (system operacyjny, serwer aplikacyjny, serwer www, baza danych).
- Audyt bezpieczeństwa portalu (aplikacji www).
Etap realizacji audytu bezpieczeństwa
Audyt bezpieczeństwa był wykonywany przez 2 tygodnie z metodami:
- blackbox dla aplikacji i sieci (bez kodu źródłowego aplikacji, bez znajomości
konfiguracji urządzeń sieciowych) oraz
- whitebox dla infrastruktury (ze znajomością konfiguracji komponentów infrastruktury).
W znacznej mierze audyt prowadzony był zdalnie, co umożliwiło nieabsorbowanie pracowników Zlecającego.
Na bieżąco tworzone były raporty zawierające informacje o zlokalizowanych błędach bezpieczeństwa, a w trybie natychmiastowym zgłaszane były podatności krytyczne. Umożliwiło to naprawę najistotniejszych błędów jeszcze przed ukończeniem audytu bezpieczeństwa.
Wybraną, zanonimizowaną stronę z raportu poaudytowego (raport podatności) prezentujemy poniżej:
Kliknij aby powiększyć
.
Etap korekty błędów
W wyniku audytu bezpieczeństwa, instytucja finansowa otrzymała precyzyjny raport podatności zawierający dokładny opis każdego ze znalezionych błędów bezpieczeństwa (łącznie z opisem naprawy).
Znaleziono między innymi następujące błędy związane z bezpieczeństwem:
- Niepoprawna konfiguracja systemów firewall (dostęp do wewnętrznych usług firmowych z poziomu Internetu).
- Brak systemów umożliwiających detekcję przyszłych ataków wykonywanych z poziomu Internetu.
- Brak wdrożenia procedur aktualizacji w systemie operacyjnym na którym działa serwer www.
- Błędy aplikacyjne: SQL injection (umożliwiające pełen nieautoryzowany dostęp do bazy
danych z poziomu Internetu), Persistent XSS (umożliwiające m.in. zautomatyzowane przejmowanie
kont innych użytkowników), Authorization bypass (umożliwiające pełen dostęp do dokumentów, które
dostępne powinny być tylko dla odpowiednich, zalogowanych
użytkowników).
Ponadto znaleziono mniej powszechne błędy, np.:
- Silnik wyszukiwawczy google zawierał zindeksowane strony portalu działające w trybie debug (w google cache wykryto dostępne dokładne komunikaty o błędach, umożliwiające określenie oprogramowania działającego w ramach portalu. Błąd umożliwia dokładne zaplanowanie ataku, bazując na informacjach, które powinny być dostępne tylko dla programistów portalu).
- Dostawca oprogramowania utrzymywał w swojej infrastrukturze
niezabezpieczoną, dostępną z poziomu Internetu, testową wersję portalu
(potencjalny atakujący mógł łatwo odnaleźć podatności na
niezabezpieczonym systemie, a następnie wykonać skuteczny atak na
realnym, lustrzanym systemie instytucji finansowej).
Etap ponownego sprawdzenia
Dostawca oprogramowania na bieżąco wprowadzał poprawki do wdrażanego systemu. Wszystkie poprawki były ponownie sprawdzane - pod względem swojej skuteczności.
Wnioski
Wykonując test bezpieczeństwa, organizacja finansowa odniosła następujące korzyści:
- Znacznie zwiększyła bezpieczeństwo danych przetwarzanych w portalu (poprzez usunięcie wykrytych w portalu krytycznych błędów bezpieczeństwa).
- Znacznie zmniejszyła ryzyko utraty reputacji (zagrożenie tego typu
istnieje np. w przypadku przejęcia kontroli nad portalem przez grupy
hackerskie).
- Podniosła poziom wiedzy dotyczący bezpieczeństwa IT swoich pracowników (kolejny wdrażany system będzie mógł być szeroko i szybciej zabezpieczony).
- Zwiększyła wiarygodność biznesową. Partnerzy biznesowi otrzymali informację o wykonanym z powodzeniem audycie bezpieczeństwa.
- Na podstawie otrzymanego raportu, organizacja wdrożyła inne zabezpieczenia,
chroniące portal www przed nieznanymi zagrożeniami płynącymi z
Internetu.
O testach bezpieczeństwa
Szkolenie: monitoring bezpieczeństwa sieci
