Audyt bezpieczeństwa systemów IT - 19-20 kwietnia 2012r.

Zapraszamy na autorskie szkolenie z testów penetracyjnych systemów IT - tj kontrolowanych ataków na systemy IT. Testy penetracyjne wykonywane są w celu lokalizacji luk bezpieczeństwa w testowanej infrastrukturze, co z kolei może umożliwić ich załatanie i tym samym zwiększenie bezpieczeństwa organizacji. Testy penetracyjne nazywane są również niekiedy audytem bezpieczeństwa IT.

Szkolenie ma formę warsztatów, skupiających się na zaprezentowaniu możliwie maksymalnej ilości ćwiczeń praktycznych ilustrujących podatności w warstwie serwerowej / aplikacyjnej / na urządzeniach sieciowych.

Całość uzupełnia niewielka część teorii (ok 15%) umożliwiająca sprawną organizację testów a także wskazanie dodatkowych materiałów dostępnych przyspieszających realizację testów penetracyjnych.

Uczestnicy szkolenia otrzymują prekonfigurowane obrazy maszyn wirtualnych zawierające odpowiednie narzędzia służące do testów.

Ramowy program szkolenia - elementy praktyczne

W trakcie zajęć praktycznych każdy uczestnik otrzymuje od szkoleniowca spersonalizowane komentarze uwagi, do swojej pracy.

Wykonanie testu penetracyjnego na przygotowanym labie

• Zaplanowanie testu penetracyjnego

• Wykonanie testu penetracyjnego
• Przygotowanie szczegółowego raportu

Wykonanie drugiego testu penetracyjnego na przygotowanym labie

• Objęcie elementów: sieć, aplikacje, system operacyjny. Finalne uzyskanie uprawnień root, rozpoczynając od wiedzy zerowej.
  
• Próba wykorzystania praktyki zdobytej we wcześniejszym labie
• Prezentacja dwóch typów raportów (raport podatności / raport dla zarządu)
  

• Poszukiwanie określonej klasy podatności w dostępnym w LAB systemie
• Skupienie się na elementach serwerowych / aplikacyjnych / lukach w konfiguracji urządzeń sieciowych
• Przykład: nieautoryzowana modyfikacja tablicy routingu na urządzenie
• Przykład: przezroczysta ingerencja w komunikację innego użytkownika LAN (zmiana komunikacji FTP/HTTP)
• Przykład: atak aplikacyjny pobierający całą zawartość bazy danych
  

- wykorzystanie oprogramowania metasploit

• Ominięcie mechanizmu uwierzytelnienia w przykładowej aplikacji (wykorzystanie gdb, modyfikacja stosu)
• Przygotowanie exploitu na wybraną aplikację (analiza exploitu umożliwiającego uzyskanie shella jako root z poziomu nieuprawnionego użytkownika)
• Wstęp do tworzenia shellcode
  

• Zapewnienie możliwości prostej analizy wyników
• Usługi, procesy, uprawnienia, parametry jądra, konfiguracja interfejsów sieciowych, ...
  

Proste (ok 20 minut) przygotowanie fuzzera na wybrany protokół sieciowy

• Wykorzystanie scapy
• Stworzenie skryptów fuzzingowych w pythonie
  
  

Ramowy program szkolenia - elementy teoretyczne

Metodologia testów penetracyjnych

• Metodologia ogólna (tj niezależna od celu testów: sieć / system operacyjny / aplikacja / itp)
• OSSTMM (Open Source Security Testing Methodology Manual)
• ISSAF (Information Systems Security Assessment Framework)
• Dokumentacje/Benchmarki CIS (Center for Internet Security)
• Dokumentacje NIST
  

• Metodologia szczegółowa – na przykładzie OWASP Testing Guide

• Inne elementy związane z metodologią

• czynności przygotowawcze

• aspekty prawne
• zarządzenie projektem
• zasadnicze typy testów penetracyjnych
• etapy prowadzenia testu penetracyjnego
• raport – prezentacja przykładowych raportów z testów penetracyjnych (na podstawie rzeczywistych danych – zanonimizowanych)
• problemy podczas prowadzenia testów penetracyjnych

Wskazanie dokumentacji zawierających szczegółowe zagadnienia dotyczące testów następujących elementów

• Switche
• Routery
• Firewalle
• IDS-y
• Systemy VPN
• Systemy antywirusowe
• Sieci SAN
• Sieci WLAN
• Bazy danych
• Aplikacje
• Personel (ataki typu social engineering)
• Bezpieczeństwo fizyczne
  

Inne informacje

• Warsztaty odbywają się z wykorzystaniem laptopów kursantów (formuła bring your own laptop), jednak istnieje możliwość skorzystania również z naszego sprzętu.
• Miejsce: Kraków, hotel trzygwiazdkowy. Nazwa oraz adres hotelu zostanie podana uczestnikom szkolenia maksymalnie 14 dni przed rozpoczęciem szkolenia.

Grupa docelowa szkolenia

• Osoby odpowiedzialne za testowanie bezpieczeństwa w firmie
  
• Administratorzy sieci i systemów.
  
• Programiści
  
• Pracownicy departamentów bezpieczeństwa.
• Osoby zainteresowane bezpieczeństwem sieciowym.
• Osoby odpowiedzialne za monitoring bezpieczeństwa w firmie.
• Osoby techniczne odpowiedzialny za rekomendacje wyboru ochrony systemów IT w przedsiębiorstwie

Dodatkowa literatura

• Online
• Książki (prezentacja około 10 książek anglojęzycznych)
  

O prowadzącym szkolenie

• Michał Sajdak jest konsultantem w firmie Securitum.
• Przygotował w pełni zakres praktyczny i teoretyczny szkolenia "testy penetracyjne systemów IT" (jest to autorskie szkolenie prowadzącego).

• Od wielu lat wykonuje testy penetracyjne dla organizacji w Polsce.
• Współpracował między innymi z takimi organizacjami jak: Fortis Bank, BRE Bank, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, Narodowy Bank Polski, PGNiG, PGF, Unilever, Polkomtel.
• Posiada ponad 10 letnie doświadczenie w dziedzinach: zarządzania bezpieczeństwem IT, tworzenia oprogramowania (głównie aplikacje dla instytucji finansowych) oraz administracji systemami.

• Posiadacz certyfikatu CISSP (#338973).

• Absolwent Uniwersytetu Jagiellońskiego (informatyka).

Cena szkolenia

1999 PLN netto / os.

Zgłoszenie uczestnictwa

Zgłoszenie uczestnictwa można wykonać on-line, korzystając z formularza zgłoszeniowego.

Patronat medialny