Sekcje

Przejdź na skróty do treści. | Przejdź do nawigacji


Jesteś w: Start Oferta Szkolenia - bezpieczeństwo IT Testy penetracyjne systemów IT - szkolenie

Testy penetracyjne systemów IT - szkolenie

— w kategorii: ,

Najbliższy termin szkolenia: 6-9.12.2010r.

Zapraszamy na autorskie szkolenie z testów penetracyjnych systemów IT - tj kontrolowanych ataków na systemy IT. Testy penetracyjne wykonywane są w celu lokalizacji luk bezpieczeństwa w testowanej infrastrukturze, co z kolei może umożliwić ich załatanie i tym samym zwiększenie bezpieczeństwa organizacji. Testy penetracyjne nazywane są również niekiedy audytem bezpieczeństwa IT.

Szkolenie odbywa się

  • w formie zamkniętej (dla grupy pracowników Klienta) - w miejscu wyznaczonym przez Klienta 
  • w formie otwartej (możliwość zgłoszenia pojedynczego uczestnika - liczba uczestników ze względu na wygodę kursantów, ograniczona jest do 9).

Szkolenie ma formę warsztatów, zawierających również fragmenty teoretyczne. W trakcie szkolenia dostarczane są systemy testowe podlegające atakom.

Fragment prezentacji

Opublikowaliśmy wybrane fragmenty z prezentacji wyświetlanej podczas szkolenia.

Grupa docelowa szkolenia

  • Osoby odpowiedzialne za testowanie bezpieczeństwa w firmie
  • Administratorzy sieci i systemów.
  • Programiści
  • Pracownicy departamentów bezpieczeństwa.
  • Osoby zainteresowane bezpieczeństwem sieciowym.
  • Osoby odpowiedzialne za monitoring bezpieczeństwa w firmie.
  • Osoby techniczne odpowiedzialny za rekomendacje wyboru ochrony systemów IT w przedsiębiorstwie.

Ramowy program szkolenia - elementy praktyczne

W trakcie zajęć praktycznych każdy uczestnik otrzymuje od szkoleniowca spersonalizowane komentarze uwagi, do swojej pracy.

Wykonanie testu penetracyjnego na przygotowanym labie
information gathering

  • Zaplanowanie testu penetracyjnego
  • Wykonanie testu penetracyjnego
  • Przygotowanie szczegółowego raportu

Wykonanie drugiego testu penetracyjnego na przygotowanym labie

  • Objęcie elementów: sieć, aplikacje, system operacyjny. Finalne uzyskanie uprawnień root, rozpoczynając od wiedzy zerowej.
  • Próba wykorzystania praktyki zdobytej we wcześniejszym labie
  • Przygotowanie dwóch typów raportów (raport podatności / raport dla zarządu)

Oskryptowanie wywołania nmap

  • Wykonanie kilku grup skanowania prostego / zaawansowanego
  • Grupowanie wyników w osobnych plikach
  • Możliwość kontynuacji skanowania po jego przerwaniu
  • Skrypt można wykorzystać w swoich testach penetracyjnych - optymalizując czas wykonania skanowania

Podatności buffer overflow

  • Wstęp do języka assembler
  • Wstęp do organizacji pamięci procesu w systemie Linux
  • Modyfikacja działania przykładowej aplikacji (wykorzystanie gdb, dizasemblacja, modyfikacja stosu)
  • Ominięcie mechanizmu uwierzytelnienia w przykładowej aplikacji (wykorzystanie gdb, modyfikacja stosu)
  • Analiza exploitu na wybraną aplikację (analiza exploitu umożliwiającego uzyskanie shella jako root z poziomu nieuprawnionego użytkownika, elementy shellcode)
  • Omijanie popularnych metod ochrony przez buffer overflow
    • return2libc jako przykład omijania mechanizmu Non-Executable Stack:
    • jako przykład omijania mechanizmu ASLR
  • Wstęp do tworzenia shellcode
Przygotowanie harmonogramu testu penetracyjnego 
  • Prezentacja przykładowego harmonogramu
  • Przygotowanie i ocena harmonogramu
Przygotowanie skryptu weryfikującego bezpieczeństwo konfiguracji systemu Linux
  • Zapewnienie możliwości prostej analizy wyników
  • Usługi, procesy, uprawnienia, parametry jądra, konfiguracja interfejsów sieciowych, ...

Przygotowanie fuzzera na wybrany protokół sieciowy

  • Wykorzystanie scapy
  • Stworzenie skryptów fuzzingowych w pythonie
  • Analiza wyników
Wybrane narzędzia wspierające testy penetracyjne

Ramowy program szkolenia - elementy teoretyczne

Metodologia testów penetracyjnych

  • Metodologia ogólna (tj niezależna od celu testów: sieć / system operacyjny / aplikacja / itp)
    • OSSTMM (Open Source Security Testing Methodology Manual)
    • ISSAF (Information Systems Security Assessment Framework)
    • Dokumentacje/Benchmarki CIS (Center for Internet Security)
    • Dokumentacje NIST
  • Metodologia szczegółowa – na przykładzie OWASP Testing Guide
  • Inne elementy związane z metodologią
  • czynności przygotowawcze
  • aspekty prawne
  • zarządzenie projektem
  • zasadnicze typy testów penetracyjnych
  • etapy prowadzenia testu penetracyjnego
  • raport – prezentacja przykładowych raportów z testów penetracyjnych (na podstawie rzeczywistych danych – zanonimizowanych)
  • problemy podczas prowadzenia testów penetracyjnych

Security controls

  • Podział na klasy (preventive, detective, corrective)
  • Podział na typy (techniczne, fizyczne, administracyjne)
  • Wymienienie około 30 przykładów tego typu elementów – jako potencjalnie podlegających atakowi

Security metrics

  • Elementy pozwalające mierzyć stan bezpieczeństwa organizacji (security metrics) w kontekście sytuacji przed / po teście penetracyjnym.

Narzędzia wykorzystywane przy testach penetracyjnych

Metasploit

 – jako uniwersalny Framework wspierający analizę podatności (podstawowe informacje)

Fuzzing

- jako jedna z uniwersalnych technik przeprowadzenia testów penetracyjnych 

Elementy podlegające testom penetracyjnym – szczegółowe zagadnienia

  • Switche
  • Routery
  • Firewalle
  • IDS-y
  • Systemy VPN
  • Systemy antywirusowe
  • Sieci SAN
  • Sieci WLAN
  • Bazy danych
  • Aplikacje
  • Personel (ataki typu social engineering)
  • Bezpieczeństwo fizyczne

Dodatkowa literatura

  • Online
  • Książki (prezentacja około 10 książek anglojęzycznych)

O prowadzącym szkolenie

  • Michał Sajdak jest konsultantem w firmie Securitum.
  • Przygotował w pełni zakres praktyczny i teoretyczny szkolenia "testy penetracyjne systemów IT" (jest to autorskie szkolenie prowadzącego).
  • Od wielu lat wykonuje testy penetracyjne dla organizacji w Polsce.
  • Współpracował między innymi z takimi organizacjami jak: Fortis Bank, BRE Bank, BGŻ Bank, Raiffeisen Bank, Volkswagen Bank, Allianz Bank, Narodowy Bank Polski, PGNiG, PGF, Unilever, Polkomtel.
  • Posiada ponad 10 letnie doświadczenie w dziedzinach: zarządzania bezpieczeństwem IT, tworzenia oprogramowania (głównie aplikacje dla instytucji finansowych) oraz administracji systemami.
  • Posiadacz certyfikatu CISSP (#338973).
  • Absolwent Uniwersytetu Jagiellońskiego (informatyka).

Zgłoszenie uczestnictwa

Zgłoszenie uczestnictwa można wykonać on-line, korzystając z formularza zgłoszeniowego.

Patronat medialny

Linux.pl

Heise Security - Logo

hcsl logo

 

Cena szkolenia

Cena czterodniowego szkolenia wynosi 4200 PLN osobę i zawiera:

  • Udział w szkoleniu.
  • Obiad w trakcie każdego dnia trwania szkolenia.
  • Dostępne w trakcie szkolenia: kawa, herbata, woda, soki, ciasteczka
  • Forma papierowa pełnej prezentacji PowerPoint, wyświetlanej w trakcie szkolenia.
  • Certyfikat ukończenia szkolenia.

 W przypadku uczestnictwa w szkoleniu dwóch lub większej ilości osób z jednej firmy - dla każdego uczestnika z danej firmy udzielamy rabatu w wysokości 10%.

Szkolenie jest zwolnione z VAT.

 

Dodatkowe Informacje

Regulamin szkolenia można pobrać pod następującym adresem:
http://www.securitum.pl/inne/regulamin_szkolenie_testy_penetracyjne_systemow_it.pdf

Więcej informacji można uzyskać kontaktując się z nami za pośrednictwem e-mail: szkolenia@securitum.pl bądź telefonicznie.

Platinium Partner
Ikaria - logo

 

Szkolenia
Najbardziej interesowałoby mnie szkolenie z zakresu:




Głosów : 210