RAC QualysGuard InfoDay 2010 TIPY A TRIKY RAC QualysGuard InfoDay 2010 1

RAC QualysGuard InfoDay 2010 Asset Groups Rozdělení zařízení dle přístupu a odpovědných osob Rozdělení zařízení podle operačního systému nebo aplikací Na základě Asset Groups lze přidělovat v QG přístupová práva Rozdělení zařízení podle scheduled scanů Obvykle se plánují penetrační testy po Asset Groups Rozdělení zařízení podle reportování Podle lokality Internetové servery / DMZ servery / Intranetové servery Podle odpovědných osob / administrátoři RAC QualysGuard InfoDay 2010 2 2 (c) 2007 Risk Analysis Consultants / SmithNovak

RAC QualysGuard InfoDay 2010 Business Risk Bussiness Risk Umožňuje stanovit celkovou míru rizika Je relativně nezávislé na počtu testovaných zařízení, umožňuje stanovit celkový trend v celé organizaci Matici pro výpočet lze upravit Způsoby stanovení Bussines Value Přidělují se jednotlivým Assets Groups Internetové servery/DMZ servery – obvykle Critical Intranetové servery – Critical / Medium Desktopové stanice - Low RAC QualysGuard InfoDay 2010 3 3 (c) 2007 Risk Analysis Consultants / SmithNovak

RAC QualysGuard InfoDay 2010 Četnost testování Servery /datová centra Obvyklý interval týdně Internetové servery Minimum je měsíčně Velká část zákazníků testuje týdně Někteří zákazníci testují denně Desktopové stanice Obvykle stačí měsíčně, případně 2x měsíčně RAC QualysGuard InfoDay 2010 4 4 (c) 2007 Risk Analysis Consultants / SmithNovak

Umístění penetračních appliancí Testování z internetu Ve všech typech licencí lze vždy použít externí scannery umístěné v datových centrech Qualysu Použití vlastních Appliancí nepřináší žádné výhody pro testování Internetové sítě Vnitřní síť Záleží na segmentaci sítě, nejčastěji 1x Applinace pro DMZ, 1x Applinace pro LAN síť Často 1x Appliance v centrále a 1x Applinace v záložním centru Testování s průchodem přes firewally a routery s ACL možné, obvykle jsou výsledky zkresleny Podpora použití VLAN, umožňuje obejít ACL na routerech Performace Appliancí dostatečná , 1 Appliance je schopná testovat až 5000 IP/denně RAC QualysGuard InfoDay 2010 5 5 (c) 2007 Risk Analysis Consultants / SmithNovak

Doporučené profily penetračního testování Internetové servery Full TCP Ports Scan, Full/Standard UDP Scan Scan Dead Hosts Všechny zranitelnosti Brute force Standard/Exhaustive Intranetové servery Standard TCP Ports scan, Standard UDP scan Pro první test použít nízkou intenzitu Brute force používat opatrně Minimal/, hrozí zablokování účtů RAC QualysGuard InfoDay 2010 6 6 (c) 2007 Risk Analysis Consultants / SmithNovak

Profil testování v QG VM RAC QualysGuard InfoDay 2010 7

Testování s autentizací Výhody testování s autentizací Vyloučí nebo potvrdí potenciální zranitelnosti Najde většinu zranitelností chybějící patche, bez autentizace detekovány pouze některé zranitelnosti Windows servery Přihlášení přes win rpc port Nutno použít přístup s vysokými právy, zvláště pro testování Policy Compliance Najde velké množství zranitelností, řádově 10 x více než bez autentizace Unix servery Přihlášení přes ssh port Vhodný použít root přístup V současné době velké množství podporovaných platforem HP-UX, AIX, Linux (Suse, RedHat, Centos, Debian, Ubuntu), Mac OS X RAC QualysGuard InfoDay 2010 8 8 (c) 2007 Risk Analysis Consultants / SmithNovak

Počet zranitelností dle oprávnění RAC QualysGuard InfoDay 2010 9