Technische audits

Performance logging penetratie configuratie

Ferdinand Uittenbogaard

Lunch seminar Rijksauditdienst

Technische audit | 14 maart 2011

Inhoud

bull Logging voor wie Performance

bull Logging

bull Penetratie testenbull

bull Wat kan de RAD biedenbull Vooraf adviesbull oordeel

Technische audit | 14 maart 2011

Risicoacutes gebrekkige logging

bull Incident management (trends) (brandblussen)

bull Geen inzicht in systeemkostenbull VMacutes goedkoper bull Performance support staffbull Scale up of scale out beslissingen

bull Geen inzicht in system utilisation bull Geen inzicht in systeemperformancebull Geen value management op afgeronde

projectenbull 8020 regel

voettekst3

Monitor and evaluate IT performance

voettekst4

strategisch

Tactisch

Operationeel

Business Risk Risk

Management

KPIrsquos SLArsquos

Logische informatie

beschikbaarheid performance van

systemen

Fysieke informatie Devices servers netwerk

printers etc

Management informatie (maandrapportage)Wat moet het management

weten om beslissingen te kunnen nemen

Welke zaken moeten daartoe gemeten worden

Daarna moet de informatie systematisch gemeten worden

voettekst5

Rapportage framework

Meetinformatie

Systematische meeting

Maandrapportage

8

21

9

8

55

Pie chart hell

Routers Unix LinuxAS 400 WebApps

voettekst6

Devices

Unix Linux

AS 400

Web

Apps

Monitoring groeimodel

Lunch seminar rapportage en logging7

Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen

De fysieke gebeurtenissen correleren met applicaties services en business processen

IT level monitoring

Awareness van management

Correctieve monitoring

Voorkomen van problemen

Aansturing van het controle proces

Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise

monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering

bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured

bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management

Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Inhoud

bull Logging voor wie Performance

bull Logging

bull Penetratie testenbull

bull Wat kan de RAD biedenbull Vooraf adviesbull oordeel

Technische audit | 14 maart 2011

Risicoacutes gebrekkige logging

bull Incident management (trends) (brandblussen)

bull Geen inzicht in systeemkostenbull VMacutes goedkoper bull Performance support staffbull Scale up of scale out beslissingen

bull Geen inzicht in system utilisation bull Geen inzicht in systeemperformancebull Geen value management op afgeronde

projectenbull 8020 regel

voettekst3

Monitor and evaluate IT performance

voettekst4

strategisch

Tactisch

Operationeel

Business Risk Risk

Management

KPIrsquos SLArsquos

Logische informatie

beschikbaarheid performance van

systemen

Fysieke informatie Devices servers netwerk

printers etc

Management informatie (maandrapportage)Wat moet het management

weten om beslissingen te kunnen nemen

Welke zaken moeten daartoe gemeten worden

Daarna moet de informatie systematisch gemeten worden

voettekst5

Rapportage framework

Meetinformatie

Systematische meeting

Maandrapportage

8

21

9

8

55

Pie chart hell

Routers Unix LinuxAS 400 WebApps

voettekst6

Devices

Unix Linux

AS 400

Web

Apps

Monitoring groeimodel

Lunch seminar rapportage en logging7

Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen

De fysieke gebeurtenissen correleren met applicaties services en business processen

IT level monitoring

Awareness van management

Correctieve monitoring

Voorkomen van problemen

Aansturing van het controle proces

Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise

monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering

bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured

bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management

Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Risicoacutes gebrekkige logging

bull Incident management (trends) (brandblussen)

bull Geen inzicht in systeemkostenbull VMacutes goedkoper bull Performance support staffbull Scale up of scale out beslissingen

bull Geen inzicht in system utilisation bull Geen inzicht in systeemperformancebull Geen value management op afgeronde

projectenbull 8020 regel

voettekst3

Monitor and evaluate IT performance

voettekst4

strategisch

Tactisch

Operationeel

Business Risk Risk

Management

KPIrsquos SLArsquos

Logische informatie

beschikbaarheid performance van

systemen

Fysieke informatie Devices servers netwerk

printers etc

Management informatie (maandrapportage)Wat moet het management

weten om beslissingen te kunnen nemen

Welke zaken moeten daartoe gemeten worden

Daarna moet de informatie systematisch gemeten worden

voettekst5

Rapportage framework

Meetinformatie

Systematische meeting

Maandrapportage

8

21

9

8

55

Pie chart hell

Routers Unix LinuxAS 400 WebApps

voettekst6

Devices

Unix Linux

AS 400

Web

Apps

Monitoring groeimodel

Lunch seminar rapportage en logging7

Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen

De fysieke gebeurtenissen correleren met applicaties services en business processen

IT level monitoring

Awareness van management

Correctieve monitoring

Voorkomen van problemen

Aansturing van het controle proces

Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise

monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering

bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured

bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management

Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Monitor and evaluate IT performance

voettekst4

strategisch

Tactisch

Operationeel

Business Risk Risk

Management

KPIrsquos SLArsquos

Logische informatie

beschikbaarheid performance van

systemen

Fysieke informatie Devices servers netwerk

printers etc

Management informatie (maandrapportage)Wat moet het management

weten om beslissingen te kunnen nemen

Welke zaken moeten daartoe gemeten worden

Daarna moet de informatie systematisch gemeten worden

voettekst5

Rapportage framework

Meetinformatie

Systematische meeting

Maandrapportage

8

21

9

8

55

Pie chart hell

Routers Unix LinuxAS 400 WebApps

voettekst6

Devices

Unix Linux

AS 400

Web

Apps

Monitoring groeimodel

Lunch seminar rapportage en logging7

Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen

De fysieke gebeurtenissen correleren met applicaties services en business processen

IT level monitoring

Awareness van management

Correctieve monitoring

Voorkomen van problemen

Aansturing van het controle proces

Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise

monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering

bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured

bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management

Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Management informatie (maandrapportage)Wat moet het management

weten om beslissingen te kunnen nemen

Welke zaken moeten daartoe gemeten worden

Daarna moet de informatie systematisch gemeten worden

voettekst5

Rapportage framework

Meetinformatie

Systematische meeting

Maandrapportage

8

21

9

8

55

Pie chart hell

Routers Unix LinuxAS 400 WebApps

voettekst6

Devices

Unix Linux

AS 400

Web

Apps

Monitoring groeimodel

Lunch seminar rapportage en logging7

Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen

De fysieke gebeurtenissen correleren met applicaties services en business processen

IT level monitoring

Awareness van management

Correctieve monitoring

Voorkomen van problemen

Aansturing van het controle proces

Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise

monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering

bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured

bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management

Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Maandrapportage

8

21

9

8

55

Pie chart hell

Routers Unix LinuxAS 400 WebApps

voettekst6

Devices

Unix Linux

AS 400

Web

Apps

Monitoring groeimodel

Lunch seminar rapportage en logging7

Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen

De fysieke gebeurtenissen correleren met applicaties services en business processen

IT level monitoring

Awareness van management

Correctieve monitoring

Voorkomen van problemen

Aansturing van het controle proces

Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise

monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering

bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured

bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management

Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Monitoring groeimodel

Lunch seminar rapportage en logging7

Monitoring van de IT infrastructuur (apparaten en verbindingen) fysieke gebeurtenissen

De fysieke gebeurtenissen correleren met applicaties services en business processen

IT level monitoring

Awareness van management

Correctieve monitoring

Voorkomen van problemen

Aansturing van het controle proces

Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise

monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering

bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured

bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management

Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Best practise loggingbull ISO 270012005 bull Cobit ME1 (ME2 en DS5)bull Coso ERM Monitor IT performance moet passen in het enterprise

monitoring systeem Real-time monitoring framework is het start punt in de beweging naar best practice organisatie Na implementatie wordt de focus continue verbetering

bull ITIL logging is the second step in the incident management process It ensures a full historical record of each issue is captured

bull NIST SP 800-92 Sep 2006 Guide to Computer Security Log Management

Samengevat Log management policy procedures and technology Log generation Log retention and storage Log analysis Log protection and security

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Wat kunnen de auditors betekenen

voettekst9

Beoordelingen Assurance

bull Bepalen huidige niveau van volwassenheid

bull Opzet van de loggingbull Beoordeling informatiewaarde

rapportagesbull Compliance van de logging setup

met best practisebull Beoordelen Stappenplan voor

verbeteringbull Beoordelen

Overeengekomen werkzaamheden

bull Accuratesse metingenbull Werkingbull Wordt het doel van logging

behaald met de huidige selectie van logging events

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Normen voor logging (operations)1 Logging voldoet aan de volgende eisen

Minimaal wie deed wat waarmee wanneera Inloggen (pogingen) mislukt uitloggenb het toewijzen van speciale bevoegdheden c het gebruik van speciale bevoegdheden d het wijzigen en uitgeven van autorisatiese pogingen tot niet geautoriseerd handelenf het starten en beeumlindigen van batchjobs

serivces (handmatig en cron)2 Er is een goedgekeurde actuele lijst (log

besluit) wat als relevante gebeurtenis wordt gezien in het kader van logging (bijvoorbeeld event ID date time welk commando)

3 Beperkingen van het logsysteem zijn bekend (known unknows) met tegenmaatregelen

4 Computer events (start stop runlevels hardware events performance changes)

5 Analyse (automatische) van het audit-logbestand op relevante gebeurtenissen en trends bijvoorbeeld onrechtmatige activiteiten

6 Wanneer een logging tot een relevante gebeurtenis leidt wordt daarvan een melding voor de beheerder gegenereerd met een automatische kopie van de melding naar een security functionaris

7 De analyses en trends worden besproken in IT team meetings en gerapporteerd in maandrapportages

8 Een audit-log mag niet meer worden gewijzigd (read only access)

9 Uitzetten van de geprogrammeerde loggings in toepassingsprogrammatuur geschiedt uitsluitend met toestemming van de eigenaar van het informatiesysteem waartoe de toepassingsprogrammatuur toe behoort

10 De (audit) logs worden volgens een vastgestelde bewaartermijn bewaard

voettekst10

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Logs logs logs beautiful logs Authentication server or system logs may

include successful and failed authentication attempts

System logs may include system and service startup and shutdown information installation of unauthorized software file accesses security policy changes account changes (eg account creation and deletion account privilege assignment) and privilege use

Intrusion detection and prevention system logs may include malicious activity and inappropriate use

Firewall and router logs may include outbound connections that indicate compromised internal devices (eg rootkits bots Trojan horses spyware)

Firewall logs may include unauthorized connection attempts and inappropriate use

Application logs may include unauthorized connection attempts account changes use of privileges and application or database usage information

Antivirus logs may include update failures and other indications of outdated signatures and software

Security logs in particular patch management and some IDS and intrusion prevention system (IPS) products may record information on known vulnerable services and applications

voettekst11

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Deel 2 de security audit dmv pentest

voettekst12

IT audit

Security audit

Penetratie test

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Penetratie test fases

voettekst13

Planning fasebull informatie verzamelen devicesbull vermoedelijke kwetsbaarhedenbull security controlsbull test aanpak

Uitvoeringbull Vast stellen van kwetsbaarheden

Rapportagebull analyse van de geindentificeede kwetsbaarhedenbull Root causesbull voorstellen tot tegenmaatregelen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Penetratie testEvaluatie methode om de security van een computer system of

netwerk te testen door een aanval te simuleren

1 Het proces bestaat uit een analyse van het systeem voor potentieumlle kwetsbaarheden bijvoorbeeld door onjuiste configuratie van systeem instellingen software fouten of fouten in procedures of tegenmaatregelen

2 De analyse wordt uitgevoerd vanuit de positie van een potentieumlle aanvaller en probeert security kwetsbaarheden actief uit te buiten

3 Kwetsbaarheden worden aan de systeem eigenaar gepresenteerd met prioriteit en waar mogelijk een oplossing

4 Het doel van de penetratie test is om de slaagkans van een aanval te testen en impact van een kwetsbaarheid te beoordelen

voettekst14

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Wat en waarWelke netwerk verkeer sniffen bull Zoeken naar actieve devices

op het netwerk (passief onderzoek)

bull Identificeren van operating systemen applicaties services en (onveilige) protocollen (telnet) en ongeautoriseerde protocollen (p2p)

bull Informatie verzamelen zoals onversleutelde gebruikersnamen en wachtwoorden

Waar sniffenbull Bij de netwerk koppelingen

waar verkeer het netwerk binnenkomt en naar buiten gaat

bull Achter de firewalls om de filter regels te testen

bull Achter IDSsIPSs om de kijken of de triggers juist werken

bull Voor een belangrijk (kritiek) systeem

bull Op een specifiek netwerk segment om de versleutelde protocollen te valideren

voettekst15

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Kwetsbaarheidscategorieeumln 1048607 Misconfigurations Misconfigured security settings particularly insecure default settings are usually easily

exploitable 1048607 Kernel Flaws Kernel code is the core of an OS and enforces the overall security model for the systemmdashso any

security flaw in the kernel puts the entire system in danger 1048607 Buffer Overflows A buffer overflow occurs when programs do not adequately check input for appropriate

length When this occurs arbitrary code can be introduced into the system and executed with the privilegesmdashoften at the administrative levelmdashof the running program

1048607 Insufficient Input Validation Many applications fail to fully validate the input they receive from users An example is a Web application that embeds a value from a user in a database query If the user enters SQL commands instead of or in addition to the requested value and the Web application does not filter the SQL commands the query may be run with malicious changes that the user requestedmdashcausing what is known as a SQL injection attack

1048607 Symbolic Links A symbolic link (symlink) is a file that points to another file Operating systems include programs that can change the permissions granted to a file If these programs run with privileged permissions a user could strategically create symlinks to trick these programs into modifying or listing critical system files

1048607 File Descriptor Attacks File descriptors are numbers used by the system to keep track of files in lieu of filenames Specific types of file descriptors have implied uses When a privileged program assigns an inappropriate file descriptor it exposes that file to compromise

1048607 Race Conditions Race conditions can occur during the time a program or process has entered into a privileged mode A user can time an attack to take advantage of elevated privileges while the program or process is still in the privileged mode

1048607 Incorrect File and Directory Permissions File and directory permissions control the access assigned to users and processes Poor permissions could allow many types of attacks including the reading or writing of password files or additions to the list of trusted remote hosts

voettekst16

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Rapportagedoelen

voettekst17

Beoordelen van

de impleme

ntatie status van

security maatreg

elen

Vaststellen van tegenmaatregelen voor

geiumldentificeerde kwetsbaarheden

Kosten baten analyse voor de

geiumlmplementeerde security maatregelen

Input voor

algemeen risico management en dreigingenanaly

ses kwetsbaarheidanalyses

Rapport

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen

Vragen

Audit afspraken details etc

Contact cluster manager IT1 Marcel ten Have

voettekst18

• Slide 1
• Inhoud
• Risicoacutes gebrekkige logging
• Monitor and evaluate IT performance
• Management informatie (maandrapportage)
• Maandrapportage
• Monitoring groeimodel
• Best practise logging
• Wat kunnen de auditors betekenen
• Normen voor logging (operations)
• Logs logs logs beautiful logs
• Deel 2 de security audit dmv pentest
• Penetratie test fases
• Penetratie test
• Wat en waar
• Kwetsbaarheidscategorieeumln
• Rapportagedoelen
• Vragen