Factsheet Penetratietest Infrastructuur

Transcriptie

1 Factsheet Penetratietest Infrastructuur Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) info@db-fortivision.nl

2 Dit document is een bijlage bij de overkoepelende dienstbeschrijving Penetratietest Informatievoorziening. Fortivision kent een aantal verschillende verschijningsvormen van penetratietest. Deze bijlage beschrijft de penetratietesten waarvan het doelobject de infrastructuur is. Penetratietest Infrastructuur Infrastructuur Vrijwel elke organisatie beschikt over een netwerk van gekoppelde servers en werkstations. Hoe groot dit netwerk is, is afhankelijk van de omvang en aard van een organisatie. De aaneenschakeling van servers, werkstations en de netwerkcomponenten waarmee deze zijn gekoppeld wordt de ICTinfrastructuur genoemd. Ongeacht de omvang van deze infrastructuur kan worden gesteld dat zij in bijna iedere organisatie een onmisbare schakel is gaan vormen waarvan vele kritieke bedrijfsprocessen afhankelijk zijn. Zodra het netwerk, of delen daarvan, tijdelijk niet beschikbaar is worden we daadwerkelijk geconfronteerd met onze afhankelijk-heid hiervan. Bijna alle informatie van een bedrijf wordt op de een of andere manier opgeslagen op het netwerk, bijvoorbeeld op fileservers, op werkstations, in databases of in applicaties. Niet alle informatie op een netwerk behoort toegankelijk te zijn voor alle netwerkgebruikers. Zo is het bijvoorbeeld niet de bedoeling dat elke medewerker toegang heeft tot de financiële administratie, klantendatabases en de persoonlijke mappen van andere medewerkers. De toegang tot deze informatie behoort dan ook te worden beperkt tot medewerkers die wel geautoriseerd zijn om die informatie te benaderen. Dreigingen van binnenuit Binnen veel organisaties is het interne netwerk alleen vanuit de eigen panden te benaderen. Waarom moet het dan toch goed worden beveiligd? Gelukkig is het overgrote deel van de medewerkers binnen een organisatie betrouwbaar, en zal geen pogingen doen om informatie in te zien waarvoor zij niet geautoriseerd zijn. Toch blijkt binnen elke organisatie wel een klein percentage medewerkers rond te lopen dat er wel belang bij heeft om dergelijke informatie te benaderen. Hierbij kun je denken aan een belangenverstrengeling zoals bij medewerkers die besloten hebben om voor een concurrent te gaan werken en bedrijfsgeheimen of de klantendatabase mee willen nemen. Informatie kan ook een financiële waarde hebben wanneer zij kan worden doorverkocht aan een concurrent of de media. Al was een medewerker in principe niet eens van plan om een dergelijke kwaadaardige handeling te verrichten, dan nog kan hij op verkeerde gedachten komen wanneer hij erachter komt dat de mogelijkheden er zijn om het wel te doen. Daarnaast lopen er ook regelmatig genode gasten binnen de panden van Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 2 van 6

3 een organisatie rond zoals bezoekers en externen, en er dient zelfs rekening te worden gehouden met ongenode gasten. Kwetsbaarheden in netwerken Als je een wachtwoord nodig hebt om in te loggen op het netwerk, autorisaties goed zijn toegekend en ook voor de belangrijke applicaties een wachtwoord nodig is, hoe kan het dan toch nog gebeuren dat iemand toegang krijgt tot informatie waartoe hij niet is geautoriseerd? In de beleving van veel gebruikers wordt pas toegang tot de netwerkomgeving verkregen nadat een gebruikersnaam en een wachtwoord zijn ingegeven. De servers en netwerkcomponenten binnen de ICT-infrastructuur zijn echter al veel eerder te benaderen door ze rechtstreeks aan te spreken. Zo kan een kwaadwillende ook zonder in te loggen rechtstreeks met servers communiceren; hiervoor heeft hij enkel een netwerkaansluiting nodig. Vervolgens kan hij proberen kwetsbaarheden in de systemen te misbruiken om daarmee toegang tot informatie te verkrijgen. Kwetsbaarheden die hiervoor te misbruiken zijn kunnen onder meer ontstaan door configuratiefouten, ontbrekende patches, zwakke wachtwoorden of overbodige services. Wanneer een kwaadwillende toegang tot één server heeft weten te bemachtigen kan hij dat systeem gebruiken om toegang tot de overige servers te verkrijgen. Om dergelijke aanvallen uit te voeren hoeft een kwaadwillende niet altijd een volleerd hacker te zijn; vaak blijkt ook de combinatie van een normale basiscomputerkennis en functionele kennis van gebruikte applicaties al voldoende. De penetratietest Kwetsbaarheden kunnen op alle servers en netwerkcomponenten voorkomen. Ook kwetsbaarheden in relatief onbelangrijke servers kunnen ernstige gevolgen hebben, doordat deze systemen uiteindelijk toegang kunnen geven tot de servers waarop wel veel vertrouwelijke informatie te vinden is. Met een penetratietest op de infrastructuur kan inzichtelijk worden gemaakt waar de kwetsbaarheden zitten, welke impact ze kunnen hebben, wat er tegen kan worden gedaan en hoe ze in de toekomst kunnen worden voorkomen. Een penetratietest op de infrastructuur wordt uitgevoerd vanaf een netwerkaansluiting van een normale werkplek binnen de organisatie, zodat een goed beeld kan worden verkregen van wat een kwaadwillende medewerker, een externe of een insluiper op het netwerk zou kunnen doen. Als eerste stap zal het netwerk in kaart worden gebracht. Hierdoor wordt duidelijk hoe het netwerk is opgebouwd en wat voor typen servers, netwerkcomponenten en applicaties aanwezig zijn. Hierbij kan worden vastgesteld welke systemen een kritieke rol vervullen. Elk systeem wordt vervolgens gecontroleerd op de aanwezigheid van kwetsbaarheden. Hierbij wordt vastgesteld of alle besturingssystemen en netwerkapplicaties voorzien zijn van de laatste noodzakelijke beveiligingsupdates en of de servers en netwerkcomponenten op een veilige manier zijn geconfigureerd. De belangrijkste servers in het netwerk zullen aan aanvullende tests worden onderworpen. Hierbij wordt duidelijk of er bijvoorbeeld mogelijkheden zijn om bestanden van medewerkers van de fileserver te halen, Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 3 van 6

4 of om via de domaincontroller gebruikersnamen en wachtwoorden te verkrijgen, of om zelfs volledige back-ups van servers te bemachtigen. Kritieke applicaties die via het netwerk te benaderen zijn worden afzonderlijk bekeken. Zo wordt onder meer duidelijk of interne webapplicaties veilig zijn opgezet, of databases goed zijn geconfigureerd en of overbodige en/of ongewenste beheerapplicaties vanaf het gehele netwerk te benaderen zijn. Met de tijdens de penetratietest verkregen informatie zullen pogingen worden gedaan om daadwerkelijk door te dringen tot servers. Hierdoor ontstaat een goed beeld van wat een kwaadwillende op het netwerk zou kunnen bereiken. Er zal hierbij wel zeer zorgvuldig te werk worden gegaan; het betreft immers een productieomgeving, en uitval van systemen veroorzaakt door een mislukte inbraakpoging is dan ook niet wenselijk. Risicovolle pogingen zullen dan ook enkel na overleg met beheerders worden uitgevoerd. Aanvullend op de penetratietest op het lokale netwerk kan een penetratietest op het aan Internet gekoppelde deel van de infrastructuur worden uitgevoerd. Hieronder vallen onder meer de firewall, mailservers, webservers en VPN-servers. Ook hierbij wordt voor de uitvoering van de test de positie ingenomen waarvandaan de dreiging komt; de test wordt dan ook vanaf Internet uitgevoerd. Hierdoor ontstaat een realistisch beeld van de kwetsbaarheden die vanaf Internet te misbruiken zijn en wat er kan worden gedaan om misbruik te voorkomen. Ook hier worden de mogelijke gevolgen inzichtelijk gemaakt, waardoor duidelijk wordt of een kwaadwillende toegang kan krijgen tot of misbruik kan maken van informatie, servers of zelfs het gehele achterliggende netwerk. Inzicht in beheermethodes Hoewel de kwetsbaarheden over het algemeen technisch van aard zijn kunnen de oorzaken op een ander vlak terug te vinden zijn. Met een penetratietest wordt ook duidelijk wat de effectiviteit van de gehanteerde beheermethodes is. Wanneer blijkt dat op alle servers dezelfde patches ontbreken, wordt duidelijk dat er het een en ander schort aan het gevoerde patchbeleid. Een zeer wisselend patchniveau kan op haar beurt weer duiden op een inconsistent patchbeleid. Dit hoeft zeker niet altijd veroorzaakt te worden door verkeerd handelen van beheerders; dit kan ook worden veroorzaakt doordat hen niet voldoende tijd en middelen wordt geboden. Vaak kan tijdens een penetratietest ook een indruk worden verkregen van het gehanteerde wachtwoordbeleid. De aanbevelingen zullen dan ook niet altijd technisch van aard zijn, maar kunnen ook betrekking hebben op het (ICT-)beleid. De rapportage De resultaten van de penetratietest worden opgeleverd in een rapport, bestaande uit een managementsamenvatting, inleiding (kaderstelling), bevindingen, conclusies en aanbevelingen. Fortivision beoogt haar rapporten zodanig op te stellen dat ze niet alleen voor niet-technisch onderlegde personen goed leesbaar zijn, maar dat ze zeker ook goed bruikbaar zijn om eventuele technische problemen te verhelpen. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 4 van 6

5 In een managementsamenvatting wordt kort en begrijpelijk weergegeven wat er is getest, wat de globale bevindingen zijn en, indien van toepassing, met welke inspanning de tekortkomingen kunnen worden verholpen. Vervolgens worden de bevindingen van de uitgevoerde penetratietest weergegeven. Hierbij wordt geen opsomming gegeven van elk onderzocht systeem met de eventueel daarop aanwezige beveiligingsproblemen, maar worden beveiligingsproblemen gegroepeerd per getest onderdeel. Het oplossen van de beveiligingsproblemen vraagt zeker op infrastructuurniveau een integrale aanpak waarmee wordt voorkomen dat reeds verholpen beveiligingsproblemen snel weer terugkomen. Vervolgens worden de conclusies die uit de bevindingen kunnen worden getrokken beschreven. Hoewel de problemen veelal technisch van aard zijn hoeft dat bij de conclusies en aanbevelingen niet altijd het geval te zijn; deze kunnen ook betrekking hebben op beheerprocessen. De aanbevelingen worden op basis van de bevindingen geprioriteerd opgenomen in de rapportage. Bij de prioriteitsstelling wordt rekening gehouden met de ernst van het aangetroffen beveiligingsprobleem en de inspanning inclusief eventuele kosten voor het verhelpen ervan. Methodiek De door Fortivision uitgevoerde penetratietesten op infrastructuren en webapplicaties zijn gebaseerd op de internationaal erkende standaard Open Source Security Testing Methodology Manual (OSSTMM). Door het hanteren van deze methodiek wordt een waarborg gecreëerd dat het netwerk op alle binnen de scope van het onderzoek vallende beveiligingsaspecten wordt getoetst. De bevindingen van penetratietesten die volgens deze methodiek zijn uitgevoerd worden over het algemeen door auditende partijen geaccepteerd, wat vaak niet het geval is bij penetratietesten die niet volgens een vastgelegde methodiek worden uitgevoerd. Kwalificatie Fortivision heeft een ruime ervaring met de uitvoering van penetratietesten, zowel gericht op de beveiliging van een ICT infrastructuur, applicaties alsook gebouwen (fysieke penetratietesten in de vorm van de dienst MysteryMan). De penetratietesten worden uitgevoerd door consultants die kunnen putten uit een zeer ruime ervaring (meer dan 10 jaar), en hebben een diepgaande kennis van zowel de theorie als de praktijk achter de verschillende beveiligings- en aanvalstechnieken. Omdat de consultants van Fortivision met grote regelmaat met (soms zeer) vertrouwelijke informatie in aanraking komen, weten zij hoe zij hier mee om dienen te gaan. Alle consultants hebben een geheimhoudingsverklaring getekend die ook betrekking heeft op informatie verkregen bij opdrachten van opdrachtgevers. Een geheimhoudingsverklaring tussen Fortivision en haar opdrachtgevers is standaard opgenomen in de Algemene Voorwaarden. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 5 van 6

6 Meer informatie Gebruik de onderstaande gegevens voor het stellen van vragen via telefoon of Adres : Stadionstraat 1a 4815NC Breda Telefoon: Fax: Website: info@db-fortivision.nl Meer uitgebreide vragen laten zich het beste in een persoonlijk gesprek beantwoorden. Neem gerust contact met ons op voor het maken van een afspraak. Duijnborgh-FortiVision BV Factsheet Penetratietest Informatievoorziening 2.0 Pagina 6 van 6