🗊Мобильный офис глазами пентестера Дмитрий Евтеев (Positive Technologies)

Категория: Образование
Нажмите для полного просмотра!
Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №1Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №2Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №3Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №4Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №5Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №6Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №7Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №8Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №9Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №10Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №11Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №12Мобильный офис глазами пентестера      Дмитрий Евтеев (Positive Technologies), слайд №13

Вы можете ознакомиться и скачать Мобильный офис глазами пентестера Дмитрий Евтеев (Positive Technologies). Презентация содержит 13 слайдов. Презентации для любого класса можно скачать бесплатно. Если материал и наш сайт презентаций Вам понравились – поделитесь им с друзьями с помощью социальных кнопок и добавьте в закладки в своем браузере.

Слайды и текст этой презентации


Слайд 1





Мобильный офис глазами пентестера


Дмитрий Евтеев (Positive Technologies)
Описание слайда:
Мобильный офис глазами пентестера Дмитрий Евтеев (Positive Technologies)

Слайд 2





Предисловие
Бизнес требует доступности всех ИТ-сервисов из любой точки земного шара и с любых мобильных устройств…






Чем это может обернуться?
Описание слайда:
Предисловие Бизнес требует доступности всех ИТ-сервисов из любой точки земного шара и с любых мобильных устройств… Чем это может обернуться?

Слайд 3





Основные точки входа в корпоративные сети
веб-приложения
интерфейсы удаленного администрирования
удаленный доступ к сети
VPN-шлюзы
Доставка приложений через веб-сервисы
рабочие станции пользователей
беспроводные сети
сервисы инфраструктуры (базы данных, сторонние приложения и т.п.)
Описание слайда:
Основные точки входа в корпоративные сети веб-приложения интерфейсы удаленного администрирования удаленный доступ к сети VPN-шлюзы Доставка приложений через веб-сервисы рабочие станции пользователей беспроводные сети сервисы инфраструктуры (базы данных, сторонние приложения и т.п.)

Слайд 4





Стандартная схема построения корпоративной ИС
Типовые сценарии атаки
На Active Directory
На сервера аутентификации
На оборудование
На каналы связи
На VPN-шлюзы
На пользователя
Описание слайда:
Стандартная схема построения корпоративной ИС Типовые сценарии атаки На Active Directory На сервера аутентификации На оборудование На каналы связи На VPN-шлюзы На пользователя

Слайд 5





Как действует атакующий
Атакующий идет по пути наименьшего сопротивления!
Описание слайда:
Как действует атакующий Атакующий идет по пути наименьшего сопротивления!

Слайд 6





Проблема парольной защиты
Более половины пользователей в Российских компаниях используют цифровые пароли
http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf
Политика сложности используемых паролей в сетях Microsoft имеет известные недостатки
Чем больше сотрудников в компании, тем выше вероятность успешной атаки

За последние три года (!) в ходе проведения тестирований на проникновение не было ни одного случая, когда не удавалось получить список всех идентификаторов Active Directory с использованием указанной атаки
Описание слайда:
Проблема парольной защиты Более половины пользователей в Российских компаниях используют цифровые пароли http://www.ptsecurity.ru/download/PT-Metrics-Passwords-2009.pdf Политика сложности используемых паролей в сетях Microsoft имеет известные недостатки Чем больше сотрудников в компании, тем выше вероятность успешной атаки За последние три года (!) в ходе проведения тестирований на проникновение не было ни одного случая, когда не удавалось получить список всех идентификаторов Active Directory с использованием указанной атаки

Слайд 7





Агрессивный режим IPSEC
Описание слайда:
Агрессивный режим IPSEC

Слайд 8





Основной режим IPSEC
Pre-shared key и GroupName могут быть восстановлены путем перебора
Могут быть найдены в свободном корпоративном доступе
Подробные инструкции по настройке
Сохраненные конфигурации
Могут быть получены с использованием других сценариев атак
Описание слайда:
Основной режим IPSEC Pre-shared key и GroupName могут быть восстановлены путем перебора Могут быть найдены в свободном корпоративном доступе Подробные инструкции по настройке Сохраненные конфигурации Могут быть получены с использованием других сценариев атак

Слайд 9





Чем опасен удаленный доступ к сети
Классический удаленный доступ к сети (IPSEC/PPTP)
Пользователь обладает административными привилегиями в своей системе
Доставка приложений через веб-сервисы (eq Citrix)
Пользователь обладает локальным доступом к ОС
Пользователь может расширить свои знания о существовании всех опубликованных приложениях
Пользователь из одной точки может получить сетевой доступ к любым опубликованным приложениям (в случае отсутствия правильной фильтрации)
Описание слайда:
Чем опасен удаленный доступ к сети Классический удаленный доступ к сети (IPSEC/PPTP) Пользователь обладает административными привилегиями в своей системе Доставка приложений через веб-сервисы (eq Citrix) Пользователь обладает локальным доступом к ОС Пользователь может расширить свои знания о существовании всех опубликованных приложениях Пользователь из одной точки может получить сетевой доступ к любым опубликованным приложениям (в случае отсутствия правильной фильтрации)

Слайд 10





Citrix Jailbreak (1/2)
Описание слайда:
Citrix Jailbreak (1/2)

Слайд 11





Citrix Jailbreak (2/2)









http://ikat.ha.cked.net/Windows/
Описание слайда:
Citrix Jailbreak (2/2) http://ikat.ha.cked.net/Windows/

Слайд 12





Резюме
Удаленный доступ к корпоративной сети через легитимный канал очень привлекателен с позиций атакующего
Основные недостатки при организации удаленного доступа к корпоративной сети
Использование паролей, вместо цифровых сертификатов
Повсеместное использование нестойких паролей (!)
Отсутствие безопасной сегментации сети
Недостаточное разграничение сетевого доступа
Отсутствие мониторинга аномалий и начала атаки
Описание слайда:
Резюме Удаленный доступ к корпоративной сети через легитимный канал очень привлекателен с позиций атакующего Основные недостатки при организации удаленного доступа к корпоративной сети Использование паролей, вместо цифровых сертификатов Повсеместное использование нестойких паролей (!) Отсутствие безопасной сегментации сети Недостаточное разграничение сетевого доступа Отсутствие мониторинга аномалий и начала атаки

Слайд 13





Спасибо за внимание!
Вопросы?

devteev@ptsecurity.ru
http://devteev.blogspot.com/
Описание слайда:
Спасибо за внимание! Вопросы? devteev@ptsecurity.ru http://devteev.blogspot.com/



Похожие презентации
Mypresentation.ru
Загрузить презентацию