security metrics for pci compliance

Измеряя защищенностьМетрики безопасности для PCI DSS

Сергей Гордейчик

Security Lab by Positive Technologies

Что такое PCI DSS?

Аудиты QSA?

Сканирования ASV?

Тесты на проникновение?

Оценка Web-приложений?

Что такое PCI DSS?

Построение процесса поддержания ИС в защищенном (и compliant) состоянии!•Процесс мониторинга и аудита (ISO 27001 A.15.2…)

Аудиты QSA?Сканирования ASV?Тесты на проникновение?Оценка Web-приложений?

Что такое PCI DSS?

Построение процесса поддержания ИС в защищенном (и compliant) состоянии!•Процесс мониторинга и аудита (ISO 27001 A.15.2…)

Аудиты QSA?Сканирования ASV?Тесты на проникновение?Оценка Web-приложений?

Черно-белый подход

Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат

Не соответствует!Соответствует!

Реальность гораздо сложнее…

Пример: Обновление Oracle

Аудитор: У вас проблемы с Oracle

Компания:Согласование с разработчикамиОжидание одобренияТестированиеРазвертывание

Пример: Обновление Oracle. Что делать?!!

Ускорить процесс?

Ставить патчи на свой страх и риск?

Ограничить доступ на МСЭ?

Перенести приложение на терминал?

Внедрить специализированную IPS?

Что такое хорошо, что такое плохо?

Как измерить текущий уровень соответствия не в двоичном формате?

Как разделить процесс поддержания соответствия на измеримые задачи?

Как оценить планируемые и текущие расходы?

Метрики безопасности

Однозначно измеряются, без «экспертного мнения»

Доступны для расчета и анализа (предпочтительно автоматически)

Имеют количественное выражение (не "высокий", "средний", "низкий")

Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость"

Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")

Соответствие стандарту

По требованиям

Соответствие стандарту

По узлам

Соответствие стандарту

По узлам и по требованиям

Соответствие стандарту

Сколько требований PCI мы нарушаем?

Какие нарушения наиболее распространены?

Что закрывать в первую очередь?

Хорошо, но мало!

Позволяет наметить курс действий

 Дает возможность отслеживать динамику

Не позволяет получить понятную проектную оценку!

Метрики трудозатрат

Позволяют оценить планируемые и текущие трудозатраты на достижение цели• Трудозатраты на приведение в соответствие с

требованиями стандартов•Обоснование выбора компенсационных средств

защиты•Оценка затраченных ресурсов

Разделение изменений по типам•Установка обновлений•Обновление версии•Внесение изменения в конфигурацию•Исправление кода…

Метрики трудозатрат

Процессные метрики

Генерируются на основе Compliance и их производных•Количество и процент рабочих станций с

установленным антивирусным пакетом•Количество и процент узлов, соответствующих

требованиям по patch-management•Количество и процент серверов СУБД

соответствующих парольной политике•Количество и процент сетевых устройств,

соответствующих требованиям стандартов

Процессные метрики

Пример с Oracle•Cходимость по узлам: от 20 дней до бесконечности

•Максимальный уровень соответствия: 23%

Быть может, вам не стоит вообще думать об установке обновлений Oracle?

Сравнение с мировым уровнем

А как у других?

Достиг ли я приемлемого уровня?

Может и не стоит ничего делать?

Исследование уязвимости Web-приложений, 2008 г.

Объем исследования:•В автоматическом режиме – около 10000 узлов•Детальный анализ – около 1000 узлов

Результаты исследования:•Низкий уровень защищенности большинства Web-

сайтов•Автоматизация методов выявления и эксплуатации

уязвимостей

Web Application Security Consortium предварительные данные

Распределение Web-сайтов по уровню найденных уязвимостей (2008 г.)

Наиболее распространенные уязвимости

Для атаки на Web-сайт обычно используются…

При анализе скомпрометированного Web-сайта обнаруживается “букет” уязвимостей, треть из которых могла быть использована нарушителем для атаки

А как оперативно устраняются эти проблемы?

Whitehat Security

Спасибо за внимание!

Сергей Гордейчикhttp://sgordey.blogspot.com

gordey@ptsecurity.ru