gordey - risk vs compliance
DESCRIPTION
TRANSCRIPT
Контроль защищенности и…
Сергей Гордейчик
CTO
Капля статистики
Дмитрий Кузнецов, Positive Technologies
Как это бывает
СЕРВЕРЫ
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
РАБОЧИЕ
СТАНЦИИ
ГОЛОВНОЙ
ОФИС
ФИЛИАЛРАБОЧИЕ
СТАНЦИИ
СЕРВЕРЫ
СЕТЕВОЕ
ОБОРУДОВА
НИЕ
MP SERVER
Рабочее
место
аудитора
WEB-
СЕРВЕР
ПОДОБРАН
ПАРОЛЬ
ПРОВЕДЕНИЕ
ПРОВЕРОК
ПРОВЕДЕНИЕ
ПРОВЕРОК
Внутренний пентест/аудит по
результатам пентеста
Внутренний пентест/аудит
по результатам пентеста
• Сканирование сети
• Успешно подобран пароль! – Эксплуатация SQL Injection
– Выполнение команд на сервере
– Повышение привилегий
– Атака на внутренние ресурсы
Внутренний пентест – Установка сканера MaxPatrol
– Поиск уязвимостей
– Эксплуатация уязвимостей
Перемещение в ИС ЦО – Проведение атаки на ресурсы ЦО
Получение максимальных привилегий во всей сети
Получение доступа к сети АСУТП
Основные движители
Требования регуляторов
Риски
Требования регуляторов
«Жесткий» Compliance РД ФСТЭК vs PCI DSS
«Мягкий» Compliance ISO 27001/SOX/СТО БР
Ключевая разница - риск
«Мягкий» vs «Жесткий»
«Жесткий» по требованиям
РД ФСТЭК, PCI DSS
«Жесткий» по контролю
PCI DSS
Ключевая разница - риск
Россия не готова к 152 ФЗ
152 ФЗ … 58 ФСТЭК
«мягкий»??? compliance по требованиям
«жесткий»??? compliance по контролю
Россия не готова к 152 ФЗ
Откуда взять «конфигурации без ошибок»?
Что будут проверять?!
NIST 800/CIS/NVD?...
Защитные механизмы
Защитные механизмы
Ин
фо
рм
аци
он
ная си
стема
Oracle 11g
SAP
Технический
стандарт
Технический
стандарт
Технический
стандарт
Защитные механизмы
Solaris 10
10000 «крутилок»…
Что крутить?
Риски, риски, риски….
Регулятивные
Бизнес-риски
Регулятивные риски
Подлежат анализу и управлению • угроза и ущерб – возможные последствия
нарушения, обозначенные регулятором;
• уязвимость - несоблюдение требований;
• атака - проверка регулятора;
• контрмера (защитный механизм, средство защиты) - соблюдение требований.
http://sgordey.blogspot.com/2009/05/compliance.html
Бизнес-риски
Зачастую подменяются техническими
Обещают «счастье» а продают NetForensics
Технические риски - считаются
Рассматриваются в рамках защитных механизмов
Технические риски
Защитные механизмы и риски
«Неуправляемые риски» – принимаются
«Управляемые риски» - эффективность контрмер
«Эффективность контрмер» - Соответствие внутренних требований рискам
Эффективность внедрения внутренних требований
Плюсы ++
Compliance «как услуга» SOC, технологические сети, АСУТП
Управление угрозами Привязка требований (orchestration) Оперативное отслеживание рисков Риски привязанные к ресурсам ………MaxPatrol 9 coming soon……..
Спасибо!
http://sgordey.blogspot.com