Upload File

mid_appchangecontol_andrey_bezverkhiy_ru

26
Роль контроля изменений и контроля целостности систем в экосистеме информационной безопасности БЕЗВЕРХИЙ АНДРЕЙ ДИРЕКТОР ПО РАЗВИТИЮ БИЗНЕСА «СВІТ ІТ» McAfee & Intel DAY | Киев | 15 Октября 2013

Upload: vladislav-radetskiy

Post on 11-Nov-2014

222 views

Category:

Technology


2 download

Report

Tags:

DESCRIPTION

Презентация доклада Андрея Безверхого, сотрудника компании svit-it.com.ua. Доклад проходил на конференции McAfee&Intel DAY 15 октября в Киеве.

TRANSCRIPT

Page 1: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Роль контроля изменений и контроля целостности систем в экосистеме информационной безопасности

БЕЗВЕРХИЙ АНДРЕЙДИРЕК ТОР ПО РАЗВИТИЮ БИЗНЕСА«СВІТ ІТ»

McAfee & Intel DAY | Киев | 15 Октября 2013

Page 2: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Ни одно из 37 протестированных решений не смогло обнаружить все эксплойты и только 3% из 606 уникальных

комбинаций смогли выявить все угрозы.

Немного фактов о средствах активной защиты

37 решений от

24 вендоров

vs

1711 эксплойтов для

816 приложений, а это

21% уязвимостей последнего десятилетия

Page 3: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Ключевые открытия исследования

Средний показатель неуспешного обнаружения эксплойтов:

• IPS & NGFW: 5,8% для 1 решения, 0,8% для комбинаций

• EPP: 45,4% для одного решения защиты, 26% для комбинаций

Есть эксплойты, которые не были обнаружены большинством решений

Многоуровневая защита эффективна, однако прямо зависит от технологий

Источник: Stefan Frei | NSS Labs | Analyst Brief – Correlation Of Detection Failures

Page 4: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Рекомендации от NSS

Снизить эффект от неуспешного обнаружения – патч менеджмент

Оперативно выявлять факты взлома – технологии обнаружения инцидентов и SIEM

Правильно прогнозировать риски – поправка на «correlation of detection failures»

Выбирать эффективные комбинации решений – много не значит хорошо

Источник: Stefan Frei | NSS Labs | Analyst Brief – Correlation Of Detection Failures

Page 5: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Стратегия безопасности = защита изнутри

Мониторинг

Корреляция (SOC)

Средства активной защитыКонтроль приложений

Патч менеджмент

Контроль целостности

Page 6: MID_AppChangeContol_Andrey_Bezverkhiy_RU

File Integrity Monitoring (FIM) - один из ключевых элементов современной стратегии информационной безопасности направленный на выявление несанкционированных изменений в критичных файлах путём мониторинга их на определённом отрезке времени.

Является одним из требований ITIL (Change Management Process) и стандарта PCI DSS (пункт 11.5).

Часть таких ИТ процессов как патч менеджмент.

Процесс мониторинга целостности

McAfee & Intel DAY | Киев | 15 Октября 2013

Page 7: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Сервисы общего пользования (почта, веб, DNS, NFS…)

Всё что «доступно из интернет»

Сервера сертификатов и ключей

Компоненты сред разработки

Конфигурации МСЭ и сетевого оборудования

Сервера СУБД

Средства обеспечения ИБ

… ваш пример!

Где контролировать?

Источник: Brian Wotring | SecurityFocus.com| Host Integrity Monitoring: Best Practices for Deployment

Page 8: MID_AppChangeContol_Andrey_Bezverkhiy_RU

1) В «ручном режиме» – по при переводе системы в эксплуатацию или при выявлении инцидента

2) Сканирование – проверки по расписанию и по требованию

3) Непрерывный мониторинг – оповещение о всех изменениях

Способы контроля изменений и целостности

Источник: Brian Wotring | SecurityFocus.com| Host Integrity Monitoring: Best Practices for Deployment

Page 9: MID_AppChangeContol_Andrey_Bezverkhiy_RU

График процесса контроля целостности

Мониторинг Сканирование Ручной процесс

Время

Точность

Состояние

Внесение изменений

Page 10: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Обзор McAfee Change control: мониторинг и контроль целостности

Источник: http://www.mcafee.com/ru/products

Change Control. Защита критически важных системных и конфигурационных файлов, а также файлов содержимого с помощью механизмов моментального обнаружения изменений, комплексного оповещения и контроля.

Page 11: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: функции

Предотвращает выбранные изменения

Логирует все попытки изменений выходящие за политику

Change Prevention

Уведомляет о критичных и неавторизированных изменениях

Integrity Monitoring

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 12: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Модуль File Integrity Monitoring

• Отвечает в real-time на вопросы Кто? Когда? Что? Почему?• Имя учетной записи• Время • Название программы

• Содержимое файлов/реестра

• Оповещает о критичных инцидентах

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 13: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Фильтры File Integrity Monitoring

Многоуровневые белые/черные списки

Набор предустановленных правил

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 14: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Мониторинг содержимого файлов

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 15: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: детализация изменений

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 16: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Управление изменениями

• Защита изменений базовой конфигурации

• Защита от записи для файлов и реестра

• Изменения доступны только авторизированным пользователям и ПО

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 17: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: для всех без исключений

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 18: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: аналитика

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 19: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: разграничения по файлам

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 20: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: разграничения по пользователям и приложениям

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 21: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: реестр и расширения

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 22: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: возможности

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 23: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Платформы поддерживаемые Change Control

Тип ОС Версия

Windows (32 & 64-bit)

Embedded – XPE, 7E

Server – NT*, 2000*, 2003, 2003 R2, 2008, 2008 R2

Desktop – XP, Vista, 7

UNIX

RHEL 3/4/5/6

CentOS 4/5

OEL 5

SuSE Pro 9.3

SLES 9/10/11

SLED 11

OpenSUSE 10/11

Solaris 8,9,10

HPUX 11.11, 11.23, 11.31

AIX 5.3/6.1

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 24: MID_AppChangeContol_Andrey_Bezverkhiy_RU

McAfee Change Control: лицензирование

За устройство:

Сервер Минимальный набор 11 лицензий

Десктоп McAfee ePo – бесплатно

McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential

Page 25: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Экосистема McAfee по контролю и мониторингу целостности

Integrity Monitoring for Databases. Оценка состояния защиты СУБД (Oracle, MicrosoftSQL Server, IBM DB2 и MySQL) в масштабах всей организации, включая уровень версий/исправлений, настройки аудита, параметры конфигурации и привилегии.

Источник: http://www.mcafee.com/ru/products

Change Reconciliation. Комплексная инвентаризация изменений, согласно с уведомлениями об изменениях и разрешениями. Маркирует эпизодические, сделанные без разрешения изменения и сообщает об экстренных изменениях, выполненных без надлежащей документации.

Application Control. Блокировка неразрешенных приложений и кода на серверах, корпоративных настольных системах и устройствах с фиксированными функциями. Используется динамическая модель доверия и тесная интеграция с Change Control и Change Reconciliation.

Page 26: MID_AppChangeContol_Andrey_Bezverkhiy_RU

Вопросы и ответы > посетите стэнд СВІТ ІТ

Спасибо за внимание!

Свяжитесь с нами по адресу: [email protected]


How to Set Google Analytics Goals and Funnels

Refresh OKC

Site Search Analytics in a Nutshell

Crafting a UX Strategy for Wearables and the Mobile Mainframe

Designing for an Augmented Reality world

Apple 03 - Management Mistakes

The Art Of Colors

On Digital Transformation - 10 Observations

Lean Prototyping - A Practical Guide

Designing With Vision

Stop Buying Tech

The New Brand Landscape 2

Big Data - The 5 Vs Everyone Must Know

Introduction to wireframes

The Art & Science of Seductive Interactions

Advertising Psychology

What is Big Data?

Design Principles: The Philosophy of UX

ROI in the age of keyword not provided [Mozinar]

Psychology Of The Winner

Expert Positioning Using LinkedIn

Social, Digital & Mobile in The Americas

From Paths to Sandboxes

Wireframes for the Wicked

Leaving Positive Impression

Automotive20

Simple Steps to UX/UI Web Design

Become A Photographer

trendwatching.com's INTERNET OF CARING THINGS

Profile & Resume Buzzkill - Words to avoid

trendwatching.com's INNOVATION CELEBRATION

6 key learnings for responsive webdesign

Snapshot of Digital India - March 2014

Succumbing to the Python in Financial Markets

Google Analytics New Feature