mid_appchangecontol_andrey_bezverkhiy_ru
DESCRIPTION
Презентация доклада Андрея Безверхого, сотрудника компании svit-it.com.ua. Доклад проходил на конференции McAfee&Intel DAY 15 октября в Киеве.TRANSCRIPT
Роль контроля изменений и контроля целостности систем в экосистеме информационной безопасности
БЕЗВЕРХИЙ АНДРЕЙДИРЕК ТОР ПО РАЗВИТИЮ БИЗНЕСА«СВІТ ІТ»
McAfee & Intel DAY | Киев | 15 Октября 2013
Ни одно из 37 протестированных решений не смогло обнаружить все эксплойты и только 3% из 606 уникальных
комбинаций смогли выявить все угрозы.
Немного фактов о средствах активной защиты
37 решений от
24 вендоров
vs
1711 эксплойтов для
816 приложений, а это
21% уязвимостей последнего десятилетия
Ключевые открытия исследования
Средний показатель неуспешного обнаружения эксплойтов:
• IPS & NGFW: 5,8% для 1 решения, 0,8% для комбинаций
• EPP: 45,4% для одного решения защиты, 26% для комбинаций
Есть эксплойты, которые не были обнаружены большинством решений
Многоуровневая защита эффективна, однако прямо зависит от технологий
Источник: Stefan Frei | NSS Labs | Analyst Brief – Correlation Of Detection Failures
Рекомендации от NSS
Снизить эффект от неуспешного обнаружения – патч менеджмент
Оперативно выявлять факты взлома – технологии обнаружения инцидентов и SIEM
Правильно прогнозировать риски – поправка на «correlation of detection failures»
Выбирать эффективные комбинации решений – много не значит хорошо
Источник: Stefan Frei | NSS Labs | Analyst Brief – Correlation Of Detection Failures
Стратегия безопасности = защита изнутри
Мониторинг
Корреляция (SOC)
Средства активной защитыКонтроль приложений
Патч менеджмент
Контроль целостности
File Integrity Monitoring (FIM) - один из ключевых элементов современной стратегии информационной безопасности направленный на выявление несанкционированных изменений в критичных файлах путём мониторинга их на определённом отрезке времени.
Является одним из требований ITIL (Change Management Process) и стандарта PCI DSS (пункт 11.5).
Часть таких ИТ процессов как патч менеджмент.
Процесс мониторинга целостности
McAfee & Intel DAY | Киев | 15 Октября 2013
Сервисы общего пользования (почта, веб, DNS, NFS…)
Всё что «доступно из интернет»
Сервера сертификатов и ключей
Компоненты сред разработки
Конфигурации МСЭ и сетевого оборудования
Сервера СУБД
Средства обеспечения ИБ
… ваш пример!
Где контролировать?
Источник: Brian Wotring | SecurityFocus.com| Host Integrity Monitoring: Best Practices for Deployment
1) В «ручном режиме» – по при переводе системы в эксплуатацию или при выявлении инцидента
2) Сканирование – проверки по расписанию и по требованию
3) Непрерывный мониторинг – оповещение о всех изменениях
Способы контроля изменений и целостности
Источник: Brian Wotring | SecurityFocus.com| Host Integrity Monitoring: Best Practices for Deployment
График процесса контроля целостности
Мониторинг Сканирование Ручной процесс
Время
Точность
Состояние
Внесение изменений
Обзор McAfee Change control: мониторинг и контроль целостности
Источник: http://www.mcafee.com/ru/products
Change Control. Защита критически важных системных и конфигурационных файлов, а также файлов содержимого с помощью механизмов моментального обнаружения изменений, комплексного оповещения и контроля.
McAfee Change Control: функции
Предотвращает выбранные изменения
Логирует все попытки изменений выходящие за политику
Change Prevention
Уведомляет о критичных и неавторизированных изменениях
Integrity Monitoring
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
Модуль File Integrity Monitoring
• Отвечает в real-time на вопросы Кто? Когда? Что? Почему?• Имя учетной записи• Время • Название программы
• Содержимое файлов/реестра
• Оповещает о критичных инцидентах
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
Фильтры File Integrity Monitoring
Многоуровневые белые/черные списки
Набор предустановленных правил
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
Мониторинг содержимого файлов
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
McAfee Change Control: детализация изменений
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
Управление изменениями
• Защита изменений базовой конфигурации
• Защита от записи для файлов и реестра
• Изменения доступны только авторизированным пользователям и ПО
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
McAfee Change Control: для всех без исключений
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
McAfee Change Control: аналитика
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
McAfee Change Control: разграничения по файлам
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
McAfee Change Control: разграничения по пользователям и приложениям
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
McAfee Change Control: реестр и расширения
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
McAfee Change Control: возможности
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
Платформы поддерживаемые Change Control
Тип ОС Версия
Windows (32 & 64-bit)
Embedded – XPE, 7E
Server – NT*, 2000*, 2003, 2003 R2, 2008, 2008 R2
Desktop – XP, Vista, 7
UNIX
RHEL 3/4/5/6
CentOS 4/5
OEL 5
SuSE Pro 9.3
SLES 9/10/11
SLED 11
OpenSUSE 10/11
Solaris 8,9,10
HPUX 11.11, 11.23, 11.31
AIX 5.3/6.1
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
McAfee Change Control: лицензирование
За устройство:
Сервер Минимальный набор 11 лицензий
Десктоп McAfee ePo – бесплатно
McAfee & Intel DAY | Киев | 15 Октября 2013 | McAfee Confidential
Экосистема McAfee по контролю и мониторингу целостности
Integrity Monitoring for Databases. Оценка состояния защиты СУБД (Oracle, MicrosoftSQL Server, IBM DB2 и MySQL) в масштабах всей организации, включая уровень версий/исправлений, настройки аудита, параметры конфигурации и привилегии.
Источник: http://www.mcafee.com/ru/products
Change Reconciliation. Комплексная инвентаризация изменений, согласно с уведомлениями об изменениях и разрешениями. Маркирует эпизодические, сделанные без разрешения изменения и сообщает об экстренных изменениях, выполненных без надлежащей документации.
Application Control. Блокировка неразрешенных приложений и кода на серверах, корпоративных настольных системах и устройствах с фиксированными функциями. Используется динамическая модель доверия и тесная интеграция с Change Control и Change Reconciliation.
Вопросы и ответы > посетите стэнд СВІТ ІТ
Спасибо за внимание!
Свяжитесь с нами по адресу: [email protected]