'

"Бумажная безопасность" - как угроза информационному обществу

Понравилась презентация – покажи это...





Слайд 0

"Бумажная безопасность" - как угроза информационному обществу Борис Симис Директор по развитию Positive Technologies


Слайд 1

О компании Positive Technologies Специализация компании – анализ и поиск уязвимостей компьютерных систем. Лицензиат ФСТЭК, ФСБ, МинОбороны РФ. Российский разработчик ПО Сканер безопасности XSPider Cистема MaxPatrol Поддержка портала SecurityLab.ru Проведение работ по анализу защищенности: Более 20 Заказчиков в 2009 году (ТЭК, Телеком, Банки, Государственные структуры)


Слайд 2

Клиенты компании


Слайд 3

Практика анализа защищенности


Слайд 4

Наиболее вероятные пути проникновения Социальная инженерия в сочетании с уязвимостями рабочих мест пользователей Использование уязвимостей в Web-приложениях Слабости парольной защиты Уязвимости и ошибки конфигурации: сетевых устройств, средств защиты периметра информационных ресурсов в демилитаризованных зонах


Слайд 5

Люди и их рабочие места Письма с интересным заголовком Список увольняемых 2009 год.doc Премиальные выплаты.pdf 100 процентно «дырявое» ПО: Acrodat reader Видео кодеки ICQ, Java


Слайд 6

Защищенность Web-приложений 1,5 процента легальных сайтов в интернете взломано и используется для установки вредоносного ПО. Более 10% Интернет-сайтов может быть взломано полностью автоматически. Порядка трети web-сайтов российских крупных компаний имеет уязвимости высокой степени критичности.


Слайд 7

Наиболее часто используемые пароли в России По материалам исследований компании Positive Technologies: «Анализ проблем парольной защиты в российских компаниях»


Слайд 8

Мировая статистика 74% инцидентов – результат внешних атак 83% атак не требовало высокой квалификации нарушителя В 67% инцидентов стали успешны благодаря серьезным ошибкам в защите 87% атак могли бы быть предотвращены стандартными решениями По материалам «2009 Data Breach Investigations Report» - Verizon Business


Слайд 9

В чем причина?


Слайд 10

Признаки «бумажной безопасности» Отсутствует контроль настроек ИТ-систем. Политики реализованы только в виде регламентирующих документов. Как они реализованы никто не знает. Отсутствует процесс управления защищенностью. Ежедневно появляются новые уязвимости и никто в Компании не знает, какие есть бреши в их системе.


Слайд 11

Прогнозирование угроз. Gartner - 2005 Год.


Слайд 12

Резюме. Преобладание «бумажной» безопасности над реальной Обеспечение «реальной» безопасности не является первостепенным вопросом для руководства служб ИБ


Слайд 13

Основная предпосылка Безопасность невозможна без порядка в ИТ Порядок в ИТ трудно навести без технических стандартов для конкретных ИТ систем Технические стандарты без контроля – фикция Контроль без автоматизации – нереализуем


Слайд 14

Концепция Реальная безопасность Контроль технических политик Инвентаризация технических активов Контроль изменений, KPI Контроль защищенности


Слайд 15

Система контроля защищенности и соответствия техническим политикам MaxPatrol


Слайд 16

Подход к «реальной безопасности» на базе MaxPatrol


Слайд 17

Инвентаризация технических активов


Слайд 18

Инвентаризация. Внешний периметр: Определить перечень узлов и приложений Выявить нелигитимные службы (Web-сервера, сетевое оборудование) Инвентаризировать внешние ресурсы дочерних организаций


Слайд 19

Инвентаризация. Собрать конфигурацию всех узлов сети: Рабочие станции (перечень установленного ПО, лицензионность ПО, локальные администраторы, внешние модемы… ) Сетевое оборудование (настроенные access-list, правила авторизации) Базы данных (перечень таблиц, пользователи с административными правами)


Слайд 20

Контроль защищенности


Слайд 21

Контроль защищенности – 5 в одном Сетевой сканнер Network scanner Тестирование на проникновение Penetration test Сканер баз данных Database scanner Сканер Web-приложений Web application scanner Системные проверки System audit


Слайд 22

Контроль защищенности Vulnerability management. Контроль управления уязвимостями. Порядка 15000 уязвимостей в Базе Знаний Ежедневное обновление БД уязвимостей Выявление уязвимостей в ИТ системе Формирование отчетов о необходимости устранения уязвимостями Контроль как ИТ службы устранили уязвимости Результат: ИТ система без уязвимостей.


Слайд 23

Контроль политик


Слайд 24

MaxPatrol. База знаний Встроенные технические стандарты Cisco, Nortel… MS Windows, Active Directory, Exchange… Linux, Solaris,HP-UX… Microsoft SQL, Oracle… SAP… Возможность разработки собственных стандартов на базе встроенных


Слайд 25

MaxPatrol. Технические политики


Слайд 26

Управление соответствием


Слайд 27

Контроль соблюдения стандартов Compliance management. Контроль соответствия стандартам. Определили технические стандарты для ключевых систем Согласовали их внутри организации Контролируем их соответствие Прозрачный контроль ERP систем, биллинга Контроль регионов, дочерних предприятий Результат: ИТ система в порядке с точки зрения ИБ.


Слайд 28

Результат сканирования в режиме “Compliance”


Слайд 29

Контроль эффективности. KPI Конфигурируемый набор метрик безопасности Метрики могут рассчитываться для различных групп узлов и подразделений Исторический анализ данных


Слайд 30

Центр контроля защищенности на основе MaxPatrol


Слайд 31

Спасибо за внимание! Симис Борис Борисович bsimis@ptsecurity.ru


×

HTML:





Ссылка: