Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.

Презентация:



Advertisements
Похожие презентации
Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Advertisements

Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security.
Группа компаний МАСКОМ Компания Digital Security ТЕМА: Выполнение требований 152 ФЗ и PCI DSS в современных информационных системах - эффект синергии Сергей.
Secret Net 5.0 сетевой вариант Система защиты информации от несанкционированного доступа нового поколения.
1 / RBBY Внедрение стандарта безопасности данных индустрии платежных карт (PCI DSS) в «Приорбанк» ОАО Минск Ноябрь 2010 «Сражаясь с тем, кто.
Основные проблемы внедрения PCI DSS © 2009, Digital Security Илья Медведовский, директор Digital Security, к.т.н.
Средства анализа защищённости Раздел 2 – Тема 12.
Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.
Проблемы и уязвимости в системах ДБО © , Digital Security Digital Security.
Клиент банка под атакой © 2009, Digital Security.
ЦИФРОВЫЕ СЕЙФЫ СИСТЕМА ЗАЩИТЫ ВАЖНОЙ ИНФОРМАЦИИ. Существующие методы передачи конфиденциальной информации, такие как электронная почта, файловые сервера.
Вероника Копейко Менеджер по организации обучения Консультационные онлайн услуги по продуктам и решениям компании «Код Безопасности»
Слайд 68 ЗАЩИТНЫЕ МЕХАНИЗМЫ И СРЕДСТВА У Ч Е Б Н Ы Й Ц Е Н Т Р ИНФОРМЗАЩИТА Раздел 1 – Тема 3.
Защита баз данных. Повестка дня Реалии сегодняшнего дня … Источники атак Уязвимости СУБД Что делать ? Кто поможет ? DbProtect – новое предлагаемое решение.
Гольдштейн Анна, PA QSA Заместитель директора департамента аудита Введение в проблематику PA-DSS Стандарт PA-DSS: безопасность платежных приложений Семинар.
Угрозы безопасности для Информационной Системы Высшего Учебного Заведения Автор: Лунгу Максим, студент V курса, гр. CIB-213 Молдавская Экономическая Академия.
Практические аспекты обеспечения безопасности облачных вычислений Францев Викентий Вячеславович, Директор ООО «АльтЭль» новые тенденции.
Проблемы обеспечения безопасности приложений Тема 20.
Архитектура защиты ГРИД-систем для обработки конфиденциальной информации И.А.Трифаленков Директор по технологиям и решениям.
Организация корпоративной защиты от вредоносных программ Алексей Неверов Пермский государственный университет, кафедра Процессов управления и информационной.
Транксрипт:

Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.

© , Digital Security Кто? Что? Зачем? 2 Требование 11.3 стандарта PCI DSS. Область применения – область обработки, хранения, передачи карточных данных (рабочие станции, серверы, сетевое оборудование). То есть все объекты, попадающие под QSA-аудит. Один раз в год или после серьезных изменений инфраструктуры Цель – проникновение. Тест на проникновение в соответствии с PCI DSS

© , Digital Security Что это? 3 Тест на проникновение Внешний периметр (из Интернет). Внутренний периметр (внутри корпоративной сети). Алгоритм проникновения Поиск уязвимостей. Реализация уязвимостей. Продвижение вглубь системы. Обход существующих систем защиты. Тест на проникновение Алгоритм сканера Поиск уязвимостей по сигнатурам. Генерирования отчёта.

© , Digital Security Что показывает? 4 Объективная реальность Эффективность систем защиты. Адекватность конфигурации ОС серверов и рабочих станций, баз данных и активного сетевого оборудования. Эффективность СУИБ в целом: управление обновлениями; парольная политика; система журналирования и оповещения. информированность пользователей Тест на проникновение

© , Digital Security Задача – проникновение (не сканирование!) 5 Тест на проникновение Проникновение – получение доступа к ИС. Карточные данные – не цель, цель - среда. Если есть доступ к среде, значит карточные данные не защищены. ! Шифрование данных не является достаточной защитой: возможность получения доступа к данным до или после проведения криптографических процедур; перехват аутентификационных данных. Итоговый вывод об успешном прохождении пентеста делает только QSA-аудитор

© , Digital Security Качество теста на проникновение 6 Тест на проникновение Качество теста. Опыт. Исследования в области ИБ Квалифицированные специалисты. Контроль Совета PCI SSC. К критичным нарушениям QSA-аудитором процедуры проверки относятся: Заведомо ложная трактовка аудитором требований стандарта; Обозначение в Отчете о Соответствии невыполненного требования как выполненного. Тест на проникновение – не просто сканирование Отзыв статуса QSA у аудитора – проблемы с сертификатом у его заказчика

© , Digital Security Пример внутреннего теста на проникновение 32 Найдена уязвимость хранимого межсайтового скриптинга на внутреннем портале. Внедряется код, который перенаправляет в невидимом фрейме браузер пользователя на ресурс созданный специалистом проводящим тест на проникновение.. Проведение атаки SMB RELAY для аутентификации на контроллере домена используя NTLM пользователя. Используя аутентификацию пользователя, специалист пробует выполнить код на контроллере домена – запуск командной строки. Когда администратор посетил портал, на контроллере домена откроется черный ход – командная строка с правами доменного администратора. Тест на проникновение

32 Итог Получен доступ с правами администратора к контроллеру домена. Ошибки Уязвимость типа XSS. Тест на проникновение Пример внутреннего теста на проникновение

© , Digital Security ВОПРОСЫ Тест на проникновение