Безопасность: от «бумажных» процессов к реальной защищенности Дмитрий Степанюк Positive Technologies

Немного истории Телеком Можете провести Pentest? Легче легкого!

Сначала мы подключились к сети… C:\>tracert -d Tracing route to [ ] over a maximum of 30 hops: 1 * * * Request timed out ms 13 ms 5 ms ms 6 ms 5 ms

Потом немного посканировали сеть #sh run Using out of bytes ! version ! username test1 password 7 username antipov password 7 username gordey password 7 username anisimov password 7 username petkov password 7 username mitnik password 7 username jeremiah password 7

Потом немного послушали трафик

Потом настроили VPN… Так удобней

В результате… Контроль над 500 маршрутизаторами, включая: MPLS-магистраль Узлы доступа пользователей Хостинг-площадки Получен доступ к внутренним ресурсам: Система биллинга (20000 паролей пользователей) Рабочие станции администраторов Система оплаты труда и HR-база

Немного статистики Количество атак Adobe Reader 28,6%47% Количество PDF файлов Причины: В 2008 году было обнаружено 19 уязвимостей в Adobe Reader Отсутствие системы централизованного обновления продуктов Adobe По данным F-Secure

В чем причина? У компаний плохо с управлением ИБ? Полный набор всего нормативного обеспечения Технические стандарты на все типы систем НО! 30% требований нереализуемы, неприменимы или противоречивы Контроль за соблюдением требований отсутствует Цикл технического аудита по 10% систем занимает год (т.е. практические отсутствует)

Как бороться с «бумажной безопасностью»? Как сблизить «бумагу» и реальную ситуацию с защищенностью? Как не «утонуть» в требованиях разнообразных стандартов? Как контролировать приобретенные компании и подразделения? Как эффективно контролировать текущее состояния защищенности и соответствия стандартам? Как оценить трудозатраты на процессы ИБ и ИТ?

Пример решения. Лукоил Задачи Поддержка соответствия стандарту ISO Автоматизация контроля соответствия корпоративным требованиям ИБ Снижение затрат на технические аудиты Повышение защищенности инфраструктуры Решение Внедрение комплексной системы мониторинга защищенности на основе MaxPatrol

Пример решения. Лукоил Результаты Существующие технические стандарты реализованы в системе MaxPatrol Запущен мониторинг безопасности ИТ-ресурсов Существенно снижены временные и трудозатраты на аудиты и поддержание соответствия Получена актуальная и оперативная картина уровня защищенности

Пример решения. Вымпелком Задачи Соответствие SoX, ФЗ «О персональных данных» Контроль защищенности критичных для бизнеса систем Контроль поглощенных компаний Оценка защищенности Web-приложений Решение Внедрение комплексной системы мониторинга защищенности на основе MaxPatrol

Пример решения. Вымпелком Результаты Полное понимание текущей ситуации в регионах и ее динамики Возможно использования одного решения Снижение трудозатрат в регионах Уязвимости во внешних службах устраняются до внедрения

Пример решения. ГМК «Норильский Никель» Задачи Развитие СУИБ на базе ISO Внедрение процесса мониторинга и аудита Контроль безопасности аутсорсинговых и интеграционных проектов Своевременный контроль изменений Решение Внедрение системы анализа защищенности и контроля изменений на основе MaxPatrol

Пример решения. ГМК «Норильский Никель» Результаты Разработан полный комплект технических стандартов (Windows, Unix, Oracle, SAP….) Внедрен процесс мониторинга и аудита Эксплуатация системы передана ИТ Внедрен набор KPI аутсорсинговых проектов Своевременный контроль изменений

Пример решения. ОАО «Газпромнефть» Задачи Развитие СУИБ на базе ISO Контроль эффективности ИТ и ИБ Контроль поглощенных компаний Контроль «черного ящика» ERP Решение Внедрение системы анализа защищенности и контроля изменений на основе MaxPatrol

Пример решения. ОАО «Газпромнефть» Результаты Актуальные данные по защищенности ERP, инфраструктурных и прикладных систем Использование библиотеки стандартов CIS, Positive Technologies Разработка плана действий для поглощенных компаний

Разные задачи

Разные компании

Одно решение

Спасибо за внимание! Дмитрий Степанюк