"Бумажная безопасность" - как угроза информационному обществу Борис Симис Директор по развитию Positive Technologies

О компании Positive Technologies Специализация компании – анализ и поиск уязвимостей компьютерных систем. Лицензиат ФСТЭК, ФСБ, МинОбороны РФ. Российский разработчик ПО Сканер безопасности XSPider Cистема MaxPatrol Поддержка портала SecurityLab.ru Проведение работ по анализу защищенности: Более 20 Заказчиков в 2009 году (ТЭК, Телеком, Банки, Государственные структуры)

Клиенты компании

ПРАКТИКА АНАЛИЗА ЗАЩИЩЕННОСТИ

Наиболее вероятные пути проникновения Социальная инженерия в сочетании с уязвимостями рабочих мест пользователей Использование уязвимостей в Web- приложениях Слабости парольной защиты Уязвимости и ошибки конфигурации: сетевых устройств, средств защиты периметра информационных ресурсов в демилитаризованных зонах

Люди и их рабочие места Письма с интересным заголовком Список увольняемых 2009 год.doc Премиальные выплаты.pdf 100 процентно «дырявое» ПО: Acrodat reader Видео кодеки ICQ, Java

Защищенность Web-приложений 1,5 процента легальных сайтов в интернете взломано и используется для установки вредоносного ПО. Более 10% Интернет-сайтов может быть взломано полностью автоматически. Порядка трети web-сайтов российских крупных компаний имеет уязвимости высокой степени критичности.

Наиболее часто используемые пароли в России По материалам исследований компании Positive Technologies: «Анализ проблем парольной защиты в российских компаниях»

Мировая статистика 74% инцидентов – результат внешних атак 83% атак не требовало высокой квалификации нарушителя В 67% инцидентов стали успешны благодаря серьезным ошибкам в защите 87% атак могли бы быть предотвращены стандартными решениями По материалам «2009 Data Breach Investigations Report» - Verizon Business

В чем причина?

Признаки «бумажной безопасности» Отсутствует контроль настроек ИТ-систем. Политики реализованы только в виде регламентирующих документов. Как они реализованы никто не знает. Отсутствует процесс управления защищенностью. Ежедневно появляются новые уязвимости и никто в Компании не знает, какие есть бреши в их системе.

Прогнозирование угроз. Gartner Год.

Резюме. Преобладание «бумажной» безопасности над реальной Обеспечение «реальной» безопасности не является первостепенным вопросом для руководства служб ИБ

Основная предпосылка Безопасность невозможна без порядка в ИТ Порядок в ИТ трудно навести без технических стандартов для конкретных ИТ систем Технические стандарты без контроля – фикция Контроль без автоматизации – нереализуем

Концепция Реальная безопасность Контроль технических политик Инвентаризация технических активов Контроль изменений, KPI Контроль защищенности

СИСТЕМА КОНТРОЛЯ ЗАЩИЩЕННОСТИ И СООТВЕТСТВИЯ ТЕХНИЧЕСКИМ ПОЛИТИКАМ MaxPatrol

Подход к «реальной безопасности» на базе MaxPatrol

Инвентаризация технических активов

Инвентаризация. Внешний периметр: Определить перечень узлов и приложений Выявить нелигитимные службы (Web-сервера, сетевое оборудование) Инвентаризировать внешние ресурсы дочерних организаций

Инвентаризация. Собрать конфигурацию всех узлов сети: Рабочие станции (перечень установленного ПО, лицензионность ПО, локальные администраторы, внешние модемы… ) Сетевое оборудование (настроенные access-list, правила авторизации) Базы данных (перечень таблиц, пользователи с административными правами)

Контроль защищенности

Контроль защищенности – 5 в одном Сетевой сканнер Network scanner Тестирование на проникновение Penetration test Сканер баз данных Database scanner Сканер Web-приложений Web application scanner Системные проверки System audit

Контроль защищенности Vulnerability management. Контроль управления уязвимостями. Порядка уязвимостей в Базе Знаний Ежедневное обновление БД уязвимостей Выявление уязвимостей в ИТ системе Формирование отчетов о необходимости устранения уязвимостями Контроль как ИТ службы устранили уязвимости Результат: ИТ система без уязвимостей.

Контроль политик

MaxPatrol. База знаний Встроенные технические стандарты Cisco, Nortel… MS Windows, Active Directory, Exchange… Linux, Solaris,HP-UX… Microsoft SQL, Oracle… SAP… Возможность разработки собственных стандартов на базе встроенных

MaxPatrol. Технические политики

Управление соответствием

Контроль соблюдения стандартов Compliance management. Контроль соответствия стандартам. Определили технические стандарты для ключевых систем Согласовали их внутри организации Контролируем их соответствие Прозрачный контроль ERP систем, биллинга Контроль регионов, дочерних предприятий Результат: ИТ система в порядке с точки зрения ИБ.

Результат сканирования в режиме Compliance

Контроль эффективности. KPI Конфигурируемый набор метрик безопасности Метрики могут рассчитываться для различных групп узлов и подразделений Исторический анализ данных

Центр контроля защищенности на основе MaxPatrol

Спасибо за внимание! Симис Борис Борисович