Скачать презентацию
Идет загрузка презентации. Пожалуйста, подождите
Презентация была опубликована 12 лет назад пользователемwww.infoforum.ru
1 "Бумажная безопасность" - как угроза информационному обществу Борис Симис Директор по развитию Positive Technologies
2 О компании Positive Technologies Специализация компании – анализ и поиск уязвимостей компьютерных систем. Лицензиат ФСТЭК, ФСБ, МинОбороны РФ. Российский разработчик ПО Сканер безопасности XSPider Cистема MaxPatrol Поддержка портала SecurityLab.ru Проведение работ по анализу защищенности: Более 20 Заказчиков в 2009 году (ТЭК, Телеком, Банки, Государственные структуры)
3 Клиенты компании
4 ПРАКТИКА АНАЛИЗА ЗАЩИЩЕННОСТИ
5 Наиболее вероятные пути проникновения Социальная инженерия в сочетании с уязвимостями рабочих мест пользователей Использование уязвимостей в Web- приложениях Слабости парольной защиты Уязвимости и ошибки конфигурации: сетевых устройств, средств защиты периметра информационных ресурсов в демилитаризованных зонах
6 Люди и их рабочие места Письма с интересным заголовком Список увольняемых 2009 год.doc Премиальные выплаты.pdf 100 процентно «дырявое» ПО: Acrodat reader Видео кодеки ICQ, Java
7 Защищенность Web-приложений 1,5 процента легальных сайтов в интернете взломано и используется для установки вредоносного ПО. Более 10% Интернет-сайтов может быть взломано полностью автоматически. Порядка трети web-сайтов российских крупных компаний имеет уязвимости высокой степени критичности.
8 Наиболее часто используемые пароли в России По материалам исследований компании Positive Technologies: «Анализ проблем парольной защиты в российских компаниях»
9 Мировая статистика 74% инцидентов – результат внешних атак 83% атак не требовало высокой квалификации нарушителя В 67% инцидентов стали успешны благодаря серьезным ошибкам в защите 87% атак могли бы быть предотвращены стандартными решениями По материалам «2009 Data Breach Investigations Report» - Verizon Business
10 В чем причина?
11 Признаки «бумажной безопасности» Отсутствует контроль настроек ИТ-систем. Политики реализованы только в виде регламентирующих документов. Как они реализованы никто не знает. Отсутствует процесс управления защищенностью. Ежедневно появляются новые уязвимости и никто в Компании не знает, какие есть бреши в их системе.
12 Прогнозирование угроз. Gartner Год.
13 Резюме. Преобладание «бумажной» безопасности над реальной Обеспечение «реальной» безопасности не является первостепенным вопросом для руководства служб ИБ
14 Основная предпосылка Безопасность невозможна без порядка в ИТ Порядок в ИТ трудно навести без технических стандартов для конкретных ИТ систем Технические стандарты без контроля – фикция Контроль без автоматизации – нереализуем
15 Концепция Реальная безопасность Контроль технических политик Инвентаризация технических активов Контроль изменений, KPI Контроль защищенности
16 СИСТЕМА КОНТРОЛЯ ЗАЩИЩЕННОСТИ И СООТВЕТСТВИЯ ТЕХНИЧЕСКИМ ПОЛИТИКАМ MaxPatrol
17 Подход к «реальной безопасности» на базе MaxPatrol
18 Инвентаризация технических активов
19 Инвентаризация. Внешний периметр: Определить перечень узлов и приложений Выявить нелигитимные службы (Web-сервера, сетевое оборудование) Инвентаризировать внешние ресурсы дочерних организаций
20 Инвентаризация. Собрать конфигурацию всех узлов сети: Рабочие станции (перечень установленного ПО, лицензионность ПО, локальные администраторы, внешние модемы… ) Сетевое оборудование (настроенные access-list, правила авторизации) Базы данных (перечень таблиц, пользователи с административными правами)
21 Контроль защищенности
22 Контроль защищенности – 5 в одном Сетевой сканнер Network scanner Тестирование на проникновение Penetration test Сканер баз данных Database scanner Сканер Web-приложений Web application scanner Системные проверки System audit
23 Контроль защищенности Vulnerability management. Контроль управления уязвимостями. Порядка уязвимостей в Базе Знаний Ежедневное обновление БД уязвимостей Выявление уязвимостей в ИТ системе Формирование отчетов о необходимости устранения уязвимостями Контроль как ИТ службы устранили уязвимости Результат: ИТ система без уязвимостей.
24 Контроль политик
25 MaxPatrol. База знаний Встроенные технические стандарты Cisco, Nortel… MS Windows, Active Directory, Exchange… Linux, Solaris,HP-UX… Microsoft SQL, Oracle… SAP… Возможность разработки собственных стандартов на базе встроенных
26 MaxPatrol. Технические политики
27 Управление соответствием
28 Контроль соблюдения стандартов Compliance management. Контроль соответствия стандартам. Определили технические стандарты для ключевых систем Согласовали их внутри организации Контролируем их соответствие Прозрачный контроль ERP систем, биллинга Контроль регионов, дочерних предприятий Результат: ИТ система в порядке с точки зрения ИБ.
29 Результат сканирования в режиме Compliance
30 Контроль эффективности. KPI Конфигурируемый набор метрик безопасности Метрики могут рассчитываться для различных групп узлов и подразделений Исторический анализ данных
31 Центр контроля защищенности на основе MaxPatrol
32 Спасибо за внимание! Симис Борис Борисович
Еще похожие презентации в нашем архиве:
© 2024 MyShared Inc.
All rights reserved.