"Бумажная безопасность" - как угроза информационному обществу

Содержание

Слайд 2

О компании Positive Technologies

Специализация компании – анализ и поиск уязвимостей компьютерных систем.

О компании Positive Technologies Специализация компании – анализ и поиск уязвимостей компьютерных

Лицензиат ФСТЭК, ФСБ, МинОбороны РФ.
Российский разработчик ПО
Сканер безопасности XSPider
Cистема MaxPatrol
Поддержка портала SecurityLab.ru
Проведение работ по анализу защищенности:
Более 20 Заказчиков в 2009 году (ТЭК, Телеком, Банки, Государственные структуры)

Слайд 3

Клиенты компании

Клиенты компании

Слайд 4

ПРАКТИКА АНАЛИЗА ЗАЩИЩЕННОСТИ

ПРАКТИКА АНАЛИЗА ЗАЩИЩЕННОСТИ

Слайд 5

Наиболее вероятные пути проникновения

Социальная инженерия в сочетании с уязвимостями рабочих мест пользователей
Использование

Наиболее вероятные пути проникновения Социальная инженерия в сочетании с уязвимостями рабочих мест
уязвимостей в Web-приложениях
Слабости парольной защиты
Уязвимости и ошибки конфигурации:
сетевых устройств,
средств защиты периметра
информационных ресурсов в демилитаризованных зонах

Слайд 6

Люди и их рабочие места

Письма с интересным заголовком
Список увольняемых 2009 год.doc
Премиальные выплаты.pdf
100

Люди и их рабочие места Письма с интересным заголовком Список увольняемых 2009
процентно «дырявое» ПО:
Acrodat reader
Видео кодеки
ICQ, Java

Слайд 7

Защищенность Web-приложений

1,5 процента легальных сайтов в интернете взломано и используется для установки

Защищенность Web-приложений 1,5 процента легальных сайтов в интернете взломано и используется для
вредоносного ПО.
Более 10% Интернет-сайтов может быть взломано полностью автоматически.
Порядка трети web-сайтов российских крупных компаний имеет уязвимости высокой степени критичности.

Слайд 8

Наиболее часто используемые пароли в России

По материалам исследований компании Positive Technologies:

Наиболее часто используемые пароли в России По материалам исследований компании Positive Technologies:
«Анализ проблем парольной защиты в российских компаниях»

Слайд 9

Мировая статистика

74% инцидентов – результат внешних атак
83% атак не требовало высокой квалификации

Мировая статистика 74% инцидентов – результат внешних атак 83% атак не требовало
нарушителя
В 67% инцидентов стали успешны благодаря серьезным ошибкам в защите
87% атак могли бы быть предотвращены стандартными решениями

По материалам «2009 Data Breach Investigations Report» - Verizon Business

Слайд 10

В чем причина?

В чем причина?

Слайд 11

Признаки «бумажной безопасности»

Отсутствует контроль настроек ИТ-систем. Политики реализованы только в виде регламентирующих

Признаки «бумажной безопасности» Отсутствует контроль настроек ИТ-систем. Политики реализованы только в виде
документов. Как они реализованы никто не знает.
Отсутствует процесс управления защищенностью. Ежедневно появляются новые уязвимости и никто в Компании не знает, какие есть бреши в их системе.

Слайд 12

Прогнозирование угроз. Gartner - 2005 Год.

Прогнозирование угроз. Gartner - 2005 Год.

Слайд 13

Резюме.

Преобладание «бумажной» безопасности над реальной
Обеспечение «реальной» безопасности не является первостепенным вопросом для руководства

Резюме. Преобладание «бумажной» безопасности над реальной Обеспечение «реальной» безопасности не является первостепенным
служб ИБ

Слайд 14

Основная предпосылка

Безопасность невозможна без порядка в ИТ
Порядок в ИТ трудно навести без

Основная предпосылка Безопасность невозможна без порядка в ИТ Порядок в ИТ трудно
технических стандартов для конкретных ИТ систем
Технические стандарты без контроля – фикция
Контроль без автоматизации – нереализуем

Слайд 15

Концепция

Реальная безопасность

Контроль технических политик

Инвентаризация технических активов

Контроль изменений, KPI

Контроль защищенности

Концепция Реальная безопасность Контроль технических политик Инвентаризация технических активов Контроль изменений, KPI Контроль защищенности

Слайд 16

СИСТЕМА КОНТРОЛЯ ЗАЩИЩЕННОСТИ И СООТВЕТСТВИЯ ТЕХНИЧЕСКИМ ПОЛИТИКАМ

MaxPatrol

СИСТЕМА КОНТРОЛЯ ЗАЩИЩЕННОСТИ И СООТВЕТСТВИЯ ТЕХНИЧЕСКИМ ПОЛИТИКАМ MaxPatrol

Слайд 17

Подход к «реальной безопасности» на базе MaxPatrol

Подход к «реальной безопасности» на базе MaxPatrol

Слайд 18

ИНВЕНТАРИЗАЦИЯ ТЕХНИЧЕСКИХ АКТИВОВ

ИНВЕНТАРИЗАЦИЯ ТЕХНИЧЕСКИХ АКТИВОВ

Слайд 19

Инвентаризация.

Внешний периметр:
Определить перечень узлов и приложений
Выявить нелигитимные службы (Web-сервера, сетевое оборудование)
Инвентаризировать внешние

Инвентаризация. Внешний периметр: Определить перечень узлов и приложений Выявить нелигитимные службы (Web-сервера,
ресурсы дочерних организаций

Слайд 20

Инвентаризация.

Собрать конфигурацию всех узлов сети:
Рабочие станции (перечень установленного ПО, лицензионность ПО,

Инвентаризация. Собрать конфигурацию всех узлов сети: Рабочие станции (перечень установленного ПО, лицензионность
локальные администраторы, внешние модемы… )
Сетевое оборудование (настроенные access-list, правила авторизации)
Базы данных (перечень таблиц, пользователи с административными правами)

Слайд 21

КОНТРОЛЬ ЗАЩИЩЕННОСТИ

КОНТРОЛЬ ЗАЩИЩЕННОСТИ

Слайд 22

Контроль защищенности – 5 в одном

Сетевой сканнер Network scanner
Тестирование на проникновение Penetration test
Сканер

Контроль защищенности – 5 в одном Сетевой сканнер Network scanner Тестирование на
баз данных Database scanner
Сканер Web-приложений Web application scanner
Системные проверки System audit

Слайд 23

Контроль защищенности

Vulnerability management. Контроль управления уязвимостями.
Порядка 15000 уязвимостей в Базе Знаний

Контроль защищенности Vulnerability management. Контроль управления уязвимостями. Порядка 15000 уязвимостей в Базе

Ежедневное обновление БД уязвимостей
Выявление уязвимостей в ИТ системе
Формирование отчетов о необходимости устранения уязвимостями
Контроль как ИТ службы устранили уязвимости
Результат: ИТ система без уязвимостей.

Слайд 24

КОНТРОЛЬ ПОЛИТИК

КОНТРОЛЬ ПОЛИТИК

Слайд 25

MaxPatrol. База знаний

Встроенные технические стандарты
Cisco, Nortel…
MS Windows, Active Directory, Exchange…
Linux, Solaris,HP-UX…
Microsoft SQL,

MaxPatrol. База знаний Встроенные технические стандарты Cisco, Nortel… MS Windows, Active Directory,
Oracle…
SAP…
Возможность разработки собственных стандартов на базе встроенных

Слайд 26

MaxPatrol. Технические политики

MaxPatrol. Технические политики

Слайд 27

УПРАВЛЕНИЕ СООТВЕТСТВИЕМ

УПРАВЛЕНИЕ СООТВЕТСТВИЕМ

Слайд 28

Контроль соблюдения стандартов

Compliance management. Контроль соответствия стандартам.
Определили технические стандарты для ключевых систем
Согласовали

Контроль соблюдения стандартов Compliance management. Контроль соответствия стандартам. Определили технические стандарты для
их внутри организации
Контролируем их соответствие
Прозрачный контроль ERP систем, биллинга
Контроль регионов, дочерних предприятий
Результат: ИТ система в порядке с точки зрения ИБ.

Слайд 29

Результат сканирования в режиме “Compliance”

Результат сканирования в режиме “Compliance”

Слайд 30

Контроль эффективности. KPI

Конфигурируемый набор метрик безопасности
Метрики могут рассчитываться для различных групп узлов

Контроль эффективности. KPI Конфигурируемый набор метрик безопасности Метрики могут рассчитываться для различных
и подразделений
Исторический анализ данных

Слайд 31

Центр контроля защищенности на основе MaxPatrol

Центр контроля защищенности на основе MaxPatrol
Имя файла: "Бумажная-безопасность"---как-угроза-информационному-обществу.pptx
Количество просмотров: 177
Количество скачиваний: 0