security metrics for pci compliance
Post on 16-Jan-2015
1.316 Views
Preview:
DESCRIPTION
TRANSCRIPT
Измеряя защищенностьМетрики безопасности для PCI DSS
Сергей Гордейчик
Security Lab by Positive Technologies
Что такое PCI DSS?
Аудиты QSA?
Сканирования ASV?
Тесты на проникновение?
Оценка Web-приложений?
Что такое PCI DSS?
Построение процесса поддержания ИС в защищенном (и compliant) состоянии!•Процесс мониторинга и аудита (ISO 27001 A.15.2…)
Аудиты QSA?Сканирования ASV?Тесты на проникновение?Оценка Web-приложений?
Что такое PCI DSS?
Построение процесса поддержания ИС в защищенном (и compliant) состоянии!•Процесс мониторинга и аудита (ISO 27001 A.15.2…)
Аудиты QSA?Сканирования ASV?Тесты на проникновение?Оценка Web-приложений?
Черно-белый подход
Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат
Не соответствует!Соответствует!
Реальность гораздо сложнее…
Пример: Обновление Oracle
Аудитор: У вас проблемы с Oracle
Компания:Согласование с разработчикамиОжидание одобренияТестированиеРазвертывание
Пример: Обновление Oracle. Что делать?!!
Ускорить процесс?
Ставить патчи на свой страх и риск?
Ограничить доступ на МСЭ?
Перенести приложение на терминал?
Внедрить специализированную IPS?
Что такое хорошо, что такое плохо?
Как измерить текущий уровень соответствия не в двоичном формате?
Как разделить процесс поддержания соответствия на измеримые задачи?
Как оценить планируемые и текущие расходы?
Метрики безопасности
Однозначно измеряются, без «экспертного мнения»
Доступны для расчета и анализа (предпочтительно автоматически)
Имеют количественное выражение (не "высокий", "средний", "низкий")
Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость"
Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")
Соответствие стандарту
По требованиям
Соответствие стандарту
По узлам
Соответствие стандарту
По узлам и по требованиям
Соответствие стандарту
Сколько требований PCI мы нарушаем?
Какие нарушения наиболее распространены?
Что закрывать в первую очередь?
Хорошо, но мало!
Позволяет наметить курс действий
Дает возможность отслеживать динамику
Не позволяет получить понятную проектную оценку!
Метрики трудозатрат
Позволяют оценить планируемые и текущие трудозатраты на достижение цели• Трудозатраты на приведение в соответствие с
требованиями стандартов•Обоснование выбора компенсационных средств
защиты•Оценка затраченных ресурсов
Разделение изменений по типам•Установка обновлений•Обновление версии•Внесение изменения в конфигурацию•Исправление кода…
Метрики трудозатрат
Процессные метрики
Генерируются на основе Compliance и их производных•Количество и процент рабочих станций с
установленным антивирусным пакетом•Количество и процент узлов, соответствующих
требованиям по patch-management•Количество и процент серверов СУБД
соответствующих парольной политике•Количество и процент сетевых устройств,
соответствующих требованиям стандартов
Процессные метрики
Пример с Oracle•Cходимость по узлам: от 20 дней до бесконечности
•Максимальный уровень соответствия: 23%
Быть может, вам не стоит вообще думать об установке обновлений Oracle?
Сравнение с мировым уровнем
А как у других?
Достиг ли я приемлемого уровня?
Может и не стоит ничего делать?
Исследование уязвимости Web-приложений, 2008 г.
Объем исследования:•В автоматическом режиме – около 10000 узлов•Детальный анализ – около 1000 узлов
Результаты исследования:•Низкий уровень защищенности большинства Web-
сайтов•Автоматизация методов выявления и эксплуатации
уязвимостей
Web Application Security Consortium предварительные данные
Распределение Web-сайтов по уровню найденных уязвимостей (2008 г.)
Наиболее распространенные уязвимости
Для атаки на Web-сайт обычно используются…
При анализе скомпрометированного Web-сайта обнаруживается “букет” уязвимостей, треть из которых могла быть использована нарушителем для атаки
А как оперативно устраняются эти проблемы?
Whitehat Security
Спасибо за внимание!
Сергей Гордейчикhttp://sgordey.blogspot.com
gordey@ptsecurity.ru
top related