Владимир Руденковедущий эксперт

Управление инцидентами и PCI DSS.Чем поможет решение на основеArcSight ESM?

8 июня 2010 г

Содержание

• Требования стандарта PCI DSS

• Средство управления событиями ИБ ArcSight ESM

• Пакет PCI для ArcSight ESM

Рынок систем управления событиямибезопасности

ArcSight ESM.Гибкость архитектуры, максимальное количество типов источников, стабильность

работы и производительность

Cisco MARS.Сетевая направленность. Меньшее количество поддерживаемых источников

netForensics OSP.Нестабильная работа, сложность настройки и создания собственных коннекторов

IBM Tivoli Security Operation Management.Меньшее количество поддерживаемых источников. Сложность разработки

коннекторов

RSA enVision.Неэффективная корреляция, сложность настройки, отсутствие распределенной

архитектуры

Рынок систем управлениясобытиями безопасности

Gartner : «решения компанииArcSight уже 6 лет подрядзанимают лидирующиепозиции в области системмониторинга и управленияинформационнойбезопасностью»

О компании ArcSight

• Основана в Мае 2000 года www.arcsight.com• 300+ сотрудников• 500+ прямых клиентов, 850+ партнерских клиентов

ArcSight ESM и требования PCI DSS

Требование 10. Должен отслеживаться иконтролироваться любой доступ к сетевым ресурсам иданным платежных карт.

• Должна быть реализована система управления событиямиинформационной безопасности

• Должен осуществляться контроль событий включая доступ кданным платежных карт, использования администраторскихпривилегий, доступ к журналам аудита, использования системидентификации и аутентификации и т.д.

• События безопасности должны просматриваться ЕЖЕДНЕВНО

PCI DSS Compliance

• Проверка требований PCI DSS– Правила, политики, уведомления и отчеты

• Контроль выполнения всех 12 требований PCI DSS• Три основных области:

– Оперативный контроль соответствия требованиям PCI DSS– Помощь в подготовке к аудиту– Детальная информация по каждому из требований стандарта

• Более 100 отчетов обеспечивают объективную информацию повыполнению требований

• 28 правил автоматически контролируют несоответствия стандарту• Многоуровневая система контроля обеспечивает высокую

детальность мониторинга

PaymentCard Industry

Состав пакета PCI

PCI DSS Compliance

Требования PCIТребование 1. Должны быть обеспечены разработка и

управление конфигурацией межсетевых экранов вцелях защиты данных платежных карт

•Брандмауэры и маршрутизаторы- это1-я линия обороны иконтроля доступа

•Эти устройства генерируютбольшое количество данных

Jan 28 02:04:30 pix-inside %PIX-3-106010: Deny inbound tcpsrc outside:67.200.184.237/1262 dst inside:10.107.96.170/80Jan 28 02:01:08 pix-inside %PIX-3-106010: Deny inbound udpsrc outside:216.143.1.229/1321 dst inside:10.107.96.213/1434Jan 28 06:17:47 pix-inside %PIX-3-106010: Deny inbound icmpsrc outside:80.181.210.80 dst inside:10.107.96.229 (type 8,code 0) Jan 28 00:21:50 pix-inside %PIX-3-106011: Denyinbound (No xlate) tcp src outside:217.228.221.121/1233 dstoutside:10.47.243.45/80 Jan 28 00:01:38 pix-inside %PIX-4-106023: Deny tcp src outside:213.22.40.190/1381 dstinside:10.107.8.6/445 by access-group "ACL-FROM-OUTSIDE" Jan28 00:01:38 pix-inside %PIX-4-106023: Deny udp srcoutside:24.200.88.234/1025 dst inside:10.107.31.183/137 byaccess-group "ACL-FROM-OUTSIDE" Jan 28 00:41:42 pix-inside%PIX-4-106023: Deny icmp src outside:128.9.160.165 dstinside:10.107.19.103 (type 8, code 0) by access-group "ACL-FROM-OUTSIDE" Jan 28 01:48:01 pix-inside %PIX-4-106023: Denyprotocol 4 src outside:131.119.0.197 dst inside:10.107.16.135by access-group "ACL-FROM-OUTSIDE"

Mar 16 15:27:56 172.16.10.42 ns5gt: NetScreendevice_id=ns5gt [No Name]system-notification-00257(traffic): start_time=\"2005-03-1616:33:22\" duration=0 policy_id=320001service=tcp/port:120 proto=6 src zone=Nulldst zone=self action=Deny sent=0 rcvd=60src=192.168.2.1 dst=1.2.3.4 src_port=31048dst_port=12Jun 1 22:01:35 [xx] ns5gt: NetScreendevice_id=ns5gt [Root]system-alert-00016:Port scan! From 1.2.3.4:54886 to 2.3.4.5:406,proto TCP (zone Untrust, int untrust).Occurred 1 times. (2004-06-01 22:09:03)

Требования PCIТребование 2. Не должны использоваться параметры

безопасности и системные пароли, установленные поумолчанию.

• Использование небезопасных протоколов

• Использование учетных записей по-умолчанию

• Каждый сервер должен реализовать только одну функцию (2.2.1)

Требования PCIТребование 3. Должна быть обеспечена защита данных

платежных карт при хранении.

• Обеспечение контроля доступа ко всем ресурсам, содержащимданные платежных карт

• Данных платежных карт в передаются по сети открытом виде

• Журналы событий могут содержать данные платежных карт

Требования PCIТребование 4. Должно обеспечиваться шифрование

данных платежных карт, передаваемых по сетямобщего пользования

Примеры регистрации событий:– VPN, защищенный режим передачи данных:

2006-08-10 19:22:41: INFO: ISAKMP-SA established 111.111.111.194 [500]-83.36.51.44[500]

spi:3ac2d5023f433d3e:e2d682b6f4fc4830

– Беспроводная точка доступа :>May 5 19:32:40.943 R Information Interface Dot11Radio0, Station maint01 0090.4b15.b2dd AssociatedKEY_MGMT[WPA]>May 5 19:30:14.318 R Information Interface Dot11Radio0, Deauthenticating Station 0090.4b15.b2ddReason: Previous authentication no longer valid>May 5 19:30:14.316 R Warning Packet to client 0090.4b15.b2dd reached max retries, removing theclient

Требования PCIТребование 5. Должно использоваться и регулярно

обновляться антивирусное программное обеспечение• Контроль использования антивирусного ПО• Централизованный мониторинг событий по антивирусной активности

Требование 6. Должна обеспечиваться безопасность приразработке и поддержке систем и приложений

• Выявление уязвимостей согласно Open Web Application Security ProjectGuide (OWASP)

Требование 7. Доступ к данным платежных карт должен бытьограничен в соответствии со служебной необходимостью

• Выявление несанкционированного доступа к данным на основании листовдоступа

Требования PCIТребование 8. Каждому лицу, имеющему доступ к

вычислительным ресурсам, должен быть назначенуникальный идентификатор.

• Большое количество различных систем и приложений влечетмножество учетных записей

• Серьезное осложнение контроля действий пользователей вразличных операционных системах, приложениях, базах данных.

• Необходимость контроля любого доступа ко всем базам данных,содержащих данные платежных карт

Требования PCIТребование 8. Каждому лицу, имеющему доступ к

вычислительным ресурсам, должен быть назначенуникальный идентификатор.

• Большое количество различных систем и приложений влечетмножество учетных записей

• Серьезное осложнение контроля действий пользователей вразличных операционных системах, приложениях, базах данных.

• Необходимость контроля любого доступа ко всем базам данных,содержащих данные платежных карт

Стандарт безопасности PCI DSS

Требование 10. Должен отслеживаться иконтролироваться любой доступ к сетевым ресурсам иданным платежных карт.

• Должна быть реализована система управления событиямиинформационной безопасности

• Должен осуществляться контроль событий включая доступ кданным платежных карт, использования администраторскихпривилегий, доступ к журналам аудита, использования системидентификации и аутентификации и т.д.

• События безопасности должны просматриваться ЕЖЕДНЕВНО

• (495) 980 23 45 доб. 255• v.rudenko@infosec.ru

Владимир Руденковедущий эксперт

ВОПРОСЫ ?

Infosecurity 200930 сентября 2009