security metrics for pci compliance
DESCRIPTION
TRANSCRIPT
Измеряя защищенностьМетрики безопасности для PCI DSS
Сергей Гордейчик
Security Lab by Positive Technologies
Что такое PCI DSS?
Аудиты QSA?
Сканирования ASV?
Тесты на проникновение?
Оценка Web-приложений?
Что такое PCI DSS?
Построение процесса поддержания ИС в защищенном (и compliant) состоянии!•Процесс мониторинга и аудита (ISO 27001 A.15.2…)
Аудиты QSA?Сканирования ASV?Тесты на проникновение?Оценка Web-приложений?
Что такое PCI DSS?
Построение процесса поддержания ИС в защищенном (и compliant) состоянии!•Процесс мониторинга и аудита (ISO 27001 A.15.2…)
Аудиты QSA?Сканирования ASV?Тесты на проникновение?Оценка Web-приложений?
Черно-белый подход
Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат
Не соответствует!Соответствует!
Реальность гораздо сложнее…
Пример: Обновление Oracle
Аудитор: У вас проблемы с Oracle
Компания:Согласование с разработчикамиОжидание одобренияТестированиеРазвертывание
Пример: Обновление Oracle. Что делать?!!
Ускорить процесс?
Ставить патчи на свой страх и риск?
Ограничить доступ на МСЭ?
Перенести приложение на терминал?
Внедрить специализированную IPS?
Что такое хорошо, что такое плохо?
Как измерить текущий уровень соответствия не в двоичном формате?
Как разделить процесс поддержания соответствия на измеримые задачи?
Как оценить планируемые и текущие расходы?
Метрики безопасности
Однозначно измеряются, без «экспертного мнения»
Доступны для расчета и анализа (предпочтительно автоматически)
Имеют количественное выражение (не "высокий", "средний", "низкий")
Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость"
Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")
Соответствие стандарту
По требованиям
Соответствие стандарту
По узлам
Соответствие стандарту
По узлам и по требованиям
Соответствие стандарту
Сколько требований PCI мы нарушаем?
Какие нарушения наиболее распространены?
Что закрывать в первую очередь?
Хорошо, но мало!
Позволяет наметить курс действий
Дает возможность отслеживать динамику
Не позволяет получить понятную проектную оценку!
Метрики трудозатрат
Позволяют оценить планируемые и текущие трудозатраты на достижение цели• Трудозатраты на приведение в соответствие с
требованиями стандартов•Обоснование выбора компенсационных средств
защиты•Оценка затраченных ресурсов
Разделение изменений по типам•Установка обновлений•Обновление версии•Внесение изменения в конфигурацию•Исправление кода…
Метрики трудозатрат
Процессные метрики
Генерируются на основе Compliance и их производных•Количество и процент рабочих станций с
установленным антивирусным пакетом•Количество и процент узлов, соответствующих
требованиям по patch-management•Количество и процент серверов СУБД
соответствующих парольной политике•Количество и процент сетевых устройств,
соответствующих требованиям стандартов
Процессные метрики
Пример с Oracle•Cходимость по узлам: от 20 дней до бесконечности
•Максимальный уровень соответствия: 23%
Быть может, вам не стоит вообще думать об установке обновлений Oracle?
Сравнение с мировым уровнем
А как у других?
Достиг ли я приемлемого уровня?
Может и не стоит ничего делать?
Исследование уязвимости Web-приложений, 2008 г.
Объем исследования:•В автоматическом режиме – около 10000 узлов•Детальный анализ – около 1000 узлов
Результаты исследования:•Низкий уровень защищенности большинства Web-
сайтов•Автоматизация методов выявления и эксплуатации
уязвимостей
Web Application Security Consortium предварительные данные
Распределение Web-сайтов по уровню найденных уязвимостей (2008 г.)
Наиболее распространенные уязвимости
Для атаки на Web-сайт обычно используются…
При анализе скомпрометированного Web-сайта обнаруживается “букет” уязвимостей, треть из которых могла быть использована нарушителем для атаки
А как оперативно устраняются эти проблемы?
Whitehat Security
Спасибо за внимание!
Сергей Гордейчикhttp://sgordey.blogspot.com