24
Агентство Активного Аудита Мы знаем ВСЕ об информационной безопасности Оценка защищенности информационных систем и процессов, наибольшие уязвимости с точки зрения информационных рисков Ермолаев Евгений, СISМ, CEH Технический директор ООО “Агентство активного аудита”

PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Embed Size (px)

Citation preview

Page 1: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасности

Оценка защищенности информационных систем и процессов, наибольшие уязвимости с точки

зрения информационных рисков

Ермолаев Евгений, СISМ, CEH

Технический директор ООО “Агентство активного аудита”

Page 2: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиСтатистика уязвимостей

19.02.2015 © ООО «Агентство активного аудита» 2

Общее количество зарегистрированных уязвимостей по данным сайта

http://www.cvedetails.com с 1999 по 2014

Page 3: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиCWE TOP 25

19.02.2015 © ООО «Агентство активного аудита» 3

Score ID Name

93.8 CWE-89 Improper Neutralization of Special Elements used in an SQL Command ('SQL Injection')

83.3 CWE-78Improper Neutralization of Special Elements used in an OS Command ('OS Command Injection')

79.0 CWE-120 Buffer Copy without Checking Size of Input ('Classic Buffer Overflow')77.7 CWE-79 Improper Neutralization of Input During Web Page Generation ('Cross-site Scripting')76.9 CWE-306 Missing Authentication for Critical Function76.8 CWE-862 Missing Authorization75.0 CWE-798 Use of Hard-coded Credentials75.0 CWE-311 Missing Encryption of Sensitive Data74.0 CWE-434 Unrestricted Upload of File with Dangerous Type

73.8 CWE-807 Reliance on Untrusted Inputs in a Security Decision

73.1 CWE-250 Execution with Unnecessary Privileges70.1 CWE-352 Cross-Site Request Forgery (CSRF)

69.3 CWE-22 Improper Limitation of a Pathname to a Restricted Directory ('Path Traversal')

68.5 CWE-494 Download of Code Without Integrity Check67.8 CWE-863 Incorrect Authorization

66.0 CWE-829 Inclusion of Functionality from Untrusted Control Sphere

65.5 CWE-732 Incorrect Permission Assignment for Critical Resource

64.6 CWE-676 Use of Potentially Dangerous Function

64.1 CWE-327 Use of a Broken or Risky Cryptographic Algorithm

62.4 CWE-131 Incorrect Calculation of Buffer Size

61.5 CWE-307 Improper Restriction of Excessive Authentication Attempts

61.1 CWE-601 URL Redirection to Untrusted Site ('Open Redirect')61.0 CWE-134 Uncontrolled Format String60.3 CWE-190 Integer Overflow or Wraparound59.9 CWE-759 Use of a One-Way Hash without a Salt

Page 4: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиOWASP top 10

19.02.2015 © ООО «Агентство активного аудита» 4

Page 5: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиСтатистика уязвимостей

19.02.2015 © ООО «Агентство активного аудита» 5

Общее количество уязвимостей за каждый год с 1999 по 2014 по данным сайта

http://www.cvedetails.com

Page 6: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиСтатистика уязвимостей

19.02.2015 © ООО «Агентство активного аудита» 6

Почему уязвимостей не становится меньше:

Безопасность

Цена

Функциональность

Скорость разработки

Простота в использовании

Page 7: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасности

Причины слабой защищенности в Украине (опыт аудитов)

19.02.2015 © ООО «Агентство активного аудита» 7

1. Непонимание руководством возможных последствий от рисков ИБ и заинтересованности в ИБ в целом.

2. Отсутствие системности в процессах ИБ

3. Большая и не отслеживаемая площадь атаки

Page 8: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 8

1) Непонимание руководством возможных последствий от рисков ИБ и

заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:

• Сайт по продаже услуг и товаров• Организована атака DDoS (атака большим количеством одновременных запросов) в момент

использования облачной защиты . Стоимость атаки - от 500 Уе в сутки.• Стоимость простоя сайта - 60 000 USD в сутки.

Отсутствие ответа от сайта во время тестовой атаки на 5 минут

Потенциально убытков на сотни тысяч USD. КПД – 12 000 %

Page 9: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 9

1) Непонимание руководством возможных последствий от рисков ИБ и

заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:

Готовая база данных клиентов для конкурентов – серьезный репутационный ущерб

• Взлом и доступ к критическим данным:

Списки клиентов (37443 записи в базе данных взломанного сайта) – убытки от переманивания клиентов, репутационныеубытки, атаки социнженерии, фишинг:

Персональные данные клиентов, база данных клиентов(закон о персональных данных)

Page 10: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 10

1) Непонимание руководством возможных последствий от рисков ИБ и

заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:

• Взлом и доступ к критическим данным:Стратегическое планирование

Page 11: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 11

1) Непонимание руководством возможных последствий от рисков ИБ и

заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:

• Взлом и доступ к критическим данным: - к ERP

Page 12: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 12

1) Непонимание руководством возможных последствий от рисков ИБ и

заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:

• Взлом и доступ к критическим данным:

Риски физической безопасностиПомещения архивовбухгалтерии(договора, судебные иски) не охраняются должным образом для предотвращения реальных попыток проникновения злоумышленниками:

Page 13: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 13

1) Непонимание руководством возможных последствий от рисков ИБ и

заинтересованности в ИБ в целом. ИБ – как аппендицит. Примеры:

• Взлом и доступ к критическим данным:

Доступ к внутренним системам: нарушение бизнес-процессов, критических операций, очернение, шантаж, вандализм, безопасность персонала и т.д.

Page 14: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 14

2) Отсутствие системности в процессах ИБ ( СУИБ)

• Отсутствие процессов обновлений и установки критических заплаток, управления уязвимостями, харденинга

Доступ к внутренним системам: нарушение бизнес-процессов, критических операций, очернение, шантаж, вандализм, безопасность персонала и т.д.

Page 15: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 15

2) Отсутствие системности в процессах ИБ ( СУИБ)

• Отсутствие процесса обучения сотрудников – примеры

60% вводов от общей

рассылки

337!!! вводов паролей от

пользователей

Топ и средний

менеджмент,

бухгалтерия, ИТ

Пользователи

оставляли

ДОМЕННЫЕ !!!

Учетные записи

Page 16: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 16

2) Отсутствие системности в процессах ИБ ( СУИБ)

• Отсутствие процесса обучения сотрудников – примеры

Page 17: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 17

2) Отсутствие системности в процессах ИБ ( СУИБ)

• Отсутствие стандартов безопасной разработки приложений ( secure development lifecycle)

XSS

Page 18: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 18

2) Отсутствие системности в процессах ИБ ( СУИБ)

• Отсутствие стандартов безопасной разработки приложений ( secure development lifecycle)

SQL injection

Page 19: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 19

2) Отсутствие системности в процессах ИБ ( СУИБ)

• Один из тестируемых онлайн-сервисов предоставлял возможно контролировать размер комиссии за денежный перевод.

Управление логикой

Перевод на 1000 грн5% комиссии

=1000 + 50 грн= 1050 списаных средств

• Отсутствие стандартов безопасной разработки приложений ( secure development lifecycle)

Перевод на 1000 грн-100% комиссии

=1000 - 1000 грн= 0 списаных средств

Перевод на 1000 грн-200% комиссии

=1000 - 2000 грн= 1000 грн бонуса

Page 20: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 20

2) Отсутствие системности в процессах ИБ ( СУИБ)

• Отсутствие процесса анализа рисков ИБ

Абсолютное непонимание руководством полной картины, неэффективная ИБ, принятие неправильных решений, растрата бюджета.

Page 21: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 21

3) Большая и не отслеживаемая площадь атаки

• Непонимание всех сервисов – точек входа для взлома

Пример списка сервисов:

Page 22: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 22

3) Большая и не отслеживаемая площадь атаки

• Непонимание всех сервисов – точек входа для взлома пример

http://93.93.93.93/student/ - сайт разработки студентов на основном веб-сервере компании

Page 23: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасностиПричины слабой защищенности в Украине (опыт)

19.02.2015 © ООО «Агентство активного аудита» 23

3) Большая и не отслеживаемая площадь атаки

• Непонимание всех точек входа для взлома – эффект слабого звена

Page 24: PCI DSS, ISO 27001/27002 , ITIL, VISA и MasterCard. Тесты на проникновение

Агентство Активного АудитаМы знаем ВСЕ об информационной безопасности

[email protected]

• Ермолаев Евгений, СISМ, CEH

• Технический директор ООО “Агентство активного аудита”