Upload
leta-it-company
View
553
Download
1
Embed Size (px)
DESCRIPTION
Презентация Ивушкина Андрея, заместителя руководителя направления систем менеджмента компании LETA, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Citation preview
Тесты на проникновение как основа реальной оценки состояния ИБ в организацииИвушкин Андрей
+7 (495) 921 1410 / www.leta.ruОктябрь 2011
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
2
ЧТО МЫ ЗНАЕМ О БЕЗОПАСНОСТИ НАШЕЙ СЕТИ?
На что похожа система информационной безопасности Вашей организации?
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
3
МНЕНИЯ О ТЕСТАХ НА ПРОНИКНОВЕНИЕ
• Не может адекватно оценить состояние ИБ; • Наши собственные знания о наших системах глубже и
объективней;• Мы регулярно проводим мониторинг лицензированным
средством выявления уязвимостей и не нуждаемся в обследованиях- это выкинутые деньги;
• Любую систему можно сломать, а потому на доказательство этого факта мы не намерены нести дополнительные расходы.
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
4
ТЕКУЩАЯ СИТУАЦИЯ
• Преступники всеми силами стремятся к деньгам• Атаки на «Home banking», кража кредитных карт и фрод• Они уже имеют большой наработанный опыт краж
кредитных карт• Web приложения подвергаются атакам чаще, чем когда-
либо раньше• Наиболее доступны + имеют доступ к денежным
ресурсам компаний• Рабочие станции и сотрудники в большой степени
подвержены атакам• Сотрудники чаще всего подвержены атакам вредоносного
программного обеспечения при пользовании Интернетом
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
5
ТЕКУЩАЯ СИТУАЦИЯ
• Переносные компьютеры и мобильные устройства представляют повышенный риск• Ноутбуки заражаются во время использования на
«вражеской» территории• Неявные границы сети
• Неявные границы сети, несколько деловых партнеров, более свободный доступ к сети
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
6
ТЕКУЩАЯ СИТУАЦИЯ
+7 (495) 921 1410 / www.leta.ru
Методы работы хакеров становятся все более и более изощренными.
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
7
ТЕКУЩАЯ СИТУАЦИЯ. НАИБОЛЕЕ РАСПРОСТРАНЕННЫЕ УГРОЗЫ
+7 (495) 921 1410 / www.leta.ru
Угрозы Защитные меры
1. Сложные атаки на Web сайты через браузеры сотрудников
Web firewall, антивирус, IDS, политики, сегментация, тестирование
2. Кибер-шпионаж – Использование направленных фишинговых атак против сотрудников
Web firewall, антивирус, IDS, политики, сегментация, тестирование, обучение
3. Атаки инсайдеров (сотрудники, консультанты, партнеры)
Блокировка ethernet-розеток в конференц-зале, ограничение доступа, установка обновлений и сегментация сети, тестирование
4. Вредоносное ПО Web firewall, антивирус, IDS, политики, сегментация, тестирование
5. Эксплойты безопасности Web-приложений
Проверка ввода и тестирование
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
8
ТЕКУЩАЯ СИТУАЦИЯ
Сотрудники часто не знают всех своих коллег и внешних бизнес-партнеров, что делает особенно актуальными следующие атаки:
+7 (495) 921 1410 / www.leta.ru
• Фишинг-атаки;• Перевоплощение; • Использование информации из
социальных сетей.
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
9
МЕТОДОЛОГИЯ
• Open Source Security Testing Methodology Manual (уже версия 3.2)
http://www.isecom.org/osstmm/http://
www.isecom.org/mirror/OSSTMM.3.pdf• Open Web Application Security Projecthttps://www.owasp.org/
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
10
ПОДХОДЫНаиболее часто проверяются в ходе теста:• все уязвимости топ-10 списка OWASP WEB-уязвимостей;• определяем подвержено ли WEB-приложение фишинг-атакам;• проверяем безопасность механизмов аутентификации WEB-
приложений;• FTP hijacking;• реверс-инжиниринг неизвестных протоколов.Тестирование с использованием инсайдерской информации: • Тестирование настроек межсетевого экрана;• Тестирование WEB-приложений после авторизации;• Проверка безопасности платежных процедур;• Тестирование безопасности WEB-кода;• Тестирование WEB-приложений.Тестирование ноутбуков
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
11
ЧТО МЫ ЗНАЕМ О БЕЗОПАСНОСТИ НАШЕЙ СЕТИ?
Так на какую картинку больше похожа система информационной безопасности Вашей организации?
+7 (495) 921 1410 / www.leta.ru
Выбранный вариант также не исключает возможных инцидентов с финансовыми последствиями для
Вашего бизнеса!
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
12
ЧТО ЖЕ ДАСТ ПЕНТЕСТ?
• Возможность моделирования действий потенциального злоумышленника, максимально приближенных к реальности;
• Продемонстрирует возможности проникновения в информационные системы и сценарии реализации успешной атаки;
• Даст возможность использования результатов работ для совершенствования системы управления информационной безопасностью.
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
13
ПРАКТИКА. АРГУМЕНТАЦИЯ «ЗА»
• Проверить качество и состоятельность существующих контролей ИБ, а не подтвердить их отсутствие;
• Понять возможное влияние на бизнес компании, а не только лишь убедиться в наличии технических уязвимостей в системах организации;
• Оценить возможность реализации рисков на базе описанных сценариев атак;
• Определить понятную бизнесу цель проведения тестирования (возможность финансовых убытков, компрометации информации клиентов и партнеров, имиджевые потери компании т.д.)
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
14
КОГДА ПРОВОДИТЬ?
+7 (495) 921 1410 / www.leta.ru
Планирование-реализация-проверка-улучшение (Plan-Do-Check-Act, PDCA). 1. Планирование мер обеспечения
информационной безопасности2. Реализация спланированных мер3. Проверка мер безопасности4. Возможности для улучшения,
реализуемые уже на следующем этапе.
И вновь потребуются планирование, реализация, проверка и улучшение — новый цикл.
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
15
ВЛИЯНИЕ НА ПРОЦЕССЫ И КОНТРОЛИ ИБ Процесс внесения изменений Процесс проведения
обновлений Регистрация событий аудита Мониторинг использования
системы Защита данных лог-файлов Протоколирование сбоев Процесс обеспечения
безопасности при конфигурировании серверов
Политика контроля доступа Обеспечение безопасности
сетевых сервисов
+7 (495) 921 1410 / www.leta.ru
Контроль сетевых подключений Безопасность процедур входа в
систему Идентификация и
аутентификация Ограничение доступа к
информации Процесс анализа уязвимостей Инвентаризация и владение
ресурсами Повышение осведомленности
персонала Процесс обеспечения контроля
вредоносного кода Сетевые механизмы контроля
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
16
ПОДВОДИМ ИТОГИ
Проводится: По требованию нормативных документов и стандартов; При необходимости продемонстрировать руководству ситуацию с
системой ИБ (периметра сети, определенного приложения); Для оценки безопасности специфических приложений(Web-
сервисов, беспроводных сетей, и др.приложений).Позволяет:• Обосновать необходимость расходов на ИБ;• Устранить в срочном порядке обнаруженные уязвимости;• Пересмотреть внутренние тех. и организационные контроли;• Показать уровень осведомленности персонала о требованиях по
информационной безопасности;• Выявить организационные аспекты ИБ, на которые следует
обратить внимание в первую очередь.
+7 (495) 921 1410 / www.leta.ru
Тесты на проникновение как основа реальной оценки состояния ИБ в организации
17
КОНТАКТНАЯ ИНФОРМАЦИЯ
LETA IT-company109129, Россия, Москва, ул. 8-я Текстильщиков, д.11, стр. 2 Тел./факс: +7 (495) 921-1410Единая служба сервисной поддержки: + 7 (495) 921-1410 www.leta.ru
© 2010 LETA IT-company. All rights reserved.This presentation is for informational purposes only. LETA IT-company makes no warranties, express or implied, in this summary.
Ивушкин АндрейЗаместитель руководителя направления систем менеджментаМоб. тел.: +7 (495) 921-1410e-mail: [email protected]