Upload
informzaschita
View
631
Download
0
Embed Size (px)
DESCRIPTION
Citation preview
Владимир Руденковедущий эксперт
Управление инцидентами и PCI DSS.Чем поможет решение на основеArcSight ESM?
8 июня 2010 г
Содержание
• Требования стандарта PCI DSS
• Средство управления событиями ИБ ArcSight ESM
• Пакет PCI для ArcSight ESM
Рынок систем управления событиямибезопасности
ArcSight ESM.Гибкость архитектуры, максимальное количество типов источников, стабильность
работы и производительность
Cisco MARS.Сетевая направленность. Меньшее количество поддерживаемых источников
netForensics OSP.Нестабильная работа, сложность настройки и создания собственных коннекторов
IBM Tivoli Security Operation Management.Меньшее количество поддерживаемых источников. Сложность разработки
коннекторов
RSA enVision.Неэффективная корреляция, сложность настройки, отсутствие распределенной
архитектуры
Рынок систем управлениясобытиями безопасности
Gartner : «решения компанииArcSight уже 6 лет подрядзанимают лидирующиепозиции в области системмониторинга и управленияинформационнойбезопасностью»
О компании ArcSight
• Основана в Мае 2000 года www.arcsight.com• 300+ сотрудников• 500+ прямых клиентов, 850+ партнерских клиентов
ArcSight ESM и требования PCI DSS
Требование 10. Должен отслеживаться иконтролироваться любой доступ к сетевым ресурсам иданным платежных карт.
• Должна быть реализована система управления событиямиинформационной безопасности
• Должен осуществляться контроль событий включая доступ кданным платежных карт, использования администраторскихпривилегий, доступ к журналам аудита, использования системидентификации и аутентификации и т.д.
• События безопасности должны просматриваться ЕЖЕДНЕВНО
PCI DSS Compliance
• Проверка требований PCI DSS– Правила, политики, уведомления и отчеты
• Контроль выполнения всех 12 требований PCI DSS• Три основных области:
– Оперативный контроль соответствия требованиям PCI DSS– Помощь в подготовке к аудиту– Детальная информация по каждому из требований стандарта
• Более 100 отчетов обеспечивают объективную информацию повыполнению требований
• 28 правил автоматически контролируют несоответствия стандарту• Многоуровневая система контроля обеспечивает высокую
детальность мониторинга
PaymentCard Industry
Состав пакета PCI
PCI DSS Compliance
Требования PCIТребование 1. Должны быть обеспечены разработка и
управление конфигурацией межсетевых экранов вцелях защиты данных платежных карт
•Брандмауэры и маршрутизаторы- это1-я линия обороны иконтроля доступа
•Эти устройства генерируютбольшое количество данных
Jan 28 02:04:30 pix-inside %PIX-3-106010: Deny inbound tcpsrc outside:67.200.184.237/1262 dst inside:10.107.96.170/80Jan 28 02:01:08 pix-inside %PIX-3-106010: Deny inbound udpsrc outside:216.143.1.229/1321 dst inside:10.107.96.213/1434Jan 28 06:17:47 pix-inside %PIX-3-106010: Deny inbound icmpsrc outside:80.181.210.80 dst inside:10.107.96.229 (type 8,code 0) Jan 28 00:21:50 pix-inside %PIX-3-106011: Denyinbound (No xlate) tcp src outside:217.228.221.121/1233 dstoutside:10.47.243.45/80 Jan 28 00:01:38 pix-inside %PIX-4-106023: Deny tcp src outside:213.22.40.190/1381 dstinside:10.107.8.6/445 by access-group "ACL-FROM-OUTSIDE" Jan28 00:01:38 pix-inside %PIX-4-106023: Deny udp srcoutside:24.200.88.234/1025 dst inside:10.107.31.183/137 byaccess-group "ACL-FROM-OUTSIDE" Jan 28 00:41:42 pix-inside%PIX-4-106023: Deny icmp src outside:128.9.160.165 dstinside:10.107.19.103 (type 8, code 0) by access-group "ACL-FROM-OUTSIDE" Jan 28 01:48:01 pix-inside %PIX-4-106023: Denyprotocol 4 src outside:131.119.0.197 dst inside:10.107.16.135by access-group "ACL-FROM-OUTSIDE"
Mar 16 15:27:56 172.16.10.42 ns5gt: NetScreendevice_id=ns5gt [No Name]system-notification-00257(traffic): start_time=\"2005-03-1616:33:22\" duration=0 policy_id=320001service=tcp/port:120 proto=6 src zone=Nulldst zone=self action=Deny sent=0 rcvd=60src=192.168.2.1 dst=1.2.3.4 src_port=31048dst_port=12Jun 1 22:01:35 [xx] ns5gt: NetScreendevice_id=ns5gt [Root]system-alert-00016:Port scan! From 1.2.3.4:54886 to 2.3.4.5:406,proto TCP (zone Untrust, int untrust).Occurred 1 times. (2004-06-01 22:09:03)
Требования PCIТребование 2. Не должны использоваться параметры
безопасности и системные пароли, установленные поумолчанию.
• Использование небезопасных протоколов
• Использование учетных записей по-умолчанию
• Каждый сервер должен реализовать только одну функцию (2.2.1)
Требования PCIТребование 3. Должна быть обеспечена защита данных
платежных карт при хранении.
• Обеспечение контроля доступа ко всем ресурсам, содержащимданные платежных карт
• Данных платежных карт в передаются по сети открытом виде
• Журналы событий могут содержать данные платежных карт
Требования PCIТребование 4. Должно обеспечиваться шифрование
данных платежных карт, передаваемых по сетямобщего пользования
Примеры регистрации событий:– VPN, защищенный режим передачи данных:
2006-08-10 19:22:41: INFO: ISAKMP-SA established 111.111.111.194 [500]-83.36.51.44[500]
spi:3ac2d5023f433d3e:e2d682b6f4fc4830
– Беспроводная точка доступа :>May 5 19:32:40.943 R Information Interface Dot11Radio0, Station maint01 0090.4b15.b2dd AssociatedKEY_MGMT[WPA]>May 5 19:30:14.318 R Information Interface Dot11Radio0, Deauthenticating Station 0090.4b15.b2ddReason: Previous authentication no longer valid>May 5 19:30:14.316 R Warning Packet to client 0090.4b15.b2dd reached max retries, removing theclient
Требования PCIТребование 5. Должно использоваться и регулярно
обновляться антивирусное программное обеспечение• Контроль использования антивирусного ПО• Централизованный мониторинг событий по антивирусной активности
Требование 6. Должна обеспечиваться безопасность приразработке и поддержке систем и приложений
• Выявление уязвимостей согласно Open Web Application Security ProjectGuide (OWASP)
Требование 7. Доступ к данным платежных карт должен бытьограничен в соответствии со служебной необходимостью
• Выявление несанкционированного доступа к данным на основании листовдоступа
Требования PCIТребование 8. Каждому лицу, имеющему доступ к
вычислительным ресурсам, должен быть назначенуникальный идентификатор.
• Большое количество различных систем и приложений влечетмножество учетных записей
• Серьезное осложнение контроля действий пользователей вразличных операционных системах, приложениях, базах данных.
• Необходимость контроля любого доступа ко всем базам данных,содержащих данные платежных карт
Требования PCIТребование 8. Каждому лицу, имеющему доступ к
вычислительным ресурсам, должен быть назначенуникальный идентификатор.
• Большое количество различных систем и приложений влечетмножество учетных записей
• Серьезное осложнение контроля действий пользователей вразличных операционных системах, приложениях, базах данных.
• Необходимость контроля любого доступа ко всем базам данных,содержащих данные платежных карт
Стандарт безопасности PCI DSS
Требование 10. Должен отслеживаться иконтролироваться любой доступ к сетевым ресурсам иданным платежных карт.
• Должна быть реализована система управления событиямиинформационной безопасности
• Должен осуществляться контроль событий включая доступ кданным платежных карт, использования администраторскихпривилегий, доступ к журналам аудита, использования системидентификации и аутентификации и т.д.
• События безопасности должны просматриваться ЕЖЕДНЕВНО
• (495) 980 23 45 доб. 255• [email protected]
Владимир Руденковедущий эксперт
ВОПРОСЫ ?
Infosecurity 200930 сентября 2009