SlideShare a Scribd company logo

Compliance manamement for real security

Download as PPT, PDF
Q
qqlan

Related slideshows

Pt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещениеPt infosec - 2014 - импортозамещение
Pt infosec - 2014 - импортозамещение
 
SCADA StrangeLove Kaspersky SAS 2014 - LHC
SCADA StrangeLove Kaspersky SAS 2014 - LHCSCADA StrangeLove Kaspersky SAS 2014 - LHC
SCADA StrangeLove Kaspersky SAS 2014 - LHC
 
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
 
1 of 16
Сергей Гордейчик Positive Technologies Compliance management для реальной безопасности
Немного истории Можете провести Pentest? Легче легкого! Телеком
Сначала мы подключились к сети… C:gt;tracert -d www.ru Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops: 1 * * * Request timed out. 3 10 ms 13 ms 5 ms 192 . 168 .5.4 4 7 ms 6 ms 5 ms 192 . 168 .4.6
Потом немного посканировали сеть #sh run Using 10994 out of 155640 bytes ! version 12.3 ... ! username test1 password 7 <removed> username antipov password 7 <removed> username gordey password 7 <removed> username anisimov password 7 <removed> username petkov password 7 <removed> username mitnik password 7 <removed> username jeremiah password 7 <removed>
Потом немного послушали трафик
Потом настроили VPN … Так удобней
В результате… Контроль над 500 маршрутизаторами, включая: MPLS- магистраль Узлы доступа пользователей Хостинг-площадки Получен доступ к внутренним ресурсам: Система биллинга (20000 паролей пользователей) Рабочие станции администраторов Система оплаты труда и HR- база
Если бы это были плохие парни
Если бы это были плохие парни
Если бы это были плохие парни
Если бы это были плохие парни
В чем причина? У «Телеком» плохо с управлением ИБ? Полный набор всего нормативного обеспечения Технические стандарты на все типы систем НО! 30% требований нереализуемы , неприменимы или противоречивы Контроль за соблюдением требований отсутствует Цикл технического аудита по 10% систем занимает год (т.е. практические отсутствует)
В чем причина?
Т ехнический Compliance Контроль уязвимостей Огромное количество уязвимостей (десятки тысяч) Охват различных систем (от клиентских приложений до ERP) Контроль конфигурации Достаточно сложная задача Различные форматы «настройки по умолчанию» «тихий» ввод новых возможностей Система должна быть адаптируемой Что русскому хорошо… Контроль изменений Контроль изменений в уязвимостях и конфигурациях
Подход к Compliance Management
Спасибо за внимание! Сергей Гордейчик

More Related Content

Compliance manamement for real security

  • 1. Сергей Гордейчик Positive Technologies Compliance management для реальной безопасности
  • 2. Немного истории Можете провести Pentest? Легче легкого! Телеком
  • 3. С��ачала мы подключились к сети… C:gt;tracert -d www.ru Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops: 1 * * * Request timed out. 3 10 ms 13 ms 5 ms 192 . 168 .5.4 4 7 ms 6 ms 5 ms 192 . 168 .4.6
  • 4. Потом немного посканировали сеть #sh run Using 10994 out of 155640 bytes ! version 12.3 ... ! username test1 password 7 <removed> username antipov password 7 <removed> username gordey password 7 <removed> username anisimov password 7 <removed> username petkov password 7 <removed> username mitnik password 7 <removed> username jeremiah password 7 <removed>
  • 6. Потом настроили VPN … Так удобней
  • 7. В результате… Контроль над 500 маршрутизаторами, включая: MPLS- магистраль Узлы доступа пользователей Хостинг-площадки Получен доступ к внутренним ресурсам: Система биллинга (20000 паролей пользователей) Рабочие станции администраторов Система оплаты труда и HR- база
  • 8. Если бы это были плохие парни
  • 9. Если бы это были плохие парни
  • 10. Если бы это были плохие парни
  • 11. Если бы это были плохие парни
  • 12. В чем причина? У «Телеком» плохо с управлением ИБ? Полный набор всего нормативного обеспечения Технические стандарты на все типы систем НО! 30% требований нереализуемы , неприменимы или противоречивы Контроль за соблюдением требований отсутствует Цикл технического аудита по 10% систем занимает год (т.е. практические отсутствует)
  • 14. Т ехнический Compliance Контроль уязвимостей Огромное количество уязвимостей (десятки тысяч) Охват различных систем (от клиентских приложений до ERP) Контроль конфигурации Достаточно сложная задача Различные форматы «настройки по умолчанию» «тихий» ввод новых возможностей Система должна быть адаптируемой Что русскому хорошо… Контроль изменений Контроль изменений в уязвимостях и конфигурациях
  • 15. Подход к Compliance Management
  • 16. Спасибо за внимание! Сергей Гордейчик