Gordey - risk vs compliance
- 3. Как это бывает
СЕТЕВОЕ
ОБОРУДОВА
СЕТЕВОЕ
НИЕ ФИЛИАЛ
РАБОЧИЕ
ОБОРУДОВА СТАНЦИИ
НИЕ Внутренний пентест/аудит по
результатам пентеста
• Сканирование сети
Внутренний пентест/аудит • Успешно подобран пароль!
по результатам пентеста
– Эксплуатация SQL Injection
WEB-
СЕРВЕР
– Выполнение команд на сервере
СЕРВЕРЫ – Повышение привилегий
– Атака на внутренние ресурсы
СЕРВЕРЫ
ПОДОБРАН
Внутренний пентест
ПАРОЛЬ – Установка сканера MaxPatrol
– Поиск уязвимостей
РАБОЧИЕ – Эксплуатация уязвимостей
СТАНЦИИ
ПРОВЕДЕНИЕ
ПРОВЕРОК Перемещение в ИС ЦО
– Проведение атаки на ресурсы ЦО
ПРОВЕДЕНИЕ MP SERVER
ПРОВЕРОК
ГОЛОВНОЙ Получение максимальных
привилегий во всей сети
ОФИС
Рабочее Получение доступа к сети АСУТП
место
аудитора
- 7. Россия не готова к 152 ФЗ
152 ФЗ … 58 ФСТЭК
«мягкий»??? compliance
по требованиям
«жесткий»??? compliance
по контролю
- 8. Росс��я не готова к 152 ФЗ
Откуда взять «конфигурации без ошибок»?
Что будут проверять?!
- 9. NIST 800/CIS/NVD?...
Solaris 10
Информационная система
Защитные механизмы Технический
стандарт
Oracle 11g
Защитные механизмы Технический
стандарт
SAP
Технический
Защитные механизмы
стандарт
- 12. Регулятивные риски
Подлежат анализу и управлению
• угроза и ущерб – возможные последствия
нарушения, обозначенные регулятором;
• уязвимость - несоблюдение требований;
• атака - проверка регулятора;
• контрмера (защитный механизм, средство защиты) -
соблюдение требований.
http://sgordey.blogspot.com/2009/05/compliance.html
- 15. Защитные механизмы и риски
«Неуправляемые риски» –
принимаются
«Управляемые риски» -
эффективность контрмер
«Эффективность контрмер» -
Соответствие внутренних требований рискам
Эффективность внедрения внутренних требований
- 16. Плюсы ++
Compliance «как услуга»
SOC, технологические сети, АСУТП
Управление угрозами
Привязка требований (orchestration)
Оперативное отслеживание рисков
Риски привязанные к ресурсам
………MaxPatrol 9 coming soon……..