SlideShare a Scribd company logo

Security Metrics for PCI Compliance

Download as PPT, PDF
Q
qqlan

Related slideshows

Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)Sqadays 2010 burmistrov_fomin_20101120(2)
Sqadays 2010 burmistrov_fomin_20101120(2)
 
[Sqa days]risk driven testing
[Sqa days]risk driven testing[Sqa days]risk driven testing
[Sqa days]risk driven testing
 
Использование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильных приложенийИспользование комбинаторного тестирования для мобильных приложений
Использование комбинаторного тестирования для мобильн��х приложений
 
1 of 25
Измеряя защищенность Метрики безопасности для PCI DSS Сергей Гордейчик Security Lab by Positive Technologies
Что такое PCI DSS? Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
Черно-белый подход Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат Не соответствует! Соответствует! Реальность гораздо сложнее…
Пример: Обновление Oracle Аудитор: У вас проблемы с Oracle Компания: Согласование с разработчиками Ожидание одобрения Тестирование Развертывание
Пример: Обновление Oracle . Что делать?!! Ускорить процесс? Ставить патчи на свой страх и риск? Ограничить доступ на МСЭ? Перенести приложение на терминал? Внедрить специализированную IPS ?
Что такое хорошо, что такое плохо? Как измерить текущий уровень соответствия не в двоичном формате? Как разделить процесс поддержания соответствия на измеримые задачи? Как оценить планируемые и текущие расходы?
Метрики безопасности Однозначно измеряются, без «экспертного мнения» Доступны для расчета и анализа (предпочтительно автоматически) Имеют количественное выражение (не "высокий", "средний", "низкий") Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость" Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")
Соответствие стандарту По требованиям
Соответствие стандарту По узлам
Соответствие стандарту По узлам и по требованиям
Соответствие стандарту Сколько требований PCI мы нарушаем? Какие нарушения наиболее распространены? Что закрывать в первую очередь?
Хорошо, но мало! Позволяет наметить курс действий   Дает возможность отслеживать динамику Не позволяет получить понятную проектную оценку!
Метрики трудозатрат Позволяют оценить планируемые и текущие трудозатраты на достижение цели Трудозатраты на приведение в соответствие с требованиями стандартов Обоснование выбора компенсационных средств защиты Оценка затраченных ресурсов Разделение изменений по типам Установка обновлений Обновление версии Внесение изменения в конфигурацию Исправление кода …
Метрики трудозатрат
Процессные метрики Генерируются на основе Compliance и их производных Количество и процент рабочих станций с установленным антивирусным пакетом Количество и процент узлов, соответствующих требованиям по patch-management Количество и процент серверов СУБД соответствующих парольной политике Количество и процент сетевых устройств, соответствующих требованиям стандартов
Процессные метрики Пример с Oracle C ходимость по узлам: от 20 дней до бесконечности Максимальный уровень соответствия: 23% Быть может, вам не стоит вообще думать об установке обновлений Oracle ?
Сравнение с мировым уровнем А как у других? Достиг ли я приемлемого уровня? Может и не стоит ничего делать?
Исследование уязвимости Web- приложений, 2008 г. Объем исследования : В автоматическом режиме – около 10000 узлов Детальный анализ – около 1000 узлов Результаты исследования : Низкий уровень защищенности большинства Web- сайтов Автоматизация методов выявления и эксплуатации уязвимостей Web Application Security Consortium предварительные данные
Распределение Web- сайтов по уровню найденных уязвимостей (2008 г.)
Наиболее распространенные уязвимости
Для атаки на Web- сайт обычно используются… При анализе скомпрометированного Web- сайта обнаруживается “ букет ” уязвимостей, треть из которых могла быть использована нарушителем для атаки
А как оперативно устраняются эти проблемы? Whitehat Security
Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com [email_address]

More Related Content

Security Metrics for PCI Compliance

  • 1. Измеряя защищенность Метрики безопасности для PCI DSS Сергей Гордейчик Security Lab by Positive Technologies
  • 2. Что такое PCI DSS? Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
  • 3. Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
  • 4. Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
  • 5. Черно-белый подход Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат Не соответствует! Соответствует! Реальность гораздо сложнее…
  • 6. Пример: Обновление Oracle Аудитор: У вас проблемы с Oracle Компания: Согласование с разработчиками Ожидание одобрения Тестирование Развертывание
  • 7. Пример: Обновление Oracle . Что делать?!! Ускорить процесс? Ставить патчи на свой страх и риск? Ограничить доступ на МСЭ? Перенести приложение на терминал? Внедрить специализированную IPS ?
  • 8. Что такое хорошо, что такое плохо? Как измерить текущий уровень соответствия не в двоичном формате? Как разделить процесс поддержания соответствия на измеримые задачи? Как оценить планируемые и текущие расходы?
  • 9. Метрики безопасности Однозначно измеряются, без «экспертного мнения» Доступны для расчета и анализа (предпочтительно автоматически) Имеют количественное выражение (не "высокий", "средний", "низкий") Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость" Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")
  • 12. Соответствие стандарту По узлам и по требованиям
  • 13. Соответствие стандарту Сколько требований PCI мы нарушаем? Какие нарушения наиболее распространены? Что закрывать в первую очередь?
  • 14. Хорошо, но мало! Позволяет наметить курс действий   Дает возможность отслеживать динамику Не позволяет получить понятную проектную оценку!
  • 15. Метрики трудозатрат Позволяют оценить планируемые и текущие трудозатраты на достижение цели Трудозатраты на приведение в соответствие с требованиями стандартов Обоснование выбора компенсационных средств защиты Оценка затраченных ресурсов Разделение изменений по типам Установка обновлений Обновление версии Внесение изменения в конфигурацию Исправление кода …
  • 17. Процессные метрики Генерируются на основе Compliance и их производных Количество и процент рабочих станций с установленным антивирусным пакетом Количество и процент узлов, соответствующих требованиям по patch-management Количество и процент серверов СУБД соответствующих парольной политике Количество и процент сетевых устройств, соответствующих требованиям стандартов
  • 18. Процессные метрики Пример с Oracle C ходимость по узлам: от 20 дней до бесконечности Максимальный уровень соответствия: 23% Быть может, вам не стоит вообще думать об установке обновлений Oracle ?
  • 19. Сравнение с мировым уровнем А как у других? Достиг ли я приемлемого уровня? Может и не стоит ничего делать?
  • 20. Исследование уязвимости Web- приложений, 2008 г. Объем исследования : В автоматическом режиме – около 10000 узлов Детальный анализ – около 1000 узлов Результаты исследования : Низкий уровень защищенности большинства Web- сайтов Автоматизация методов выявления и эксплуатации уязвимостей Web Application Security Consortium предварительные данные
  • 21. Распределение Web- сайтов по уровню найденных уязвимостей (2008 г.)
  • 23. Для атаки на Web- сайт обычно используются… При анализе скомпрометированного Web- сайта обнаруживается “ букет ” уязвимостей, треть из которых могла быть использована нарушителем для атаки
  • 24. А как оперативно устраняются эти проблемы? Whitehat Security
  • 25. Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com [email_address]