Security Metrics for PCI Compliance
- 2. Что такое PCI DSS? Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
- 3. Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
- 4. Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
- 5. Черно-белый подход Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат Не соответствует! Соответствует! Реальность гораздо сложнее…
- 6. Пример: Обновление Oracle Аудитор: У вас проблемы с Oracle Компания: Согласование с разработчиками Ожидание одобрения Тестирование Развертывание
- 7. Пример: Обновление Oracle . Что делать?!! Ускорить процесс? Ставить патчи на свой страх и риск? Ограничить доступ на МСЭ? Перенести приложение на терминал? Внедрить специализированную IPS ?
- 8. Что такое хорошо, что такое плохо? Как измерить текущий уровень соответствия не в двоичном формате? Как разделить процесс поддержания соответствия на измеримые задачи? Как оценить планируемые и текущие расходы?
- 9. Метрики безопасности Однозначно измеряются, без «экспертного мнения» Доступны для расчета и анализа (предпочтительно автоматически) Имеют количественное выражение (не "высокий", "средний", "низкий") Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость" Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")
- 14. Хорошо, но мало! Позволяет наметить курс действий Дает возможность отслеживать динамику Не позволяет получить понятную проектную оценку!
- 15. Метрики трудозатрат Позволяют оценить планируемые и текущие трудозатраты на достижение цели Трудозатраты на приведение в соответствие с требованиями стандартов Обоснование выбора компенсационных средств защиты Оценка затраченных ресурсов Разделение изменений по типам Установка обновлений Обновление версии Внесение изменения в конфигурацию Исправление кода …
- 17. Процессные метрики Генерируются на основе Compliance и их производных Количество и процент рабочих станций с установленным антивирусным пакетом Количество и процент узлов, соответствующих требованиям по patch-management Количество и процент серверов СУБД соответствующих парольной политике Количество и процент сетевых устройств, соответствующих требованиям стандартов
- 18. Процессные метрики Пример с Oracle C ходимость по узлам: от 20 дней до бесконечности Максимальный уровень соответствия: 23% Быть может, вам не стоит вообще думать об установке обновлений Oracle ?
- 19. Сравнение с мировым уровнем А как у других? Достиг ли я приемлемого уровня? Может и не стоит ничего делать?
- 20. Исследование уязвимости Web- приложений, 2008 г. Объем исследования : В автоматическом режиме – около 10000 узлов Детальный анализ – около 1000 узлов Результаты исследования : Низкий уровень защищенности большинства Web- сайтов Автоматизация методов выявления и эксплуатации уязвимостей Web Application Security Consortium предварительные данные
- 23. Для атаки на Web- сайт обычно используются… При анализе скомпрометированного Web- сайта обнаруживается “ букет ” уязвимостей, треть из которых могла быть использована нарушителем для атаки