Compliance manamement for real security

Сергей ГордейчикPositive Technologies Compliance management для реальной безопасности

Немного истории

Телеком

Можете провести Можете провести Pentest?Pentest?

Легче легкого!Легче легкого!

Сначала мы подключились к сети…

C:\>tracert -d www.ru

Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops:

1 * * * Request timed out.3 10 ms 13 ms 5 ms 192.168.5.44 7 ms 6 ms 5 ms 192.168.4.6

Потом немного посканировали сеть

#sh runUsing 10994 out of 155640 bytes!version 12.3...!username test1 password 7 <removed>username antipov password 7 <removed>username gordey password 7 <removed>username anisimov password 7 <removed>username petkov password 7 <removed>username mitnik password 7 <removed>username jeremiah password 7 <removed>

Потом немного послушали трафик

Потом настроили VPN… Так удобней

В результате…

Контроль над 500 маршрутизаторами, включая:

MPLS-магистраль

Узлы доступа пользователей

Хостинг-площадки

Получен доступ к внутренним ресурсам:

Система биллинга (20000 паролей пользователей)

Рабочие станции администраторов

Система оплаты труда и HR-база

Если бы это были плохие парни

В чем причина?

У «Телеком» плохо с управлением ИБ?

Полный набор всего нормативного обеспечения

Технические стандарты на все типы систем

30% требований нереализуемы, неприменимы или противоречивы

Контроль за соблюдением требований отсутствует

Цикл технического аудита по 10% систем занимает год (т.е. практические отсутствует)

В чем причина?

Технический Compliance

•Контроль уязвимостей Огромное количество уязвимостей (десятки тысяч) Охват различных систем (от клиентских приложений до

ERP)•Контроль конфигурации

Достаточно сложная задача• Различные форматы • «настройки по умолчанию»• «тихий» ввод новых возможностей

Система должна быть адаптируемой• Что русскому хорошо…

•Контроль изменений Контроль изменений в уязвимостях и конфигурациях

Подход к Compliance Management

Спасибо за внимание!Сергей Гордейчик

Compliance manamement for real security

Technology

DevOps, Security, and Compliance

Transforming IT Security & Compliance

Audit, Compliance & Security

Compliance and Security Dashboard...ClearDATA Compliance & Security Monitoring Dashboard With healthcare transformation moving at a rapid pace, compliance and security monitoring across

BlueBee Data Security & Compliance

Automated Security Compliance and MeasurementAutomated Security Compliance and Measurement Stephen Quinn & Peter Mell Computer Security Division NIST

HIPAA Security Compliance Reviews - NIST.gov - Computer Security

Security beyond compliance

AWS Security and Compliance

AWS Security Conformance & Compliance · operational dimensions like Security, CIS Compliance, PCI DSS Compliance , Configuration and key AWS service dimensions like VPC, IAM, Security,

Simplified Security & Compliance

Global Security & Compliance

SDLA-200 ISA Security Compliance Institute Security

CYBER SECURITY & COMPLIANCE

Security, Risk, Compliance & Controls

The Evolving Security Landscape: Security and Compliance ... · The Evolving Security Landscape: Security and Compliance Trends ... Data Centers & Cloud Computing ... The security

Compliance and Security Ebook

Security Awareness Compliance Requirements

AWS Security & Compliance

Sap security compliance tools_PennonSoft