Embed Size (px)
DESCRIPTION
RISSPA Cnews Cloud Conference
Citation preview
Новые угрозы, которые несут в себе
новые технологии: мобилизация,
социальные сети, виртуализация и
облачные вычисления
Денис Безкоровайный,
CISA, CISSP, CCSK
Член экспертного совета RISSPA
2
Новые возможности и риски
❖ Виртуализация
❖ Облачные технологии и сервисы
❖ Мобильные устройства
❖ Социальные сети
3
Виртуализация
«До 2012 года 60% виртуализированных
серверов будут менее защищенными, чем
физические серверы, которым они придут
на смену»
Gartner
4
Виртуализация – основные угрозы
❖Стирание границ между средами с разными
уровнями конфиденциальности данных
❖Сложности управления уязвимостями –
расширенная поверхность атаки
❖Незащищенность, традиционные средства ИБ
непригодны для виртуальной среды
❖Деградация производительности из-за средств ИБ
- разделяемые физические ресурсы
5
Облачные вычисления
«К концу 2015 года объем
российского рынка
облачных услуг превысит
отметку в 1,2 млрд. долл.,
демонстрируя
среднегодовой темп роста
более 100%»
IDC
6
Облачные вычисления –
основные угрозы
❖Потеря контроля над данными
❖Недобросовестность поставщика услуг и
риски привилегированных злоумышленников
❖Усложнение выполнения требований
законодательства и отраслевых стандартов
❖Стирание границ ответственности за ИБ
между потребителем услуг и облачным
провайдером
7
Распространение
мобильных устройств
«Консьюмеризация будет самым значительным
трендом, влияющим на IT в ближайшие 10 лет»
Gartner
8
Распространение мобильных
устройств – основные угрозы
❖Утечка корпоративных данных
❖Теперь они храняться на личных
устройствах сотрудников
❖Использование консьюмерских сервисов
для хранения и передачи корпоративных
данных (например, Dropbox)
❖Компрометация учетных данных для доступа
к корпоративным приложениям через личные
устройства
9
Социальные сети
«63% организаций соглашаются, что
использование социальных сетей влечет
риски безопасности, но только 29%
используют адекватные системы защиты»
Ponemon Research
10
Социальные сети – основные угрозы
❖Утечки конфиденциальных данных
❖Репутационные риски для компании
❖Заражения вредоносным ПО через
социальные сети
❖Атаки с помощью данных из
социальных сетей (социальная
инженерия)
11
Что же делать?
❖Учитывать риски ИБ при внедрении новых
технологий
❖Использовать системы защиты, разработанные с
учетом особенностей виртуализации и облачных
архитектур
❖Проводить анализ SLA поставщиков облачных
сервисов перед использованием
❖Контроль выполнения поставщиками лучших практик
в области ИБ (например, Cloud Security Alliance)
❖Изменение организационных мер и процессов ИБ с
учетом новых облачных реалий
12
Что же делать?
❖Нельзя просто запретить использование
мобильных устройств или социальных
сетей
❖Разработать Политики Использования
мобильных устройств и социальных
сетей
❖Реализовать их на практике с помощью
систем контроля устройств и сети
❖Проводить тренинги по осведомленности
в ИБ
13
Вместо заключения
❖Современные технологии способны
кардинально изменять бизнес-процессы
❖Новые риски всегда присущи новым
технологиям и их нужно учитывать
❖Чтобы извлекать пользу из технологий и
снижать риски, ИБ должна быть на шаг
впереди внедрения
новых технологий
14
Повышение уровня знаний специалистов ИБ Обмен опытом
Обсуждение актуальных проблем ИБ Формирование сообщества
профессионалов в области ИБ
Контакты и общение
Продвижение идей ИБ
Членство и участие в семинарах бесплатно
Регулярные очные и онлайн семинары
Что такое RISSPA?
Ассоциация профессионалов в области информационной безопасности
(Russian Information Security Systems Professional Association) Создана в июне 2006 года
