Policy Compliance Testing (2011)
Upcoming SlideShare
Loading in...5
×
 

Like this? Share it with your network

Share

Policy Compliance Testing (2011)

on

  • 799 views

 

Statistics

Views

Total Views
799
Views on SlideShare
765
Embed Views
34

Actions

Likes
0
Downloads
3
Comments
0

6 Embeds 34

http://www.rac.cz 28
url_unknown 2
http://www.slideshare.net 1
http://www.qualys.cz 1
http://www.qualys.sk 1
http://www.qualysguard.cz 1

Accessibility

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak

Policy Compliance Testing (2011) Presentation Transcript

  • 1. Policy Compliance Testing RAC QualysGuard InfoDay 201 1
  • 2.
    • Provádí klasické penetrační testování a vulnerability management
      • Zranitelnosti zneužitelné útočníkem
      • Dostupnost všech bezpečnostní aktualizací
      • Bezpečnostní chyby v konfiguraci
    • Co nerozlišuje testování pomocí QG VM
      • Umístění a význam zařízení (Internet/DMZ, Server x Desktop)
      • Hodnotu spravovaných aktiv
      • Specifické požadavky na konfigurace zařízení
      • Specifické požadavky na zabezpečení dat
    Co testuje QG VM RAC QualysGuard InfoDay 201 1
  • 3.
    • Legislativní předpisy a normy
      • ISO/IEC 27002, SOX, HIPAA, COBIT, PCI DSS
      • Určité segmenty podnikání mají povinné normy
    • Podnikové předpisy a směrnice, bezpečnostní politika
      • Stanovují práva a povinnosti uživatelů, administrátorů
      • Stanovují požadavky na bezpečnostní parametry zařízení
      • Směrnice pro externí subjekty/dodavatele
    • Doporučené konfigurace
      • Obecné postupy pro „Securing and Hardening Servers“
      • Bezpečnostní doporučení CIS (http://www.cisecurity.org/)
    • Vlastní postupy pro konfiguraci
      • Firemní postupy pro zabezpečení
      • Návody vycházející z praktických zkušeností
    Co určuje konfiguraci zařízení RAC QualysGuard InfoDay 2011
  • 4.
    • Cílem testování bezpečnostní politiky je určit míru souladu (Policy Compliance) mezi požadovanou konfigurací a skutečným bezpečnostním nastavením zařízení ICT.
    • Na rozdíl od testování zranitelností, kde se odstraňují konkrétní zranitelnosti využitelné útočníkem, bezpečnostní politika a konfigurace bezpečnostních parametrů není přesně určena.
    • Záleží na výchozích legislativních a technických požadavcích a tedy politika pro jednotlivá ICT je v každé organizaci je odlišná.
    Hlavní cíl testování PC RAC QualysGuard InfoDay 201 1
  • 5. Shrnutí postupu RAC QualysGuard InfoDay 201 1
  • 6.
    • Přístupová práva
      • Přístupové účtů, seznamy uživatelů a skupin, správa hesel, autorizace
      • Přístupová práva k systému, souborům a databázím
    • Bezpečnostní parametry
      • Nastavení bezpečnostních parametrů služeb, operačního systému, databází, síťových služeb, kontrola vypnutých služeb
    • Antivirus / zranitelnosti
      • Stav aktualizace softwaru antivirového software
    • Integrita a dostupnost
      • Logování a audit, monitorování logů
    • Šifrování
      • Šifrování síťových spojení a přenosu dat, šifrování souborů a disků
      • Délka klíče a použitý algoritmus
    • Síťové služby
      • Nastavení lokálních firewallů, IDS, VPN Status síťových služeb.
    Technologická opatření v PC modulu RAC QualysGuard InfoDay 201 1
  • 7.
    • Směrnice ISO/IEC 27002
      • Kapitola A.10.4 Ochrana proti škodlivým programům a mobilním kódům
      • Opatření A.10.4.1: Na ochranu proti škodlivým programům a nepovoleným mobilním kódům musí být implementována opatření na jejich detekci, prevenci a obnovu a zvyšováno odpovídající bezpečnostní povědomí uživatelů.
    • Databáze „controls“ v QG
      • Seznam opatření podle ID, kategorie, frameworks
    Příklad použití RAC QualysGuard InfoDay 201 1
  • 8.
    • Možnost vytváření vlastních controls
      • Pro Windows i Unix
      • Existence, obsah a přístupová práva registrů a souborů
      • Kontrolní součty (MD5, SHA-1, SHA 256)
    Vlastní parametry RAC QualysGuard InfoDay 201 1
  • 9. Vytváření šablon politik - Policy editor RAC QualysGuard InfoDay 201 1
  • 10. Reporty RAC QualysGuard InfoDay 201 1
  • 11. Reporty RAC QualysGuard InfoDay 201 1
  • 12. Řízený proces RAC QualysGuard InfoDay 201 1
  • 13.
    • Počet controls
      • Aktuálně celkem 2222 controls
    • Podporované systémy
      • Windows 2000, 2003, 2008, Windows XP, Vista, 7
      • AIX 5.x, AIX 6.x , HPUX 11.iv1, 11.iv2, 11.iv3, Solaris 8, 9.x, 10, Red Hat Enterprise 3,4,5, CentOS 4.x , 5.x, Oracle Enterprise 4, 5, Debian GNU/Linux 5.x, Ubuntu 8.x, 9.x, Open SUSE 10.x, 11.x, SUSE Enterprise Linux 9/10 11.x
      • Microsoft SQL Server 2000, 2005, 2008, Oracle 10g, 11g, 9i
      • Cisco IOS 12.x, 15.x, VMWare ESX Server 3.x, 4.x
    • Reportovací možnosti
      • Souhrny pro jedno zařízení , Assets Group až všechny systémy
      • Grafy s trendy podle času
    Souhrn možností RAC QualysGuard InfoDay 201 1
  • 14.
    • Vylepšení v Policy Editoru
      • C heckbox y
      • nyní
      • dříve
    • Dissolvable Agent
      • Agent nainstalován/odinstalován během testování
      • S instalaci nutno souhlasit v menu
      • Rozšířené možnosti pro testování password policy
      • Rozšířené možnosti pro testování windows share
      • Nutný pro detailní testování PC v Windows Vista, 7 and 2008
    Novinky v poslední verzích RAC QualysGuard InfoDay 201 1