• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Security Metrics for PCI Compliance
 

Security Metrics for PCI Compliance

on

  • 2,454 views

 

Statistics

Views

Total Views
2,454
Views on SlideShare
2,323
Embed Views
131

Actions

Likes
0
Downloads
43
Comments
0

9 Embeds 131

http://sgordey.blogspot.com 103
http://sgordey.blogspot.ru 11
http://www.securitylab.ru 8
http://www.slideshare.net 3
http://xss.yandex.net 2
http://www.sgordey.blogspot.com 1
http://sgordey.blogspot.co.uk 1
http://sgordey.blogspot.jp 1
http://translate.googleusercontent.com 1
More...

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Security Metrics for PCI Compliance Security Metrics for PCI Compliance Presentation Transcript

    • Измеряя защищенность Метрики безопасности для PCI DSS Сергей Гордейчик Security Lab by Positive Technologies
    • Что такое PCI DSS?
      • Аудиты QSA?
      • Сканирования ASV ?
      • Тесты на проникновение?
      • Оценка Web -приложений?
    • Что такое PCI DSS?
      • Построение процесса поддержания ИС в защищенном ( и compliant) состоянии !
        • Процесс мониторинга и аудита ( ISO 27001 A.15.2… )
          • Аудиты QSA?
          • Сканирования ASV ?
          • Тесты на проникновение?
          • Оценка Web -приложений?
    • Что такое PCI DSS?
      • Построение процесса поддержания ИС в защищенном ( и compliant) состоянии !
        • Процесс мониторинга и аудита ( ISO 27001 A.15.2… )
          • Аудиты QSA?
          • Сканирования ASV ?
          • Тесты на проникновение?
          • Оценка Web -приложений?
    • Черно-белый подход
      • Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат
          • Не соответствует!
          • Соответствует!
      • Реальность гораздо сложнее…
    • Пример: Обновление Oracle
      • Аудитор:
          • У вас проблемы с Oracle
      • Компания:
          • Согласование с разработчиками
          • Ожидание одобрения
          • Тестирование
          • Развертывание
    • Пример: Обновление Oracle . Что делать?!!
      • Ускорить процесс?
      • Ставить патчи на свой страх и риск?
      • Ограничить доступ на МСЭ?
      • Перенести приложение на терминал?
      • Внедрить специализированную IPS ?
    • Что такое хорошо, что такое плохо?
      • Как измерить текущий уровень соответствия не в двоичном формате?
      • Как разделить процесс поддержания соответствия на измеримые задачи?
      • Как оценить планируемые и текущие расходы?
    • Метрики безопасности
      • Однозначно измеряются, без «экспертного мнения»
      • Доступны для расчета и анализа (предпочтительно автоматически)
      • Имеют количественное выражение (не "высокий", "средний", "низкий")
      • Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость"
      • Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")
    • Соответствие стандарту По требованиям
    • Соответствие стандарту По узлам
    • Соответствие стандарту По узлам и по требованиям
    • Соответствие стандарту
      • Сколько требований PCI мы нарушаем?
      • Какие нарушения наиболее распространены?
      • Что закрывать в первую очередь?
    • Хорошо, но мало!
      • Позволяет наметить курс действий
      •   Дает возможность отслеживать динамику
      • Не позволяет получить понятную проектную оценку!
    • Метрики трудозатрат
      • Позволяют оценить планируемые и текущие трудозатраты на достижение цели
        • Трудозатраты на приведение в соответствие с требованиями стандартов
        • Обоснование выбора компенсационных средств защиты
        • Оценка затраченных ресурсов
      • Разделение изменений по типам
        • Установка обновлений
        • Обновление версии
        • Внесение изменения в конфигурацию
        • Исправление кода
    • Метрики трудозатрат
    • Процессные метрики
      • Генерируются на основе Compliance и их производных
        • Количество и процент рабочих станций с установленным антивирусным пакетом
        • Количество и процент узлов, соответствующих требованиям по patch-management
        • Количество и процент серверов СУБД соответствующих парольной политике
        • Количество и процент сетевых устройств, соответствующих требованиям стандартов
    • Процессные метрики
      • Пример с Oracle
        • C ходимость по узлам: от 20 дней до бесконечности
        • Максимальный уровень соответствия: 23%
      • Быть может, вам не стоит вообще думать об установке обновлений Oracle ?
    • Сравнение с мировым уровнем
      • А как у других?
      • Достиг ли я приемлемого уровня?
      • Может и не стоит ничего делать?
    • Исследование уязвимости Web- приложений, 2008 г.
      • Объем исследования :
        • В автоматическом режиме – около 10000 узлов
        • Детальный анализ – около 1000 узлов
      • Результаты исследования :
        • Низкий уровень защищенности большинства Web- сайтов
        • Автоматизация методов выявления и эксплуатации уязвимостей
        • Web Application Security Consortium
        • предварительные данные
    • Распределение Web- сайтов по уровню найденных уязвимостей (2008 г.)
    • Наиболее распространенные уязвимости
    • Для атаки на Web- сайт обычно используются…
      • При анализе скомпрометированного Web- сайта обнаруживается “ букет ” уязвимостей, треть из которых могла быть использована нарушителем для атаки
    • А как оперативно устраняются эти проблемы?
        • Whitehat Security
    • Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com [email_address]