Your SlideShare is downloading. ×
Klimov idc 2012_presentation
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Klimov idc 2012_presentation

670
views

Published on


0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
670
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
12
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. www.pwc.ru/riskassuranceРиски и методызащиты бизнес-приложений1 марта 2012
  • 2. ВступлениеДобыча Переработка Транспортировка Хранение Дистрибуция РеализацияХищение продукции, манипуляции в технологических и информационных системахучета, искажение финансовой отчетности и т. д.PwC 2
  • 3. Новые тенденции Уровень бизнес-процессов • Интеграция в систему управления бизнес-рисками • Выявление и предотвращение мошенничеств (фрод) • Безопасность бизнес-приложений Мониторинг Антивирусная Межсетевые Контроль инцидентов защита экраны утечек Управление Криптографическая защита Обнаружение доступом атак Уровень инфраструктурыPwC 3
  • 4. Смещение вектора атак Бизнес-приложения Операционные системы Сеть“70% of attacks are in applications”: Betsy Hight (Vice President of cyber security, HP) at a paneldiscussion on cyber security, 2011PwC 4
  • 5. Смещение вектора атак 74% 72% 70% 68% 66% 64% 62% 60% 58% Безопасность Мобильные Вредоносный Инсайдеры приложений устройства код Исследование (ISC)2 2011PwC 5
  • 6. Смещение вектора атак• 82% организаций дорабатывают типовые программы, либо разрабатывают собственные бизнес-приложения с нуля; 72% из них используют собственных сотрудников и 18% - фрилансеров• Cпециалисты только 11% компаний не признают рисков появления НДВ, связанных с модификацией ПО• 32% компаний фиксировали либо подозревали инциденты по вине разработчиков. В 60% инцидентов программные закладки так и не были найдены.• Только 9% компаний используют технические средства контроля программного кода Исследование «Скрытая угроза – недекларированные возможности бизнес ПО», Appercut Software, SecurityLab.ru, 2011 http://www.securitylab.ru/news/407350.phpPwC 6
  • 7. Смещение вектора атакhttp://www.securityfocus.com/bidPwC 7
  • 8. Классы бизнес-приложений Бизнес- приложения Заказная/ Стороннее ПО, Стороннее ПО собственная кастомизируемое разработкаPwC 8
  • 9. Риски безопасности• Остановка бизнес-процессов• Искажение данных (отчетность , планы, операционная деятельность)• Несанкционированный доступ к критичным данным• Инсайдеры, конкурентная борьба• Внесение изменений в бизнес-логику, закладки• Прикрытие мошеннических действий• Другие…PwC 9
  • 10. Стороннее ПОПроблематика• Отсутствие механизмов защиты• Отсутствие руководств по настройке механизмов защиты• Недостаточная документация системы и компетенция специалистов• Невозможность использования стандартных механизмов защиты, особенно в случае АСУ: • Отсутствие гарантии работоспособности в случае внесения изменений в конфигурацию системы (антивирус, обновления, и др.) • Проприетарные протоколы (невозможность сбора логов или их анализа, отсутствие документации,…) • Устаревшие платформыPwC 10
  • 11. Стороннее ПОМеханизмы защиты• Максимальное изолирование системы• Управление обновлениями• Best practices по внедрению, конфигурации, эксплуатации и аудиту• Системы мониторинга и обнаружения вторжений• Сканеры уязвимостей (Nessus, MaxPatrol, ...)• Виртуализация• Контроль разделения полномочий• Административные меры• Др.PwC 11
  • 12. Стороннее ПО, кастомизируемоеПроблематика• Примеры - SAP, 1C, …• Все, что применимо к предыдущему классу• Отсутствие или недостаточная документация разработанных компонент системы• Зависимость от программиста• Программные закладкиPwC 12
  • 13. Стороннее ПО, кастомизируемоеМеханизмы защиты• Все, что применимо к предыдущему классу• Специализированные сканеры уязвимостей (ERPScanner, MaxPatrol, Appercut Software...)• Статические анализаторы CodeProfiler от Virtual Forge, HP Fortify• Ручной анализ кода• Административные меры• Др.PwC 13
  • 14. Заказная/ собственная разработкаПроблематика• Недостаточный учет вопросов безопасности на этапе проектирования• Качество программирования/тестирования/внедрения• Недостаточность документирования• Зависимость от программистов• Отсутствие интерфейсов для интеграции СЗИ• Неучет аспектов текущего законодательстваPwC 14
  • 15. Заказная/ собственная разработкаМеханизмы защиты• Оценка безопасности архитектуры приложений• Обучение программистов• Построение Secure Development Framework, использование существующих методик• Контроль качества исходного кода• Анализ защищенности исходного кода• Автоматизированный поиск программных «закладок», выявление критичных участков кода,• Поиск уязвимостей• Penetration testing• Изолирование системыPwC 15
  • 16. Процесс разработки ПО Business requirement/ Analysis Deployment Architecture/Design Test DevelopmentPwC 16
  • 17. Учет требований безопасностиSecurity level definition Risk Architecture Developer Testing Operation classification principles guidelines methods procedures Security Security Security Security Security requirement requirement requirement requirement requirement Threat analysis Business Architecture/ Deployment requirement/ Development Test Design Analysis Classification Development Change Design control control control management PwC 17
  • 18. Дополнительные материалыBITS Software Assurance Frameworkhttp://www.bits.org/publications/security/BITSSoftwareAssurance0112.pdfPA DSShttps://www.pcisecuritystandards.org/security_standards/documents.php?association=PA-DSSOWASP Secure Coding Practices Guidehttps://www.owasp.org/images/0/08/OWASP_SCP_Quick_Reference_Guide_v2.pdfCERT Secure Coding Standardshttp://www.cert.org/secure-coding/scstandards.htmlPwC 18
  • 19. Контакты Евгений Климов Менеджер +7 (495) 967 6086 evgeny.klimov@ru.pwc.comThis publication has been prepared for general guidance on matters of interest only, and doesnot constitute professional advice. You should not act upon the information contained in thispublication without obtaining specific professional advice. No representation or warranty(express or implied) is given as to the accuracy or completeness of the information containedin this publication, and, to the extent permitted by law, [insert legal name of the PwC firm], itsmembers, employees and agents do not accept or assume any liability, responsibility or duty ofcare for any consequences of you or anyone else acting, or refraining to act, in reliance on theinformation contained in this publication or for any decision based on it.© 2010 ZAO PricewaterhouseCoopers Audit. All rights reserved. In this document, “PwC”refers to ZAO PricewaterhouseCoopers Audit which is a member firm ofPricewaterhouseCoopers International Limited, each member firm of which is a separate legalentity.