3. Рынок систем управления событиями
безопасности
ArcSight ESM.
Гибкость архитектуры, максимальное количество типов источников, стабильность
работы и производительность
Cisco MARS.
Сетевая направленность. Меньшее количество поддерживаемых источников
netForensics OSP.
Нестабильная работа, сложность настройки и создания собственных коннекторов
IBM Tivoli Security Operation Management.
Меньшее количество поддерживаемых источников. Сложность разработки
коннекторов
RSA enVision.
Неэффективная корреляция, сложность настройки, отсутствие распределенной
архитектуры
4. Рынок систем управления
событиями безопасности
Gartner : «решения компании
ArcSight уже 6 лет подряд
занимают лидирующие
позиции в области систем
мониторинга и управления
информационной
безопасностью»
5. О компании ArcSight
• Основана в Мае 2000 года www.arcsight.com
• 300+ сотрудников
• 500+ прямых клиентов, 850+ партнерских клиентов
6. ArcSight ESM и требования PCI DSS
Требование 10. Должен отслеживаться и
контролироваться любой доступ к сетевым ресурсам и
данным платежных карт.
• Должна быть реализована система управления событиями
информационной безопасности
• Должен осуществляться контроль событий включая доступ к
данным платежных карт, использования администраторских
привилегий, доступ к журналам аудита, использования систем
идентификации и аутентификации и т.д.
• События безопасности должны просматриваться ЕЖЕДНЕВНО
7. PCI DSS Compliance
• Проверка требований PCI DSS Payment
Card Industry
– Правила, политики, уведомления и отчеты
• Контроль выполнения всех 12 требований PCI DSS
• Три основных области:
– Оперативный контроль соответствия требованиям PCI DSS
– Помощь в подготовке к аудиту
– Детальная информация по каждому из требований стандарта
• Более 100 отчетов обеспечивают объективную информацию по
выполнению требований
• 28 правил автоматически контролируют несоответствия стандарту
• Многоуровневая система контроля обеспечивает высокую
детальность мониторинга
10. Требования PCI
Требование 1. Должны быть обеспечены разработка и
управление конфигурацией межсетевых экранов в
целях защиты данных платежных карт
•Брандмауэры и маршрутизаторы
- это1-я линия обороны и
контроля доступа
•Эти устройства генерируют
большое количество данных
Mar 16 15:27:56 172.16.10.42 ns5gt: NetScreen Jan 28 02:04:30 pix-inside %PIX-3-106010: Deny inbound tcp
device_id=ns5gt [No Name]system-notification- src outside:67.200.184.237/1262 dst inside:10.107.96.170/80
Jan 28 02:01:08 pix-inside %PIX-3-106010: Deny inbound udp
00257(traffic): start_time="2005-03-16
src outside:216.143.1.229/1321 dst inside:10.107.96.213/1434
16:33:22" duration=0 policy_id=320001 Jan 28 06:17:47 pix-inside %PIX-3-106010: Deny inbound icmp
service=tcp/port:120 proto=6 src zone=Null src outside:80.181.210.80 dst inside:10.107.96.229 (type 8,
dst zone=self action=Deny sent=0 rcvd=60 code 0) Jan 28 00:21:50 pix-inside %PIX-3-106011: Deny
src=192.168.2.1 dst=1.2.3.4 src_port=31048 inbound (No xlate) tcp src outside:217.228.221.121/1233 dst
dst_port=12 outside:10.47.243.45/80 Jan 28 00:01:38 pix-inside %PIX-4-
106023: Deny tcp src outside:213.22.40.190/1381 dst
inside:10.107.8.6/445 by access-group "ACL-FROM-OUTSIDE" Jan
Jun 1 22:01:35 [xx] ns5gt: NetScreen 28 00:01:38 pix-inside %PIX-4-106023: Deny udp src
device_id=ns5gt [Root]system-alert-00016: outside:24.200.88.234/1025 dst inside:10.107.31.183/137 by
Port scan! From 1.2.3.4:54886 to 2.3.4.5:406, access-group "ACL-FROM-OUTSIDE" Jan 28 00:41:42 pix-inside
proto TCP (zone Untrust, int untrust). %PIX-4-106023: Deny icmp src outside:128.9.160.165 dst
Occurred 1 times. (2004-06-01 22:09:03) inside:10.107.19.103 (type 8, code 0) by access-group "ACL-
FROM-OUTSIDE" Jan 28 01:48:01 pix-inside %PIX-4-106023: Deny
protocol 4 src outside:131.119.0.197 dst inside:10.107.16.135
by access-group "ACL-FROM-OUTSIDE"
11. Требования PCI
Требование 2. Не должны использоваться параметры
безопасности и системные пароли, установленные по
умолчанию.
• Использование небезопасных протоколов
• Использование учетных записей по-умолчанию
• Каждый сервер должен реализовать только одну функцию (2.2.1)
12. Требования PCI
Требование 3. Должна быть обеспечена защита данных
платежных карт при хранении.
• Обеспечение контроля доступа ко всем ресурсам, содержащим
данные платежных карт
• Данных платежных карт в передаются по сети открытом виде
• Журналы событий могут содержать данные платежных карт
13. Требования PCI
Требование 4. Должно обеспечиваться шифрование
данных платежных карт, передаваемых по сетям
общего пользования
Примеры регистрации событий:
– VPN, защищенный режим передачи данных:
2006-08-10 19:22:41: INFO: ISAKMP-SA established 111.111.111.194 [500]-83.36.51.44[500]
spi:3ac2d5023f433d3e:e2d682b6f4fc4830
– Беспроводная точка доступа :
>May 5 19:32:40.943 R Information Interface Dot11Radio0, Station maint01 0090.4b15.b2dd Associated
KEY_MGMT[WPA]
>May 5 19:30:14.318 R Information Interface Dot11Radio0, Deauthenticating Station 0090.4b15.b2dd
Reason: Previous authentication no longer valid
>May 5 19:30:14.316 R Warning Packet to client 0090.4b15.b2dd reached max retries, removing the
client
14. Требования PCI
Требование 5. Должно использоваться и регулярно
обновляться антивирусное программное обеспечение
• Контроль использования антивирусного ПО
• Централизованный мониторинг событий по антивирусной активности
Требование 6. Должна обеспечиваться безопасность при
разработке и поддержке систем и приложений
• Выявление уязвимостей согласно Open Web Application Security Project
Guide (OWASP)
Требование 7. Доступ к данным платежных карт должен быть
ограничен в соответствии со служебной необходимостью
• Выявление несанкционированного доступа к данным на основании листов
доступа
15. Требования PCI
Требование 8. Каждому лицу, имеющему доступ к
вычислительным ресурсам, должен быть назначен
уникальный идентификатор.
• Большое количество различных систем и приложений влечет
множество учетных записей
• Серьезное осложнение контроля действий пользователей в
различных операционных системах, приложениях, базах данных.
• Необходимость контроля любого доступа ко всем базам данных,
содержащих данные платежных карт
16. Требования PCI
Требование 8. Каждому лицу, имеющему доступ к
вычислительным ресурсам, должен быть назначен
уникальный идентификатор.
• Большое количество различных систем и приложений влечет
множество учетных записей
• Серьезное осложнение контроля действий пользователей в
различных операционных системах, приложениях, базах данных.
• Необходимость контроля любого доступа ко всем базам данных,
содержащих данные платежных карт
17. Стандарт безопасности PCI DSS
Требование 10. Должен отслеживаться и
контролироваться любой доступ к сетевым ресурсам и
данным платежных карт.
• Должна быть реализована система управления событиями
информационной безопасности
• Должен осуществляться контроль событий включая доступ к
данным платежных карт, использования администраторских
привилегий, доступ к журналам аудита, использования систем
идентификации и аутентификации и т.д.
• События безопасности должны просматриваться ЕЖЕДНЕВНО
18. Infosecurity 2009
30 сентября 2009
ВОПРОСЫ ?
Владимир Руденко
ведущий эксперт
• (495) 980 23 45 доб. 255
• v.rudenko@infosec.ru