Policy Compliance Testing (2011)

784 views

Published on

Published in: Technology, News & Politics
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
784
On SlideShare
0
From Embeds
0
Number of Embeds
33
Actions
Shares
0
Downloads
6
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • (c) 2007 Risk Analysis Consultants / SmithNovak
  • Policy Compliance Testing (2011)

    1. 1. Policy Compliance Testing RAC QualysGuard InfoDay 201 1
    2. 2. <ul><li>Provádí klasické penetrační testování a vulnerability management </li></ul><ul><ul><li>Zranitelnosti zneužitelné útočníkem </li></ul></ul><ul><ul><li>Dostupnost všech bezpečnostní aktualizací </li></ul></ul><ul><ul><li>Bezpečnostní chyby v konfiguraci </li></ul></ul><ul><li>Co nerozlišuje testování pomocí QG VM </li></ul><ul><ul><li>Umístění a význam zařízení (Internet/DMZ, Server x Desktop) </li></ul></ul><ul><ul><li>Hodnotu spravovaných aktiv </li></ul></ul><ul><ul><li>Specifické požadavky na konfigurace zařízení </li></ul></ul><ul><ul><li>Specifické požadavky na zabezpečení dat </li></ul></ul>Co testuje QG VM RAC QualysGuard InfoDay 201 1
    3. 3. <ul><li>Legislativní předpisy a normy </li></ul><ul><ul><li>ISO/IEC 27002, SOX, HIPAA, COBIT, PCI DSS </li></ul></ul><ul><ul><li>Určité segmenty podnikání mají povinné normy </li></ul></ul><ul><li>Podnikové předpisy a směrnice, bezpečnostní politika </li></ul><ul><ul><li>Stanovují práva a povinnosti uživatelů, administrátorů </li></ul></ul><ul><ul><li>Stanovují požadavky na bezpečnostní parametry zařízení </li></ul></ul><ul><ul><li>Směrnice pro externí subjekty/dodavatele </li></ul></ul><ul><li>Doporučené konfigurace </li></ul><ul><ul><li>Obecné postupy pro „Securing and Hardening Servers“ </li></ul></ul><ul><ul><li>Bezpečnostní doporučení CIS (http://www.cisecurity.org/) </li></ul></ul><ul><li>Vlastní postupy pro konfiguraci </li></ul><ul><ul><li>Firemní postupy pro zabezpečení </li></ul></ul><ul><ul><li>Návody vycházející z praktických zkušeností </li></ul></ul>Co určuje konfiguraci zařízení RAC QualysGuard InfoDay 2011
    4. 4. <ul><li>Cílem testování bezpečnostní politiky je určit míru souladu (Policy Compliance) mezi požadovanou konfigurací a skutečným bezpečnostním nastavením zařízení ICT. </li></ul><ul><li>Na rozdíl od testování zranitelností, kde se odstraňují konkrétní zranitelnosti využitelné útočníkem, bezpečnostní politika a konfigurace bezpečnostních parametrů není přesně určena. </li></ul><ul><li>Záleží na výchozích legislativních a technických požadavcích a tedy politika pro jednotlivá ICT je v každé organizaci je odlišná. </li></ul>Hlavní cíl testování PC RAC QualysGuard InfoDay 201 1
    5. 5. Shrnutí postupu RAC QualysGuard InfoDay 201 1
    6. 6. <ul><li>Přístupová práva </li></ul><ul><ul><li>Přístupové účtů, seznamy uživatelů a skupin, správa hesel, autorizace </li></ul></ul><ul><ul><li>Přístupová práva k systému, souborům a databázím </li></ul></ul><ul><li>Bezpečnostní parametry </li></ul><ul><ul><li>Nastavení bezpečnostních parametrů služeb, operačního systému, databází, síťových služeb, kontrola vypnutých služeb </li></ul></ul><ul><li>Antivirus / zranitelnosti </li></ul><ul><ul><li>Stav aktualizace softwaru antivirového software </li></ul></ul><ul><li>Integrita a dostupnost </li></ul><ul><ul><li>Logování a audit, monitorování logů </li></ul></ul><ul><li>Šifrování </li></ul><ul><ul><li>Šifrování síťových spojení a přenosu dat, šifrování souborů a disků </li></ul></ul><ul><ul><li>Délka klíče a použitý algoritmus </li></ul></ul><ul><li>Síťové služby </li></ul><ul><ul><li>Nastavení lokálních firewallů, IDS, VPN Status síťových služeb. </li></ul></ul>Technologická opatření v PC modulu RAC QualysGuard InfoDay 201 1
    7. 7. <ul><li>Směrnice ISO/IEC 27002 </li></ul><ul><ul><li>Kapitola A.10.4 Ochrana proti škodlivým programům a mobilním kódům </li></ul></ul><ul><ul><li>Opatření A.10.4.1: Na ochranu proti škodlivým programům a nepovoleným mobilním kódům musí být implementována opatření na jejich detekci, prevenci a obnovu a zvyšováno odpovídající bezpečnostní povědomí uživatelů. </li></ul></ul><ul><li>Databáze „controls“ v QG </li></ul><ul><ul><li>Seznam opatření podle ID, kategorie, frameworks </li></ul></ul>Příklad použití RAC QualysGuard InfoDay 201 1
    8. 8. <ul><li>Možnost vytváření vlastních controls </li></ul><ul><ul><li>Pro Windows i Unix </li></ul></ul><ul><ul><li>Existence, obsah a přístupová práva registrů a souborů </li></ul></ul><ul><ul><li>Kontrolní součty (MD5, SHA-1, SHA 256) </li></ul></ul>Vlastní parametry RAC QualysGuard InfoDay 201 1
    9. 9. Vytváření šablon politik - Policy editor RAC QualysGuard InfoDay 201 1
    10. 10. Reporty RAC QualysGuard InfoDay 201 1
    11. 11. Reporty RAC QualysGuard InfoDay 201 1
    12. 12. Řízený proces RAC QualysGuard InfoDay 201 1
    13. 13. <ul><li>Počet controls </li></ul><ul><ul><li>Aktuálně celkem 2222 controls </li></ul></ul><ul><li>Podporované systémy </li></ul><ul><ul><li>Windows 2000, 2003, 2008, Windows XP, Vista, 7 </li></ul></ul><ul><ul><li>AIX 5.x, AIX 6.x , HPUX 11.iv1, 11.iv2, 11.iv3, Solaris 8, 9.x, 10, Red Hat Enterprise 3,4,5, CentOS 4.x , 5.x, Oracle Enterprise 4, 5, Debian GNU/Linux 5.x, Ubuntu 8.x, 9.x, Open SUSE 10.x, 11.x, SUSE Enterprise Linux 9/10 11.x </li></ul></ul><ul><ul><li>Microsoft SQL Server 2000, 2005, 2008, Oracle 10g, 11g, 9i </li></ul></ul><ul><ul><li>Cisco IOS 12.x, 15.x, VMWare ESX Server 3.x, 4.x </li></ul></ul><ul><li>Reportovací možnosti </li></ul><ul><ul><li>Souhrny pro jedno zařízení , Assets Group až všechny systémy </li></ul></ul><ul><ul><li>Grafy s trendy podle času </li></ul></ul>Souhrn možností RAC QualysGuard InfoDay 201 1
    14. 14. <ul><li>Vylepšení v Policy Editoru </li></ul><ul><ul><li>C heckbox y </li></ul></ul><ul><ul><li>nyní </li></ul></ul><ul><ul><li>dříve </li></ul></ul><ul><li>Dissolvable Agent </li></ul><ul><ul><li>Agent nainstalován/odinstalován během testování </li></ul></ul><ul><ul><li>S instalaci nutno souhlasit v menu </li></ul></ul><ul><ul><li>Rozšířené možnosti pro testování password policy </li></ul></ul><ul><ul><li>Rozšířené možnosti pro testování windows share </li></ul></ul><ul><ul><li>Nutný pro detailní testování PC v Windows Vista, 7 and 2008 </li></ul></ul>Novinky v poslední verzích RAC QualysGuard InfoDay 201 1

    ×