Security Metrics for PCI Compliance

1,652 views

Published on

Published in: Technology, Business
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,652
On SlideShare
0
From Embeds
0
Number of Embeds
139
Actions
Shares
0
Downloads
47
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Security Metrics for PCI Compliance

  1. 1. Измеряя защищенность Метрики безопасности для PCI DSS Сергей Гордейчик Security Lab by Positive Technologies
  2. 2. Что такое PCI DSS? <ul><li>Аудиты QSA? </li></ul><ul><li>Сканирования ASV ? </li></ul><ul><li>Тесты на проникновение? </li></ul><ul><li>Оценка Web -приложений? </li></ul>
  3. 3. Что такое PCI DSS? <ul><li>Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! </li></ul><ul><ul><li>Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) </li></ul></ul><ul><ul><ul><li>Аудиты QSA? </li></ul></ul></ul><ul><ul><ul><li>Сканирования ASV ? </li></ul></ul></ul><ul><ul><ul><li>Тесты на проникновение? </li></ul></ul></ul><ul><ul><ul><li>Оценка Web -приложений? </li></ul></ul></ul>
  4. 4. Что такое PCI DSS? <ul><li>Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! </li></ul><ul><ul><li>Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) </li></ul></ul><ul><ul><ul><li>Аудиты QSA? </li></ul></ul></ul><ul><ul><ul><li>Сканирования ASV ? </li></ul></ul></ul><ul><ul><ul><li>Тесты на проникновение? </li></ul></ul></ul><ul><ul><ul><li>Оценка Web -приложений? </li></ul></ul></ul>
  5. 5. Черно-белый подход <ul><li>Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат </li></ul><ul><ul><ul><li>Не соответствует! </li></ul></ul></ul><ul><ul><ul><li>Соответствует! </li></ul></ul></ul><ul><li>Реальность гораздо сложнее… </li></ul>
  6. 6. Пример: Обновление Oracle <ul><li>Аудитор: </li></ul><ul><ul><ul><li>У вас проблемы с Oracle </li></ul></ul></ul><ul><li>Компания: </li></ul><ul><ul><ul><li>Согласование с разработчиками </li></ul></ul></ul><ul><ul><ul><li>Ожидание одобрения </li></ul></ul></ul><ul><ul><ul><li>Тестирование </li></ul></ul></ul><ul><ul><ul><li>Развертывание </li></ul></ul></ul>
  7. 7. Пример: Обновление Oracle . Что делать?!! <ul><li>Ускорить процесс? </li></ul><ul><li>Ставить патчи на свой страх и риск? </li></ul><ul><li>Ограничить доступ на МСЭ? </li></ul><ul><li>Перенести приложение на терминал? </li></ul><ul><li>Внедрить специализированную IPS ? </li></ul>
  8. 8. Что такое хорошо, что такое плохо? <ul><li>Как измерить текущий уровень соответствия не в двоичном формате? </li></ul><ul><li>Как разделить процесс поддержания соответствия на измеримые задачи? </li></ul><ul><li>Как оценить планируемые и текущие расходы? </li></ul>
  9. 9. Метрики безопасности <ul><li>Однозначно измеряются, без «экспертного мнения» </li></ul><ul><li>Доступны для расчета и анализа (предпочтительно автоматически) </li></ul><ul><li>Имеют количественное выражение (не &quot;высокий&quot;, &quot;средний&quot;, &quot;низкий&quot;) </li></ul><ul><li>Измеряются в пригодных для анализа величинах, таких как &quot;ошибки&quot;, &quot;часы&quot;, &quot;стоимость&quot; </li></ul><ul><li>Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?&quot;) </li></ul>
  10. 10. Соответствие стандарту По требованиям
  11. 11. Соответствие стандарту По узлам
  12. 12. Соответствие стандарту По узлам и по требованиям
  13. 13. Соответствие стандарту <ul><li>Сколько требований PCI мы нарушаем? </li></ul><ul><li>Какие нарушения наиболее распространены? </li></ul><ul><li>Что закрывать в первую очередь? </li></ul>
  14. 14. Хорошо, но мало! <ul><li>Позволяет наметить курс действий </li></ul><ul><li>  Дает возможность отслеживать динамику </li></ul><ul><li>Не позволяет получить понятную проектную оценку! </li></ul>
  15. 15. Метрики трудозатрат <ul><li>Позволяют оценить планируемые и текущие трудозатраты на достижение цели </li></ul><ul><ul><li>Трудозатраты на приведение в соответствие с требованиями стандартов </li></ul></ul><ul><ul><li>Обоснование выбора компенсационных средств защиты </li></ul></ul><ul><ul><li>Оценка затраченных ресурсов </li></ul></ul><ul><li>Разделение изменений по типам </li></ul><ul><ul><li>Установка обновлений </li></ul></ul><ul><ul><li>Обновление версии </li></ul></ul><ul><ul><li>Внесение изменения в конфигурацию </li></ul></ul><ul><ul><li>Исправление кода </li></ul></ul><ul><ul><li>… </li></ul></ul>
  16. 16. Метрики трудозатрат
  17. 17. Процессные метрики <ul><li>Генерируются на основе Compliance и их производных </li></ul><ul><ul><li>Количество и процент рабочих станций с установленным антивирусным пакетом </li></ul></ul><ul><ul><li>Количество и процент узлов, соответствующих требованиям по patch-management </li></ul></ul><ul><ul><li>Количество и процент серверов СУБД соответствующих парольной политике </li></ul></ul><ul><ul><li>Количество и процент сетевых устройств, соответствующих требованиям стандартов </li></ul></ul>
  18. 18. Процессные метрики <ul><li>Пример с Oracle </li></ul><ul><ul><li>C ходимость по узлам: от 20 дней до бесконечности </li></ul></ul><ul><ul><li>Максимальный уровень соответствия: 23% </li></ul></ul><ul><li>Быть может, вам не стоит вообще думать об установке обновлений Oracle ? </li></ul>
  19. 19. Сравнение с мировым уровнем <ul><li>А как у других? </li></ul><ul><li>Достиг ли я приемлемого уровня? </li></ul><ul><li>Может и не стоит ничего делать? </li></ul>
  20. 20. Исследование уязвимости Web- приложений, 2008 г. <ul><li>Объем исследования : </li></ul><ul><ul><li>В автоматическом режиме – около 10000 узлов </li></ul></ul><ul><ul><li>Детальный анализ – около 1000 узлов </li></ul></ul><ul><li>Результаты исследования : </li></ul><ul><ul><li>Низкий уровень защищенности большинства Web- сайтов </li></ul></ul><ul><ul><li>Автоматизация методов выявления и эксплуатации уязвимостей </li></ul></ul><ul><ul><li>Web Application Security Consortium </li></ul></ul><ul><ul><li>предварительные данные </li></ul></ul>
  21. 21. Распределение Web- сайтов по уровню найденных уязвимостей (2008 г.)
  22. 22. Наиболее распространенные уязвимости
  23. 23. Для атаки на Web- сайт обычно используются… <ul><li>При анализе скомпрометированного Web- сайта обнаруживается “ букет ” уязвимостей, треть из которых могла быть использована нарушителем для атаки </li></ul>
  24. 24. А как оперативно устраняются эти проблемы? <ul><ul><li>Whitehat Security </li></ul></ul>
  25. 25. Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com [email_address]

×