В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
В рамках сервиса Cloud-152 мы предоставляем облачную инфраструктуру, построенную в соответствии с требованиями к защите персональных данных ФЗ-152, и оказываем комплексную поддержку при аттестации ваших информационных систем.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
В рамках сервиса Cloud-152 мы предоставляем облачную инфраструктуру, построенную в соответствии с требованиями к защите персональных данных ФЗ-152, и оказываем комплексную поддержку при аттестации ваших информационных систем.
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Универсальная защищённая интеграционная шина для применения в АСУ КВОVadim Podolniy
Универсальная защищённая интеграционная шина для применения в АСУ КВО
полевая и сервисная шина предприятияобеспечение кибербезопасности путём импортозамещения
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Практические аспекты проведения аудита информационной безопасности компании 2...DialogueScience
Знакомство с различными видами аудита безопасности, методиками и практическими особенностями его проведения для различных типов автоматизированных систем.
Clouds security (responsibility and information relations)Вячеслав Аксёнов
Презентация моего доклада на IT-Security Conference 2022. https://its.it-event.by/
Защита информации в информационной системе, размещенной в облаке: распределение ответственности между участниками информационных отношений.
Универсальная защищённая интеграционная шина для применения в АСУ КВОVadim Podolniy
Универсальная защищённая интеграционная шина для применения в АСУ КВО
полевая и сервисная шина предприятияобеспечение кибербезопасности путём импортозамещения
Cisco Threat Defense (Cisco Stealthwatch)Cisco Russia
• Введение
• Обзор системы Cisco Stealthwatch
• Архитектура и развертывание Stealthwatch
• Начало работы с системой Stealthwatch
• Модель тревог
• Резюме
История развития PCI DSS
Экосистема сертификации PCI DSS
Требования платежных систем по подтверждению соответствия
Требования PCI DSS
Статистика несоответствий и инцидентов
Действительно комплексный подход к защите АСУ ТПDialogueScience
В рамках вебинара «Действительно комплексный подход к защите АСУ ТП», докладчик расскажет об основных отличиях процесса обеспечении информационной безопасности (ИБ) в АСУ ТП от аналогичного в «классических ИТ-системах», а также о том, на что эти отличия влияют. На примерах будут продемонстрированы ситуации, когда средства защиты информации (СЗИ) и технические меры защиты информации неэффективны без организации процесса ИБ и даны пояснения, какие процессы безопасности необходимо выстроить на объекте. Докладчик расскажет о том, что такое комплексный подход к защите АСУ ТП, как проводится исследование и сегментирование распределенных АСУ ТП, оценка рисков и моделирование угроз при формировании требований по защите, даст рекомендации о том, как можно повысить уровень защищенности без реализации дорогостоящих технических решений. Также на вебинаре будут рассмотрены некоторые основные имеющиеся на рынке средства защиты и технические решения, которые можно применить для защиты АСУ ТП.
Спикер:
Дмитрий Ярушевский
CISA, CISM,
руководитель отдела кибербезопасности АСУ ТП ЗАО «ДиалогНаука».
Презентация компании StoneSoft, проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
3. Рынок систем управления событиями
безопасности
ArcSight ESM.
Гибкость архитектуры, максимальное количество типов источников, стабильность
работы и производительность
Cisco MARS.
Сетевая направленность. Меньшее количество поддерживаемых источников
netForensics OSP.
Нестабильная работа, сложность настройки и создания собственных коннекторов
IBM Tivoli Security Operation Management.
Меньшее количество поддерживаемых источников. Сложность разработки
коннекторов
RSA enVision.
Неэффективная корреляция, сложность настройки, отсутствие распределенной
архитектуры
4. Рынок систем управления
событиями безопасности
Gartner : «решения компании
ArcSight уже 6 лет подряд
занимают лидирующие
позиции в области систем
мониторинга и управления
информационной
безопасностью»
5. О компании ArcSight
• Основана в Мае 2000 года www.arcsight.com
• 300+ сотрудников
• 500+ прямых клиентов, 850+ партнерских клиентов
6. ArcSight ESM и требования PCI DSS
Требование 10. Должен отслеживаться и
контролироваться любой доступ к сетевым ресурсам и
данным платежных карт.
• Должна быть реализована система управления событиями
информационной безопасности
• Должен осуществляться контроль событий включая доступ к
данным платежных карт, использования администраторских
привилегий, доступ к журналам аудита, использования систем
идентификации и аутентификации и т.д.
• События безопасности должны просматриваться ЕЖЕДНЕВНО
7. PCI DSS Compliance
• Проверка требований PCI DSS Payment
Card Industry
– Правила, политики, уведомления и отчеты
• Контроль выполнения всех 12 требований PCI DSS
• Три основных области:
– Оперативный контроль соответствия требованиям PCI DSS
– Помощь в подготовке к аудиту
– Детальная информация по каждому из требований стандарта
• Более 100 отчетов обеспечивают объективную информацию по
выполнению требований
• 28 правил автоматически контролируют несоответствия стандарту
• Многоуровневая система контроля обеспечивает высокую
детальность мониторинга
10. Требования PCI
Требование 1. Должны быть обеспечены разработка и
управление конфигурацией межсетевых экранов в
целях защиты данных платежных карт
•Брандмауэры и маршрутизаторы
- это1-я линия обороны и
контроля доступа
•Эти устройства генерируют
большое количество данных
Mar 16 15:27:56 172.16.10.42 ns5gt: NetScreen Jan 28 02:04:30 pix-inside %PIX-3-106010: Deny inbound tcp
device_id=ns5gt [No Name]system-notification- src outside:67.200.184.237/1262 dst inside:10.107.96.170/80
Jan 28 02:01:08 pix-inside %PIX-3-106010: Deny inbound udp
00257(traffic): start_time="2005-03-16
src outside:216.143.1.229/1321 dst inside:10.107.96.213/1434
16:33:22" duration=0 policy_id=320001 Jan 28 06:17:47 pix-inside %PIX-3-106010: Deny inbound icmp
service=tcp/port:120 proto=6 src zone=Null src outside:80.181.210.80 dst inside:10.107.96.229 (type 8,
dst zone=self action=Deny sent=0 rcvd=60 code 0) Jan 28 00:21:50 pix-inside %PIX-3-106011: Deny
src=192.168.2.1 dst=1.2.3.4 src_port=31048 inbound (No xlate) tcp src outside:217.228.221.121/1233 dst
dst_port=12 outside:10.47.243.45/80 Jan 28 00:01:38 pix-inside %PIX-4-
106023: Deny tcp src outside:213.22.40.190/1381 dst
inside:10.107.8.6/445 by access-group "ACL-FROM-OUTSIDE" Jan
Jun 1 22:01:35 [xx] ns5gt: NetScreen 28 00:01:38 pix-inside %PIX-4-106023: Deny udp src
device_id=ns5gt [Root]system-alert-00016: outside:24.200.88.234/1025 dst inside:10.107.31.183/137 by
Port scan! From 1.2.3.4:54886 to 2.3.4.5:406, access-group "ACL-FROM-OUTSIDE" Jan 28 00:41:42 pix-inside
proto TCP (zone Untrust, int untrust). %PIX-4-106023: Deny icmp src outside:128.9.160.165 dst
Occurred 1 times. (2004-06-01 22:09:03) inside:10.107.19.103 (type 8, code 0) by access-group "ACL-
FROM-OUTSIDE" Jan 28 01:48:01 pix-inside %PIX-4-106023: Deny
protocol 4 src outside:131.119.0.197 dst inside:10.107.16.135
by access-group "ACL-FROM-OUTSIDE"
11. Требования PCI
Требование 2. Не должны использоваться параметры
безопасности и системные пароли, установленные по
умолчанию.
• Использование небезопасных протоколов
• Использование учетных записей по-умолчанию
• Каждый сервер должен реализовать только одну функцию (2.2.1)
12. Требования PCI
Требование 3. Должна быть обеспечена защита данных
платежных карт при хранении.
• Обеспечение контроля доступа ко всем ресурсам, содержащим
данные платежных карт
• Данных платежных карт в передаются по сети открытом виде
• Журналы событий могут содержать данные платежных карт
13. Требования PCI
Требование 4. Должно обеспечиваться шифрование
данных платежных карт, передаваемых по сетям
общего пользования
Примеры регистрации событий:
– VPN, защищенный режим передачи данных:
2006-08-10 19:22:41: INFO: ISAKMP-SA established 111.111.111.194 [500]-83.36.51.44[500]
spi:3ac2d5023f433d3e:e2d682b6f4fc4830
– Беспроводная точка доступа :
>May 5 19:32:40.943 R Information Interface Dot11Radio0, Station maint01 0090.4b15.b2dd Associated
KEY_MGMT[WPA]
>May 5 19:30:14.318 R Information Interface Dot11Radio0, Deauthenticating Station 0090.4b15.b2dd
Reason: Previous authentication no longer valid
>May 5 19:30:14.316 R Warning Packet to client 0090.4b15.b2dd reached max retries, removing the
client
14. Требования PCI
Требование 5. Должно использоваться и регулярно
обновляться антивирусное программное обеспечение
• Контроль использования антивирусного ПО
• Централизованный мониторинг событий по антивирусной активности
Требование 6. Должна обеспечиваться безопасность при
разработке и поддержке систем и приложений
• Выявление уязвимостей согласно Open Web Application Security Project
Guide (OWASP)
Требование 7. Доступ к данным платежных карт должен быть
ограничен в соответствии со служебной необходимостью
• Выявление несанкционированного доступа к данным на основании листов
доступа
15. Требования PCI
Требование 8. Каждому лицу, имеющему доступ к
вычислительным ресурсам, должен быть назначен
уникальный идентификатор.
• Большое количество различных систем и приложений влечет
множество учетных записей
• Серьезное осложнение контроля действий пользователей в
различных операционных системах, приложениях, базах данных.
• Необходимость контроля любого доступа ко всем базам данных,
содержащих данные платежных карт
16. Требования PCI
Требование 8. Каждому лицу, имеющему доступ к
вычислительным ресурсам, должен быть назначен
уникальный идентификатор.
• Большое количество различных систем и приложений влечет
множество учетных записей
• Серьезное осложнение контроля действий пользователей в
различных операционных системах, приложениях, базах данных.
• Необходимость контроля любого доступа ко всем базам данных,
содержащих данные платежных карт
17. Стандарт безопасности PCI DSS
Требование 10. Должен отслеживаться и
контролироваться любой доступ к сетевым ресурсам и
данным платежных карт.
• Должна быть реализована система управления событиями
информационной безопасности
• Должен осуществляться контроль событий включая доступ к
данным платежных карт, использования администраторских
привилегий, доступ к журналам аудита, использования систем
идентификации и аутентификации и т.д.
• События безопасности должны просматриваться ЕЖЕДНЕВНО
18. Infosecurity 2009
30 сентября 2009
ВОПРОСЫ ?
Владимир Руденко
ведущий эксперт
• (495) 980 23 45 доб. 255
• v.rudenko@infosec.ru