RISSPA Cnews Cloud Conference

1. Новые угрозы, которые несут в себе
новые технологии: мобилизация,
социальные сети, виртуализация и
облачные вычисления
Денис Безкоровайный,
CISA, CISSP, CCSK
Член экспертного совета RISSPA

2. Новые возможности и риски
❖ Виртуализация
❖ Облачные технологии и сервисы
❖ Мобильные устройства
❖ Социальные сети
2

3. Виртуализация
«До 2012 года 60% виртуализированных
серверов будут менее защищенными, чем
физические серверы, которым они придут
на смену»
Gartner
3

4. Виртуализация – основные угрозы
❖ Стирание границ между средами с разными
уровнями конфиденциальности данных
❖ Сложности управления уязвимостями –
расширенная поверхность атаки
❖ Незащищенность, традиционные средства ИБ
непригодны для виртуальной среды
❖ Деградация производительности из-за средств ИБ
- разделяемые физические ресурсы
4

5. Облачные вычисления
«К концу 2015 года объем
российского рынка
облачных услуг превысит
отметку в 1,2 млрд. долл.,
демонстрируя
среднегодовой темп роста
более 100%»
IDC
5

6. Облачные вычисления –
основные угрозы
❖Потеря контроля над данными
❖Недобросовестность поставщика услуг и
риски привилегированных злоумышленников
❖Усложнение выполнения требований
законодательства и отраслевых стандартов
❖Стирание границ ответственности за ИБ
между потребителем услуг и облачным
провайдером
6

7. Распространение
мобильных устройств
«Консьюмеризация будет самым значительным
трендом, влияющим на IT в ближайшие 10 лет»
Gartner
7

8. Распространение мобильных
устройств – основные угрозы
❖Утечка корпоративных данных
❖Теперь они храняться на личных
устройствах сотрудников
❖Использование консьюмерских сервисов
для хранения и передачи корпоративных
данных (например, Dropbox)
❖Компрометация учетных данных для доступа
к корпоративным приложениям через личные
устройства
8

9. Социальные сети
«63% организаций соглашаются, что
использование социальных сетей влечет
риски безопасности, но только 29%
используют адекватные системы защиты»
Ponemon Research
9

10. Социальные сети – основные угрозы
❖Утечки конфиденциальных данных
❖Репутационные риски для компании
❖Заражения вредоносным ПО через
социальные сети
❖Атаки с помощью данных из
социальных сетей (социальная
инженерия)
10

11. Что же делать?
❖Учитывать риски ИБ при внедрении новых
технологий
❖Использовать системы защиты, разработанные с
учетом особенностей виртуализации и облачных
архитектур
❖Проводить анализ SLA поставщиков облачных
сервисов перед использованием
❖Контроль выполнения поставщиками лучших практик
в области ИБ (например, Cloud Security Alliance)
❖Изменение организационных мер и процессов ИБ с
учетом новых облачных реалий
11

12. Что же делать?
❖Нельзя просто запретить использование
мобильных устройств или социальных
сетей
❖Разработать Политики Использования
мобильных устройств и социальных
сетей
❖Реализовать их на практике с помощью
систем контроля устройств и сети
❖Проводить тренинги по осведомленности
в ИБ
12

13. Вместо заключения
❖Современные технологии способны
кардинально изменять бизнес-процессы
❖Новые риски всегда присущи новым
технологиям и их нужно учитывать
❖Чтобы извлекать пользу из технологий и
снижать риски, ИБ должна быть на шаг
впереди внедрения
новых технологий
13

14. Что такое RISSPA?
Контакты и общение Членство и участие в семинарах бесплатно
Продвижение идей ИБ Регулярные очные и онлайн семинары
Ассоциация профессионалов в области информационной безопасности
(Russian Information Security Systems Professional Association) Создана в июне 2006 года
Формирование сообщества Обсуждение актуальных проблем ИБ
профессионалов в области ИБ
Обмен опытом Повышение уровня знаний специалистов ИБ
14

15. Мы в сетях
www.RISSPA.ru
Вопросы?
bezkod@risspa.ru