08448380779 Call Girls In Greater Kailash - I Women Seeking Men
Risks vs real life
1. RISKS VS. REAL LIFE
Mona Arkhipova
Unit Manager of information security architecture and monitoring
Acronis
2. PROPRIETARY AND CONFIDENTIAL 2PROPRIETARY AND CONFIDENTIAL 2
About me
Unit Manager of information security architecture and monitoring,
Acronis
Past:
• Head of SOC and OPS monitoring, Lead information security expert
at QIWI group;
• Security analyst at General Electric (GE Capital);
• independent security consultant at fintech start-ups;
• *nix systems and network administrator
3. PROPRIETARY AND CONFIDENTIAL 3PROPRIETARY AND CONFIDENTIAL 3
Traditional approach
Risk is a function of the likelihood of a given threat-source’s
exercising a particular potential vulnerability, and the resulting
impact of that adverse event on the organization.
- NIST 800-30
Risks management is the base for most part of security-related
standards.
But is it applicable to security in real life?
5. PROPRIETARY AND CONFIDENTIAL 5PROPRIETARY AND CONFIDENTIAL 5
Physical security
Most widely used state to argue about internal systems’ security:
“Why should we harden this asset/application/device? It’s for
internal users only, no one can enter our office! There’s no risk!”
There are many ”unbelievable” ways to get inside:
• Shared areas in your business center
• ”Comfortable” ways to less secure areas for employees
• Good old social engineering
6. PROPRIETARY AND CONFIDENTIAL 6PROPRIETARY AND CONFIDENTIAL 6
Internal resources
One more state to argue about internal systems security:
“Why should we harden this asset/application/device? It’s for
internal users only, everyone should be authorized to use those
systems! The risk is low!”
In many companies way inside is much easier than it could be
imagined:
• Lack of segmentation
• Lack of controls on remote access
• External-facing intranet portals
• Oh, and one step back – physical security
7. PROPRIETARY AND CONFIDENTIAL 7PROPRIETARY AND CONFIDENTIAL 7
Test environments
”There’s no sensitive data, it is not production”
Common mistakes:
• Not (properly) segregated from internal network
• Passwords/keys reuse
• Core management systems links
• Often DOES CONTAIN production data
8. PROPRIETARY AND CONFIDENTIAL 8PROPRIETARY AND CONFIDENTIAL 8
(Not so) good services
Do you really rely on external services?
• Had you ever reviewed information you send?
• Aren’t you afraid to transfer your sensitive data to services with no
formal background?
• Do you believe to your security service providers’ employees like
your own ones?
• Do you have 3rd party security review?
10. PROPRIETARY AND CONFIDENTIAL 10PROPRIETARY AND CONFIDENTIAL 10
Mission-critical systems
”We can not patch the system, it’s too critical, update would ruin it”
• Good start point for your BCM program
• Vulnerability and patch management declared by standards
• One day it may ruin your business not only for security reasons
• Human mistakes
• Lack of expertise (delayed issues)
11. PROPRIETARY AND CONFIDENTIAL 11PROPRIETARY AND CONFIDENTIAL 11
Core Business Impact
Code quality and less legacy directly
affects business, especially based on in-
house developed applications
Good code – stable and secure code
Stable code is the basic brick of overall
service stability and availability
Stable HA service – good customer
experience
Good customer experience brings more
than just money.
13. PROPRIETARY AND CONFIDENTIAL 13PROPRIETARY AND CONFIDENTIAL 13
Endpoints
“I’m tired of all that weekly/monthly/quarter reboots”
• Security is around data, not only a server somewhere
• Old good software may be a great security risk
• …as well as service tested on workstation for faster
feedback/dev/PoC/whatever
• What’s about lost devices, BYOD and remote access?
14. PROPRIETARY AND CONFIDENTIAL 14PROPRIETARY AND CONFIDENTIAL 14
Employees
”Our employees are loyal, we believe them”
• Prepare for a lot of disappointment after DLP installation
• Not all loyal employees stay loyal in crisis situations (or just local
conflicts)
• Not all “oldboys” are playing on your side
• Unspoken things about contracts bribery and its detection
• Not all companies have employment pre-checks and proper
conflict of interests detection
• Do you really know your data flows?
Риск - возможность того, что произойдет определенное неблагоприятное событие, имеющее свою цену (размер ожидаемого ущерба) и вероятность наступления.
Традиционный подход к рискам подразумевает модель угроз с учётом экспертной оценки и/или с учётом уже реализовавшихся рисков (пентест, редтим, факты). С какой частотой пересматривается?
Аварийные лестницы, общие области с БЦ
Удобные проходы для сотрудников (курилка, столовка и тп)
Социнженерия – насколько осведомлены пользователи
Проблемы сегментации
Удаленный доступ (например простые пароли без 2fa)
Порталы/сервисы для сотрудников наружу
Опять проблемы сегментации, повторение ключей/паролей, связка с уже имеющимися системами
Как часто пересматриваете информацию, которая отдается третьей сторне
Вы не боитесь отдавать данные третьей стороне без юрлица/с непроверяемым юрлицом/просто по знакомству? А запускать скрипты?
Персонал сервиса и ваши внутрение проверки
Есть ли проверка третьей стороны, можете ли вы устроить аудит?
GDPR и IP-адреса
Обеспечение непрерывности бизнеса – ОНИВД, 242-П
Продиктовано стандартами
Иногда может грохнуться не только по причине уязвимостей (функц.баги)
Человеческие ошибки
Отдельной строкой – уход квалифицированных кадров, «незаменимых нет», передача менее квалифицированным без обучения, анекдот про три письма
Для тех, у кого есть внутренняя разработка
Best practices (SDLC/VPM)
Code quality
Product quality
Service quality
UX
…Profit!
На самом деле вообще не звено
Трудности взаимодействия с пользователями при старте VPM
Привычный софт (дырявый)
Для ИТ-компаний – разработка сервисов/PoC на рабочих станциях
Потерянные устройства, BYOD, удаленный доступ с домашних ПК
Риски, которые никто не хочет документировать.
Не стоит ставить DLP первым приоритетом, но будет много разочарований
Не все лояльные сотрудники остаются лояльными (например когда бизнес продают или локальные конфликты)
Не все дружбаны на вашей стороне
О чём не принято говорить – торговля инсайдом, прозрачность закупок
Конфликт интересов
То же, что с третьими сторонами – потоки данных