Сергей Гордейчик Positive Technologies Compliance management для реальной безопасности
Jul 12, 2015
Сергей ГордейчикPositive Technologies Compliance management для реальной безопасности
Немного истории
Телеком
Можете провести Можете провести Pentest?Pentest?
Легче легкого!Легче легкого!
Сначала мы подключились к сети…
C:\>tracert -d www.ru
Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops:
1 * * * Request timed out.3 10 ms 13 ms 5 ms 192.168.5.44 7 ms 6 ms 5 ms 192.168.4.6
Потом немного посканировали сеть
#sh runUsing 10994 out of 155640 bytes!version 12.3...!username test1 password 7 <removed>username antipov password 7 <removed>username gordey password 7 <removed>username anisimov password 7 <removed>username petkov password 7 <removed>username mitnik password 7 <removed>username jeremiah password 7 <removed>
Потом немного послушали трафик
Потом настроили VPN… Так удобней
В результате…
Контроль над 500 маршрутизаторами, включая:
• MPLS-магистраль
• Узлы доступа пользователей
• Хостинг-площадки
Получен доступ к внутренним ресурсам:
Система биллинга (20000 паролей пользователей)
Рабочие станции администраторов
Система оплаты труда и HR-база
Если бы это были плохие парни
Если бы это были плохие парни
Если бы это были плохие парни
Если бы это были плохие парни
В чем причина?
У «Телеком» плохо с управлением ИБ?
Полный набор всего нормативного обеспечения
Технические стандарты на все типы систем
НО!
• 30% требований нереализуемы, неприменимы или противоречивы
• Контроль за соблюдением требований отсутствует
• Цикл технического аудита по 10% систем занимает год (т.е. практические отсутствует)
В чем причина?
Технический Compliance
• Контроль уязвимостей Огромное количество уязвимостей (десятки тысяч) Охват различных систем (от клиентских приложений до
ERP)• Контроль конфигурации
Достаточно сложная задача• Различные форматы • «настройки по умолчанию»• «тихий» ввод новых возможностей
Система должна быть адаптируемой• Что русскому хорошо…
• Контроль изменений Контроль изменений в уязвимостях и конфигурациях
Подход к Compliance Management
Спасибо за внимание!Сергей Гордейчик