Embed Size (px)
Citation preview
Сергей ГордейчикPositive Technologies Compliance management для реальной безопасности
Немного истории
Телеком
Можете провести Можете провести Pentest?Pentest?
Легче легкого!Легче легкого!
Сначала мы подключились к сети…
C:\>tracert -d www.ru
Tracing route to www.ru [194.87.0.50] over a maximum of 30 hops:
1 * * * Request timed out.3 10 ms 13 ms 5 ms 192.168.5.44 7 ms 6 ms 5 ms 192.168.4.6
Потом немного посканировали сеть
#sh runUsing 10994 out of 155640 bytes!version 12.3...!username test1 password 7 <removed>username antipov password 7 <removed>username gordey password 7 <removed>username anisimov password 7 <removed>username petkov password 7 <removed>username mitnik password 7 <removed>username jeremiah password 7 <removed>
Потом немного послушали трафик
Потом настроили VPN… Так удобней
В результате…
Контроль над 500 маршрутизаторами, включая:
• MPLS-магистраль
• Узлы доступа пользователей
• Хостинг-площадки
Получен доступ к внутренним ресурсам:
Система биллинга (20000 паролей пользователей)
Рабочие станции администраторов
Система оплаты труда и HR-база
Если бы это были плохие парни
Если бы это были плохие парни
Если бы это были плохие парни
Если бы это были плохие парни
В чем причина?
У «Телеком» плохо с управлением ИБ?
Полный набор всего нормативного обеспечения
Технические стандарты на все типы систем
НО!
• 30% требований нереализуемы, неприменимы или противоречивы
• Контроль за соблюдением требований отсутствует
• Цикл технического аудита по 10% систем занимает год (т.е. практические отсутствует)
В чем причина?
Технический Compliance
• Контроль уязвимостей Огромное количество уязвимостей (десятки тысяч) Охват различных систем (от клиентских приложений до
ERP)• Контроль конфигурации
Достаточно сложная задача• Различные форматы • «настройки по умолчанию»• «тихий» ввод новых возможностей
Система должна быть адаптируемой• Что русскому хорошо…
• Контроль изменений Контроль изменений в уязвимостях и конфигурациях
Подход к Compliance Management
Спасибо за внимание!Сергей Гордейчик
