SlideShare a Scribd company logo

Security Metrics for PCI Compliance

Download as PPT, PDF
Q
qqlan

Документ обсуждает методы измерения безопасности и соответствия стандартам PCI DSS, включая аудиты, тестирования и сканирования. Особое внимание уделяется проблемам, связанным с обновлениями программного обеспечения, и трудозатратам на соблюдение стандартов. Также представлены результаты анализа уязвимостей веб-приложений и рекомендации по улучшению безопасности.

TechnologyBusiness
1 of 25
Downloaded 47 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
Измеряя защищенность Метрики безопасности для PCI DSS Сергей Гордейчик Security Lab by Positive Technologies
Что такое PCI DSS? Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
Черно-белый подход Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат Не соответствует! Соответствует! Реальность гораздо сложнее…
Пример: Обновление Oracle Аудитор: У вас проблемы с Oracle Компания: Согласование с разработчиками Ожидание одобрения Тестирование Развертывание
Пример: Обновление Oracle . Что делать?!! Ускорить процесс? Ставить патчи на свой страх и риск? Ограничить доступ на МСЭ? Перенести приложение на терминал? Внедрить специализированную IPS ?
Что такое хорошо, что такое плохо? Как измерить текущий уровень соответствия не в двоичном формате? Как разделить процесс поддержания соответствия на измеримые задачи? Как оценить планируемые и текущие расходы?
Метрики безопасности Однозначно измеряются, без «экспертного мнения» Доступны для расчета и анализа (предпочтительно автоматически) Имеют количественное выражение (не "высокий", "средний", "низкий") Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость" Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")
Соответствие стандарту По требованиям
Соответствие стандарту По узлам
Соответствие стандарту По узлам и по требованиям
Соответствие стандарту Сколько требований PCI мы нарушаем? Какие нарушения наиболее распространены? Что закрывать в первую очередь?
Хорошо, но мало! Позволяет наметить курс действий   Дает возможность отслеживать динамику Не позволяет получить понятную проектную оценку!
Метрики трудозатрат Позволяют оценить планируемые и текущие трудозатраты на достижение цели Трудозатраты на приведение в соответствие с требованиями стандартов Обоснование выбора компенсационных средств защиты Оценка затраченных ресурсов Разделение изменений по типам Установка обновлений Обновление версии Внесение изменения в конфигурацию Исправление кода …
Метрики трудозатрат
Процессные метрики Генерируются на основе Compliance и их производных Количество и процент рабочих станций с установленным антивирусным пакетом Количество и процент узлов, соответствующих требованиям по patch-management Количество и процент серверов СУБД соответствующих парольной политике Количество и процент сетевых устройств, соответствующих требованиям стандартов
Процессные метрики Пример с Oracle C ходимость по узлам: от 20 дней до бесконечности Максимальный уровень соответствия: 23% Быть может, вам не стоит вообще думать об установке обновлений Oracle ?
Сравнение с мировым уровнем А как у других? Достиг ли я приемлемого уровня? Может и не стоит ничего делать?
Исследование уязвимости Web- приложений, 2008 г. Объем исследования : В автоматическом режиме – около 10000 узлов Детальный анализ – около 1000 узлов Результаты исследования : Низкий уровень защищенности большинства Web- сайтов Автоматизация методов выявления и эксплуатации уязвимостей Web Application Security Consortium предварительные данные
Распределение Web- сайтов по уровню найденных уязвимостей (2008 г.)
Наиболее распространенные уязвимости
Для атаки на Web- сайт обычно используются… При анализе скомпрометированного Web- сайта обнаруживается “ букет ” уязвимостей, треть из которых могла быть использована нарушителем для атаки
А как оперативно устраняются эти проблемы? Whitehat Security
Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com [email_address]

More Related Content

PPTX
Профилактика дефектов
SQALab
 
PDF
очир абушинов
Alexei Lupan
 
ODP
Security zap and selenium
Anton Shapin
 
PPT
Security Metrix
guest430c97
 
PPTX
Sqa days2010 polazhenko_osstm
Alexei Lupan
 
PPTX
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
PPTX
Serious+performance+testing
Alexei Lupan
 
PPTX
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
SQALab
 
Профилактика дефектов
SQALab
 
очир абушинов
Alexei Lupan
 
Security zap and selenium
Anton Shapin
 
Security Metrix
guest430c97
 
Sqa days2010 polazhenko_osstm
Alexei Lupan
 
Статистика по результатам тестирований на проникновение и анализа защищенност...
Dmitry Evteev
 
Serious+performance+testing
Alexei Lupan
 
Как мы добавляли UX-исследования в мобильные приложения Aviasales и что из эт...
SQALab
 

What's hot (19)

PPTX
Sqadays 2010 burmistrov_fomin_20101120(2)
Alexei Lupan
 
PPT
[Sqa days]risk driven testing
Alexei Lupan
 
PPTX
Использование комбинаторного тестирования для мобильных приложений
SQALab
 
PPT
Ломаем (и строим) вместе
Dmitry Evteev
 
PPT
Оценка защищенности Web-приложений
SQALab
 
PPT
Sergey Gordeychik SQADays 2008
guest5b66888
 
PPTX
Тестирование доступности ПО для людей с ограниченными возможностями
SQALab
 
PPT
Pentest requirements
Glib Pakharenko
 
PDF
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
SQALab
 
PPT
Советы для успешной автоматизации тестирования веб-приложений
Mairbek Khadikov
 
PPTX
Risk-based testing management. От теории к современной практике
SQALab
 
PDF
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest
 
PPTX
Тестирование на проникновение
Учебный центр "Эшелон"
 
PPTX
Barabanov_Markov it-std
Alexander Barabanov
 
PPTX
Penetration testing
Training center "Echelon"
 
PPTX
SQA Days-13 @ Piter v3.1 web
Oleg Tatarchuk
 
PDF
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
UISGCON
 
PDF
Phd 2016_SSDL_GOST
Alexander Barabanov
 
PPT
Ретроспектива в тестировании
QA Dnepropetrovsk Community (Ukraine)
 
Sqadays 2010 burmistrov_fomin_20101120(2)
Alexei Lupan
 
[Sqa days]risk driven testing
Alexei Lupan
 
Использование комбинаторного тестирования для мобильных приложений
SQALab
 
Ломаем (и строим) вместе
Dmitry Evteev
 
Оценка защищенности Web-приложений
SQALab
 
Sergey Gordeychik SQADays 2008
guest5b66888
 
Тестирование доступности ПО для людей с ограниченными возможностями
SQALab
 
Pentest requirements
Glib Pakharenko
 
Мастер Тест План / Тестовая Стратегия: Что это? Зачем? Как его создать?-От А ...
SQALab
 
Советы для успешной автоматизации тестирования веб-приложений
Mairbek Khadikov
 
Risk-based testing management. От теории к современной практике
SQALab
 
CodeFest 2010. Уразов А. — Quality-Oriented Programming (Программирование, ор...
CodeFest
 
Тестирование на проникновение
Учебный центр "Эшелон"
 
Barabanov_Markov it-std
Alexander Barabanov
 
Penetration testing
Training center "Echelon"
 
SQA Days-13 @ Piter v3.1 web
Oleg Tatarchuk
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
UISGCON
 
Phd 2016_SSDL_GOST
Alexander Barabanov
 
Ретроспектива в тестировании
QA Dnepropetrovsk Community (Ukraine)
 
Ad

Viewers also liked (9)

PPTX
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Deiteriy Co. Ltd.
 
PPT
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
PDF
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
PPT
Аудит СУИБ
Alexander Dorofeev
 
PPT
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
 
PDF
ISO 27001 (v2013) Checklist
Ivan Piskunov
 
PDF
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Модель зрелости процесса (мониторинг и оценка ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Управление соответствием PCI DSS - Секция 3 - Область применимости PCI DSS
Deiteriy Co. Ltd.
 
Iso 27001 01_dmytriyev_kiev_2010_july
Glib Pakharenko
 
Политика обнаружения и реагирования на инциденты информационной безопасности
Evgeniy Shauro
 
Аудит СУИБ
Alexander Dorofeev
 
Alexander Dmitriev - Практика построения ключевых процессов менеджмента инфор...
UISGCON
 
ISO 27001 (v2013) Checklist
Ivan Piskunov
 
пр Управление инцидентами ИБ (Dozor) v.2.1
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Комплект документов по ISO 27001-2013
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Модель зрелости процесса (мониторинг и оценка ИБ)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Ad

Similar to Security Metrics for PCI Compliance (20)

PPT
Security Metrix
qqlan
 
PPTX
пр зачем измерять информационную безопасность (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PPTX
Зачем измерять информационную безопасность
InfoWatch
 
PDF
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
PDF
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Vsevolod Shabad
 
PDF
3. 10 shagov k pci compliance
Informzaschita
 
PDF
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
PPTX
Secure development
Ihor Uzhvenko
 
PDF
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
PPTX
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
PDF
Текущее состояние и тенденции развития НПА по ИБ
Cisco Russia
 
PPTX
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
 
PDF
Основные этапы процесса достижения соответствия PCI DSS
Digital Security
 
PDF
На пути к PCI соответствию
Digital Security
 
PPTX
Monitoring driven эксплуатация / Николай Сивко (HeadHunter)
Ontico
 
PPTX
Monitoring-driven эксплуатация (rootconf2015)
Nikolay Sivko
 
PDF
пр лучшие практики иб (Nist, sans, cert, isaca...)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
PDF
Мониторинг в сфере ИБ: апробированные методы обнаружения инцидентов
Cisco Russia
 
PDF
Security Effectivness and Efficiency
Aleksey Lukatskiy
 
PDF
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Security Metrix
qqlan
 
пр зачем измерять информационную безопасность (прозоров)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Зачем измерять информационную безопасность
InfoWatch
 
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
Как оценить пользу от ИБ и увязать с нею инвестиции в безопасность
Vsevolod Shabad
 
3. 10 shagov k pci compliance
Informzaschita
 
Информационная безопасность банка 3.0: Повышение эффективности в условиях эко...
Dmytro Petrashchuk
 
Secure development
Ihor Uzhvenko
 
Измерение эффективности ИБ промышленных систем
Aleksey Lukatskiy
 
Принципы защиты информации и метрики ИБ
Александр Лысяк
 
Текущее состояние и тенденции развития НПА по ИБ
Cisco Russia
 
Методические рекомендации по техническому анализу. О. Макарова.
Expolink
 
Основные этапы процесса достижения соответствия PCI DSS
Digital Security
 
На пути к PCI соответствию
Digital Security
 
Monitoring driven эксплуатация / Николай Сивко (HeadHunter)
Ontico
 
Monitoring-driven эксплуатация (rootconf2015)
Nikolay Sivko
 
пр лучшие практики иб (Nist, sans, cert, isaca...)
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Мониторинг в сфере ИБ: апробированные методы обнаружения инцидентов
Cisco Russia
 
Security Effectivness and Efficiency
Aleksey Lukatskiy
 
пр Про интегральные метрики ИБ
Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 

More from qqlan (20)

PDF
D1 t1 t. yunusov k. nesterov - bootkit via sms
qqlan
 
PDF
Kaspersky SAS SCADA in the Cloud
qqlan
 
PPTX
Миссиоцентрический подход к кибербезопасности АСУ ТП
qqlan
 
PDF
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
qqlan
 
PDF
Best of Positive Research 2013
qqlan
 
PDF
Web-style Wireless IDS attacks, Sergey Gordeychik
qqlan
 
PDF
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
qqlan
 
PPTX
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
qqlan
 
PDF
Pt infosec - 2014 - импортозамещение
qqlan
 
PPTX
SCADA StrangeLove Kaspersky SAS 2014 - LHC
qqlan
 
PDF
Firebird Interbase Database engine hacks or rtfm
qqlan
 
PDF
SCADA StrangeLove 2: We already know
qqlan
 
PDF
Internet connected ICS/SCADA/PLC
qqlan
 
PDF
SCADA deep inside:protocols and software architecture
qqlan
 
PDF
Techniques of attacking ICS systems
qqlan
 
PDF
Positive Technologies Application Inspector
qqlan
 
PPTX
Database honeypot by design
qqlan
 
PDF
Positive Technologies Application Inspector
qqlan
 
PPTX
Black Hat: XML Out-Of-Band Data Retrieval
qqlan
 
PDF
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
qqlan
 
D1 t1 t. yunusov k. nesterov - bootkit via sms
qqlan
 
Kaspersky SAS SCADA in the Cloud
qqlan
 
Миссиоцентрический подход к кибербезопасности АСУ ТП
qqlan
 
ABUSE THEIR CLOUDS. ОБЛАЧНЫЕ ВЫЧИСЛЕНИЯ ГЛАЗАМИ ПЕНТЕСТЕРА, ЮРИЙ ГОЛЬЦЕВ, СЕ...
qqlan
 
Best of Positive Research 2013
qqlan
 
Web-style Wireless IDS attacks, Sergey Gordeychik
qqlan
 
G. Gritsai, A. Timorin, Y. Goltsev, R. Ilin, S. Gordeychik, and A. Karpin, “S...
qqlan
 
SCADA StrangeLove: Too Smart Grid in da Cloud [31c3]
qqlan
 
Pt infosec - 2014 - импортозамещение
qqlan
 
SCADA StrangeLove Kaspersky SAS 2014 - LHC
qqlan
 
Firebird Interbase Database engine hacks or rtfm
qqlan
 
SCADA StrangeLove 2: We already know
qqlan
 
Internet connected ICS/SCADA/PLC
qqlan
 
SCADA deep inside:protocols and software architecture
qqlan
 
Techniques of attacking ICS systems
qqlan
 
Positive Technologies Application Inspector
qqlan
 
Database honeypot by design
qqlan
 
Positive Technologies Application Inspector
qqlan
 
Black Hat: XML Out-Of-Band Data Retrieval
qqlan
 
ICS/SCADA/PLC Google/Shodanhq Cheat Sheet v2
qqlan
 

Security Metrics for PCI Compliance

  • 1. Измеряя защищенность Метрики безопасности для PCI DSS Сергей Гордейчик Security Lab by Positive Technologies
  • 2. Что такое PCI DSS? Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
  • 3. Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
  • 4. Что такое PCI DSS? Построение процесса поддержания ИС в защищенном ( и compliant) состоянии ! Процесс мониторинга и аудита ( ISO 27001 A.15.2… ) Аудиты QSA? Сканирования ASV ? Тесты на проникновение? Оценка Web -приложений?
  • 5. Черно-белый подход Техническая направленность PCI провоцирует аудиторов на черно-белый (красно-зеленый) результат Не соответствует! Соответствует! Реальность гораздо сложнее…
  • 6. Пример: Обновление Oracle Аудитор: У вас проблемы с Oracle Компания: Согласование с разработчиками Ожидание одобрения Тестирование Развертывание
  • 7. Пример: Обновление Oracle . Что делать?!! Ускорить процесс? Ставить патчи на свой страх и риск? Ограничить доступ на МСЭ? Перенести приложение на терминал? Внедрить специализированную IPS ?
  • 8. Что такое хорошо, что такое плохо? Как измерить текущий уровень соответствия не в двоичном формате? Как разделить процесс поддержания соответствия на измеримые задачи? Как оценить планируемые и текущие расходы?
  • 9. Метрики безопасности Однозначно измеряются, без «экспертного мнения» Доступны для расчета и анализа (предпочтительно автоматически) Имеют количественное выражение (не "высокий", "средний", "низкий") Измеряются в пригодных для анализа величинах, таких как "ошибки", "часы", "стоимость" Понятны и указывают на проблемную область и возможные решения (тест «Ну, и?")
  • 12. Соответствие стандарту По узлам и по требованиям
  • 13. Соответствие стандарту Сколько требований PCI мы нарушаем? Какие нарушения наиболее распространены? Что закрывать в первую очередь?
  • 14. Хорошо, но мало! Позволяет наметить курс действий   Дает возможность отслеживать динамику Не позволяет получить понятную проектную оценку!
  • 15. Метрики трудозатрат Позволяют оценить планируемые и текущие трудозатраты на достижение цели Трудозатраты на приведение в соответствие с требованиями стандартов Обоснование выбора компенсационных средств защиты Оценка затраченных ресурсов Разделение изменений по типам Установка обновлений Обновление версии Внесение изменения в конфигурацию Исправление кода …
  • 17. Процессные метрики Генерируются на основе Compliance и их производных Количество и процент рабочих станций с установленным антивирусным пакетом Количество и процент узлов, соответствующих требованиям по patch-management Количество и процент серверов СУБД соответствующих парольной политике Количество и процент сетевых устройств, соответствующих требованиям стандартов
  • 18. Процессные метрики Пример с Oracle C ходимость по узлам: от 20 дней до бесконечности Максимальный уровень соответствия: 23% Быть может, вам не стоит вообще думать об установке обновлений Oracle ?
  • 19. Сравнение с мировым уровнем А как у других? Достиг ли я приемлемого уровня? Может и не стоит ничего делать?
  • 20. Исследование уязвимости Web- приложений, 2008 г. Объем исследования : В автоматическом режиме – около 10000 узлов Детальный анализ – около 1000 узлов Результаты исследования : Низкий уровень защищенности большинства Web- сайтов Автоматизация методов выявления и эксплуатации уязвимостей Web Application Security Consortium предварительные данные
  • 21. Распределение Web- сайтов по уровню найденных уязвимостей (2008 г.)
  • 23. Для атаки на Web- сайт обычно используются… При анализе скомпрометированного Web- сайта обнаруживается “ букет ” уязвимостей, треть из которых могла быть использована нарушителем для атаки
  • 24. А как оперативно устраняются эти проблемы? Whitehat Security
  • 25. Спасибо за внимание! Сергей Гордейчик http://sgordey.blogspot.com [email_address]