А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

Рейтинг:

• 80
• 1
• 2
• 3
• 4
• 5

Название:

Безопасность карточного бизнеса : бизнес-энциклопедия

Автор:

А. Алексанов

Издательство:

Московская финансово-промышленная академия; ЦИПСиР

Жанр:

О бизнесе популярно

Год:

2012

ISBN:

978-5-4257-0018-6

Скачать:

99Пожалуйста дождитесь своей очереди, идёт подготовка вашей ссылки для скачивания...

Скачивание начинается... Если скачивание не началось автоматически, пожалуйста нажмите на эту ссылку.

Вы автор?
Жалоба

Все книги на сайте размещаются его пользователями. Приносим свои глубочайшие извинения, если Ваша книга была опубликована без Вашего на то согласия.
Напишите нам, и мы в срочном порядке примем меры.

Как получить книгу?

Оплатили, но не знаете что делать дальше? Инструкция.

Описание книги "Безопасность карточного бизнеса : бизнес-энциклопедия"

Описание и краткое содержание "Безопасность карточного бизнеса : бизнес-энциклопедия" читать бесплатно онлайн.

Подытоживая, основные принципы можно описать следующим образом:

• сегментация — все компьютеры сотрудников процессинга в отдельной подсети (еще лучше, если за отдельным файрволом);

• GPO — отдельные, более жесткие настройки ПК, контролируемые через групповые политики, особенно это касается политики паролей к учетным записям;

• антивирусное программное обеспечение;

• все установленное ПО, как на компьютере пользователя, так и на сервере, должно нести функциональную нагрузку, а если что-то не востребовано для выполнения конкретных служебных задач — смело удаляем;

• IP-фильтрация всего трафика. Это, конечно, не очень серьезная защита, но некоторую сложность для потенциальных злоумышленников все-таки составит;

• своевременные обновления. Думаю, не лишним будет сказать, что если до официального выхода патча какой-либо уязвимости о ней могут знать единицы, то после выхода патча — все знают, а значит, воспользоваться брешью в безопасности ОС или ПО могут попробовать многие;

• и последнее по счету, но не по важности — регулярное испытание на проникновение (пен-тест) и аудит как хостов внутри сети, так и периметра.

О последнем пункте расскажем чуть подробнее.

Пен-тест — это «испытание на проникновение», другими словами, когда мы ничего не знаем в том хосте, который начинаем сканировать, и пытаемся получить информацию о версии операционной системы, открытых портах, службах на этих портах и т. д., получив такую информацию, мы получаем в свои руки огромное количество потенциальных лазеек, использовав которые можем получить привилегированные права к системе. Дабы обезопасить себя от реальных проникновений, лучше определить уязвимые места самому, чем это сделает кто-то за нас.

Под аудитом же мы понимаем как сбор статистической информации о том, что есть в нашей сети, так и мониторинг того, что происходит сейчас или произошло в прошлом, другими словами, сбор и анализ логов с различных источников, их нормализация, агрегация и в итоге корреляция по заданным правилам. За пен-тест и аудит в части сбора статистики отвечают различные сканеры безопасности, хороших из них, на взгляд авторов, не больше пяти, а полнофункциональных вообще один.

За сбор логов и их дальнейшую обработку отвечает другой класс систем, так называемые SIEM-решения (Security Information and Event Management).

В общем виде перед системой контроля защищенности ставятся следующие задачи:

• создание внутренних процессов по непрерывному контролю ИТ-инфраструктуры и информационной безопасности;

• снижение экономического ущерба из-за недоступности ресурсов и потери конфиденциальной информации;

• сокращение издержек на контроль изменений и управление уязвимостями;

• внедрение механизмов оценки эффективности ключевых ИТ-про-цессов и ИБ (информационной безопасности).

Решение поставленных задач соответствует требованиям следующих международных стандартов в области информационной безопасности:

• ISO 27001 в части мониторинга информационных ресурсов, контроля средств защиты, операционных систем и программного обеспечения, выполнения требований политик и стандартов безопасности;

• PCI DSS в части мониторинга настроек средств защиты, контроля выполнения требований политик и стандартов безопасности, периодического тестирования средств защиты и выявления уязвимостей.

Техническая реализация контроля защищенности сводится ко многим факторам, определяющим само понятие «защищенность». Так, например, наиболее распространенными путями взлома на сегодняшний день являются социальная инженерия[87] в сочетании с уязвимостями рабочих мест пользователей, использование уязвимостей в Web-приложениях, слабость парольной защиты, а также уязвимости и ошибки конфигурации сетевых устройств, средств защиты периметра и информационных ресурсов в демилитаризованных зонах.

Приведем несколько примеров:

• Относительно рабочих мест сотрудников: получение сотрудниками по почте или иным способом зараженных (!) файлов с именами типа «Список увольняемых 2010.doc» или «Премиальные выплаты. pdf», а также использование уязвимостей в стопроцентно «дырявом» ПО, к которым без преувеличения можно отнести Web-браузеры, почтовые программы, офисные приложения Microsoft, средства чтения документов в формате PDF, многие IM-клиенты[88], в том числе популярный ICQ, многие видеокодеки, JAVA-приложения и многие другие, в том числе и сами операционные системы. Крупные вендоры достаточно быстро реагируют на найденные бреши в безопасности своих продуктов, но от момента выхода патчей до момента их установки на компьютеры пользователей проходит продолжительное время.

• Относительно веб-приложений: по данным Web Applkation Security Consortium[89], более 10 % сайтов может быть взломано полностью автоматически, а по данным Positive Tehnologies, порядка трети вебсайтов крупных российских компаний имеет уязвимости высокой степени критичности.

• Относительно парольной политики приведем несколько цифр:

• больше половины паролей пользователей являются только цифровыми;

• около 20 % составляют только символы латинского алфавита в нижнем регистре;

• примерно 15 % — символы в нижнем регистре и цифры;

• при этом самыми популярными являются пароли от 1 до 7 или 8, пустая строка и легко набираемые комбинации символов на клавиатуре (например, qwerty123).

• Относительно сетевых устройств и защиты периметра есть много распространенный недочетов:

• маршрутизаторы имеют настройки «по умолчанию»;

• файрволы имеют правила с настройкой «any» или вообще «any-to-any»[90]. Неконтролируемые настройки на production-серверах[91] в ситуации, когда вроде бы и существуют документы, регламентирующие настройки безопасности и политики, но отсутствует техническая возможность их отслеживания.

На практике при наличии необходимого и достаточного, казалось бы, ПО от известных вендоров для защиты и нормативных документов вполне реально достичь следующих «технических результатов»:

• получить доступ к рабочей станции старшего инженера;

• получить доступ к магистральным маршрутизаторам;

• получить сетевой доступ к технологической сети;

• подобрать пароли к ряду внутренних маршрутизаторов;

• получить доступ 15-го уровня к периметровым маршрутизаторам Cisco (аналог root-прав для UNIX и прав администратора в Windows).

Это то, что относится к системам контроля защищенности, но помимо этого необходимо еще и осуществлять мониторинг того, что происходит в реальном времени. Задачи системы класса SIEM могут быть сформулированы следующим образом:

• осуществление централизованного сбора, обработки и анализа событий из множества распределенных гетерогенных источников событий;

• корреляция полученных событий информационной безопасности по заданным правилам;

• постоянный контроль соответствия сетевых устройств заданной политике безопасности;

• обнаружение в режиме реального времени атак, нарушений политик безопасности и автоматизированное формирование отчетов и рекомендаций по их устранению;

• автоматическое создание и рассылка отчетов о состоянии корпоративной сети обслуживающему персоналу, администраторам безопасности и руководству компании;

• учет имеющихся информационных активов, анализ рисков, связанных с недоступностью либо потерей целостности этих активов, а также автоматическое принятие решений, основанных на политике безопасности, для защиты информационных активов в случае возникновения угроз;

• предоставление инструментария для проведения расследований инцидентов ИБ, формирования отчетности в ходе решения конкретных задач, отслеживания статуса их решения;

• хранение в базе данных поступивших событий в течение не менее установленного политикой безопасности срока, возможность быстрого поиска по событиям.

Система данного класса предназначена для обеспечения мониторинга и корреляции событий информационной безопасности, мониторинга состояния безопасности корпоративной сети, консолидации рабочего места оператора безопасности, что позволяет снизить общую стоимость владения системой защиты. В первую очередь решением задачи является сбор информации от других подсистем (средств защиты) — систем анализа трафика и обнаружения и предотвращения атак, подсистем межсетевого экранирования, маршрутизаторов, серверного оборудования и операционных систем защищаемых серверов и рабочих станций, антивирусных средств защиты и др., представление ее в унифицированном формате, удобном для восприятия администратором безопасности. Помимо простого сбора, нормализации и визуализации, подсистема позволяет производить интеллектуальный анализ, корреляцию разрозненных событий в соответствии с логикой, заданной внутренними правилами, а также в соответствии с правилами, которые задает оператор или администратор системы безопасности для выявления специализированных действий (злоумышленных действий), которые могут проводиться как легальными пользователями, так и злоумышленниками.