SlideShare ist ein Scribd-Unternehmen logo

Методы выполнения требования 6.6 PCI DSS – практический выбор

Denis Bezkorovayny
Denis Bezkorovayny

Презентация с конференции PaymentSecurity 2016

Technologie
1 von 20
Downloaden Sie, um offline zu lesen
Методы выполнения требования 6.6 PCI DSS – практический выбор Денис Безкоровайный CISSP, CISA, CCSK ProtoSecurity denis@protosecurity.ru https://protosecurity.ru +7 (499) 647-5967, доб.101 +7 (916) 999-3964
О чем пойдет речь • Обзор требования 6.6 • Варианты реализации • Реализовывать самому, или обращаться к внешним подрядчикам? • Сравнение вариантов • Считаем TCO https://protosecurity.ru 2
Требование 6.6 PCI DSS Постоянно управлять новыми угрозами и уязвимостями общедоступных веб- приложений и обеспечить этим приложениям защиту от известных атак одним из следующих методов: • Ручной или автоматизированный анализ защищенности • Автоматизированное техническое средство (например, межсетевой экран уровня веб- приложений) https://protosecurity.ru 3
Анализ защищенности ручной или автоматизированный https://protosecurity.ru 4 Достоинства Недостатки Автоматизированный • Просто реализовать «для комплаенса» • Не все типы уязв-тей выявляются • Риск запуска с параметрами по умолчанию и на этом все • Трудоемкий отсев ложных срабатываний Ручной • Больше потенциально выявляемых уязвимостей • Трудоемко и долго • Сложно масштабируемо
Кто выполняет анализ защищенности? https://protosecurity.ru 5 Достоинства Недостатки Внешний подрядчик • Специалисты узкой области «в аренду» • Масштабируемо для множества приложений • Нет аффилированности с разработкой • Высокая стоимость работ на больших объемах Собственными силами • При больших объемах проще контролировать • Дорогостоящий персонал узкой специализации (нанять/взрастить)
Варианты реализации WAF Надстройка над существующим приложением/сервером Отдельное аппаратное/виртуальное устройство Облачный сервис https://protosecurity.ru 6
Надстройка над существующим приложением/сервером Плюсы Легко подключить с базовыми правилами Бесплатно или очень дешево Минусы Ограниченный функционал (наборы правил) Часто использует мощности защищаемого приложения Трудоемкость написания новых правил Сложность внедрения и эксплуатации *** Стоимость $ https://protosecurity.ru 7
WAF как отдельное аппаратное/виртуальное устройство Плюсы Более обширный функционал Отдельное устройство (мощности) Минусы Сложно масштабировать и использовать в динамических веб-инфраструктурах Стоимость Сложность внедрения и эксплуатации **** Стоимость $$$$ https://protosecurity.ru 8
WAF как облачный сервис Плюсы Просто подключается, подходит для всех типов размещения веб-приложений Все плюсы облачного сервиса Минусы Все минусы облачного сервиса Ограниченный функционал (часто нет возможности расширения правил) Зависимость от внешнего сервиса (требования к SLA поставщика) Сложность внедрения и эксплуатации ** Стоимость $$ https://protosecurity.ru 9
«Облачный WAF» Ваши серверы Хакеры Боты DDoS Спаммеры Легитимные пользователи Web Application Firewall WAF попал в scope! https://protosecurity.ru 10
Размещение и управление Web Application Firewall Заказчик Подрядчик WAF https://protosecurity.ru 11
https://protosecurity.ru 12
Полная стоимость владения 13 • Стоимость ПО • Стоимость железа • Стоимость поддержки • Ресурсы датацентра • Внедрение • Обучение сотрудников • Персонал для сопровождения • Обслуживание «железа» • Настройка ПО • Мониторинг и реагирование • Амортизация и обновление «железа» https://protosecurity.ru
Такие разные исходные данные • Инструменты ИТ/ИБ • Балансировщики, серверы доступа к приложениям • Команда сотрудников • Есть ли ресурсы на самостоятельный анализ или сопровождение • Бюджет • Ресурсы датацентра • Инфраструктура веб-приложения • Расположено внутри или снаружи, резервные площадки • Количество приложений и их сложность https://protosecurity.ru 14
Сравнение TCO (пример) https://protosecurity.ru 15
Сравнение TCO (пример) https://protosecurity.ru 16
Compliance и защищенность • Checkbox compliance: • ИЛИ аудит ИЛИ Web Application Firewall • Повышение защищенности • аудит И Web Application Firewall • Каждый вариант имеет свои плюсы и минусы • Комбинация ручного + автоматизированного анализ • Аудит – для compliance 1 раз в год или при изменениях • Необходимо, но не достаточно https://protosecurity.ru 17
Заключение • Compliance – повод и руководство к действию повысить реальную защищенность • Для публичных веб-приложений разумно использовать оба рекомендованных метода в различных комбинациях • Пример критериев выбора методов реализации – TCO https://protosecurity.ru 18
https://protosecurity.ru 19
Задайте вопрос или поделитесь своей историей info@protosecurity.ru https://protosecurity.ru/

Empfohlen

Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
revisium
 
SibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийSibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложений
Denis Kolegov
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
revisium
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
SEO Conference
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
qqlan
 
SibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийSibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложений
Denis Kolegov
 

Empfohlen

Опыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компанииОпыт организации тестирования безопасности Web приложений в компании
Опыт организации тестирования безопасности Web приложений в компании
SQALab
 
Безопасность Joomla: теория и практика
Безопасность Joomla: теория и практикаБезопасность Joomla: теория и практика
Безопасность Joomla: теория и практика
revisium
 
Как обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтовКак обеспечить безопасность клиентских сайтов
Как обеспечить безопасность клиентских сайтов
revisium
 
SibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложенийSibeCrypt 2016. Практические методы защиты веб-приложений
SibeCrypt 2016. Практические методы защиты веб-приложений
Denis Kolegov
 
Разумная безопасность сайта
Разумная безопасность сайтаРазумная безопасность сайта
Разумная безопасность сайта
revisium
 
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
Земсков - Как обеспечить безопасность клиентских сайтов в процессе оказания у...
SEO Conference
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
qqlan
 
SibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложенийSibirCTF 2016. Практические методы защиты веб-приложений
SibirCTF 2016. Практические методы защиты веб-приложений
Denis Kolegov
 
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
Denis Bezkorovayny
 
Безопасный сайт
Безопасный сайтБезопасный сайт
Безопасный сайт
Andreas Schwarzkopf
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
beched
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and selenium
Anton Shapin
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
beched
 
организация комплексной системы обеспечения безопасного и бесперебойного функ...
организация комплексной системы обеспечения безопасного и бесперебойного функ...организация комплексной системы обеспечения безопасного и бесперебойного функ...
организация комплексной системы обеспечения безопасного и бесперебойного функ...
UralCIO
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Dmitry Tikhovich
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
Uladzislau Murashka
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
SQALab
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
Positive Hack Days
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
Glib Pakharenko
 
Трудности перевода: перенос сервисов в облако
Трудности перевода: перенос сервисов в облакоТрудности перевода: перенос сервисов в облако
Трудности перевода: перенос сервисов в облако
Positive Hack Days
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Badoo Development
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Cisco Russia
 
Present Inormation Virtual Security
Present Inormation Virtual SecurityPresent Inormation Virtual Security
Present Inormation Virtual Security
Сергей Сажин
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
Alexei Lupan
 
WAF наше все?!
WAF наше все?!WAF наше все?!
WAF наше все?!
Dmitry Evteev
 
Cisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решенияCisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Russia
 
Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)
Ontico
 

Weitere ähnliche Inhalte

Was ist angesagt?

Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
Positive Hack Days
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and selenium
Anton Shapin
 
организация комплексной системы обеспечения безопасного и бесперебойного функ...
организация комплексной системы обеспечения безопасного и бесперебойного функ...организация комплексной системы обеспечения безопасного и бесперебойного функ...
организация комплексной системы обеспечения безопасного и бесперебойного функ...
UralCIO
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Dmitry Tikhovich
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
Media Gorod
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
it-people
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
Alexei Lupan
 

Was ist angesagt? (19)

ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложенийProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
ProtoSecurity - сервисы для безопасности и отказоустойчивости веб-приложений
 
Безопасный сайт
Безопасный сайтБезопасный сайт
Безопасный сайт
 
Application security? Firewall it!
Application security? Firewall it!Application security? Firewall it!
Application security? Firewall it!
 
Воркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложенийВоркшоп по анализ защищённости веб-приложений
Воркшоп по анализ защищённости веб-приложений
 
Security zap and selenium
Security zap and seleniumSecurity zap and selenium
Security zap and selenium
 
[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation[DagCTF 2015] Hacking motivation
[DagCTF 2015] Hacking motivation
 
организация комплексной системы обеспечения безопасного и бесперебойного функ...
организация комплексной системы обеспечения безопасного и бесперебойного функ...организация комплексной системы обеспечения безопасного и бесперебойного функ...
организация комплексной системы обеспечения безопасного и бесперебойного функ...
 
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
Экранирование локальных пользователей при выходе в публичные сети: эталонная ...
 
Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2Umurashka codeib-presentation-v2
Umurashka codeib-presentation-v2
 
Fuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасностиFuzzing - автоматическое тестирование безопасности
Fuzzing - автоматическое тестирование безопасности
 
Как выбрать Web Application Firewall
Как выбрать Web Application FirewallКак выбрать Web Application Firewall
Как выбрать Web Application Firewall
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
 
Трудности перевода: перенос сервисов в облако
Трудности перевода: перенос сервисов в облакоТрудности перевода: перенос сервисов в облако
Трудности перевода: перенос сервисов в облако
 
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
Доклад Станислава Еремина на конференции LoveQA. "Системы обнаружения уязвимо...
 
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
Решения ImpervaWeb Application Firewall на базе платформы Cisco Nexus – перед...
 
Present Inormation Virtual Security
Present Inormation Virtual SecurityPresent Inormation Virtual Security
Present Inormation Virtual Security
 
безопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиковбезопасность веб проектов сергей рыжиков
безопасность веб проектов сергей рыжиков
 
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
DUMP-2012 - Веб-разработка - "Что мы знаем о производительности и безопасност...
 
очир абушинов
очир абушиновочир абушинов
очир абушинов
 

Andere mochten auch

Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)
Ontico
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеРазвитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещение
ЭЛВИС-ПЛЮС
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
Vlad Styran
 

Andere mochten auch (7)

WAF наше все?!
WAF наше все?!WAF наше все?!
WAF наше все?!
 
Cisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решенияCisco Advanced Malware Protection для руководителей, принимающих решения
Cisco Advanced Malware Protection для руководителей, принимающих решения
 
Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)Web Application Firewalls / Иван Новиков (ONsec)
Web Application Firewalls / Иван Новиков (ONsec)
 
Imperva, держи марку!
Imperva, держи марку! Imperva, держи марку!
Imperva, держи марку!
 
Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?Защищённый периметр. Он есть или его нет?
Защищённый периметр. Он есть или его нет?
 
Развитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещениеРазвитие безопасных технологий в России в условиях курса на импортозамещение
Развитие безопасных технологий в России в условиях курса на импортозамещение
 
Berezha Security
Berezha SecurityBerezha Security
Berezha Security
 

Ähnlich wie Методы выполнения требования 6.6 PCI DSS – практический выбор

Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco Russia
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Yandex
 
Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура" Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура"
Fwdays
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
MrCoffee94
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
Dmitry Evteev
 
Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...
Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...
Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...
IT Event
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
Expolink
 
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Expolink
 

Ähnlich wie Методы выполнения требования 6.6 PCI DSS – практический выбор (20)

Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”Cisco ScanSafe. Защита web-доступа как услуга “из облака”
Cisco ScanSafe. Защита web-доступа как услуга “из облака”
 
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration AnalyticsСистема сетевой аналитики для ЦОД Cisco Tetration Analytics
Система сетевой аналитики для ЦОД Cisco Tetration Analytics
 
Услуги КРОК в области резервного копирования
Услуги КРОК в области резервного копированияУслуги КРОК в области резервного копирования
Услуги КРОК в области резервного копирования
 
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеровКак защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров
 
11 лекция, петр волков
11 лекция, петр волков11 лекция, петр волков
11 лекция, петр волков
 
Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура" Андрей Завадский "Бессерверная архитектура"
Андрей Завадский "Бессерверная архитектура"
 
Cisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угрозCisco Umbrella как облачная платформа защиты от угроз
Cisco Umbrella как облачная платформа защиты от угроз
 
The impact of the cloud on development by Alexander Klimov, Igor Sukharev
The impact of the cloud on development by Alexander Klimov, Igor SukharevThe impact of the cloud on development by Alexander Klimov, Igor Sukharev
The impact of the cloud on development by Alexander Klimov, Igor Sukharev
 
The impact of the cloud on development by Alexander Klimov, Igor Sukharev
The impact of the cloud on development by Alexander Klimov, Igor SukharevThe impact of the cloud on development by Alexander Klimov, Igor Sukharev
The impact of the cloud on development by Alexander Klimov, Igor Sukharev
 
Modern apps Windows Azure
Modern apps Windows AzureModern apps Windows Azure
Modern apps Windows Azure
 
Оптимизация производительности среды VDI
Оптимизация производительности среды VDIОптимизация производительности среды VDI
Оптимизация производительности среды VDI
 
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспектыОблака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
Облака в Украине и ЕС как инструменты защиты ИТ: практические аспекты
 
Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)Safety and Security of Web-applications (Document)
Safety and Security of Web-applications (Document)
 
Практика проведения DDoS-тестирований
Практика проведения DDoS-тестированийПрактика проведения DDoS-тестирований
Практика проведения DDoS-тестирований
 
Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...
Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...
Александр Сычев "Статика и динамика. Как фреймворки помогут прокачать ваше пр...
 
рынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротестрынок иб вчера и сегодня рекомендации и практика микротест
рынок иб вчера и сегодня рекомендации и практика микротест
 
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
Oracle. Олег Файницкий. "Управление идентификационной информацией в облачных ...
 
IBM Proventia IPS
IBM Proventia IPSIBM Proventia IPS
IBM Proventia IPS
 
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
Что анонсировала Cisco на RSA Conference 2014 в области информационной безопа...
 
Vladimir Trandafilov - When you need your system of cross browser testing
Vladimir Trandafilov - When you need your system of cross browser testingVladimir Trandafilov - When you need your system of cross browser testing
Vladimir Trandafilov - When you need your system of cross browser testing
 

Mehr von Denis Bezkorovayny

Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Denis Bezkorovayny
 
стандарт №4 (135) 04.2014 неуязвимые xaas
стандарт №4 (135) 04.2014 неуязвимые xaasстандарт №4 (135) 04.2014 неуязвимые xaas
стандарт №4 (135) 04.2014 неуязвимые xaas
Denis Bezkorovayny
 
стандарт №1 (132) 01.2014 свои или чужие
стандарт №1 (132) 01.2014 свои или чужиестандарт №1 (132) 01.2014 свои или чужие
стандарт №1 (132) 01.2014 свои или чужие
Denis Bezkorovayny
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
Denis Bezkorovayny
 
RCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarRCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminar
Denis Bezkorovayny
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Denis Bezkorovayny
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Denis Bezkorovayny
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Denis Bezkorovayny
 
Что должен уметь облачный провайдер
Что должен уметь облачный провайдерЧто должен уметь облачный провайдер
Что должен уметь облачный провайдер
Denis Bezkorovayny
 
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходовШифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
Denis Bezkorovayny
 
Мобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеМобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной среде
Denis Bezkorovayny
 
Cloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPACloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPA
Denis Bezkorovayny
 
Как защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераКак защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдера
Denis Bezkorovayny
 
Комплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угрозКомплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угроз
Denis Bezkorovayny
 

Mehr von Denis Bezkorovayny (19)

Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
Предисловие. Готовь сани летом: сложные угрозы, APT и целевые атаки – реальн...
 
Системы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISAСистемы Breach Detection - вебинар BISA
Системы Breach Detection - вебинар BISA
 
стандарт №4 (135) 04.2014 неуязвимые xaas
стандарт №4 (135) 04.2014 неуязвимые xaasстандарт №4 (135) 04.2014 неуязвимые xaas
стандарт №4 (135) 04.2014 неуязвимые xaas
 
стандарт №1 (132) 01.2014 свои или чужие
стандарт №1 (132) 01.2014 свои или чужиестандарт №1 (132) 01.2014 свои или чужие
стандарт №1 (132) 01.2014 свои или чужие
 
Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013Целевые атаки. Infosecurity Russia 2013
Целевые атаки. Infosecurity Russia 2013
 
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...Trend Micro Deep Security - сертифицированное решение для защиты персональных...
Trend Micro Deep Security - сертифицированное решение для защиты персональных...
 
RCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminarRCCPA Cloud and mobility seminar
RCCPA Cloud and mobility seminar
 
ИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеровИБ-сертификация облачных провайдеров
ИБ-сертификация облачных провайдеров
 
Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...Информационная безопасность облака как конкурентное преимущество сервис-прова...
Информационная безопасность облака как конкурентное преимущество сервис-прова...
 
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
Построение эффективного взаимодействия с сервис-провайдерами для повышения ...
 
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConfБезопасность SaaS. Безкоровайный. RISSPA. CloudConf
Безопасность SaaS. Безкоровайный. RISSPA. CloudConf
 
Безопасность мобильных устройств
Безопасность мобильных устройствБезопасность мобильных устройств
Безопасность мобильных устройств
 
Что должен уметь облачный провайдер
Что должен уметь облачный провайдерЧто должен уметь облачный провайдер
Что должен уметь облачный провайдер
 
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходовШифрование данных в облачных инфраструктурах – обзор технологических подходов
Шифрование данных в облачных инфраструктурах – обзор технологических подходов
 
Мобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной средеМобильные угрозы и консьюмеризация в корпоративной среде
Мобильные угрозы и консьюмеризация в корпоративной среде
 
Cloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPACloud Services Russia 2012, RISSPA
Cloud Services Russia 2012, RISSPA
 
New Technologies and New Risks
New Technologies and New RisksNew Technologies and New Risks
New Technologies and New Risks
 
Как защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдераКак защитить данные от IaaS провайдера
Как защитить данные от IaaS провайдера
 
Комплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угрозКомплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угроз
 

Kürzlich hochgeladen

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
Ирония безопасности
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
Хроники кибер-безопасника
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Хроники кибер-безопасника
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
Хроники кибер-безопасника
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
Ирония безопасности
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
Хроники кибер-безопасника
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
Хроники кибер-безопасника
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Ирония безопасности
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
Хроники кибер-безопасника
 

Kürzlich hochgeladen (9)

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...
 
Cyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdfCyberprint. Dark Pink Apt Group [RU].pdf
Cyberprint. Dark Pink Apt Group [RU].pdf
 
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdfMalware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf
 
Ransomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdfRansomware_Q3 2023. The report [RU].pdf
Ransomware_Q3 2023. The report [RU].pdf
 
MS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdfMS Navigating Incident Response [RU].pdf
MS Navigating Incident Response [RU].pdf
 
2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf2023 Q4. The Ransomware report. [RU].pdf
2023 Q4. The Ransomware report. [RU].pdf
 
CVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdfCVE. The Fortra's GoAnywhere MFT [RU].pdf
CVE. The Fortra's GoAnywhere MFT [RU].pdf
 
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...
 
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdfСИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf
 

Методы выполнения требования 6.6 PCI DSS – практический выбор

  • 1. Методы выполнения требования 6.6 PCI DSS – практический выбор Денис Безкоровайный CISSP, CISA, CCSK ProtoSecurity denis@protosecurity.ru https://protosecurity.ru +7 (499) 647-5967, доб.101 +7 (916) 999-3964
  • 2. О чем пойдет речь • Обзор требования 6.6 • Варианты реализации • Реализовывать самому, или обращаться к внешним подрядчикам? • Сравнение вариантов • Считаем TCO https://protosecurity.ru 2
  • 3. Требование 6.6 PCI DSS Постоянно управлять новыми угрозами и уязвимостями общедоступных веб- приложений и обеспечить этим приложениям защиту от известных атак одним из следующих методов: • Ручной или автоматизированный анализ защищенности • Автоматизированное техническое средство (например, межсетевой экран уровня веб- приложений) https://protosecurity.ru 3
  • 4. Анализ защищенности ручной или автоматизированный https://protosecurity.ru 4 Достоинства Недостатки Автоматизированный • Просто реализовать «для комплаенса» • Не все типы уязв-тей выявляются • Риск запуска с параметрами по умолчанию и на этом все • Трудоемкий отсев ложных срабатываний Ручной • Больше потенциально выявляемых уязвимостей • Трудоемко и долго • Сложно масштабируемо
  • 5. Кто выполняет анализ защищенности? https://protosecurity.ru 5 Достоинства Недостатки Внешний подрядчик • Специалисты узкой области «в аренду» • Масштабируемо для множества приложений • Нет аффилированности с разработкой • Высокая стоимость работ на больших объемах Собственными силами • При больших объемах проще контролировать • Дорогостоящий персонал узкой специализации (нанять/взрастить)
  • 6. Варианты реализации WAF Надстройка над существующим приложением/сервером Отдельное аппаратное/виртуальное устройство Облачный сервис https://protosecurity.ru 6
  • 7. Надстройка над существующим приложением/сервером Плюсы Легко подключить с базовыми правилами Бесплатно или очень дешево Минусы Ограниченный функционал (наборы правил) Часто использует мощности защищаемого приложения Трудоемкость написания новых правил Сложность внедрения и эксплуатации *** Стоимость $ https://protosecurity.ru 7
  • 8. WAF как отдельное аппаратное/виртуальное устройство Плюсы Более обширный функционал Отдельное устройство (мощности) Минусы Сложно масштабировать и использовать в динамических веб-инфраструктурах Стоимость Сложность внедрения и эксплуатации **** Стоимость $$$$ https://protosecurity.ru 8
  • 9. WAF как облачный сервис Плюсы Просто подключается, подходит для всех типов размещения веб-приложений Все плюсы облачного сервиса Минусы Все минусы облачного сервиса Ограниченный функционал (часто нет возможности расширения правил) Зависимость от внешнего сервиса (требования к SLA поставщика) Сложность внедрения и эксплуатации ** Стоимость $$ https://protosecurity.ru 9
  • 10. «Облачный WAF» Ваши серверы Хакеры Боты DDoS Спаммеры Легитимные пользователи Web Application Firewall WAF попал в scope! https://protosecurity.ru 10
  • 11. Размещение и управление Web Application Firewall Заказчик Подрядчик WAF https://protosecurity.ru 11
  • 13. Полная стоимость владения 13 • Стоимость ПО • Стоимость железа • Стоимость поддержки • Ресурсы датацентра • Внедрение • Обучение сотрудников • Персонал для сопровождения • Обслуживание «железа» • Настройка ПО • Мониторинг и реагирование • Амортизация и обновление «железа» https://protosecurity.ru
  • 14. Такие разные исходные данные • Инструменты ИТ/ИБ • Балансировщики, серверы доступа к приложениям • Команда сотрудников • Есть ли ресурсы на самостоятельный анализ или сопровождение • Бюджет • Ресурсы датацентра • Инфраструктура веб-приложения • Расположено внутри или снаружи, резервные площадки • Количество приложений и их сложность https://protosecurity.ru 14
  • 17. Compliance и защищенность • Checkbox compliance: • ИЛИ аудит ИЛИ Web Application Firewall • Повышение защищенности • аудит И Web Application Firewall • Каждый вариант имеет свои плюсы и минусы • Комбинация ручного + автоматизированного анализ • Аудит – для compliance 1 раз в год или при изменениях • Необходимо, но не достаточно https://protosecurity.ru 17
  • 18. Заключение • Compliance – повод и руководство к действию повысить реальную защищенность • Для публичных веб-приложений разумно использовать оба рекомендованных метода в различных комбинациях • Пример критериев выбора методов реализации – TCO https://protosecurity.ru 18
  • 20. Задайте вопрос или поделитесь своей историей info@protosecurity.ru https://protosecurity.ru/