2. Как победить в кибер-войне
за три простых шага
1. Криптозащита трафика на
канальном уровне (SSL/TLS)
2. «Белые списки» и ЭЦП
исполняемого кода
3. Управление изменениями и
обновлениями
4. Требования и рекомендации
• ISO/IEC 27000 series (ISMS)
• COBIT
• ISF Standard for Good Practice
• PCI DSS
• Cyber Security Framework
• CIS 20 Critical Controls
5. Требования и рекомендации
• NIST SP800
• ISO 15408 (Common Criteria)
• RFC2196
• Vendors’ recommendations
• MS Security TechCenter
• Cisco SAFE
• AWS Cloud Security
• OWASP
• SANS
• CIS Configuration benchmarks
8. Cyber Security Framework
• Повна назва “Framework for
Improving Critical Infrastructure
Cybersecurity”
• Разработан NIST
• Соотносит контрольные цели и
контроли в различных
внешних документах
• Переведен на украинский
9.
10. Как остановить «неПетю»
1. Не входить в Windows с
правами доменного админа
2. Не запускать клиентский софт с
правами локального админа
3. Следить за безопасностью
обновлений
4. Сегментировать сеть по
принципу бизнес-требований
5. Иметь план реагирования
ID.BE-1. Роль підприємства в ланцюгу поставок визначено й повідомлено.
PR.AC-4. Права доступу скеровано із застосуванням принципів мінімальних
привілеїв і поділу обов'язків.
PR.AC-5. Цілісність мережі захищено із застосуванням мережевої сегрегації
в разі доцільності.
PR.AT-1. Всі користувачі поінформовані та навчені.
PR.AT-2. Привілейовані користувачі розуміють свої ролі та відповідальність.
PR.AT-3. Зацікавлені треті сторони (наприклад, постачальники, клієнти,
партнери) розуміють свої ролі та відповідальність.
PR.IP-2. Життєвий цикл розробки систем для управління системами
впроваджено.
PR.IP-3. Процеси управління змінами конфігурації наявні.
PR.IP-4. Резервне копіювання інформації проводиться, підтримується й
періодично тестується.
PR.IP-9. Плани відповіді (відповідь на інциденти та забезпечення
безперервності бізнесу) і плани відновлення (відновлення після інциденту
та відновлення після аварії) наявні та скеровані.
PR.IP-10. Плани реагування та відновлення пройшли тестування.
PR.IP-12. План управління вразливостями розроблено й впроваджено.
DE.CM-6. Активність зовнішнього постачальника послуг контролюється для
виявлення потенційних подій інформаційної безпеки.
11. Что будет дальше?
• У ShadowBrokers все еще есть
“заначка” (SMB? RDP?)
• Канал “вторичного
распространения” показал
себя превосходно
• Государственных праздников у
нас достаточно
• «Жить по-новому» никто не
спешит