+ All Categories
Home > Technology > Policy Compliance Testing (2011)

Policy Compliance Testing (2011)

Date post: 18-Nov-2014
Category:
Upload: risk-analysis-consultants-sro
View: 820 times
Download: 2 times
Share this document with a friend
Description:
 
14
www.rac.cz Risk Analysis Consultants V060420 Policy Compliance Testing RAC QualysGuard InfoDay 2011 1
Transcript
Page 1: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Policy Compliance Testing

RAC QualysGuard InfoDay 2011 1

Page 2: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 2

Provádí klasické penetrační testování a vulnerability management

Zranitelnosti zneužitelné útočníkemDostupnost všech bezpečnostní aktualizacíBezpečnostní chyby v konfiguraci

Co nerozlišuje testování pomocí QG VM Umístění a význam zařízení (Internet/DMZ, Server x Desktop)Hodnotu spravovaných aktiv Specifické požadavky na konfigurace zařízeníSpecifické požadavky na zabezpečení dat

Co testuje QG VM

Page 3: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 3

Legislativní předpisy a normyISO/IEC 27002, SOX, HIPAA, COBIT, PCI DSS Určité segmenty podnikání mají povinné normy

Podnikové předpisy a směrnice, bezpečnostní politikaStanovují práva a povinnosti uživatelů, administrátorůStanovují požadavky na bezpečnostní parametry zařízeníSměrnice pro externí subjekty/dodavatele

Doporučené konfigurace Obecné postupy pro „Securing and Hardening Servers“Bezpečnostní doporučení CIS (http://www.cisecurity.org/)

Vlastní postupy pro konfiguraci Firemní postupy pro zabezpečeníNávody vycházející z praktických zkušeností

Co určuje konfiguraci zařízení

Page 4: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 4

• Cílem testování bezpečnostní politiky je určit míru souladu (Policy Compliance) mezi požadovanou konfigurací a skutečným bezpečnostním nastavením zařízení ICT.

• Na rozdíl od testování zranitelností, kde se odstraňují konkrétní zranitelnosti využitelné útočníkem, bezpečnostní politika a konfigurace bezpečnostních parametrů není přesně určena.

• Záleží na výchozích legislativních a technických požadavcích a tedy politika pro jednotlivá ICT je v každé organizaci je odlišná.

Hlavní cíl testování PC

Page 5: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 5

Shrnutí postupu

Page 6: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 6

Přístupová právaPřístupové účtů, seznamy uživatelů a skupin, správa hesel, autorizacePřístupová práva k systému, souborům a databázím

Bezpečnostní parametryNastavení bezpečnostních parametrů služeb, operačního systému, databází, síťových služeb, kontrola vypnutých služeb

Antivirus / zranitelnostiStav aktualizace softwaru antivirového software

Integrita a dostupnostLogování a audit, monitorování logů

ŠifrováníŠifrování síťových spojení a přenosu dat, šifrování souborů a diskůDélka klíče a použitý algoritmus

Síťové službyNastavení lokálních firewallů, IDS, VPN Status síťových služeb.

Technologická opatření v PC modulu

Page 7: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 7

Směrnice ISO/IEC 27002Kapitola A.10.4 Ochrana proti škodlivým programům a mobilním kódůmOpatření A.10.4.1: Na ochranu proti škodlivým programům a nepovoleným mobilním kódům musí být implementována opatření na jejich detekci, prevenci a obnovu a zvyšováno odpovídající bezpečnostní povědomí uživatelů.

Databáze „controls“ v QGSeznam opatření podle ID, kategorie, frameworks

Příklad použití

Page 8: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 8

Možnost vytváření vlastních controlsPro Windows i UnixExistence, obsah a přístupová práva registrů a souborůKontrolní součty (MD5, SHA-1, SHA 256)

Vlastní parametry

Page 9: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Vytváření šablon politik - Policy editor

RAC QualysGuard InfoDay 2011 9

Page 10: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Reporty

RAC QualysGuard InfoDay 2011 10

Page 11: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Reporty

RAC QualysGuard InfoDay 2011 11

Page 12: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

Řízený proces

RAC QualysGuard InfoDay 2011 12

Page 13: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 13

Počet controlsAktuálně celkem 2222 controls

Podporované systémyWindows 2000, 2003, 2008, Windows XP, Vista, 7AIX 5.x, AIX 6.x , HPUX 11.iv1, 11.iv2, 11.iv3, Solaris 8, 9.x, 10, Red Hat Enterprise 3,4,5, CentOS 4.x , 5.x, Oracle Enterprise 4, 5, Debian GNU/Linux 5.x, Ubuntu 8.x, 9.x, Open SUSE 10.x, 11.x, SUSE Enterprise Linux 9/10 11.xMicrosoft SQL Server 2000, 2005, 2008, Oracle 10g, 11g, 9iCisco IOS 12.x, 15.x, VMWare ESX Server 3.x, 4.x

Reportovací možnostiSouhrny pro jedno zařízení , Assets Group až všechny systémyGrafy s trendy podle času

Souhrn možností

Page 14: Policy Compliance Testing (2011)

ww

w.ra

c.cz

Risk

Ana

lysi

s Co

nsul

tant

sV0

6042

0

RAC QualysGuard InfoDay 2011 14

Vylepšení v Policy EditoruCheckboxy

nynídříve

Dissolvable Agent Agent nainstalován/odinstalován během testováníS instalaci nutno souhlasit v menuRozšířené možnosti pro testování password policyRozšířené možnosti pro testování windows shareNutný pro detailní testování PC v Windows Vista, 7 and 2008

Novinky v poslední verzích


Recommended