ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Policy Compliance Testing
RAC QualysGuard InfoDay 2011 1
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 2
Provádí klasické penetrační testování a vulnerability management
Zranitelnosti zneužitelné útočníkemDostupnost všech bezpečnostní aktualizacíBezpečnostní chyby v konfiguraci
Co nerozlišuje testování pomocí QG VM Umístění a význam zařízení (Internet/DMZ, Server x Desktop)Hodnotu spravovaných aktiv Specifické požadavky na konfigurace zařízeníSpecifické požadavky na zabezpečení dat
Co testuje QG VM
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 3
Legislativní předpisy a normyISO/IEC 27002, SOX, HIPAA, COBIT, PCI DSS Určité segmenty podnikání mají povinné normy
Podnikové předpisy a směrnice, bezpečnostní politikaStanovují práva a povinnosti uživatelů, administrátorůStanovují požadavky na bezpečnostní parametry zařízeníSměrnice pro externí subjekty/dodavatele
Doporučené konfigurace Obecné postupy pro „Securing and Hardening Servers“Bezpečnostní doporučení CIS (http://www.cisecurity.org/)
Vlastní postupy pro konfiguraci Firemní postupy pro zabezpečeníNávody vycházející z praktických zkušeností
Co určuje konfiguraci zařízení
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 4
• Cílem testování bezpečnostní politiky je určit míru souladu (Policy Compliance) mezi požadovanou konfigurací a skutečným bezpečnostním nastavením zařízení ICT.
• Na rozdíl od testování zranitelností, kde se odstraňují konkrétní zranitelnosti využitelné útočníkem, bezpečnostní politika a konfigurace bezpečnostních parametrů není přesně určena.
• Záleží na výchozích legislativních a technických požadavcích a tedy politika pro jednotlivá ICT je v každé organizaci je odlišná.
Hlavní cíl testování PC
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 5
Shrnutí postupu
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 6
Přístupová právaPřístupové účtů, seznamy uživatelů a skupin, správa hesel, autorizacePřístupová práva k systému, souborům a databázím
Bezpečnostní parametryNastavení bezpečnostních parametrů služeb, operačního systému, databází, síťových služeb, kontrola vypnutých služeb
Antivirus / zranitelnostiStav aktualizace softwaru antivirového software
Integrita a dostupnostLogování a audit, monitorování logů
ŠifrováníŠifrování síťových spojení a přenosu dat, šifrování souborů a diskůDélka klíče a použitý algoritmus
Síťové službyNastavení lokálních firewallů, IDS, VPN Status síťových služeb.
Technologická opatření v PC modulu
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 7
Směrnice ISO/IEC 27002Kapitola A.10.4 Ochrana proti škodlivým programům a mobilním kódůmOpatření A.10.4.1: Na ochranu proti škodlivým programům a nepovoleným mobilním kódům musí být implementována opatření na jejich detekci, prevenci a obnovu a zvyšováno odpovídající bezpečnostní povědomí uživatelů.
Databáze „controls“ v QGSeznam opatření podle ID, kategorie, frameworks
Příklad použití
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 8
Možnost vytváření vlastních controlsPro Windows i UnixExistence, obsah a přístupová práva registrů a souborůKontrolní součty (MD5, SHA-1, SHA 256)
Vlastní parametry
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Vytváření šablon politik - Policy editor
RAC QualysGuard InfoDay 2011 9
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Reporty
RAC QualysGuard InfoDay 2011 10
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Reporty
RAC QualysGuard InfoDay 2011 11
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
Řízený proces
RAC QualysGuard InfoDay 2011 12
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 13
Počet controlsAktuálně celkem 2222 controls
Podporované systémyWindows 2000, 2003, 2008, Windows XP, Vista, 7AIX 5.x, AIX 6.x , HPUX 11.iv1, 11.iv2, 11.iv3, Solaris 8, 9.x, 10, Red Hat Enterprise 3,4,5, CentOS 4.x , 5.x, Oracle Enterprise 4, 5, Debian GNU/Linux 5.x, Ubuntu 8.x, 9.x, Open SUSE 10.x, 11.x, SUSE Enterprise Linux 9/10 11.xMicrosoft SQL Server 2000, 2005, 2008, Oracle 10g, 11g, 9iCisco IOS 12.x, 15.x, VMWare ESX Server 3.x, 4.x
Reportovací možnostiSouhrny pro jedno zařízení , Assets Group až všechny systémyGrafy s trendy podle času
Souhrn možností
ww
w.ra
c.cz
Risk
Ana
lysi
s Co
nsul
tant
sV0
6042
0
RAC QualysGuard InfoDay 2011 14
Vylepšení v Policy EditoruCheckboxy
nynídříve
Dissolvable Agent Agent nainstalován/odinstalován během testováníS instalaci nutno souhlasit v menuRozšířené možnosti pro testování password policyRozšířené možnosti pro testování windows shareNutný pro detailní testování PC v Windows Vista, 7 and 2008
Novinky v poslední verzích