15. 15 15 Работа с уязвимостями
19. 19 # CODEIB Визуализация вектора атаки
5. 5 5 Сценарии использования Skybox Security
7. 7 # CODEIB Проверка доступа на лету Проверяем наличие доступа в 2 клика
8. 8 # CODEIB Проверка доступа на лету Проверяем отсутствие доступа в 2 клика
25. 25 # CODEIB УПРАВЛЯТЬ – ЗНАЧИТ ПРЕДВИДЕТЬ!
1. КАК ПЕРЕСТАТЬ ГОНЯТЬСЯ ЗА ПРИЗРАКАМИ или СОВРЕМЕННЫЙ ПОДХОД К УПРАВЛЕНИЮ УЯЗВИМОСТЯМИ Юрий Черкас Skybox Security 27 сентября 2018
3. 3 # CODEIB Количество новых уязвимостей 700 - 950 новых уязвимостей КАЖДЫЙ МЕСЯЦ https://www.vulnerabilitycenter.com
17. 17 # CODEIB Моделирование вектора атаки DMZ Средства защиты Топология сети ИТ - активы Уязвимости Источники угроз
12. 12 # CODEIB Оптимизация загрузки МЭ Как это работает • Выявление затененных, избыточных и дублирующих правил • Выявление неиспользуемых правил • Формирование рекомендаций Что получаем Оптимизация правил и конфигураций Сокращение нагрузки до 50%
14. 14 # CODEIB Применение изменений • Check Point • Palo Alto • Fortinet • Cisco* • Juniper*
26. 26 # CODEIB 27 СЕНТЯБРЯ 2018 ЕКАТЕРИНБУРГ #CODEIB Юрий Черкас Региональный директор, Skybox Security +7 (985) 15 15 15 0 Sales.Russia@skyboxsecurity.com +7 (800) 511 08 28
6. 6 # CODEIB Network Assurance Полная видимость сети 3 Детальный анализ 2 Моделирование 1 Сбор и нормализация Интерактивная карта сети Как Это Работает Автоматическая проверка соответствия стандартам конфигурирования Автоматическая проверка соответствия политикам сегментирования
9. 9 # CODEIB Контроль политики доступа Интернет DMZ Бухгалтерия Среда разработки Партнеры Точки продаж 80 порт Порты 80, 8080, 443, 22 Доступ запрещен Минск Баку Москва
11. 11 # CODEIB Контроль изменений на МЭ Как это работает • Все изменения конфигураций МЭ фиксируются Skybox • Любое изменение проверяется на наличие соответствующей заявки/ тикета Что получаем Мониторинг всех изменений ACL Оценка их влияния на доступность сервисов и безопасность Выявления неавторизованных изменений, выполненных без соответствующей заявки
10. 10 # CODEIB Firewall Assurance Управление межсетевыми экранами 1 Сбор и нормализация 2 Анализ 3 Отчеты и реагирование Автоматический контроль зон безопасности Как Это Работает Автоматический контроль соответствия стандартам конфигурирования Управление жизненным циклом правил доступа
13. 13 # CODEIB 5 Верификация 1 Запрос 4 Применение 3 Оценка Change Manager Firewall Change Management Автоматизация обработки заявок на изменения Как Это Работает Автоматическая оценка рисков Ресертификация правил ! Идентификация 2
2. 2 # CODEIB Проблемы управления уязвимостями • Как часто Вы сканируете уязвимости? – 1 раз в месяц? – 1 раз в квартал? • Как Вы узнаете о новых уязвимостях в период между сканированиями? • Что делать, если нет возможности сканирования? • Как вы оцениваете критичность уязвимостей? – На основе CVSS scoring? – Вы учитываете настройки Вашей сети? Наличие готовых эксплойтов?
16. 16 # CODEIB Vulnerability Control Управление уязвимостями с учетом векторов атак Выявление уязвимостей в период до и между сканированиями Как Это Работает Расчет векторов атак в контексте сети Расчет приоритетов и реагирование 1 Выявление 2 Анализ 3 Приоритезация 4 Реагирование 1 2 3
18. 18 # CODEIB Выявление уязвимостей • Загрузка отчетов сканеров • Загрузка отчетов систем инвентаризации SCCM, WSUS и др. • Ежедневное обновление собственной базы уязвимостей • Ежедневное «пассивное» сканирование Что получаем Актуальный список всех известных уязвимостей (обновляемая база Skybox из 30+ источников) Актуальный список уязвимостей, существующих в ИТ - инфраструктуре
20. 20 # CODEIB Расчет индикатора угроз Учитываются: • Достижимость (наличие доступа) • Критичность • Ценность актива • Уровень злоумышленника • Наличие готового эксплойта • Статистика атак с использованием конкретной уязвимости Результат: • выделяем только действительно опасные уязвимости и максимальным уровнем риска Рекомендации по устранению
24. 24 # CODEIB Чем полезен Skybox Сетевая безопасность Управление уязвимостями Контроль корректности конфигураций Оптимизация правил доступа Автоматизация процесса изменений правил доступа Контроль сегментирования и зон безопасности Приоритезация уязвимостей и формирование рекомендаций по их устранению Автоматизация управления уязвимостями (от обнаружения до контроля устранения) Выявление уязвимостей в период до и между сканированиями Анализ векторов атак
4. 4 # CODEIB Идея и реализация Multiple Vuln Scanners Asset Config Weaknesses App and Web Scanners Custom Vulns On - Prem Network Devices Public/Private Clouds OT Networks CMDBs Patch Management Systems Homegrown Databases Public Intelligence Feeds Scanner and App Feeds Dark Web Sources
21. 21 # CODEIB Важность приоритезации Сократить до управляемого количества ОПРЕДЕЛЕНИЕ ВСЕХ ИЗВЕСТНЫХ УЯЗВИМОСТЕЙ ВСЕГО : 60K Skybox Vulnerability Database Потенциальная угроза ОПРЕДЕЛЕНИЕ СУЩЕСТВУЮЩИХ УЯЗВИМОСТЕЙ ВСЕГО НАЙДЕНО : 7122 Сканеры защищенности , Skybox Vulnerability Detector Потенциальная угроза КОРРЕЛЯЦИЯ С CVSS ВСЕГО КРИТИЧНЫХ : 3578 CVSS scoring Потенциальная угроза ДОСТУПНЫЕ В СЕТИ УЯЗВИМОСТИ Вероятная угроза ДОСТУПНО В СЕТИ : 141 Анализ векторов атак НАЛИЧИЕ ЭКСПЛОЙТОВ ВСЕГО ОПРЕДЕЛЕНО : 1105 Skybox Research Lab real - time threat intelligence Потенциальная угроза ВЫДЕЛЕНИЕ УЯЗВИМОСТЕЙ С МАКСИМАЛЬНЫМ РИСКОМ Вероятная угроза ВСЕГО : 13 Skybox Vulnerability Control Prioritization Center
22. 22 # CODEIB March April May June Current Last 4 Months Визуализация поверхности атаки Unsecure Device Configuration Exploitable Vulnerabilities Risky Access Rules Exploited in the Wild Vulnerabilities US 311 Assets 5 Firewalls Site Details Vulnerability Exposure Unsecure Device Configuration (Total: 72) Name: UDP reply packets – filtered Policy: Checkpoint FW Standard Policy #Violations: 1 Name: Encrypted Line Password - required Policy: Cisco IOS RTR Standard Policy #Violations: 1 Name: IP source routing - prohibited Policy: Cisco IOS RTR Standard Policy #Violations: 1 Name: Password Encryption Service - required Policy : Cisco IOS RTR Standard Policy #Violations: 1 Name: SNMPv3 Group - required Policy : Cisco IOS RTR Standard Policy #Violations: 1
23. 23 # CODEIB Индикаторы угроз March May April June Current Last 4 Months Exploited in the Wild Vulnerabilities US 311 Assets 5 Firewalls Site Details Vulnerability Exposure Unsecure Device Configuration (Total: 72) Name: UDP reply packets – filtered Policy: Checkpoint FW Standard Policy #Violations: 1 Name: Encrypted Line Password - required Policy: Cisco IOS RTR Standard Policy #Violations: 1 Name: IP source routing - prohibited Policy: Cisco IOS RTR Standard Policy #Violations: 1 Name: Password Encryption Service - required Policy : Cisco IOS RTR Standard Policy #Violations: 1 Name: SNMPv3 Group - required Policy : Cisco IOS RTR Standard Policy #Violations: 1 Unsecure Device Configuration Risky Access Rules Exploitable Vulnerabilities