new technologies and new risks

Новые угрозы, которые несут в себе

новые технологии: мобилизация,

социальные сети, виртуализация и

облачные вычисления

Денис Безкоровайный,

CISA, CISSP, CCSK

Член экспертного совета RISSPA

2

Новые возможности и риски

❖ Виртуализация

❖ Облачные технологии и сервисы

❖ Мобильные устройства

❖ Социальные сети

3

Виртуализация

«До 2012 года 60% виртуализированных

серверов будут менее защищенными, чем

физические серверы, которым они придут

на смену»

Gartner

4

Виртуализация – основные угрозы

❖Стирание границ между средами с разными

уровнями конфиденциальности данных

❖Сложности управления уязвимостями –

расширенная поверхность атаки

❖Незащищенность, традиционные средства ИБ

непригодны для виртуальной среды

❖Деградация производительности из-за средств ИБ

- разделяемые физические ресурсы

5

Облачные вычисления

«К концу 2015 года объем

российского рынка

облачных услуг превысит

отметку в 1,2 млрд. долл.,

демонстрируя

среднегодовой темп роста

более 100%»

IDC

6

Облачные вычисления –

основные угрозы

❖Потеря контроля над данными

❖Недобросовестность поставщика услуг и

риски привилегированных злоумышленников

❖Усложнение выполнения требований

законодательства и отраслевых стандартов

❖Стирание границ ответственности за ИБ

между потребителем услуг и облачным

провайдером

7

Распространение

мобильных устройств

«Консьюмеризация будет самым значительным

трендом, влияющим на IT в ближайшие 10 лет»

Gartner

8

Распространение мобильных

устройств – основные угрозы

❖Утечка корпоративных данных

❖Теперь они храняться на личных

устройствах сотрудников

❖Использование консьюмерских сервисов

для хранения и передачи корпоративных

данных (например, Dropbox)

❖Компрометация учетных данных для доступа

к корпоративным приложениям через личные

устройства

9

Социальные сети

«63% организаций соглашаются, что

использование социальных сетей влечет

риски безопасности, но только 29%

используют адекватные системы защиты»

Ponemon Research

10

Социальные сети – основные угрозы

❖Утечки конфиденциальных данных

❖Репутационные риски для компании

❖Заражения вредоносным ПО через

социальные сети

❖Атаки с помощью данных из

социальных сетей (социальная

инженерия)

11

Что же делать?

❖Учитывать риски ИБ при внедрении новых

технологий

❖Использовать системы защиты, разработанные с

учетом особенностей виртуализации и облачных

архитектур

❖Проводить анализ SLA поставщиков облачных

сервисов перед использованием

❖Контроль выполнения поставщиками лучших практик

в области ИБ (например, Cloud Security Alliance)

❖Изменение организационных мер и процессов ИБ с

учетом новых облачных реалий

12

Что же делать?

❖Нельзя просто запретить использование

мобильных устройств или социальных

сетей

❖Разработать Политики Использования

мобильных устройств и социальных

сетей

❖Реализовать их на практике с помощью

систем контроля устройств и сети

❖Проводить тренинги по осведомленности

в ИБ

13

Вместо заключения

❖Современные технологии способны

кардинально изменять бизнес-процессы

❖Новые риски всегда присущи новым

технологиям и их нужно учитывать

❖Чтобы извлекать пользу из технологий и

снижать риски, ИБ должна быть на шаг

впереди внедрения

новых технологий

14

Повышение уровня знаний специалистов ИБ Обмен опытом

Обсуждение актуальных проблем ИБ Формирование сообщества

профессионалов в области ИБ

Контакты и общение

Продвижение идей ИБ

Членство и участие в семинарах бесплатно

Регулярные очные и онлайн семинары

Что такое RISSPA?

Ассоциация профессионалов в области информационной безопасности

(Russian Information Security Systems Professional Association) Создана в июне 2006 года

Мы в сетях

www.RISSPA.ru

Вопросы?

bezkod@risspa.ru