22 octombrie 2010

Rodica NEAGU , MBA

MANAGEMENTUL VULNERABILITATILOR,

NECESITATEA CA AFACERE

OUTPOST24 ROMANIA

FUTURE HOSTING 2010

Agenda

• Outpost24 si cum am reusit sa facem managementul vulnerabilitatilor facil

• Concluziile cercetarii rezultate in urma testarii/scanarii companiilor de e‐commerce participante la GPeC editia a 5-a, septembrie 2010

• Securitatea IT, argument in procesul de vanzare

Outpost24

• Sediul central in Karlskrona, Suedia, incepand cu 2001

• Birouri in peste 30 de tari, in Romania 2009

• Lider global in detectia automata a vulnerabilitatilor si in managementul acestora

• Lider de piata in Europa

• Suport complet si permanent [24x7x365]

• Dedicati cercetarii si dezvoltarii

Clienti si parteneri globali

Propunerea comerciala - o arhitectura unica pentru managementul vulnerabilitatilor

Imaginati-va o solutie de management a vulnerabilitatilor care:

• Este complet centralizata, cu o singura interfata si o singura baza de date pentru toate aspectele identificate

• Ofera posibilitate scanare perimetrala si interna cu acelasi instrument

• Stocheaza in siguranta toate datele sensibile pe dispozitivul aflat in reteaua clientului

• Este scalabila si cu optiuni avansate pentru utilizatori

• Este usor de utilizat si cu o interfata prietenoasa

Agenda

• Outpost24 si cum am reusit sa facem managementul vulnerabilitatilor facil

• Concluziile cercetarii rezultate in urma testarii/scanarii companiilor de e‐commerce participante la GPeC editia a 5-a, septembrie 2010

• Securitatea IT, argument in procesul de vanzare

Obiectivele cercetarii

• Eforturile curente in zona securitatii IT a magazinelor participante la Gala Premiilor e-Commerce 2010

• Gradul de severitate al vulnerabilitatilor identificate

• Top servicii cele mai vulnerabile

• Expunerea generala la risc

Premisele cercetarii

• 22 de participanti la GPeC2010 pentru care s-au obtinut rezultate concludente in cercetare

• 30 de IP-uri publice scanate cu OUTSCAN (normal scan+SQL injection)

• 2035 de vulnerabilitati informatice cunoscute identificate

Nota: Participarea a fost voluntara si IP-urile au fost specificate de catre participanti

OUTSCAN®

Perimeter Vulnerability Management

OUTSCANVulnerability

Research Team

Internet

Customer Network

FirewallAnti-Malware

IDS/IPS

Cyber Criminal

PublicVulnerabilityDatabases

Global Security Community

® outscan.outpost24.com

www.outpost24.com/demowww.outpost24.com/demo

Limitele cercetarii

• Statisticile/ rezultatele obtinute sunt indicatori din care se pot formula concluzii generale

• Scan-urile realizate din interior cu HIAB pot duce la rezultate diferite, fiind necesare o corelare cu scan-urile realizate din exterior cu OUTSCAN

• Rezultatele sunt o imagine. Pentru studii privind trend-ul actiunile initiale de scanare trebuiesc repetate (la 3-6 luni)

• Nu s-au purtat interviuri cu responsabilul IT/de securitate al participantilor sau al companiilor de hosting

Rezultate cheie

• Vulnerabilitatile cu factor de risk maxim au reprezentat 21.5% din total vulnerabilitati identificate

• 14% dintre target-uri nu au inregistrat risk-uri maxime, totusi toate au inregistrat vulnerabilitati

• Cele mai frecvente vulnerabilitati in relatia cu CVE apartin anului 2009, cele mai vechi fiind din 1999-2002, iar cele mai noi anului 2010

• Media de risk conform CVSS a fost 5.6 (pe o scara de la 0-10)

Top servicii cele mai

vulnerabile: http dns ssh

Top vulnerabilitati pe servicii

http37%

ssh10%

pop35%

imap4%

smtp3%

dns34%

alte4%

mysql3%

http dns ssh pop3 imap smtp mysql alte

Top familii

cele mai vulnerabile

isc phpssl

Top vulnerabilitati pe familii

isc33%

ssl15%

openssh9%

altele8%

1%openssl2%

mysql 3%

php21%

wordpress2%

isc php ssl openssh altele openssl unencry pted-remote-authentication my sql wordpress

Top familii cele mai

vulnerabile Factor risk

MAXIM (CVSS>7)

phpisc

openssh

Factor de risk maxim (CVSS>7) si familiile de vulnerabiliati

php37%

openssh15%

phpbb2%

proftpd2%

isc31%

altele2%

mysql2%

openssl7%

wordpress2%

php isc openssh openssl phpbb wordpress prof tpd my sql altele

Expunerea participantilor

! exista cel putin o vulnerabilitate cu

factor de risk

ParticipantRISK MARE(CVSS>7)

RISK MEDIU(4<CVSS<7)

RISK Mic(CVSS<4)

ID001 yes yes yes

ID002 yes yes yes

ID003 yes yes yes

ID004 no yes no

ID005 yes yes yes

ID006 yes yes yes

ID007 yes no no

ID008 yes yes yes

ID009 yes yes yes

ID010 yes yes yes

ID011 no yes no

ID012 yes yes yes

ID013 yes yes yes

ID014 yes yes yes

ID015 yes yes no

ID016 yes yes yes

ID017 yes yes no

ID018 no yes no

ID019 yes yes yes

ID020 yes yes yes

ID021 yes yes yes

ID022 yes yes yes

Expunerea porturilor

53

44384438880

PORTRISK MARE

(CVSS>7)RISK MEDIU

(4<CVSS<7)RISK MIC

(CVSS<4) Total

21 2% 3% 0% 2%

22 6% 3% 12% 4%

23 1% 1% 2% 1%

25 0% 0% 0% 0%

26 0% 0% 0% 0%

53 31% 32% 57% 34%

80 5% 5% 1% 5%

110 0% 2% 0% 1%

113 0% 0% 0% 0%

443 11% 13% 3% 12%

465 0% 4% 0% 3%

587 0% 0% 0% 0%

993 0% 6% 0% 4%

995 0% 5% 0% 4%

1422 1% 0% 2% 1%

1985 4% 2% 6% 2%

2200 1% 0% 2% 1%

2222 2% 1% 3% 1%

3306 2% 3% 5% 3%

5080 0% 1% 1% 0%

8443 18% 11% 3% 12%

8880 15% 7% 3% 8%

8888 0% 0% 1% 0%

5.65.2

5.65.9

5.85.6

7.55.55.6

5.35.75.6

5.65.5

6.05.2

6.24.9

5.55.3

5.4 5.9

0.0 1.0 2.0 3.0 4.0 5.0 6.0 7.0 8.0

ID001

ID002

ID003

ID004

ID005

ID006

ID007

ID008

ID009

ID010

ID011

ID012

ID013

ID014

ID015

ID016

ID017

ID018

ID019

ID020

ID021

ID022

Expunerea generala la

risk

! Media scorului

CVSS = 5.6

5.6

Media CVSS vs Suma CVSS

Expunerea cumulata la

risc

0.0 500.0 1,000.0 1,500.0 2,000.0 2,500.0 3,000.0 3,500.0 4,000.0 4,500.0 5,000.0

ID001ID002ID003ID004

ID005ID006ID007

ID008ID009ID010ID011

ID012ID013ID014ID015

ID016ID017ID018

ID019ID020ID021ID022

!

- NU am stiut ca exista astfel de instrumente

- DA, voi solicita un astfel de raport atunci cand voi alege serviciile unei companii de hosting

- 25% dintre cei intervievati au cotat raportul intre 200-500 lei

Concluzii follow-up companii e-commerce

Agenda

• Outpost24 si cum am reusit sa facem managementul vulnerabilitatilor facil

• Concluziile cercetarii rezultate in urma testarii/scanarii companiilor de e‐commerce participante la GPeC editia a 5-a, septembrie 2010

• Securitatea IT, argument in procesul de vanzare

?

ezita companiile in a alege servicii de hosting complete

face securitatea IT diferenta pe piata serviciilor de hosting

politicile de securitate conving clientii ezitanti

A) pentru serviciile de datacenter, managementul vulnerabilitatilor poate fi oferit ca pachet complementar

B) pentru serviciile de gazduire, managementul vulnerabilitatilor poate fi prezentat ca proces implementat care va oferi un plus de incredere clientului

Full hosting, Fully confident

Multumim.

Succes firmelor de hosting !Felicitari organizatorilor FutureHosting 2010!

Q&A.

RODICA NEAGUrodica.neagu@outpost24.com