Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
Information Security in a Cloud: Risk Managemen...
Search
Artyom "Töma" Gavrichenkov
February 16, 2018
Technology
0
31
Information Security in a Cloud: Risk Management and Insurance Challenges
Artyom "Töma" Gavrichenkov
February 16, 2018
Tweet
Share
More Decks by Artyom "Töma" Gavrichenkov
See All by Artyom "Töma" Gavrichenkov
[EE DNS Forum 2018] DDoS on DNS: past, present and inevitable
ximaera
0
57
Wrong, wrong, WRONG! methods of DDoS mitigation
ximaera
0
340
DDoS Beasts and How to Fight Them (Nginx Conf 2018)
ximaera
0
190
DDoS tutorial (China ISC 360)
ximaera
0
240
[RU] “I, Not Robot". A design of the contemporary CAPTCHA challenges and the future of the Turing test
ximaera
0
120
DDoS 101 (2018, PaymentSecurity RU 2018)
ximaera
0
41
Memcached Amplification: Lessons Learned (NANOG 73)
ximaera
0
210
DDoS Beasts and How to Fight Them
ximaera
0
60
Memcached Amplification DDoS: Lessons Learned (ENOG 15)
ximaera
0
51
Other Decks in Technology
See All in Technology
なぜSaaSがMCPサーバーをサービス提供するのか?
sansantech
PRO
8
2.7k
La gouvernance territoriale des données grâce à la plateforme Terreze
bluehats
0
150
これでもう迷わない!Jetpack Composeの書き方実践ガイド
zozotech
PRO
0
290
クラウドセキュリティを支える技術と運用の最前線 / Cutting-edge Technologies and Operations Supporting Cloud Security
yuj1osm
2
310
大「個人開発サービス」時代に僕たちはどう生きるか
sotarok
20
9.7k
未経験者・初心者に贈る!40分でわかるAndroidアプリ開発の今と大事なポイント
operando
3
330
AI駆動開発に向けた新しいエンジニアマインドセット
kazue
0
330
テストを軸にした生き残り術
kworkdev
PRO
0
190
企業の生成AIガバナンスにおけるエージェントとセキュリティ
lycorptech_jp
PRO
2
150
Codeful Serverless / 一人運用でもやり抜く力
_kensh
7
360
Firestore → Spanner 移行 を成功させた段階的移行プロセス
athug
1
430
現場で効くClaude Code ─ 最新動向と企業導入
takaakikakei
1
210
Featured
See All Featured
Gamification - CAS2011
davidbonilla
81
5.4k
Performance Is Good for Brains [We Love Speed 2024]
tammyeverts
12
1.1k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
PRO
187
55k
Why Our Code Smells
bkeepers
PRO
339
57k
How to Ace a Technical Interview
jacobian
279
23k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
252
21k
Building Flexible Design Systems
yeseniaperezcruz
328
39k
Making the Leap to Tech Lead
cromwellryan
135
9.5k
How to train your dragon (web standard)
notwaldorf
96
6.2k
Fantastic passwords and where to find them - at NoRuKo
philnash
52
3.4k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
addyosmani
7
840
Testing 201, or: Great Expectations
jmmastey
45
7.6k
Transcript
Облачное ИБ: управление рисками и страховой подход Артём Гавриченков Технический
директор Qrator Labs
Рост DDoS-угрозы
Опрос: угроза DDoS в банках 53 26 13 8 Значительно
выросла Выросла Сохраняется Несколько снизилась 13 42 37 8
Серверы, уязвимые к амплификации, 2016 Количество
Серверы, уязвимые к амплификации, 2016 Мощность
Однако, число атак удвоилось за 2016 год. Техники амплификации показывают
стабильный спад.
Частично, в этом виноват Интернет вещей.
однако, в этой угрозе нет ничего нового. Частично, в этом
виноват Интернет вещей,
Марс IoT атакует! •2014: LizardStresser • 2015: SOHO-роутеры становятся постоянной
целью для malware
Марс IoT атакует •2014: LizardStresser • 2015: SOHO-роутеры становятся постоянной
целью для malware •2016: Mirai
Марс IoT атакует •2014: LizardStresser • 2015: SOHO-роутеры становятся постоянной
целью для malware •2016: Mirai • 2017: Persirai, Hajime, … Mark 5:9 Then Jesus asked him, "What is your name?" "My name is Legion," he replied, "for we are many."
Оценка угроз •Amplificators? •IoT?
Оценка угроз •Amplificators? •IoT? •Анализ проблематики в режиме реального времени
Probability/Impact Matrix Trivial Minor Moderate Significant Severe Rare Unlikely Moderate
Likely Very Likely
Probability/Impact Matrix Trivial Minor Moderate Significant Severe Rare Unlikely Moderate
Likely Very Likely DDoS-атака, 2017 •Probability: Moderate •Impact: Severe
Опрос: последствия инцидента Репутационные Риск отзыва сертификации Риск отзыва лицензии
регулятором Финансовые 32 38 24 6
Задача облака? •Планирование ресурсов •Аутсорсинг оценки рисков •Реагирование •Экспертиза
Проблемы облачных решений • Непрозрачная модель монетизации
Проблемы облачных решений • Непрозрачная модель монетизации • Размытая зона
ответственности
Проблемы облачных решений • Непрозрачная модель монетизации • Размытая зона
ответственности • SLA, удобный для исполнителя
Основная задача облака Адекватная оценка своей части рисков. • “Quis
custodiet ipsos custodes?”
Управление рисками •Страхование рисков ИБ •Задействование страховых компаний в процессах
аудита и выбора решений
Управление рисками •Страхование рисков ИБ •Задействование страховых компаний в процессах
аудита и выбора решений •Задача на сегодня – сформировать спрос
Q&A Артём Гавриченков <
[email protected]
>