Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Information Security in a Cloud: Risk Management and Insurance Challenges

Artyom "Töma" Gavrichenkov
February 16, 2018
Technology
0
26

Information Security in a Cloud: Risk Management and Insurance Challenges

Artyom "Töma" Gavrichenkov

February 16, 2018
Tweet

More Decks by Artyom "Töma" Gavrichenkov

See All by Artyom "Töma" Gavrichenkov
[EE DNS Forum 2018] DDoS on DNS: past, present and inevitable
ximaera
0
49
Wrong, wrong, WRONG! methods of DDoS mitigation
ximaera
0
330
DDoS Beasts and How to Fight Them (Nginx Conf 2018)
ximaera
0
150
DDoS tutorial (China ISC 360)
ximaera
0
200
[RU] “I, Not Robot". A design of the contemporary CAPTCHA challenges and the future of the Turing test
ximaera
0
100
DDoS 101 (2018, PaymentSecurity RU 2018)
ximaera
0
26
Memcached Amplification: Lessons Learned (NANOG 73)
ximaera
0
140
DDoS Beasts and How to Fight Them
ximaera
0
39
Memcached Amplification DDoS: Lessons Learned (ENOG 15)
ximaera
0
35

Other Decks in Technology

See All in Technology
KubeCon China 2023: Adventures in Platform Building
salaboy
0
140
stripeを組み合わせたサーバレスアーキテクチャとシードのスタートアップ ビジネスをグロースするためにやったこと
yoshiitaka
3
110
テスト版水平思考クイズ〜不具合から原因を想像しよう〜/xpjug2023
yoshitake_1201
1
370
Java 21 Overview
line_developers
PRO
5
460
Case Studies: Modern Development Practices In Highly Regulated Environments
charity
2
1.3k
拡張セキュリティ更新プログラム (ESU) のおさらい
tamaiyutaro
0
140
SRE を実践するためのプラットフォームの作り方と技術マネジメント / Building a Platform for SRE
irotoris
1
3.5k
Kotlin Dynamic type
coe
0
140
Oracle Cloud Infrastructure データベース・クラウド:各バージョンのサポート期間
oracle4engineer
PRO
6
4.3k
SLOを組織文化にするための挑戦
yukin01
1
1.5k
ゲームタイトル開発側と サーバー基盤の連携事例の紹介
colopl
0
150
"SMB vs. EP" プロダクト特性の違いから考える「何をつくる?つくらない?」
miyashino
0
490

Featured

See All Featured
It's Worth the Effort
3n
179
27k
VelocityConf: Rendering Performance Case Studies
addyosmani
318
23k
Learning to Love Humans: Emotional Interface Design
aarron
265
38k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
24
1.9k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
41
12k
Pencils Down: Stop Designing & Start Developing
hursman
115
10k
How New CSS Is Changing Everything About Graphic Design on the Web
jensimmons
215
12k
How STYLIGHT went responsive
nonsquared
89
4.4k
The Straight Up "How To Draw Better" Workshop
denniskardys
226
130k
Embracing the Ebb and Flow
colly
77
3.8k
Web Components: a chance to create the future
zenorocha
304
41k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
15
1.6k

Transcript

  1. Облачное ИБ:
    управление рисками
    и страховой подход
    Артём Гавриченков
    Технический директор
    Qrator Labs

    View Slide

  2. Рост DDoS-угрозы

    View Slide

  3. Опрос: угроза DDoS в банках
    53
    26
    13
    8
    Значительно выросла
    Выросла
    Сохраняется
    Несколько снизилась
    13
    42
    37
    8

    View Slide

  4. Серверы, уязвимые к амплификации, 2016
    Количество

    View Slide

  5. Серверы, уязвимые к амплификации, 2016
    Мощность

    View Slide

  6. Однако,
    число атак удвоилось
    за 2016 год.
    Техники амплификации
    показывают стабильный спад.

    View Slide

  7. Частично,
    в этом виноват Интернет вещей.

    View Slide

  8. однако, в этой угрозе нет
    ничего нового.
    Частично,
    в этом виноват Интернет вещей,

    View Slide

  9. Марс IoT атакует!
    •2014: LizardStresser
    • 2015: SOHO-роутеры становятся
    постоянной целью для malware

    View Slide

  10. Марс IoT атакует
    •2014: LizardStresser
    • 2015: SOHO-роутеры становятся
    постоянной целью для malware
    •2016: Mirai

    View Slide

  11. Марс IoT атакует
    •2014: LizardStresser
    • 2015: SOHO-роутеры становятся
    постоянной целью для malware
    •2016: Mirai
    • 2017: Persirai, Hajime, …
    Mark 5:9
    Then Jesus asked him, "What is
    your name?" "My name is Legion,"
    he replied, "for we are many."

    View Slide

  12. Оценка угроз
    •Amplificators?
    •IoT?

    View Slide

  13. Оценка угроз
    •Amplificators?
    •IoT?
    •Анализ проблематики
    в режиме
    реального времени

    View Slide

  14. Probability/Impact Matrix
    Trivial Minor Moderate Significant Severe
    Rare
    Unlikely
    Moderate
    Likely
    Very Likely

    View Slide

  15. Probability/Impact Matrix
    Trivial Minor Moderate Significant Severe
    Rare
    Unlikely
    Moderate
    Likely
    Very
    Likely
    DDoS-атака,
    2017
    •Probability:
    Moderate
    •Impact:
    Severe

    View Slide

  16. Опрос: последствия инцидента
    Репутационные
    Риск отзыва сертификации
    Риск отзыва лицензии регулятором
    Финансовые
    32 38
    24
    6

    View Slide

  17. Задача облака?
    •Планирование ресурсов
    •Аутсорсинг оценки рисков
    •Реагирование
    •Экспертиза

    View Slide

  18. Проблемы облачных решений
    • Непрозрачная модель монетизации

    View Slide

  19. Проблемы облачных решений
    • Непрозрачная модель монетизации
    • Размытая зона ответственности

    View Slide

  20. Проблемы облачных решений
    • Непрозрачная модель монетизации
    • Размытая зона ответственности
    • SLA, удобный для исполнителя

    View Slide

  21. Основная задача облака
    Адекватная оценка своей части рисков.
    • “Quis custodiet ipsos custodes?”

    View Slide

  22. Управление рисками
    •Страхование рисков ИБ
    •Задействование страховых компаний
    в процессах аудита и выбора решений

    View Slide

  23. Управление рисками
    •Страхование рисков ИБ
    •Задействование страховых компаний
    в процессах аудита и выбора решений
    •Задача на сегодня –
    сформировать спрос

    View Slide

  24. Q&A
    Артём Гавриченков

    View Slide