Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодействия // Дмитрий Романченко (IBS) на InterLab Forum 2015
2 likes1,356 views
Документ рассматривает современные угрозы информационной безопасности в корпоративной IT-инфраструктуре, включая кибератаки, хакерские технологии и риски утечки данных. Он акцентирует внимание на необходимость создания эффективных систем защиты, использование российских технологий и нарастающую криминализацию интернет-пространства. Также подчеркивается важность комплексного подхода к обеспечению безопасности и мониторингу инцидентов для предотвращения угроз.
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодействия // Дмитрий Романченко (IBS) на InterLab Forum 2015
- 1. Современные угрозы ИБ в корпоративной ИТ- инфраструктуре и технологии противодействия 21.10.2015 InterLab Романченко Дмитрий Директор Отделения ИБ
- 2. 2 Содержание Современные угрозы информационной безопасности в корпоративной инфраструктуре Основные подходы к противодействию угрозам ИБ Использование российских средств защиты информации в гетерогенной среде Интересные результаты некоторых проектов по защите информации
- 3. Современные угрозы ИБ в корпоративной инфраструктуре
- 4. 4 Современные тренды Достигли состояния зрелости: • Массовый широкополосный доступ в интернет • Дешевизна размещения ресурсов в интернет • Доступность технологий больших данных • Анонимность в интернет • Криминализация интернет-пространства Активно развиваются: • Военные технологии в мировом интернет-пространстве • Использование интернет-пространства террористическими и экстремистскими организациями • Технологии массовой кражи персональных данных из информационных систем (в том числе государственных и военных), их агрегации с последующим использованием в противоправных целях
- 5. 5 Окончательное размывание территориальных границ корпоративной ИТ-инфраструктуры Корпоративная вычислительная инфраструктура Сетевое взаимодействие серверных групп Корпоративные приложения и сервисы Серверная вычислительная инфраструктура АРМ конечных пользователей Подключение технологического оборудования Обеспечение связности площадок Компании Взаимодействие Компании с внешними контрагентами Вычислительные мощности ЦОД Транспортная сеть Вычислительные мощности дочерних обществ Доступ мобильных сотрудников к ключевым корпоративным приложениям Online-доступ клиентов к корпоративным приложениям Подключение удаленных пользователей Облачный хостинг MPLS провайдера ? Контроль вендоров за развернутым оборудованием и ПО Служба техподдержки Механизм обновлений Закрытый код Неконтролируемые сервисы
- 6. 6 Изменение уровня угроз Угрозы ИБ не несут риска остановки бизнеса компании в целом Угрозы несанкционированного доступа -> отдел ИБ Угрозы недокументированных возможностей -> не актуально Импортное оборудование и ПО -> априори доверенная среда Угрозы внешнего отключения ИТ-систем -> не актуально Система защиты -> блокирование классических угроз (МЭ, антивирус) Угрозы ИБ -> уровень отдела ИБ в компании Угрозы ИБ несут риск остановки бизнеса в целом, либо угрозу наступления иных катастрофических последствий Угрозы недокументированных возможностей в инфраструктуре -> Актуально Угрозы недокументированных возможностей в прикладном ПО -> Актуально Импортное оборудование и ПО -> Априори не доверенная среда Угрозы внешнего отключения ИТ-систем -> Актуально Система защиты -> эшелонированная распределенная система Угрозы ИБ -> уровень стратегического корпоративного управления Как было Как стало
- 7. 7 Ключевые вызовы, отмеченные в новой доктрине ИБ России (проект) Информационное пространство – среда для решения военно-политических задач, может использоваться в террористических и иных противоправных целях Милитаризация информационного пространства – угроза миру, глобальной и территориальной стабильности Использование технологического доминирования иностранных государств для достижения экономического и геополитического преимущества Возрастает масштаб компьютерной преступности, прежде всего в кредитно- финансовой сфере Нарушаются права граждан, неприкосновенность частной жизни Анонимность в глобальном информационном пространстве и недостаточная защищенность – катализатор роста преступности Внедрение новых информационных технологий часто не увязано с обеспечением информационной безопасности Милитаризация мирового информационного пространства Отсутствие учета требований ИБ Компьютерная преступность
- 8. 8 Примеры реализации различных угроз ИБ 2010 Вирус Stuxnet. Множество каналов распространения, организует собственную виртуальную сеть распространения. Предназначен для выведения из строя технологического оборудования. Распространялся в Иране на ядерных объектах и в других странах. 2014 Сообщение о шпионском ПО Regin. Разработано спецслужбами для атак на телекоммуникационную сферу, энергетику, здравоохранение России и Саудовской Аравии. ПО строит многоуровневую сеть управления и защиты, включая шифрование. Состав вредоносных функций переменный и определяется целевой функцией шпионажа или атаки. Атаки начиная с 2003 г. 2014 Публикация в Spiegel прайс-листа жучков для Cisco, Huawei, Juniper, Dell. Демонстрация видеороликов установки жучков в оборудование Cisco. Последовало обращение Cisco в органы США с просьбой не устанавливать подобное оборудование. Мировые продажи Cisco на новостях упали. Август 2015 Cisco признала неоднократный взлом коммутаторов путем замены прошивки. Cisco утверждает, что взлом происходил “легитимным” образом: путем перепрошивки под административным паролем. ИБ эксперты считают, что данный взлом - свидетельство использования закладок АНБ. Также отмечается, что после загрузки “штатной” прошивки уязвимость сохраняется. http://virusinfo.info/showthread.php?t=188456&s=d0076b2c84cc0a26f4dfc6fc7f031c53
- 9. 9 Насколько небезопасно «безопасное» ПО Октыбрь 2015. Чешский разработчик антивируса AVG Technologies анонсировал новые правила использования продуктов: с пользовательских АРМ будет собираться и продаваться сторонним организациям приватная информация: история web-серфинга, сведения о мобильных сетях и интернет-провайдерах, сведения об установленном ПО и способах его использования. http://www.cnews.ru/news/top/2015-10- 16_krupnaya_antivirusnaya_kompaniya_nachala_prodavat Windows 10. Система собирает и отправляет MS широкий перечень приватной информации. Определение степени приватности MS оставляет за собой. В кастомном режиме инсталляции некоторые настройки отключаются, но способа проверить это нет. Microsoft приступает к принудительному переходу с Win7 на Win10. Apple, Google были неоднократными участниками разбирательств на тему произвольного использования пользовательских приватных данных. 20.10.2015 объявлено о распространении через AppStore вредоносного ПО – более 250 приложений были удалены. Вредоносное ПО распространялось под видом средств разработки.
- 10. 10 Актуальные угрозы в корпоративной ИТ-среде DDoS-атаки Направленные атаки Вредоносное ПО Не декларированные возможности серверных ОС Не декларированные возможности СУБД, ERP-систем и иных приложений Закладки в оборудовании (сетевом, серверном, мобильном) Социальная инженерия
- 11. Основные подходы к противодействию угрозам ИБ
- 12. 12 Принципы “не…” Импортозамещение средств защиты как таковое не является панацеей и само по себе не гарантирует защищенность корпоративной среды Формальные критерии выбора продуктов ИБ (в том числе на базе анализа Gartner) не гарантируют выбор наилучшего решения в целом для конкретного применения Вендор-центричный подход к выбору средств защиты не обеспечивает должный уровень безопасности. Абсолютных лидеров по всем направлениям нет и скорее всего уже не будет Обеспечение периметриальной защиты ИТ-инфраструктуры, практикуемое большинством заказчиков, не обеспечивает защиту от современных угроз Построение эффективной системы защиты в корпоративной среде невозможно без моделирования поведения ИТ-инфраструктуры и информационных систем в защищенном исполнении
- 13. 13 Некоторые нюансы российского рынка Раскрытие исходного кода в рамках сертификации на НДВ все в большей мере присутствует на рынке Требования ФСТЭК по сертификации средств защиты покрывают весь спектр решений ИБ. Акцент ФСТЭК на устранение уязвимостей сертифицированном оборудования и ПО На российском рынке достаточно сертифицированных средств защиты (как иностранного, так и российского производства), что исключает использование несертифицированных средств Российские средства защиты представляют реальную конкуренцию иностранным производителям в ряде секторов
- 14. 14 Ключевые технические меры защиты информации Тотальный мониторинг событий и инцидентов ИБ Использование российских и иностранных средств с различными базами уязвимостей Использование средств анализа кода прикладного ПО 1.Мониторинг 2.Аудит защищенности Сегментация корпоративной информационно-вычислительной сети по видам обрабатываемой информации Исключение избыточного доступа пользователей 3.Сегментация корпоративной сети Использование только российских средств криптозащиты Оптимальное сочетание иностранных и российских средств защиты Обязательная проверка на НДВ на критических объектах 5.Рациональное импортозамещение Анализ команд административного управления Анализ неизменности конфигураций оборудования и ПО Анализ профиля сетевого трафика в целом Анализ поведения пользователей Анализ поведения иностранного ПО во времени 4.Поведенческий анализ
- 15. 15 В России как всегда… Импортозамещение возводится во главу угла. Формируются 4 сообщества: ортодоксальные импортозамещатели - допуск исключительно российских разработчиков, блокирование закупки иностранного оборудования и ПО; восточнозамещатели - замещение западных решений восточными; апологеты опенсорса – замещение проприетарных решений опенсорсными; локализаторы – маскирование западных решений под совместную (или независимую) разработку, поддерживаемую известными вендорами (IBM, HP, Cisco и др.)
- 16. 16 А тем временем в Китае… В 2014 г. принят закон, обязывающий иностранные компании открывать код ПО для проверки, если они хотят поставлять свое оборудование и ПО для финансовых организаций IBM первой из высокотехнологичных компаний согласилась предоставить код ряда технологических продуктов. http://www.cnews.ru/news/top/2015-10- 16_ibm_sdalas_vlasti_kitaya_vpervye_poluchili_dostup
- 17. Использование российских средств защиты информации в гетерогенной среде
- 18. 18 Возможности для импортозамещения в ключевых сегментах ИБ Континент АПКШ, Континент SSL/TLS (Код Безопасности) VipNet (Инфотекс) S-Terra (С-Терра Си-Эс-Пи) UserGate Proxy & Firewall (еСЛ Девелопмент) Рубикон (Эшелон) 1.Firewall, VPN, SSL/TLS 3.Обнаружение и блокирование атак на приложения и БД PT Application Firewall, PT MaxPatrol SIEM (Позитив Текнолоджис) Attack Killer (AK), Targeted Attack Detector (ТAD) (ИнфоВотч) Kaspersky Anti-APT (2016, Лаборатория Касперского) АПК «Гарда БД» (МФИ Софт) Kaspersky DDoS Prevention (Лаборатория Касперского) АПК «Периметр» (МФИ Софт) VipNet IDS (Инфотекс) Континент IDS (Код Безопасности) 2.Обнаружение атак на периметр сети
- 19. 19 Возможности для импортозамещения в ключевых сегментах ИБ Kaspersky Private Security Network (KPSN) (Лаборатория Касперского 8.Использование технологии “песочницы” MaxPatrol SIEM (Позитив Текнолоджис) R-Vison IM (R-Vision) MaxPatrol (Позитив Текнолоджис) RedCheck (Алтекс-Софт) R-Vision CM (R-Vision) 5.Мониторинг инцидентов ИБ 4.Аудит защищенности Анализ работы ИС и пользователей: Solar inView (Solar Security) Анализ сетевого трафика АСУТП: Kaspersky Trusted Monitoring System (Лаборатория Касперского) 6.Поведенческий анализ Efros Config Inspector (Газинформсервис) MaxPatrol SIEM (Позитив Текнолоджис) 7.Контроль конфигураций
- 20. 20 Собственные разработки IBS в области ИБ Электронный сервис проверки и формирования электронной подписи ibs_dSig Предназначен для проверки и формирования усиленной квалифицированной электронной подписи в электронных документах, а также проверки валидности квалифицированных сертификатов ключей проверки электронной подписи Может использоваться в системах, использующих массовый электронный юридически значимый документооборот. Разворачивается в виде web-сервиса Высший Арбитражный Суд Российской Федерации Федеральное казначейство Российской Федерации
- 21. Интересные результаты некоторых проектов по защите информации
- 22. 22 Пример 1. Крупный банк • Заказчику было предложено провести расширенный анализ поведенческой активности в сети Выполнялся проект комплексного ИБ- аудита ИТ-инфраструктуры банка • Arbor NSI – анализатор сетевых протоколов Использовано специализированное оборудование • Бот-сеть в защищенной внутренней сети банка, считавшейся безопасной. Выявлены конкретные скомпрометированные хосты Выявлено
- 23. 23 Пример 2. Государственная организация • Построена эшелонированная система защиты • Выстроен мониторинг ИБ Выполнялся проект защиты DMZ-сегмента вычислительной сети, содержащей важные ИТ-ресурсы • Изменился профиль внешней сетевой активности. Наблюдалось “обследование” сетевого периметра с сайтов в КНР, США, России • Обнаружили странный всплеск трафика изнутри наружу сети, который блокировался средствами защиты Результаты ИБ-мониторинга защищенной сети • Один из защищаемых ресурсов ранее был скомпрометирован и передавал вовне данные • Внедрение эшелонированной системы защиты заблокировало взаимодействие с сервером управления шпионского ПО • Был форсирован переход на новую версию защищаемого ресурса, а скомпрометированный был выключен Выявлено
- 24. 24 Пример 3. Крупное производственное предприятие • Утверждалось, что весь доступ в сеть контролируются, сеть резервирована • Утверждалось, что сетевой трафик (офисный, производственный) не смешивается и инфраструктура безопасна Выполнялся проект защиты КИ и ПДн • Сетевой трафик не разделялся в должной мере, компрометация офисной сети могла привести к отказу производственной (АСУ ТП) • При внедрении сетевой защиты выяснилось, что на производственных площадках резервирование сделано “на бумаге” • Выяснилось, что до 1000 человек имеют неограниченный удаленный доступ к критическим ресурсам В ходе проекта выяснилось • Полная криптозащита каналов с разделением потоков офисного и производственного трафика • Проведена полная инвентаризация доступа пользователей к ИТ-ресурсам • Запущен проект по созданию централизованной системы управления доступом к ИТ-инфраструктуре и информационным системам Реализовано
- 25. 25 Пример 4. Коммерческая организация • Утверждалось, что в организации введен режим коммерческой тайны, движение электронных документов выстроено по регламенту • Утверждалось, что в организации контролируется печать на сетевых принтерах • Утверждалось, что действует жесткий регламент доступа в интернет Выполнялся проект защиты от утечек информации (DLP) • Передача защищаемых документов за периметр сети и запись на FLASH- носители – массовая практика • В ряде мест практикуют печать документов 300 и более стр., не относящихся к производственной деятельности • Сетевой серфинг по “веселым” сайтам с последующим скачиванием видео – обычная практика В ходе проекта выяснилось • Проведено несколько расследований с передачей дела в правоохранительные органы • Проведены беседы о недопустимости использования корпоративных ресурсов в личных целях Выполнено
- 26. 26 Выводы Выполнение комплексных ИБ-проектов дает Заказчикам кроме непосредственного эффекта повышения защищенности еще и наиболее мощный эффект повышения эффективности ИТ в целом Инвестиции в ИБ дают длительный положительный эффект для компании, по сравнению с инвестициями в ИТ, часто имеющими короткий экономический эффект Компрометация ИТ-инфраструктуры и информационных систем часто является латентной в течение длительного промежутка времени, нанося ущерб организации Отсутствие у Заказчика целостной эшелонированной системы защиты не позволяет обеспечить должный уровень безопасности информации Технологии защиты информации перешли в разряд оборонных/наступательных военных технологий и требуют соответствующего уровня внимания. Гибридная информационная война – это тренд на десятилетия
- 27. Россия, 127434, Москва, Дмитровское шоссе, 9Б тел.: +7 (495) 967-8080 факс: +7 (495) 967-8081 ibs@ibs.ru www.ibs.ru www.facebook.com/IBS.ru www.twitter.com/ibs_ru