Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях...
САИБ. Максим Прокопов: "Практика расследования компьютерных преступлений с применением технического инструментария"
1. Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015#CODEIB
Прокопов Максим
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,
Сибирской Академии
Информационной Безопасности
ПРАКТИКА ПРЕДОТВРАЩЕНИЯ
ИНЦИДЕНТОВ В ИС С ПРИМЕНЕНИЕМ
ТЕХНИЧЕСКИХ СРЕДСТВ
SKYPE
EMAIL
MAKSIM_PROKOPOV
PMD@AXXTEL.RU
2. ЕСТЬ ЛИ У ВАС ИНЦИДЕНТЫ
?ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
?КТО НАШИ ЗАКАЗЧИКИ
2014 .Начиная с середины г
#CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
1. НАРУШЕНИЕ ПОЛИТИК
2. НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА
3. ДЕЙСТВИЯ, ПОВЛЕКШИЕ УЩЕРБ ДЛЯ КОМПАНИИ
3. 1
НЕ ДОПУСТИТЬ
ПОЯВЛЕНИЯ НОВЫХ
ИНЦИДЕНТОВ 2 ОПЕРАТИВНО ВЫЯВЛЯТЬ
ИНЦИДЕНТЫ
3
МИНИМИЗИРОВАТЬ РИСКИ
ОТ СОВЕРШЕННЫХ ИНЦИДЕНТОВ
, IPAD - .МНЕНИЕ ЧТО НЕ БОЛЕЕ ЧЕМ ИГРУШКА
. IPADЭТО В КОРНЕ НЕВЕРНО У ЕСТЬ РЯД БЕССПОРНЫХ
, .ЩЕСТВ ПОЛНОСТЬЮ ОПРАВДЫВАЮЩИХ ЕГО СТОИМОСТЬ
5 ОЧЕВИДНЫХ ПРИЧИН ПРИОБРЕСТИ iPAD
3
#CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
4. #CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
ПРИМЕРЫ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Лентяи
30%Менее
рабочеговремени
ЗЛОУМЫШЛЕННИКИ Опасное ПО
Наносятущерб
компании
Лазейкадля
злоумышленников
АВАРИИ
Ущербдлякомпании
4 .Сотрудники сидят в интернете на развлекательных сайтах по часа Играют в игры на
. .работе Перекладывают свои обязанности на других Сотрудники копируют
. .конфиденциальные данные компании Сотрудники одновременно работаю на другой работе
.Сотрудники работаю на конкурента Сотрудник хочет создать собственную конкурентную
. .компанию Сотрудники распространяют государственную тайну Используется
– ,потенциальное опасное ПО содержащее уязвимости позволяющие скрытую передачу
, .данных дающие возможность деструктивного влияния на ИТ инфраструктуру компании
.Выясняется что административные пароли передаются по открытым каналам Сотрудники
.использую средства удаленного управления Администраторы сделали бреши в межсетевом
.периметре компании для удобства Оставлены закладки в самописном программном
.обеспечении
4 .Сотрудники сидят в интернете на развлекательных сайтах по часа Играют в игры на
. .работе Перекладывают свои обязанности на других Сотрудники копируют
. .конфиденциальные данные компании Сотрудники одновременно работаю на другой работе
.Сотрудники работаю на конкурента Сотрудник хочет создать собственную конкурентную
. .компанию Сотрудники распространяют государственную тайну Используется
– ,потенциальное опасное ПО содержащее уязвимости позволяющие скрытую передачу
, .данных дающие возможность деструктивного влияния на ИТ инфраструктуру компании
.Выясняется что административные пароли передаются по открытым каналам Сотрудники
.использую средства удаленного управления Администраторы сделали бреши в межсетевом
.периметре компании для удобства Оставлены закладки в самописном программном
.обеспечении
Уязвимости
Лазейкадля
злоумышленников
5. DLP VS. SIEM VS. NGFW VS. СКАНЕРЫ
ТЕХНОЛОГИИ ИНСТРУМЕНТАЛЬНОГО АНАЛИЗА
ЛЕНТЯИ
ЗЛОУМЫШЛЕННИКИ
ОПАСНОЕ ПО
УЯЗВИМОСТИ
#CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
СКАНЕРЫNGFWSIEMDLP
АНТИФРОД
8. #CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
1. Текст переданный по коммуникационным каналам (мессенджеры, веб) совпал
со словом из словаря Зона.04.1.Состояние_сотрудников: “устал работать”,
“депрессия”, “ненавижу” и т.д.;
2. Текст переданный по коммуникационным каналам (почта, мессенджеры, веб)
совпал со словом из словаря Зона.05.1.Проявление_недовольства И совпал с
одной из указной должностью (обращением) – босс, шеф… (под конкретные
организации делаются персональные расширения);
3. Текст переданный по коммуникационным каналам (почта, мессенджеры, веб)
совпал со словом из словаря Зона.05.2.Нецензурная лексика.
МОРАЛЬНОЕ СОСТОЯНИЕ КОЛЛЕКТИВА
9. #CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
Автоматическое отслеживание критических
событий:
1.Появление новых привилегированных учетных
записей;
2.Выявление уязвимостей;
3.Переборы паролей авторизации к ключевым
объектам;
4.Сканирование портов внутри сети;
5.Быстрорастущие папки на сетевых хранилищах;
6. . .И т д
Перехват данных с
видеокамер
Удаленное управление ИТ
инфраструктурой
Взлом Wi-Fi
Перехват конфиденциальных
документов
10. #CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
1.Слово “Резюме” совместно со словами:
“образец”, “найти”, “составить”, “хорошее”;
2.Словосочетания: “сменить работу”, “найти
работу”, “ищу работу”, “уволиться уволюсь”,
“вакансия”;
3.Перехват файла с входящим в название словом
“Резюме”. Со словами в письме: “направляю”,
“пришлю”, “во вложении” и т.д.;
4.Контекстная проверка файлов по породу
срабатывания на выражения встречающиеся в
резюме: “испытательный срок”, “трудовой стаж”,
“навыки и опыт” и т.д.
Отдел кадров фильтруем!
5.Посещение сайтов поиска работы;
6.Запросы в интернет поисковиках связанные с
увольнением.
ПОИСК РАБОТЫ
11. #CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
Концептуальные описания правил учета рабочего времени:
1.Отметить сотрудников, чья работа за компьютером началась позже 9.20;
2.Отметить сотрудников, чья работа за компьютером заканчивается раньше 17.40;
3.Определить сотрудников, не отрабатывающих норму часов;
4.Определить, чьи компьютеры простаивали без активности в день более чем 38% рабочего
времени;
5.Определить, кто из сотрудников запускал игры в рабочее время;
6.Определить, сотрудников занимающихся активным «серфингом» в интернете;
7.Определить, сотрудников, распечатывающих на принтере больше страниц, чем
необходимо в рамках их служебных обязанностей;
8.Определить, сотрудников посещающих социальные сети в рабочее время.
УЧЕТ РАБОЧЕГО ВРЕМЕНИ
14. СПАСИБО ЗА ВНИМАНИЕ!
ВЫ ВСЕГДА МОЖЕТЕ СО МНОЙ СВЯЗАТЬСЯ, ЕСЛИ У ВАС ВОЗНИКЛИ ПОДОЗРЕНИЯ
НА НАЛИЧИЕ НЕКОНТРОЛИРУЕМЫХ ИНЦИДЕНТОВ ИБ У ВАС В КОМПАНИИ
ПРОКОПОВ МАКСИМ
ГЕНЕРАЛЬНЫЙ ДИРЕКТОР,
СИБИРСКАЯ АКАДЕМИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
#CODEIB
Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
РУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ ИБ,
ГК АКСТЕЛ
СТАРШИЙ ПРЕПОДАВАТЕЛЬ,
КАФЕДРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, НГУЭУ
SKYPE
EMAIL
MAKSIM_PROKOPOV
PMD@AXXTEL.RU
WEB SITE
WEB SITE
WWW.SAIB.BIZ
WWW.AXXTEL.RU