2. 1
КИБЕРБЕЗОПАСНОСТЬ, are you sure?
ПОЯВЛЕНИЕ НОВЫХ
ТЕХНОЛОГИЙ И
БИЗНЕС МОДЕЛЕЙ
▪ Использование мобильных
устройств / BYOD
▪ Облачные технологии
▪ Обширная IT инфраструктура
▪ Internet of Things
▪ etc.
ПОЯВЛЕНИЕ НОВЫХ
КИБЕРУГРОЗ
▪ Инсайдеры
▪ Script-kiddies
▪ Организованная преступность
▪ Конкуренты / хактивисты
▪ Таргетированные атаки
НОРМАТИВНЫЕ
ТРЕБОВАНИЯ
В ЧАСТИ ИБ
▪ Требования регуляторов:
ФСТЭК, ФСБ, ЦБ
▪ Требования стандартов:
PCI/DSS, ISO 27001
ПОЯВЛЕНИЕ, ВЫЯВЛЕНИЕ И
ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ
ЗАРАЖЕНИЕ ВРЕДОНОСНЫМ КОДОМ
КОМПРОМЕТАЦИЯ ДАННЫХ
ФИНАНСОВЫЕ ПОТЕРИ
РЕПУТАЦИОННЫЕ РИСКИ
DDOS-АТАКИ
ПРОВЕРКИ РЕГУЛЯТОРОВ
3. 2
Вероятности реализации угроз. Статистика DDoS-атак
Месяцы с наибольшем кол-вом атак (более 1600):
сентябрь, ноябрь, декабрь, январь, февраль, март
AntiDDoS от РТК
Средняя емкость атаки 100 Гб/с1
DDoS-атака
Примечание:
1 - Ежегодный отчет Arbor за 2017 год
2 - habrahabr.ru
3 - https://www.anti-malware.ru
Частота атак в месяц возросла на 53% (2016 - 51
атака, в 2015 – 44 атаки)1
Стоимость атаки от 7$ час до 1000$ за домен2
Было отражено 12 677 за год
Пиковые значения: 2007 – 24 Гб/с, 2017
– 800 Гб/с1
Ежедневная фильтрация более 50 инцидентов
емкостью более 10 Гбит/c
кол-во атак за полгода 2017 = кол-во атак за
2016Длительность атаки 4 часа – 12 дней3
Пиковое значение за год – 132 Гб/с
4. Количество аномалий по отраслям
Коммерческие ресурсы Развлекательные ресурсы Финансовые ресурсы Государственные ресурсы
3
Статистика атак по отраслям
43%
16%
23%
17%
5. 4
НЕМНОГО ЦИФР из нашего SOC
В ТЕЧЕНИЕ 1/2 года
ФИКСИРУЕТСЯ ИНЦИДЕНТОВ ИБ : ~ 22 000 шт.
ИЗ НИХ ~ 20% могли бы привести к значительным
потерям
СРЕДНИЙ ОБЪЕМ СОБЫТИЙ,
ПОСТУПАЮЩИХ В SIEM в секунду:
~ 12 000 eps
СРЕДНЕСУТОЧНЫЙ ОБЪЕМ СОБЫТИЙ ИБ,
ОБРАБАТЫВАЕМЫЙ В SIEM:
~ 2.5 млрд.
6. 5
Традиционный подход
IT Инфраструктура
Администраторы
FW/VPN
IPS/IDS
AntiSPAM
Anti DDoSSIEM WAF
Сеть ISPПользователи Интернет
✓ Высокие сроки поставки
✓ Необходимость в собственных специалистах
✓ Зависимость от выбранного производителя
✓ Зоопарк оборудования
✓ Необходимость прогнозирования мощности на 3-5 лет
✓ Форма затрат – CAPEX + OPEX
✓ Режим работы – 8х5 или 12х5, редко – 8х7 (15х7)
7. 6
Сервисная модель построения системы защиты информации
✓ Гибкость конфигурации и
✓ Возможность быстрого
наращивания или сокращения мощностей
✓ Единое окно управления всеми
СЗИ
✓ Эксплуатация системы защиты
силами квалифицированных
специалистов
✓ Мониторинг и реагирование на
инциденты ИБ в режиме 24х7
✓ Отсутствует необходимость в
большом штате дорогостоящих
инженеров ИБ
✓ Форма затрат – OPEX
8. 7
КАК ВСЕ УСТРОЕНО
ФИЗИЧЕСКАЯ
ИНФРАСТРУКТУРА
БАЗЫ ДАННЫХ
ПОЧТА
ПРИЛОЖЕНИЯ
СЕТЕВОЕ
ОБОРУДОВАНИЕ
Внутренняя сеть клиента
WAF FW/NG-FW
VPN
IPS
SIEM
ГРУППА
МОНИТОРИНГА
ГРУППА
РЕАГИРОВАНИЯ
СЕРВИС-МЕНЕДЖЕР
ГРУППА
АДМИНИСТРИРОВАНИЯ
СЗИ
ЗАКАЗЧИК
Endpoint
Sec
Anti-DDoS
Sec
scanners
ГРУППА
АВТОМАТИЗАЦИИ
Источники событий
9. 8
КАК ВСЕ РАБОТАЕТ
СБОР СОБЫТИЙ
▪ FW
▪ IPS/IDS
▪ WAF
▪ VPN
АНАЛИЗ СОБЫТИЙ
▪ мониторинг поступающих событий безопасности в режиме 24х7х365;
▪ обработка входящих данных и выделение инцидентов;
▪ уведомление Заказчика об инциденте;
▪ сбор необходимых данных для реагирования и расследования инцидента;
▪ мониторинг работоспособности подключенных услуг по обеспечению информационной
безопасности;
РЕАКЦИЯ
НА ОБНАРУЖЕННЫЕ
ИНЦИДЕНТЫ
▪ аналитика по инцидентам на основании информации, поступившей из различных
источников
▪ определение информационных активов, пострадавших в результате инцидентов ИБ
▪ принятие оперативных мер для устранения инцидента (в команде с IT-службой)
▪ анализ причин возникновения инцидента
▪ принятие мер для устранения причин возникновения инцидента
▪ Anti-DDoS
▪ Vulnerability scanners
▪ Endpoint
▪ Сетевое оборудование
10. 9
УРОВЕНЬ СЕРВИСА
Название параметра Значение параметра
Период предоставления Услуг
24x7
Обнаружение инцидента ИБ,
Регистрация инцидента ИБ
1 – Критический
▪ до 15 минут
2 – Высокий
3 – Средний
Проверка ложного срабатывания,
Уведомление Заказчика об
инциденте ИБ
1 – Критический ▪ до 30 минут
2 – Высокий ▪ до 120 минут
3 – Средний ▪ до 120 минут
Время выдачи рекомендаций по
противодействию
1 – Критический ▪ до 2 часов
2 – Высокий ▪ до 6 часов
3 – Средний ▪ до 12 часов
11. 10
WannaCry, Bro!
• Использует уязвимость во всех версиях Windows, кроме Windows 10
• Ищет уязвимые компьютеры, включая компьютеры доступные из интернета
• Если какой-либо из пользователей или гостей принесет свой ноутбук,
содержащий WannaCry, и подключит его к внутренней локальной сети, то
червь автоматически попытается заразить корпоративные ресурсы
• Для заражения компьютеров недоступных по сети, злоумышленники
рассылают фишинговые письма. Если пользователь откроет вложение в
таком письме, то его ПК также будет заражен WannaCry
• Пытается установить соединение с узлами DarkNet для передачи трафика
через нее и скрытия узлов управления. При этом адреса подключения к
командным центрам меняются, чтобы помешать блокированию по
известным адресам.
• После заражения компьютера WannaCry шифрует все важные файлы и
требует выкуп за расшифровку
WannaCry
Финансы
• Всего 42 000 долларов США составил «официальный» доход
киберпреступников
• Остановка Enterprise-бизнеса на 1 день – от 80 млн. рублей в
день и больше.
• Стоимость атаки дешевеет и не требует
высококвалифицированной компетенции
• Атака может быть не только из-за финансовой выгоды
12. 11
Ростелеком. Противостояние. SOC/MSSP
Москва М9
Новосибирск
Москва М10
Коммерческие
клиенты
Корпоративный центр
Адлер
НОП
Шаг 1
Благодаря действующей процедуре регулярного тестирования и установки обновлений безопасности, на
корпоративных компьютерах своевременно была устранена данная уязвимость.
Используемые сканеры безопасности позволили команде SOC обнаружить компьютеры, на которых по
каким-либо причинам не было установлено обновление и принять соответствующие меры.
Благодаря установленным и обновляемым антивирусам на рабочих ПК команда SOC получила
уведомление, в случае попытки заражения.
Шаг 2
Порты Windows, используемые WannaCry, блокированы нашими межсетевыми экранами.
Команда SOС получила уведомление от сетевых средствах обнаружения вторжений IPSIDS, имеющих
обновление для обнаружения в сети действий, характерных для WannaCry, включая сканирование,
подключение к командным центрам и т.д.
Процедура периодический анализ открытых портов на внешнего периметре Ростелеком позволяет
контролировать отсутствие открытых портов уязвимых или неавторизованных сервисов
Подключения неавторизованных компьютеров к внутренней сети блокируется настройками сетевых
устройств.
Компьютеры, подключаемые к гостевому WiFi полностью изолированы от корпоративной сети.
Используемое сегментирование сети позволяет быстро изолировать сегмент, в случае его заражения.
Шаг 3
Доступ к DarkNet блокируется сетевыми средствами защиты и не позволяет WannaCry подключатся к
командным центрам
Команда SOC непрерывно получает разведывательные данные (Treat Intelligent) о новых индикаторах
компрометации вредоносным ПО (IP-адреса, узлы Tor, DNS-имена, имена и хеши файлов). Это позволяет
своевременно обнаружить новые попытки заражения корпоративных ресурсов, в случае модификации
WannaCry
Подозрительные файлы запускаются и анализируются командой SOC изолированной среде («песочнице»),
что позволяет обнаруживать ещё неизвестное или модифицированное вредоносное ПО, включая
модификации WannaCry
Шаг 4
В Ростелекоме запущен проект по управлению навыками пользователей, что
значительно повышает вероятность распознавания и удаления сотрудником
поддельного письма с вредоносным вложением или ссылкой.
Культура кибербезопасности
Все важные для файлы сохраняются на сетевых серверах РТК и регулярно
создается резервная копия . Это позволяет восстановить практически все важны
файлы из архива даже в случае заражения.
13. 12
Клиенты
Гос. сектор
• ФСО
• Электронное
правительство
• Государственные
услуги
• Почта России
• Роскомнадзор
• Департамент
информатизации
Тюменской области
Банковский сектор
• Сбербанк
• ВТБ
• Альфабанк
• Сургутнефтегазбан
к
• СКБ-Банк
• УралТрансбанк
Корпоративный
сектор
• Евросеть
• QIWI
• Мвидео
• ВГТРК
• СКБ-контур
• Вычислительный
центр
16. 15
Тренды кибербезопасности до 2025 года
Защита от DDoS-атак.
Количество атак будет расти, т.к. падает стоимость самой атаки + широкое распространениеIoT
Защита малого и среднего бизнеса от типовых атак
Существенное увеличение количества атак на малый и средний бизнес за счет низкого уровня защищенности таких компаний
Защита от таргетированных атак
Если раньше основной целью APT-атак был в основном саботаж или кибершпионаж, то теперь этот инструмент все чаще используется и
непосредственно для обогащения злоумышленников. Атаки дешевеют и не требуют высококвалифицированных компетенций
Безопасность АСУ ТПIIoTIoT
Повышение уровня автоматизации повышение производительности, снижение влияния человеческого фактора, оптимизация процессов, доступ к
данным для анализа трендов. Стандартные IT платформы Windows, SAP, и TCP/IP являются новыми стандартными платформами для контроля
процессов
Безопасность BYOD
Повышение количества личных устройств сотрудников, используемых для работы
Повышение числа предприятий, предоставляющих сотрудникам смартфоны и планшеты для корпоративных нужд
Искусственный интеллект (Big Data, ML, UBA, AI)
Предсказание и предотвращение проблемы до того, как она произошла
В условиях кризиса выгоднее наращивать не количество ИТ- и ИБ-систем, а модернизировать функционал уже существующих, в том числе –
посредством ввода аналитических инструментов.
Аутсорсинг услуг ИБ
Экономический эффект и выгода. Компании начинают формировать стратегию и считать риски, отдавая функцию ИТИБ в аутсорсинг.
Импортозамещение
Совершенствование законодательства и новая стратегия развития цифрового сообщества
Повышение культуры кибербезопасности
Воспитание гражданского общества, концепция дома – гражданин, на работе – сотрудник. Цифровая гигиена должна быть на всех слоях жизни