Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
КИБЕР
БЕЗОПАСНОСТЬ
1
КИБЕРБЕЗОПАСНОСТЬ, are you sure?
ПОЯВЛЕНИЕ НОВЫХ
ТЕХНОЛОГИЙ И
БИЗНЕС МОДЕЛЕЙ
▪ Использование мобильных
устройств / BYOD
...
2
Вероятности реализации угроз. Статистика DDoS-атак
Месяцы с наибольшем кол-вом атак (более 1600):
сентябрь, ноябрь, дека...
Количество аномалий по отраслям
Коммерческие ресурсы Развлекательные ресурсы Финансовые ресурсы Государственные ресурсы
3
...
4
НЕМНОГО ЦИФР из нашего SOC
В ТЕЧЕНИЕ 1/2 года
ФИКСИРУЕТСЯ ИНЦИДЕНТОВ ИБ : ~ 22 000 шт.
ИЗ НИХ ~ 20% могли бы привести к ...
5
Традиционный подход
IT Инфраструктура
Администраторы
FW/VPN
IPS/IDS
AntiSPAM
Anti DDoSSIEM WAF
Сеть ISPПользователи Инте...
6
Сервисная модель построения системы защиты информации
✓ Гибкость конфигурации и
✓ Возможность быстрого
наращивания или с...
7
КАК ВСЕ УСТРОЕНО
ФИЗИЧЕСКАЯ
ИНФРАСТРУКТУРА
БАЗЫ ДАННЫХ
ПОЧТА
ПРИЛОЖЕНИЯ
СЕТЕВОЕ
ОБОРУДОВАНИЕ
Внутренняя сеть клиента
WAF...
8
КАК ВСЕ РАБОТАЕТ
СБОР СОБЫТИЙ
▪ FW
▪ IPS/IDS
▪ WAF
▪ VPN
АНАЛИЗ СОБЫТИЙ
▪ мониторинг поступающих событий безопасности в ...
9
УРОВЕНЬ СЕРВИСА
Название параметра Значение параметра
Период предоставления Услуг
24x7
Обнаружение инцидента ИБ,
Регистр...
10
WannaCry, Bro!
• Использует уязвимость во всех версиях Windows, кроме Windows 10
• Ищет уязвимые компьютеры, включая ко...
11
Ростелеком. Противостояние. SOC/MSSP
Москва М9
Новосибирск
Москва М10
Коммерческие
клиенты
Корпоративный центр
Адлер
НО...
12
Клиенты
Гос. сектор
• ФСО
• Электронное
правительство
• Государственные
услуги
• Почта России
• Роскомнадзор
• Департам...
13
ВЫГОДЫ
Оптимизация затрат
Быстрая масштабируемость
Решение кадрового вопроса
Сервис вместо коробки
СПАСИБО
ЗА ВНИМАНИЕ
Макарова Ольга
Руководитель направления ИБ
Тел: +7(343)3791870,
+79126291858
makarova-os@ural.rt.ru
15
Тренды кибербезопасности до 2025 года
 Защита от DDoS-атак.
 Количество атак будет расти, т.к. падает стоимость самой...
Upcoming SlideShare
Loading in …5
×

Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях, опыт телеком-оператора"

183 views

Published on

CIO-Конгресс "Уральские самоцветы 2017". Екатеринбург

Published in: Software
  • Be the first to comment

  • Be the first to like this

Ростелеком. Ольга Макарова. "Информацинная безопасность в современных реалиях, опыт телеком-оператора"

  1. 1. КИБЕР БЕЗОПАСНОСТЬ
  2. 2. 1 КИБЕРБЕЗОПАСНОСТЬ, are you sure? ПОЯВЛЕНИЕ НОВЫХ ТЕХНОЛОГИЙ И БИЗНЕС МОДЕЛЕЙ ▪ Использование мобильных устройств / BYOD ▪ Облачные технологии ▪ Обширная IT инфраструктура ▪ Internet of Things ▪ etc. ПОЯВЛЕНИЕ НОВЫХ КИБЕРУГРОЗ ▪ Инсайдеры ▪ Script-kiddies ▪ Организованная преступность ▪ Конкуренты / хактивисты ▪ Таргетированные атаки НОРМАТИВНЫЕ ТРЕБОВАНИЯ В ЧАСТИ ИБ ▪ Требования регуляторов: ФСТЭК, ФСБ, ЦБ ▪ Требования стандартов: PCI/DSS, ISO 27001 ПОЯВЛЕНИЕ, ВЫЯВЛЕНИЕ И ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ ЗАРАЖЕНИЕ ВРЕДОНОСНЫМ КОДОМ КОМПРОМЕТАЦИЯ ДАННЫХ ФИНАНСОВЫЕ ПОТЕРИ РЕПУТАЦИОННЫЕ РИСКИ DDOS-АТАКИ ПРОВЕРКИ РЕГУЛЯТОРОВ
  3. 3. 2 Вероятности реализации угроз. Статистика DDoS-атак Месяцы с наибольшем кол-вом атак (более 1600): сентябрь, ноябрь, декабрь, январь, февраль, март AntiDDoS от РТК Средняя емкость атаки 100 Гб/с1 DDoS-атака Примечание: 1 - Ежегодный отчет Arbor за 2017 год 2 - habrahabr.ru 3 - https://www.anti-malware.ru Частота атак в месяц возросла на 53% (2016 - 51 атака, в 2015 – 44 атаки)1 Стоимость атаки от 7$ час до 1000$ за домен2 Было отражено 12 677 за год Пиковые значения: 2007 – 24 Гб/с, 2017 – 800 Гб/с1 Ежедневная фильтрация более 50 инцидентов емкостью более 10 Гбит/c кол-во атак за полгода 2017 = кол-во атак за 2016Длительность атаки 4 часа – 12 дней3 Пиковое значение за год – 132 Гб/с
  4. 4. Количество аномалий по отраслям Коммерческие ресурсы Развлекательные ресурсы Финансовые ресурсы Государственные ресурсы 3 Статистика атак по отраслям 43% 16% 23% 17%
  5. 5. 4 НЕМНОГО ЦИФР из нашего SOC В ТЕЧЕНИЕ 1/2 года ФИКСИРУЕТСЯ ИНЦИДЕНТОВ ИБ : ~ 22 000 шт. ИЗ НИХ ~ 20% могли бы привести к значительным потерям СРЕДНИЙ ОБЪЕМ СОБЫТИЙ, ПОСТУПАЮЩИХ В SIEM в секунду: ~ 12 000 eps СРЕДНЕСУТОЧНЫЙ ОБЪЕМ СОБЫТИЙ ИБ, ОБРАБАТЫВАЕМЫЙ В SIEM: ~ 2.5 млрд.
  6. 6. 5 Традиционный подход IT Инфраструктура Администраторы FW/VPN IPS/IDS AntiSPAM Anti DDoSSIEM WAF Сеть ISPПользователи Интернет ✓ Высокие сроки поставки ✓ Необходимость в собственных специалистах ✓ Зависимость от выбранного производителя ✓ Зоопарк оборудования ✓ Необходимость прогнозирования мощности на 3-5 лет ✓ Форма затрат – CAPEX + OPEX ✓ Режим работы – 8х5 или 12х5, редко – 8х7 (15х7)
  7. 7. 6 Сервисная модель построения системы защиты информации ✓ Гибкость конфигурации и ✓ Возможность быстрого наращивания или сокращения мощностей ✓ Единое окно управления всеми СЗИ ✓ Эксплуатация системы защиты силами квалифицированных специалистов ✓ Мониторинг и реагирование на инциденты ИБ в режиме 24х7 ✓ Отсутствует необходимость в большом штате дорогостоящих инженеров ИБ ✓ Форма затрат – OPEX
  8. 8. 7 КАК ВСЕ УСТРОЕНО ФИЗИЧЕСКАЯ ИНФРАСТРУКТУРА БАЗЫ ДАННЫХ ПОЧТА ПРИЛОЖЕНИЯ СЕТЕВОЕ ОБОРУДОВАНИЕ Внутренняя сеть клиента WAF FW/NG-FW VPN IPS SIEM ГРУППА МОНИТОРИНГА ГРУППА РЕАГИРОВАНИЯ СЕРВИС-МЕНЕДЖЕР ГРУППА АДМИНИСТРИРОВАНИЯ СЗИ ЗАКАЗЧИК Endpoint Sec Anti-DDoS Sec scanners ГРУППА АВТОМАТИЗАЦИИ Источники событий
  9. 9. 8 КАК ВСЕ РАБОТАЕТ СБОР СОБЫТИЙ ▪ FW ▪ IPS/IDS ▪ WAF ▪ VPN АНАЛИЗ СОБЫТИЙ ▪ мониторинг поступающих событий безопасности в режиме 24х7х365; ▪ обработка входящих данных и выделение инцидентов; ▪ уведомление Заказчика об инциденте; ▪ сбор необходимых данных для реагирования и расследования инцидента; ▪ мониторинг работоспособности подключенных услуг по обеспечению информационной безопасности; РЕАКЦИЯ НА ОБНАРУЖЕННЫЕ ИНЦИДЕНТЫ ▪ аналитика по инцидентам на основании информации, поступившей из различных источников ▪ определение информационных активов, пострадавших в результате инцидентов ИБ ▪ принятие оперативных мер для устранения инцидента (в команде с IT-службой) ▪ анализ причин возникновения инцидента ▪ принятие мер для устранения причин возникновения инцидента ▪ Anti-DDoS ▪ Vulnerability scanners ▪ Endpoint ▪ Сетевое оборудование
  10. 10. 9 УРОВЕНЬ СЕРВИСА Название параметра Значение параметра Период предоставления Услуг 24x7 Обнаружение инцидента ИБ, Регистрация инцидента ИБ 1 – Критический ▪ до 15 минут 2 – Высокий 3 – Средний Проверка ложного срабатывания, Уведомление Заказчика об инциденте ИБ 1 – Критический ▪ до 30 минут 2 – Высокий ▪ до 120 минут 3 – Средний ▪ до 120 минут Время выдачи рекомендаций по противодействию 1 – Критический ▪ до 2 часов 2 – Высокий ▪ до 6 часов 3 – Средний ▪ до 12 часов
  11. 11. 10 WannaCry, Bro! • Использует уязвимость во всех версиях Windows, кроме Windows 10 • Ищет уязвимые компьютеры, включая компьютеры доступные из интернета • Если какой-либо из пользователей или гостей принесет свой ноутбук, содержащий WannaCry, и подключит его к внутренней локальной сети, то червь автоматически попытается заразить корпоративные ресурсы • Для заражения компьютеров недоступных по сети, злоумышленники рассылают фишинговые письма. Если пользователь откроет вложение в таком письме, то его ПК также будет заражен WannaCry • Пытается установить соединение с узлами DarkNet для передачи трафика через нее и скрытия узлов управления. При этом адреса подключения к командным центрам меняются, чтобы помешать блокированию по известным адресам. • После заражения компьютера WannaCry шифрует все важные файлы и требует выкуп за расшифровку WannaCry Финансы • Всего 42 000 долларов США составил «официальный» доход киберпреступников • Остановка Enterprise-бизнеса на 1 день – от 80 млн. рублей в день и больше. • Стоимость атаки дешевеет и не требует высококвалифицированной компетенции • Атака может быть не только из-за финансовой выгоды
  12. 12. 11 Ростелеком. Противостояние. SOC/MSSP Москва М9 Новосибирск Москва М10 Коммерческие клиенты Корпоративный центр Адлер НОП Шаг 1 Благодаря действующей процедуре регулярного тестирования и установки обновлений безопасности, на корпоративных компьютерах своевременно была устранена данная уязвимость. Используемые сканеры безопасности позволили команде SOC обнаружить компьютеры, на которых по каким-либо причинам не было установлено обновление и принять соответствующие меры. Благодаря установленным и обновляемым антивирусам на рабочих ПК команда SOC получила уведомление, в случае попытки заражения. Шаг 2 Порты Windows, используемые WannaCry, блокированы нашими межсетевыми экранами. Команда SOС получила уведомление от сетевых средствах обнаружения вторжений IPSIDS, имеющих обновление для обнаружения в сети действий, характерных для WannaCry, включая сканирование, подключение к командным центрам и т.д. Процедура периодический анализ открытых портов на внешнего периметре Ростелеком позволяет контролировать отсутствие открытых портов уязвимых или неавторизованных сервисов Подключения неавторизованных компьютеров к внутренней сети блокируется настройками сетевых устройств. Компьютеры, подключаемые к гостевому WiFi полностью изолированы от корпоративной сети. Используемое сегментирование сети позволяет быстро изолировать сегмент, в случае его заражения. Шаг 3 Доступ к DarkNet блокируется сетевыми средствами защиты и не позволяет WannaCry подключатся к командным центрам Команда SOC непрерывно получает разведывательные данные (Treat Intelligent) о новых индикаторах компрометации вредоносным ПО (IP-адреса, узлы Tor, DNS-имена, имена и хеши файлов). Это позволяет своевременно обнаружить новые попытки заражения корпоративных ресурсов, в случае модификации WannaCry Подозрительные файлы запускаются и анализируются командой SOC изолированной среде («песочнице»), что позволяет обнаруживать ещё неизвестное или модифицированное вредоносное ПО, включая модификации WannaCry Шаг 4 В Ростелекоме запущен проект по управлению навыками пользователей, что значительно повышает вероятность распознавания и удаления сотрудником поддельного письма с вредоносным вложением или ссылкой. Культура кибербезопасности Все важные для файлы сохраняются на сетевых серверах РТК и регулярно создается резервная копия . Это позволяет восстановить практически все важны файлы из архива даже в случае заражения.
  13. 13. 12 Клиенты Гос. сектор • ФСО • Электронное правительство • Государственные услуги • Почта России • Роскомнадзор • Департамент информатизации Тюменской области Банковский сектор • Сбербанк • ВТБ • Альфабанк • Сургутнефтегазбан к • СКБ-Банк • УралТрансбанк Корпоративный сектор • Евросеть • QIWI • Мвидео • ВГТРК • СКБ-контур • Вычислительный центр
  14. 14. 13 ВЫГОДЫ Оптимизация затрат Быстрая масштабируемость Решение кадрового вопроса Сервис вместо коробки
  15. 15. СПАСИБО ЗА ВНИМАНИЕ Макарова Ольга Руководитель направления ИБ Тел: +7(343)3791870, +79126291858 makarova-os@ural.rt.ru
  16. 16. 15 Тренды кибербезопасности до 2025 года  Защита от DDoS-атак.  Количество атак будет расти, т.к. падает стоимость самой атаки + широкое распространениеIoT  Защита малого и среднего бизнеса от типовых атак  Существенное увеличение количества атак на малый и средний бизнес за счет низкого уровня защищенности таких компаний  Защита от таргетированных атак  Если раньше основной целью APT-атак был в основном саботаж или кибершпионаж, то теперь этот инструмент все чаще используется и непосредственно для обогащения злоумышленников. Атаки дешевеют и не требуют высококвалифицированных компетенций  Безопасность АСУ ТПIIoTIoT  Повышение уровня автоматизации повышение производительности, снижение влияния человеческого фактора, оптимизация процессов, доступ к данным для анализа трендов. Стандартные IT платформы Windows, SAP, и TCP/IP являются новыми стандартными платформами для контроля процессов  Безопасность BYOD  Повышение количества личных устройств сотрудников, используемых для работы  Повышение числа предприятий, предоставляющих сотрудникам смартфоны и планшеты для корпоративных нужд  Искусственный интеллект (Big Data, ML, UBA, AI)  Предсказание и предотвращение проблемы до того, как она произошла  В условиях кризиса выгоднее наращивать не количество ИТ- и ИБ-систем, а модернизировать функционал уже существующих, в том числе – посредством ввода аналитических инструментов.  Аутсорсинг услуг ИБ  Экономический эффект и выгода. Компании начинают формировать стратегию и считать риски, отдавая функцию ИТИБ в аутсорсинг.  Импортозамещение  Совершенствование законодательства и новая стратегия развития цифрового сообщества  Повышение культуры кибербезопасности  Воспитание гражданского общества, концепция дома – гражданин, на работе – сотрудник. Цифровая гигиена должна быть на всех слоях жизни

×