Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Prozorov Pr

  • Be the first to comment

  • Be the first to like this

Prozorov Pr

  1. 1. Зомби-сети проблемы и перспективы 10-й Российский Интернет Форум «Информационная безопасность» Прозоров Александр Александрович ИСТ ЛАЙН, Управляющая компания
  2. 2. <ul><li>Вступительное слово </li></ul><ul><li>Определения зомби-сети </li></ul><ul><ul><li>Факт </li></ul></ul><ul><ul><li>Экономическое определение </li></ul></ul><ul><ul><li>Технологическое определение </li></ul></ul><ul><li>Причины появления и существования зомби-сетей </li></ul><ul><ul><li>Мейнстрим: парадигма жадности (максимизация прибыли) </li></ul></ul><ul><ul><li>“ Среда обитания ” : причины появления </li></ul></ul><ul><ul><li>“ Среда обитания ” : мета-уязвимости </li></ul></ul><ul><ul><li>“ Среда обитания ” место в удовлетворении потребностей общества </li></ul></ul><ul><li>Модель спроса и предложения </li></ul><ul><ul><li>Добавленная стоимость: принцип организации </li></ul></ul><ul><ul><li>Добавленная стоимость: архитектура </li></ul></ul><ul><ul><li>Добавленная стоимость: услуги </li></ul></ul><ul><ul><li>Добавленная стоимость: причины спроса </li></ul></ul><ul><ul><li>Тренды изменения спроса </li></ul></ul><ul><ul><li>Перспективы “ среды обитания ” </li></ul></ul><ul><li>Тренды эволюции зомби-сетей </li></ul><ul><li>Способы снижения рисков </li></ul><ul><ul><li>По направлению “ Профилактика ” </li></ul></ul><ul><ul><li>По направлению “ Лечение ” </li></ul></ul><ul><li>Выводы </li></ul>Структура доклада РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  3. 3. <ul><li>Цель доклада </li></ul><ul><li>Поставить вопрос о расширении контекста рассмотрения зомби-сетей как сугубо технократического явления, указав при этом на его экономическую и социальную составляющие. Сделать упор на отсутствие случайности , которая могла бы лежать в основе зарождения зомби-сетей. </li></ul><ul><li>Целевые ориентиры доклада </li></ul><ul><ul><li>Зомби-сети – “ побочный ” продукт эволюции массового ICT- производства </li></ul></ul><ul><ul><li>Зомби-сети – источник высокотехнологичного интереса, канализирующий умы талантливых разработчиков </li></ul></ul><ul><ul><li>Зомби-сети – инструментарий “ в руках ” экономического интереса </li></ul></ul><ul><ul><li>Зомби-сети – “ неутешительные ” тренды эволюции </li></ul></ul><ul><ul><li>Зомби-сети – не “ Судный день ” , есть еще “ место под Солнцем ” </li></ul></ul>Вступительное слово РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  4. 4. Определения зомби-сети Факт: Зомби-сеть – сеть из инфицированных вредоносным программным обеспечением машин (компьютеров), управляемая из центра. Пользователи инфицированных компьютеров не догадываются, что их машина используется кем-то, кроме них, т.к. факт заражения всяческим образом маскируется. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы <ul><li>“ Экономическое ” определение: </li></ul><ul><li>Зомби-сеть – универсальная вычислительная распределенная среда, обладающая двумя ключевыми свойствами: </li></ul><ul><ul><li>Скрыт факт ее существования </li></ul></ul><ul><ul><li>Анонимен ее владелец </li></ul></ul><ul><li>“ Технологическое ” определение: </li></ul><ul><li>Зомби-сеть – технология тиражирования скрытых сетей сбора, обработки и передачи данных, в задачи которой входит: </li></ul><ul><ul><li>Создание новых сетей </li></ul></ul><ul><ul><li>Наращивание популяции существующей сети </li></ul></ul><ul><ul><li>Гигиена и санация сети </li></ul></ul>
  5. 5. “ Среда обитания ” : причины появления <ul><li>Скоротечная мода на новые ICT- продукты и их массовое производство привели к появлению “ среды обитания ” зомби-сетей: </li></ul><ul><li>Повсеместно используется массовый продукт с множеством незапланированных (неизвестных) свойств </li></ul><ul><li>Повсеместно востребована массовая, низко квалифицированная рабочая сила </li></ul><ul><li>Повсеместно используется громоздкий инструментарий, содержащий незапланированные свойства </li></ul><ul><li>Повсеместно выстроена система обучения рабочей силы, ориентированная на выпуск специалистов узкой квалификации. </li></ul>РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  6. 6. “ Среда обитания ” : мета-уязвимости <ul><li>Массовый около- “ информационный ” культурно-технологический контекст воспроизводится и создает “полузнакомую” для обывателя среду – массовые информационно коммуникационные продукты. “ Среда ” таит в себе следующие ключевые возможности для злоумышленников : </li></ul><ul><li>До конца не известны многочисленные свойства, которыми она обладает (есть место уязвимостям) </li></ul><ul><li>Талантливые и неординарные представители рабочей силы не востребованы в массовом производстве – не вписываются в его рутинный процесс (идут в underground) </li></ul><ul><li>Массовость приобретает действительно массовые масштабы (вариабельность ICT-продуктов снижается, что ведет к снижению объема работы/сложности поиска уязвимостей). </li></ul>РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  7. 7. “ Среда обитания ” : место в удовлетворении потребностей общества РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  8. 8. Добавленная стоимость: принцип организации РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  9. 9. Добавленная стоимость: архитектура РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  10. 10. Добавленная стоимость: услуги связи <ul><li>“ Anonymizer” – услуга по сокрытию информационной трансакции. </li></ul><ul><li>Гарантирует сокрытие факта обмена информацией, саму информацию и контрагентов, которые участвуют в трансакции. Используется для: </li></ul><ul><ul><li>Проведения сеанса обмена информацией, когда нужно скрыть сам факт обмена </li></ul></ul><ul><ul><li>Распространения информации, когда нужно скрыть истинного инициатора обмена </li></ul></ul>РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы “ Скрытая сеть ” – услуга по сокрытию канала обмена информацией. Гарантирует сокрытие канала обмена информацией, саму информацию и контрагентов, которые участвуют в информационном обмене. Используется для регулярного обмена конфиденциальной или противоправной информацией
  11. 11. Добавленная стоимость: услуги распределенных вычислений <ul><li>“ Стартовая площадка ” – услуга по организации скрытой, массовой стартовой площадки. </li></ul><ul><li>Гарантирует одновременные, массированные, не поддающиеся контролю со стороны провайдеров, распределенные атаки или рассылки контента различного содержания. Используется для: </li></ul><ul><ul><li>Расширения популяции и создания новых зомби-сетей </li></ul></ul><ul><ul><li>Рассылки рекламы (спама) </li></ul></ul><ul><ul><li>Проведения атак DDoS </li></ul></ul>РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы <ul><li>“ Вычислительная площадка ” – услуга по сокрытию канала обмена информацией. </li></ul><ul><li>Гарантирует одновременные, массированные, не поддающиеся контролю со стороны провайдеров, распределенные вычисления различного назначения. Используется для: </li></ul><ul><ul><li>Шпионажа различного вида и назначения </li></ul></ul><ul><ul><li>Кражи конфиденциальной информации </li></ul></ul><ul><ul><li>Кражи ICT ресурсов пользователей (вычисления “ за чужой счет ” ) </li></ul></ul>
  12. 12. Добавленная стоимость: причины спроса Зомби-сети: проблемы и перспективы РИФ 2006: Информационная безопасность <ul><li>Причины проведения вычислений “ за чужой счет ” : </li></ul><ul><ul><li>Тариф может быть ниже, чем в вычислительных центрах ( “ чужие мощности в аренду ” ) </li></ul></ul><ul><ul><li>Цель вычислений противоречит международной морали и праву </li></ul></ul><ul><ul><li>Необходимо скрыть факт вычислений/владельца результатов вычислений </li></ul></ul><ul><li>Причины проведения скрытых сеансов обмена информацией : </li></ul><ul><ul><li>Тайный сговор участников рынка, например, биржевых трейдеров, с целью изменить стоимость заданных акций </li></ul></ul><ul><ul><li>Тайный сговор преступных, террористических или иных организаций </li></ul></ul><ul><ul><li>Распространение информации, компрометирующей влиятельные силы </li></ul></ul>
  13. 13. Тренды изменения спроса <ul><li>Растет традиционная преступная деятельность </li></ul><ul><ul><li>Объем мирового преступного рынка в 2005 году – $1,5 трлн </li></ul></ul><ul><ul><li>Объем рынка ICT в 2005 году – €2 трлн (EITO) </li></ul></ul><ul><li>Растет информационное насилие </li></ul><ul><ul><li>The Washington Post : расходы США на демократию в мире в 2004 году – $1,2 млрд </li></ul></ul><ul><ul><li>Сенат США: дополнительное финансирование в 2006 году процесса развития молодых демократий составит: Грузия – $70 млн, Россия – $85 млн, Украина – $95 млн. </li></ul></ul><ul><li>Растет размер акционерного капитала, торгуемого на биржах </li></ul><ul><ul><li>Годовой товарооборот биржи NYSE (New York Stock Exchange) в 2005 году – $14 трлн. </li></ul></ul><ul><li>Растет корпоративное мошенничество </li></ul><ul><ul><li>Вице-премьер РФ Александр Жуков, октябрь 2004: “Главной причиной роста цен на бензин в России является картельный сговор нефтяных компаний”. Антимонопольный комитет подтверждений его словам найти не смог. </li></ul></ul><ul><ul><li>PricewaterhouseCoopers : за 2004 и 2005 годы сумма ущерба от “поддающегося оценке мошенничества” – в среднем $3.1 млн на одну российскую компанию и $1.7 на западную. Общий совокупный ущерб 1127 компаний из 34 стран, участвующих в исследовании, составил порядка $2 млрд. </li></ul></ul>РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  14. 14. “ Среда обитания ” : перспективы <ul><li>Высокий уровень источников легальных научно-практических знаний </li></ul><ul><li>Высокий уровень автоматизации работ по созданию вредоносного кода </li></ul><ul><li>Сокрытие трафика, курсирующего внутри зомби-сети </li></ul><ul><li>Сокрытие вычислительной активности зомби-агентов </li></ul><ul><li>Недопущение широкомасштабных эпидемий </li></ul><ul><li>Использование массового ПО разных производителей </li></ul><ul><li>Рост значения социальной инженерии </li></ul><ul><li>Новое, неординарное и интересное – “ магнит ” для талантов и неординарности </li></ul>РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  15. 15. Тренды эволюции зомби-сетей (итог) • Снижение количества массовых эпидемий • Рост профессионализма разработчиков зомби-сетей • Рост числа адресных атак • Усложнение условий работы для антивирусных компаний • Увеличение количества узкоспециализированных зомби-сетей с небольшими популяциями • Рост числа неизвестных зомби-сетей и сроков их жизни • Эволюция жертвы: “жертва вируса” -> “объект атаки” или “мул” • Усложнение условий работы для корпоративных служб информационной безопасности РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  16. 16. Направления снижения рисков: “ Профилактика ” <ul><li>Снижение риска влияния “ слабого звена ” , за счет: </li></ul><ul><ul><li>Повышения информированности пользователей </li></ul></ul><ul><ul><li>Повышения лояльности сотрудников, снижение общей текучки, особенно ротации на позициях, имеющих доступ к важной информации. </li></ul></ul><ul><li>Увеличение защищенности пользователей в сетях провайдеров, в первую очередь “ широкополосных “ , за счет: </li></ul><ul><ul><li>Услуг по фильтрации трафика и антивирусной защите. Льготы провайдерам помогут облегчить бремя расходов на организацию услуг. Конкуренция заставит искать пути увеличения доходов за счет новых сервисов. </li></ul></ul><ul><ul><li>Увеличения вариабельности ПО для “работы с сетью”. Поощрение пользователей, применяющих немассовое ПО для получения массовых “сетевых” услуг. </li></ul></ul><ul><ul><li>Пакет услуг доступа включает обязательное автоматическое обновление ПО на предмет установки заплаток. </li></ul></ul><ul><li>Увеличение защищенности пользователей в корпоративных сетях , за счет: </li></ul><ul><ul><li>Жесткой, глубокоэшелонированной политики разграничения прав доступа и фильтрации трафика </li></ul></ul><ul><ul><li>Наличия в штате компаний высококвалифицированных специалистов по ИБ </li></ul></ul><ul><ul><li>Применения автоматизированных систем централизованного обнаружения вирусной, и иной информационной опасности. </li></ul></ul>РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  17. 17. Направления снижения рисков: “ Лечение ” • По факту обнаружения зомби-сетей – проводить тотальный аудит информационной безопасности , выявлять и публично наказывать виновных . Формирование у пользователя чувства неотвратимости наказания за нарушение режима информационной безопасности, является самым действенным стимулом этот режим не нарушать. • По факту обнаружения заражения вредоносным кодом устранять технические причины заражения и пытаться проанализировать эти причины на предмет изменения общей стратегии ИБ, чтобы исключить появление этих и подобных причин впредь. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  18. 18. Выводы • Зарождается новая отрасль экономики с огромным объемом рынка – “теневые вычисления” (Dark Computing) • Рост рисков утечки конфиденциальной информации • Рост рисков несанкционированного расхода ИТ и смежных ресурсов • Рост расходов на безопасность в целом и на ИБ в частности. РИФ 2006: Информационная безопасность Зомби-сети: проблемы и перспективы
  19. 19. Координаты Прозоров Александр Александрович [email_address] Зомби-сети: проблемы и перспективы РИФ 2006: Информационная безопасность Конструктивные вопросы приветствуются!

    Be the first to comment

    Login to see the comments

Views

Total views

553

On Slideshare

0

From embeds

0

Number of embeds

17

Actions

Downloads

4

Shares

0

Comments

0

Likes

0

×