2. Постановка задачи
• Контекст - Компания
– Информационная система
– Процессы + активы
• Объект интереса – Программа
– Распределенная (в т.ч. серверная часть)
– Заказная/содержащая модифицированные компоненты
– Пользователи – в т.ч. публичный доступ, «толстый» клиент
– Разработчики – отдельная организация со своей ИС
– Компоненты в т.ч. без исходного кода
– Программа и данные динамичны – активность пользователей,
дополнительный функционал
• Требуется провести инструментальный анализ ИБ
– Не прерывая и не нарушая процессов
– Не внося необратимых изменений
3. Let me google it for you!
На сайтах, в кэше поисковых систем, на форумах и в социальных сетях
удавалось обнаружить
• Дистрибутивы программ
• Исходники программ
• Конфигурационные файлы. С паролями для доступа к БД
• Примеры вывода программ (ошибок)
• Точки распространения ПО (ftp)
• Адреса на которых работают сервера программы в Интернет
• Сотрудников, эксплуатириующих программу, разработчиков
программы.
– С телефонами, почтовыми адресами, личной информацией
• Информацию о клиентах
Исходные данные: Всего лишь название программы
Обнаружимое воздействие: нет!
5. Выбор подхода к решению задачи
• Анализ архитектуры?
• Статический анализ?
• Динамический анализ?
• Анализ окружения?
• Реверсинг, анализ протоколов?
• Фаззинг?
• Стресс-тесты?
• Анализ конфигурационных файлов?
• Анализ журналов?
• Пентест?
6. Фундамент работ
• Наличие и актуальность описания
– Окружения
– Самой Программы
• Анализ окружения
– Инвентаризация
– Сканирование уязвимостей
– Системы обеспечения ИБ
7. Взаимосвязь с окружением
• Уязвимости окружения могут привести к
неэффективности мер обеспечения ИБ, на
которые рассчитывали разработчики
Программы (доступ к файловой системе)
• Эксплуатация уязвимостей Программы
может нарушить работоспособность
компонентов окружения или всей ИС
8. Компоненты окружения? Диагноз: уязвимы!
Вендор Уязвимостей за
7 месяцев 2012
Дней до
исправления
Apple 17 190
IBM 12 185
Microsoft 9 129
Mozilla 4 88
HP 12 218
Novell 5 146
Symantec 3 172
Oracle 12 90
Adobe 5 55
Уязвимостей
за полгода:
128
Дней на
устранение:
158
Дней в
полугодии:
177
9. Анализ ИБ ИС – инвентаризация и сканирование
• Ресурсы: узлы и сервисы, точки доступа
• Процессы: потоки данных, работа средств ИБ
• Активы – где размещены?
• Что делать???
3%
8%
89%
Высокой
степени 390
Средней
степени 1060
Низкой
степени 12270
10. Уязвимости – простая модель
• Проектирование
• Реализация
• Эксплуатация
• Развитие/модификация
11. Специфика уязвимостей «заказного» ПО
• Количество и серьезность ошибок (уязвимостей) в
заказном ПО – выше
– Встраивание криптографии – хардкод паролей
– Безопасность/устойчивость протоколов
• Информации об уязвимостях извне не поступит
– Эффективность сканеров уязвимостей - низкая
– Эффективность систем мониторинга – близка к нулю
• Заложены ли в ПО возможности по анализу
инцидентов?
• Возможности атакующего по воздействию на
окружение?
• Вероятность обнаружения специально подготовленных
вирусов стандартными антивирусами - ниже
12. Подготовка к работам
• План коммуникаций
– Разработчики
– Ответственные за эксплуатацию
• Границы
– Время проведения работ (ночью, по выходным?)
– Критические компоненты – как не нарушить их работу
и при этом провести анализ
– Перемещение данных при анализе
– Элементы тестирования на проникновение:
допустимые методы и средства действия атакующего
(рассылка специальных вирусов, методы социальной
инженерии)
13. Живая система или полигон или стенд?
• Работы в живой системе
– Актуальная версия Программы и данных
– Мониторинг активностей
– Обнаружение «накопленных» проблем
• Работы на полигоне
– Частичный доступ к продуктиву и данным
– Расхождение с продуктивом (+/- функционал)
• Работы на стенде
– Возможность проведения разрушающих тестов
– Отладка
14. Что сделать?
• Готовить «фундамент» заранее
– Документацию
– Полигон, заливку для стенда
• Контролировать и анализировать инциденты
• Проводить работы не дожидаясь инцидентов
– Разработка методики, реалистичной модели угроз
и нарушителя
• Планировать и проводить работы регулярно
– Проверка окружения
– Проверка программы, особенно при доработках
15. Выгодно?
• Устранение ошибок в заказном ПО и доработок по
проектам внедрения
• Повышения ИБ у аффилированных организаций
• Минимизация рисков, связанных с инцидентами ИБ
– Кража данных
– Репутационные риски
– Недоступность критичных ресурсов
• Выявление неиспользуемых компонентов, сервисов
• Требования регуляторов - следы ПДн
• Повышение эффективности работы
служб/сотрудников
• Принуждение к защите своей интеллектуальной
собственности
16. Спасибо за внимание!
Услуги ЗАО «ПМ»
– Инструментальный анализ ИБ
– Тесты на проникновение (pentests)
– Анализ ПО
– Расследование инцидентов
Алексей Качалин
kachalin@advancedmonitoring.ru
info@advancedmonitoring.ru
http://advancedmonitoring.ru/
@am_rnd