SlideShare a Scribd company logo

Анализ уязвимостей ИБ распределенного ПО (2012)

Download as PPTX, PDF
Alexey Kachalin
Alexey Kachalin

Анализ уязвимостей ИБ распределенного ПО (Инфоберег 2012)

Technology
1 of 16
Инструментальный анализ информационный безопасности распределенного ПО в ходе эксплуатации Алексей Качалин ЗАО «Перспективный мониторинг»
Постановка задачи • Контекст - Компания – Информационная система – Процессы + активы • Объект интереса – Программа – Распределенная (в т.ч. серверная часть) – Заказная/содержащая модифицированные компоненты – Пользователи – в т.ч. публичный доступ, «толстый» клиент – Разработчики – отдельная организация со своей ИС – Компоненты в т.ч. без исходного кода – Программа и данные динамичны – активность пользователей, дополнительный функционал • Требуется провести инструментальный анализ ИБ – Не прерывая и не нарушая процессов – Не внося необратимых изменений
Let me google it for you! На сайтах, в кэше поисковых систем, на форумах и в социальных сетях удавалось обнаружить • Дистрибутивы программ • Исходники программ • Конфигурационные файлы. С паролями для доступа к БД • Примеры вывода программ (ошибок) • Точки распространения ПО (ftp) • Адреса на которых работают сервера программы в Интернет • Сотрудников, эксплуатириующих программу, разработчиков программы. – С телефонами, почтовыми адресами, личной информацией • Информацию о клиентах Исходные данные: Всего лишь название программы Обнаружимое воздействие: нет!
Угрозы распределенному ПО – худший случай ЛВС Клиент платформа Сервис
Выбор подхода к решению задачи • Анализ архитектуры? • Статический анализ? • Динамический анализ? • Анализ окружения? • Реверсинг, анализ протоколов? • Фаззинг? • Стресс-тесты? • Анализ конфигурационных файлов? • Анализ журналов? • Пентест?
Фундамент работ • Наличие и актуальность описания – Окружения – Самой Программы • Анализ окружения – Инвентаризация – Сканирование уязвимостей – Системы обеспечения ИБ
Взаимосвязь с окружением • Уязвимости окружения могут привести к неэффективности мер обеспечения ИБ, на которые рассчитывали разработчики Программы (доступ к файловой системе) • Эксплуатация уязвимостей Программы может нарушить работоспособность компонентов окружения или всей ИС
Компоненты окружения? Диагноз: уязвимы! Вендор Уязвимостей за 7 месяцев 2012 Дней до исправления Apple 17 190 IBM 12 185 Microsoft 9 129 Mozilla 4 88 HP 12 218 Novell 5 146 Symantec 3 172 Oracle 12 90 Adobe 5 55 Уязвимостей за полгода: 128 Дней на устранение: 158 Дней в полугодии: 177
Анализ ИБ ИС – инвентаризация и сканирование • Ресурсы: узлы и сервисы, точки доступа • Процессы: потоки данных, работа средств ИБ • Активы – где размещены? • Что делать??? 3% 8% 89% Высокой степени 390 Средней степени 1060 Низкой степени 12270
Уязвимости – простая модель • Проектирование • Реализация • Эксплуатация • Развитие/модификация
Специфика уязвимостей «заказного» ПО • Количество и серьезность ошибок (уязвимостей) в заказном ПО – выше – Встраивание криптографии – хардкод паролей – Безопасность/устойчивость протоколов • Информации об уязвимостях извне не поступит – Эффективность сканеров уязвимостей - низкая – Эффективность систем мониторинга – близка к нулю • Заложены ли в ПО возможности по анализу инцидентов? • Возможности атакующего по воздействию на окружение? • Вероятность обнаружения специально подготовленных вирусов стандартными антивирусами - ниже
Подготовка к работам • План коммуникаций – Разработчики – Ответственные за эксплуатацию • Границы – Время проведения работ (ночью, по выходным?) – Критические компоненты – как не нарушить их работу и при этом провести анализ – Перемещение данных при анализе – Элементы тестирования на проникновение: допустимые методы и средства действия атакующего (рассылка специальных вирусов, методы социальной инженерии)
Живая система или полигон или стенд? • Работы в живой системе – Актуальная версия Программы и данных – Мониторинг активностей – Обнаружение «накопленных» проблем • Работы на полигоне – Частичный доступ к продуктиву и данным – Расхождение с продуктивом (+/- функционал) • Работы на стенде – Возможность проведения разрушающих тестов – Отладка
Что сделать? • Готовить «фундамент» заранее – Документацию – Полигон, заливку для стенда • Контролировать и анализировать инциденты • Проводить работы не дожидаясь инцидентов – Разработка методики, реалистичной модели угроз и нарушителя • Планировать и проводить работы регулярно – Проверка окружения – Проверка программы, особенно при доработках
Выгодно? • Устранение ошибок в заказном ПО и доработок по проектам внедрения • Повышения ИБ у аффилированных организаций • Минимизация рисков, связанных с инцидентами ИБ – Кража данных – Репутационные риски – Недоступность критичных ресурсов • Выявление неиспользуемых компонентов, сервисов • Требования регуляторов - следы ПДн • Повышение эффективности работы служб/сотрудников • Принуждение к защите своей интеллектуальной собственности
Спасибо за внимание! Услуги ЗАО «ПМ» – Инструментальный анализ ИБ – Тесты на проникновение (pentests) – Анализ ПО – Расследование инцидентов Алексей Качалин kachalin@advancedmonitoring.ru info@advancedmonitoring.ru http://advancedmonitoring.ru/ @am_rnd

Recommended

Исследование защищенности ИС
Исследование защищенности ИСИсследование защищенности ИС
Исследование защищенности ИСAlexey Kachalin
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)Olesya Shelestova
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...Expolink
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 

Recommended

Исследование защищенности ИС
Исследование защищенности ИСИсследование защищенности ИС
Исследование защищенности ИСAlexey Kachalin
 
RuSIEM (15.11.2015)
RuSIEM (15.11.2015)RuSIEM (15.11.2015)
RuSIEM (15.11.2015)Olesya Shelestova
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...
Falcongaze. Александр Зайцев. "Falcongaze Secure Tower: защита от утечек инфо...Expolink
 
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиавтоматизируем пентест Wifi сети
автоматизируем пентест Wifi сетиOlesya Shelestova
 
Практика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыПрактика обнаружения атак, использующих легальные инструменты
Практика обнаружения атак, использующих легальные инструментыSergey Soldatov
 
Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTAlexander Barabanov
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016Olesya Shelestova
 
RuSIEM
RuSIEMRuSIEM
RuSIEMOlesya Shelestova
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахAndrew Petukhov
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-stdAlexander Barabanov
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТOlesya Shelestova
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527qqlan
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновениеУчебный центр "Эшелон"
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахШаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахSQALab
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
 
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 

More Related Content

What's hot

Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахAndrew Petukhov
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527qqlan
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентестDmitry Evteev
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.Olesya Shelestova
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхjet_information_security
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSAlex Babenko
 
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахШаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахSQALab
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОAlex Babenko
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
 
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
 

What's hot (20)

Phd 2016_SSDL_GOST
Phd 2016_SSDL_GOSTPhd 2016_SSDL_GOST
Phd 2016_SSDL_GOST
 
RuSIEM 2016
RuSIEM 2016RuSIEM 2016
RuSIEM 2016
 
RuSIEM
RuSIEMRuSIEM
RuSIEM
 
Обеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системахОбеспечение безопасности расширений в корпоративных информационных системах
Обеспечение безопасности расширений в корпоративных информационных системах
 
Barabanov_Markov it-std
Barabanov_Markov it-stdBarabanov_Markov it-std
Barabanov_Markov it-std
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLP
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятора
 
Внутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасностиВнутреннее качество в процедурах информационной безопасности
Внутреннее качество в процедурах информационной безопасности
 
SIEM для ИТ
SIEM для ИТSIEM для ИТ
SIEM для ИТ
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
Что такое пентест
Что такое пентестЧто такое пентест
Что такое пентест
 
Тестирование на проникновение
Тестирование на проникновениеТестирование на проникновение
Тестирование на проникновение
 
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.RuSIEM. Потребители. Состав продукта. Отличия. Применение.
RuSIEM. Потребители. Состав продукта. Отличия. Применение.
 
Контроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложенияхКонтроль уязвимостей в программных приложениях
Контроль уязвимостей в программных приложениях
 
Разработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSSРазработка ПО в рамках PCI DSS
Разработка ПО в рамках PCI DSS
 
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктахШаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
Шаблоны трассировок бизнес-требований на больших кросс-проектных продуктах
 
Безопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПОБезопасность и сертификация банковского ПО
Безопасность и сертификация банковского ПО
 
Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность? Как сэкономить, вложив в информационную безопасность?
Как сэкономить, вложив в информационную безопасность?
 
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...
 

Similar to Анализ уязвимостей ИБ распределенного ПО (2012)

Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16DialogueScience
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Grigoriy Orlov
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
 
Владимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-системВладимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-системExpolink
 
How to assess the company's readiness to intelligent automation of office pro...
How to assess the company's readiness to intelligent automation of office pro...How to assess the company's readiness to intelligent automation of office pro...
How to assess the company's readiness to intelligent automation of office pro...Alexandre Prozoroff
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Expolink
 
Макс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиМакс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиNatasha Zaverukha
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14DialogueScience
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметраCisco Russia
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности UISGCON
 

Similar to Анализ уязвимостей ИБ распределенного ПО (2012) (20)

Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"Доклад "Мониторинг серверных приложений"
Доклад "Мониторинг серверных приложений"
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
 
Evgeniy gulak sherif
Evgeniy gulak sherifEvgeniy gulak sherif
Evgeniy gulak sherif
 
Владимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-системВладимир Велич - Критерии выбора DLP-систем
Владимир Велич - Критерии выбора DLP-систем
 
How to assess the company's readiness to intelligent automation of office pro...
How to assess the company's readiness to intelligent automation of office pro...How to assess the company's readiness to intelligent automation of office pro...
How to assess the company's readiness to intelligent automation of office pro...
 
Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.Методические рекомендации по техническому анализу. О. Макарова.
Методические рекомендации по техническому анализу. О. Макарова.
 
Макс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасностиМакс Патрол - Система комплексного мониторинга информационной безопасности
Макс Патрол - Система комплексного мониторинга информационной безопасности
 
Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14Вебинар по HP ArcSight 25.11.14
Вебинар по HP ArcSight 25.11.14
 
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...
 
Архитектура защищенного периметра
Архитектура защищенного периметраАрхитектура защищенного периметра
Архитектура защищенного периметра
 
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
Безмалый Владимир Федорович - Сервисы репутации в информационной безопасности
 

More from Alexey Kachalin

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Alexey Kachalin
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)Alexey Kachalin
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и довериеAlexey Kachalin
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыAlexey Kachalin
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаAlexey Kachalin
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Alexey Kachalin
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Alexey Kachalin
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Alexey Kachalin
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияAlexey Kachalin
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Alexey Kachalin
 

More from Alexey Kachalin (20)

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и доверие
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспекты
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестирования
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)
 

Анализ уязвимостей ИБ распределенного ПО (2012)

  • 1. Инструментальный анализ информационный безопасности распределенного ПО в ходе эксплуатации Алексей Качалин ЗАО «Перспективный мониторинг»
  • 2. Постановка задачи • Контекст - Компания – Информационная система – Процессы + активы • Объект интереса – Программа – Распределенная (в т.ч. серверная часть) – Заказная/содержащая модифицированные компоненты – Пользователи – в т.ч. публичный доступ, «толстый» клиент – Разработчики – отдельная организация со своей ИС – Компоненты в т.ч. без исходного кода – Программа и данные динамичны – активность пользователей, дополнительный функционал • Требуется провести инструментальный анализ ИБ – Не прерывая и не нарушая процессов – Не внося необратимых изменений
  • 3. Let me google it for you! На сайтах, в кэше поисковых систем, на форумах и в социальных сетях удавалось обнаружить • Дистрибутивы программ • Исходники программ • Конфигурационные файлы. С паролями для доступа к БД • Примеры вывода программ (ошибок) • Точки распространения ПО (ftp) • Адреса на которых работают сервера программы в Интернет • Сотрудников, эксплуатириующих программу, разработчиков программы. – С телефонами, почтовыми адресами, личной информацией • Информацию о клиентах Исходные данные: Всего лишь название программы Обнаружимое воздействие: нет!
  • 4. Угрозы распределенному ПО – худший случай ЛВС Клиент платформа Сервис
  • 5. Выбор подхода к решению задачи • Анализ архитектуры? • Статический анализ? • Динамический анализ? • Анализ окружения? • Реверсинг, анализ протоколов? • Фаззинг? • Стресс-тесты? • Анализ конфигурационных файлов? • Анализ журналов? • Пентест?
  • 6. Фундамент работ • Наличие и актуальность описания – Окружения – Самой Программы • Анализ окружения – Инвентаризация – Сканирование уязвимостей – Системы обеспечения ИБ
  • 7. Взаимосвязь с окружением • Уязвимости окружения могут привести к неэффективности мер обеспечения ИБ, на которые рассчитывали разработчики Программы (доступ к файловой системе) • Эксплуатация уязвимостей Программы может нарушить работоспособность компонентов окружения или всей ИС
  • 8. Компоненты окружения? Диагноз: уязвимы! Вендор Уязвимостей за 7 месяцев 2012 Дней до исправления Apple 17 190 IBM 12 185 Microsoft 9 129 Mozilla 4 88 HP 12 218 Novell 5 146 Symantec 3 172 Oracle 12 90 Adobe 5 55 Уязвимостей за полгода: 128 Дней на устранение: 158 Дней в полугодии: 177
  • 9. Анализ ИБ ИС – инвентаризация и сканирование • Ресурсы: узлы и сервисы, точки доступа • Процессы: потоки данных, работа средств ИБ • Активы – где размещены? • Что делать??? 3% 8% 89% Высокой степени 390 Средней степени 1060 Низкой степени 12270
  • 10. Уязвимости – простая модель • Проектирование • Реализация • Эксплуатация • Развитие/модификация
  • 11. Специфика уязвимостей «заказного» ПО • Количество и серьезность ошибок (уязвимостей) в заказном ПО – выше – Встраивание криптографии – хардкод паролей – Безопасность/устойчивость протоколов • Информации об уязвимостях извне не поступит – Эффективность сканеров уязвимостей - низкая – Эффективность систем мониторинга – близка к нулю • Заложены ли в ПО возможности по анализу инцидентов? • Возможности атакующего по воздействию на окружение? • Вероятность обнаружения специально подготовленных вирусов стандартными антивирусами - ниже
  • 12. Подготовка к работам • План коммуникаций – Разработчики – Ответственные за эксплуатацию • Границы – Время проведения работ (ночью, по выходным?) – Критические компоненты – как не нарушить их работу и при этом провести анализ – Перемещение данных при анализе – Элементы тестирования на проникновение: допустимые методы и средства действия атакующего (рассылка специальных вирусов, методы социальной инженерии)
  • 13. Живая система или полигон или стенд? • Работы в живой системе – Актуальная версия Программы и данных – Мониторинг активностей – Обнаружение «накопленных» проблем • Работы на полигоне – Частичный доступ к продуктиву и данным – Расхождение с продуктивом (+/- функционал) • Работы на стенде – Возможность проведения разрушающих тестов – Отладка
  • 14. Что сделать? • Готовить «фундамент» заранее – Документацию – Полигон, заливку для стенда • Контролировать и анализировать инциденты • Проводить работы не дожидаясь инцидентов – Разработка методики, реалистичной модели угроз и нарушителя • Планировать и проводить работы регулярно – Проверка окружения – Проверка программы, особенно при доработках
  • 15. Выгодно? • Устранение ошибок в заказном ПО и доработок по проектам внедрения • Повышения ИБ у аффилированных организаций • Минимизация рисков, связанных с инцидентами ИБ – Кража данных – Репутационные риски – Недоступность критичных ресурсов • Выявление неиспользуемых компонентов, сервисов • Требования регуляторов - следы ПДн • Повышение эффективности работы служб/сотрудников • Принуждение к защите своей интеллектуальной собственности
  • 16. Спасибо за внимание! Услуги ЗАО «ПМ» – Инструментальный анализ ИБ – Тесты на проникновение (pentests) – Анализ ПО – Расследование инцидентов Алексей Качалин kachalin@advancedmonitoring.ru info@advancedmonitoring.ru http://advancedmonitoring.ru/ @am_rnd