SlideShare a Scribd company logo

Исследование защищенности ИС

Alexey Kachalin
Alexey Kachalin
Technology
1 of 20
Download to read offline
«Эффективная оценка защищенности распределенной информационной системы» Алексей Качалин ЗАО «Перспективный мониторинг»
О компании • Специализация: – Исследовательские работы в области ИБ – Инструментальный анализ ИБ, методы и средства атак на информационные системы • Услуги ЗАО «ПМ» – Инструментальный анализ ИБ, тесты на проникновение – Анализ продуктов (ПО, ПАК) – Расследование инцидентов
«Стандартный» сценарий работ • Ограничения по срокам – в течение года, следующий год • Информационная система (ИС) – Распределенная, разнородная – Содержит архаичное необходимое самописное удобное для БП ПО – Дублирующие компоненты и ресурсы • Текущее состояние ИС – неизвестно – Нет консистентного описания – Инкрементальные описания – не полны – Интервьюирование решает часть проблем • Профиль угроз – не полон • Внедрены системы контроля ИБ. Эффективность – неизвестна • Потребность в работах – Требования регулятора – Инциденты – Отсутствие ощущения безопасности
Инциденты случаются
Предпосылки «тревожности» • Неизвестен профиль угроз, отсутствие целостной информации – Подозрение на альтернативные/теневые БП – Заказное ПО – Географически-распределенные ИС с различным уровнем обеспечения ИБ – Облачные сервисы, сопряжение облака и «классической» инфраструктуры – Мобильные устройства и BYOD • Динамика – сотрудники, клиенты, партнеры, реорганизация • Необходимость доверять – например разработчик заказного ПО – Располагает вашей интеллектуальной собственностью, конфиденциальной информацией – Обладает доступом (доверием) на ресурсах (ИБ) вашей ИС – Интегрирован в вашу ИС, обладает возможностью модификации компонентов вашей ИС
Ок! Быстро делаем … что? • Соответствие требованиям регулятора – Есть практика, требования • Управление рисками – Процесс внедрение системы • Анализ и противодействие Рекомендации актуальным угрозам и хорошие практики (2012top10 и т.д.) • Первичный анализ – Новый компонент/технология ИС Фактическое состояние – Объединение ИС
Первый шаг – границы исследования • Ограничения по времени • Ограничения по объектам исследований – Когда? (всегда кроме, в выделенное время, никогдастенд) – Какие объекты не трогать • Объем и порядок привлечения специалистов Заказчика – Интервьюирование – Сопровождение работ – Ревью/экспертная оценка результатов
Потребность в модели • Цели использования моделей в ходе исследования – Снизить зависимость описания методики от технологий – Разговор на одном языке исследователей, аналитиков, специалистов ИТ, специалистов по ИБ, менеджмента – Верификация и улучшение методик • Объект исследования может быть описан в виде: – Ресурсов и возможностей взаимодействия – Каналов взаимодействия: человек, физический доступ, беспроводной доступ, телеком, сети передачи данных – Уровень взаимодействия: видимость, доступ, доверие
Пример модели анализа ИБ • Контроль – интерактивный, процессный: идентификация/авторизация, подотчетность, достоверность,– конфиденциальность, целостность, доступность, неотказуемость • Методы ограничения взаимодействия – Разделение – убрать/устранить ресурс – Устранить последствия угрозы – Устранить угрозу • Количественная оценка контроля менее 100% - недостаточная, 100% - баланс, более 100% ИБ – избыточные • Ограничения – Конфликты средств ИБ – Средства ИБ как ресурс ИС и возможность взаимодействия - дополнительные вектора атак
Планирование исследования 1. Исследование доступной информации во внешних источниках, Внешняя среда окружении 2. Пассивное наблюдение ресурса Окружение 3. Активное исследование (сканирование) 4. Воздействие на ресурс через Ресурс окружение По мотивам OSSTМM v3.0
Матрица Каналы/Методы • Методы Исследования • Каналы Взаимодействия определяют • Методики и • Инструменты По мотивам OSSTМM v3.0
Пример #1: Анализ сценария атаки Сайт LoIC Владелец ресурса • Инструмент может без ведома координации DDoS- атак на ИС активистов направить правительства и гос. их ресурс на любую ИС корпораций • Сайт позволяет (добровольно) подключить компьютер посетителя к DDoS атаке • Хостинг вне юрисдикции РФ
Пример #2: анализ динамической угрозы: ПО для мобильных устройств Функции ПО: 1. Включить светодиод Запрашиваемы разрешения: • Полный доступ к Интернет • Полный доступ к памяти устройства • Доступ к гео- позиционированию • Полный доступ к истории звонков и СМС Скачиваний: более 1 000 000
Пример #2: систематизация векторов для СИ Penetration Test Framework 0.59
Типичные проблемы в ходе исследования • Сбор информации – Предвзятое отношение: «Здесь проблем точно нет!» – Трудности перевода: «Наш ЕТС обеспечивает БРПС через ЗУД» • «Подмена» исследования применением или внедрением инструмента – Сканер, система инвентаризации • «Ограничения» исследователя – Вероятностный процесс – часть объектов исследования может быть недоступна в момент исследования – Возможность сопоставления информации от разных инструментов, отказ в пользу единого инструмента • Реакция на исследование объектов – отключение • Быстрая победа. Более сложные вектора остаются.
Аналитические инструменты • Сценарии, MisUsecases – Рабочий инструмент аналитика – интервью, презентация результатов • Диаграмма потоков данных (DFD) – Подход ориентирован на ПО – Возможность автоматизированного анализа • Деревья атак/отказов (FTA) – Трассировка на причины и следствия
Мониторинг угроз и трендов • «Классика» - уязвимости – Продукты – Сервисы – Библиотеки и компоненты Тренды ИБ • Рост потенциального ущерба Information Security  – Интеграция ИС в сети общего Information Assurance пользования – Штрафы и репутация IS Management  • Инновации в угрозах IS Governance – Рынок blackhat-сервисов (0-day) – АСУ ТП (SCADA) вирусы Security  – Advanced persistent threats (APT) Offensive security  – Хактивизм Information Security Intelligence
Представление результатов исследования • Отчет – с учетом целей, методики, инструментов – Зафиксированы (уточнены) цели, границы, ограничения исследования – Несколько форм отчета, различающихся по детализации – для руководства, ИБ, ИТ • Принятие ограничений результата– «из 2 зол» – Статус – «не определен» – приемлемый результат – Фиксация аномалий – отклонений в поведении, причины и последствия которых вне границ исследования • Учет и управления динамикой – Анализ Было-Стало – План действий – План на следующую итерацию
Итого… • Нет готового решения проблем ИБ в виде … (Продукта, Процесса, Шаблона, Стандарта, Рекомендованной практики) • Методики исследования ИБ должна разрабатываться и обновляться с учетом динамики системы • Проведение исследований и анализ результатов не возможно без аналитиков – в связи с наличием аномалий, ограничений наблюдаемости • Нужен мониторинг актуальных угроз и трендов ИБ – Возможностей и ограничений средств защиты – Новых методов атак – Анализ инцидентов
Спасибо за внимание! Алексей Качалин kachalin@advancedmonitoring.ru @kchln info@advancedmonitoring.ru http://advancedmonitoring.ru/ Twitter: @am_rnd

Recommended

Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Alexey Kachalin
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 

Recommended

Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Инструментальный анализ ИБ - РусКрипто'13
Инструментальный анализ ИБ - РусКрипто'13Alexey Kachalin
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Анализ уязвимостей ИБ распределенного ПО (2012)
Анализ уязвимостей ИБ распределенного ПО (2012)Alexey Kachalin
 
Практические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPПрактические особенности внедрения систем класса DLP
Практические особенности внедрения систем класса DLPDialogueScience
 
КВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораКВО ТЭК - Обоснованные требования регулятора
КВО ТЭК - Обоснованные требования регулятораAlexey Kachalin
 
Анализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИАнализ угроз ИБ компаниям-разработчикам СЗИ
Анализ угроз ИБ компаниям-разработчикам СЗИAlexey Kachalin
 
Кто такой специалист по иб
Кто такой специалист по ибКто такой специалист по иб
Кто такой специалист по ибTeymur Kheirkhabarov
 
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)
Решения и сервисы для обеспечения ИБ (ИБ Банков 2016)Alexey Kachalin
 
UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?InfoWatch
 
пр Shadow IT
пр Shadow ITпр Shadow IT
пр Shadow ITAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Мифы и реальность DLP
Мифы и реальность DLPМифы и реальность DLP
Мифы и реальность DLPInfoWatch
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...OWASP Russia
 
Новые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБНовые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБAleksey Lukatskiy
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527qqlan
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
02 Sokolov
02 Sokolov02 Sokolov
02 SokolovTraining center "Echelon"
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Securityqqlan
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 
Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 

More Related Content

What's hot

UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиAndrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?InfoWatch
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)Teymur Kheirkhabarov
 
Мифы и реальность DLP
Мифы и реальность DLPМифы и реальность DLP
Мифы и реальность DLPInfoWatch
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Alexey Kachalin
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерияAlex Babenko
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...OWASP Russia
 
Новые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБНовые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБAleksey Lukatskiy
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527qqlan
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Alexey Kachalin
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение a_a_a
 
пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)Andrey Prozorov, CISM, CIPP/E, CDPSE. LA 27001
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаровDenial Solopov
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Securityqqlan
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Expolink
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"Expolink
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)Dmitry Evteev
 

What's hot (20)

UEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумалиUEBA – поведенческий анализ, а не то, что Вы подумали
UEBA – поведенческий анализ, а не то, что Вы подумали
 
Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?Задачи бизнеса и эволюция DLP: какова следующая ступень?
Задачи бизнеса и эволюция DLP: какова следующая ступень?
 
пр Shadow IT
пр Shadow ITпр Shadow IT
пр Shadow IT
 
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
 
Мифы и реальность DLP
Мифы и реальность DLPМифы и реальность DLP
Мифы и реальность DLP
 
Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)Безопасность ИТ и приложений (Microsoft 2017)
Безопасность ИТ и приложений (Microsoft 2017)
 
Социальная инженерия
Социальная инженерияСоциальная инженерия
Социальная инженерия
 
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
«Android Activity Hijacking», Евгений Блашко, Юрий Шабалин (АО «Сбербанк-Тех...
 
Новые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБНовые тенденции и новые технологии на рынке ИБ
Новые тенденции и новые технологии на рынке ИБ
 
Pt D Do S 20090527
Pt D Do S 20090527Pt D Do S 20090527
Pt D Do S 20090527
 
Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)Угрозы ИБ - retail edition (2016)
Угрозы ИБ - retail edition (2016)
 
тест на проникновение
тест на проникновение тест на проникновение
тест на проникновение
 
пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)пр защита от инсайдеров это не только Dlp (прозоров)
пр защита от инсайдеров это не только Dlp (прозоров)
 
Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11Про DLP (Баку) 2014 11
Про DLP (Баку) 2014 11
 
02 Sokolov
02 Sokolov02 Sokolov
02 Sokolov
 
Positive technologies а.гончаров
Positive technologies а.гончаровPositive technologies а.гончаров
Positive technologies а.гончаров
 
Mobile Device Security
Mobile Device SecurityMobile Device Security
Mobile Device Security
 
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
Anti-Malware. Илья Шабанов. "Обзор рынка DLP-систем"
 
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
InfoWatch. Алексей Воронко. "Защита от внутренних угроз и утечек данных"
 
PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)PT Penetration Testing Report (sample)
PT Penetration Testing Report (sample)
 

Similar to Исследование защищенности ИС

Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Alexey Kachalin
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБКомпания УЦСБ
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Alexey Kachalin
 
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...КРОК
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеSelectedPresentations
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdlAlexey Kachalin
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИSelectedPresentations
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиNick Turunov
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Alexey Kachalin
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийExpolink
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПКомпания УЦСБ
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Alexey Kachalin
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Expolink
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014Expolink
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processesAlexey Kachalin
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессExpolink
 
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Expolink
 
зао «эвентос»
зао «эвентос»зао «эвентос»
зао «эвентос»ontosminerapi
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Expolink
 

Similar to Исследование защищенности ИС (20)

Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)Внедрение безопасной разработки (Infosecurity 2014)
Внедрение безопасной разработки (Infosecurity 2014)
 
3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ3. Типовые задачи и решения по ИБ
3. Типовые задачи и решения по ИБ
 
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
Анализ ИБ и расследование инцидентов ИБ (учебный семинар)
 
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
Защита от утечки конфиденциальной информации. Особенности внедрения решений з...
 
Опасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофеОпасная разработка. Дорожная карта движения к катастрофе
Опасная разработка. Дорожная карта движения к катастрофе
 
2015 02 пм качалин sdl
2015 02 пм качалин sdl2015 02 пм качалин sdl
2015 02 пм качалин sdl
 
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИОб угрозах информационной безопасности, актуальных для разработчика СЗИ
Об угрозах информационной безопасности, актуальных для разработчика СЗИ
 
НБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиямиНБУ - Анализ рисков,связанных с информационными технологиями
НБУ - Анализ рисков,связанных с информационными технологиями
 
Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)Безопасная разработка (СТАЧКА 2015)
Безопасная разработка (СТАЧКА 2015)
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
информационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решенийинформационная безопасность эволюция угроз и рынка решений
информационная безопасность эволюция угроз и рынка решений
 
Нюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТПНюансы проведения аудита ИБ АСУ ТП
Нюансы проведения аудита ИБ АСУ ТП
 
Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013Семинар ИБ ФНС-2013
Семинар ИБ ФНС-2013
 
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
Марат Хазиев (Астерит) - Практический подход к реализации проектов по защите ...
 
астерит код иб 25.09.2014
астерит код иб 25.09.2014астерит код иб 25.09.2014
астерит код иб 25.09.2014
 
SOC Technologies and processes
SOC Technologies and processesSOC Technologies and processes
SOC Technologies and processes
 
Астерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процессАстерит: ИБ это не продукт, а процесс
Астерит: ИБ это не продукт, а процесс
 
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
Марат Хазиев (Астерит) - Практический одход к реализации проектов по защите и...
 
зао «эвентос»
зао «эвентос»зао «эвентос»
зао «эвентос»
 
Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.Астерит. Практический подход к реализации проектов по защите информации.
Астерит. Практический подход к реализации проектов по защите информации.
 

More from Alexey Kachalin

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Alexey Kachalin
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)Alexey Kachalin
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?Alexey Kachalin
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAlexey Kachalin
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и довериеAlexey Kachalin
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017Alexey Kachalin
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-системAlexey Kachalin
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Alexey Kachalin
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Alexey Kachalin
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыAlexey Kachalin
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаAlexey Kachalin
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Alexey Kachalin
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБAlexey Kachalin
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Alexey Kachalin
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Alexey Kachalin
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияAlexey Kachalin
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Alexey Kachalin
 
Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Alexey Kachalin
 
New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)Alexey Kachalin
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Alexey Kachalin
 

More from Alexey Kachalin (20)

Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
Безопасность ИВ - вопросов всё больше (РусКрипто 2016)
 
Обычное apt (2016)
Обычное apt (2016)Обычное apt (2016)
Обычное apt (2016)
 
PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?PT ESC - кто полечит доктора?
PT ESC - кто полечит доктора?
 
AntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условияAntiAPT - необходимые и недостаточные условия
AntiAPT - необходимые и недостаточные условия
 
Угрозы мессенджерам и доверие
Угрозы мессенджерам и довериеУгрозы мессенджерам и доверие
Угрозы мессенджерам и доверие
 
О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017О ядре SOC - SOC-Forum Astana 2017
О ядре SOC - SOC-Forum Astana 2017
 
Безопаность SAP-систем
Безопаность SAP-системБезопаность SAP-систем
Безопаность SAP-систем
 
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
Практика исследований защищенности российксих компаний (CISCO CONNECT 2017)
 
Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)Чек-лист ИБ технологических компаний (4CIO 2017)
Чек-лист ИБ технологических компаний (4CIO 2017)
 
Программа "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспектыПрограмма "ГосМессенджер" и ИБ-аспекты
Программа "ГосМессенджер" и ИБ-аспекты
 
Анализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетикаАнализ инцидентов ИБ: промышленность и энергетика
Анализ инцидентов ИБ: промышленность и энергетика
 
Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016Реагирование на инциденты ИБ 2016
Реагирование на инциденты ИБ 2016
 
Комплексное решение задач ИБ
Комплексное решение задач ИБКомплексное решение задач ИБ
Комплексное решение задач ИБ
 
Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)Information Security Do's and Dont's (2015)
Information Security Do's and Dont's (2015)
 
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
Сервисы ИБ как ответ на новые угрозы ИБ (PHDays 2016)
 
Практические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестированияПрактические аспекты нагрузочного тестирования
Практические аспекты нагрузочного тестирования
 
Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)Безопасная разработка и риски ИБ (2014)
Безопасная разработка и риски ИБ (2014)
 
Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014Threats 3.0 (PHDays 4) - 2014
Threats 3.0 (PHDays 4) - 2014
 
New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)New technologies security threats (Brussels 2014)
New technologies security threats (Brussels 2014)
 
Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)Угрозы ИБ мобильным устройствам (2014)
Угрозы ИБ мобильным устройствам (2014)
 

Исследование защищенности ИС

  • 1. «Эффективная оценка защищенности распределенной информационной системы» Алексей Качалин ЗАО «Перспективный мониторинг»
  • 2. О компании • Специализация: – Исследовательские работы в области ИБ – Инструментальный анализ ИБ, методы и средства атак на информационные системы • Услуги ЗАО «ПМ» – Инструментальный анализ ИБ, тесты на проникновение – Анализ продуктов (ПО, ПАК) – Расследование инцидентов
  • 3. «Стандартный» сценарий работ • Ограничения по срокам – в течение года, следующий год • Информационная система (ИС) – Распределенная, разнородная – Содержит архаичное необходимое самописное удобное для БП ПО – Дублирующие компоненты и ресурсы • Текущее состояние ИС – неизвестно – Нет консистентного описания – Инкрементальные описания – не полны – Интервьюирование решает часть проблем • Профиль угроз – не полон • Внедрены системы контроля ИБ. Эффективность – неизвестна • Потребность в работах – Требования регулятора – Инциденты – Отсутствие ощущения безопасности
  • 5. Предпосылки «тревожности» • Неизвестен профиль угроз, отсутствие целостной информации – Подозрение на альтернативные/теневые БП – Заказное ПО – Географически-распределенные ИС с различным уровнем обеспечения ИБ – Облачные сервисы, сопряжение облака и «классической» инфраструктуры – Мобильные устройства и BYOD • Динамика – сотрудники, клиенты, партнеры, реорганизация • Необходимость доверять – например разработчик заказного ПО – Располагает вашей интеллектуальной собственностью, конфиденциальной информацией – Обладает доступом (доверием) на ресурсах (ИБ) вашей ИС – Интегрирован в вашу ИС, обладает возможностью модификации компонентов вашей ИС
  • 6. Ок! Быстро делаем … что? • Соответствие требованиям регулятора – Есть практика, требования • Управление рисками – Процесс внедрение системы • Анализ и противодействие Рекомендации актуальным угрозам и хорошие практики (2012top10 и т.д.) • Первичный анализ – Новый компонент/технология ИС Фактическое состояние – Объединение ИС
  • 7. Первый шаг – границы исследования • Ограничения по времени • Ограничения по объектам исследований – Когда? (всегда кроме, в выделенное время, никогдастенд) – Какие объекты не трогать • Объем и порядок привлечения специалистов Заказчика – Интервьюирование – Сопровождение работ – Ревью/экспертная оценка результатов
  • 8. Потребность в модели • Цели использования моделей в ходе исследования – Снизить зависимость описания методики от технологий – Разговор на одном языке исследователей, аналитиков, специалистов ИТ, специалистов по ИБ, менеджмента – Верификация и улучшение методик • Объект исследования может быть описан в виде: – Ресурсов и возможностей взаимодействия – Каналов взаимодействия: человек, физический доступ, беспроводной доступ, телеком, сети передачи данных – Уровень взаимодействия: видимость, доступ, доверие
  • 9. Пример модели анализа ИБ • Контроль – интерактивный, процессный: идентификация/авторизация, подотчетность, достоверность,– конфиденциальность, целостность, доступность, неотказуемость • Методы ограничения взаимодействия – Разделение – убрать/устранить ресурс – Устранить последствия угрозы – Устранить угрозу • Количественная оценка контроля менее 100% - недостаточная, 100% - баланс, более 100% ИБ – избыточные • Ограничения – Конфликты средств ИБ – Средства ИБ как ресурс ИС и возможность взаимодействия - дополнительные вектора атак
  • 10. Планирование исследования 1. Исследование доступной информации во внешних источниках, Внешняя среда окружении 2. Пассивное наблюдение ресурса Окружение 3. Активное исследование (сканирование) 4. Воздействие на ресурс через Ресурс окружение По мотивам OSSTМM v3.0
  • 11. Матрица Каналы/Методы • Методы Исследования • Каналы Взаимодействия определяют • Методики и • Инструменты По мотивам OSSTМM v3.0
  • 12. Пример #1: Анализ сценария атаки Сайт LoIC Владелец ресурса • Инструмент может без ведома координации DDoS- атак на ИС активистов направить правительства и гос. их ресурс на любую ИС корпораций • Сайт позволяет (добровольно) подключить компьютер посетителя к DDoS атаке • Хостинг вне юрисдикции РФ
  • 13. Пример #2: анализ динамической угрозы: ПО для мобильных устройств Функции ПО: 1. Включить светодиод Запрашиваемы разрешения: • Полный доступ к Интернет • Полный доступ к памяти устройства • Доступ к гео- позиционированию • Полный доступ к истории звонков и СМС Скачиваний: более 1 000 000
  • 14. Пример #2: систематизация векторов для СИ Penetration Test Framework 0.59
  • 15. Типичные проблемы в ходе исследования • Сбор информации – Предвзятое отношение: «Здесь проблем точно нет!» – Трудности перевода: «Наш ЕТС обеспечивает БРПС через ЗУД» • «Подмена» исследования применением или внедрением инструмента – Сканер, система инвентаризации • «Ограничения» исследователя – Вероятностный процесс – часть объектов исследования может быть недоступна в момент исследования – Возможность сопоставления информации от разных инструментов, отказ в пользу единого инструмента • Реакция на исследование объектов – отключение • Быстрая победа. Более сложные вектора остаются.
  • 16. Аналитические инструменты • Сценарии, MisUsecases – Рабочий инструмент аналитика – интервью, презентация результатов • Диаграмма потоков данных (DFD) – Подход ориентирован на ПО – Возможность автоматизированного анализа • Деревья атак/отказов (FTA) – Трассировка на причины и следствия
  • 17. Мониторинг угроз и трендов • «Классика» - уязвимости – Продукты – Сервисы – Библиотеки и компоненты Тренды ИБ • Рост потенциального ущерба Information Security  – Интеграция ИС в сети общего Information Assurance пользования – Штрафы и репутация IS Management  • Инновации в угрозах IS Governance – Рынок blackhat-сервисов (0-day) – АСУ ТП (SCADA) вирусы Security  – Advanced persistent threats (APT) Offensive security  – Хактивизм Information Security Intelligence
  • 18. Представление результатов исследования • Отчет – с учетом целей, методики, инструментов – Зафиксированы (уточнены) цели, границы, ограничения исследования – Несколько форм отчета, различающихся по детализации – для руководства, ИБ, ИТ • Принятие ограничений результата– «из 2 зол» – Статус – «не определен» – приемлемый результат – Фиксация аномалий – отклонений в поведении, причины и последствия которых вне границ исследования • Учет и управления динамикой – Анализ Было-Стало – План действий – План на следующую итерацию
  • 19. Итого… • Нет готового решения проблем ИБ в виде … (Продукта, Процесса, Шаблона, Стандарта, Рекомендованной практики) • Методики исследования ИБ должна разрабатываться и обновляться с учетом динамики системы • Проведение исследований и анализ результатов не возможно без аналитиков – в связи с наличием аномалий, ограничений наблюдаемости • Нужен мониторинг актуальных угроз и трендов ИБ – Возможностей и ограничений средств защиты – Новых методов атак – Анализ инцидентов
  • 20. Спасибо за внимание! Алексей Качалин kachalin@advancedmonitoring.ru @kchln info@advancedmonitoring.ru http://advancedmonitoring.ru/ Twitter: @am_rnd