Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Тенденции мира информационной безопасности для финансовых организаций

Обзор тенденций, влияющих на информационную безопасность в России и в мире. С ориентацией на финансовые организации

  • Login to see the comments

Тенденции мира информационной безопасности для финансовых организаций

  1. 1. Бизнес-консультант по безопасности Тенденции информационной безопасности в мире и в России Алексей Лукацкий 15 ноября 2016 г.
  2. 2. Что влияет на кибербезопасность? Трансформация продаж и услуг $152B Работники следующего поколения $50B Платежи $43B Видео-советники $38B Таргетированная реклама и маркетинг $33B Брендированные услуги $25B Виртуальные помощники $5B Инновационные продукты $19B Консалтинг $9B APT Инсайдеры Мошенничество Законодательство Финтех Кибер- безопасность Социальные сети Software Defined Networks Мобильность Большие данные и аналитика Интернет вещей Облачные технологии Software Defined Networks
  3. 3. Непонятное влияние на кибербезопасность Внутри финтеха
  4. 4. Новые финансовые технологии меняют отрасль не только ИБ, но и самих финансов Финансовые технологии Страхование БанкиПлатежи Финансовые рынки Управление инвестициями Мобильные платежи, API, блокчейн e-агрегаторы, «Connected Insurance» Виртуальный и мобильный банкинг, Банк-как-платформа P2P кредитование, краудфандинг, альтернативное управление рисками Автоматизация порфтолио, Социальные инвестиции, Алгоритмический трейдинг
  5. 5. © 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 5 Индустриализация киберпреступности Внутри атаки
  6. 6. Устройства «Всеобъемлющего Интернета» (IoT) как площадка для реализации атак Ключевые угрозы на ближайшее будущее Мобильные приложения как разносчики вредоносного ПО и «воры» данных Программы вымогатели (ransomware или криптолокеры) и сопутствующие им технологии (например, фишинг) Использование протокола DNS для скрытия активности вредоносного ПО Целенаправленные угрозы, реализующие полный цикл ”kill chain»
  7. 7. Угрозы цепочке поставок оборудования и запчастей (supply chain) Кража данных известных лиц с последующим шантажом Criminal-as-a-Service «Призраки Интернета прошлого» Нехватка людей для реализации все возрастающего числа задач в области кибербезопасности
  8. 8. Изменение в поведении атак Скорость Ловкость Адаптация Уничтожение Инновации, использование старых приемов на новый лад и обход защитных механизмов
  9. 9. Ловкость нарушителей – их сила Постоянные обновления увеличили уровень проникновения Angler до 40% В два раза эффективнее, чем другие exploit kits в 2014 Скомпрометированная система Уязвимости Flash Смена цели Angler Непрерывное забрасывание «крючков в воду» увеличивает шанс на компрометацию Социальный инжиниринг Сайты- однодневки TTD Меры защиты Блокирование Web Блокирование IP Ретроспективный анализ Антивирус Защита ПКСканирование Email
  10. 10. Не новая, но самая доходная угроза Стечение обстоятельств – легкое и эффективное шифрование, популярность эксплойт-китов и фишинга, а также готовность жертв платить выкуп шантажистам PC Cyborg 2001 GPCoder 2005 2012 2013 2014 Fake Antivirus 2006 Первый коммерческий смартфон Android 2007 QiaoZhaz 20081989 2015 2016 CRYZIP Redplus Bitcoin сеть запущена Reveton Ransomlock Dirty Decrypt Cryptorbit Cryptographic Locker Urausy Cryptolocker CryptoDefense Koler Kovter Simplelock Cokri CBT-Locker TorrentLocker Virlock CoinVault Svpeng TeslaCrypt Virlock Lockdroid Reveton Tox Cryptvault DMALock Chimera Hidden Tear Lockscreen Teslacrypt 2.0 Cryptowall SamSam Locky Cerber Radamant Hydracrypt Rokku Jigsaw Powerware 73V3N Keranger Petya Teslacrypt 3.0 Teslacrypt 4.0 Teslacrypt 4.1
  11. 11. ИМЯ DNS IP NO C&C TOR ОПЛАТА Locky DNS SamSam DNS (TOR) TeslaCrypt DNS CryptoWall DNS TorrentLocker DNS PadCrypt DNS (TOR) CTB-Locker DNS FAKBEN DNS (TOR) PayCrypt DNS KeyRanger DNS Шифрование C&C Шантаж Какие протоколы используют вымогатели?
  12. 12. Эволюция вымогателей: Цель – данные, а не системы TOR Вымогатели теперь полностью автоматизированы и работают через анонимные сети $300-$500 Злоумышленники провели собственное исследование идеальной точки цены. Сумма выкупа не чрезмерна Личные файлы Финансовые данные Email Фото Фокусировка вымогателей – редкие языки (например, исландский) или группы пользователей (например, онлайн-геймеры)
  13. 13. Теневая инфраструктура устойчива и скрытна Разработаны для уклонения, восстановления и контроля работоспособности 15000Уникальных сайтов, перенаправляющих на Angler 99,8%из них использовались менее 10 раз
  14. 14. 76110 12/2014 1/2015 2/2015 3/2015 4/2015 5/2015 New URL Scheme CompromisedUsers Old URL Scheme 27425 24040 18960 20863 47688 76110 7369 13163 9010 11958 14730 12008 Постоянная модификация вредоносного кода Adware MultiPlug использует собственную схему кодирования URL для обхода обнаружения, тем самым увеличивая «эффективность» по отношению к скомпрометированным пользователям Число скомпрометированных пользователей: Новая схема URL vs. старая схема URL Новая схема URL драматически опережает старую. Изменение домена – раз в 3 месяца (уже 500 доменов) Непрерывное изменение имен Add- On для браузера (уже 4000 имен)
  15. 15. Dridex: воскрешение старых методов Использование «старых» методов, краткосрочность и постоянная мутация приводят к сложностям в блокировании макровирусов Кампания стартовала Обнаружена с помощью Outbreak Filters Антивирусный движок обнаруживает Dridex Но злоумышленники все равно проникли в систему Мы обнаружили с начала года 850 уникальных образцов рассылок Dridex, действующих не более нескольких часов
  16. 16. Rombertik Вредоносное ПО эволюционирует не только в сторону кражи данных — если его обнаруживают и пытаются воздействовать на него, он может уничтожить зараженную систему. Уничтожение если обнаружено • Уничтожение MBR • После перезагрузки компьютер перестает работать Получение доступа • Спам • Фишинг • Социальный инжиниринг Уход от обнаружения • Записать случайные данные в память 960 миллионов раз • Засорение памяти в песочнице Украсть данные пользователя • Доставка данных пользователя обратно злоумышленникам • Кража любых данных, а не только банковских Анти-анализ Стойкость Вредоносное поведение
  17. 17. Обход «песочниц» Вредоносное ПО эволюционирует в сторону защиты от исследования в песочницах, где вредоносный код запускается и анализируется. Данные методы не новы, но в 2015-м году они стали применяться все чаще.
  18. 18. К чему это все приводит? Bitglass 205 Trustwav e 188 Mandiant 229 2287 дней – одно из самых длинных незамеченных вторжений Ponemon 206 HP 416 Symantec 305
  19. 19. Надежность порождает самоуверенность и «призраков Интернета прошлого» устройств, доступных через Интернет, содержали известные уязвимости (в среднем 26 на устройство) устройств, доступных через Интернет, были сняты с поддержки устройств, доступных через Интернет, находились за пределами своего жизненного цикла 92% 31% 5%
  20. 20. Кто забывает обновлять инфраструктуру?
  21. 21. Для многих версий ПО уже нет обновлений!
  22. 22. Инфраструктура: создание цифровой экономики на базе уязвимой инфраструктуры Устройства работают с известными уязвимостями в среднем 5 лет Слабая, уязвимая инфраструктура не сможет стать надежной опорой для экономики следующего поколения. Cisco 5,64лет Apache/ OpenSSH 5,05лет И эта проблема носит системный характер
  23. 23. Облака, мобильность и Всеобъемлющий Интернет Внутри ИТ
  24. 24. Сеть Цифровизация Трансформация процессов Рост инноваций Новый опыт клиентов
  25. 25. Удаленные эксперты в реальном времени с HD-видео взаимодействуют с удаленными офисами Доступ к данным из любого места позволяет сотрудникам и клиентам оперативно решать вопросы и улучшать процессы Анализ мобильного поведения клиентов дает информацию маркетингу и рознице Удаленный мобильный эксперт позволяет связаться со специалистами банка ИБ защищает данные и клиентов Кафе Самообслуживание Дом Прикладная инфраструктура Увеличивает скорость бизнес- процессов Филиал/доп.офис ЦОД Контакт-центр Цифровизация банка Видеонаблюдение и аналитика защищают клиентов и активы банка от посягательств
  26. 26. Новомодные тенденции приходят в банки
  27. 27. Всеобъемлющий Интернет подключает автомобили, видеокамеры, денежные мешки, банкоматы, пропуска Новые ИТ меняют ландшафт кибербезопасности Облачные технологии требуют обеспечения ИБ на не принадлежащей организации платформе с нечетким местоположением Мобильность размывает периметр, увеличивает площадь атаки и перекладывает часть задач ИБ на неопытных пользователей Программируемые сети (SDN) и отсутствие контроля за связностью Интернет (BGP) открывает возможность для перехвата трафика
  28. 28. Новые ИТ меняют ландшафт кибербезопасности Новое рабочее место работника (динамичное, BYOD, BYOT) создает новые сложности для обеспечения ИБ Анализ Больших данных приводит к нарушению законодательства о персональных данных Социальные сети становятся источником распространения негативной информации о компании, а также каналом проникновения Квантовые вычисления привносят новые возможности в обеспечение конфиденциальности передаваемых по каналам связи данных Искусственный интеллект (машинное обучение, нечеткая логика…) позволяет увидеть невидимое (но непонятно как)
  29. 29. Машинное обучение (искусственный интеллект) Известные варианты угроз Автоматическая классификация Неизвестные угрозы Полностью автоматическое обучение Автоматическая интерпретация результатов Глобальная корреляция по всем источникам IoC по одному или нескольким источникам Один источник (DNS, e-mail, web, файл и т.п.) 1-е поколение 2-е поколение 3-е поколение • Машинное обучение – не панацея • Интернет движется к тотальному шифрованию • Злоумышленники остаются незамеченными – стеганография • За искусственным интеллектом в ИБ – будущее
  30. 30. К чему приводит глобализация и отсутствие контроля Интернет-маршрутов
  31. 31. МАРШРУТ ЦЕНТР УПРАВЛЕНИЯ ПЕРЕСЕЧЕНИЕ ГРАНИЦЫ ЗОНЫ (контроль через GPS/ГЛОНАСС) Контроль перемещения грузов и передвижения мобильных групп (возможность или угроза?)
  32. 32. Уверенность сокращается, но осведомленность заставляет действовать Внутри защиты
  33. 33. Тенденции сетевой ИБ Централизованное управление, включая смешанное (cloud + on-premise) Интеграция с решениями по расследованию сетевых инцидентов Инспектирование зашифрованного трафика Микросегментация и динамическая (контекстная) сегментация Интеграция с Threat Intelligence
  34. 34. Тенденции сетевой ИБ Переход на SaaS-модель для UTM Виртуальные МСЭ и UTM Облачные МСЭ (с готовыми сценариями для AWS и Azure) Оркестрация и автоматизация процессов Мониторинг аномалий (NetFlow, IPFIX, jFlow, sFlow) во внутренней сети
  35. 35. 7% 17% 76% Трафик между ЦОДами Восток – Запад Север–Юг Почему так важны виртуальные МСЭ?
  36. 36. Шифрованный трафик: знак времени Приватность граждан Требования государства ИБ организации Шифрованный трафик растет Он составляет 50% от общего объема https:// Растущая тенденция шифрования Web-трафика создает ложное чувство защищенности и слепые зоны для защитников
  37. 37. Рост шифрования: за счет чего? Более чем на 50%выросло число запросов к облачным сервисам хранения данных
  38. 38. Тенденции хостовой ИБ Сдвиг в сторону EDR (Gartner) или STAP (IDC) Все в одном (шифрование, DLP, сканер и другие компоненты) Локальная и облачная песочница для анализа подозрительных файлов Интеграция с сетевыми решениями (обмен данными и командами) Поддержка SaaS-модели NG Endpoint Security (несколько антивирусов, несколько antimalware- движков, контроль репутации файлов, корреляция IP и URL и др.)
  39. 39. Тенденции Identity & Access Management Управление привилегированными пользователями (PAM) Многофакторная аутентификация Софт-токены Биометрия Динамическая (контекстная) аутентификация
  40. 40. Тенденции Identity & Access Management Поддержка IDaaS-модели Интеграция с другими средствами защиты (МСЭ, IPS, SIEM и др.) Идентификация сотрудников и клиентов Федеративные системы Контроль поведения пользователей с помощью UEBA (UBA)
  41. 41. Тенденции DLP Контроль облаков и мобильных устройств Акцент на compliance (GDPR) Контроль Big Data Автоматизация и простота управления Дополнительный мониторинг сотрудников, улучшенный workflow и управление инцидентами Интеграция с другими решениями по ИБ
  42. 42. Тенденции мобильной ИБ Интеграция с инфраструктурой ИБ Обмен информации об угрозах (Threat Intelligence) Поддержка SaaS-модели Уклон в Detection & Response (EDR / STAP) + тенденции хостовой ИБ
  43. 43. Облачные тенденции Активное внедрение CASB (Cloud Access Security Broker) Смешанное управление (облачное + on-premise) Поддержка различными технологиями ИБ модели SaaS Переход к аутсорсингу / облачной ИБ по причине нехватки персонала Переход от модели MSSP к MDR
  44. 44. Безопасники есть не у всех
  45. 45. Отношение к аутсорсингу
  46. 46. Разные тенденции Сбор цифровых доказательств, включая и облака Интеграция vulnerability management и решений AppSec Интеграция SecOps и DevOps Безопасность, движимая Threat Intelligence Возврат к обманным технологиям
  47. 47. Разные тенденции Легковесная криптография Балканизация Интернет и мирового рынка ИБ Аналитика и визуализация ИБ Страхование киберрисков Отсутствие периметра
  48. 48. Особенности российского рынка Внутри России
  49. 49. Отечественные тенденции Ужесточение требований ФСТЭК к разработчикам Рост числа ИБ-стартапов, ориентированных на западный рынок Соотношение иностранных решений и отечественных 3 к 1 Усиление требований ФСТЭК по сертификации и снижение числа сертифицированных решений Существенный рост регуляторики Курс на изоляционизм (цифровой суверенитет)
  50. 50. Матрица западного рынка ИБ Identify (идентификация) Protect (защита) Detect (обнаружение) Respond (реагирование) Recover (восстановление) Сети Устройства Приложения Пользователи Данные Огромное количество игроков Большое число игроков Средний уровень конкуренции Небольшое число игроков Почти полное отсутствие игроков
  51. 51. Матрица российского рынка ИБ Identify (идентификация) Protect (защита) Detect (обнаружение) Respond (реагирование) Recover (восстановление) Сети Устройства Приложения Пользователи Данные Огромное количество игроков Большое число игроков Средний уровень конкуренции Небольшое число игроков Почти полное отсутствие игроков
  52. 52. Ваши технологии и угрозы Ваши планы Ваша ИБ Идентифицируйте используемые вами технологии ИТ и финтеха, с последующим моделированием угроз Определите ваши краткосрочные, среднесрочные и долгосрочные планы по внедрению новых технологий и возможные угрозы для них Выберите необходимые для реализации нужных технологий и предотвращения актуальных угроз решения по кибербезопасности Какие тенденции учитывать вам?
  53. 53. Чего ждать от рынка ИБ?
  54. 54. Спасибо alukatsk@cisco.com

×