Документ описывает угрозы и уязвимости информационных систем организаций с точки зрения потенциального атакующего, акцентируя внимание на мотивации и методах атак. Выделяются ключевые аспекты, такие как открытость инфраструктуры, сложность защиты и возможности высокого уровня анонимности для атакующих. Также рассматриваются практические примеры атак и предлагаются меры по улучшению информационной безопасности.

1. «Информационная система
организации и сеть Интернет с
точки зрения атакующего»
Алексей Качалин
ЗАО «Перспективный мониторинг»

2. Информационная система как
объект атаки на организацию
• Открытость современной ИТ-инфраструктуры организации, как
следствие – возможность атаковать
• Сложный состав ИС и быстрое развитие по требованиям
бизнеса – высокая вероятность уязвимостей, повышение
вероятности успешных атак
• Деньги доступны через ИС (ДБО, счета в платежных системах) –
мощный стимул и питательная среда для осуществления атак
(мотивация, заказная разработка инструментария, наём
сотрудников)
• Высокая степень анонимности на всех этапах– при проведении
атаки, при взаимодействии с заказчиками атаки
• Низкая эффективность контрмер
– Технических
– Гражданско-правовых, уголовных

3. Мотивация атакующего
Кибервойна
Политика
Монетизация
Захват «территории» и данных
От мотивации зависят продолжительность и интенсивность атак,
их характер (выход за пределы информационного пространства)

4. ИС ООО «Простая Организация»
Интернет
Сайт
организации
(Хостинг)
Веб-почта
(mail.ru)
Новостной
Сайт
ИС
организации-
партнера
Клиент
Соц.Сеть

5. Сбор информации
Выбор цели атаки
Обход/выведение из строя
средств защиты ИС
Получение доступа /
Повышение привилегий
Модель действий атакующего в ИС

6. Прямые атаки на ИС организации
• Раскрытие конфиденциальной информации
– Поиск утечек данных
• В поисковых системах
– Кража данных
• С сайтов и ресурсов ИС, подключенных к Интернет
– Съем и анализ трафика
• Локального – WiFi
• В сети провайдера
• Получение доступа к ИС
– Сканирование периметра, эксплуатация
уязвимости
– Заражение рабочих станций
• Отказ в обслуживании
– Сайт
– Инфраструктура (телефония)

7. Пример – Распределенная атака на
Отказ в обслуживании (DDoS)
• Туристические
фирмы (мелкие) –
в период отпусков
• Заказ такси
• Заправка
картриджей
• Торговые
площадки
• Нелегальный
бизнес
(информация по отчетам Хакер.ру, Касперский)

8. Модель атакующего
• Возможно и одиночка, но скорее
– Группа лиц
– Организация
– Сообщество (сотни, тысячи человек)
• Действия в ИС
– Базовые действия и инструменты
– Инструменты, специально подготовленные для атакуемой цели
• Действия выходящие за пределы сферы ИС
– Выездные работы
• Вплоть до трудоустройства
– Покупка усулуг у провайдера организации-цели
– Регистрация юр.лица
• Атака через промежуточные цели
– Атака через Интернет-ресурсы
– Атака через организации-партнеры
– Атака через сотрудников

9. Пример – Политика как повод для
поиска соучастников DDoS
• Сайт «Низкоорбитальная ионная пушка» -
– Хостинг вне юрисдикции РФ
– Инструмент координации DDoS-атак на ИС
правительства и гос. корпораций
Владелец ресурса
может без ведома
активистов направить
их ресурс на любую ИС

10. Пример – Целевая вирусная атака на
организацию
• Цель – вывод из строя ИС организации в
заданное время
• Средство – специально разработанный
вирус (не обнаруживается антивирусами с
актуальными базами)
• Метод – рассылка по почте
… казалось бы – кто откроет подозрительный
документ

11. Пример - Атака через сотрудника
организации• Рабочие и личные
контакты (почта)
• Рабочие и личные
активности
• Интернет и офф-
лайн контакты
(телефон)
Сайт
Организации
Адресное
вирусное
заражение

12. Пример – Атака через целевую
аудиторию
• Промежуточная цель – сайт
– Аудитория сайта – бухгалтеры, юристы
• Средство атаки – заражение сайта вирусом
• Контрмера против антивирусных компаний –
вирус активен с 9-00 до 18-00 по рабочим
дням
• Цель – заражение компьютеров с высокой
вероятностью доступа к ДБО

13. Пример – Инсайдер, хищение
• Цель – хищение финансовых средств
• Средство – вирус
• Метод – трудоустройство с последующим
заражением ПК
• Соучастники - ?

14. Мобильные пользователи,
устройства, данные
Google Android
Более 10 уязвимостей за 2012 год
Более 5 высококритичных (CVSS > 9)
Apple iOS
Более 80 уязвимостей за 2012 год
Более 40 высококритичных (CVSS > 9)
По данным http://cve.mitre.org
• Утрата … или счастливая находка
• Доступ из не доверенной среды
• Самостоятельное администрирование

15. Проблемы восприятия
• Разное отношение к устройству
– Мобильное устройство = компьютер
– Мобильное устройств = просто телефон
• Мобильное устройство = высокая мобильность
– Дома
– В корпоративной сети (BYOD)
– Доступ к корпоративным ресурсам извне
– Доступ через недоверенные сети
• Высокий риск потери устройства

16. Пример: ПО для мобильных устройств
Функция ПО – включить
светодиод, для это требуется:
• Полный доступ к Интернет
• Полный доступ к памяти
устройства
• Полный доступ к истории
звонков и СМС
• Полный доступ к гео-
позиционированию

17. Что делать?
• Определить базовый уровень защищенности и вероятные угрозы, с
учетом бизнес-мотивации и практики взаимодействия с регулятором
• Оценить активы, их ценность и динамику
• План действий должен включать
– Составление моделей нарушителя/угроз
– Анализ проектной и технической документации
– Обследование ИС - Определение уязвимостей и их устранение
• Меры по обеспечению ИБ могут включать в себя
– Установку Систем защиты информации
– Обработку рисков другими способами (страхование)
– Принятие рисков – в случае если потенциальный ущерб значительно ниже
стоимости мер по обеспечению защиты
• Необходимо учесть мотивацию сотрудников организации, сервисных
подразделений (служба ИТ, служба ИБ), руководства

18. Основания для работ по анализу ИБ
• Прямое указание
– Требования регуляторов (152 ФЗ о ПДн)
– Отраслевые и корпоративные стандарты (PCI DSS, СТО БР, ИБ РЖД)
– Подготовка к сертификации/аттестации
– Распоряжение ФСБ о защите информации в сетях общего пользования и т.п.
• Снижение юридических рисков
– Несанкционированное размещение запрещенных материалов на серверах компании
– Утечка персональных данных сотрудников
– Нелицензионное ПО
– Отказ от ответственности (заявление в правоохранительные органы о правонарушении)
– Угроза внесения сайта в zapret-info.gov.ru
• Минимизация финансовых рисков, связанных с инцидентами ИБ
– Кража VoIP трафика
– Недоступность бизнес-критичных ресурсов
• Оптимизация инфраструктуры
– Выявление неиспользуемых сервисов, узлов, серверов, оплачиваемых услуг и ПО
• Повышение эффективности работы служб/сотрудников
• Проверка контрагентов, подрядчиков при интеграции ИС, операциях с
интеллектуальной собственностью
– Устранение ошибок в заказном ПО/доработок по проектам внедрения
– Повышения ИБ у партнеров, подрядчиков, дочерних организаций

19. Инструментальный анализ ИБ
Тесты на проникновение
Анализ программного обеспечения
Алексей Качалин
kachalin@advancedmonitoring.ru
info@advancedmonitoring.ru
http://advancedmonitoring.ru/
Twitter: @am_rnd
Обеспечение ИБ ИС – не продукт
и даже не проект, а процесс –
выявления и обработки рисков