Обеспечение безопасности расширений в корпоративных информационных системахAndrew Petukhov
Одни из самых распространенных платформ для корпоративных информационных систем в России - SAP и 1C Предприятие. В обеих основную ценность представляют так называемые расширения, обеспечивающие клиентам требуемую функциональность: для SAP – это модули на языке ABAP, для 1С Предприятия – конфигурации, для создания которых используется встроенный язык программирования. С точки зрения информационной безопасности ситуация неутешительна: к задаче обнаружения закладок в custom-коде расширений в последние годы добавилось выявление классических веб-уязвимостей из OWASP Top10. В докладе будет рассмотрена оценка защищенности расширений корпоративных информационных систем, а также подходы к решению этой задачи в отношении платформы SAPв зарубежных странах, и в отношении платформы 1С – в России.
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
Обеспечение безопасности расширений в корпоративных информационных системахAndrew Petukhov
Одни из самых распространенных платформ для корпоративных информационных систем в России - SAP и 1C Предприятие. В обеих основную ценность представляют так называемые расширения, обеспечивающие клиентам требуемую функциональность: для SAP – это модули на языке ABAP, для 1С Предприятия – конфигурации, для создания которых используется встроенный язык программирования. С точки зрения информационной безопасности ситуация неутешительна: к задаче обнаружения закладок в custom-коде расширений в последние годы добавилось выявление классических веб-уязвимостей из OWASP Top10. В докладе будет рассмотрена оценка защищенности расширений корпоративных информационных систем, а также подходы к решению этой задачи в отношении платформы SAPв зарубежных странах, и в отношении платформы 1С – в России.
Практические особенности внедрения систем класса DLPDialogueScience
В рамках вебинара "Практические особенности внедрения систем класса DLP" вы узнаете:
- цели и задачи, которые заказчик обычно ставит перед DLP, его ожидания;
- часто допускаемые ошибки;
- цели проекта по внедрению DLP;
- этапы проекта по внедрению DLP;
- описание этапов проекта;
- каких ошибок удается избежать при правильном подходе;
- преимущества и недостатки;
- ответы на вопросы.
Спикер: Роман Ванерке, руководитель отдела технических решений АО «ДиалогНаука»
Совокупность последних положений регуляторов предполагает построение замкнутого и адаптивного комплекса требований, создающего предпосылки для построения систем со "встроенной безопасностью", что является необходимым условием обеспечения ИБ современных информационных систем.
Внутреннее качество в процедурах информационной безопасностиAlex Babenko
Процедуры информационной безопасности – основные шестерни, приводящие в движение процесса обеспечения информационной безопасности. А корректное выполнение процедур является атрибутов успешности его выполнения. В докладе рассматриваются использование принципа «встроенного качества» при создании и документировании процедур информационной безопасности, построение процессов допускающих только корректное выполнение.
Более подробно - в заметках к слайдам.
Системы класса SIEM могут быть вполне применимы не только для информационной безопасности, но и ИТ персоналом, разработчиками для своевременного обнаружения и предотвращения инцидентов
Как сэкономить, вложив в информационную безопасность? Ivan Piskunov
Презентация к семинару "Как сэкономить, вложив в информационную безопасность?".
На семинаре мы расскажем как аудит безопасности для небольшого и среднего бизнеса поможет снизить операционные затраты, увеличить оборотные средства и в целом увеличь общую капитализацию (прибыль).
Ссылка на подробное описание https://ipiskunov.blogspot.ru/2017/12/blog-post.html
Особенности проведения аудита безопасности корпоративной IT-инфраструктуры_PH...Ivan Piskunov
Презентация к выступлению "Особенности проведения аудита безопасности корпоративной IT-инфраструктуры", 15 мая 2018, Fast Track
Ядром доклада станет демонстрация нескольких средств аудита (ПО, скриптов) для Windows Server, инфраструктуры AD, Linux: как они работают, какие дают результаты и как облегчают жизнь аудитору.
Анонс выступления
https://ipiskunov.blogspot.ru/2018/05/phdays-8-digital-bet.html
Telegram-канал
https://t.me/w2hack или @w2hack
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 4
Обеспечение безопасности банковских приложений
на различных этапах жизненного цикла
Качалин Алексей Игоревич, заместитель генерального директора, ГК «Инфотекс»
Источник: http://ural.ib-bank.ru/materials_2015
Обзор современных технологий и продуктов для защиты от инсайдеров_2014.09.16DialogueScience
современными тенденциями в области защиты информации от внутренних угроз, комплексным подходом к защите от утечки конфиденциальной информации, а также с ведущими разработками в этой области.
Доклад является обобщением моего опыт по работе с системами мониторинга серверных приложений в Qiwi.
Цель доклада:
- Получить общее представление о подходах к мониторингу серверных приложений
- Разобраться с популярными средствами для мониторинга серверных приложений
Оглавление:
- Мотивация
- Теория
---- Определение
---- Модель системы с точки зрения мониторинга
---- Классификация систем мониторинга
---- Уровни мониторинга
---- Инструменты мониторинга
- Практика
---- Системы мониторинга и сбора логов
---- Интерфейсы мониторинга
---- Инструменты мониторинга в JVM-based приложениях
Борьба с вредоносным кодом: от базовых мер к целостной стратегииAleksey Lukatskiy
Описание целостной стратегии борьбы с вредоносным кодом - от начальных шагов и базовых защитных мер к продвинутой версии, включающей множество защитных механизмов
How to assess the company's readiness to intelligent automation of office pro...Alexandre Prozoroff
How to assess the company's readiness to intelligent automation of office processes?
Как оценить готовность компании к роботизации офисных процессов?
http://cybersyn.ch/office
На вебинаре участники ознакомились с актуальными проблемами, связанными с реализацией задач по сбору, анализу и корреляции событий информационной безопасности, регистрируемых в территориально-распределенных автоматизированных системах предприятий.
В рамках мероприятия были рассмотрены основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности
и также рассмотрена одна из возможных реализаций центра мониторинга событий безопасности (Security Operation Center, SOC) на базе программных продуктов HP ArcSight.
Мониторинг событий информационной безопасности на базе решений HP ArcSight ES...DialogueScience
Рассматриваются основные преимущества использования систем мониторинга, позволяющие повысить эффективность принятия решений по реагированию на инциденты безопасности.
Спикер:
Родион Чехарин,
Руководитель проекта технического департамента ЗАО «ДиалогНаука»
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
2. Постановка задачи
• Контекст - Компания
– Информационная система
– Процессы + активы
• Объект интереса – Программа
– Распределенная (в т.ч. серверная часть)
– Заказная/содержащая модифицированные компоненты
– Пользователи – в т.ч. публичный доступ, «толстый» клиент
– Разработчики – отдельная организация со своей ИС
– Компоненты в т.ч. без исходного кода
– Программа и данные динамичны – активность пользователей,
дополнительный функционал
• Требуется провести инструментальный анализ ИБ
– Не прерывая и не нарушая процессов
– Не внося необратимых изменений
3. Let me google it for you!
На сайтах, в кэше поисковых систем, на форумах и в социальных сетях
удавалось обнаружить
• Дистрибутивы программ
• Исходники программ
• Конфигурационные файлы. С паролями для доступа к БД
• Примеры вывода программ (ошибок)
• Точки распространения ПО (ftp)
• Адреса на которых работают сервера программы в Интернет
• Сотрудников, эксплуатириующих программу, разработчиков
программы.
– С телефонами, почтовыми адресами, личной информацией
• Информацию о клиентах
Исходные данные: Всего лишь название программы
Обнаружимое воздействие: нет!
5. Выбор подхода к решению задачи
• Анализ архитектуры?
• Статический анализ?
• Динамический анализ?
• Анализ окружения?
• Реверсинг, анализ протоколов?
• Фаззинг?
• Стресс-тесты?
• Анализ конфигурационных файлов?
• Анализ журналов?
• Пентест?
6. Фундамент работ
• Наличие и актуальность описания
– Окружения
– Самой Программы
• Анализ окружения
– Инвентаризация
– Сканирование уязвимостей
– Системы обеспечения ИБ
7. Взаимосвязь с окружением
• Уязвимости окружения могут привести к
неэффективности мер обеспечения ИБ, на
которые рассчитывали разработчики
Программы (доступ к файловой системе)
• Эксплуатация уязвимостей Программы
может нарушить работоспособность
компонентов окружения или всей ИС
8. Компоненты окружения? Диагноз: уязвимы!
Вендор Уязвимостей за
7 месяцев 2012
Дней до
исправления
Apple 17 190
IBM 12 185
Microsoft 9 129
Mozilla 4 88
HP 12 218
Novell 5 146
Symantec 3 172
Oracle 12 90
Adobe 5 55
Уязвимостей
за полгода:
128
Дней на
устранение:
158
Дней в
полугодии:
177
9. Анализ ИБ ИС – инвентаризация и сканирование
• Ресурсы: узлы и сервисы, точки доступа
• Процессы: потоки данных, работа средств ИБ
• Активы – где размещены?
• Что делать???
3%
8%
89%
Высокой
степени 390
Средней
степени 1060
Низкой
степени 12270
10. Уязвимости – простая модель
• Проектирование
• Реализация
• Эксплуатация
• Развитие/модификация
11. Специфика уязвимостей «заказного» ПО
• Количество и серьезность ошибок (уязвимостей) в
заказном ПО – выше
– Встраивание криптографии – хардкод паролей
– Безопасность/устойчивость протоколов
• Информации об уязвимостях извне не поступит
– Эффективность сканеров уязвимостей - низкая
– Эффективность систем мониторинга – близка к нулю
• Заложены ли в ПО возможности по анализу
инцидентов?
• Возможности атакующего по воздействию на
окружение?
• Вероятность обнаружения специально подготовленных
вирусов стандартными антивирусами - ниже
12. Подготовка к работам
• План коммуникаций
– Разработчики
– Ответственные за эксплуатацию
• Границы
– Время проведения работ (ночью, по выходным?)
– Критические компоненты – как не нарушить их работу
и при этом провести анализ
– Перемещение данных при анализе
– Элементы тестирования на проникновение:
допустимые методы и средства действия атакующего
(рассылка специальных вирусов, методы социальной
инженерии)
13. Живая система или полигон или стенд?
• Работы в живой системе
– Актуальная версия Программы и данных
– Мониторинг активностей
– Обнаружение «накопленных» проблем
• Работы на полигоне
– Частичный доступ к продуктиву и данным
– Расхождение с продуктивом (+/- функционал)
• Работы на стенде
– Возможность проведения разрушающих тестов
– Отладка
14. Что сделать?
• Готовить «фундамент» заранее
– Документацию
– Полигон, заливку для стенда
• Контролировать и анализировать инциденты
• Проводить работы не дожидаясь инцидентов
– Разработка методики, реалистичной модели угроз
и нарушителя
• Планировать и проводить работы регулярно
– Проверка окружения
– Проверка программы, особенно при доработках
15. Выгодно?
• Устранение ошибок в заказном ПО и доработок по
проектам внедрения
• Повышения ИБ у аффилированных организаций
• Минимизация рисков, связанных с инцидентами ИБ
– Кража данных
– Репутационные риски
– Недоступность критичных ресурсов
• Выявление неиспользуемых компонентов, сервисов
• Требования регуляторов - следы ПДн
• Повышение эффективности работы
служб/сотрудников
• Принуждение к защите своей интеллектуальной
собственности
16. Спасибо за внимание!
Услуги ЗАО «ПМ»
– Инструментальный анализ ИБ
– Тесты на проникновение (pentests)
– Анализ ПО
– Расследование инцидентов
Алексей Качалин
kachalin@advancedmonitoring.ru
info@advancedmonitoring.ru
http://advancedmonitoring.ru/
@am_rnd