Внедрение безопасной разработки (Infosecurity 2014)
Семинар ИБ ФНС-2013
1. 2013, ОАО «Инфотекс».
Оценка состояния информационной системы как
ключевой элемент защиты от актуальных угроз
Г Р У П П А
К О М П А Н И Й
2. Производитель и
центр
компетенций по
СКЗИ и
информационной
безопасности
Кратко о ГК
«ИнфоТеКС» 20 лет на рынке СКЗИ
o Защита каналов (ПО и ПАК) 10Мб-10Гб
o Защита хранимых данных
o Защита мобильных устройств
Компетенции отвечающие вызовам
времени
o Исследование производительности ПО и
ИС
o Анализ ИБ ПО и ИС
4. Каждой угрозе –
по контроллеру!
20 Critical Security Controls - Version 4.1
Critical Control 1: Inventory of Authorized and Unauthorized Devices
Critical Control 2: Inventory of Authorized and Unauthorized Software
Critical Control 3: Secure Configurations for Hardware and Software on Mobile Devices, Laptops, Worksta
Critical Control 4: Continuous Vulnerability Assessment and Remediation
Critical Control 5: Malware Defenses
Critical Control 6: Application Software Security
Critical Control 7: Wireless Device Control
Critical Control 8: Data Recovery Capability
Critical Control 9: Security Skills Assessment and Appropriate Training to Fill Gaps
Critical Control 10: Secure Configurations for Network Devices such as Firewalls, Routers, and Switches
Critical Control 11: Limitation and Control of Network Ports, Protocols, and Services
Critical Control 12: Controlled Use of Administrative Privileges
Critical Control 13: Boundary Defense
Critical Control 14: Maintenance, Monitoring, and Analysis of Audit Logs
Critical Control 15: Controlled Access Based on the Need to Know
Critical Control 16: Account Monitoring and Control
6. Средства защиты
информации:
Превентивные – СКЗИ,
разграничение доступа
Реактивные – антивирусы,
системы мониторинга
ИБ компонентов
Процессы ИБ
И н ф .
С и с т е м а
В р а з р е з е
Сервисы
o Ресурсы сети общего доступа (в т.ч.
корпоративные на хостингах и в датацентрах)
Пользователи
o Средства доступа (стационарные, мобильные)
o Внешние (не контролируемые) пользователи
Инфраструктура
o Выход в сеть общего доступа (шлюз, ДМЗ,)
o Арендованные каналы связи через сети
общего доступа
Средства защиты информации
7. Обслуживание
Инф. Систем
Расширение ИС - масштабирование
o Горизонтальное и вертикальное
Планирование развития
o Инвентаризация (анализ ИБ?: патч-менеджмент?)
o Запущенные службы, открытые порты – минимум
необходимого
Выявление проблем
o Сбои в работе, проблемы производительности
o Следы нарушений ИБ
Реагирование по аномалиям и проблемам
o Устранение проблем
o Расследование инцидентов
o Анализ компонентов ИС
11. Проблемы:
ИС развивается
Описание не успевает
Нарушаются процессы
Настроить авто-анализ?
Человек-в-цикле
Анализ в
«боевой»
системе
Инвентаризация, инвентаризация,
инвентаризация! И проверка служб
o В т.ч. инфраструктуры – каналов связи
Выявление аномальной активности:
снижение производительности
o Забитые диски
o Мусорный и сбойный трафик
Анализ состава передаваемого трафика
o Возможность пассивного обнаружения «говорящих»
узлов
o СКЗИ без КЗИ
Прогнозирование допустимой загрузки
(Capacity management)
12. Опыт работы и
взаимодействия с телекомом,
организациями
предъявляющими высокие
требования к доступности
ИС (банковская сфера, ТЭК,
критическая инфраструктура)
и различными технологиями
(сотовая и фиксированная
связь, сети провайдеров
сервисов и доступа, MPLS-
сети), высоконагруженные
сервисы
Кейс: вы
сперва
докажите
Ситуация:
o Внедрили сервис видео-конференций между
офисами в России и Европе
o После нескольких дней эксплуатации – резкая
деградация качества вплоть до полной
неработоспособности
o Провайдер связи отрицает проблемы
o Обвинили эксплуататоров сервиса, сам сервис,
службу эксплуатации, СКЗИ
Результаты проверки:
o Проверка каналов связи показала высокий
процент потерь пакетов (15% при допустимых
0,1%)
o Провайдер произвел перенастройку
оборудования
14. Близка по составу и
сервисам к боевой системе
В том числе – географически
распределена
Проверка перед внедрением
Регресс-анализ обновлений
Пилотная
зона
Анализ распределенной АИС
o СУБД, СЗИ, Арендованные каналы связи
Служебный трафик СКЗИ без
шифрования – запись трафика
o В пилотной зоне меньше шума
o Позволяет вмешиваться в работу СКЗИ
o Позволяет идентифицировать
взаимодействующие сетевые объекты
Проведение анализа параллельно с
функциональным и
интеграционным тестированием
16. Критические нагрузки и
некорректный ввод
Независимая оценка свойств
и производительности
продуктов
Взвешенное решение о
применении продуктов
Эффективное взаимодействие
с вендором по вопросам
заявленных свойств продукта
Анализ на
стенде
Несколько кейсов анализа продуктов на
стенде:
Аномальный трафик
o Неотключаемая отсылка запросов на обновление
вендору
o До старта основных служб ОС, без логирования
Открытые слушающие порты -
сканирование
o Отвечают на попытки взаимодействия
Просадка производительности – стресс-
тесты
o Пакеты определённого размера в небольшом
количестве перегружают устройство
Выявление не заявленных вендором типов
сообщений протокола - фаззинг
17. Н и к т о н е б уд е т с п о р и т ь
человек –
слабое звено в
защите любой
системы
18. Вероятность возникновения
таких ситуаций можно снизить
проводя периодические
анализ ИБ
Обнаружить развитие атак
возможно исследовав и описав
профиль нормальной загрузки
и осуществляя мониторинг
состояния ИС
Кейс:
Угроза
налоговой
расправой
Ситуация:
o Вечером .. октября 2013 г., на серверах ООО «Х»
злоумышленником удалены файлы БД
o Факт был обнаружен сотрудниками компании на
следующий день – СУБД лежит
o Шифрованный архив RAR - содержит БД
o Текстовый файл - инструкции по переводу денег в
обмен на пароль
Проблемы:
o Восстановление затруднено перезаписью поверх
удаленных файлов
o Время на расследование и принятие мер
ограничено сроками сдачи налоговой отчетности –
содержимого этих БД
Симптомы могли быть замечены во время
инцидента (аномальная загрузка)
19. Что учитывать
при
планировании
работ
Бюджетирование
o Периодические проверки занести в бюджет
проще!
o План по событиям
Запланированным (ввод в эксплуатацию)
Инцидентам и отказам, снижению качества сервиса
– подписка на сопровождение
Приходится учитывать
o Стенд требует времени на настройку и тестовых
данных
o В пилотных зонах нет полной свободы –
остальные работы в них не могут быть
остановлены
o В «боевой» системе могут дать 30 минут в месяц
Фактор изменчивости во времени: ИС
изменяется во времени во всех
компонентах и измерениях
20. Гл а в н ы й э л е м е н т з а щ и т ы
л ю б о й и н ф о р м а ц и о н н о й
с и с т е м ы –
человек
разумный!
21. Решения
ИНФОТЕКС
и используемые
инструменты при
оказании услуг
СКЗИ ViPNet
Средства мониторинга
o ViPNet Statewatcher
o ViPNet IDS
Инструменты анализа производительности
o IXIA OptIxia XM2, IxLoad + IxChariot
o Network Instruments GOSS
o ProLAN-Антей
Инструменты анализа и мониторинга ИБ
22. ГК ИнфоТеКС www.infotecs.ru
СПАСИБО За
ВНИМАНИЕ!*
* В ы т о л ь к о ч т о в ы д е р ж а л и п р е з е н т а ц и ю
c к у ч е й т е к с т а и в о о б щ е б е з к а рт и н о к