Документ рассматривает современные угрозы информационной безопасности в корпоративной IT-инфраструктуре, включая кибератаки, хакерские технологии и риски утечки данных. Он акцентирует внимание на необходимость создания эффективных систем защиты, использование российских технологий и нарастающую криминализацию интернет-пространства. Также подчеркивается важность комплексного подхода к обеспечению безопасности и мониторингу инцидентов для предотвращения угроз.

1. Современные угрозы ИБ в корпоративной ИТ-
инфраструктуре и технологии противодействия
21.10.2015 InterLab
Романченко Дмитрий
Директор Отделения ИБ

2. 2
Содержание
Современные угрозы информационной безопасности
в корпоративной инфраструктуре
Основные подходы к противодействию угрозам
ИБ
Использование российских средств защиты
информации в гетерогенной среде
Интересные результаты некоторых проектов по
защите информации

3. Современные угрозы ИБ в
корпоративной инфраструктуре

4. 4
Современные тренды
Достигли состояния зрелости:
• Массовый широкополосный доступ в интернет
• Дешевизна размещения ресурсов в интернет
• Доступность технологий больших данных
• Анонимность в интернет
• Криминализация интернет-пространства
Активно развиваются:
• Военные технологии в мировом интернет-пространстве
• Использование интернет-пространства террористическими и
экстремистскими организациями
• Технологии массовой кражи персональных данных из
информационных систем (в том числе государственных и
военных), их агрегации с последующим использованием в
противоправных целях

5. 5
Окончательное размывание
территориальных границ
корпоративной ИТ-инфраструктуры
 Корпоративная вычислительная инфраструктура
 Сетевое взаимодействие серверных групп
 Корпоративные приложения и сервисы
 Серверная вычислительная инфраструктура
 АРМ конечных пользователей
 Подключение технологического оборудования
 Обеспечение связности площадок Компании
 Взаимодействие Компании с внешними контрагентами
Вычислительные
мощности ЦОД
Транспортная
сеть
Вычислительные
мощности
дочерних обществ
 Доступ мобильных сотрудников к ключевым
корпоративным приложениям
 Online-доступ клиентов к корпоративным
приложениям
Подключение
удаленных
пользователей
Облачный
хостинг
MPLS
провайдера
?
Контроль
вендоров за
развернутым
оборудованием и
ПО
 Служба техподдержки
 Механизм обновлений
 Закрытый код
 Неконтролируемые сервисы

6. 6
Изменение уровня угроз
 Угрозы ИБ не несут риска остановки бизнеса компании в целом
 Угрозы несанкционированного доступа -> отдел ИБ
 Угрозы недокументированных возможностей -> не актуально
 Импортное оборудование и ПО -> априори доверенная среда
 Угрозы внешнего отключения ИТ-систем -> не актуально
 Система защиты -> блокирование классических угроз (МЭ, антивирус)
 Угрозы ИБ -> уровень отдела ИБ в компании
 Угрозы ИБ несут риск остановки бизнеса в целом, либо угрозу наступления
иных катастрофических последствий
 Угрозы недокументированных возможностей в инфраструктуре -> Актуально
 Угрозы недокументированных возможностей в прикладном ПО -> Актуально
 Импортное оборудование и ПО -> Априори не доверенная среда
 Угрозы внешнего отключения ИТ-систем -> Актуально
 Система защиты -> эшелонированная распределенная система
 Угрозы ИБ -> уровень стратегического корпоративного управления
Как было
Как стало

7. 7
Ключевые вызовы, отмеченные в новой
доктрине ИБ России (проект)
 Информационное пространство – среда для решения военно-политических задач,
может использоваться в террористических и иных противоправных целях
 Милитаризация информационного пространства – угроза миру, глобальной и
территориальной стабильности
 Использование технологического доминирования иностранных государств для
достижения экономического и геополитического преимущества
 Возрастает масштаб компьютерной преступности, прежде всего в кредитно-
финансовой сфере
 Нарушаются права граждан, неприкосновенность частной жизни
 Анонимность в глобальном информационном пространстве и недостаточная
защищенность – катализатор роста преступности
 Внедрение новых информационных технологий часто не увязано с обеспечением
информационной безопасности
Милитаризация мирового
информационного пространства
Отсутствие учета требований ИБ
Компьютерная преступность

8. 8
Примеры реализации различных угроз
ИБ
2010 Вирус Stuxnet. Множество каналов распространения, организует
собственную виртуальную сеть распространения. Предназначен для
выведения из строя технологического оборудования. Распространялся в
Иране на ядерных объектах и в других странах.
2014 Сообщение о шпионском ПО Regin. Разработано спецслужбами для атак
на телекоммуникационную сферу, энергетику, здравоохранение России и
Саудовской Аравии. ПО строит многоуровневую сеть управления и защиты,
включая шифрование. Состав вредоносных функций переменный и
определяется целевой функцией шпионажа или атаки. Атаки начиная с 2003 г.
2014 Публикация в Spiegel прайс-листа жучков для Cisco, Huawei, Juniper, Dell.
Демонстрация видеороликов установки жучков в оборудование Cisco.
Последовало обращение Cisco в органы США с просьбой не устанавливать
подобное оборудование. Мировые продажи Cisco на новостях упали.
Август 2015 Cisco признала неоднократный взлом коммутаторов путем замены
прошивки. Cisco утверждает, что взлом происходил “легитимным” образом: путем
перепрошивки под административным паролем. ИБ эксперты считают, что данный
взлом - свидетельство использования закладок АНБ. Также отмечается, что после
загрузки “штатной” прошивки уязвимость сохраняется.
http://virusinfo.info/showthread.php?t=188456&s=d0076b2c84cc0a26f4dfc6fc7f031c53

9. 9
Насколько небезопасно «безопасное»
ПО
Октыбрь 2015. Чешский разработчик антивируса AVG Technologies анонсировал
новые правила использования продуктов: с пользовательских АРМ будет
собираться и продаваться сторонним организациям приватная информация:
история web-серфинга, сведения о мобильных сетях и интернет-провайдерах,
сведения об установленном ПО и способах его использования.
http://www.cnews.ru/news/top/2015-10-
16_krupnaya_antivirusnaya_kompaniya_nachala_prodavat
Windows 10. Система собирает и отправляет MS широкий перечень приватной
информации. Определение степени приватности MS оставляет за собой.
В кастомном режиме инсталляции некоторые настройки отключаются, но способа
проверить это нет.
Microsoft приступает к принудительному переходу с Win7 на Win10.
Apple, Google были неоднократными участниками разбирательств на тему
произвольного использования пользовательских приватных данных.
20.10.2015 объявлено о распространении через AppStore вредоносного ПО –
более 250 приложений были удалены. Вредоносное ПО распространялось под
видом средств разработки.

10. 10
Актуальные угрозы в корпоративной
ИТ-среде
DDoS-атаки
Направленные
атаки
Вредоносное
ПО
Не декларированные
возможности
серверных ОС
Не декларированные
возможности СУБД,
ERP-систем и иных
приложений
Закладки в
оборудовании
(сетевом,
серверном,
мобильном)
Социальная
инженерия

11. Основные подходы к
противодействию угрозам ИБ

12. 12
Принципы “не…”
Импортозамещение средств защиты как таковое не является панацеей и само
по себе не гарантирует защищенность корпоративной среды
Формальные критерии выбора продуктов ИБ (в том числе на базе анализа
Gartner) не гарантируют выбор наилучшего решения в целом для конкретного
применения
Вендор-центричный подход к выбору средств защиты не обеспечивает должный
уровень безопасности. Абсолютных лидеров по всем направлениям нет и
скорее всего уже не будет
Обеспечение периметриальной защиты ИТ-инфраструктуры, практикуемое
большинством заказчиков, не обеспечивает защиту от современных угроз
Построение эффективной системы защиты в корпоративной среде невозможно
без моделирования поведения ИТ-инфраструктуры и информационных систем в
защищенном исполнении

13. 13
Некоторые нюансы российского рынка
Раскрытие исходного кода в рамках сертификации на НДВ все в большей мере
присутствует на рынке
Требования ФСТЭК по сертификации средств защиты покрывают весь спектр
решений ИБ. Акцент ФСТЭК на устранение уязвимостей сертифицированном
оборудования и ПО
На российском рынке достаточно сертифицированных средств защиты (как
иностранного, так и российского производства), что исключает использование
несертифицированных средств
Российские средства защиты представляют реальную конкуренцию
иностранным производителям в ряде секторов

14. 14
Ключевые технические меры защиты
информации
 Тотальный мониторинг событий и инцидентов ИБ
 Использование российских и иностранных средств с различными
базами уязвимостей
 Использование средств анализа кода прикладного ПО
1.Мониторинг
2.Аудит
защищенности
 Сегментация корпоративной информационно-вычислительной сети
по видам обрабатываемой информации
 Исключение избыточного доступа пользователей
3.Сегментация
корпоративной сети
 Использование только российских средств криптозащиты
 Оптимальное сочетание иностранных и российских средств защиты
 Обязательная проверка на НДВ на критических объектах
5.Рациональное
импортозамещение
 Анализ команд административного управления
 Анализ неизменности конфигураций оборудования и ПО
 Анализ профиля сетевого трафика в целом
 Анализ поведения пользователей
 Анализ поведения иностранного ПО во времени
4.Поведенческий
анализ

15. 15
В России как всегда…
 Импортозамещение возводится во главу угла. Формируются 4
сообщества:
 ортодоксальные импортозамещатели - допуск исключительно
российских разработчиков, блокирование закупки иностранного
оборудования и ПО;
 восточнозамещатели - замещение западных решений
восточными;
 апологеты опенсорса – замещение проприетарных решений
опенсорсными;
 локализаторы – маскирование западных решений под
совместную (или независимую) разработку, поддерживаемую
известными вендорами (IBM, HP, Cisco и др.)

16. 16
А тем временем в Китае…
 В 2014 г. принят закон, обязывающий иностранные компании
открывать код ПО для проверки, если они хотят поставлять свое
оборудование и ПО для финансовых организаций
 IBM первой из высокотехнологичных компаний согласилась
предоставить код ряда технологических продуктов.
http://www.cnews.ru/news/top/2015-10-
16_ibm_sdalas_vlasti_kitaya_vpervye_poluchili_dostup

17. Использование российских средств
защиты информации в гетерогенной
среде

18. 18
Возможности для импортозамещения в
ключевых сегментах ИБ
 Континент АПКШ, Континент SSL/TLS (Код Безопасности)
 VipNet (Инфотекс)
 S-Terra (С-Терра Си-Эс-Пи)
 UserGate Proxy & Firewall (еСЛ Девелопмент)
 Рубикон (Эшелон)
1.Firewall, VPN,
SSL/TLS
3.Обнаружение и
блокирование
атак на
приложения и БД
 PT Application Firewall, PT MaxPatrol SIEM (Позитив
Текнолоджис)
 Attack Killer (AK), Targeted Attack Detector (ТAD) (ИнфоВотч)
 Kaspersky Anti-APT (2016, Лаборатория Касперского)
 АПК «Гарда БД» (МФИ Софт)
 Kaspersky DDoS Prevention (Лаборатория Касперского)
 АПК «Периметр» (МФИ Софт)
 VipNet IDS (Инфотекс)
 Континент IDS (Код Безопасности)
2.Обнаружение
атак на периметр
сети

19. 19
Возможности для импортозамещения в
ключевых сегментах ИБ
 Kaspersky Private Security Network (KPSN) (Лаборатория
Касперского
8.Использование
технологии
“песочницы”
 MaxPatrol SIEM (Позитив Текнолоджис)
 R-Vison IM (R-Vision)
 MaxPatrol (Позитив Текнолоджис)
 RedCheck (Алтекс-Софт)
 R-Vision CM (R-Vision)
5.Мониторинг
инцидентов ИБ
4.Аудит
защищенности
 Анализ работы ИС и пользователей: Solar inView (Solar
Security)
 Анализ сетевого трафика АСУТП: Kaspersky Trusted
Monitoring System (Лаборатория Касперского)
6.Поведенческий
анализ
 Efros Config Inspector (Газинформсервис)
 MaxPatrol SIEM (Позитив Текнолоджис)
7.Контроль
конфигураций

20. 20
Собственные разработки IBS в области
ИБ
Электронный сервис проверки и формирования
электронной подписи ibs_dSig
 Предназначен для проверки и формирования усиленной квалифицированной
электронной подписи в электронных документах, а также проверки
валидности квалифицированных сертификатов ключей проверки электронной подписи
 Может использоваться в системах, использующих массовый электронный
юридически значимый документооборот.
 Разворачивается в виде web-сервиса
Высший Арбитражный Суд Российской Федерации
Федеральное казначейство Российской Федерации

21. Интересные результаты некоторых
проектов по защите информации

22. 22
Пример 1. Крупный банк
• Заказчику было предложено провести расширенный
анализ поведенческой активности в сети
Выполнялся проект комплексного ИБ-
аудита ИТ-инфраструктуры банка
• Arbor NSI – анализатор сетевых протоколов
Использовано специализированное
оборудование
• Бот-сеть в защищенной внутренней сети банка,
считавшейся безопасной. Выявлены конкретные
скомпрометированные хосты
Выявлено

23. 23
Пример 2. Государственная организация
• Построена эшелонированная система защиты
• Выстроен мониторинг ИБ
Выполнялся проект защиты DMZ-сегмента
вычислительной сети, содержащей важные ИТ-ресурсы
• Изменился профиль внешней сетевой активности. Наблюдалось
“обследование” сетевого периметра с сайтов в КНР, США, России
• Обнаружили странный всплеск трафика изнутри наружу сети, который
блокировался средствами защиты
Результаты ИБ-мониторинга защищенной сети
• Один из защищаемых ресурсов ранее был скомпрометирован и передавал
вовне данные
• Внедрение эшелонированной системы защиты заблокировало
взаимодействие с сервером управления шпионского ПО
• Был форсирован переход на новую версию защищаемого ресурса, а
скомпрометированный был выключен
Выявлено

24. 24
Пример 3. Крупное производственное
предприятие
• Утверждалось, что весь доступ в сеть контролируются, сеть резервирована
• Утверждалось, что сетевой трафик (офисный, производственный) не
смешивается и инфраструктура безопасна
Выполнялся проект защиты КИ и ПДн
• Сетевой трафик не разделялся в должной мере, компрометация офисной
сети могла привести к отказу производственной (АСУ ТП)
• При внедрении сетевой защиты выяснилось, что на производственных
площадках резервирование сделано “на бумаге”
• Выяснилось, что до 1000 человек имеют неограниченный удаленный
доступ к критическим ресурсам
В ходе проекта выяснилось
• Полная криптозащита каналов с разделением потоков офисного и
производственного трафика
• Проведена полная инвентаризация доступа пользователей к ИТ-ресурсам
• Запущен проект по созданию централизованной системы управления
доступом к ИТ-инфраструктуре и информационным системам
Реализовано

25. 25
Пример 4. Коммерческая организация
• Утверждалось, что в организации введен режим коммерческой тайны, движение
электронных документов выстроено по регламенту
• Утверждалось, что в организации контролируется печать на сетевых принтерах
• Утверждалось, что действует жесткий регламент доступа в интернет
Выполнялся проект защиты от утечек информации (DLP)
• Передача защищаемых документов за периметр сети и запись на FLASH-
носители – массовая практика
• В ряде мест практикуют печать документов 300 и более стр., не относящихся к
производственной деятельности
• Сетевой серфинг по “веселым” сайтам с последующим скачиванием видео –
обычная практика
В ходе проекта выяснилось
• Проведено несколько расследований с передачей дела в правоохранительные
органы
• Проведены беседы о недопустимости использования корпоративных ресурсов в
личных целях
Выполнено

26. 26
Выводы
Выполнение комплексных ИБ-проектов дает Заказчикам кроме
непосредственного эффекта повышения защищенности еще и наиболее
мощный эффект повышения эффективности ИТ в целом
Инвестиции в ИБ дают длительный положительный эффект для компании, по
сравнению с инвестициями в ИТ, часто имеющими короткий экономический
эффект
Компрометация ИТ-инфраструктуры и информационных систем часто является
латентной в течение длительного промежутка времени, нанося ущерб
организации
Отсутствие у Заказчика целостной эшелонированной системы защиты не
позволяет обеспечить должный уровень безопасности информации
Технологии защиты информации перешли в разряд оборонных/наступательных
военных технологий и требуют соответствующего уровня внимания. Гибридная
информационная война – это тренд на десятилетия

27. Россия, 127434, Москва,
Дмитровское шоссе, 9Б
тел.: +7 (495) 967-8080
факс: +7 (495) 967-8081
ibs@ibs.ru
www.ibs.ru
www.facebook.com/IBS.ru
www.twitter.com/ibs_ru