Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
Чтобы эффективно бороться с киберугрозами, не всегда нужны дорогостоящие системы ИБ-аналитики. Открытые источники помогают деанонимизировать людей, собирать информацию юридического характера и определять возможные векторы атак.
Презентация для вебинара Вячеслава Васина, во время которого он рассказал, как уязвимости в распространённом программном обеспечении влияют на безопасность организаций.
Расследование инцидентов ИБ с помощью открытых интернет-источниковAdvanced monitoring
Чтобы эффективно бороться с киберугрозами, не всегда нужны дорогостоящие системы ИБ-аналитики. Открытые источники помогают деанонимизировать людей, собирать информацию юридического характера и определять возможные векторы атак.
Презентация для вебинара Вячеслава Васина, во время которого он рассказал, как уязвимости в распространённом программном обеспечении влияют на безопасность организаций.
Андрей Масалович – известный эксперт по информационной безопасности – о 10 приемах, позволяющих получить доступ к вашим данным за 1 минуту без взлома защиты, интернет-разведке и о способах обезопасить данные без серьезных затрат.
10 уязвимостей в ваших данных: методы взломаSkillFactory
Андрей Масалович, известный эксперт по информационной безопасности – о 10 приемах, с помощью которых можно воспользоваться уязвимостью интернет-ресурсов.
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...Positive Hack Days
Участник на практических примерах получит навыки использования аналитических технологий в реальных задачах конкурентной разведки, в том числе:
приемы быстрого обнаружения утечек конфиденциальной информации;
приемы быстрого обнаружения открытых разделов на серверах;
приемы проникновения на FTP-сервера без взлома защиты;
приемы обнаружения утечек паролей;
приемы доступа к конфиденциальным документам в обход DLP;
приемы проникновения в разделы, закрытые кодом 403.
Приемы демонстрируются на примерах порталов заведомо хорошо защищенных компаний (как, например, лидеров рынков ИТ и ИБ, крупных гос. структур, спецслужб и т.п.).
Андрей Масалович – известный эксперт по информационной безопасности – о 10 приемах, позволяющих получить доступ к вашим данным за 1 минуту без взлома защиты, интернет-разведке и о способах обезопасить данные без серьезных затрат.
10 уязвимостей в ваших данных: методы взломаSkillFactory
Андрей Масалович, известный эксперт по информационной безопасности – о 10 приемах, с помощью которых можно воспользоваться уязвимостью интернет-ресурсов.
Positive Hack Days. Масалович. Мастер-класс: Конкурентная разведка в сети Инт...Positive Hack Days
Участник на практических примерах получит навыки использования аналитических технологий в реальных задачах конкурентной разведки, в том числе:
приемы быстрого обнаружения утечек конфиденциальной информации;
приемы быстрого обнаружения открытых разделов на серверах;
приемы проникновения на FTP-сервера без взлома защиты;
приемы обнаружения утечек паролей;
приемы доступа к конфиденциальным документам в обход DLP;
приемы проникновения в разделы, закрытые кодом 403.
Приемы демонстрируются на примерах порталов заведомо хорошо защищенных компаний (как, например, лидеров рынков ИТ и ИБ, крупных гос. структур, спецслужб и т.п.).
Обзор текущей ситуации в области импортозамещения СЗИDialogueScience
В рамках презентации автор даст описание текущей ситуации в области импортозамещения. Будут затронуты вопросы применения нормативной базы, рассмотрены классы средств защиты информации. Также будет приведен обзор современных российских средств защиты информации и даны рекомендации по их применению.
Спикер: Сергей Корольков, технический директор АО «ДиалогНаука»
10 трендов современной киберпреступностиИнфобанк бай
Появились хакеры, спонсируемые государствами, которые занимаются шпионажем и хищениями в отношении банков. Начались диверсии против финансовой отрасли. Сменилась тактика целевых атак на банки. Рынок криптовалют становится все более лакомым куском. Андроид - трояны становятся основной угрозой для клиентов банков. Самая массовая угроза — это фишинг…
Практический опыт реализации системы антифрода промышленного производства – о...SelectedPresentations
VII Уральский форум
Информационная безопасность банков
ТЕМАТИЧЕСКОЕ ЗАСЕДАНИЕ № 1
Банковский фрод
Окулесский Василий Андреевич, начальник управления информационной безопасности, Банк Москвы
Источник: http://ural.ib-bank.ru/materials_2015
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодейс...IBS
Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Противодействие вредоносному ПО для мобильных устройств на сети оператора свя...Denis Gorchakov
Комплекс предназначен для анализа поведения клиентов бот-сетей, осуществления перехвата пакетов от центров управления, а также для выявления заражённых абонентских станций и оперативного противодействия вредоносному программному обеспечению, используя инфраструктуру оператора сотовой связи. Основным назначением является автоматизация информационно-аналитической деятельности в бизнес-процессах, которая поможет оператору сотовой связи защитить сеть от угроз, вызванных бот-сетями и предоставить абоненту новую услугу по защите.
Рositive Hack Days V. Противодействие платёжному фроду на сети оператора связиDenis Gorchakov
Программно-аппаратный комплекс для работы с Android-вирусами, используемый в операторе связи. Помогает выявлять мошеннические схемы и выстраивать защиту абонентов на основе получаемых данных
Honeypot and sandbox for Android malware in CSP's network that helps to reveal and disclose fraud schemes, build subscriber protection based on its data and etc.
Отчет по информационной безопасности. Полугодовой отчет Cisco за 2014 годCisco Russia
Любые кибератаки, независимо от их масштаба, зарождаются в самом слабом звене цепи безопасности. Такими слабыми звеньями могут быть: устаревшее программное обеспечение, некорректно написанный код, неиспользуемый веб-
сайт, ошибки разработчиков, «слепое» доверие пользователя. Злоумышленники изыскивают такие слабые места и используют их в своих целях.
К несчастью для организаций и пользователей, на которых нацелены эти атаки, злоумышленникам не приходится особенно долго искать такие уязвимости. В условиях молниеносно развивающегося Всеобъемлющего Интернета, в основе которого — возможность взаимодействия с «Интернетом вещей», задача злоумышленников даже упрощается, поскольку все, что подключено к сети — от автомобилей до систем «умный дом» — содержит уязвимости, которые можно использовать при атаке.
Последствия кибератак разрушительны — как в плане затрат, так и в плане потери производительности и ущерба для репутации. Согласно данным института Ponemon Institute, в среднем ущерб для организаций в результате взлома данных с 4,5 млн долларов США в 2013 году возрос в 2014 году до 5,4 млн долларов США. Кроме того, по данным отчета Центра стратегических и международных исследований по оценке ущерба от киберпреступлений и кибершпионажа ущерб для экономики США составляет ежегодно 100 млрд долларов США, а также влечет за собой потерю 508 000 рабочих мест в США в результате злонамеренных действий в Интернете.
Полугодовой отчет Cisco за 2014 год. Отчет по информационной безопасностиCisco Russia
В полугодовом отчете Cisco по безопасности за 2014 год представлена аналитика угроз и тенденций в области кибербезопасности за первое полугодие 2014 года. Исследование Cisco позволяет оценить количество разнообразных типов уязвимостей в системах, которые мы используем ежедневно, включая, собственно, Интернет, а также способы сокращения их числа и минимизации плачевных последствий. Основные выводы: состоят в следующем.
1. О работе Центра мониторинга и реагирования на компьютерные атаки в
кредитно-финансовой сфере Главного управления безопасности и
защиты информации Банка России
2. Основная цель ФинЦЕРТ:
2
• Организация и координация обмена
информацией между ФинЦЕРТ
и правоохранительными органами,
кредитными и некредитными
финансовыми организациями
• Анализ данных о компьютерных атаках в
кредитных и некредитных финансовых
организациях и подготовка аналитических
материалов
• Проведение компьютерных
исследований (форензика)
• Повышение осведомленности
населения Российской Федерации в
части информационной безопасности
и кибергигиены
создание центра компетенции в рамках информационного взаимодействия между
Банком России, разработчиками антивирусного ПО, операторами связи, банками и
другими организациями
• Информирование кредитных
организаций и реагирование на
инциденты
3. 270 276 278 275 282 287 292
316
336 348 358 359
383 396
418
0
50
100
150
200
250
300
350
400
450
06.16 07.16 08.16 09.16 10.16 11.16 12.16 01.17 02.17 03.17 04.17 05.17 06.17 07.17 08.17
Взаимодействие и реагирование
3
Заметный рост количества участников – кредитных организаций наблюдался в январе –
феврале 2017 г., после серии рассылок злоумышленниками загрузчиков Cobalt Strike в адрес
кредитных организаций.
6. Взаимодействие и реагирование
6
53 факта атак типа «Отказ в
обслуживании» (DDoS)
71 целевая атака (были
обнаружены признаки,
позволяющие объединить
несколько фишинговых кампаний
в рамках одной выделенной
целевой атаки или предположить,
что атака организована одной
группой)
407 нецелевых атак (массовая
рассылка ВПО или ссылок на
загрузку ВПО; признаки,
позволяющие классифицировать
атаку как целевую, отсутствовали
Динамика основных типов атак
19
36
68
60
74
106
44
6 4 4 4
10
29
14
4 2 5
20
8
12
2
0
20
40
60
80
100
120
I кв. 2016 II кв. 2016 III кв. 2016 IV кв. 2016 I кв. 2017 II кв. 2017 III кв. 2017
Нецелевые атаки (рассылка ВПО, без объединения по общему признаку)
Целевые атаки (рассылка ВПО, имеются общие признаки либо четко выраженная цель атаки)
DDoS-атаки
7. Взаимодействие и реагирование
7
ФинЦЕРТ как уполномоченная организация уведомляет регистраторов доменных имен о доменах, с которых
рассылается вредоносный код и осуществляются мошеннические действия, связанные с использованием
платежных карт.
44
23
3 1
28
2
24
19
29
7
16
1
84
2
45
39
0
10
20
30
40
50
60
70
80
90
2017 год
8. 8
В течение рабочего дня осуществляют мониторинг СМИ, блогов, социальных сетей и аналогичных
ресурсов сети Интернет на наличие публикаций, способствующих информационным атакам
направленных на репутацию Банка России и организаций кредитно-финансовой сферы, а также
утечки методик раскрытия преступлений в кредитно-финансовой сфере.
В настоящее время ФинЦЕРТ набирает информационную базу с целью
создания классификации информационных атак.
Мониторинг сети Интернет и социальных сетей
9. Технический анализ
9
исследований электронных носителей информации
исследования аппаратных средств, предназначенных для
скрытного хищения платежной информации
судебных экспертиз электронных носителей информации,
мобильных устройств и поддельных платежных карт
(порядка 350 шт.)
ФинЦЕРТ провел по запросу правоохранительных органов:
6
3
6
10. 10
Подготовил и опубликовал на
официальном сайте Банка России
«Обзор о несанкционированных
переводах денежных средств за 2016
год»
Участвует в разработке вики-каталога
«Осторожно, мошенники»
Совместно с Департаментом по связям с
общественностью разработал регламент, в
соответствии с которым ФинЦЕРТ готовит и
публикует информационные материалы о
кибератках на официальном сайте Банка
России
Участвует в проекте по разработке
обучающих семинаров для людей
пенсионного возраста (совместно с
другими подразделениями Банка России
и компанией «Баба-деда»)
Участвует в разработке учебных программ для
студентов ВУЗов, школьников
Разработал материалы семинаров для
сотрудников правоохранительных органов
В рамках направления «Финансовое просвещение» ФинЦЕРТ:
Работает с обращениями граждан
граждан.
За отчетный период в
ФинЦЕРТ из
Общероссийского центра
Банка России по
обработке обращений
поступило на
рассмотрение 97
обращений
11. 11
Cobalt Strike
Cпециализированное коммерческое
ПО для проведения тестирований на
проникновение («пентестов»), которое
расширяет возможности известного
программного обеспечения Metasploit
и позволяет скачивать бесплатную
полнофункциональную демо-версию
без дополнительных проверок
личностей и предполагаемых целей
скачивающего.
Хорошая организованность
атакующих
Выверенная социальная
инженерия
Легко превратить демо- в
полнофункциональную
версию
В некоторых случаях
эффективность
«пробива» - 100%
13. 13
Cobalt Strike
ЛВС без доступа в Интернет
«Ведомый» узел
(зараженная АРМ)
Сегмент ЛВС с доступом до АТМ
«Ведомый» узел
(зараженная АРМ)
Зараженная АРМ с выходом в
Интернет
«Ведущий» узел («Beacon»)
Организация
Удаленный доступ к устройствам самообслуживания
Командный сервер
Cobalt Strike
HTTPS (TCP:443)
SMB (pipe)
SMB(pipe)
ЛВС без доступа в Интернет
«Ведомый» узел
(зараженная АРМ)
«Ведомый» узел
(зараженная АРМ)
Зараженная АРМ с выходом в
Интернет
«Ведущий» узел («Beacon»)
Организация
Командный сервер
Cobalt Strike
HTTPS (TCP:443)
SMB (pipe)
SMB(pipe)
Сегмент ЛВС с доступом
к серверу процессинга
Обналичивание денежных
средств с использованием
банкоматов разных КО
Контроль «своих» карт
1. Заявки на выдачу карт
дропам;
2. Исправление лимитов и
балансов «своих» карт после
их выдачи
Схема атаки на банкоматыСхема атаки на процессинг
14. 14
Cobalt Strike: схема атаки на кредитную организацию
Обналичивание
денежных средств
Фишинговое письмо
в организацию
Заражение АРМ, на которой
было открыто письмо (АРМ
должна иметь доступ в
Интернет) («ведущий» узел)
Поиск злоумышленниками
сервера AD И хищение
учетных записей
администратора
Сегмент ЛВС с прямым доступом в сеть Интернет Сегмент ЛВС без прямымого доступа в сеть Интернет
Выстраивание сети из
«ведомых» узлов, не
имеющих прямого доступа в
Интернет
Исследование
злоумышленниками
инфраструктуры организации,
определение целей атаки
Получение доступа к
интересующему серверу
15. Динамика несанкционированных операций
15
Цель Банка России –
удержать показатели
доли
несанкционированных
операций ниже уровня
0,0050%
Доля несанкционированных
операций в общем объеме
операций
Доля несанкционированных
операций в общем количестве
операций
Доля несанкционированных операций с
использованием платежных карт в разрезе их
объема и количества
2015 2016
0,0020%
0,0028%
0,0021%
0,0016%