3. Теперь все посложнее…
УПРАВЛЕНИЕ
СЕРВЕРЫ
ПРИЛОЖЕНИЙ
PSTN
IP-СЕТИ
VoIP ОКОНЕЧНЫЕ
УСТРОЙСТВА
ТРАНСПОРТ
ПОГРАНИЧНЫЕ
УСТРОЙСТВА
INTERNET
ЛВС ФИЛИАЛЫ
4. Вчера
• Специализированные системы и протоколы
• Разделение сетей
• Сложность реализации атак
SS7 IP
Мобильная сеть ШПД
IP
SS7/IP
IT
Фиксированная сеть
Технологические сети
5. Сегодня
Welcome в мир ИБ!!!
(ежедневные новые уязвимости, хакеры, трояны и т.д.)
• Стандартные платформы и протоколы
• Объединение сетей + доступность из Интернет
IP-угрозы - актуальны для тех. сетей
SIP/IMS IP
Мобильная сеть ШПД
IP
Транспортная сеть
IP SIP/IMS
Фиксированная сеть
IT сеть
Конвергентная IP сеть
6. А еще…
В технологических сетях часто нет процессов:
устранения уязвимостей в ПО и настройках оборудования
регулярного обновления ПО и установки патчей
нет четких согласованных стандартов конфигураций для
критичного оборудования
бесконтрольный аутсорсинг
нет средств контроля
Отсутствуют процессы Vulnerability and Compliance Management
В 2011 г. совокупные убытки от деятельности
киберпреступников и телефонных мошенников оценены в
$388 млрд в год.*
*По данным Norton Cybercrime Report 2011
7. Наши цели
В рамках контроля защищенности тех. сетей:
создание процесса контроля соответствия стандартам
обеспечение адекватного уровня ИБ
повышение эффективности ИБ
Создание централизованного механизма
анализа уровня защищенности в
технологических сетях
8. 2 основные задачи
1. Контроль защищенности распространенных ИС в тех.
сетях
2. Контроль защищенности специализированных ИС в
тех. сетях
9. Контроль защищенности распространенных ИС
Не только ИБ заинтересовано в контроле конфигураций!
Адаптация существующих стандартов
• Cisco IOS, Solaris, Linux и др. + VoIP-сегмент – Cisco CM
Согласование адаптированных версий
Организация процесса контроля конфигураций
10. Уязвимости Cisco Call Manager 6 в режиме Audit
Уязвимость позволяет
атакующему выполнить
произвольный код
11. Контроль защищенности специализированных
устройств
Доработана система MaxPatrol
Реализованы стандарты ИБ и определение устройства в
режиме инвентаризации для
Huawei
• Node B
• RNC
В ближайшее время
Ericsson
• Node B
• RNC
Cisco SGSN/GGSN на базе ASR5000
13. Подбор пароля к 3G базовой станции
Login: admin
Password: 1111111
14. Стандарты конфигураций специализированного
оборудования
Примеры предъявляемых требований:
Парольная политика
• Пароль по умолчанию, длина, сложность и т.д.
Безопасный обмен данными
• ACL, SSl-шифрование
Централизованная регистрация событий
• Сервер регистрации, уровень критичности и т.п.
15. Почему так важно защищать - выводы и перспективы
Быстрое наращивание мобильной сети:
• безопасность и оптимальность дизайна сетей,
инвентаризация оборудования, разделение зон и т.д.
• контроль настроек с точки зрения безопасности и
мошенничества
Возрастающая нагрузка на транспортную сеть
(неоптимальные/небезопасные настройки)
Строительство сетей в регионах при слабом контроле из
центра
Присоединение сетей приобретаемых компаний
с более низким уровнем безопасности
(угрозы перекочевывают вместе с ними)
16. Позитивные предложения от Positive Technologies
Год назад создан центр компетентности в рамках
Positive Research
Дальнейшая разработка стандартов ИБ для телеком
оборудования (HLR, MSC, VAS-платформы и т.д.)
Уже сейчас новые услуги для наших клиентов:
• Аудит и тест на проникновение VoIP-сегмента
• Адаптация стандартов ИБ, разработка новых в рамках тех.
сетей
17. Reference
В настоящий момент завершается
первый этап проекта
«Контроль защищенности
технологических сетей
ОАО «ВымпелКом»»