Презентация к докладу ЗАО "ПМ" на 5-й Общероссийской научно-практической конференции «Реализация государственной стратегии развития единой образовательной информационной среды, индустрии инфокоммуникационных технологий и проблем информационной безопасности».
2. Расследование инцидентов ИБ
ЗАО «Перспективный мониторинг»
Инструментальный анализ ИБ
Аудит информационной безопасности (ИБ)
Анализ трафика Исследования и экспертиза ИБ
3. ЗАО «Перспективный мониторинг»
ПАО «Уралкалий»
ООО «Военно-промышленная компания»
МИРС Пермского края
Росреестр
Правительство Хабаровского края
и др.
Группа компаний «ИнфоТеКС»
Заказчики
4. Угрозы-2015
Уязвимые технологии (мобильные,
облачные и т.д.)
Риски инноваций
Облачные атаки на СКЗИ
Атаки на Интернет Вещей
Целевые атаки на АСУ ТП
ИБ-катастрофы
ИБ-провалы платформ-2014 (Apple iOS,
Microsoft)
Shellshock, уязвимости TLS/SSL (Goto
Fail, Heartbleed, POODLE, WinShock)
Проблемы внешних сервисов
Проблемы обработки уязвимостей
Саморазоблачения (Drupal)
Проблема политики раскрытия
уязвимостей
Растущий разрыв в потребностях и
уровне/количестве специалистов ИБ
Вмешательство государств
Гос. программы по кибервооружениям
(Китай, США)
Санкции и запреты
Вывод?Если нас сломают Когда нас сломают
5. Разработчик СЗИ — мишень?
Разработчик СЗИ может стать целью злоумышленников, так как:
Активно противостоит, а, следовательно, взаимодействует с ними
Является такой же компанией, как и прочие, а следовательно, для
него актуальны классические угрозы для организаций и
сотрудников
Производит продукты, которые в дальнейшем станут важными
инфраструктурными компонентами других информационных
систем
Обладает сведениями о своих клиентах и их доверием , нередко
имеет доступ к их информационным системам
6. Разработчик СЗИ — ценная мишень!
Продукт
Исходные коды и готовое
программное обеспечение
Алгоритмы
Планы разработок
Технологические ресурсы
Сборочные серверы
Сетевые и серверные
мощности
Люди
Сотрудники, внешние
контакты
Рассылка писем/переписка
от имени доверенной
организации
Инфраструктура поддержки
Контрактная документация
Сервисные подразделения
Разработчики СЗИ интересны для атакующих «высоких классов», так как
воспринимаются как активные участники государственной политики,
представители интересов государства
Потенциальные цели:
7. Проблемы отрасли — взгляд изнутри
Сложно объяснить заказчику, зачем тратить деньги на ИБ
Нет понимания роли СЗИ в обеспечении бизнес-процессов
Нет понимания, что недостаточно купить СЗИ, с ними надо работать
Проблемы стандартизации
Отрыв требований сертификации от требований безопасной разработки
«Своё» понимание безопасной разработки у каждого разработчика
Ни одна компания не производит всех возможных СЗИ
Нет компетенций по ряду областей ИБ
Специалисты по разработке СЗИ не специалисты во всех остальных областях
Нет компетенций во всех остальных областях
Нововведения и угрозы отслеживаются лишь в «своей» области
Иллюзия безопасности
8. Способы решения
Обучение информационной безопасности
Повышение общей осведомленности
Регламентация процесса
Организация взаимодействия для
«самозащиты» отрасли
Общий язык, интеграция областей ИБ
Совместное развитие ИБ компаниями
рынка
Стандартизация практик разработки
Внедрение практик безопасной
разработки
Противодействие «экономии на
безопасности»
Сотрудничество с «регуляторами»
Сближение «бумажной» и практической
безопасности
Подконтрольность компонентов,
сервисов, инструментов
(импортозамещение)
Внешняя экспертиза
Аудит информационной безопасности
Организация центров мониторинга
Аутсорсинг задач ИБ
9. От теории к практике
Использование
мирового опыта
Развитие
собственных идей
Microsoft SDL
Внедрение практик безопасной разработки в ОАО «ИнфоТеКС»
10. От теории к практике
Центр мониторинга ЗАО «ПМ»
Инструментальный анализ ИБ
Инструментальное исследование ИС проводится с целью выявления нарушений и проблем ИБ в ИС. К таковым могут быть отнесены: недокументированные сервисы и узлы ИС, нелегитимное программное обеспечение, ошибки конфигурации (например, пароли по умолчанию), уязвимости функционирующих сервисов, эксплуатация которых может привести к ущербу различной степени тяжести. Прохождение инструментальных исследований предусмотрено рядом нормативно-методических документов, стандартов РФ и международных стандартов – PCI DSS, СТО БР ИББС, ФЗ-152
Анализ трафика
Экспресс-анализ трафика позволяет дополнить и уточнить диагностику ИБ ИС. В ходе анализа трафика могут быть выявлены факты эксплуатации уязвимостей и уязвимых сервисов, обнаружены аномальные активности в локальной сети и в Интернет-трафике. Исследование трафика сопряжено с рядом сложностей: большой объем передаваемых данных, динамические адреса узлов сети, шифрование. В зависимости от целей должны применяться разные подходы и инструменты, правильный выбор которых – задача эксперта
Расследование инцидентов ИБ
Инциденты ИБ происходят в самых простых и самых сложных и защищенных ИС. Расследование инцидентов и их профилактика позволяет снизить их количество и ущерб от них. Собранные доказательства по произошедшим инцидентам могут быть использованы, в том числе, для анализа потребностей в первоочередных мерах по обеспечению ИБ
Исследования и Экспертиза ИБ
Компания оказывает экспертную поддержку при разработке политик, требований инструкций по обеспечению ИБ, актуализации существующих регламентов под изменяющиеся требования бизнеса. Аудит информационной безопасности по требованиям нормативно-методических документов, стандартов РФ и международных стандартов – PCI DSS, СТО БР ИББС, ФЗ-152 – сложная и дорогостоящая процедура. Если в вашей организации запланирована сертификация или прохождение проверки – для сокращения сроков и стоимости целесообразно предварительно оценить существующие несоответствия требованиям
Drupal — в багтрекере друпала информация об этой уязвимости появилась более 11 месяцев назад, но до security team информация не дошла. Теперь разработчикам приходится разъяснять, почему так получилось и что они сделали, чтобы уменьшить вероятность повторения такой ситуации.
Проблема политики раскрытия уязвимостей — Политика ответственного разглашения
Apple — Критическая уязвимость в iOS 7.1 позволяет выполнить произвольный код на устройстве жертвы (Safari, PDF)
Microsoft — Windows, 19 лет, критическая уязвимость SVSS 9,3 — удаленно запускать вредоносный код, просто предложив пользователям перейти по ссылке с помощью браузера Internet Explorer
Goto Fail 2 подряд — Apple
WinShock — переполнение кучи при помощи некоторых модификаций в OpenSSL
POODLE — возможность Padding Oracle атаки, которая позволяет злоумышленнику, имеющему какую-либо возможность отправлять свои данные на сервер по SSLv3 от имени жертвы, расшифровывать по 1 байту за 256 запросов.