2. Информационная система как
объект атаки на организацию
• Открытость современной ИТ-инфраструктуры организации, как
следствие – возможность атаковать
• Сложный состав ИС и быстрое развитие по требованиям
бизнеса – высокая вероятность уязвимостей, повышение
вероятности успешных атак
• Деньги доступны через ИС (ДБО, счета в платежных системах) –
мощный стимул и питательная среда для осуществления атак
(мотивация, заказная разработка инструментария, наём
сотрудников)
• Высокая степень анонимности на всех этапах– при проведении
атаки, при взаимодействии с заказчиками атаки
• Низкая эффективность контрмер
– Технических
– Гражданско-правовых, уголовных
4. ИС ООО «Простая Организация»
Интернет
Сайт
организации
(Хостинг)
Веб-почта
(mail.ru)
Новостной
Сайт
ИС
организации-
партнера
Клиент
Соц.Сеть
5. Сбор информации
Выбор цели атаки
Обход/выведение из строя
средств защиты ИС
Получение доступа /
Повышение привилегий
Модель действий атакующего в ИС
6. Прямые атаки на ИС организации
• Раскрытие конфиденциальной информации
– Поиск утечек данных
• В поисковых системах
– Кража данных
• С сайтов и ресурсов ИС, подключенных к Интернет
– Съем и анализ трафика
• Локального – WiFi
• В сети провайдера
• Получение доступа к ИС
– Сканирование периметра, эксплуатация
уязвимости
– Заражение рабочих станций
• Отказ в обслуживании
– Сайт
– Инфраструктура (телефония)
7. Пример – Распределенная атака на
Отказ в обслуживании (DDoS)
• Туристические
фирмы (мелкие) –
в период отпусков
• Заказ такси
• Заправка
картриджей
• Торговые
площадки
• Нелегальный
бизнес
(информация по отчетам Хакер.ру, Касперский)
8. Модель атакующего
• Возможно и одиночка, но скорее
– Группа лиц
– Организация
– Сообщество (сотни, тысячи человек)
• Действия в ИС
– Базовые действия и инструменты
– Инструменты, специально подготовленные для атакуемой цели
• Действия выходящие за пределы сферы ИС
– Выездные работы
• Вплоть до трудоустройства
– Покупка усулуг у провайдера организации-цели
– Регистрация юр.лица
• Атака через промежуточные цели
– Атака через Интернет-ресурсы
– Атака через организации-партнеры
– Атака через сотрудников
9. Пример – Политика как повод для
поиска соучастников DDoS
• Сайт «Низкоорбитальная ионная пушка» -
– Хостинг вне юрисдикции РФ
– Инструмент координации DDoS-атак на ИС
правительства и гос. корпораций
Владелец ресурса
может без ведома
активистов направить
их ресурс на любую ИС
10. Пример – Целевая вирусная атака на
организацию
• Цель – вывод из строя ИС организации в
заданное время
• Средство – специально разработанный
вирус (не обнаруживается антивирусами с
актуальными базами)
• Метод – рассылка по почте
… казалось бы – кто откроет подозрительный
документ
11. Пример - Атака через сотрудника
организации• Рабочие и личные
контакты (почта)
• Рабочие и личные
активности
• Интернет и офф-
лайн контакты
(телефон)
Сайт
Организации
Адресное
вирусное
заражение
12. Пример – Атака через целевую
аудиторию
• Промежуточная цель – сайт
– Аудитория сайта – бухгалтеры, юристы
• Средство атаки – заражение сайта вирусом
• Контрмера против антивирусных компаний –
вирус активен с 9-00 до 18-00 по рабочим
дням
• Цель – заражение компьютеров с высокой
вероятностью доступа к ДБО
13. Пример – Инсайдер, хищение
• Цель – хищение финансовых средств
• Средство – вирус
• Метод – трудоустройство с последующим
заражением ПК
• Соучастники - ?
14. Мобильные пользователи,
устройства, данные
Google Android
Более 10 уязвимостей за 2012 год
Более 5 высококритичных (CVSS > 9)
Apple iOS
Более 80 уязвимостей за 2012 год
Более 40 высококритичных (CVSS > 9)
По данным http://cve.mitre.org
• Утрата … или счастливая находка
• Доступ из не доверенной среды
• Самостоятельное администрирование
15. Проблемы восприятия
• Разное отношение к устройству
– Мобильное устройство = компьютер
– Мобильное устройств = просто телефон
• Мобильное устройство = высокая мобильность
– Дома
– В корпоративной сети (BYOD)
– Доступ к корпоративным ресурсам извне
– Доступ через недоверенные сети
• Высокий риск потери устройства
16. Пример: ПО для мобильных устройств
Функция ПО – включить
светодиод, для это требуется:
• Полный доступ к Интернет
• Полный доступ к памяти
устройства
• Полный доступ к истории
звонков и СМС
• Полный доступ к гео-
позиционированию
17. Что делать?
• Определить базовый уровень защищенности и вероятные угрозы, с
учетом бизнес-мотивации и практики взаимодействия с регулятором
• Оценить активы, их ценность и динамику
• План действий должен включать
– Составление моделей нарушителя/угроз
– Анализ проектной и технической документации
– Обследование ИС - Определение уязвимостей и их устранение
• Меры по обеспечению ИБ могут включать в себя
– Установку Систем защиты информации
– Обработку рисков другими способами (страхование)
– Принятие рисков – в случае если потенциальный ущерб значительно ниже
стоимости мер по обеспечению защиты
• Необходимо учесть мотивацию сотрудников организации, сервисных
подразделений (служба ИТ, служба ИБ), руководства
18. Основания для работ по анализу ИБ
• Прямое указание
– Требования регуляторов (152 ФЗ о ПДн)
– Отраслевые и корпоративные стандарты (PCI DSS, СТО БР, ИБ РЖД)
– Подготовка к сертификации/аттестации
– Распоряжение ФСБ о защите информации в сетях общего пользования и т.п.
• Снижение юридических рисков
– Несанкционированное размещение запрещенных материалов на серверах компании
– Утечка персональных данных сотрудников
– Нелицензионное ПО
– Отказ от ответственности (заявление в правоохранительные органы о правонарушении)
– Угроза внесения сайта в zapret-info.gov.ru
• Минимизация финансовых рисков, связанных с инцидентами ИБ
– Кража VoIP трафика
– Недоступность бизнес-критичных ресурсов
• Оптимизация инфраструктуры
– Выявление неиспользуемых сервисов, узлов, серверов, оплачиваемых услуг и ПО
• Повышение эффективности работы служб/сотрудников
• Проверка контрагентов, подрядчиков при интеграции ИС, операциях с
интеллектуальной собственностью
– Устранение ошибок в заказном ПО/доработок по проектам внедрения
– Повышения ИБ у партнеров, подрядчиков, дочерних организаций
19. Инструментальный анализ ИБ
Тесты на проникновение
Анализ программного обеспечения
Алексей Качалин
kachalin@advancedmonitoring.ru
info@advancedmonitoring.ru
http://advancedmonitoring.ru/
Twitter: @am_rnd
Обеспечение ИБ ИС – не продукт
и даже не проект, а процесс –
выявления и обработки рисков
Notas do Editor
Цели нарушителя
Финансовые
Политика и кибер-война
Кража
ДБО
Выполнение заказа на вывод из строя сайта, инфраструктуры
Монетизация
Серые провайдеры
Телефония
Данные для продажи
Базы пользователей
Учетные записи публичных сервисов (почта, соц.сети)
Промежуточные, случайные
Кража данных
Учетные данные пользователей
Отказ в обслуживании
Отключение сайта
Нарушение работы распределенного ПО
Вывод из строя инфраструктуры
http://www.buhgalteria.ru/news/n67316
Житель города Липецка подозревается в хищении 3,5 млн рублей путем взлома компьютера бухгалтера одной из фирм. Об этом сообщает пресс-служба УМВД города. По данным следствия, мужчина, имея в наличии пароли к компьютеру, установил на компьютер вредоносное программное обеспечение.
http://www.bankinfosecurity.com/webinars/insider-threat-defend-your-enterprise-w-66
Все привыкли к патчам ОС персональных компьютеров – для мобильных это редкость, выходят только обновления самой ОС ,но совершается это редко и закрывают сразу группы уязвимостей – так например апдейт iOS до версии 5.1.1 закрывал три критичные уязвимости. Причина – нагрузка на пользователя, ущерб репутации, нагрузка на канал передачи данных.
Примеры уязвимостей:
Учёные из Университета Северной Каролины обнаружили уязвимость, которая позволяет приложениям обойти защитный механизм системы, срабатывающий при попытке установки приложений. А именно, уязвимость позволяет не выводить запрос на разрешение пользователем устанавливать программы, которые при своей работе получают доступ к личной информации и функциям отправки SMS-сообщений
Множественные уязвимости, открывающие доступ к содержимому флеш-карт microSD
Существует недостаток в коде Android, которая позволяет любому приложению получать доступ к фотографиям пользователя и загружать их на удалённый сервер. При этом снова никаких дополнительных разрешений для этого не требуется.