Конференция "InterLab Forum. Системная интеграция нового поколения" прошла в октябре 2015 года. В центре внимания форума были новые решения в области ИТ-инфраструктуры и информационной безопасности, недавно появившиеся на российском рынке и прошедшие апробацию в IBS.
Подробности: http://www.ibs.ru
Электронные центры инженерно- технического творчества — инновационный инструм...
Cовременные угрозы ИБ в корпоративной инфраструктуре и технологии противодействия // Дмитрий Романченко (IBS) на InterLab Forum 2015
1. Современные угрозы ИБ в корпоративной ИТ-
инфраструктуре и технологии противодействия
21.10.2015 InterLab
Романченко Дмитрий
Директор Отделения ИБ
2. 2
Содержание
Современные угрозы информационной безопасности
в корпоративной инфраструктуре
Основные подходы к противодействию угрозам
ИБ
Использование российских средств защиты
информации в гетерогенной среде
Интересные результаты некоторых проектов по
защите информации
4. 4
Современные тренды
Достигли состояния зрелости:
• Массовый широкополосный доступ в интернет
• Дешевизна размещения ресурсов в интернет
• Доступность технологий больших данных
• Анонимность в интернет
• Криминализация интернет-пространства
Активно развиваются:
• Военные технологии в мировом интернет-пространстве
• Использование интернет-пространства террористическими и
экстремистскими организациями
• Технологии массовой кражи персональных данных из
информационных систем (в том числе государственных и
военных), их агрегации с последующим использованием в
противоправных целях
5. 5
Окончательное размывание
территориальных границ
корпоративной ИТ-инфраструктуры
Корпоративная вычислительная инфраструктура
Сетевое взаимодействие серверных групп
Корпоративные приложения и сервисы
Серверная вычислительная инфраструктура
АРМ конечных пользователей
Подключение технологического оборудования
Обеспечение связности площадок Компании
Взаимодействие Компании с внешними контрагентами
Вычислительные
мощности ЦОД
Транспортная
сеть
Вычислительные
мощности
дочерних обществ
Доступ мобильных сотрудников к ключевым
корпоративным приложениям
Online-доступ клиентов к корпоративным
приложениям
Подключение
удаленных
пользователей
Облачный
хостинг
MPLS
провайдера
?
Контроль
вендоров за
развернутым
оборудованием и
ПО
Служба техподдержки
Механизм обновлений
Закрытый код
Неконтролируемые сервисы
6. 6
Изменение уровня угроз
Угрозы ИБ не несут риска остановки бизнеса компании в целом
Угрозы несанкционированного доступа -> отдел ИБ
Угрозы недокументированных возможностей -> не актуально
Импортное оборудование и ПО -> априори доверенная среда
Угрозы внешнего отключения ИТ-систем -> не актуально
Система защиты -> блокирование классических угроз (МЭ, антивирус)
Угрозы ИБ -> уровень отдела ИБ в компании
Угрозы ИБ несут риск остановки бизнеса в целом, либо угрозу наступления
иных катастрофических последствий
Угрозы недокументированных возможностей в инфраструктуре -> Актуально
Угрозы недокументированных возможностей в прикладном ПО -> Актуально
Импортное оборудование и ПО -> Априори не доверенная среда
Угрозы внешнего отключения ИТ-систем -> Актуально
Система защиты -> эшелонированная распределенная система
Угрозы ИБ -> уровень стратегического корпоративного управления
Как было
Как стало
7. 7
Ключевые вызовы, отмеченные в новой
доктрине ИБ России (проект)
Информационное пространство – среда для решения военно-политических задач,
может использоваться в террористических и иных противоправных целях
Милитаризация информационного пространства – угроза миру, глобальной и
территориальной стабильности
Использование технологического доминирования иностранных государств для
достижения экономического и геополитического преимущества
Возрастает масштаб компьютерной преступности, прежде всего в кредитно-
финансовой сфере
Нарушаются права граждан, неприкосновенность частной жизни
Анонимность в глобальном информационном пространстве и недостаточная
защищенность – катализатор роста преступности
Внедрение новых информационных технологий часто не увязано с обеспечением
информационной безопасности
Милитаризация мирового
информационного пространства
Отсутствие учета требований ИБ
Компьютерная преступность
8. 8
Примеры реализации различных угроз
ИБ
2010 Вирус Stuxnet. Множество каналов распространения, организует
собственную виртуальную сеть распространения. Предназначен для
выведения из строя технологического оборудования. Распространялся в
Иране на ядерных объектах и в других странах.
2014 Сообщение о шпионском ПО Regin. Разработано спецслужбами для атак
на телекоммуникационную сферу, энергетику, здравоохранение России и
Саудовской Аравии. ПО строит многоуровневую сеть управления и защиты,
включая шифрование. Состав вредоносных функций переменный и
определяется целевой функцией шпионажа или атаки. Атаки начиная с 2003 г.
2014 Публикация в Spiegel прайс-листа жучков для Cisco, Huawei, Juniper, Dell.
Демонстрация видеороликов установки жучков в оборудование Cisco.
Последовало обращение Cisco в органы США с просьбой не устанавливать
подобное оборудование. Мировые продажи Cisco на новостях упали.
Август 2015 Cisco признала неоднократный взлом коммутаторов путем замены
прошивки. Cisco утверждает, что взлом происходил “легитимным” образом: путем
перепрошивки под административным паролем. ИБ эксперты считают, что данный
взлом - свидетельство использования закладок АНБ. Также отмечается, что после
загрузки “штатной” прошивки уязвимость сохраняется.
http://virusinfo.info/showthread.php?t=188456&s=d0076b2c84cc0a26f4dfc6fc7f031c53
9. 9
Насколько небезопасно «безопасное»
ПО
Октыбрь 2015. Чешский разработчик антивируса AVG Technologies анонсировал
новые правила использования продуктов: с пользовательских АРМ будет
собираться и продаваться сторонним организациям приватная информация:
история web-серфинга, сведения о мобильных сетях и интернет-провайдерах,
сведения об установленном ПО и способах его использования.
http://www.cnews.ru/news/top/2015-10-
16_krupnaya_antivirusnaya_kompaniya_nachala_prodavat
Windows 10. Система собирает и отправляет MS широкий перечень приватной
информации. Определение степени приватности MS оставляет за собой.
В кастомном режиме инсталляции некоторые настройки отключаются, но способа
проверить это нет.
Microsoft приступает к принудительному переходу с Win7 на Win10.
Apple, Google были неоднократными участниками разбирательств на тему
произвольного использования пользовательских приватных данных.
20.10.2015 объявлено о распространении через AppStore вредоносного ПО –
более 250 приложений были удалены. Вредоносное ПО распространялось под
видом средств разработки.
10. 10
Актуальные угрозы в корпоративной
ИТ-среде
DDoS-атаки
Направленные
атаки
Вредоносное
ПО
Не декларированные
возможности
серверных ОС
Не декларированные
возможности СУБД,
ERP-систем и иных
приложений
Закладки в
оборудовании
(сетевом,
серверном,
мобильном)
Социальная
инженерия
12. 12
Принципы “не…”
Импортозамещение средств защиты как таковое не является панацеей и само
по себе не гарантирует защищенность корпоративной среды
Формальные критерии выбора продуктов ИБ (в том числе на базе анализа
Gartner) не гарантируют выбор наилучшего решения в целом для конкретного
применения
Вендор-центричный подход к выбору средств защиты не обеспечивает должный
уровень безопасности. Абсолютных лидеров по всем направлениям нет и
скорее всего уже не будет
Обеспечение периметриальной защиты ИТ-инфраструктуры, практикуемое
большинством заказчиков, не обеспечивает защиту от современных угроз
Построение эффективной системы защиты в корпоративной среде невозможно
без моделирования поведения ИТ-инфраструктуры и информационных систем в
защищенном исполнении
13. 13
Некоторые нюансы российского рынка
Раскрытие исходного кода в рамках сертификации на НДВ все в большей мере
присутствует на рынке
Требования ФСТЭК по сертификации средств защиты покрывают весь спектр
решений ИБ. Акцент ФСТЭК на устранение уязвимостей сертифицированном
оборудования и ПО
На российском рынке достаточно сертифицированных средств защиты (как
иностранного, так и российского производства), что исключает использование
несертифицированных средств
Российские средства защиты представляют реальную конкуренцию
иностранным производителям в ряде секторов
14. 14
Ключевые технические меры защиты
информации
Тотальный мониторинг событий и инцидентов ИБ
Использование российских и иностранных средств с различными
базами уязвимостей
Использование средств анализа кода прикладного ПО
1.Мониторинг
2.Аудит
защищенности
Сегментация корпоративной информационно-вычислительной сети
по видам обрабатываемой информации
Исключение избыточного доступа пользователей
3.Сегментация
корпоративной сети
Использование только российских средств криптозащиты
Оптимальное сочетание иностранных и российских средств защиты
Обязательная проверка на НДВ на критических объектах
5.Рациональное
импортозамещение
Анализ команд административного управления
Анализ неизменности конфигураций оборудования и ПО
Анализ профиля сетевого трафика в целом
Анализ поведения пользователей
Анализ поведения иностранного ПО во времени
4.Поведенческий
анализ
15. 15
В России как всегда…
Импортозамещение возводится во главу угла. Формируются 4
сообщества:
ортодоксальные импортозамещатели - допуск исключительно
российских разработчиков, блокирование закупки иностранного
оборудования и ПО;
восточнозамещатели - замещение западных решений
восточными;
апологеты опенсорса – замещение проприетарных решений
опенсорсными;
локализаторы – маскирование западных решений под
совместную (или независимую) разработку, поддерживаемую
известными вендорами (IBM, HP, Cisco и др.)
16. 16
А тем временем в Китае…
В 2014 г. принят закон, обязывающий иностранные компании
открывать код ПО для проверки, если они хотят поставлять свое
оборудование и ПО для финансовых организаций
IBM первой из высокотехнологичных компаний согласилась
предоставить код ряда технологических продуктов.
http://www.cnews.ru/news/top/2015-10-
16_ibm_sdalas_vlasti_kitaya_vpervye_poluchili_dostup
19. 19
Возможности для импортозамещения в
ключевых сегментах ИБ
Kaspersky Private Security Network (KPSN) (Лаборатория
Касперского
8.Использование
технологии
“песочницы”
MaxPatrol SIEM (Позитив Текнолоджис)
R-Vison IM (R-Vision)
MaxPatrol (Позитив Текнолоджис)
RedCheck (Алтекс-Софт)
R-Vision CM (R-Vision)
5.Мониторинг
инцидентов ИБ
4.Аудит
защищенности
Анализ работы ИС и пользователей: Solar inView (Solar
Security)
Анализ сетевого трафика АСУТП: Kaspersky Trusted
Monitoring System (Лаборатория Касперского)
6.Поведенческий
анализ
Efros Config Inspector (Газинформсервис)
MaxPatrol SIEM (Позитив Текнолоджис)
7.Контроль
конфигураций
20. 20
Собственные разработки IBS в области
ИБ
Электронный сервис проверки и формирования
электронной подписи ibs_dSig
Предназначен для проверки и формирования усиленной квалифицированной
электронной подписи в электронных документах, а также проверки
валидности квалифицированных сертификатов ключей проверки электронной подписи
Может использоваться в системах, использующих массовый электронный
юридически значимый документооборот.
Разворачивается в виде web-сервиса
Высший Арбитражный Суд Российской Федерации
Федеральное казначейство Российской Федерации
22. 22
Пример 1. Крупный банк
• Заказчику было предложено провести расширенный
анализ поведенческой активности в сети
Выполнялся проект комплексного ИБ-
аудита ИТ-инфраструктуры банка
• Arbor NSI – анализатор сетевых протоколов
Использовано специализированное
оборудование
• Бот-сеть в защищенной внутренней сети банка,
считавшейся безопасной. Выявлены конкретные
скомпрометированные хосты
Выявлено
23. 23
Пример 2. Государственная организация
• Построена эшелонированная система защиты
• Выстроен мониторинг ИБ
Выполнялся проект защиты DMZ-сегмента
вычислительной сети, содержащей важные ИТ-ресурсы
• Изменился профиль внешней сетевой активности. Наблюдалось
“обследование” сетевого периметра с сайтов в КНР, США, России
• Обнаружили странный всплеск трафика изнутри наружу сети, который
блокировался средствами защиты
Результаты ИБ-мониторинга защищенной сети
• Один из защищаемых ресурсов ранее был скомпрометирован и передавал
вовне данные
• Внедрение эшелонированной системы защиты заблокировало
взаимодействие с сервером управления шпионского ПО
• Был форсирован переход на новую версию защищаемого ресурса, а
скомпрометированный был выключен
Выявлено
24. 24
Пример 3. Крупное производственное
предприятие
• Утверждалось, что весь доступ в сеть контролируются, сеть резервирована
• Утверждалось, что сетевой трафик (офисный, производственный) не
смешивается и инфраструктура безопасна
Выполнялся проект защиты КИ и ПДн
• Сетевой трафик не разделялся в должной мере, компрометация офисной
сети могла привести к отказу производственной (АСУ ТП)
• При внедрении сетевой защиты выяснилось, что на производственных
площадках резервирование сделано “на бумаге”
• Выяснилось, что до 1000 человек имеют неограниченный удаленный
доступ к критическим ресурсам
В ходе проекта выяснилось
• Полная криптозащита каналов с разделением потоков офисного и
производственного трафика
• Проведена полная инвентаризация доступа пользователей к ИТ-ресурсам
• Запущен проект по созданию централизованной системы управления
доступом к ИТ-инфраструктуре и информационным системам
Реализовано
25. 25
Пример 4. Коммерческая организация
• Утверждалось, что в организации введен режим коммерческой тайны, движение
электронных документов выстроено по регламенту
• Утверждалось, что в организации контролируется печать на сетевых принтерах
• Утверждалось, что действует жесткий регламент доступа в интернет
Выполнялся проект защиты от утечек информации (DLP)
• Передача защищаемых документов за периметр сети и запись на FLASH-
носители – массовая практика
• В ряде мест практикуют печать документов 300 и более стр., не относящихся к
производственной деятельности
• Сетевой серфинг по “веселым” сайтам с последующим скачиванием видео –
обычная практика
В ходе проекта выяснилось
• Проведено несколько расследований с передачей дела в правоохранительные
органы
• Проведены беседы о недопустимости использования корпоративных ресурсов в
личных целях
Выполнено
26. 26
Выводы
Выполнение комплексных ИБ-проектов дает Заказчикам кроме
непосредственного эффекта повышения защищенности еще и наиболее
мощный эффект повышения эффективности ИТ в целом
Инвестиции в ИБ дают длительный положительный эффект для компании, по
сравнению с инвестициями в ИТ, часто имеющими короткий экономический
эффект
Компрометация ИТ-инфраструктуры и информационных систем часто является
латентной в течение длительного промежутка времени, нанося ущерб
организации
Отсутствие у Заказчика целостной эшелонированной системы защиты не
позволяет обеспечить должный уровень безопасности информации
Технологии защиты информации перешли в разряд оборонных/наступательных
военных технологий и требуют соответствующего уровня внимания. Гибридная
информационная война – это тренд на десятилетия