2. ptsecurity.ru
ПТ - Основной фокус
Защита крупных
информационных
систем от киберугроз
15 лет опыта экспертной практики и разработки
по практической информационной безопасности
Продукты и услуги
обеспечивают:
выявление и устранение возможных путей
вторжения в корпоративную сеть любого
масштаба
мониторинг событий безопасности
и предотвращение вторжений
блокирование атак, включая
ранее неизвестные (0-day)
выявление и анализ сложных
случаев взлома
защита крупных веб-порталов
и анализ безопасности
на этапе их разработки.
200+
аудитов
безопасности400+
исследований
безопасности веб
ЕЖЕГОДНО
5. ptsecurity.ru
Информационная Небезопасность: статистика исследований
Периметр 87%
корпоративных локальных
сетей не останавливает
проникновение
61% компаний может
взломать атакующий с
базовыми навыками
Взлом
компании
занимает
3-5 дней
Действия пентестеров
обнаруживают только
в 2 из 100 тестов на
проникновение
87% 61%
2%
1
неделя
6. Что мы видим – опыт работ по ритейл
• Множественные проблемы на уровне ИТ-инфраструктуры
• Не знают свой периметр, правил сегментирования
• Управление уязвимостями – всё ещё проблема
• Множественные проблемы в приложениях и сервисах
• Ориентированных на клиентов
• Служебные приложения защищены ещё хуже
• При этом цели крайне привлекательны для атакующих
• Платежная информация
• Клиентская база
• Бизнес-критическая информация организации
• Критические бизнес-процессы
Время обнаружения – 90% утверждают что обнаружат
вторжение за 1 неделю (75% за 48 часов), при этом только
55% утверждают что проверяют ИБ не реже 1 раза в неделю
ptsecurity.ru
7. Опасные заблуждения
• Искажение восприятия угроз
• «Мы недостаточно крупные чтобы заинтересовать злоумышленников»
• «Мы обнаружим любую атаку за несколько дней»
• «Кибер-преступники» ограничится атакой через Интернет
• Восприятие атакующего
• Атакующий не имеет «бизнес»-цели
• Атакующий не разберется в наших БП
• Атакующий «уйдет сам»
• «Мы надежно защищаем наши критические системы»
• Объект атаки == цель атаки?
• Объекты/цели атаки – в зоне нашего контроля
ptsecurity.ru
9. Advanced Persistent Threat: Retail Edition
• Специализированные инструменты
• CherryPicker (2011), AbaddonPOS (2015)
• ZeroDue, GrabNew, TinRoof, NewsReels, GrabNew
• Целевые e-mail кампании для проникновения
• Нацелены на данные кредитных карт
• «Ищут» POS-терминалы
• Используют криптографию и обфускацию для сокрытия присутствия в
системе
• Следующий этап: промышленный шпионаж и нечестная конкуренция?
ptsecurity.ru
10. Доверие партнерам. Можно ли доверять вам?
• Поставщики и партнеры
• Смежные ИТ-системы
• Права доступа в ваши ИТ-системы, на объект
• Разработка приложений
• Кому в свою очередь доверились они?
Sources close to the investigation said the attackers first broke into
the retailer’s (“Target”) network on Nov. 15, 2013 using network
credentials stolen from Fazio Mechanical Services, a Sharpsburg,
Penn.-based provider of refrigeration and HVAC systems.
“Target Hackers Broke in Via HVAC Company”
ptsecurity.ru
Согласование политик ИБ
Совместный план реагирования
Регламент обработки данных
Минимизация возможностей доступа
…
11. ptsecurity.ru
Информационная Безопасность – минимальные меры
Минимизация уязвимостей ИТ
+ Общий анализ защищенности (пентест, оценка осведомленности)
+ Регулярный контроль и управление уязвимостями
Мониторинг и выявление атак
+ Мониторинг событий безопасности
+ Поиск следов взлома (проникновение, развитие атаки, извлечение данных)
Анализ аномалий и расследование инцидентов
+ Контроль нормального поведения критических систем (POS, приложений)
+ Поиск следов компрометации (threathunting)
Выявление вредоносных
файлов, полученных по почте
и хранящихся в корпоративных
базах, десятками антивирусов
PT Multiscanner
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях информационной
системы, а также сбор событий
и анализ состояния системы
PT ABC - Advanced
Border Control
Инвентаризация и анализ
уязвимостей внешнего периметра
- Работающий
инструментарий
- Адекватное
восприятие рисков
- Регулярные работы
по анализу ИБ
- Создание SOC
13. Сценарии атак и последствия
• Модификация свойств товара
• Цены
• Вмешательство в процедуру заказа
• Подмена товара
• Отмена заказов
• Частичный отказ системы (с сохранением внешних
признаков работоспособности)
• Атака на клиентов магазина
• Внутренний фрод
• Списываемый на сбои и «вирусы»
ptsecurity.ru
14. ptsecurity.ru
Безопасность приложений: защита «слабого звена»
Приложение – и цель и средство атакующего - Веб-приложения
- Веб-порталы
- Бизнес-
приложения, SAP
- Мобильные
приложения
- Электронная
коммерция
- ДБО
Подвержены атакам – возможность доступа из Интернет
Содержат критические данные
Возможность доступа во внутреннюю сеть через приложение
Приложение – уязвимая цель
Наше виденье безопасности приложений: сочетание подходов
+ Безопасность по построению: СЗИ + Цикл безопасной разработки
+ СЗИ: адаптивный контроль
+ Исследование уязвимостей
+ Возможность расследования инцидентов
Рост динамики обновлений приложений
Сложная структура приложений – сторонние компоненты
Итеративная разработка, зависимость от внешнего исполнителя
15. Уязвимость приложений: причины и следствия
ptsecurity.ru
Требования Проектирование Разработка Тестирование Внедрение РазвитиеЭксплуатация
• Проектирование без учета требований безопасности или внедрения компенсирующих мер контроля
• Надежда на контроль ИБ встроенных в платформу
• Кража данных возможна через отладочные сообщения платформы
• Использование непроверенных сторонних компонентов и инструментов
• Закладки разработчика популярного «бесплатного» компонента
• Отсутствие практик ИБ-тестирование, различие «тестовой» и «боевой» среды
• Внесение «закладок» разработчиком
• Невозможность контроля работы приложения, возможности интерпретации журналов
• Журналы не пишутся, либо невозможно однозначно идентифицировать активы/время
• Контролируемость среды разработки и инфраструктуры разработчика
• Внедрение вредоносного кода через компанию-разработчика
Развитие – все те же проблемы ещё раз
PT AI SSDL
PT AF
16. ptsecurity.ru
Безопасность приложений: с чего начать?
для 1-2 критических веб-сервисов
Защита веб-порталов и бизнес-приложений на
этапе разработки и эксплуатации
PT Application
Firewall
Увидеть реальные атаки
PT Application
Inspector
Масштабировать практики
НАЧАТЬ:
ДАЛЕЕ:
+ Анализ методом черного ящика, анализ кода
+ Пилот средств мониторинга, выявление реальных атак
Безопасность ИБ - как бизнес-преимущество
Отсутствие помех развития ИТ
17. Кейс: Связной + PT AF
Интернет-магазин Svyaznoy.ru c оборотом 22 млрд рублей посещают около 15 млн
человек в месяц:
• защита от известных и новых атак на веб-приложения
• защита от фрода и целенаправленных атак, целью которых является
похищение денежных средств и пользовательских данных
• оперативное блокирование ботов, атак «тяжелыми» запросами и других атак,
направленных на доступность интернет-сервисов (DDoS) на уровне приложения
• высокая производительность и отказоустойчивость
•масштабируемость (в экосистеме сайтов «Связного» постоянно появляются новые
ресурсы, которые должны быть обеспечены защитой быстро и легко, без лишних
затрат на внедрение и настройку дополнительных средств безопасности)
ptsecurity.ru
Оборот 22 млрд рублей
15 млн человек в месяц
19. Киберугрозы: из ИТ через ОТ в реальный мир
• Операционные технологии позволяют воздействовать на объекты
физическое мира через ИТ
• Нарушение физической безопасности (взлом умных замков)
• Нарушение работы предприятия (ложные срабатывания пожарной
сигнализации)
• Утечки информации (съем данных с систем видеонаблюдения)
• Фрод (модификация показаний датчиков (весов))
SmartThings app that’s meant to check a lock’s battery shouldn’t be able to
steal its PIN or set off a fire alarm, they argue. In fact, they analyzed 499
SmartThings and found that more than half of them had at least some level of
privilege they considered overbroad, and that 68 actually used capabilities
they weren’t meant to possess.
Flaws in Samsung’s ‘Smart’ Home Let Hackers Unlock Doors
ptsecurity.ru
20. Цифровой Ритейл. Риски?
• Цифровизация ритейл – ключевые принципы
• Гиперинформированность – сбор всей
возможной информации
• Глубокая аналитика – обработка всей
доступной информации для принятие решений
• Быстрое исполнение – автоматизация всех
процессов управления
Окончательно исключает из цикла человека и
неИТ методы контроля
Возможные Retail-сценарии
Assortment optimization
Augmented reality
Checkout optimizer
Connected ads, marketing
Connected cars
Connected fleets
Connected supply chain
Cybersecurity
Endless aisles
Fast IT / technology
In-store analytics
Interactive kiosks
Loss prevention, physical security
Next-generation workers
Out-of-stock optimizer
Payments Remote expert
Self-checkout lanes
Self-serve channels
Smart buildings
Smart fitting rooms
Smart grid
Smart lockers
Travel substitution
A Roadmap to Digital Value in the Retail Industry
Economic Analysis
23. ptsecurity.ru
Безопасная конвергенция
Информационных и Операционных технологий
Безопасность ИТ + ОТ: подход
Возможность внедрения СЗИ, невмешательство
Возможность мониторинга состояния и событий
Интерпретация показаний
…
…
Обеспечение ИБ ОТ аналогично ИБ ИТ
…
Решить проблему КОЛИЧЕСТВА устройств
ОТ
Отличие киберугроз - в простоте тиражирования и сложности противодействия
ИТ
Банковские
системы
Встроенные
системы
Промышленные
системы
ИВ
Транспортные
системы
Телеком
ДевОпс
«Я знаю 17 способов как вызвать эвакуацию людей из здания. Без всяких Кибер-Кибер»
24. ptsecurity.ru
Киберугрозы: Как пережить цифровизацию
• Безопасность «по построению»
• Контроль разработки внутренний и внешний
• Контроль инфраструктуры
• Не только аудиты ИБ, но и расследование инцидентов
• Встроенная «наблюдаемость»
• Операционная безопасность обязательна
• Сокращение времени компрометации
• Всё что не зафиксировано – скрывает риски и
затрудняет расследования
• Исследование безопасности внедряемых технологий
• … а также возможных сценариев с учетом смежных систем
• Актуальная информация об угрозах и возможностях атакующих
• Тактика и инструменты атакующих
25. ptsecurity.ru
Позитивный взгляд на трансформацию ИБ
ВЧЕРА СЕГОДНЯ ЗАВТРА
ИБ в фокусе внимания руководителей организации?
+ Операционная безопасность. «Технологический долг»
+ Безопасность приложений - сегодня. Анализ кода и мониторинг
+ Кибербезопасность, ИБ Операционных Технологий –
будущее, которое уже наступило
27. ptsecurity.ru
Продукты
Xspider Сканирование всех компью-
теров и сети организации
для поиска уязвимых мест
и их устранения
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в корпоративных
базах, десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях информационной
системы, а также сбор событий
и анализ состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
Editor's Notes
Алексей КАЧАЛИН, Positive Technologies Риски «виртуальные», потери - реальные. Необходимые условия минимизации ущерба от угроз ИБ.
В случае с Target (и аналогичных) обычно рассматривают ситуацию с позиции атакованной компании. Но можно представить сценарий в котором взлом осуществлен через вас (ваши возможности доступа). В этом случае вы фактически можете быть ответственны (пусть и не в юридическом смысле) за ущерб многократно превосходящий стоимость/оборот вашего бизнеса.