«Доверяй, но проверяй!»: аудит информационной безопасности как неотъемлемая часть фронта борьбы с киберпреступностью

Антимонов Сергей ГригорьевичПредседатель совета директоров

ЗАО «ДиалогНаука»

О компании «ДиалогНаука»

• ЗАО «ДиалогНаука» создано 31 января 1992 г. Учредители – СП «Диалог» и Вычислительный центр РАН

• До этого 2 года (1990-1991) коллектив был известен как Научный центр СП «Диалог» при Вычислительном центре РАН

• Дистрибуция программного и технического обеспечения• Разработка и распространение антивирусов и других решений в

области информационной безопасности:• 1990 – Aidstest

• 1991 – ADinf

• 1993 – ADinf Cure Module

• 1994 – Doctor Web

• 1995 – Антивирусный комплект DSAV (DialogueScience Anti-Virus)

• C 2004 г. компания занимается системной интеграцией, консалтингом и дистрибуцией отечественных и зарубежных решений в области информационной безопасности

План

• Междисциплинарный и комплексный подход к противостоянию компьютерному злу

• Виды аудита информационной безопасности• Аудит возможностей взлома защиты через

«удаленное воздействие» или «интерактивную атаку» – тест на проникновение (penetration test)

• Аудит на соответствие Федеральному закону«О персональных данных»

• Аудит наличия конфиденциальной информации в сети Интернет при помощи средств конкурентной разведки

Каким образом зловреды проникают на компьютеры

(каналы атак)?

Источники вирусов 1996 1997 1998 1999 2000 2001 2002 2003

Вложения в электронные письма 9% 26% 32% 56% 87% 83% 86% 88% Файлы, загружаемые из Интернета 10% 16% 9% 11% 1% 13% 11% 16%

Просмотр веб-сайтов 0% 5% 2% 3% 0% 7% 4% 4% "Не знаю" 15% 7% 5% 9% 2% 1% 1% 3%

Другие пути 0% 5% 1% 1% 1% 2% 3% 11% Дистрибутив ПО 0% 3% 3% 0% 1% 2% 0% 0%

Дискеты 71% 84% 64% 27% 7% 1% 0% 0%

Сейчас активно используются атаки:- через спамовые электронные сообщения- через зараженные веб-сайты- через зараженные USB-диски и другие мобильные устройства

Повсеместно используются методы СОЦИАЛЬНОЙ ИНЖЕНЕРИИ!

(Данные ICSA Labs)

Этапы «жизненного цикла» внедрения вредоносного кода или рассылки спама

1. Заказчик дает задание на совершение какого-то киберпреступления

2. Исполнители разрабатывают вредоносные коды и схему атаки, например, рассылку спамерских писем

3. Транспортировка электронных писем через цепочку интернет-провайдеров, или размещение вредоносного кода на некоторые веб-сайты в сети Интернет

4. Перемещение электронных писем или вредоносного кода в рамках какой-либо корпоративной сети

5. В итоге конечный пользователь открывает незапрашиваемое спамовое письмо или посещает веб-сайт, и получает на свой ПК вредоносный код

Разные элементы, участки «театра военных действий» вборьбе с компьютерным злом

Государство

Бизнес

Граждане

Заказчики

Исполнители

Интернет-провайдеры

электронной почты или

хостинга веб-сайтов

Локальная сеть компании

или организации

Получатели писем или посетители

веб-сайтов

Фонд от компании Microsoft в 5 млн. долл. для борьбы

с киберпреступниками

• Ноябрь 2003 года – компания Майкрософт создает фонд вразмере 5 млн. долл. для борьбы с вирусописателями

• Первоначально Microsoft выделила 2 раза по 250 тыс. долл. – за информацию, которая приведет к аресту и осуждению создателей и распространителей вирусов Blaster-A и SoBig-F

• Затем в начале 2004 года компания SCO выделила 250 тыс. долл. и Microsoft еще 250 тыс. долл. – за данные про распространителей и создателей вирусов MyDoom-A и MyDoom-B соответственно

• Итого в сумме была «приготовлена» сумма в размере 1 млн. долл.• Май 2004 года – в Германии арестовали Свена Яшана, создателя

вирусов Sasser и Netsky по наводке соучеников в школе• В начале 2005 года в США сумма награды за голову террориста

№1 бин Ладена была увеличена с 25 млн. долл. до 50 млн. долл.• В начале 2009 г. – Microsoft предложила награду в 250 тыс. долл.

за информацию, которая приведет к аресту и осуждению распространителей нового и очень опасного червя Conficker (Kido)

Междисциплинарный и комплексный подход к защите информации

Нормативно-методическое обеспечение

информационной безопасности

Технологическое обеспечение информационной безопасности

Кадровое обеспечение информационной безопасности

НАПРАВЛЕНИЯ И МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

Реализация комплексного подхода к защите

информации

Аудит информационнойбезопасности

Формирование требований к КСИБ

Разработка технорабочего проекта

Обучение персоналакомпании

Пусконаладочныеработы

Техническоесопровождение КСИБ

Варианты проведения аудита информационной

безопасности

• Инструментальный анализ защищённости• «Удаленный аудит» систем безопасности через тест на

проникновение (penetration test)• Аудит систем безопасности на соответствие

международному стандарту ISO 27001 (ISO17799) • Аудит систем безопасности на соответствие

Федеральному закону «О персональных данных»• Оценка соответствия стандарту Банка России• Аудит наличия конфиденциальной информации в

открытом доступе в сети Интернет• Комплексный аудит информационной безопасности (ИБ)

Тест на проникновение (pentest) – «внешний аудит»

систем безопасности

• Позволяет получить независимую оценку систем защиты глазами потенциального злоумышленника

• Рассматривает угрозу промышленного шпионажа, выполняемого профессиональным взломщиком

• Атака осуществляется через внешний периметр сети • В качестве исходных данных используются:

• IP-адреса внешних серверов• Собираемая информация:

• топология сети• используемые ОС и версии ПО• запущенные сервисы• открытые порты, конфигурации и т.д.

Уровни информированности со стороны служб

безопасности и взломщика

Черная Шляпа(Black Hat)

Черный Ящик (Black Box)

Белая Шляпа (White Hat)

Белый Ящик (White Box)

Как готовится «интерактивная атака» или «удаленное воздействие»?

• Сбор информации о компании и ее сотрудниках из открытых источников

• Анализ этой информации• Сбор информации о компании и ее сотрудниках из

закрытых источников на основе уже полученных данных• Разработка сценариев проникновения• Реализация некоторых из сценариев

Практика проведения тестов на проникновение говорит, что наибольший успех приносит «социальная инженерия». Сотрудники – самое слабое звено в системах защиты!

Пример письма-атаки. Адреса электронной почты собраны через сайт «Одноклассники»

Что сделали сотрудники, получившие это письмо?

20

7

1

0 5 10 15 20 25

Запустило,человек

Не запустило,человек

Спросило невирус ли?

Юридические аспекты

• Подписывается официальный договор, в котором определяются область деятельности и ответственность исполнителя и заказчика

• Задается регламент, устанавливающий порядок и рамки проведения работ

• Оформляется подписка исполнителя (NDA) о неразглашении информации, полученной в ходе выполнения работ по проникновению

Аудит на соответствие ФЗ «О персональных

данных» включает

• Определение перечня персональных данных (ПДн), подлежащих защите, и перечня информационных систем, обрабатывающих ПДн

• Выявление степени участия персонала в обработке ПДн, характер взаимодействия персонала между собой

• Анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн

• Определение используемых средств защиты ПДн и оценка их соответствия требованиям нормативных документов РФ

Обычно в рамках данного аудита проводятся также: - «инструментальный анализ защищённости» и - «тест на проникновение»

Структура отчета по аудиту на соответствие ФЗ

«О персональных данных»

• Границы проведения аудита безопасности• Описание информационных систем ПДн заказчика• Методы и средства проведения аудита• Результаты классификации инфор-х систем ПДн• Частная модель угроз безопасности ПДн• Требования по защите ПДн• Рекомендации по улучшению системы защиты ПДн• План мероприятий по созданию системы защиты ПДн

Аудит наличия конфиденциальной

информации в сети Интернет• Независимый и документированный поиск конфиденциальных

данных в Интернете при помощи средств конкурентной разведки • В отличие от промышленного шпионажа, используются открытые

источники информации, расположенные в сети Интернет• Поиск осуществляется на форумах, в блогах, электронных СМИ,

гостевых книгах, досках объявлений, дневниках, конференциях• Так на веб-сайте некоторой компании может оказаться, что:

• Яндекс видит 20 тыс. http-страниц, а• Google видит 100 тыс. http-страниц и 200 тыс. ftp-страниц

• По результатам аудита выдается отчёт, содержащий:• указание области поиска• какая конфиденциальная информация была найдена• где именно была найдена эта информация• рекомендации по устранению (удалению) найденной

конфиденциальной информации в сети Интернет

Кто может выступать в качестве заказчика такого

вида аудита?

• Компании, организации• важная конфиденциальная информация может быть

«слита» в сеть Интернет кем-то из бывших или нынешних сотрудников, или кем-то из конкурентов; или может быть просто «забыта» или плохо «спрятана» самой компанией

• Города, регионы• они заинтересованы в поиске и удалении из сети Интернет

такой информации, которая могла бы отпугнуть потенциальных инвесторов. Цель – повышение инвестиционной привлекательности региона или города

• Физические лица• владельцы прав на интеллектуальную собственность• бизнесмены, политические или общественные деятели и др.

Мониторинг сети Интернет – поиск конфиденциальной

информации

• Используемый программный комплекс Avalanche предоставляет возможности по созданию «специализированных» Интернет-поисковиков, настроенных под потребности заказчика

• Такого рода специализированный поисковик создает и запускает программы-«роботы», которые на регулярной временной основе просматривают заданные участки в сети Интернет и собирают соответствующую информацию по указанному в их задании профилю

• В итоге создается веб-сайт, в котором по заданному временному графику и в консолидированном виде найденная в Интернете информация раскладывается по «умным» папкам

Шпионский скандал в Израиле в 2005-2006 гг.

• Находящиеся в Лондоне израильтяне 41-летний программист и его 28-летняя жена создавали троянские программы по заказу сыскных агентств из Израиля

• Троянские программы, не обнаруживаемые разными антивирусами, шпионили за фирмами-конкурентами

• В частности, операторы связи Cellcom и Pele-Phone с помощью этого метода шпионили за своим конкурентом – компанией Partner, израильским филиалом Orange

• Среди 18 арестованных: 9 человек – менеджеры фирм и 9 человек – это сотрудники частных сыскных агентств

• Началось все с заявления в полицию известного в Израиле писателя, у которого с ПК похитили рукопись нового романа и главы из романа выложили в Интернете

Как часто проводятся аудиты систем информационной

безопасности?

• Определяется политикой информационной безопасности, принятой в компании или организации

• Обычно эксперты рекомендуют проводить:• ежеквартально «инструментальный аудит»• ежегодно «тест на проникновение»

• Стандарт PCI DSS (Payment Card Industry Data Security Standard) рекомендует – каждый год проводить аудит «тест на проникновение»

Заключение

• Истоки нынешнего мирового финансового кризиса многие эксперты видят именно в недостаточном контроле за действиями банков и других финансовых структур

• Обилие компьютерного зла в современном мире также связано с излишними свободами в киберпространстве

• Зачастую и на уровне компании мало контроля за тем, что именно разрешено или не разрешено делать сотрудникам на компьютере, с электронной почтой или в Интернете

• Свобода – это великая сила, способная и «горы свернуть», но также везде нам нужны и разумные меры контроля

Аудит информационной безопасности – это обязательный элемент эффективных систем защиты информации. И составная часть фронта борьбы с киберпреступностью!

Спасибо за внимание!

Антимонов Сергей Григорьевич

Председатель совета директоровЗАО «ДиалогНаука»

Sergei.Antimonov@DialogNauka.ru

Тел.: (+7 495) 980-67-76, д.115

www.DialogNauka.ru