Антимонов Сергей Григорьевич Председатель совета...
DESCRIPTION
«Доверяй, но проверяй!»: аудит информационной безопасности как неотъемлемая часть фронта борьбы с киберпреступностью. Антимонов Сергей Григорьевич Председатель совета директоров ЗАО «ДиалогНаука». О компании «ДиалогНаука». - PowerPoint PPT PresentationTRANSCRIPT
«Доверяй, но проверяй!»: аудит информационной безопасности как неотъемлемая часть фронта борьбы с киберпреступностью
Антимонов Сергей ГригорьевичПредседатель совета директоров
ЗАО «ДиалогНаука»
О компании «ДиалогНаука»
• ЗАО «ДиалогНаука» создано 31 января 1992 г. Учредители – СП «Диалог» и Вычислительный центр РАН
• До этого 2 года (1990-1991) коллектив был известен как Научный центр СП «Диалог» при Вычислительном центре РАН
• Дистрибуция программного и технического обеспечения• Разработка и распространение антивирусов и других решений в
области информационной безопасности:• 1990 – Aidstest
• 1991 – ADinf
• 1993 – ADinf Cure Module
• 1994 – Doctor Web
• 1995 – Антивирусный комплект DSAV (DialogueScience Anti-Virus)
• C 2004 г. компания занимается системной интеграцией, консалтингом и дистрибуцией отечественных и зарубежных решений в области информационной безопасности
План
• Междисциплинарный и комплексный подход к противостоянию компьютерному злу
• Виды аудита информационной безопасности• Аудит возможностей взлома защиты через
«удаленное воздействие» или «интерактивную атаку» – тест на проникновение (penetration test)
• Аудит на соответствие Федеральному закону«О персональных данных»
• Аудит наличия конфиденциальной информации в сети Интернет при помощи средств конкурентной разведки
Каким образом зловреды проникают на компьютеры
(каналы атак)?
Источники вирусов 1996 1997 1998 1999 2000 2001 2002 2003
Вложения в электронные письма 9% 26% 32% 56% 87% 83% 86% 88% Файлы, загружаемые из Интернета 10% 16% 9% 11% 1% 13% 11% 16%
Просмотр веб-сайтов 0% 5% 2% 3% 0% 7% 4% 4% "Не знаю" 15% 7% 5% 9% 2% 1% 1% 3%
Другие пути 0% 5% 1% 1% 1% 2% 3% 11% Дистрибутив ПО 0% 3% 3% 0% 1% 2% 0% 0%
Дискеты 71% 84% 64% 27% 7% 1% 0% 0%
Сейчас активно используются атаки:- через спамовые электронные сообщения- через зараженные веб-сайты- через зараженные USB-диски и другие мобильные устройства
Повсеместно используются методы СОЦИАЛЬНОЙ ИНЖЕНЕРИИ!
(Данные ICSA Labs)
Этапы «жизненного цикла» внедрения вредоносного кода или рассылки спама
1. Заказчик дает задание на совершение какого-то киберпреступления
2. Исполнители разрабатывают вредоносные коды и схему атаки, например, рассылку спамерских писем
3. Транспортировка электронных писем через цепочку интернет-провайдеров, или размещение вредоносного кода на некоторые веб-сайты в сети Интернет
4. Перемещение электронных писем или вредоносного кода в рамках какой-либо корпоративной сети
5. В итоге конечный пользователь открывает незапрашиваемое спамовое письмо или посещает веб-сайт, и получает на свой ПК вредоносный код
Разные элементы, участки «театра военных действий» вборьбе с компьютерным злом
Государство
Бизнес
Граждане
Заказчики
Исполнители
Интернет-провайдеры
электронной почты или
хостинга веб-сайтов
Локальная сеть компании
или организации
Получатели писем или посетители
веб-сайтов
Фонд от компании Microsoft в 5 млн. долл. для борьбы
с киберпреступниками
• Ноябрь 2003 года – компания Майкрософт создает фонд вразмере 5 млн. долл. для борьбы с вирусописателями
• Первоначально Microsoft выделила 2 раза по 250 тыс. долл. – за информацию, которая приведет к аресту и осуждению создателей и распространителей вирусов Blaster-A и SoBig-F
• Затем в начале 2004 года компания SCO выделила 250 тыс. долл. и Microsoft еще 250 тыс. долл. – за данные про распространителей и создателей вирусов MyDoom-A и MyDoom-B соответственно
• Итого в сумме была «приготовлена» сумма в размере 1 млн. долл.• Май 2004 года – в Германии арестовали Свена Яшана, создателя
вирусов Sasser и Netsky по наводке соучеников в школе• В начале 2005 года в США сумма награды за голову террориста
№1 бин Ладена была увеличена с 25 млн. долл. до 50 млн. долл.• В начале 2009 г. – Microsoft предложила награду в 250 тыс. долл.
за информацию, которая приведет к аресту и осуждению распространителей нового и очень опасного червя Conficker (Kido)
Междисциплинарный и комплексный подход к защите информации
Нормативно-методическое обеспечение
информационной безопасности
Технологическое обеспечение информационной безопасности
Кадровое обеспечение информационной безопасности
НАПРАВЛЕНИЯ И МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Реализация комплексного подхода к защите
информации
Аудит информационнойбезопасности
Формирование требований к КСИБ
Разработка технорабочего проекта
Обучение персоналакомпании
Пусконаладочныеработы
Техническоесопровождение КСИБ
Варианты проведения аудита информационной
безопасности
• Инструментальный анализ защищённости• «Удаленный аудит» систем безопасности через тест на
проникновение (penetration test)• Аудит систем безопасности на соответствие
международному стандарту ISO 27001 (ISO17799) • Аудит систем безопасности на соответствие
Федеральному закону «О персональных данных»• Оценка соответствия стандарту Банка России• Аудит наличия конфиденциальной информации в
открытом доступе в сети Интернет• Комплексный аудит информационной безопасности (ИБ)
Тест на проникновение (pentest) – «внешний аудит»
систем безопасности
• Позволяет получить независимую оценку систем защиты глазами потенциального злоумышленника
• Рассматривает угрозу промышленного шпионажа, выполняемого профессиональным взломщиком
• Атака осуществляется через внешний периметр сети • В качестве исходных данных используются:
• IP-адреса внешних серверов• Собираемая информация:
• топология сети• используемые ОС и версии ПО• запущенные сервисы• открытые порты, конфигурации и т.д.
Уровни информированности со стороны служб
безопасности и взломщика
Черная Шляпа(Black Hat)
Черный Ящик (Black Box)
Белая Шляпа (White Hat)
Белый Ящик (White Box)
Как готовится «интерактивная атака» или «удаленное воздействие»?
• Сбор информации о компании и ее сотрудниках из открытых источников
• Анализ этой информации• Сбор информации о компании и ее сотрудниках из
закрытых источников на основе уже полученных данных• Разработка сценариев проникновения• Реализация некоторых из сценариев
Практика проведения тестов на проникновение говорит, что наибольший успех приносит «социальная инженерия». Сотрудники – самое слабое звено в системах защиты!
Пример письма-атаки. Адреса электронной почты собраны через сайт «Одноклассники»
Что сделали сотрудники, получившие это письмо?
20
7
1
0 5 10 15 20 25
Запустило,человек
Не запустило,человек
Спросило невирус ли?
Юридические аспекты
• Подписывается официальный договор, в котором определяются область деятельности и ответственность исполнителя и заказчика
• Задается регламент, устанавливающий порядок и рамки проведения работ
• Оформляется подписка исполнителя (NDA) о неразглашении информации, полученной в ходе выполнения работ по проникновению
Аудит на соответствие ФЗ «О персональных
данных» включает
• Определение перечня персональных данных (ПДн), подлежащих защите, и перечня информационных систем, обрабатывающих ПДн
• Выявление степени участия персонала в обработке ПДн, характер взаимодействия персонала между собой
• Анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн
• Определение используемых средств защиты ПДн и оценка их соответствия требованиям нормативных документов РФ
Обычно в рамках данного аудита проводятся также: - «инструментальный анализ защищённости» и - «тест на проникновение»
Структура отчета по аудиту на соответствие ФЗ
«О персональных данных»
• Границы проведения аудита безопасности• Описание информационных систем ПДн заказчика• Методы и средства проведения аудита• Результаты классификации инфор-х систем ПДн• Частная модель угроз безопасности ПДн• Требования по защите ПДн• Рекомендации по улучшению системы защиты ПДн• План мероприятий по созданию системы защиты ПДн
Аудит наличия конфиденциальной
информации в сети Интернет• Независимый и документированный поиск конфиденциальных
данных в Интернете при помощи средств конкурентной разведки • В отличие от промышленного шпионажа, используются открытые
источники информации, расположенные в сети Интернет• Поиск осуществляется на форумах, в блогах, электронных СМИ,
гостевых книгах, досках объявлений, дневниках, конференциях• Так на веб-сайте некоторой компании может оказаться, что:
• Яндекс видит 20 тыс. http-страниц, а• Google видит 100 тыс. http-страниц и 200 тыс. ftp-страниц
• По результатам аудита выдается отчёт, содержащий:• указание области поиска• какая конфиденциальная информация была найдена• где именно была найдена эта информация• рекомендации по устранению (удалению) найденной
конфиденциальной информации в сети Интернет
Кто может выступать в качестве заказчика такого
вида аудита?
• Компании, организации• важная конфиденциальная информация может быть
«слита» в сеть Интернет кем-то из бывших или нынешних сотрудников, или кем-то из конкурентов; или может быть просто «забыта» или плохо «спрятана» самой компанией
• Города, регионы• они заинтересованы в поиске и удалении из сети Интернет
такой информации, которая могла бы отпугнуть потенциальных инвесторов. Цель – повышение инвестиционной привлекательности региона или города
• Физические лица• владельцы прав на интеллектуальную собственность• бизнесмены, политические или общественные деятели и др.
Мониторинг сети Интернет – поиск конфиденциальной
информации
• Используемый программный комплекс Avalanche предоставляет возможности по созданию «специализированных» Интернет-поисковиков, настроенных под потребности заказчика
• Такого рода специализированный поисковик создает и запускает программы-«роботы», которые на регулярной временной основе просматривают заданные участки в сети Интернет и собирают соответствующую информацию по указанному в их задании профилю
• В итоге создается веб-сайт, в котором по заданному временному графику и в консолидированном виде найденная в Интернете информация раскладывается по «умным» папкам
Шпионский скандал в Израиле в 2005-2006 гг.
• Находящиеся в Лондоне израильтяне 41-летний программист и его 28-летняя жена создавали троянские программы по заказу сыскных агентств из Израиля
• Троянские программы, не обнаруживаемые разными антивирусами, шпионили за фирмами-конкурентами
• В частности, операторы связи Cellcom и Pele-Phone с помощью этого метода шпионили за своим конкурентом – компанией Partner, израильским филиалом Orange
• Среди 18 арестованных: 9 человек – менеджеры фирм и 9 человек – это сотрудники частных сыскных агентств
• Началось все с заявления в полицию известного в Израиле писателя, у которого с ПК похитили рукопись нового романа и главы из романа выложили в Интернете
Как часто проводятся аудиты систем информационной
безопасности?
• Определяется политикой информационной безопасности, принятой в компании или организации
• Обычно эксперты рекомендуют проводить:• ежеквартально «инструментальный аудит»• ежегодно «тест на проникновение»
• Стандарт PCI DSS (Payment Card Industry Data Security Standard) рекомендует – каждый год проводить аудит «тест на проникновение»
Заключение
• Истоки нынешнего мирового финансового кризиса многие эксперты видят именно в недостаточном контроле за действиями банков и других финансовых структур
• Обилие компьютерного зла в современном мире также связано с излишними свободами в киберпространстве
• Зачастую и на уровне компании мало контроля за тем, что именно разрешено или не разрешено делать сотрудникам на компьютере, с электронной почтой или в Интернете
• Свобода – это великая сила, способная и «горы свернуть», но также везде нам нужны и разумные меры контроля
Аудит информационной безопасности – это обязательный элемент эффективных систем защиты информации. И составная часть фронта борьбы с киберпреступностью!
Спасибо за внимание!
Антимонов Сергей Григорьевич
Председатель совета директоровЗАО «ДиалогНаука»
Тел.: (+7 495) 980-67-76, д.115
www.DialogNauka.ru