САИБ. Максим Прокопов. "Расследование внутренних...
TRANSCRIPT
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
Расследование внутренних инцидентов информационной безопасности – модель нарушителя, определение сотрудников в зоне риска, расследование
от события до инцидента
Прокопов МаксимГЕНЕРАЛЬНЫЙ ДИРЕКТОР,Сибирской Академии Информационной Безопасности
SKYPEEMAIL
#CODEIB г. НОВОСИБИРСК2 ИЮНЯ 2016
1 НЕДОПУСТИТЬ ПОЯВЛЕНИЯ НОВЫХ ИНЦИДЕНТОВ 2 ОПЕРАТИВНО
ВЫЯВЛЯТЬ ИНЦИДЕНТЫ
3
МИНИМИЗИРОВАТЬ РИСКИ ОТ СВЕРШЕННЫХ ИНЦИДЕНТОВ
БЫТУЕТ МНЕНИЕ, ЧТО IPAD - НЕ БОЛЕЕ ЧЕМ ИГРУШКА.ОДНАКО, ЭТО В КОРНЕ НЕВЕРНО. У IPAD ЕСТЬ РЯД БЕССПОРНЫХ ПРЕИМУЩЕСТВ, ПОЛНОСТЬЮ ОПРАВДЫВАЮЩИХ ЕГО СТОИМОСТЬ.
5 ОЧЕВИДНЫХ ПРИЧИН ПРИОБРЕСТИ iPAD
3
#CODEIB г. НОВОСИБИРСК2 ИЮНЯ 2016
БЫТУЕТ МНЕНИЕ, ЧТО IPAD - НЕ БОЛЕЕ ЧЕМ ИГРУШКА.ОДНАКО, ЭТО В КОРНЕ НЕВЕРНО. У IPAD ЕСТЬ РЯД БЕССПОРНЫХ ПРЕИМУЩЕСТВ, ПОЛНОСТЬЮ ОПРАВДЫВАЮЩИХ ЕГО СТОИМОСТЬ.
ПРИМЕРЫ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Лентяи
Мене 30%
рабочего времени
ЗЛОУМЫШЛЕННИКИ Опасное ПО
Наносят ущерб
компании
Лазейка для злоумыш
ленников
АВАРИИ
Ущерб для
компании
Сотрудники сидят в интернете на развлекательных сайтах по 4 часа. Играют в игры на работе. Перекладывают свои обязанности на других. Сотрудники копируют конфиденциальные данные компании. Сотрудники одновременно работаю на другой работе. Сотрудники работаю на конкурента. Сотрудник хочет создать собственную конкурентную компанию. Сотрудники распространяют государственную тайну. Используется потенциальное опасное ПО – содержащее уязвимости, позволяющие скрытую передачу данных, дающие возможность деструктивного влияния на ИТ инфраструктуру компании. Выясняется что административные пароли передаются по открытым каналам. Сотрудники использую средства удаленного управления. Администраторы сделали бреши в межсетевом периметре компании для удобства. Оставлены закладки в самописном программном обеспечении.
Взломы сети
Лазейка для злоумыш
ленников
#CODEIB г. НОВОСИБИРСК2 ИЮНЯ 2016
БЫТУЕТ МНЕНИЕ, ЧТО IPAD - НЕ БОЛЕЕ ЧЕМ ИГРУШКА.ОДНАКО, ЭТО В КОРНЕ НЕВЕРНО. У IPAD ЕСТЬ РЯД БЕССПОРНЫХ ПРЕИМУЩЕСТВ, ПОЛНОСТЬЮ ОПРАВДЫВАЮЩИХ ЕГО СТОИМОСТЬ.
МОДЕЛЬ НАРУШИТЕЛЯ
Зона риска
Обычный сотрудни
к
Топ менедже
р
Злоумышленник
В рамках автоматизированн
ого процесса
Ни кто не отменял базовую модель
Подсадной
Поиск работы
КоррупцияХалатность
КредитыКонкуренци
яНедовольны
йИ т.д.
#CODEIB
Примеры сработок и перехватов
Перехват – роман между сотрудниками разных организаций в корпоративной переписке
г. НОВОСИБИРСК2 ИЮНЯ 2016
#CODEIB
Фиксация угроз в трафика приложений
Использование критичных приложений сотрудниками компании
Аналитика объемов трафика в разрезе приложений
Аналитика работы приложений по сети
г. НОВОСИБИРСК2 ИЮНЯ 2016
Концептуальные описания правил учета рабочего времени:
1.Отметить сотрудников, чья работа за компьютером началась позже 9.20;2.Отметить сотрудников, чья работа за компьютером заканчивается раньше 17.40;3.Определить сотрудников, не отрабатывающих норму часов;4.Определить, чьи компьютеры простаивали без активности в день более чем 38% рабочего времени;5.Определить, кто из сотрудников запускал игры в рабочее время;6.Определить, сотрудников занимающихся активным «серфингом» в интернете; 7.Определить, сотрудников, распечатывающих на принтере больше страниц, чем необходимо в рамках их служебных обязанностей;8.Определить, сотрудников посещающих социальные сети в рабочее время.
УЧЕТ РАБОЧЕГО ВРЕМЕНИ
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
УЧЕТ РАБОЧЕГО ВРЕМЕНИ
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
ЗАЧЕМ ВЗЛАМЫВАЮТ КОРПОРАТИВНЫЕ СЕТИ?
КАК ВЗЛАМЫВАЮТ?
1. СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ2. ВЗЛОМ ПЕРИМЕТРА СЕТИ
3. ВЗЛОМ САЙТА4. ИНСАЙДЕР
5. ВЗЛОМ WI-FI
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
ВЗЛОМ КЛИЕНТ БАНКА
Статистика из опубликованного отчета Лаборатории Касперского за 2014 год:
Число отраженных атак специализированным вредоносным ПО для взлома систем типа клиент-банк и онлайн банк - 1 920 520;
Количество попыток заражения систем типа клиент-банк и онлайн банк – 16 552 498;
Российская Федерация занимает второе место в мире по количеству атакованных пользователей систем типа клиент-банк и онлайн банк.
Средний объем потерь атакованной компании 700 000 рублей;
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
ВЗЛОМ КЛИЕНТ БАНКАОтправка писем с вредоносными файлами, размещение в Интернете зараженных ссылок
Письмо максимально похоже на легитимное, а его содержание на важное и срочное
Как итог удаленное управление АРМ с клиент банком, кража сертификатов с токенов, кража денежных средств
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
ВЗЛОМ КЛИЕНТ БАНКА
Перевод на фирму однодневку
Начисление зарплаты физическим лицам с которых нечего взять
Вывод средств
КРАЖА НОМЕРА
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
ВЗЛОМ ПЕРИМЕТРА СЕТИ
Атаки из ЛВС
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
ВЗЛОМ ПЕРИМЕТРА СЕТИПРИМЕР
г. НОВОСИБИРСК2 ИЮНЯ 2016
Готовые сценарии и словари
Методология анализа
событий
Готовые формы отчетов
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
Обучение Общественные замечания
Учебная тревога, ролевые игры
ПРОФИЛАКТИКА
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB
ЕСТЬ ЛИ У ВАС ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ?
КТО НАШИ ЗАКАЗЧИКИ? Начиная с середины 2014 г.
БЛАГОДАРСТВЕННЫЕ ПИСЬМА
г. НОВОСИБИРСК2 ИЮНЯ 2016
СПАСИБО ЗА ВНИМАНИЕ!
ВЫ ВСЕГДА МОЖЕТЕ СО МНОЙ СВЯЗАТЬСЯ, ЕСЛИ У ВАС ВОЗНИКЛИ ПОДОЗРЕНИЯ НА НАЛИЧИЕ НЕКОНТРОЛИРУЕМЫХ ИНЦИДЕНТОВ ИБ У ВАС В КОМПАНИИ
ПРОКОПОВ МАКСИМГЕНЕРАЛЬНЫЙ ДИРЕКТОР,СИБИРСКАЯ АКАДЕМИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
РУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ ИБ,ГК АКСТЕЛ
СТАРШИЙ ПРЕПОДАВАТЕЛЬ,КАВЕДРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, НГУЭУ
SKYPEEMAIL
WEB SITE WWW.AXXTEL.RU
г. НОВОСИБИРСК2 ИЮНЯ 2016#CODEIB