uisg itgov 7_top10
TRANSCRIPT
Топ 10 киберугроз в Украине (По итогам 2010 г.)
Владимир Ткаченко
директор ООО “Агентство активного аудита”
Евгений Ермолаев
Технический директор ООО “Агентство активного аудита”
CISM
Основные тренды киберугроз
18.05.2011 © ООО «Агентство активного аудита» 2
Основные тренды киберугроз применительно к Украине:
- Мошенничество с помощью систем ДБО;
- Высокая степень уязвимости к приемам социальной инженерии;
- ПО на стороне клиента продолжает оставаться необновленным даже после выпуска патчей;
- Слабая организация управления ИБ;
- Отсутствие риск менеджмента в отношении информационных активов (1С и др. БД);
- Уязвимости WEB-сайтов и WEB-приложений использующихся через Internet;
- Уязвимости беспроводных сетей предприятия (Wi-Fi, CDMA, GSM, IP Telephony)
- Рост количества и сложности DDoS как способа конкурентной борьбы;
- Рост количества 0-day уязвимостей;
- Несоблюдение рекомендаций производителей ПО и оборудования по настройке параметров безопасности
Мошенничество с помощью систем «Клиент-Банк» и карт
18.05.2011 © ООО «Агентство активного аудита» 3
Факты по картам
• В своем письме банкам от 15.04.2010 № 25-312/943-5139 НБУ отмечает что «Кількість шахрайських операцій з використанням платіжних карток … становила 6 304 тис. грн.», т.е. 6 млн. 304 тыс. грн. (Fake ATM – в Караване, fake Internet shop, phishing, vishing, skimming, trojan horses, SMS phishing, кражи карточных данных в торговых точках, АЗС и т.п.)
Факты по ДБО
• Мировая тенденция уже в Украине ( 25% наших клиентов пострадали от подобных операций);
• В основном угрозы через вирусы (троянские кони) и собственный персонал (небрежное хранение ключевых данных к ДБО). Примеры: ZeuS, Trojan.PWS.OSMP, Trojan.Tatanarg и др. ;
• «Черкасское дело» (март-апрель 2011г) – 7 млн. грн.
МЕТОДЫ ПРЕДОТВРАЩЕНИЯ МОШЕННИЧЕСТВА С ПОМОЩЬЮ ДБО ИЛИ КАРТ
18.05.2011 4 © ООО «Агентство активного аудита»
Источник угрозы – методы защиты:
Собственные ИТ сотрудники (в небольших компаниях) – управление доступом к ДБО, управление рисками, применение многоуровневой авторизации платежа;
Менеджеры крупных компаний, имеющие доступ к ключам ДБО (или ЭЦП) – управление доступом, управление рисками, многоуровневая авторизация платежа, лимиты платежа;
Внешние ИТ сотрудники (в небольших компаниях), обслуживающие ПО или ПК –
управление доступом к ДБО, управление рисками, применение многоуровневой авторизации платежа;
Злоумышленники использующие НСД через вирусное ПО - управление доступом к ПК с ДБО, постоянное обновление ПО и ОС, применение специализированного ПО (антивирусы, End Point Security, файрвол), многоуровневая авторизация платежа, лимиты платежа, использование аппаратных криптопровайдеров.
18.05.2011 5
Угроза – социальная инженерия
© ООО «Агентство активного аудита»
18.05.2011 6
Отсутствие патч менеджмента и управления уязвимостями
© ООО «Агентство активного аудита»
18.05.2011 7
Слабая организация управления ИБ
© ООО «Агентство активного аудита»
ISO 27001 – открытие для ИТ директоров предприятий
ISO 18044 – откровение для ИТ и бизнеса
CoBIT – это что-то только у «них там на западе»
Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и все будет ок
18.05.2011 8
Отсутствует управление ИТ рисками
© ООО «Агентство активного аудита»
Основные принципы функционирования ИТ
• Владельцы активов не назначены (хотя бы на уровне Клиент-Банк, 1С и баз данных)
• Классификация информации не проводится (что относить к коммерческой тайне + ПДн)
• Документация отсутствует (есть только в голове айтишника)
• Операционные процедуры (если есть) не соблюдаются
• Управление конфигурациями (версиями) не осуществляется
• Персонал «ни за что не отвечает», осведомленность пользователей стремится к 0
Управление рисками для Украины либо «экзотика», либо КСЗИ
• Оценка ущерба для критичных информационных активов не проводится
• Анализ угроз и уязвимостей не проводится (или представляет собой примитивные умозаключения – поставим файрвол от хакеров)
• Планирование мероприятий защиты (или обработки рисков) отсутствует так как нет бюджета. А на устранение инцидента бюджет есть? ТОЖЕ НЕТ!
• Как следствие – не проводится и расчет ROSI (Return On Security Investments)
Уязвимости WEB сайтов и приложений
18.05.2011 9 © ООО «Агентство активного аудита»
Из обнаруженных уязвимостей:
1) Межсайтовое выполнение сценариев (Cross-Site Scripting) на странице http://fart-spec.com.ua/search.php.
2) Использование простых паролей, что позволило аудиторам развить атаку и получить полный доступ к серверу.
3) Были обнаружены сторонние PHP скрипты, вероятней всего сайт уже был взломан или скрипт был оставлен сотрудниками компании с неизвестной целью.
Также было обнаружено:
- лицензия на ПО CMS Bitrix истекла, и в дальнейшем сайты не смогут получать обновления;
- протоколирование действий в системе средствами сайта отключено, что позволяет потенциальному злоумышленнику остаться необнаруженным;
- ПО сервера обновляется не постоянно;
- пользователь www имеет доступ к файлам и папкам за пределами своей домашней директории;
- разграничение прав доступа к файлам на веб сервере не настроено;
- учет изменений на сервере не ведется.
Уязвимости беспроводных сетей
18.05.2011 10 © ООО «Агентство активного аудита»
Три слова о :
1) WEP взламывается в 100 % случаев (при наличии спецоборудования для усиления)
2) WPA и WPA2 - взлом зависит от «веса» словаря = дело времени и денег
3) Всегда можно пробовать Rogue Access Point (http://www.securitytube.net/video/430)
Также никто не отменял общие принципы атак на CDMA и GSM:
1) НСД к сети;
2) Внутренний и внешний саботаж;
3) Атаки на криптоалгоритм (GSM) и др.
Атаки на IP телефонию :
1) Сниффинг трафика (Cain &Abel);
2) Кража пользовательских данных и мошенничество с их применением (identity theft&fraud);
3) Атаки на целостность VoIP данных (типа man-in-the-middle);
4) Атаки типа отказ в обслуживании (DoS).
Конкурентная борьба с помощью DDoS
18.05.2011 11 © ООО «Агентство активного аудита»
15 % наших клиентов сталкивались с DoS
Тенденция – ботнеты состоят не только из ПК, но серверов и сетевого оборудования
Стоимость DDoS 300-500 USD в зависимости от задачи и требуемых ресурсов
Громкие DDoS в Украине:
1) 29.01.2010 – DDoS на сайт security.ua, 23.03.2010 – UA-Reporter.com;
2) Конец августа 2010 г – imena.ua/mirohost.net ( 2Гбит/с, ZeuS, 3 млн. компьютеров ботнет);
3) 8 октября 2010 г. – Укртелеком (ухудшение качества доступа в Internet);
Александр Ольшанский (президент Imena.ua) сообщил: «К сожалению, у нас DDOS-атаки стали привычным инструментом политической и конкурентной борьбы, который используют для воздействия на неугодные сайты или шантажа электронных магазинов. Зло это общемировое, и Украина здесь далеко не впереди планеты всей. Тем не менее и в нашей стране в течение ближайших 2-3 лет проблема DDOS-атак приобретет серьезную актуальность и будет требовать соответствующих решений как от владельцев интернет-ресурсов, так и от хостинг-провайдеров».
Увеличение количества 0-day уязвимостей
18.05.2011 12 © ООО «Агентство активного аудита»
0day Exploit Released : Adobe, HP, Sun, Microsoft Interix & many more Vendors FTP hackable ! Интервал неделя!
Тенденция – средняя цена 0day – 1-3 и 5-7K USD (http://unsecurityresearch.com/index.php?option=com_content&view=article&id=52&Itemid=57)
Тенденция 2 – вендоры готовы платить за 0day (Google, VerySign, Intel и др.)
Уже история 2010 – Aurora (Google, Adobe via CVE-2010-0249), Stuxnet (SCADA via CVE-2010-2568)
Выводы: - патч-менеджмент и vulnerability-менеджмент снижают вероятность реализации 0day;
- технические и программные решения сторонних производителей по ИБ могут снизить, а
могут и повысить вероятность 0day;
- Включение встроенных в ОС механизмов защиты (EMET, AppArmor);
- На стороне клиента минимизировать использование сценариев (Javascript, ActiveX …);
- Не давать пользователю или приложению административные права.
Рекомендации производителей по настройке параметров ИБ
18.05.2011 13 © ООО «Агентство активного аудита»
Network Security Baseline
Microsoft Security Baseline Analyzer
Nortel Security Baseline
IT Security baseline (IT-Grundshutz)
CoBIT Security Baseline
Linux Security Guideline
AIX Security Guideline
Вопросы
www.auditagency.com.ua
044 228 15 88