«Лаборатория Касперского vs Киберпреступность» Ирина Белоцерковец Лаборатория Касперского Представительство в СЗФО

Больше чем безопасность Страница 2 Kaspersky LAB – на переднем краю борьбы с киберкриминалом Аналитические отчеты Информация в блогах и вирусных энциклопедиях Обучающие семинары, бизнес-завтраки, конференции Образовательные программы Работа с органами власти

Важные цифры год Страница 3 31 декабря 2010 г. – * зафиксированных инцидентов 1,9 МИЛЛИАРДА! *3700 инцидентов в секунду

Динамика развития информационных угроз Локальные инциденты В 2011 году зафиксировано 2,3 миллиарда локальных инцидентов! Страница 4

Динамика развития информационных угроз 2012 год. Зафиксировано 2,7 миллиарда разных вредоносных и потенциально нежелательных программ Страница 5

Динамика развития информационных угроз Страница атаки через браузер ( раз в день) - сервера атак – доменов в 202 странах мира Рост по сравнению с 2011 г. – в 1,7 раза Место Страна Количество атак % от всех атак 1 США ,5% 2 Россия ,6% 3 Нидерланды ,8% 4 Германия ,4% 5 Великобритания ,6%

Динамика развития информационных угроз Картина мира Страница 7 Веб-угрозы Место Страна % уникальных пользователей* 1 Россия 58,6 2 Таджикистан 58,5 3 Азербайджан 57,1 4 Армения 55,7 5 Казахстан 55,5 6 Белоруссия 51,8 7 Бангладеш 51,7 8 Шри-Ланка 51,5 9 Индия 51,1 10 Судан 51,0 11 Туркменистан 51,0 12 Оман 48,0 13 Узбекистан 47,5 14 Малайзия 47,3 15 Молдавия 47,2 16 Мальдивы 46,8 17 Украина 46,8 18 Италия 45,6 19 США 45,1 20 Испания 44,7

Динамика развития информационных угроз Страница год Год Java-уязвимостей половина всех зафиксированных атак с использованием эксплойтов была нацелена на уязвимости в Oracle Java

Динамика развития информационных угроз Страница 9 Уязвимые продукты

Не обновленный софт на компьютере в РФ 31% 29% 20% 17% Источник: Лаборатория Касперского, H Oracle JavaAdobe Flash Winamp Microsoft Office

СЗФО: операционные системы, 2012 год

СЗФО: ТОП 5

Среднее количество пойманных при работе в Сети вредоносных программ в пересчете на одного пользователя, 2012

Динамика развития информационных угроз 2012 год. Тенденции Страница 14

Вымогательство и нечестная конкуренция 404 – сайт недоступен

Мишени для DDoS-атак Интернет–магазины Торговые площадки СМИ Банки (особенно интернет-банкинг) Страховые компании Телеком Государство Все остальные

Тенденции Страница 17 Увеличение атак с целью похищения ПД на крупные корпорации Репутация под угрозой: Значительное количество инцидентов взломов БД Sony, Honda, Fox News, Citibank Наболее крупная утечка: взлом Sony: PlayStation, Qriocity, Sony Online Entertainment Данные до 77 миллионов (!) пользователей сервисов PSN и Qriocity. Прямой вред репутации сервисы Sony были недоступны по всему миру в течение 2-3 недель количество возвратов и обменов приставок Sony возросло в разы «Хактивисты» «хактивизм» взлом или вывод из строя систем государства в знак протеста новая группировка LulzSec: за 50 дней: взлом множества систем и ПД десятков тысяч пользователей - Sony, EA, AOL, сенат США, ЦРУ Cистемным администраторам крупных компаний и государственных организаций необходимо провести тестирование своих систем, в противном случае следующая волна «хактивизма» может добраться и до них.

Тенденции Страница 18 Атака на корпорацию Mitsubishi - началась в середине сентября, готовилась в июле-августе - было заражено около 80 компьютеров и серверов заводов Mitsubishi - получение и открытие PDF-файла - эксплойт уязвимости в Adobe Reader - установка вредоносного модуля, открывающего полный удаленный доступ к системе. - cбор и рассылка наружу интересующей информации

Тенденции Страница 19

Тенденции Страница 20

Тенденции Страница 21

Важные цифры и факты год Страница 22 США Продажа данных свыше 100 тыс. кредиток. Совокупный ущерб от деятельности оценен в 63 млн. долларов. Индия

Тенденции. Кибервойны Страница 23 В июне 2010 г. - обнаружен любопытный образец вредоносного ПО Его драйверы были подписаны ворованными сертификатами Созданный теми же людьми, что и Stuxnet, Duqu был классифицирован в августе 2011 года венгерской исследовательской лабораторией CrySyS. - проникает на компьютер с помощью вредоносных документов Microsoft Word - ставятся совершенно иные задачи, чем те, ради которых был создан Stuxnet. - инструментарий для проведения атак, позволяющий взломать систему и затем систематически выкачивать оттуда информацию. - возможность загружать на компьютер-жертву новые модули и исполнять их «на лету» Duqu и Stuxnet – это новейшие средства для ведения кибервойн. Мы входим в эпоху холодной кибервойны, в которой сверхдержавы борются друг с другом без сдерживающих факторов, присущих реальной войне.

Шпионаж

Банковские трояны

Прогнозы Страница 26 Что нас ждет в 2013 году: в 2013 году (и далее) кибершпионаж будет становиться все более распространенным явлением не только для крупных организаций, т.к. абсолютно все предприятия имеют дело с информацией, способной заинтересовать киберпреступников; при этом похищенные данные зачастую используются для того, чтобы подобраться к другим компаниям. Таргетированных атак станет больше, спектр компаний и отраслей экономики, которые станут объектами атак, расширится. Рост числа мотивов - не только с целью наживы, но и для привлечения внимания общественности к политической или социальной проблеме Кибероружие появится у большего числа стран и будет применяться как для кражи информации, так и для проведения диверсий. Косвенными жертвами таких атак могут стать центры управления энергетическими и транспортными системами, финансовые и телекоммуникационные системы, а также другие критически важные объекты инфраструктуры По мере роста использования облачных сервисов будет расти и количество нацеленных на них угроз.

Прогнозы Страница 27 В будущем ценность личных данных как для легального бизнеса, так и для киберпреступников будет лишь возрастать, а вместе с этим будет расти потенциальная угроза для тайны частной жизни Использование поддельных и краденых сертификатов неизбежно будет продолжаться и далее. Это ставит под вопрос основные принципы доверия, на которые мы опираемся, чтобы не стать жертвой злоумышленников в будущем следует ожидать роста числа вредоносных программ такого типа, как троянцы-вымогатели В 2013 предполагается более интенсивный рост количества зловредов для Mac. Но основным лидером, по росту атак, останутся устройства на базе Android. Скорее всего, мы также столкнемся с новыми мобильными ботнетами аналогами созданного в первом квартале 2012 г. при помощи бэкдора RootSmart. в будущем году киберпреступники продолжат эксплуатировать уязвимости в Java. По всей вероятности, Adobe Reader также будет «популярен» среди киберпреступников, однако в меньшей степени, поскольку в последних версиях этой программы реализована автоматическая установка обновлений

Легко заразить

Зловреды в официальном магазине приложений Зловреды через рекламу Зловреды в неофициальных магазинах приложений

Легко потерять

Как бороться? Как вычислить слабые места в системе безопасности государства и бизнеса? Что делать на переднем краю борьбы с информационными угрозами? Как наносить превентивные удары? Страница 31

Стратегия защиты Страница 32 Модель угроз Культура работы с информацией Политики безопасности Физическая защита носителей ПО для защиты информации и носителей Дополнительные сервисы и услуги Обмен информацией между пользователями

Уровень политик и процедур Физическая защита Защита сети Защита клиентов Модель многоуровневой антивирусной защиты Периметр Внутренняя сеть Узлы Приложения Данные Настройка ОС, аутентификация, система обновления Сетевые экраны, ДМЗ Охрана, замки, устройства слежения Сегментация сети, IPSec, СПВ Настройка приложений, АПО Контроль доступа, шифрование Документы, обучение, политики

Модель угроз

За любую бумажку с моего стола бандит полжизни отдаст! Г.Жеглов, оперативный работник МУРа Культура работы с информацией

Политики безопасности =

Физическая защита носителей

Как предупредить действия инсайдеров Страница 39 Аудит рисков ИТ-безопасности Для организаций крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Организация должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками: - оценить имеющуюся инфраструктуру - определить критические информационные активы; - установить текущие возможные угрозы и уязвимости - оценить возможные денежные убытки вследствие утечки; - выработать стратегию управления, продумать план немедленного реагирования. Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса.

Как предупредить действия инсайдеров Страница 40 Обучайте ваших сотрудников основам информационной безопасности В организации должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности. - что такое политики, процедуры - зачем их надо соблюдать при работе - какие средства защиты используются в сети. Первая линия защиты от инсайдеров это информированные сотрудники. Разграничивайте должностные обязанности и привилегии доступа к данным Если все сотрудники достаточно хорошо обучены принципам безопасности, то: - ответственность за критические функции распределена между сотрудниками, - эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией - максимальное количество процедур должно быть автоматизировано Тогда: - каждый работает только с теми документами, с которыми должен - вероятность сговора между людьми с целью кражи ценных сведений резко снижается.

Как предупредить действия инсайдеров Страница 41 Строгие политики управления учетными записями и паролями Если учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные Усиление аутентификации и авторизации в сетях Пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам. Деактивация несуществующих пользователей Когда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам Мониторинг и сбор логов действий сотрудников в режиме реального времени Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей - сильно увеличился внутренний сетевой трафик - возросло количество запросов к корпоративной базе данных - сильно увеличился расход тонера или бумаги.

Кроме того Страница 42 - Активно защищаться от вредоносного кода хорошими антивирусными продуктами - Использовать защиту от удаленных атак и попыток взлома. - Внедрять резервное копирование и процедуры восстановления данных Осуществлять контентную фильтрацию исходящего сетевого трафика. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных. - Установить политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). - не забыть и беспроводные сети (IrDA, Bluetooth, WiFi). - Проверять поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии. - Фильтровать запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы. - Шифровать критическую информацию на блочных устройствах и на ноутбуках.