Целенаправленные атаки на ИС: сегодняшняя ситуация и перспективы Борис Симис Директор по развитию Positive Technologies

Российская компания-разработчик программного обеспечения Специализация: Поиск уязвимостей в информационных системах Оценка защищенности корпоративных информационных систем Оценка соответствия уровня защиты отраслевым, международным и государственным стандартам Собственные программные продукты MaxPatrol и Xspider Лицензии и сертификаты ФСТЭК, ФСБ, Минобороны, Газпромсерт Поддержка портала SecurityLab.ru, организаторы Positive hack days

Взгляд со стороны … хакера Один из крупнейших исследовательских центров в Европе Помощь в защите продуктов известных IT-компаний Участие в разработке стандартов ИБ 100+ новых уязвимостей «нулевого дня» в год

Когда новость – не новость

Взлом крупной компании – обычное дело NASDAQ Stock Exchange Febrary 02 RSA Security Solutions March 03 RSA authentication system compromised leaving more than 40 million employees vulnerable Epsilon Marketing March 01 Millions of customer records owned by 50 Epsilon clients compromised Honda Motors Automotive January 01 4,9 million customer addresses belonging to Honda and Acura car owners compromised Gmail accounts belonging to US. Government officials and Military personnel compromised Google Technology May 27 DigiNotar Certificate Authority June 17 Rogue certificates issued for Google, Mozilla, Microsoft updates, etc. DigiNotar was declared bankrupt CitiGroup Financial Services June credit card customers personal information compromised Citigroup lost $2,7 million ADP Payroll Processing June 15 Information on the incident is not disclosed Sony Entertainment April 1 Online gaming business shut down for 30 days as a result of a breach that compromised more than 100 million customer records. The impact is estimated in billions of dollars

Почему? ИБ строится десятилетиями Вкладываются серьезные средства Тем не менее, взлом - реальность

Причина 1. Новые цели – новые хищники Hooligans InterestLow damage Organized crime Money Banking and retail damage Cyber troops Cyber War Serious damage IdeologyUnpredictable Underground Community APT

Причина 2. Бумажная безопасность Отчет: Verizon Data Breach Investigations % атак были квалифицированы как не сложные!

Причина 3. Нет культуры … ИБ

Причина 4. Технологии нападения - впереди СЗИ обеспечивают безопасность защищаемой информации Межсетевые экраны, VPN, антивирусы, ААА – защита от внешнего нарушителя DLP, средства защиты от НСД – от внутреннего нарушителя 0-day BYOD

Пример: безопасность АСУ ТП

Зачем беспокоится о SCADA, если Сети АСУ ТП изолированы и никто не сможет соединиться с ними MES/SCADA/PLC используют специализированные платформы и поэтому «взломоустойчивы» HMI это просто устройство для отображения информации …

Опыт тестов на проникновение показывает 100% сетей имеют доступ во внешние сети Ошибки настройки МСЭ/сетевого оборудования Шлюзы для интеграции с MES/OPC/ERP внешние устройства (Phones/Modems/USB Flash) Удаленный доступ через VPN/Dialup 90% сетей SCADA могут быт взломаны Metasploit Стандартные платформы (Windows, Linux, QNX, BusyBox, Solaris…) Стандартные протоколы (RCP, CIFS/SMB, Telnet, HTTP…) Стандартные ошибки (отсутствие патчей, слабые пароли, межсетевое экранирование, уязвимости приложений)

Опыт тестов на проникновение показывает 70% HMI/инженерных станций используются как рабочее место Обход «режима киоска» (Секретный) доступ в Интернет игры/кейгены/трояны и другие полезные программы Безопасность [АСУ ТП = Internet] в начале века VS

Что делать?

Мировая практика «Национальная стратегия кибер безопасности», США, Приоритеты: 1: Реагирование на киберинциденты 2: Контроль защищенности от киберугроз 3: Осведомленность пользователей 4: Внедрение мер защиты: Системы контроля защищенности Усиленная авторизация Сетевая защищеность Контроль аутсорсеров и постащиков

Чего ждем от государства Стратегия по информационной безопасности, координация усилий ведомств Реализация объединения усилий обмена опытом, наработками, стандартами Программы информирования и защиты граждан (кибер 02)

Чего ждем от государства Создания условий для воспитания профессиональной среды

Ответственность бизнес сообщества Многие критичные элементы инфраструктуры в России – в частных руках Бизнес – признавая важность информатизации, не понимает ИТ рисков ПД - единственный вопрос по информационной безопасности обсуждавшийся бизнесом Повышения приоритета темы информационной безопасности в обществе – задача государства

На уровне предприятия

Ответить на вопросы Как я могу быть взломан? Идет ли сейчас атака на меня? Взломан ли я уже? Какие были атаки на меня?

ИнвентаризацияОценкаПриоретизацияУстранениеПроверка Нужен процесс контроля защищенности Поставить себя на место взломщика!

А ещё нужно… Управлять конфигурациями Управлять изменениями Соответствовать требованиям ИБ-стандартов Контролировать устранение уязвимостей Пополнять базу знаний Анализировать информационные системы Моделировать вектора атак

Подход – до продуктива Этап создания приложений, Веб сайтов, критичных ИТ систем Анализ исходного кода с целью обнаружения уязвимостей, брешей, ошибок Изучение архитектуры системы на возможность взлома Оценка возможности мошенничества и финансовых потерь Google и Яндекс делают ЭтоGoogle и Яндекс делают Это

Подход – после продуктива Этап эксплуатации Все тоже самое + Автоматизированный контроль защищенности + Поиск взломанных и скомпроментированных узлов

Позитивный подход к «реальной» безопасности MaxPatrol Услуги

Позитивный к «реальной» безопасности Новые продукты 2013

Тенденции развития

Вызовы АСУТП безопасность Стандарт конфигурации SIMATIC WinCC Поддержка SCADA

Вызовы Безопасность телеком оборудования Проект: Контроль защищенности технологических сетей оператора связи Задачи: 1. Идентификация специализированного мобильного оборудования (компоненты Node B, RNC) 2. Создание проверок параметров безопасности для ряда специализированного оборудования (RNC, MSC, HLR, VLR, GGSN, SGSN, др.) Какие-то непонятные железки? 3G SoftSwitch – Solaris 10 с CVE (telnet -f)

Вызовы Безопасность мобильных устройств BYOD Тенденции – использование личных устройств в рабочих целях Прогнозы – увеличения качества и количества мобильных вирусов и троянов

Вызовы Безопасность Web приложений До 88% корпоративных вебсайтов и приложений содержат критичные уязвимости По статистике Positive Research 2012

Спасибо за внимание! Симис Борис Борисович