1 / 25

Антимонов Сергей Григорьевич Председатель совета директоров ЗАО «ДиалогНаука»

«Доверяй, но проверяй!»: аудит информационной безопасности как неотъемлемая часть фронта борьбы с киберпреступностью. Антимонов Сергей Григорьевич Председатель совета директоров ЗАО «ДиалогНаука». О компании «ДиалогНаука».

mei
Download Presentation

Антимонов Сергей Григорьевич Председатель совета директоров ЗАО «ДиалогНаука»

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. «Доверяй, но проверяй!»: аудит информационной безопасности как неотъемлемая часть фронта борьбы с киберпреступностью Антимонов Сергей ГригорьевичПредседатель совета директоровЗАО «ДиалогНаука»

  2. О компании «ДиалогНаука» • ЗАО «ДиалогНаука» создано 31 января 1992 г. Учредители – СП «Диалог» и Вычислительный центр РАН • До этого 2 года (1990-1991) коллектив был известен как Научный центр СП «Диалог» при Вычислительном центре РАН • Дистрибуция программного и технического обеспечения • Разработка и распространение антивирусов и других решений в области информационной безопасности: • 1990 – Aidstest • 1991 – ADinf • 1993 – ADinf Cure Module • 1994 – Doctor Web • 1995 – Антивирусный комплект DSAV (DialogueScience Anti-Virus) • C 2004 г. компания занимается системной интеграцией, консалтингом и дистрибуцией отечественных и зарубежных решений в области информационной безопасности

  3. План • Междисциплинарный и комплексный подход к противостоянию компьютерному злу • Виды аудита информационной безопасности • Аудит возможностей взлома защиты через «удаленное воздействие» или «интерактивную атаку» – тест на проникновение (penetration test) • Аудит на соответствие Федеральному закону«О персональных данных» • Аудит наличия конфиденциальной информации в сети Интернет при помощи средств конкурентной разведки

  4. Каким образом зловреды проникают на компьютеры(каналы атак)? (Данные ICSALabs) Сейчас активно используются атаки:- через спамовые электронные сообщения • через зараженные веб-сайты • через зараженные USB-диски и другие мобильные устройства Повсеместно используются методы СОЦИАЛЬНОЙ ИНЖЕНЕРИИ!

  5. Этапы «жизненного цикла» внедрения вредоносного кода или рассылки спама • Заказчик дает задание на совершение какого-то киберпреступления • Исполнители разрабатывают вредоносные коды и схему атаки, например, рассылку спамерских писем • Транспортировка электронных писем через цепочку интернет-провайдеров, или размещение вредоносного кода на некоторые веб-сайты в сети Интернет • Перемещение электронных писем или вредоносного кода в рамках какой-либо корпоративной сети • В итоге конечный пользователь открывает незапрашиваемое спамовое письмо или посещает веб-сайт, и получает на свой ПК вредоносный код

  6. Разные элементы, участки «театра военных действий» вборьбе с компьютерным злом

  7. Фонд от компании Microsoft в 5 млн. долл. для борьбы с киберпреступниками • Ноябрь 2003 года – компания Майкрософт создает фонд вразмере 5 млн. долл. для борьбы с вирусописателями • Первоначально Microsoft выделила 2 раза по250 тыс. долл. – за информацию, которая приведет к аресту и осуждению создателей и распространителей вирусов Blaster-A и SoBig-F • Затем в начале 2004 года компания SCO выделила 250 тыс. долл. и Microsoft еще 250 тыс. долл. – за данные про распространителей и создателей вирусов MyDoom-A и MyDoom-B соответственно • Итого в сумме была «приготовлена» сумма в размере 1 млн. долл. • Май 2004 года – в Германии арестовали Свена Яшана, создателя вирусов Sasser и Netsky по наводке соучеников в школе • В начале 2005 года в США сумма награды за голову террориста №1 бин Ладена была увеличена с 25 млн. долл. до 50 млн. долл. • В начале 2009 г. –Microsoft предложила награду в 250 тыс. долл.за информацию, которая приведет к аресту и осуждению распространителей нового и очень опасного червя Conficker (Kido)

  8. Междисциплинарный и комплексный подход к защите информации

  9. Реализация комплексного подхода к защите информации

  10. Варианты проведения аудита информационной безопасности • Инструментальный анализ защищённости • «Удаленный аудит» систем безопасности через тест на проникновение (penetration test) • Аудит систем безопасности на соответствие международному стандарту ISO 27001 (ISO17799) • Аудит систем безопасности на соответствие Федеральному закону «О персональных данных» • Оценка соответствия стандарту Банка России • Аудит наличия конфиденциальной информации в открытом доступе в сети Интернет • Комплексный аудит информационной безопасности (ИБ)

  11. Тест на проникновение (pentest) – «внешний аудит» систем безопасности • Позволяет получить независимую оценку систем защиты глазами потенциального злоумышленника • Рассматривает угрозу промышленного шпионажа, выполняемого профессиональным взломщиком • Атака осуществляется через внешний периметр сети • В качестве исходных данных используются: • IP-адреса внешних серверов • Собираемая информация: • топология сети • используемые ОС и версии ПО • запущенные сервисы • открытые порты, конфигурации и т.д.

  12. Уровни информированности со стороны служб безопасности и взломщика

  13. Как готовится «интерактивная атака» или «удаленное воздействие»? • Сбор информации о компании и ее сотрудниках из открытых источников • Анализ этой информации • Сбор информации о компании и ее сотрудниках из закрытых источников на основе уже полученных данных • Разработка сценариев проникновения • Реализация некоторых из сценариев Практика проведения тестов на проникновение говорит, что наибольший успех приносит «социальная инженерия». Сотрудники – самое слабое звено в системах защиты!

  14. Пример письма-атаки. Адреса электронной почты собраны через сайт «Одноклассники»

  15. Что сделали сотрудники, получившие это письмо?

  16. Юридические аспекты • Подписывается официальный договор, в котором определяются область деятельности и ответственность исполнителя и заказчика • Задается регламент, устанавливающий порядок и рамки проведения работ • Оформляется подписка исполнителя (NDA)о неразглашении информации, полученной в ходе выполнения работ по проникновению

  17. Аудит на соответствие ФЗ «О персональных данных» включает • Определение перечня персональных данных (ПДн), подлежащих защите, и перечня информационных систем, обрабатывающих ПДн • Выявление степени участия персонала в обработке ПДн, характер взаимодействия персонала между собой • Анализ внутренних нормативных документов, регламентирующих порядок обработки и защиты ПДн • Определение используемых средств защиты ПДн и оценка их соответствия требованиям нормативных документов РФ Обычно в рамках данного аудита проводятся также: - «инструментальный анализ защищённости» и - «тест на проникновение»

  18. Структура отчета по аудиту на соответствие ФЗ «О персональных данных» • Границы проведения аудита безопасности • Описание информационных систем ПДн заказчика • Методы и средства проведения аудита • Результаты классификации инфор-х систем ПДн • Частная модель угроз безопасности ПДн • Требования по защите ПДн • Рекомендации по улучшению системы защиты ПДн • План мероприятий по созданию системы защиты ПДн

  19. Аудит наличия конфиденциальной информации в сети Интернет • Независимый и документированный поиск конфиденциальных данных в Интернете при помощи средств конкурентной разведки • В отличие от промышленного шпионажа, используются открытые источники информации, расположенные в сети Интернет • Поиск осуществляется на форумах, в блогах, электронных СМИ, гостевых книгах, досках объявлений, дневниках, конференциях • Так на веб-сайте некоторой компании может оказаться, что: • Яндекс видит 20 тыс. http-страниц, а • Google видит 100 тыс. http-страниц и 200 тыс. ftp-страниц • По результатам аудита выдается отчёт, содержащий: • указание области поиска • какая конфиденциальная информация была найдена • где именно была найдена эта информация • рекомендации по устранению (удалению) найденной конфиденциальной информации в сети Интернет

  20. Кто может выступать в качестве заказчика такого вида аудита? • Компании, организации • важная конфиденциальная информация может быть «слита» в сеть Интернет кем-то из бывших или нынешних сотрудников, или кем-то из конкурентов; или может быть просто «забыта» или плохо «спрятана» самой компанией • Города, регионы • они заинтересованы в поиске и удалении из сети Интернет такой информации, которая могла бы отпугнуть потенциальных инвесторов. Цель – повышение инвестиционной привлекательности региона или города • Физические лица • владельцы прав на интеллектуальную собственность • бизнесмены, политические или общественные деятели и др.

  21. Мониторинг сети Интернет – поиск конфиденциальной информации • Используемый программный комплекс Avalanche предоставляет возможности по созданию «специализированных» Интернет-поисковиков, настроенных под потребности заказчика • Такого рода специализированный поисковик создает и запускает программы-«роботы», которые на регулярной временной основе просматривают заданные участки в сети Интернет и собирают соответствующую информацию по указанному в их задании профилю • В итоге создается веб-сайт, в котором по заданному временному графику и в консолидированном виде найденная в Интернете информация раскладывается по «умным» папкам

  22. Шпионский скандал в Израиле в 2005-2006 гг. • Находящиеся в Лондоне израильтяне 41-летний программист и его 28-летняя жена создавали троянские программы по заказу сыскных агентств из Израиля • Троянские программы, не обнаруживаемые разными антивирусами, шпионили за фирмами-конкурентами • В частности, операторы связи Cellcom и Pele-Phone с помощью этого метода шпионили за своим конкурентом – компанией Partner, израильским филиалом Orange • Среди 18 арестованных: 9 человек – менеджеры фирм и 9 человек – это сотрудники частных сыскных агентств • Началось все с заявления в полицию известного в Израиле писателя, у которого с ПК похитили рукопись нового романа и главы из романа выложили в Интернете

  23. Как часто проводятся аудиты систем информационной безопасности? • Определяется политикой информационной безопасности, принятой в компании или организации • Обычно эксперты рекомендуют проводить: • ежеквартально «инструментальный аудит» • ежегодно «тест на проникновение» • Стандарт PCI DSS (Payment Card Industry Data Security Standard) рекомендует – каждый год проводить аудит «тест на проникновение»

  24. Заключение • Истоки нынешнего мирового финансового кризисамногие эксперты видят именно в недостаточном контроле за действиями банков и других финансовых структур • Обилие компьютерного зла в современном мире также связано с излишними свободами в киберпространстве • Зачастую и на уровне компании мало контроля за тем, что именно разрешено или не разрешено делать сотрудникам на компьютере, с электронной почтой или в Интернете • Свобода – это великая сила, способная и «горы свернуть», но также везде нам нужны и разумные меры контроля Аудит информационной безопасности – это обязательный элемент эффективных систем защиты информации. И составная часть фронта борьбы с киберпреступностью!

  25. Спасибо за внимание! Антимонов Сергей Григорьевич Председатель совета директоровЗАО «ДиалогНаука» Sergei.Antimonov@DialogNauka.ru Тел.: (+7 495) 980-67-76, д.115www.DialogNauka.ru

More Related