реагирования на инциденты

Киберпреступность и внутренний
фрод в России
Методы противодействия
Фёдоров Сергей
Киберпреступность в России
Внутренний фрод
Превентивные меры
Корректирующие меры
Внутренние проверки (расследования)
ОБЪЯВЛЕНИЯ В ИНТЕРНЕТ
$
ИНФОРМАЦИЯ НА «ЧЕРНОМ РЫНКЕ»
$900-$5,000
Банковский «троян»
$500
Номер кредитной
карты с CCV или PIN
$80-$300
Банковский счет
$5-$25
Номер кредитной карты
$5
Счет в системе
электронных платежей
$150
Паспортные данные
ИНТЕРФЕЙСЫ «ТРОЯНОВ»
ИНТЕРФЕЙСЫ «ТРОЯНОВ»
РАСПРОСТРАНЕНИЕ «ТРОЯНОВ»
ЗА ПОЛЧАСА ВОКРУГ СВЕТА!
Стоимость заражения 1000 машин от
$20 до $250 USD
КРАЖА ИНФОРМАЦИИ КЛИЕНТОВ
МАНИПУЛЯЦИИ С БРЕНДОМ
www.russneft.ru/warning
ГРУППЫ ИСПОЛНИТЕЛЕЙ
Нагонщик
«трафика»
DDoS
Исполнитель
Вывод
денег
Создатель
вредоносного кода
«Дроппер»
Создатель сети
Создатель
вредоносного кода
Оператор
Поставщик услуг
обналичивания
денег
А ПОЧЕМУ СТУДЕНТ НЕ ХОЧЕТ СТАТЬ
ИНЖЕНЕРОМ?
$24 436 243,86 USD
$26 475 929,32 USD
$1 733 492,43 USD
КОНТРОЛИ В ИБ
ОТРАСЛЕВАЯ КАРТА ИНЦИДЕНТОВ
Финансовый сектор: Банки,
кредитные организации,
электронные платежные системы
Интернет торговля
5%
10%
30%
Компании - бренды
10%
Сектор SMB, использующий
интернет банкинг
15%
Крупные промышленные
компании
30%
Страховые компании
ОТВЕТСТВЕННОСТЬ
Без ответственности не нужны
ни Законы, ни Правила, ни
Стандарты их создание
бессмысленно
Киберпреступность в России
Внутренний фрод
Превентивные меры
Корректирующие меры
Внутренние проверки (расследования)
ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ
Управление
Финансы
Логистика
Разработки
(планы)
Интеллектуальная собственность
ИТ
Бухгалтерия
Продажи
Закупки
Электронная
коммерция
ИСПОЛЬЗОВАНИЕ ИНСАЙДЕРОВ
Телеком: для оптимизации тарифных планов
Ритейл: для снижения издержек при закупках
Промышленность: для получения преимуществ в конкурсах
Для организации черного PR и манипулирования органами власти
При недружественных слияниях и подготовке к поглощению
Использование маркетинговых активностей конкурентов
МОШЕННИЧЕСТВО ЛОГИСТИКА
Модификация программного обеспечения
Манипуляции с позициями товара в учетных системах
Виртуальные перемещения товара перед инвентаризацией
Использование чужих учетных данных
МОШЕННИЧЕСТВО ПРОДАЖИ
Манипуляции в учетных системах с ценовыми параметрами
Обман покупателя и проведение фиктивных возвратов
Манипуляции с товарными чеками и ценами
Незаконные манипуляции при проведении маркетинговых акций
МОШЕННИЧЕСТВО ЭЛ. КОММЕРЦИЯ
Использование бренда для личного обогащения
Воровство денежных средств из терминалов оплаты
Несанкционированные модификации цен, обман покупателя
Внешние воздействия третьих лиц
Модификация программного обеспечения в терминалах, банкоматах
МОШЕННИЧЕСТВО ВЫПЛАТЫ
Мертвые души в учетных системах
Схемы связанные с комиссионным вознаграждением (сдельная оплата)
Схемы связанные с выплатой вознаграждения
Фальсификация оплаты труда
ПРОБЛЕМАТИКА
Организация процедуры проведения внутренних проверок (аудитов) и
документарной поддержки (Законодательство РФ)
Обеспечение строгой аутентификации в учетных системах
Обеспечение целостности ПО систем, обеспечивающих работу с ТМЦ и
денежными средствами
Оптимизация потенциальных каналов утечки информации и контроль
движения информации
Внешние коммуникации с правоохранительными органами и
взаимодействие с интеграторами и СБ других организаций
Обеспечение юридической значимости доказательств, собранных в
электронном виде
Киберпреступность в России
Внутренний фрод
Превентивные меры
Корректирующие меры
Внутренние проверки (расследования)
HONEY NET
HoneyPotBotnet monitor
Target
C&C
~ 30000 сенсоров в 2010 г.
C&C
Forensic Team
HoneyPot
DDoS Bot
Theft Bot
Etc
Monitoring Team
мониторинг:
Полезная информация для реагирования и
расследований;
Проактивное реагирование на инциденты;
Реальное состояние дел в киберпреступном мире.
24/7
HONEY NET ЭЛЕКТРОННАЯ КОММЕРЦИЯ
1.
Отслеживание вредоносного ПО, нацеленного на конкретные системы
электронной коммерции;
2.
Изучение новых методов совершения мошеннических операций;
3.
Контроль действий преступных групп, работающих в сфере электронной
коммерции;
4.
Получение украденных данных и предупреждение мошеннических
операций по ним;
5.
Корреляция событий между собой.
2009 г.
Инцидентов - 246; Банков - 49; Клиентов - 246;
2010 г.
Инцидентов - 1689; Банков -135; Клиентов - 1689;
ИНФОРМАЦИЯ В ИНТЕРНЕТ ФОРУМАХ
«ЗАКАЗЫ»
ФИШИНГ
МОНИТОРИНГ
• СХОЖИЕ ДОМЕННЫЕ ИМЕНА
• РАССЫЛКИ (СПАМ, КЛАССИЧЕСКАЯ ПОЧТА, ТЕЛЕФОННЫЕ ЗВОНКИ)
ФИКСАЦИЯ
• ПОИСКОВЫЙ СПАМ – ВЫДАЧА В ПОИСКОВИКЕ
• ПОИСКОВОЕ ВРЕДОНОСНОЕ ПО – ЛОКАЛЬНАЯ ПОДМЕНА ВЫДАЧИ
ИНФОРМАЦИИ ИЗ ПОИСКОВЫХ СИСТЕМ
ОПОВЕЩЕНИЕ
ЛИКВИДАЦИЯ
• ВРЕДОНОСНОЕ ПО – ЗАМЕНА ФАЙЛА HOST И Т.П.
ВОЗВРАТ ДОМЕНА
БЛОКИРОВКА
РАССЛЕДОВАНИЕ
КОНТРОЛЬ И ЗАЩИТА ОТ DDOS
 Распределенная кооперативная система для расследования DDoS атак и
защиты;
 Информация для IPS в режиме реального времени о нахождении бот-машин в их
сетях;
 Информационный сайт StopDDOS.ru.
МЕЖДУНАРОДНОЕ ВЗАИМОДЕЙСТВИЕ
1.
Реагирование в 43 странах
2.
Обмен опытом и информацией о преступных группах и их составе
3.
Контроль перехода преступных групп с иностранных систем электронной
коммерции на российские
Киберпреступность в России
Внутренний фрод
Превентивные меры
Корректирующие меры
Внутренние проверки (расследования)
РЕАГИРОВАНИЕ СТАТИСТИКА ИНЦИДЕНТОВ
2009-2010
1000
931
900
800
700
586
600
500
2009
2010
400
300
213
200
124
100
30
72
60
92
0
НСД к информаци
Внутренний фрод
(ИТ системы)
Фишинг
DDoS (отказ в
обслуживании)
КРИМИНАЛИСТИКА (ЛАБОРАТОРИЯ)
СТАТИСТИКА 2009-2010
300
250
250
200
140
150
2009
100
95
80
40
50
13
26
35
0
Экспертиз для прав. Экспертиз для третьих
органов
лиц
Восстановлений
информации
Сбор информации с
обеспечением
юридической
значимости
2010
РЕАГИРОВАНИЕ
Сбор информации (доказательной базы)
Восстановление хронологии события (инцидента)
Установление причин возникновения инцидента
Формирование отчетных материалов
Формирование плана дальнейших мероприятий
КРИМИНАЛИСТИКА (ЛАБОРАТОРИЯ)
Исследование программного обеспечения
Различные виды экспертиз
Анализ достоверности и происхождения информации
Восстановление информации
Обеспечение юридической значимости
РАССЛЕДОВАНИЕ
Сбор необходимой информации
Документы для передачи в правоохранительные органы
Поддержка на этапе следственных мероприятий
Поддержка на этапе судебных мероприятий
Юридическое сопровождение
Киберпреступность в России
Внутренний фрод
Превентивные меры
Корректирующие меры
Внутренние проверки (расследования)
ИНСТРУМЕНТЫ, КОТОРЫЕ НЕОБХОДИМЫ
Организация процесса проведения
внутренних проверок и аудитов
Оптимизация потенциальных
каналов утечки информации и
контроль движения информации
Обеспечение целостности
программного обеспечения
Обеспечение строгого учета
сотрудников, работающих в
учетных системах
Мониторинг
эффективности
ОРГАНИЗАЦИЯ ВНУТРЕННИХ ПРОВЕРОК
Управление информационными потоками об инцидентах
Роли и ответственность
Фиксация информации об инцидентах
Организационно распорядительная документация
Вовлечение руководства и коммуникации для сотрудников
ИНФОРМАЦИОННЫЕ ПОТОКИ
• Несвоевременное поступление
информации;
• Искажение «адреса» при
поступлении информации.
Определение единой точки приема сообщений обо всех подозрительных активностях
РОЛИ И ОТВЕТСТВЕННОСТЬ
Электронная
коммерция
Финансы
• «Сдерживание» инцидента;
• Взаимодействие;
ИТ
Юридические
аспекты
• Коллегиальность решения???;
• Опросы сотрудников;
Трудовой
кодекс
• Применение санкций;
• Утверждение решения.
При реагировании на инцидент задействовано множество областей, что не
позволяет в полной мере решить все вопросы единолично
ФИКСАЦИЯ ИНФОРМАЦИИ
• ЗАЧЕМ ФИКСИРОВАТЬ???:
• Вовлечение руководства;
• Формирование отчетности и KPI;
• Анализ рисков;
• Планирование бюджета;
• Оценка эффективности.
Если в организации отсутствует процесс управления инцидентами и информация
об инцидентах не фиксируется, менеджмент понимает, что ИБ работает и
планирует работу на основании абстрактных данных
МИНИМУМ ДОКУМЕНТОВ
• сЛОЖно – от слова «Ложь».
• Регламент проверок (реагирования
на инциденты);
• Приказ на проведение проверки
(расследования);
• План проверки (реагирования);
• Заключение по результатам;
• Контроль выполнения.
Усложнение и «раздувание» ОРД приводит к сложности формализации задачи
и отсутствия оперативной реакции на инцидент
ДОКУМЕНТЫ – УПРАВЛЕНИЕ ИНЦИДЕНТАМИ
Регламент
•Утверждается
Президентом;
•Регламентирует
поступление
информации;
•Регламентирует
действия;
•Определяет
участников;
•Устанавливает сроки;
•Типизирует
отчетность.
Приказ о проведении
проверки
•Утверждается ТОР
менеджером
(Президентом);
•Вовлекает в процесс
руководство;
•Позволяет снизить
юридические риски;
•Показывает работу и
реальные факты.
План реагирования
(проверки)
•Утверждается лицом,
которому
делегированы
полномочия;
•Фиксирует основные
этапы работ;
•Устанавливает сроки.
Заключение
•Утверждается
Президентом ;
•Фиксирует ход и
результаты
проведения
мероприятия;
•Содержит
предложения по
снижению рисков и
принятию санкций;
•Согласуется
коллегиальным
органом,
включающим
сотрудников из
разных ОД*.
Коммуникация
•Формируется
документ для
оповещения
сотрудников
Организации;
•Повышает
компетенции;
•Показывает работу
ИБ;
•Визуализирует
контроли для
сотрудников;
•Обеспечивает работу
контрольных
процедур.
При разработке ОРД и внедрении процессов управления инцидентами необходимо
учитывать уровень зрелости и корпоративную культуру организации
* ОД - область деятельности
РУКОВОДСТВО И ПЕРСОНАЛ
Президент
Приказы, заключения, коммуникации
ТОР
менеджмент
«Средний»
менеджмент
Персонал
Заключения, коммуникации
Коммуникации
Работу нужно не только выполнять качественно, но и показывать результаты
своей работы
МИНИМИЗАЦИЯ СОБСТВЕННЫХ РИСКОВ
Предварительная
проверка
Проверка
• Изучение контрольной среды;
• План предварительной проверки;
• Проведение анализа
информации;
• Планирование результатов.
• Приказ о проведении проверки;
• План работ;
• Выполнение мероприятий в
полном объеме;
• Заключения для Руководства;
• Коммуникация;
• Контроль мероприятий по
снижению рисков.
Скрытый сбор информации;
Минимальный выход в
смежные области;
Работа с лояльными
сотрудниками.
Анонс во внешние среды
организации и руководству;
Работа с сотрудниками;
Формирование документов и
коммуникаций.
КОРРЕКТИРУЮЩИЕ ДЕЙСТВИЯ
ЗАКЛЮЧЕНИЕ
по результатам --------- проверки
по факту __________________________________________
На основании Приказа от __.__.__ № __-_____ Комиссией в составе:
______________________
______________________
______________________
На основании изложенного,
ПРЕДЛАГАЕМ:
________________________
________________________
Ход выполнения корректирующих действий, утвержденных руководством
должен контролироваться
КОММУНИКАЦИИ
ПОКАЗЫВАЕМ УЧАСТИЕ РУКОВОДСТВА В
ПРОЦЕССЕ
Информируем вас о том, что на основании Приказа Президента
Компании проведена проверка по факту нарушения правил
информационной безопасности.
ОПИСЫВАЕМ СИТУАЦИЮ
Используя
специализированное
программное
обеспечение,
один из сотрудников взломал пароль учетной записи своего коллеги
-
пользователя
корпоративной
сети
Компании.
Используя
полученный неправомерным способом пароль, сотрудник, получил
расширенные
привилегии
и
осуществлял
доступ
информационным ресурсам, запрещенным для него ранее.
к
ОТВЕТСТВЕННОСТЬ
По результатам проведенных проверочных мероприятий сотруднику
объявлен выговор.
Уважаемые сотрудники Компании, для обеспечения
противодействия несанкционированному доступу к
информационным ресурсам и ИТ сервисам, необходимо
неукоснительно соблюдать требования внутреннего нормативного
документа –
«________________________________________________________
_____________________________», а именно, пункта «__»,
предъявляющего требования к сложности пароля. Смену пароля
необходимо осуществлять раз в 30 дней.
ПОВЫШЕНИЕ КОМПЕТЕНЦИЙ
Напоминаем, что на автоматизированные рабочие станции
запрещено устанавливать приложения, не относящиеся к
обеспечению автоматизации трудовой деятельности. Изменение
конфигураций систем и приложений, обеспечивающих безопасность
автоматизированных рабочих станций, разрешается выполнять
только сотрудникам Департамента информационных технологий и
сотрудникам Отдела информационной безопасности.
COSO ICF*
• Изучение контрольной среды;
• Формализация процесса;
• Реагирование (проведение
внутренних расследований);
• Коммуникации;
• Минимизация рисков;
• Контроль работ по минимизации
рисков;
• Мониторинг эффективности.
Выстраивать обеспечивающие процессы желательно, используя
стандарты, понятные бизнесу
* The Committee of Sponsoring Organizations of the Treadway Commission (Internal Control Framework)
Литература: «Справочник по предупреждению и выявлению корпоративного
мошенничества» Джозеф Т. Уэллс (во взаимодействии с Ernst & Young и ACFE**)
**Association of Certified Fraud Examiners (ACFE) – международная ассоциация
дипломированных специалистов по расследованию мошенничеств.
УСПЕШНЫЕ КЕЙСЫ
•
•
•
•
DDoS
Ботнеты
Мошенничество в ДБО
Разработка
вредоносного ПО
• Взломы
• Фишинг
• Внутрикорпоративные
расследования
УСПЕШНЫЕ КЕЙСЫ (WINLOCK)
Мы помогли ОБЭП и Отделу К УСТМ г
Москвы найти и задержать банду
хакеров распространяющих вирусы
семейства Win Lock
Результат:
10 хакеров арестовано
Благодарность от УБЭП ГУВД
УСПЕШНЫЕ КЕЙСЫ «ДЕЛО ЛЕО КУВАЕВА»
Известный хакер Леонид Куваев,
бежавший из США в Россию арестован и
сейчас находится под следствием.
Результат:
Мера пресечения арест, ведется
следствие.
Благодарность от Microsoft
УСПЕШНЫЕ КЕЙСЫ «РЕЗУЛЬТАТЫ HONEYNET»
Превентивное обнаружение
скомпрометированных ключей клиентов
и своевременные коммуникации.
Результат:
Предотвращение противоправных
действий.
Благодарность от Россельхозбанка
Консалтинг
Превентивные меры
(мониторинг бренда)
Технические контроли
Защита от DDoS
Соответствие стандартам
Реагирование
Антивирусная защита
Экспертная поддержка
Экспертизы ПО,
криминалистика
Расследование
КОНТАКТНАЯ ИНФОРМАЦИЯ
Техническая поддержка продуктов ESET
Телефон: 8-800-200-01-57 (бесплатный по России)
e-mail: support@esetnod32.ru