«Доверяй, но проверяй!»: аудит информационной безопасности как неотъемлемая часть фронта борьбы с киберпреступностью

«Доверяй, но проверяй!»: аудит
информационной безопасности
как неотъемлемая часть фронта
борьбы с киберпреступностью
Антимонов Сергей Григорьевич
Председатель совета директоров
ЗАО «ДиалогНаука»
О компании «ДиалогНаука»
• ЗАО «ДиалогНаука» создано 31 января 1992 г.
Учредители – СП «Диалог» и Вычислительный центр РАН
• До этого 2 года (1990-1991) коллектив был известен как
Научный центр СП «Диалог» при Вычислительном центре РАН
• Дистрибуция программного и технического обеспечения
• Разработка и распространение антивирусов и других решений в
области информационной безопасности:
•
•
•
•
•
1990 – Aidstest
1991 – ADinf
1993 – ADinf Cure Module
1994 – Doctor Web
1995 – Антивирусный комплект DSAV (DialogueScience Anti-Virus)
• C 2004 г. компания занимается системной интеграцией,
консалтингом и дистрибуцией отечественных и зарубежных
решений в области информационной безопасности
План
• Междисциплинарный и комплексный подход к
противостоянию компьютерному злу
• Виды аудита информационной безопасности
• Аудит возможностей взлома защиты через
«удаленное воздействие» или «интерактивную
атаку» – тест на проникновение (penetration test)
• Аудит на соответствие Федеральному закону
«О персональных данных»
• Аудит наличия конфиденциальной информации
в сети Интернет при помощи средств
конкурентной разведки
Каким образом зловреды
проникают на компьютеры
(каналы атак)?
Источники вирусов 1996 1997 1998 1999 2000 2001 2002 2003
Вложения в электронные письма 9% 26% 32% 56% 87% 83% 86% 88%
Файлы, загружаемые из Интернета 10% 16% 9% 11% 1% 13% 11% 16%
Просмотр веб-сайтов 0% 5% 2% 3% 0% 7% 4% 4%
"Не знаю" 15% 7% 5% 9% 2% 1% 1% 3%
Другие пути 0% 5% 1% 1% 1% 2% 3% 11%
Дистрибутив ПО 0% 3% 3% 0% 1% 2% 0% 0%
Дискеты 71% 84% 64% 27% 7% 1% 0% 0%
(Данные ICSA Labs)
Сейчас активно используются атаки:
- через спамовые электронные сообщения
- через зараженные веб-сайты
- через зараженные USB-диски и другие мобильные устройства
Повсеместно используются методы СОЦИАЛЬНОЙ ИНЖЕНЕРИИ!
Этапы «жизненного цикла»
внедрения вредоносного
кода или рассылки спама
1. Заказчик дает задание на совершение какого-то
киберпреступления
2. Исполнители разрабатывают вредоносные коды и
схему атаки, например, рассылку спамерских писем
3. Транспортировка электронных писем через цепочку
интернет-провайдеров, или размещение вредоносного
кода на некоторые веб-сайты в сети Интернет
4. Перемещение электронных писем или вредоносного
кода в рамках какой-либо корпоративной сети
5. В итоге конечный пользователь открывает
незапрашиваемое спамовое письмо или посещает вебсайт, и получает на свой ПК вредоносный код
Разные элементы, участки
«театра военных действий» в
борьбе с компьютерным злом
Государство
Заказчики
Исполнители
Интернет-провайдеры
электронной почты
или
хостинга вебсайтов
Локальная сеть
компании
или организации
Получатели писем
Бизне
с
Граждане
Фонд от компании Microsoft
в 5 млн. долл. для борьбы
с киберпреступниками
• Ноябрь 2003 года – компания Майкрософт создает фонд в
размере 5 млн. долл. для борьбы с вирусописателями
• Первоначально Microsoft выделила 2 раза по 250 тыс. долл. – за
информацию, которая приведет к аресту и осуждению создателей и
распространителей вирусов Blaster-A и SoBig-F
• Затем в начале 2004 года компания SCO выделила 250 тыс. долл. и
Microsoft еще 250 тыс. долл. – за данные про распространителей и
создателей вирусов MyDoom-A и MyDoom-B соответственно
• Итого в сумме была «приготовлена» сумма в размере 1 млн. долл.
• Май 2004 года – в Германии арестовали Свена Яшана, создателя
вирусов Sasser и Netsky по наводке соучеников в школе
• В начале 2005 года в США сумма награды за голову террориста №1
бин Ладена была увеличена с 25 млн. долл. до 50 млн. долл.
• В начале 2009 г. – Microsoft предложила награду в 250 тыс. долл. за
информацию, которая приведет к аресту и осуждению
распространителей нового и очень опасного червя Conficker (Kido)
Междисциплинарный и
комплексный подход к
защите информации
НАПРАВЛЕНИЯ И МЕРЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Нормативно-методическое
обеспечение
информационной безопасности
Кадровое обеспечение
информационной безопасности
Технологическое обеспечение
информационной безопасности
Реализация комплексного
подхода к защите
информации
Аудит информационной
безопасности
Формирование
требований к КСИБ
Разработка
технорабочего проекта
Пусконаладочные
работы
Обучение персонала
компании
Техническое
сопровождение КСИБ
Варианты проведения
аудита информационной
безопасности
•
•
•
•
•
•
•
Инструментальный анализ защищённости
«Удаленный аудит» систем безопасности через тест на
проникновение (penetration test)
Аудит систем безопасности на соответствие
международному стандарту ISO 27001 (ISO17799)
Аудит систем безопасности на соответствие
Федеральному закону «О персональных данных»
Оценка соответствия стандарту Банка России
Аудит наличия конфиденциальной информации в
открытом доступе в сети Интернет
Комплексный аудит информационной безопасности (ИБ)
Тест на проникновение
(pentest) – «внешний аудит»
систем безопасности
•
•
•
•
•
Позволяет получить независимую оценку систем
защиты глазами потенциального злоумышленника
Рассматривает угрозу промышленного шпионажа,
выполняемого профессиональным взломщиком
Атака осуществляется через внешний периметр сети
В качестве исходных данных используются:
• IP-адреса внешних серверов
Собираемая информация:
• топология сети
• используемые ОС и версии ПО
• запущенные сервисы
• открытые порты, конфигурации и т.д.
Уровни информированности
со стороны служб
безопасности и взломщика
Черная Шляпа
(Black Hat)
Черный Ящик
(Black Box)
Белая Шляпа
(White Hat)
Белый Ящик
(White Box)
Как готовится
«интерактивная атака» или
«удаленное воздействие»?
•
•
•
•
•
Сбор информации о компании и ее сотрудниках из
открытых источников
Анализ этой информации
Сбор информации о компании и ее сотрудниках из
закрытых источников на основе уже полученных данных
Разработка сценариев проникновения
Реализация некоторых из сценариев
Практика проведения тестов на проникновение говорит, что
наибольший успех приносит «социальная инженерия».
Сотрудники – самое слабое звено в системах защиты!
Пример письма-атаки. Адреса
электронной почты собраны
через сайт «Одноклассники»
Что сделали сотрудники,
получившие это письмо?
Спросило не
вирус ли?
1
Не запустило,
человек
7
Запустило,
человек
20
0
5
10
15
20
25
Юридические аспекты
•
•
•
Подписывается официальный договор, в котором
определяются область деятельности и
ответственность исполнителя и заказчика
Задается регламент, устанавливающий порядок и
рамки проведения работ
Оформляется подписка исполнителя (NDA) о
неразглашении информации, полученной в ходе
выполнения работ по проникновению
Аудит на соответствие
ФЗ «О персональных
данных» включает
•
•
•
•
Определение перечня персональных данных (ПДн),
подлежащих защите, и перечня информационных
систем, обрабатывающих ПДн
Выявление степени участия персонала в обработке
ПДн, характер взаимодействия персонала между собой
Анализ внутренних нормативных документов,
регламентирующих порядок обработки и защиты ПДн
Определение используемых средств защиты ПДн и
оценка их соответствия требованиям нормативных
документов РФ
Обычно в рамках данного аудита проводятся также:
- «инструментальный анализ защищённости» и
- «тест на проникновение»
Структура отчета по аудиту
на соответствие ФЗ
«О персональных данных»
•
•
•
•
•
•
•
•
Границы проведения аудита безопасности
Описание информационных систем ПДн заказчика
Методы и средства проведения аудита
Результаты классификации инфор-х систем ПДн
Частная модель угроз безопасности ПДн
Требования по защите ПДн
Рекомендации по улучшению системы защиты ПДн
План мероприятий по созданию системы защиты ПДн
Аудит наличия
конфиденциальной
информации в сети Интернет
•
•
•
•
•
Независимый и документированный поиск конфиденциальных
данных в Интернете при помощи средств конкурентной разведки
В отличие от промышленного шпионажа, используются открытые
источники информации, расположенные в сети Интернет
Поиск осуществляется на форумах, в блогах, электронных СМИ,
гостевых книгах, досках объявлений, дневниках, конференциях
Так на веб-сайте некоторой компании может оказаться, что:
• Яндекс видит 20 тыс. http-страниц, а
• Google видит 100 тыс. http-страниц и 200 тыс. ftp-страниц
По результатам аудита выдается отчёт, содержащий:
• указание области поиска
• какая конфиденциальная информация была найдена
• где именно была найдена эта информация
• рекомендации по устранению (удалению) найденной
конфиденциальной информации в сети Интернет
Кто может выступать в
качестве заказчика такого
вида аудита?
•
Компании, организации
•
•
Города, регионы
•
•
важная конфиденциальная информация может быть
«слита» в сеть Интернет кем-то из бывших или нынешних
сотрудников, или кем-то из конкурентов; или может быть
просто «забыта» или плохо «спрятана» самой компанией
они заинтересованы в поиске и удалении из сети Интернет
такой информации, которая могла бы отпугнуть
потенциальных инвесторов. Цель – повышение
инвестиционной привлекательности региона или города
Физические лица
•
•
владельцы прав на интеллектуальную собственность
бизнесмены, политические или общественные деятели и др.
Мониторинг сети Интернет –
поиск конфиденциальной
информации
•
•
•
Используемый программный комплекс Avalanche
предоставляет возможности по созданию
«специализированных» Интернет-поисковиков,
настроенных под потребности заказчика
Такого рода специализированный поисковик создает и
запускает программы-«роботы», которые на регулярной
временной основе просматривают заданные участки в
сети Интернет и собирают соответствующую
информацию по указанному в их задании профилю
В итоге создается веб-сайт, в котором по заданному
временному графику и в консолидированном виде
найденная в Интернете информация раскладывается по
«умным» папкам
Шпионский скандал в
Израиле в 2005-2006 гг.
•
•
•
•
•
Находящиеся в Лондоне израильтяне 41-летний
программист и его 28-летняя жена создавали троянские
программы по заказу сыскных агентств из Израиля
Троянские программы, не обнаруживаемые разными
антивирусами, шпионили за фирмами-конкурентами
В частности, операторы связи Cellcom и Pele-Phone с
помощью этого метода шпионили за своим конкурентом
– компанией Partner, израильским филиалом Orange
Среди 18 арестованных: 9 человек – менеджеры фирм и
9 человек – это сотрудники частных сыскных агентств
Началось все с заявления в полицию известного в
Израиле писателя, у которого с ПК похитили рукопись
нового романа и главы из романа выложили в Интернете
Как часто проводятся аудиты
систем информационной
безопасности?
•
•
•
Определяется политикой информационной
безопасности, принятой в компании или организации
Обычно эксперты рекомендуют проводить:
• ежеквартально «инструментальный аудит»
• ежегодно «тест на проникновение»
Стандарт PCI DSS (Payment Card Industry Data Security
Standard) рекомендует – каждый год проводить аудит
«тест на проникновение»
Заключение
• Истоки нынешнего мирового финансового кризиса многие
эксперты видят именно в недостаточном контроле за
действиями банков и других финансовых структур
• Обилие компьютерного зла в современном мире также
связано с излишними свободами в киберпространстве
• Зачастую и на уровне компании мало контроля за тем, что
именно разрешено или не разрешено делать сотрудникам
на компьютере, с электронной почтой или в Интернете
• Свобода – это великая сила, способная и «горы свернуть»,
но также везде нам нужны и разумные меры контроля
Аудит информационной безопасности – это обязательный
элемент эффективных систем защиты информации. И
составная часть фронта борьбы с киберпреступностью!
Спасибо за внимание!
Антимонов Сергей Григорьевич
Председатель совета директоров
ЗАО «ДиалогНаука»
Sergei.Antimonov@DialogNauka.ru
Тел.: (+7 495) 980-67-76, д.115
www.DialogNauka.ru