Лаборатория Касперского. Борис Шалопин. "Тренды, проблематика и стратегия про...
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не меняется в информационной безопасности
1. Год прошел как сон пустой…
или почему ничего не меняется в
информационной безопасности
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
Вячеслав Медведев
Доктор Веб
ООО "Доктор Веб"
+7(495)789-4587
+7(495)796-8992
2. Прошел год с нашей предыдущей встречи. Вышли новые
приказы и стандарты по ИБ, отгремели атаки на
банковскую сферу хакеров Украины, взломали твиттер
Дмитрия Медведева…
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
2
3. Не дремали злоумышленники (которые давно уже не
равны просто хакерам- маньякам)
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
3
4. • Троян-шифровальщик для шифрования файлов, хранящиеся в
сетевых хранилищах производства компании Synology.
http://news.drweb.com/show/?c=5&i=5890&lng=ru
• Трояны для блокировки Android устройств и кражи с них
денежных средств
http://news.drweb.com/show/?c=5&i=5886&lng=ru
http://news.drweb.com/show/?c=5&i=5815&lng=ru
• Хакеры могут следить за пользователями, даже не
расшифровывая трафик
http://www.securitylab.ru/news/456716.php
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
4
5. Поменялось ли что-то к лучшему в статистике
безопасности?
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
5
6. 6
• По сравнению с 2011–2012 гг. средний уровень защищенности
сетевого периметра и внутренних сетей понизился.
• Для проведения атак внешнему злоумышленнику теперь
требуется более низкая квалификация. Для 50% атак достаточно
низкой квалификации, тогда как ранее такая квалификация была
достаточной для 40% атак
• с 74 до 91% выросла доля систем, где оказалось возможным
получение доступа во внутреннюю сеть.
• Получение полного контроля над важными ресурсами из
внутренней сети теперь возможно для 100% рассмотренных
систем, тогда как ранее подобный результат был получен в 84%
случаев. В 71% случаев внутренний нарушитель может
получить полный контроль над всей информационной
инфраструктурой.
Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
7. 7
• В 67% компаний словарные пароли использовались для
привилегированных учетных записей.
• с 10 до 64% возросла доля систем, где не установлены
актуальные обновления безопасности на узлах сетевого
периметра.
• Наиболее распространенной уязвимостью ресурсов внутренней
сети по-прежнему является использование слабых паролей,
которые встречаются в 92% систем.
• В каждой третьей системе уровень осведомленности
пользователей был оценен как низкий, в этих системах свыше
20% адресатов рассылки, эмулирующей фишинг, перешли по
предложенным ссылкам и запустили предложенный файл или
ввели свои учетные данные.
Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
8. Троян, предназначенный для удаления на
инфицированном компьютере других
вредоносных программ.
http://news.drweb.com/show/?c=5&i=5813&lng=ru
В этих условиях за чистотой в сети начинают следить уже вирусы
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
8
9. В чем причина подобного падения интереса к
безопасности? Или проблема совсем в иной области?
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
9
10. Мы отвечаем за то, что мы выбираем или стоит ли верить
моде?
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
10
11. Интеграция с корпоративными системами управления,
использование в своих приложениях сторонних библиотек
Интеграция с корпоративными системами управления позволяет, в
частности, не переключаясь между интерфейсами систем управления,
контролировать состояние всей сети.
Но каждая система безопасности настолько надежна, насколько она себя
контролирует. Примеры взлома защищенных систем (java, защищенные
среды исполнения) постоянно освещаются в новостях. Полагаясь на
систему управления, компоненты которой не защищены от модификации
или подмены, администратор может в один прекрасный момент увидеть
совсем не то, что происходит в сети.
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
11
12. А между прочим:
Разделение в информационной системе функций по управлению
(администрированию) информационной системой, управлению
(администрированию) системой защиты информации, функций по
обработке информации и иных функций информационной системы
Приказ ФСТЭК России № 17
12
13. Использование в локальной сети ПО, имеющего известные
уязвимости или ПО для которого нет средств защиты
13
14. Вирус AdThief заразил более 75 тыс. iOS-устройств
http://www.anti-malware.ru/news/2014-08-21/14586
Гетерогенная среда создается путем применения различных типов
информационных технологий с целью ограничения возможностей
потенциальных нарушителей по реализации угроз безопасности
информации (по несанкционированному доступу к информации,
внедрению вредоносного программного обеспечения (компьютерных
вирусов) и по организации вторжений (проведению компьютерных атак)).
В информационной системе должно применяться прикладное и
специальное программное обеспечение, имеющих возможность
функционирования на различных типах операционных системах
(независимое от вида операционной системы прикладное и специальное
программное обеспечение).
Приказ ФСТЭК России № 17
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
14
15. Проактивные системы (обычного типа)
Требуют наличия в базах данных всех профилей всех
существующих в мире программ, что нереально – в том числе в
связи с тем, что программы постоянно обновляются. Это приводит
к тому, что у пользователя временами запрашивается разрешение
на то или иное действие. И неверный ответ может привести к
тяжелым последствиям. Таким образом, реальна атака на
«приучение» пользователя отвечать «да» и последующее
вредоносное действие.
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
15
16. Системы на основе контроля за изменениями, в том числе
облачные
Прорывная технология в момент возникновения, позволяющая
сократить время проверки, сейчас не имеет смысла – контрольные
суммы файлов нужно пересчитывать после каждого обновления, то
есть примерно раз в час, что увеличивает торможение системы.
В дополнение к этому облачные системы критичны к каналу
доступа в Интернет.
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
16
17. Возможность внедрения вредоносных программ в легитимные
загрузки – в том числе в подписанные исполняемые файлы, если
проверка подписи не проводится перед их выполнением
http://www.securitylab.ru/news/456834.php
Во-первых, антивирусная защита поддерживается только для
Windows. Для реализации безагентового сценария при
виртуализации Linux/Unix/… придётся подождать VMware. Во-
вторых, … не работает функция карантина для файлов и
зараженных «виртуалок». Т.е. отловленного зловреда можно только
убить, вылечить или протрубить сигнал сисадмину. В-третьих…
Увы – всё это тоже особенности API от VMware.
Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
17
18. Облачные антивирусы…
Кто-кого обманывает или кто-то собирается отправлять
конфиденциальные данные на проверку на чужие сервера?
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
18
19. Антиспам системы на основе байесовских сумм
Могут быть доведены до 100-процентого обнаружения спама, но
требуют постоянного обучения и используют внешние базы
DNSBL – в связи с чем уязвимы к атакам на дискриминацию
отправителя через внесение его в данные базы.
Облачные системы антиспама также могут быть уязвимы к атакам
на дискриминацию отправителя.
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
19
20. Блокирование сменных носителей на основе их идентификаторов
Но сейчас все флешки выпускаются с одним идентификатором
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
20
21. Думаете это полный список ложных технологий, которые
вам продают?
• Виртуальные клавиатуры
• Защищенные среды исполнения
• Менеджеры паролей
• Системы анализа уязвимостей
• Программы, именующиеся себя Антируткитами и
антиспуваре
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
21
22. Не все золото, что блестит
Многие ранее реализованные подсистемы безопасности в силу
современных угроз либо потеряли свою значимость, либо стали
просто вредны
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
22
23. Антивирус обязан
иметь систему самозащиты, не позволяющую неизвестной вредоносной
программе нарушить нормальную работу антивируса
нормально функционировать до поступления обновления, позволяющего
пролечить заражение
иметь систему сбора информации, позволяющую максимально быстро
передавать в антивирусную лабораторию всю необходимую для решения
проблемы информацию
лечить активные заражения
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
23
24. Обучение специалистов
IT-специалисты могут получить подтвержденные
«Доктор Веб» знания значительно быстрее и, что
самое главное, совершенно бесплатно.
Чтобы стать специалистом в администрировании
программных продуктов Dr.Web, необходимо:
1. Зарегистрироваться на сайте training.drweb.com/external и
получить доступ к «Личному кабинету»;
2. Самостоятельно изучить учебные материалы, которые
находятся в «Личном кабинете»
3. Сдать соответствующий экзамен.
В случае успешной сдачи экзамена соискатель
получает электронный сертификат по выбранному
направлению.
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
24
26. Вопросы?
Благодарим за внимание!
Желаем вам процветания и еще больших успехов!
www.drweb.com
Номер службы технической поддержки
8-800-333-7932
Запомнить просто! – возникла проблема – набери DRWEB!
8-800-33-DRWEB
Г. ЕКАТЕРИНБУРГ
4 СЕНТЯБРЯ 2014
Notes de l'éditeur
Так получилось, что в прошлый раз мы разговаривали на тему:
Типичные ошибки или почему применение рекомендованных решений не решает проблем компании
Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies
Недостатки защиты сетевого периметра
• В 9 из 10 систем любой внешний нарушитель, действующий со стороны сети Интернет, способен получить доступ к узлам внутренней сети. При этом в 55% случаев внешний злоумышленник может развить атаку и получить полный контроль над всей инфраструктурой компании.
• В среднем для преодоления сетевого периметра внешнему атакующему требуется осуществить эксплуатацию двух различных уязвимостей, при этом для проведения атаки в 82% случаев достаточно иметь среднюю или низкую квалификацию.
• В 40% случаев вектор проникновения во внутреннюю сеть основывается на слабости парольной защиты. Так же, как и в предыдущие два года, данная уязвимость является самой распространенной, она была обнаружена на сетевом периметре 82% исследованных систем, причем в каждой из этих систем словарные пароли присутствовали в том числе и в веб-приложениях.
В 67% компаний словарные пароли использовались для привилегированных учетных записей.
• В каждой третьей системе доступ во внутреннюю сеть осуществляется через уязвимости веб-приложений. Так, уязвимости типа «Загрузка произвольных файлов» и «Внедрение операторов SQL» встречаются в 55% систем. В целом уязвимости веб-приложений были обнаружены в 93% исследованных систем.
• По сравнению с 2011–2012 гг. средний уровень защищенности сетевого периметра понизился. На 17% выросла доля систем, где оказалось возможным получение доступа во внутреннюю сеть (с 74 до 91%). Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация, преодоление периметра в среднем требует эксплуатации меньшего количества уязвимостей (2 против 3 в предыдущие два года). Сложившаяся картина свидетельствует о том, что используемые защитные меры развиваются
медленнее современных методов атак и не могут обеспечить достаточно высокий уровень безопасности. Так, например, существенно возросла (с 10 до 64%) доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра.
• Во всех исследованных системах непривилегированный внутренний нарушитель, находящийся в пользовательском сегменте сети, может так или иначе расширить свои привилегии
и получить несанкционированный доступ к критически важным ресурсам. При этом в 71% случаев внутренний нарушитель может получить полный контроль над всей информаци-
онной инфраструктурой организации.
• Только в 17% случаев внутренний атакующий должен обладать высокой квалификацией для получения доступа к критическим ресурсам, тогда как в половине всех исследованных систем успешные атаки возможны со стороны любого неквалифицированного пользователя внутренней сети. В среднем при наличии доступа во внутреннюю сеть для контроля над критическими ресурсами злоумышленнику требуется эксплуатация 5 различных уязвимостей.
• Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем. Следующие по
распространенности — недостатки фильтрации и защиты служебных протоколов (ARP, STP, CDP и др.), приводящие к перехвату и перенаправлению трафика, и хранение важных данных в открытом виде. Эти уязвимости обнаружены в 67% систем.
• Уровень защищенности внутренних сетей понизился по сравнению с 2011–2012 гг. Получение полного контроля над важными ресурсами из внутренней сети теперь оказалось возможным для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. Как и для атак со стороны внешнего злоумышленника, снизилось среднее количество уязвимостей, эксплуатация которых необходима для успешной атаки, — с 7 до 5.
Требуемая квалификация злоумышленника также понизилась: для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак. В целом, несмотря на некоторые улучшения в отдельных областях (повысился, к примеру, уровень антивирусной защиты), применяемых мер защиты недостаточно для противодействия современным атакам.
• В 66% случаев в результате оценки осведомленности пользователей в вопросах информационной безопасности были обнаружены те или иные недостатки. В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные.
• В среднем каждый десятый пользователь осуществлял переход по предлагаемой ссылке, при этом 3% пользователей попытались вступить в диалог, а 4% испытуемых загрузили исполняемые файлы либо ввели свои учетные данные в предлагаемой форме аутентификации.
• Уровень осведомленности сотрудников в вопросах информационной безопасности повысился. В 2013 году в каждой третьей системе уровень осведомленности был оценен как приемлемый.
Уязвимость в графической библиотеке подвергает опасности приложения, созданные с помощью C++ Builder или Delphi
http://www.securitylab.ru/news/456818.php
Уязвимость в BlackBerry Z10 позволяла обойти аутентификацию
http://www.securitylab.ru/news/456545.php
Эксперты проверили 10 тысяч наиболее популярных приложений для ОС Android и выяснили, что большая их часть содержит критические ошибки безопасности - в основном бреши в шифровании и обработке сертификатов. Более 60% из проверенных программ оказались подвержены этим уязвимостям.Подробнее: http://www.securitylab.ru/news/456808.php
http://www.securitylab.ru/news/456808.php
ситуация требует кардинального изменения подхода к антивирусной защите:
Используемое антивирусное решение должно иметь систему самозащиты, не позволяющую неизвестной вредоносной программе нарушить нормальную работу антивируса – используемое антивирусное решение должно нормально функционировать до поступления обновления, позволяющего пролечить заражение;
Используемое антивирусное решение должно иметь систему сбора информации, позволяющую максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию. Должен быть исключен случай, когда в каждом случае заражения необходимую информацию нужно собирать вручную - в том числе и на удаленных рабочих станциях и серверах;
Как система управления, так и система обновления антивирусного решения должны быть независимы от соответствующих механизмов, используемых в операционных системах – и включены в систему самозащиты антивируса, что позволяет исключить возможность перехвата системы обновления вредоносной программой;
Система управления антивирусной защитой должна обеспечивать максимально быстрое получение обновлений защищаемыми рабочими станциями и серверами – в том числе по решению администратора в ущерб общей производительности защищаемой локальной сети. Минимизация времени получения обновления должна в том числе обеспечиваться минимизацией размера самих обновлений, а также постоянным соединением защищаемых рабочих станций и серверов с сервером обновлений;
Используемое антивирусное решение должно уметь лечить не только поступающие (неактивные) вредоносные программы, но и уже запущенные – ранее не известные;
Используемое антивирусное решение должно иметь возможность применения дополнительных (кроме сигнатурных и эвристических) механизмов для обнаружения неизвестных вредоносных программ. Такие механизмы как правило реализуются на уровне серверных систем защиты, что в свою очередь требует внедрения антивирусных решений на почтовых серверах и шлюзах. Так, например, внедрение защиты на уровне почтового сервера позволит не только более эффективно фильтровать почтовые сообщения, но и очищать почтовые базы от вирусов, неизвестных на момент попадания, что в свою очередь исключает их случайную отправку получателю. Также серверные решения для защиты почтовых серверов и шлюзовых решений позволяют реализовать фильтрацию по используемым форматам данных, предельным размерам файлов и другим критериям.
Использование серверных решений необходимо так же в связи с требованиями СТР-К по организации безопасного взаимодействия по равнозащищенности всех мест, на которых производится обработка информации;
Используемое антивирусное решение должно проверять все поступающие из локальной сети файлы до момента получения их используемыми приложениями, что исключает использование вредоносными приложениями неизвестных уязвимостей данных приложений;
Используемое антивирусное решение должно дополняться:
персональным брандмауэром, обеспечивающим невозможность сканирования локальной сети, а также защиту от внутрисетевых атак;
системой ограничения доступа к сменным носителям и внутрисетевым ресурсам
В онлайн-режиме ИТ-специалисты могут приобрести знания в следующих областях:
* Администрирование Dr.Web Enterprise Security Suite
* Администрирование Dr.Web для файловых серверов и рабочих станций Windows
* Администрирование Dr.Web AV-Desk
* Администрирование Dr.Web для MS Exchange Server
Полученные знания позволят ИТ-специалисту эффективно управлять системой информационной безопасности, построенной на базе антивирусных продуктов Dr.Web.
8-800-333-7932 позволяет круглосуточно получать ответы на любые вопросы, связанные с использованием антивирусных продуктов Dr.Web, а также помогает разобраться в функциях и настройках программ. По номеру можно звонить как с мобильных, так и стационарных телефонов абсолютно бесплатно.
Кстати, такой номер выбран не случайно! На цифровых кнопках телефонных аппаратов написан ряд букв, и это делает возможным записать номер как 8-800-33-DRWEB. Так что запомнить новый номер «Доктор Веб» очень просто.
