доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не меняется в информационной безопасности
Signaler
Partager
•0 j'aime•420 vues
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не меняется в информационной безопасности
•0 j'aime•420 vues
Signaler
Partager
Télécharger pour lire hors ligne
Recommandé
Contenu connexe
Tendances
Tendances(20)
En vedette
En vedette(17)
Similaire à доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не меняется в информационной безопасности
Similaire à доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не меняется в информационной безопасности(20)
Plus de Expolink
Plus de Expolink(20)
доктор веб медведев вячеслав год прошел как сон пустой или почему ничего не меняется в информационной безопасности
- 1. Год прошел как сон пустой… или почему ничего не меняется в информационной безопасности Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 Вячеслав Медведев Доктор Веб ООО "Доктор Веб" +7(495)789-4587 +7(495)796-8992
- 2. Прошел год с нашей предыдущей встречи. Вышли новые приказы и стандарты по ИБ, отгремели атаки на банковскую сферу хакеров Украины, взломали твиттер Дмитрия Медведева… Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 2
- 3. Не дремали злоумышленники (которые давно уже не равны просто хакерам- маньякам) Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 3
- 4. • Троян-шифровальщик для шифрования файлов, хранящиеся в сетевых хранилищах производства компании Synology. http://news.drweb.com/show/?c=5&i=5890&lng=ru • Трояны для блокировки Android устройств и кражи с них денежных средств http://news.drweb.com/show/?c=5&i=5886&lng=ru http://news.drweb.com/show/?c=5&i=5815&lng=ru • Хакеры могут следить за пользователями, даже не расшифровывая трафик http://www.securitylab.ru/news/456716.php Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 4
- 5. Поменялось ли что-то к лучшему в статистике безопасности? Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 5
- 6. 6 • По сравнению с 2011–2012 гг. средний уровень защищенности сетевого периметра и внутренних сетей понизился. • Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация. Для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак • с 74 до 91% выросла доля систем, где оказалось возможным получение доступа во внутреннюю сеть. • Получение полного контроля над важными ресурсами из внутренней сети теперь возможно для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. В 71% случаев внутренний нарушитель может получить полный контроль над всей информационной инфраструктурой. Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014
- 7. 7 • В 67% компаний словарные пароли использовались для привилегированных учетных записей. • с 10 до 64% возросла доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра. • Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем. • В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные. Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014
- 8. Троян, предназначенный для удаления на инфицированном компьютере других вредоносных программ. http://news.drweb.com/show/?c=5&i=5813&lng=ru В этих условиях за чистотой в сети начинают следить уже вирусы Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 8
- 9. В чем причина подобного падения интереса к безопасности? Или проблема совсем в иной области? Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 9
- 10. Мы отвечаем за то, что мы выбираем или стоит ли верить моде? Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 10
- 11. Интеграция с корпоративными системами управления, использование в своих приложениях сторонних библиотек Интеграция с корпоративными системами управления позволяет, в частности, не переключаясь между интерфейсами систем управления, контролировать состояние всей сети. Но каждая система безопасности настолько надежна, насколько она себя контролирует. Примеры взлома защищенных систем (java, защищенные среды исполнения) постоянно освещаются в новостях. Полагаясь на систему управления, компоненты которой не защищены от модификации или подмены, администратор может в один прекрасный момент увидеть совсем не то, что происходит в сети. Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 11
- 12. А между прочим: Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы Приказ ФСТЭК России № 17 12
- 13. Использование в локальной сети ПО, имеющего известные уязвимости или ПО для которого нет средств защиты 13
- 14. Вирус AdThief заразил более 75 тыс. iOS-устройств http://www.anti-malware.ru/news/2014-08-21/14586 Гетерогенная среда создается путем применения различных типов информационных технологий с целью ограничения возможностей потенциальных нарушителей по реализации угроз безопасности информации (по несанкционированному доступу к информации, внедрению вредоносного программного обеспечения (компьютерных вирусов) и по организации вторжений (проведению компьютерных атак)). В информационной системе должно применяться прикладное и специальное программное обеспечение, имеющих возможность функционирования на различных типах операционных системах (независимое от вида операционной системы прикладное и специальное программное обеспечение). Приказ ФСТЭК России № 17 Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 14
- 15. Проактивные системы (обычного типа) Требуют наличия в базах данных всех профилей всех существующих в мире программ, что нереально – в том числе в связи с тем, что программы постоянно обновляются. Это приводит к тому, что у пользователя временами запрашивается разрешение на то или иное действие. И неверный ответ может привести к тяжелым последствиям. Таким образом, реальна атака на «приучение» пользователя отвечать «да» и последующее вредоносное действие. Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 15
- 16. Системы на основе контроля за изменениями, в том числе облачные Прорывная технология в момент возникновения, позволяющая сократить время проверки, сейчас не имеет смысла – контрольные суммы файлов нужно пересчитывать после каждого обновления, то есть примерно раз в час, что увеличивает торможение системы. В дополнение к этому облачные системы критичны к каналу доступа в Интернет. Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 16
- 17. Возможность внедрения вредоносных программ в легитимные загрузки – в том числе в подписанные исполняемые файлы, если проверка подписи не проводится перед их выполнением http://www.securitylab.ru/news/456834.php Во-первых, антивирусная защита поддерживается только для Windows. Для реализации безагентового сценария при виртуализации Linux/Unix/… придётся подождать VMware. Во- вторых, … не работает функция карантина для файлов и зараженных «виртуалок». Т.е. отловленного зловреда можно только убить, вылечить или протрубить сигнал сисадмину. В-третьих… Увы – всё это тоже особенности API от VMware. Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 17
- 18. Облачные антивирусы… Кто-кого обманывает или кто-то собирается отправлять конфиденциальные данные на проверку на чужие сервера? Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 18
- 19. Антиспам системы на основе байесовских сумм Могут быть доведены до 100-процентого обнаружения спама, но требуют постоянного обучения и используют внешние базы DNSBL – в связи с чем уязвимы к атакам на дискриминацию отправителя через внесение его в данные базы. Облачные системы антиспама также могут быть уязвимы к атакам на дискриминацию отправителя. Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 19
- 20. Блокирование сменных носителей на основе их идентификаторов Но сейчас все флешки выпускаются с одним идентификатором Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 20
- 21. Думаете это полный список ложных технологий, которые вам продают? • Виртуальные клавиатуры • Защищенные среды исполнения • Менеджеры паролей • Системы анализа уязвимостей • Программы, именующиеся себя Антируткитами и антиспуваре Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 21
- 22. Не все золото, что блестит Многие ранее реализованные подсистемы безопасности в силу современных угроз либо потеряли свою значимость, либо стали просто вредны Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 22
- 23. Антивирус обязан иметь систему самозащиты, не позволяющую неизвестной вредоносной программе нарушить нормальную работу антивируса нормально функционировать до поступления обновления, позволяющего пролечить заражение иметь систему сбора информации, позволяющую максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию лечить активные заражения Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 23
- 24. Обучение специалистов IT-специалисты могут получить подтвержденные «Доктор Веб» знания значительно быстрее и, что самое главное, совершенно бесплатно. Чтобы стать специалистом в администрировании программных продуктов Dr.Web, необходимо: 1. Зарегистрироваться на сайте training.drweb.com/external и получить доступ к «Личному кабинету»; 2. Самостоятельно изучить учебные материалы, которые находятся в «Личном кабинете» 3. Сдать соответствующий экзамен. В случае успешной сдачи экзамена соискатель получает электронный сертификат по выбранному направлению. Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 24
- 25. Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014 25
- 26. Вопросы? Благодарим за внимание! Желаем вам процветания и еще больших успехов! www.drweb.com Номер службы технической поддержки 8-800-333-7932 Запомнить просто! – возникла проблема – набери DRWEB! 8-800-33-DRWEB Г. ЕКАТЕРИНБУРГ 4 СЕНТЯБРЯ 2014
Notes de l'éditeur
- Так получилось, что в прошлый раз мы разговаривали на тему: Типичные ошибки или почему применение рекомендованных решений не решает проблем компании
- Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies Недостатки защиты сетевого периметра • В 9 из 10 систем любой внешний нарушитель, действующий со стороны сети Интернет, способен получить доступ к узлам внутренней сети. При этом в 55% случаев внешний злоумышленник может развить атаку и получить полный контроль над всей инфраструктурой компании. • В среднем для преодоления сетевого периметра внешнему атакующему требуется осуществить эксплуатацию двух различных уязвимостей, при этом для проведения атаки в 82% случаев достаточно иметь среднюю или низкую квалификацию. • В 40% случаев вектор проникновения во внутреннюю сеть основывается на слабости парольной защиты. Так же, как и в предыдущие два года, данная уязвимость является самой распространенной, она была обнаружена на сетевом периметре 82% исследованных систем, причем в каждой из этих систем словарные пароли присутствовали в том числе и в веб-приложениях. В 67% компаний словарные пароли использовались для привилегированных учетных записей. • В каждой третьей системе доступ во внутреннюю сеть осуществляется через уязвимости веб-приложений. Так, уязвимости типа «Загрузка произвольных файлов» и «Внедрение операторов SQL» встречаются в 55% систем. В целом уязвимости веб-приложений были обнаружены в 93% исследованных систем. • По сравнению с 2011–2012 гг. средний уровень защищенности сетевого периметра понизился. На 17% выросла доля систем, где оказалось возможным получение доступа во внутреннюю сеть (с 74 до 91%). Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация, преодоление периметра в среднем требует эксплуатации меньшего количества уязвимостей (2 против 3 в предыдущие два года). Сложившаяся картина свидетельствует о том, что используемые защитные меры развиваются медленнее современных методов атак и не могут обеспечить достаточно высокий уровень безопасности. Так, например, существенно возросла (с 10 до 64%) доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра. • Во всех исследованных системах непривилегированный внутренний нарушитель, находящийся в пользовательском сегменте сети, может так или иначе расширить свои привилегии и получить несанкционированный доступ к критически важным ресурсам. При этом в 71% случаев внутренний нарушитель может получить полный контроль над всей информаци- онной инфраструктурой организации. • Только в 17% случаев внутренний атакующий должен обладать высокой квалификацией для получения доступа к критическим ресурсам, тогда как в половине всех исследованных систем успешные атаки возможны со стороны любого неквалифицированного пользователя внутренней сети. В среднем при наличии доступа во внутреннюю сеть для контроля над критическими ресурсами злоумышленнику требуется эксплуатация 5 различных уязвимостей. • Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем. Следующие по распространенности — недостатки фильтрации и защиты служебных протоколов (ARP, STP, CDP и др.), приводящие к перехвату и перенаправлению трафика, и хранение важных данных в открытом виде. Эти уязвимости обнаружены в 67% систем. • Уровень защищенности внутренних сетей понизился по сравнению с 2011–2012 гг. Получение полного контроля над важными ресурсами из внутренней сети теперь оказалось возможным для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. Как и для атак со стороны внешнего злоумышленника, снизилось среднее количество уязвимостей, эксплуатация которых необходима для успешной атаки, — с 7 до 5. Требуемая квалификация злоумышленника также понизилась: для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак. В целом, несмотря на некоторые улучшения в отдельных областях (повысился, к примеру, уровень антивирусной защиты), применяемых мер защиты недостаточно для противодействия современным атакам. • В 66% случаев в результате оценки осведомленности пользователей в вопросах информационной безопасности были обнаружены те или иные недостатки. В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные. • В среднем каждый десятый пользователь осуществлял переход по предлагаемой ссылке, при этом 3% пользователей попытались вступить в диалог, а 4% испытуемых загрузили исполняемые файлы либо ввели свои учетные данные в предлагаемой форме аутентификации. • Уровень осведомленности сотрудников в вопросах информационной безопасности повысился. В 2013 году в каждой третьей системе уровень осведомленности был оценен как приемлемый.
- Уязвимость в графической библиотеке подвергает опасности приложения, созданные с помощью C++ Builder или Delphi http://www.securitylab.ru/news/456818.php Уязвимость в BlackBerry Z10 позволяла обойти аутентификацию http://www.securitylab.ru/news/456545.php Эксперты проверили 10 тысяч наиболее популярных приложений для ОС Android и выяснили, что большая их часть содержит критические ошибки безопасности - в основном бреши в шифровании и обработке сертификатов. Более 60% из проверенных программ оказались подвержены этим уязвимостям.Подробнее: http://www.securitylab.ru/news/456808.php http://www.securitylab.ru/news/456808.php
- ситуация требует кардинального изменения подхода к антивирусной защите: Используемое антивирусное решение должно иметь систему самозащиты, не позволяющую неизвестной вредоносной программе нарушить нормальную работу антивируса – используемое антивирусное решение должно нормально функционировать до поступления обновления, позволяющего пролечить заражение; Используемое антивирусное решение должно иметь систему сбора информации, позволяющую максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию. Должен быть исключен случай, когда в каждом случае заражения необходимую информацию нужно собирать вручную - в том числе и на удаленных рабочих станциях и серверах; Как система управления, так и система обновления антивирусного решения должны быть независимы от соответствующих механизмов, используемых в операционных системах – и включены в систему самозащиты антивируса, что позволяет исключить возможность перехвата системы обновления вредоносной программой; Система управления антивирусной защитой должна обеспечивать максимально быстрое получение обновлений защищаемыми рабочими станциями и серверами – в том числе по решению администратора в ущерб общей производительности защищаемой локальной сети. Минимизация времени получения обновления должна в том числе обеспечиваться минимизацией размера самих обновлений, а также постоянным соединением защищаемых рабочих станций и серверов с сервером обновлений; Используемое антивирусное решение должно уметь лечить не только поступающие (неактивные) вредоносные программы, но и уже запущенные – ранее не известные; Используемое антивирусное решение должно иметь возможность применения дополнительных (кроме сигнатурных и эвристических) механизмов для обнаружения неизвестных вредоносных программ. Такие механизмы как правило реализуются на уровне серверных систем защиты, что в свою очередь требует внедрения антивирусных решений на почтовых серверах и шлюзах. Так, например, внедрение защиты на уровне почтового сервера позволит не только более эффективно фильтровать почтовые сообщения, но и очищать почтовые базы от вирусов, неизвестных на момент попадания, что в свою очередь исключает их случайную отправку получателю. Также серверные решения для защиты почтовых серверов и шлюзовых решений позволяют реализовать фильтрацию по используемым форматам данных, предельным размерам файлов и другим критериям. Использование серверных решений необходимо так же в связи с требованиями СТР-К по организации безопасного взаимодействия по равнозащищенности всех мест, на которых производится обработка информации; Используемое антивирусное решение должно проверять все поступающие из локальной сети файлы до момента получения их используемыми приложениями, что исключает использование вредоносными приложениями неизвестных уязвимостей данных приложений; Используемое антивирусное решение должно дополняться: персональным брандмауэром, обеспечивающим невозможность сканирования локальной сети, а также защиту от внутрисетевых атак; системой ограничения доступа к сменным носителям и внутрисетевым ресурсам
- В онлайн-режиме ИТ-специалисты могут приобрести знания в следующих областях: * Администрирование Dr.Web Enterprise Security Suite * Администрирование Dr.Web для файловых серверов и рабочих станций Windows * Администрирование Dr.Web AV-Desk * Администрирование Dr.Web для MS Exchange Server Полученные знания позволят ИТ-специалисту эффективно управлять системой информационной безопасности, построенной на базе антивирусных продуктов Dr.Web.
- 8-800-333-7932 позволяет круглосуточно получать ответы на любые вопросы, связанные с использованием антивирусных продуктов Dr.Web, а также помогает разобраться в функциях и настройках программ. По номеру можно звонить как с мобильных, так и стационарных телефонов абсолютно бесплатно. Кстати, такой номер выбран не случайно! На цифровых кнопках телефонных аппаратов написан ряд букв, и это делает возможным записать номер как 8-800-33-DRWEB. Так что запомнить новый номер «Доктор Веб» очень просто.