SlideShare une entreprise Scribd logo

Модель угроз биометрических систем

Aleksey Lukatskiy
Aleksey Lukatskiy

Презентация с конференции AntiFraud Russia 2016, в которой я рассказываю о разных угрозах для современных и будущих систем биометрической идентификации и аутентификации

Technologie
1  sur  42
Télécharger pour lire hors ligne
Бизнес-консультант по безопасности Модель угроз биометрии Алексей Лукацкий 1 декабря 2016 г.
Рост числа разговоров о биометрии в банках
• ГОСТ Р ИСО/МЭК 19794 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными» ГОСТ Р ИСО/МЭК 19794-х-200х • ГОСТ Р ИСО/МЭК 19794-1-2008 – Структура • ГОСТ Р ИСО/МЭК 19794-2-2005 – отпечатки пальцев • ISOIEC 19794-3-2006 – отпечатки пальцев • ГОСТ Р ИСО/МЭК 19794-4-2006 – отпечатки пальцев • ГОСТ Р ИСО/МЭК 19794-5-2006 – изображения лица • ГОСТ Р ИСО/МЭК 19794-6-2006 – радужная оболочка глаза • ГОСТ Р ИСО/МЭК 19794-7-2009 – динамика подписи • ISOIEC 19794-8-2006 – отпечатки пальцев • ГОСТ Р ИСО/МЭК 19794-9-2009 – сосудистое русло • ISOIEC 19794-10-2007 – геометрия руки
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что может стать идентификатором?
Что обычно применятся финансовыми организациями? • Голос • Геометрия руки • Геометрия лица • Отпечатки пальцев • Строение сосудов кисти (рисунок вен) В зависимости от точки аутентификации (банкомат, смартфон, Web-сайт, клиент-банк, Call Center и др.) применяются статические или динамические характеристики
Мы не будем оценивать эффективность средств биометрии по FAR (False Acceptance Rate) и FRR(False Rejection Rate), ограничившись далее только моделью угроз
Взлом «расчленением» • Отрезанный палец • Как поддерживать температуру тела? • Отрезанная рука • Как поддерживать кровообращение? • Вырванный глаз
Взлом дублированием • Муляжи пальцев • Для борьбы со сканерами - заполнение муляжа теплой водой и подача электричества для эмуляции «жизни» • Записанный голос • 3D-изображения людей • Люди-имитаторы • Клонирование • Перспектива будущего
Аудиоредактор Adobe VoCo • Аудиоредактор Adobe VoCo (пока проект) позволяет «произнести» все, что угодно, голосом человека, которого предварительно «прослушивали» в течение 20 минут и более
3D-перчатка • Учение из MIT в октябре 2016-го года смогли создать на 3D-принтере копию человеческой руки, воспроизведя все 10 отпечатков пальцев • «Рука» протестирована на различных сканерах, включая смартфоны • В июле 2016-го те же ученые создали 2D-копию пальца преступника и разблокировали его iPhone
А вот <…> скопировать нельзя! Ой ли? • Считается, что скопировать и продублировать энцефалограмму, кардиограмму, ДНК, рисунок вен и т.п. нельзя и они представляют высокозащищенный способ идентификации и аутентификации человека, который с течением времени станет существенно дешевле и получит повсеместное применение • Обычно, такие заявления делаются без серьезного моделирования угроз
Что общего в разных системах биометрии? Сбор данных Обработка сигнала Сравнение Принятие решения Верификация (приложение) Хранение Доказательство идентичности Регистрация биометрии 1 2 3 4 5 6 7 8 9 10 11 12 13 Взлом «расчленением» и дублированием - это только один из 13-ти векторов атак
Модель угроз для процесса обработки Элемент системы Угроза Мера нейтрализации Сбор данных (1) Подмена Обнаружение «живости» Запрос / ответ Использование недоверенного устройства (подмена устройства) Взаимная аутентификация Перегрузка устройства (выведение из строя) Устройства в защищенном исполнении Обработка сигнала (3) Внедрение данных нарушителя Проверенные алгоритмы Замена компонентов «Подписанные» компоненты
Как определить «живость»? • Рандомизация • Случайные фразы, случайные комбинации жестов, случайные комбинации пальцев… • Комбинация биометрических методов • Анализ динамики • Оценка времени отклика между запросом озвучивания фразу и ее озвучиванием, анализ микро-движения…
Артрит – это угроза или нет?
Модель угроз для процесса обработки Элемент системы Угроза Мера нейтрализации Сравнение (5) Внедрение данных нарушителя Проверенные алгоритмы Замена компонентов «Подписанные» компоненты Угадывание/перебор (FAR атака) Проверенные алгоритмы Многофакторность / комбинация биометрических методов Манипуляция результатами (рейтингом) сравнения Защита от отладки Hill-climbing (отправка сгенерированных шаблонов и, на основе полученного вердикта от модуля сравнения, генерация модифицированных шаблонов для прохождения успешной проверки) Защищенный канал Доверенный сенсор (взаимная аутентификация)
Модель угроз для процесса обработки Элемент системы Угроза Мера нейтрализации Принятие решения (9) Hill-climbing Защищенный канал Доверенный сенсор (взаимная аутентификация) Манипуляция настройками пороговых значений Контроль доступа Защита данных Манипуляция принятием решения Защита от отладки Замена компонентов «Подписанные» компоненты Приложение (верификация) (11) Вредоносный код Соответствие стандартам (BioAPI, CBEFF) Подписание кода
Модель угроз для процесса хранения Элемент системы Угроза Мера нейтрализации Хранение (7) Компрометация базы данных (чтение биометрического шаблона, замена шаблона, изменение связки) Защита сервера Контроль доступа к базе данных Шифрование и электронная подпись биометрического шаблона Хранение шаблонов на смарт- картах или иных устройствах
Модель угроз для межпроцессных стадий Элемент системы Угроза Мера нейтрализации Передача «сырых» данных (2) и передача обработанных данных (4) Перехват Защищенный канал передачи Повтор Взаимная аутентификация Подписанные ЭП данные Использование временных меток / Time-to-Live «Человек посередине» Защищенный канал Привязка биометрии к сертификату открытого ключа Подбор / перебор Таймауты / блокировки
Модель угроз для межпроцессных стадий Элемент системы Угроза Мера нейтрализации Поиск биометрического шаблона (6) Перехват Защищенный канал передачи Повтор Взаимная аутентификация Подписанные ЭП данные Использование временных меток / Time-to-Live «Человек посередине» Защищенный канал Привязка биометрии к сертификату открытого ключа
Модель угроз для межпроцессных стадий Элемент системы Угроза Мера нейтрализации Передача результата сравнения (8) Hill-climbing Защищенный канал Доверенный сенсор (взаимная аутентификация) Манипуляция результатами (рейтингом) сравнения Защищенный канал Взаимная аутентификация Замена компонентов «Подписанные» компоненты Взаимодействие с приложением (верификатором) Перехват Защищенный канал Манипуляция принятым решением по сравнению Защищенный канал
Краткие выводы • Биометрия – не панацея • Помимо эксплуатационных характеристик, показателей FAR/FRR, необходимо строить и модель угроз выбранному решению по биометрии • Традиционные механизмы защиты (взаимную аутентификацию, защищенные каналы и т.п.) никто не отменял
Биометрия Технологии меняются и дешевеют быстро, а внедрение биометрии на тысячи и десятки тысяч устройств (например, банкоматов) может занять длительное время
Биометрия 3D-принтер Stratasys Objet350 Connex стоимостью 250 тысяч долларов США
И не забывайте, что биометрия может иметь отношение к биометрическим ПДн, обработка которых требует письменного согласия субъекта ПДн!
Спасибо alukatsk@cisco.com

Recommandé

Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Aleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
Aleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
 

Recommandé

Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?Какими функциями должен обладать современный NGFW?
Какими функциями должен обладать современный NGFW?
Aleksey Lukatskiy
 
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегииБорьба с вредоносным кодом: от базовых мер к целостной стратегии
Борьба с вредоносным кодом: от базовых мер к целостной стратегии
Aleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Aleksey Lukatskiy
 
Тенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организацийТенденции мира информационной безопасности для финансовых организаций
Тенденции мира информационной безопасности для финансовых организаций
Aleksey Lukatskiy
 
Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018Тенденции мирового рынка кибербезопасности 2018
Тенденции мирового рынка кибербезопасности 2018
Aleksey Lukatskiy
 
Некоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOCНекоторые примеры метрик для измерения эффективности SOC
Некоторые примеры метрик для измерения эффективности SOC
Aleksey Lukatskiy
 
Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?Откуда и какие брать данные Threat Intelligence для SOC?
Откуда и какие брать данные Threat Intelligence для SOC?
Aleksey Lukatskiy
 
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информацииПроблемы безопасной разработки и поддержки импортных средств защиты информации
Проблемы безопасной разработки и поддержки импортных средств защиты информации
Aleksey Lukatskiy
 
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Aleksey Lukatskiy
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
Aleksey Lukatskiy
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
Aleksey Lukatskiy
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
Aleksey Lukatskiy
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
Aleksey Lukatskiy
 
Информационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниИнформационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизни
Aleksey Lukatskiy
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
Aleksey Lukatskiy
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
Aleksey Lukatskiy
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
Aleksey Lukatskiy
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
Aleksey Lukatskiy
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
Aleksey Lukatskiy
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Expolink
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
Aleksey Lukatskiy
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
Aleksey Lukatskiy
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
Aleksey Lukatskiy
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Expolink
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
Aleksey Lukatskiy
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
Айдар Гилязов
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
Aleksey Lukatskiy
 
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Aleksey Lukatskiy
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
Aleksey Lukatskiy
 

Contenu connexe

Tendances

Tendances (20)

Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалииКибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
Кибербезопасность Industrial IoT: мировые тенденции и российскиие реалии
 
Принцип Парето в информационной безопасности
Принцип Парето в информационной безопасностиПринцип Парето в информационной безопасности
Принцип Парето в информационной безопасности
 
Нюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOCНюансы функционирования и эксплуатации Cisco SOC
Нюансы функционирования и эксплуатации Cisco SOC
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Анатомия внешней атаки
Анатомия внешней атакиАнатомия внешней атаки
Анатомия внешней атаки
 
Кибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещейКибербезопасность промышленного Интернета вещей
Кибербезопасность промышленного Интернета вещей
 
Информационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизниИнформационная безопасность в повседневной жизни
Информационная безопасность в повседневной жизни
 
Борьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологийБорьба с внутренними угрозами. Обзор технологий
Борьба с внутренними угрозами. Обзор технологий
 
DNS как улика
DNS как уликаDNS как улика
DNS как улика
 
Особенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугрозОсобенности построения национальных центров мониторинга киберугроз
Особенности построения национальных центров мониторинга киберугроз
 
Обнаружение необнаруживаемого
Обнаружение необнаруживаемогоОбнаружение необнаруживаемого
Обнаружение необнаруживаемого
 
Борьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкцияБорьба с фишингом. Пошаговая инструкция
Борьба с фишингом. Пошаговая инструкция
 
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
Cisco. Лукацкий Алексей. "Тенденции мира ИБ"
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
SOC vs SIEM
SOC vs SIEMSOC vs SIEM
SOC vs SIEM
 
Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025Ландшафт технологий кибербезопасности 2025
Ландшафт технологий кибербезопасности 2025
 
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
Trend Micro. Карен Карагедян. "Ransomware: платить нельзя защититься"
 
Применение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасностиПрименение блокчейна в кибербезопасности
Применение блокчейна в кибербезопасности
 
Модель угроз биометрии
Модель угроз биометрииМодель угроз биометрии
Модель угроз биометрии
 
Тенденции кибербезопасности
Тенденции кибербезопасностиТенденции кибербезопасности
Тенденции кибербезопасности
 

En vedette

Целенаправленные угрозы
Целенаправленные угрозыЦеленаправленные угрозы
Целенаправленные угрозы
Aleksey Lukatskiy
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
Aleksey Lukatskiy
 

En vedette (20)

Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФКакой могла бы быть дорожная карта повышения защищенности КИИ в РФ
Какой могла бы быть дорожная карта повышения защищенности КИИ в РФ
 
Крупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 годКрупные мероприятия по информационной безопасности на 2017 год
Крупные мероприятия по информационной безопасности на 2017 год
 
Мастер-класс по моделированию угроз
Мастер-класс по моделированию угрозМастер-класс по моделированию угроз
Мастер-класс по моделированию угроз
 
Разработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходовРазработка средств защиты в России и на Западе: разность подходов
Разработка средств защиты в России и на Западе: разность подходов
 
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банкаФинансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
 
пр про SOC для ФСТЭК
пр про SOC для ФСТЭКпр про SOC для ФСТЭК
пр про SOC для ФСТЭК
 
ИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле AgileИБ-игры для взрослых в стиле Agile
ИБ-игры для взрослых в стиле Agile
 
Атрибуция кибератак
Атрибуция кибератакАтрибуция кибератак
Атрибуция кибератак
 
Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?Что движет кибербезопасностью на вашем предприятии?
Что движет кибербезопасностью на вашем предприятии?
 
Криптография в Интернете вещей
Криптография в Интернете вещейКриптография в Интернете вещей
Криптография в Интернете вещей
 
пр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБпр Спроси эксперта про прогнозы ИБ
пр Спроси эксперта про прогнозы ИБ
 
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
Емельянников_Привлечь обработчиков и выполнить закон 12.02.2015
 
Применение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данныхПрименение криптографии для обезличивания персональных данных
Применение криптографии для обезличивания персональных данных
 
анализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДнанализ соответствия ТБ и зПДн
анализ соответствия ТБ и зПДн
 
Анализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасностиАнализ тенденций рынка информационной безопасности
Анализ тенденций рынка информационной безопасности
 
Уральский форум за 15 минут
Уральский форум за 15 минутУральский форум за 15 минут
Уральский форум за 15 минут
 
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИББолевые точки корпоративной сети: взгляд не со стороны службы ИБ
Болевые точки корпоративной сети: взгляд не со стороны службы ИБ
 
Целенаправленные угрозы
Целенаправленные угрозыЦеленаправленные угрозы
Целенаправленные угрозы
 
Курс по законодательству в области ИБ
Курс по законодательству в области ИБКурс по законодательству в области ИБ
Курс по законодательству в области ИБ
 
Последние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасностиПоследние законодательные инициативы по информационной безопасности
Последние законодательные инициативы по информационной безопасности
 

Similaire à Модель угроз биометрических систем

Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...
Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...
Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...
Expolink
 
диссертационная презентация
диссертационная презентациядиссертационная презентация
диссертационная презентация
Son Ingvar
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
Expolink
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Expolink
 
Защита от внутренних угроз и утечки информации
Защита от внутренних угроз и утечки информацииЗащита от внутренних угроз и утечки информации
Защита от внутренних угроз и утечки информации
Nick Turunov
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
qqlan
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Expolink
 

Similaire à Модель угроз биометрических систем (20)

Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
пр общая проблематика Dlp (прозоров)
пр общая проблематика Dlp (прозоров)пр общая проблематика Dlp (прозоров)
пр общая проблематика Dlp (прозоров)
 
Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...
Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...
Oracle. Игорь Минеев. "Противодействие угрозам безопасности - Oracle Manageme...
 
Презентация Алексея Закревского, ЦРТ
Презентация Алексея Закревского, ЦРТПрезентация Алексея Закревского, ЦРТ
Презентация Алексея Закревского, ЦРТ
 
Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014Cisco strategy and vision of security 24 04_2014
Cisco strategy and vision of security 24 04_2014
 
Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект Кибербезопасность и искусственный интеллект
Кибербезопасность и искусственный интеллект
 
диссертационная презентация
диссертационная презентациядиссертационная презентация
диссертационная презентация
 
Device Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данныхDevice Lock - Построение эффективной системы защиты от утечек данных
Device Lock - Построение эффективной системы защиты от утечек данных
 
Device lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данныхDevice lock: построение эффективной системы от утечек данных
Device lock: построение эффективной системы от утечек данных
 
Device lock (code-ib пермь)
Device lock (code-ib пермь) Device lock (code-ib пермь)
Device lock (code-ib пермь)
 
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
Cisco. Алексей Лукацкий. "Внутренние угрозы. Обзор технологий противодействия"
 
Защита от внутренних угроз и утечки информации
Защита от внутренних угроз и утечки информацииЗащита от внутренних угроз и утечки информации
Защита от внутренних угроз и утечки информации
 
Sergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real wordSergey Gordeychik, Application Security in real word
Sergey Gordeychik, Application Security in real word
 
Предотвращение утечки конфиденциальной информации в электронном документообороте
Предотвращение утечки конфиденциальной информации в электронном документооборотеПредотвращение утечки конфиденциальной информации в электронном документообороте
Предотвращение утечки конфиденциальной информации в электронном документообороте
 
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
Смарт Лайн Инк. Сергей Вахонин: "Построение эффективной DLP системы. DeviceLock"
 
Clever_data_splunk_overview_rus
Clever_data_splunk_overview_rusClever_data_splunk_overview_rus
Clever_data_splunk_overview_rus
 
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
 
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
Сергей Вахонин (Device Lock) - DLP-технологии. Построение эффективной системы...
 
Безопасность для сайта
Безопасность для сайтаБезопасность для сайта
Безопасность для сайта
 
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
Доктор Веб. Вячеслав Медведев. "Как избавиться от шифровальщиков"
 

Plus de Aleksey Lukatskiy

Plus de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
17 способов опозорить ваш МСЭ и проникнуть в корпоративную сеть
 
От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0От SOC v0.1 к SOC v2.0
От SOC v0.1 к SOC v2.0
 

Модель угроз биометрических систем

  • 1. Бизнес-консультант по безопасности Модель угроз биометрии Алексей Лукацкий 1 декабря 2016 г.
  • 2. Рост числа разговоров о биометрии в банках
  • 3. • ГОСТ Р ИСО/МЭК 19794 «Автоматическая идентификация. Идентификация биометрическая. Форматы обмена биометрическими данными» ГОСТ Р ИСО/МЭК 19794-х-200х • ГОСТ Р ИСО/МЭК 19794-1-2008 – Структура • ГОСТ Р ИСО/МЭК 19794-2-2005 – отпечатки пальцев • ISOIEC 19794-3-2006 – отпечатки пальцев • ГОСТ Р ИСО/МЭК 19794-4-2006 – отпечатки пальцев • ГОСТ Р ИСО/МЭК 19794-5-2006 – изображения лица • ГОСТ Р ИСО/МЭК 19794-6-2006 – радужная оболочка глаза • ГОСТ Р ИСО/МЭК 19794-7-2009 – динамика подписи • ISOIEC 19794-8-2006 – отпечатки пальцев • ГОСТ Р ИСО/МЭК 19794-9-2009 – сосудистое русло • ISOIEC 19794-10-2007 – геометрия руки
  • 4. Что может стать идентификатором?
  • 5. Что может стать идентификатором?
  • 6. Что может стать идентификатором?
  • 7. Что может стать идентификатором?
  • 8. Что может стать идентификатором?
  • 9. Что может стать идентификатором?
  • 10. Что может стать идентификатором?
  • 11. Что может стать идентификатором?
  • 12. Что может стать идентификатором?
  • 13. Что может стать идентификатором?
  • 14. Что может стать идентификатором?
  • 15. Что может стать идентификатором?
  • 16. Что может стать идентификатором?
  • 17. Что может стать идентификатором?
  • 18. Что может стать идентификатором?
  • 19. Что может стать идентификатором?
  • 20. Что может стать идентификатором?
  • 21. Что обычно применятся финансовыми организациями? • Голос • Геометрия руки • Геометрия лица • Отпечатки пальцев • Строение сосудов кисти (рисунок вен) В зависимости от точки аутентификации (банкомат, смартфон, Web-сайт, клиент-банк, Call Center и др.) применяются статические или динамические характеристики
  • 22. Мы не будем оценивать эффективность средств биометрии по FAR (False Acceptance Rate) и FRR(False Rejection Rate), ограничившись далее только моделью угроз
  • 23. Взлом «расчленением» • Отрезанный палец • Как поддерживать температуру тела? • Отрезанная рука • Как поддерживать кровообращение? • Вырванный глаз
  • 24. Взлом дублированием • Муляжи пальцев • Для борьбы со сканерами - заполнение муляжа теплой водой и подача электричества для эмуляции «жизни» • Записанный голос • 3D-изображения людей • Люди-имитаторы • Клонирование • Перспектива будущего
  • 25. Аудиоредактор Adobe VoCo • Аудиоредактор Adobe VoCo (пока проект) позволяет «произнести» все, что угодно, голосом человека, которого предварительно «прослушивали» в течение 20 минут и более
  • 26. 3D-перчатка • Учение из MIT в октябре 2016-го года смогли создать на 3D-принтере копию человеческой руки, воспроизведя все 10 отпечатков пальцев • «Рука» протестирована на различных сканерах, включая смартфоны • В июле 2016-го те же ученые создали 2D-копию пальца преступника и разблокировали его iPhone
  • 27. А вот <…> скопировать нельзя! Ой ли? • Считается, что скопировать и продублировать энцефалограмму, кардиограмму, ДНК, рисунок вен и т.п. нельзя и они представляют высокозащищенный способ идентификации и аутентификации человека, который с течением времени станет существенно дешевле и получит повсеместное применение • Обычно, такие заявления делаются без серьезного моделирования угроз
  • 28. Что общего в разных системах биометрии? Сбор данных Обработка сигнала Сравнение Принятие решения Верификация (приложение) Хранение Доказательство идентичности Регистрация биометрии 1 2 3 4 5 6 7 8 9 10 11 12 13 Взлом «расчленением» и дублированием - это только один из 13-ти векторов атак
  • 29. Модель угроз для процесса обработки Элемент системы Угроза Мера нейтрализации Сбор данных (1) Подмена Обнаружение «живости» Запрос / ответ Использование недоверенного устройства (подмена устройства) Взаимная аутентификация Перегрузка устройства (выведение из строя) Устройства в защищенном исполнении Обработка сигнала (3) Внедрение данных нарушителя Проверенные алгоритмы Замена компонентов «Подписанные» компоненты
  • 30. Как определить «живость»? • Рандомизация • Случайные фразы, случайные комбинации жестов, случайные комбинации пальцев… • Комбинация биометрических методов • Анализ динамики • Оценка времени отклика между запросом озвучивания фразу и ее озвучиванием, анализ микро-движения…
  • 31. Артрит – это угроза или нет?
  • 32. Модель угроз для процесса обработки Элемент системы Угроза Мера нейтрализации Сравнение (5) Внедрение данных нарушителя Проверенные алгоритмы Замена компонентов «Подписанные» компоненты Угадывание/перебор (FAR атака) Проверенные алгоритмы Многофакторность / комбинация биометрических методов Манипуляция результатами (рейтингом) сравнения Защита от отладки Hill-climbing (отправка сгенерированных шаблонов и, на основе полученного вердикта от модуля сравнения, генерация модифицированных шаблонов для прохождения успешной проверки) Защищенный канал Доверенный сенсор (взаимная аутентификация)
  • 33. Модель угроз для процесса обработки Элемент системы Угроза Мера нейтрализации Принятие решения (9) Hill-climbing Защищенный канал Доверенный сенсор (взаимная аутентификация) Манипуляция настройками пороговых значений Контроль доступа Защита данных Манипуляция принятием решения Защита от отладки Замена компонентов «Подписанные» компоненты Приложение (верификация) (11) Вредоносный код Соответствие стандартам (BioAPI, CBEFF) Подписание кода
  • 34. Модель угроз для процесса хранения Элемент системы Угроза Мера нейтрализации Хранение (7) Компрометация базы данных (чтение биометрического шаблона, замена шаблона, изменение связки) Защита сервера Контроль доступа к базе данных Шифрование и электронная подпись биометрического шаблона Хранение шаблонов на смарт- картах или иных устройствах
  • 35. Модель угроз для межпроцессных стадий Элемент системы Угроза Мера нейтрализации Передача «сырых» данных (2) и передача обработанных данных (4) Перехват Защищенный канал передачи Повтор Взаимная аутентификация Подписанные ЭП данные Использование временных меток / Time-to-Live «Человек посередине» Защищенный канал Привязка биометрии к сертификату открытого ключа Подбор / перебор Таймауты / блокировки
  • 36. Модель угроз для межпроцессных стадий Элемент системы Угроза Мера нейтрализации Поиск биометрического шаблона (6) Перехват Защищенный канал передачи Повтор Взаимная аутентификация Подписанные ЭП данные Использование временных меток / Time-to-Live «Человек посередине» Защищенный канал Привязка биометрии к сертификату открытого ключа
  • 37. Модель угроз для межпроцессных стадий Элемент системы Угроза Мера нейтрализации Передача результата сравнения (8) Hill-climbing Защищенный канал Доверенный сенсор (взаимная аутентификация) Манипуляция результатами (рейтингом) сравнения Защищенный канал Взаимная аутентификация Замена компонентов «Подписанные» компоненты Взаимодействие с приложением (верификатором) Перехват Защищенный канал Манипуляция принятым решением по сравнению Защищенный канал
  • 38. Краткие выводы • Биометрия – не панацея • Помимо эксплуатационных характеристик, показателей FAR/FRR, необходимо строить и модель угроз выбранному решению по биометрии • Традиционные механизмы защиты (взаимную аутентификацию, защищенные каналы и т.п.) никто не отменял
  • 39. Биометрия Технологии меняются и дешевеют быстро, а внедрение биометрии на тысячи и десятки тысяч устройств (например, банкоматов) может занять длительное время
  • 41. И не забывайте, что биометрия может иметь отношение к биометрическим ПДн, обработка которых требует письменного согласия субъекта ПДн!