`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Лучшая защита — информированность

+22
голоса

Предоставить максимально возможную информацию о положении дел в области информационной безопасности — такова была цель Всеукраинской конференции по информационной безопасности (UA.SC), организованной компанией Integrity Vision.

Несмотря на то что конференция состоялась только второй раз, она по праву претендует стать одним из самых масштабных мероприятий по ИБ в Украине. Конференция собрала 470 участников и была поддержана 15 компаниями-партнерами, среди которых Cisco, IBM, Check Point, Bakotech, De Novo, Qualys, Symantec.

Лучшая защита — информированность

В своем приветственном слове директор Integrity Vision Олег Половинко обозначил пять основных тенденций в области ИБ. Так, изменяется организационная структура и специализация сотрудников ИБ. В этой сфере не только нулевая безработица, но подготовленных специалистов-аналитиков просто не хватает. Возникает вопрос, как вообще выходить из этой ситуации? По мнению выступающего, эту задачу может решить ИИ и машинное обучение. Облачные сервисы уже получили признание и распространение, и как результат этого возникают проблемы безопасности в облаке. Здесь одна из трудностей — линия разграничения ответственности провайдера и клиента. В компаниях усиливается тенденция перевода внимания с защиты на предотвращение. Поэтому решения, нацеленные на то, чтобы выполнять предиктивный анализ и предсказывать вероятные цели атак, получают все большее распространение. Всеобщая цифровизация, в частности, мобилизация и IoT, требует нового поколения средств информационной защиты. Далее, обеспечение безопасности приложений и данных постепенно перемещается на разработчиков. Наконец, очередная большая вещь — Blockchain. Все верят в то, что Blockchain безопасен. Однако это мнение можно подвергнуть сомнению.

Лучшая защита — информированность

Олег Половинко: «все большее распространение получают решения, нацеленные на то, чтобы выполнять предиктивный анализ и предсказывать вероятные цели атак»

В заключение директор Integrity Vision отметил, что тематика докладов подбиралась в соответствии с обозначенными тенденциями.

Структурно конференция состояла из пленарной сессии и двух параллельных потоков — делового и технического. Суммарно были сделаны 29 докладов, некоторые из которых представлены ниже.

Информацией о том, что происходило в последние несколько лет в области ИБ, и видением современных угроз компанией Check Point поделился ведущий аналитик Ор Эшед (Or Eshed).

Текущий год был насыщен событиями как в мире, так и в Украине. Самым интересным за первое полугодие было увеличение количества атак программами-вымогателями и вредоносным ПО, при этом последнее совмещалось с рекламой. Если рассмотреть атаки на мобильные устройства, банки и атаки посредством программ-вымогателей, то их распределение по регионам было соответственно следующим: обе Америки — 19%, 26% и 55%; Африк, Европа и Россия — 16%, 28% и 56%; Азия и Австралия — 32%, 34% и 34%.

Лучшая защита — информированность

Ор Эшед: «Самым интересным за первое полугодие было увеличение количества атак программами-вымогателями и вредоносным ПО, при этом последнее совмещалось с рекламой»

Что касается Украины, то в последние несколько месяцев было слишком много таких атак, чтобы рассказать обо всех. Основными были Petya, банковские троянские программы (Trickbot, Bancos, Ramnit), черви (Conficker), вымогатели (Locky,Globelmposter) и криптомайнеры, атакующие веб-сайты. Атаки на банки возросли не только в Украине, но и по всему миру. В мировой статистике кибератак первые три позиции занимают RoughTed (23%), Fireball (19,7%) и Kelihos (10,4%).

В то время как хакеры используют известные инструменты для атак, государства разрабатывают собственные программы для достижения конкретных целей. Если говорить об APT, то это очень мощный инструмент. Это кибероружие, которое направлено на определенную цель. Но попадая в руки злоумышленником, оно может быть использовано против любой организации. Именно это было зафиксировано в 2017 г. Примером являются WannaCry и Petya.

Как эту ситуацию видит Check Point? Все началось в апреле, когда произошла утечка кибероружия из NSA. Оно попало в открытый доступ в из-за действий группы ShadowBrokers. И через месяц, в начале мая, появился червь-вымогатель WannaCry. Он был эффективен не с точки зрения бизнеса, а как средство, нарушающее работу других компаний. В конце июня шифровальщик Petya массово атаковал компьютеры в Украине. Были задеты и другие страны. Все началось с цепочки поставщиков, и распространение вируса происходило от организации к организации. Эта массовая атака не была бы так успешна, если бы своевременно пронимались меры по обеспечению защиты. Ведь в марте Microsoft выпустила соответствующую заплатку.

Лучшая защита — информированность

Сегодня наблюдается тенденция стирания границ между рекламой и вредоносным кодом. Примером может служить вирус Fireball, который направлен на атаку браузеров. Для атаки применялись известные методы и ПО Alexa, которое маркетологи используют для анализа рынка. Всего в мире в корпоративных сетях были заражены 20% компьютеров. Кстати, Check Point нашла источник — это была китайская компания, и злоумышленник был арестован.

Докладчик завершил выступление замечанием о том, что сейчас очень активно используется скрытая добыча крипотовалюты (mining), так называемые CryptoMiners, осуществляющие это через браузеры.

Традиционные методы управления угрозами на основе брандмауэров, IDS/IPS и SIEM, которые в типичном случае включали исследование после получения предупреждения о потенциальной угрозе или инцидента, вытесняются новым методом, который получил название «охота за угрозами» (Threat Hunting). О нем рассказал управляющий директор по Восточной Европе, Кавказу и Центральной Азии Павел Сотников.

Охота за угрозами — это управляемый людьми, проактивный и итеративный поиск по сетям, оконечным точкам или наборам данных для обнаружения вредоносных, подозрительных или рискованных действий, которые избежали обнаружения существующими автоматизированными инструментами. Это не одноразовая активность — необходимо выстроить регулярный или хотя бы повторяющийся процесс.

Лучшая защита — информированность

Павел Сотников: «Охота за угрозами — это управляемый людьми, проактивный и итеративный поиск по сетям, оконечным точкам или наборам данных для обнаружения вредоносного ПО, подозрительных или рискованных действий, которые избежали обнаружения существующими автоматизированными инструментами»

Причина появления этого метода была вызвана длительным временем, которое проходило от момента взлома до момента обнаружения.

Процесс охоты за угрозами включает четыре фазы. Основной является фаза создания гипотез. Они должны основываться на анализе поступающих от всех объектов данных и оценке угроз и уязвимостей. Затем наступает очередь исследования с помощью имеющихся инструментов и техник. Оно базируется на анализе сети и хостов и логическом анализе. Третья фаза включает формирование новых паттернов угроз. Она включает обнаружение вторжений и ответ, а также анализ дерева атаки. Наконец информирование и улучшенная аналитика. В эту фазу входят разработка автоматизации методов охоты и улучшение защиты.

Затем докладчик привел пример создания гипотезы и предложил участникам проверить ее, возвратившись на работу. Нужно создать три списка IP-соединений: (1) внутренний IP с самым большим количеством внешних соединений, (2) внутренний IP с самыми длинными внешними соединениями и (3) внутренний IP, с которого посылается наибольшее количество данных наружу. Если один и тот же IP-адрес встретиться хотя бы в двух списках, то существует большая вероятность, что этот компьютер заражен.

Охота на угрозы базируется на трех источниках данных: данные из сети (всевозможные log-файлы), данные от оконечных точек (КС файлов, изменение записей в реестре и т. п.) и данные от устройств безопасности (log-файлы). Методология охоты должна включать выбор модели атаки. Это может быть Lockheed Martin Cyber Kill Chain или Mitre или какая-нибудь другая. Модель описывает, через какие фазы проходит атака. Нужно также сформировать гипотезу, с какой целью будет производиться атака, составить список возможных уязвимостей (открытые порты, слабые пароли, неустановленные заплатки на серверах) и отобразить их на критические компоненты инфраструктуры.

Для определение подозрительной активности компания создала на базе Qualys Cloud Platform сервис Qualys Indication of Compromise (IOC), с помощью которого можно идентифицировать заражение вредоносным кодом, определить индикатор активности, в целом, предоставить полную информацию по активности хостов. Модуль поиска индикаторов компрометации разработан потому, что антивирусное ПО не справляется с обнаружением современных угроз. Кроме этого, не у всех есть достаточные ресурсы для расследования инцидентов. Модуль базируется на агенте, который устанавливается на всех компьютерах и работает постоянно. Он собирает информацию о процессах сетевой активности по каждому компьютеру и хранит ее нужное время. Эта информация может быть использована для поиска уязвимостей и скомпрометированных объектов.

С помощью Qualys IOC можно решить основные четыре задачи охоты на угрозы. Это верификация информации с помощью сторонних источников, нахождение подозрительной активности, определение сетевой активности хостов и детектирование семейств неизвестного вредоносного кода.

Тему влияния международных отраслевых стандартов на уровень ИБ поднял в своем выступлении директор Integrity Vision Олег Половинко. В качестве примера он рассмотрел три метода обеспечения ИБ в организации.

После массовой атаки шифровальщика Petya ИТ-отделы и руководство компаний в той или иной мере активизировались. Большинство начало быстро закрывать имеющиеся дыры в защите, обновляя установленное ПО. Это быстрый и «эффективный» метод заплаток. Другие вспомнили о требованиях регулятора и запустили процесс их выполнения. Базовым стандартом по ИБ является ISO 27000-003:2013. В нем 12 разделов охватывают порядка 39 ключевых элементов и 133 средства управления (контроля). Разделы включают такие пункты, как оценка и обработка рисков, политики безопасности, управление активами, физическая безопасность и безопасность окружения и ряд других. Для выполнения этих требований необходимы значительные людские ресурсы. В то же время описанные в ISO 27000-003:2013 задачи отражают верхний уровень архитектуры системы ИБ. Это не практический документ, который может взять специалист по ИБ и начать его внедрять. Он показывает, как нужно выстроить систему в организации. Если посмотреть на график роста количества внедрений стандарта в мировых компаниях, то, начиная с 2006 г. (5000 компаний), он был практически линейным с небольшим всплеском в 2015 г. до 27500. При этом компании не могут получить сертификат, что они стандартизированы, они могут получить только сертификат, что система менеджмента компании сертифицирована по стандарту ISO 27000.

Организации, которые имеют дело с платежными картами и персональными данными, обязаны внедрить стандарт PCI DSS. Он содержит 3 раздела, 12 требований и 228 контролей безопасности и поэтому является более практичным, чем предыдущий. Среди требований — неиспользование паролей по умолчанию, шифрование данных держателей карт, регулярное обновление антивирусного ПО, регулярное тестирование систем и процессов обеспечения ИБ.

Есть стандарт NIST 800-53, разработанный для федеральных органов США. В него включены 17 разделов, три уровня зрелости и до 170 контролей безопасности. Три уровня зрелости позволяют использовать стандарт для бизнеса разного масштаба.

Что общего между этими стандартами? Если рассмотреть конкретные контроли безопасности, то они пересекаются друг с другом в разных стандартах, то есть, в принципе, одинаковые.

Однако предпочтительнее комплексный подход. Он базируется на трех требованиях к данным: они должны быть конфиденциальны ©, целостны (I) и доступны (A). При построении системы ИБ на основе C-I-A прежде всего организация должна оценить риски. Без модели рисков, разработанной совместно с бизнесом, нельзя посчитать эффективность ИБ. При идентификации рисков за каждым из них обязательно должен закрепляться владелец. Таким образом, ИБ будет строиться не снизу, а сверху.

Многие компании не переходят в облако из соображений безопасности. О том, как обеспечивается безопасность в облаке De Novo и выгодна ли она, рассказал директор по развитию бизнеса Евгений Осинский. По его словам, он попытался в своем выступлении ответить на самые распространенные вопросы заказчиков о безопасности в облачных средах. Принципиальным отличием облака De Novo от хорошо известных публичных облаков является то, что оно не является публичным. Доступ к этому облаку осуществляется только после подписанием конкретных юридических договорных документов и многоуровневых идентификаций клиентов.

Лучшая защита — информированность

Евгений Осинский: «Надежность и безопасность облака De Novo подтверждается тем, что его клиентами являются крупнейшие банки Украины, в том числе и государственные»

Безопасность и непрерывность функционирования облака строится на модели, включающей шесть угроз: физические деструктивные факторы, локальные отказы оборудования, логическое разрушение данных, сетевые угрозы, локальные и региональные катастрофы и нарушение конфиденциальности. Каждая из этих угроз парируется соответствующими методами и средствами. Так, конфиденциальность гарантируется шифрованием и репутацией De Novo, катастрофоустойчивость обеспечивается посредством Disaster Recovery as a Service, данные защищаются от разрушения мгновенными снимками и семью вариантами резервного копирования, от сетевых угроз защищают граничные шлюзы и виртуальные шлюзы безопасности Cisco ASA, отказы оборудования решаются за счет избыточности, а от физических угроз защищает непосредственно особенности инженерных решений и меры физической безопасности в ЦОД De Novo.

Юридическую стабильность работы обеспечивает состав акционеров компании — International Finance Corporation, Intel Capital и KMCore. У компании прозрачная структура собственности, ее финансовая деятельность находится под регулярным аудитом KPMG. Надежность и безопасность подтверждается тем, что клиентами De Novo являются крупнейшие банки Украины, в том числе и государственные. В облаке компании размещают свои ИТ-инфраструктуры министерства, местные органы власти, госпредприятия, финансово-промышленные холдинги. Облако De Novo сертифицировано на соответствие КСЗИ и стандарту ISO 27001.

Для тех компаний, у которых безопасность «превыше всего», введена новая услуга — Hosted Private Infrastructure (HPI). Она предоставляет частное облако «как сервис». Это полнофункциональная виртуальная инфраструктура vSphere, развернутая оператором и предоставленная в эксклюзивное использование заказчика по модели «как сервис». Она предназначена для крупных предприятий с развитой и критически важной для основной деятельности ИТ-системой, которым регуляторные ограничения или корпоративные политики не позволяют использовать облака. В HPI заказчик выполняет управление мощностями, виртуальными ресурсами и сетью, определяет политики криптозащиты данных и обеспечивает взаимодействие с собственной инфраструктурой.

Веб-приложения являются распространенным объектом атак. Компания F5 Networks предлагает комплексную платформу для защиты и повышения быстродействия веб-приложений — Application Delivery Controller (ADC). О ней участников конференции проинформировал инженер по технической поддержке проектов Евгений Таран из «Бакотек».

ADC является сетевым вычислительным устройством в ЦОД, часто частью сети доставки приложений (AND), которое помогает выполнению общих задач, обычно работающих на веб-сайтах, снижая нагрузку на веб-серверы. ADC часто размещаются в DMZ между внешним брандмауэром или маршрутизатором и веб-фермой.

Лучшая защита — информированность

Евгений Таран: «Для защиты и повышения быстродействия веб-приложений компания F5 Networks предлагает комплексную платформу — Application Delivery Controller (ADC)»

F5 ADC выполняет такие функции, как балансировка нагрузки, защита сети и приложений, масштабирование. Устройство работает на уровнях 3–7 модели OSI,выполняет инспекцию трафика, определяет метрики и принимает решения по балансировке и обеспечению безопасности веб-приложений (Web Application Firewall, WAF). Оно построено на архитектуре NAT64 и full proxy, другими словами, полностью терминирует соединение.

В основе программного стека устройства лежит Traffic Management OS (TMOS), а вверх по стеку располагаются модули балансировки и управления трафиком внутри ЦОД (LTM), ускорения работы приложений (ААМ), управления нагрузкой и резервированием для распределенных систем (GTM), расширенного брандмауэра (AFM), прикладного экрана WAF и управления доступом и удаленного подключения.

В остальной части доклада Евгений Таран подробно остановился на таких вопросах, как локальная балансировка нагрузки в ЦОД, безопасность системы DNS, оптимизация и ускорение доставки приложений, безопасность сетевой инфраструктуры и приложений, а также на работе модулей программного стека.

В целом F5 ADC обеспечивает полноценную защиту, начиная от сети и заканчивая приложениями. Виртуальный вариант устройства имеет ту же функциональность, что и аппаратный.

В рамках конференции состоялись панельные дискуссии, на которых обсуждались актуальные вопросы ИБ, взаимодействия бизнеса и ИТ и ряд других.

Более детально с докладами на конференции UA.SC можно ознакомиться просмотрев их видеозапись.

+22
голоса

Напечатать Отправить другу

Читайте также

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT