close

Вход

Забыли?

вход по аккаунту

- Комплексная защита информации

код для вставкиСкачать
Современные
технологии защиты
от целенаправленных
кибератак
Антимонов С.Г., председатель совета директоров
Петров Н.Н.,
директор по развитию бизнеса
Сердюк В.А.,
генеральный директор
ЗАО «ДиалогНаука»
О компании «ДиалогНаука»
•
ЗАО «ДиалогНаука» создано 31 января 1992 г.
Учредители – СП «Диалог» и Вычислительный центр РАН.
До этого два года (1990-1991) компания была известна как
Научный центр СП «Диалог» при Вычислительном центре РАН
•
Разработка и распространение антивирусных программ:
1990 – Aidstest
1991 – ADinf
1993 – ADinf Cure Module
1994 – Doctor Web
1995 – Антивирусный комплект DSAV (DialogueScience Anti-Virus)
•
C 2004 – компания развивается как системный интегратор в области
информационной безопасности.
Услуги:
– аудиты информационной безопасности и тесты на проникновение
– проектирование, внедрение и сопровождение комплексных систем
защиты информации
Тест на проникновение (penetration testing)
• Договор с Заказчиком:
– Задается цель, к примеру, «получить копию файла X,
расположенного на компьютере Y (главного бухгалтера)»
– Определяется набор методик, которые можно применять
• Этапы:
– Проникновение на компьютер в организации
– Переход по локальной сети на другие компьютеры
– Получение доступа к компьютеру Y и файлу Х
– Скрытая передача полученных данных наружу
– Заметание следов
• Из 10 тестов - 9 успешных.
Даются рекомендации - как усилить защиту
Комплексные системы защиты информации
•
Мы используем лучшие программные и программно-аппаратные
решения от российских и зарубежных производителей:
– «Доктор Веб», «Информзащита», «Инфотекс», «КриптоПро»,
«Лаборатория Касперского», Acronis, Avanpost, Positive Technologies,
SmartLine и др.
– BalaBit IT Security, Cyber Ark, FireEye, Guidance Software, HewlettPackard ArcSight, RedSeal Networks, Stonesoft (McAfee), Symantec,
Trend Micro, Websence и др.
•
В настоящее время наши клиенты, крупные компании и организации
заказывают продукты и решения для защиты от изощренных
целенаправленных кибератак класса APT (Advanced Persistent Threat)
•
Другие популярные услуги:
– Аудиты информационной безопасности на соответствие закону
России «О персональных данных», стандарту Банка России,
международным стандартам ISO 27001, PCI DSS и др.
План презентации
1.
Известные APT
2.
Особенности APT
3.
Решение FireEye
5
Компьютерный «червь» Stuxnet
2010
•
Обнаружен белорусской антивирусной компанией «ВирусБлокАда»
•
Есть предположение, что червь разработан в США и Израиле для кибератаки
на иранский ядерный проект
•
Продолжительность кибератаки - 9 месяцев
•
Ни одна из атакованных систем не имела прямого соединения с Интернет
•
Первая известная и успешная кибератака на системы класса АСУ ТП
•
Кибератака APT отбросила иранскую
ядерную программу на несколько лет назад
6
Кибератака на компанию RSA
2011
•
Компания RSA в марте 2011 г. сообщила, что подверглась
кибератаке класса APT (Advanced Persistent Threat)
•
Атакующие украли алгоритм, связывающий серийные
номера SecurID карт с криптографическими ключами
•
Эта информация могла быть использована для взлома
систем, защищенных устройствами RSA SecurID
•
В мае 2011 г. была предпринята попытка взлома
производителя военной техники Lockheed Martin
•
Компания EMC (материнская компания RSA) в отчетности
по форме «10-Q» указала ущерб от кибератаки в $81.3 млн
7
Вирус Flame
2012
•
Обнаружен в мае российской антивирусной компанией
«Лаборатория Касперского»
•
Вирус действовал, по крайней мере, с марта 2010 года
•
Предполагается, что его разработали в США и Израиле
для замедления иранской ядерной программы
•
Распространялся через LAN и USB, записывал экраны,
нажатия клавиатуры, сетевой трафик, включая Skype
•
Код Flame имеет объём 20 МБ и значительно превосходит
в этом отношении код Stuxnet - 0,5 МБ
8
Группа кибератак APT1
2013
• Кибератаки с территории Китая, которые американская компания
Mandiant наблюдала 7 лет
• Атакованы 141 компания в 15 странах (в основном в США - 115)
• Среди пострадавших индустрий - аэрокосмическая и оборонная,
компьютерные технологий, юридические и консалтинговые
услуги, энергетики, газ, нефть и др.
• Передача сотен ТБ (терабайт) конфиденциальных данных.
Среднее время нахождения угрозы в сети жертвы – 356 дней
• Ожидается, что кибератаки класса APT смогут применять также
хактивисты, криминальные или террористические группировками
9
Кибератака на компанию SearchInform
2014, март
Anonymous взломала SearchInform:
• Похищено более 3 тыс. файлов
• 2 года хакеры контролировали взломанные компьютеры
• Реакция на противостояния между Россией и Украиной
Расследование SearchInform:
• Кибератака проведена с украинских IP-адресов
• Скомпрометирован один компьютер линейного менеджера
• Нападающие получили копии архивной документации
Компания SearchInform – российский разработчик средств
информационной безопасности
10
Уязвимость HeartBleed («кровоточащее сердце»)
2014, апрель
• Уязвимость в пакете шифрования данных
OpenSSL была обнаружена 7 апреля
• Она существовала с 14 марта 2012 - даты начала
распространения версии OpenSSL 1.0.1
• Пакет OpenSSL используют две трети интернетресурсов и практически все популярные сервисы
такие как – Яндекс, Google, Facebook и другие
• Все сертификаты и пароли, использованные в
уязвимой версией OpenSSL, после этого можно было
считать скомпрометированными
• Была рекомендация срочно перевыпустить все
закрытые ключи и поменять все пароли
11
Ади Шамир - о кибератаках класса APT
The Register, 1 марта 2013 г.
• Во время второй мировой войны, если у вас была
хорошая криптозащита для коммуникаций, то вы
были в безопасности
• В наши дни, когда внутри самых защищенных
компьютерных систем может скрытно находится
киберагент APT, использование криптографии уже
не дает надежную защиту
• Вся идеологи защиты должна быть пересмотрена,
чтобы можно было обеспечивать безопасность
компьютерных систем даже в тех случаях, когда
эти системы могут быть инфицированы каким-то
неизвестным кодом, который длительное время
присутствует в системе в необнаруженном виде
12
Особенности APT
В случае кибератаки типа APT нападающий получает доступ в
корпоративную сеть и длительное время остается необнаруженным
• Advanced - Атакующий использует свои собственные и неизвестные
другим инструменты эксплуатации уязвимостей
• Persistent - Нападающий будет тратить столько времени, сколько
нужно, чтобы получить доступ и остаться незамеченным до того
момента, как будет выполнена изначально поставленная задача
• Threat - Атакующий организован, мотивирован, обладает
необходимыми ресурсами для достижения поставленной цели
Кибератаки класса APT:
• Всегда направлены для достижения определенных целей
• Мотивированы национальными интересами, политикой или
деньгами
• Считаются наиболее опасными
13
Особенности APT
Межсетевые
экраны
IDS/IPS
Шлюзы Webбезопасности
Средства
защиты от
спама
Антивирус
Традиционные технологии не могут остановить APT
14
Компания FireEye
• Компания FireEye (США) создана в 2004 г.
• Компания «ДиалогНаука» является первым
авторизованным партнером компании FireEye в России
• Программно-аппаратные комплексы FireEye появились в
России в январе 2014 г.
• Мы провели несколько пилотных проектов у наших крупных
Заказчиков и выяснили, что практически всегда с помощью
этих решений в корпоративных сетях были найдены
элементы установленного ранее вредоносного кода. Это
доказывает эффективность работы данного решения!
• Компании и организации делятся на две категории (шутка):
– у которых в сети есть «жучок» и они это знают
– у которых в сети есть «жучок», но они этого пока не знают
15
Компания Mandiant
• Компания Mandiant создана в 2004 г. Кевином Мандиа
(Kevin Mandia), бывшим кибераналитиком Минобороны США
• В 2013 г. была куплена компанией FireEye за 1 млрд. долл.
• Чтобы увеличить скорость реакции на APT-угрозы, компании
Mandiant и FireEye собирают по всему миру и изучают
«образцы» кодов и поведения различных хакерских групп аналогично тому, как обычные следователи собирают и
изучают «образцы» поведения разных криминальных групп
• Кевин Мандиа: «находясь на передовой киберсражения у
вас должна быть возможность сказать … да, эти 18
образцов вредоносного кода обычно применяют те самые
парни из Санкт-Петербурга»
• Еще пять лет назад уходили бы месяцы на «вычисление»
тех хакеров, которые проникли в корпоративную сеть
16
Минюст США обвинил китайских хакеров
• 19 мая 2014 г. Минюст США выдвинул обвинения в
шпионаже пятерым служащим вооруженных сил Китая
• Помимо имен и фамилий, приведены фотографии
обвиняемых, два из которых одеты в военную форму.
Сообщается что все они входят в подразделение Unit
61398 Народно-освободительной армии Китая
• Атаки были совершены в период с 2010 г. по 2012 г.
• Минюст представил также неполный список жертв
атаки – компании U.S. Steel, Westinghouse Electric,
Alcoa и Allegheny Technologies
• В случае с Alcoa хакеры похитили около 3 тыс.
служебных электронных писем, а в случае с Allegheny
— данные о тысячах сотрудников компании
17
Решение FireEye
Вредоносное ПО
Эксплоит
Функции
обратного
вызова
Сервер управления
Вредоносный
код
Просачивание
данных наружу
• Контролируются все этапы
кибератаки
• Есть возможность
заблокировать активность на
любом этапе
• Защита от вредоносного кода,
поступающего :
• С веб-сайтов
Загрузки
• Через электронную почту
• Через файлы
18
Технологии защиты от APT
• Используется собственная среда для «виртуальных машин»: так
как вирус или червь, узнав, что находится «под колпаком», тут же
скрывает свои истинные намерения и самоуничтожается
• «Прогонка» подозрительного кода одновременно на десятках и
сотнях виртуальных машин, максимально «близких» к реальным
• Виртуальные машины «ускоряют время» - за реальных 3 минуты
можно изучить «жизненный цикл» кибератаки за месяцы и годы
• Чтобы определить на каждом этапе - Какие стоят цели? Какая
информация собирается? Что готовится для отправки наружу?
• Информация по новым APT кибератакам накапливается и потом
используется для отражения аналогичных нападений
Выводы
• APT кибератаки «взорвали» рынок информационной безопасности
• Эти новые атаки «просачиваются» через старые рубежи обороны
• Появились компании, создающие средства защиты от APT кибератак
• Лидером этого рынка является американская компания FireEye
•
Продукты от компании FireEye появились в России с января 2014 года
•
«ДиалогНаука» - первый авторизованный партнер FireEye в России
•
Пилотные проекты показали высокую эффективность этого решения!
Спасибо за внимание!
1/--страниц
Пожаловаться на содержимое документа