Доктор Веб - Почему в информационной безопасности ничего не меняется?

Г. КАЗАНЬ16 ОКТЯБРЯ 2014

Вячеслав МедведевДоктор Веб

Год прошел как сон пустой… или почему ничего не меняется в

информационной безопасности

ООО "Доктор Веб"+7(495)789-4587+7(495)796-8992

#CODEIB

Прошел год с нашей предыдущей встречи. Вышли новые приказы и стандарты по ИБ, отгремели атаки на банковскую сферу хакеров Украины, взломали твиттер Дмитрия Медведева…

2#CODEIB


Не дремали злоумышленники (которые давно уже не равны просто хакерам- маньякам)

3#CODEIB


• Троян-шифровальщик для шифрования файлов, хранящиеся в сетевых хранилищах производства компании Synology.

http://news.drweb.com/show/?c=5&i=5890&lng=ru

• Трояны для блокировки Android устройств и кражи с них денежных средств

http://news.drweb.com/show/?c=5&i=5886&lng=ruhttp://news.drweb.com/show/?c=5&i=5815&lng=ru

• Хакеры могут следить за пользователями, даже не расшифровывая трафик

http://www.securitylab.ru/news/456716.php

4#CODEIB



Поменялось ли что-то к лучшему в статистике безопасности?

5#CODEIB


6

• Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация. Для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак

• с 74 до 91% выросла доля систем, где оказалось возможным получение доступа во внутреннюю сеть.

• Получение полного контроля над важными ресурсами из внутренней сети теперь возможно для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. В 71% случаев внутренний нарушитель может получить полный контроль над всей информационной инфраструктурой.

Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies

#CODEIBГ. КАЗАНЬ16 ОКТЯБРЯ 2014

7

• с 10 до 64% возросла доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра.

• Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем.

• В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные.

Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies


Троян, предназначенный для удаления на инфицированном компьютере других вредоносных программ.


В этих условиях за чистотой в сети начинают следить уже вирусы

8#CODEIB


В чем причина подобного падения интереса к безопасности? Или проблема совсем в иной области?

9


Мы отвечаем за то, что мы выбираем или стоит ли верить моде?

10


Интеграция с корпоративными системами управления, использование в своих приложениях сторонних библиотек

Интеграция с корпоративными системами управления позволяет, в частности, не переключаясь между интерфейсами систем управления, контролировать состояние всей сети.

Но каждая система безопасности настолько надежна, насколько она себя контролирует. Примеры взлома защищенных систем (java, защищенные среды исполнения) постоянно освещаются в новостях. Полагаясь на систему управления, компоненты которой не защищены от модификации или подмены, администратор может в один прекрасный момент увидеть совсем не то, что происходит в сети.

11


12#CODEIB

А между прочим:

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы

Приказ ФСТЭК России № 17


13#CODEIB

Использование в локальной сети ПО, имеющего известные уязвимости или ПО для которого нет средств защиты


Вирус AdThief заразил более 75 тыс. iOS-устройств http://www.anti-malware.ru/news/2014-08-21/14586

Гетерогенная среда создается путем применения различных типов информационных технологий с целью ограничения возможностей … по несанкционированному доступу к информации, внедрению вредоносного программного обеспечения … организации вторжений (проведению компьютерных атак)).

В информационной системе должно применяться прикладное и специальное программное обеспечение, имеющих возможность функционирования на различных типах операционных системах (независимое от вида операционной системы прикладное и специальное программное обеспечение).

Приказ ФСТЭК России № 17

14#CODEIB


Проактивные системы (обычного типа)

Требуют наличия в базах данных всех профилей всех существующих в мире программ, что нереально – в том числе в связи с тем, что программы постоянно обновляются. Это приводит к тому, что у пользователя временами запрашивается разрешение на то или иное действие. И неверный ответ может привести к тяжелым последствиям. Таким образом, реальна атака на «приучение» пользователя отвечать «да» и последующее вредоносное действие.

15#CODEIB


Системы на основе контроля за изменениями, в том числе облачные

Прорывная технология в момент возникновения, позволяющая сократить время проверки, сейчас не имеет смысла – контрольные суммы файлов нужно пересчитывать после каждого обновления, то есть примерно раз в час, что увеличивает торможение системы.

В дополнение к этому облачные системы критичны к каналу доступа в Интернет.

16#CODEIB


Возможность внедрения вредоносных программ в легитимные загрузки – в том числе в подписанные исполняемые файлы, если проверка подписи не проводится перед их выполнением

http://www.securitylab.ru/news/456834.php

Во-первых, антивирусная защита поддерживается только для Windows. Для реализации безагентового сценария при

виртуализации Linux/Unix/… придётся подождать VMware. Во-вторых, … не работает функция карантина для файлов и

зараженных «виртуалок». Т.е. отловленного зловреда можно только убить, вылечить или протрубить сигнал сисадмину. В-

третьих… Увы – всё это тоже особенности API от VMware.Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе

17#CODEIB


Системы на основе контрольных сумм

Зачастую обходятся путем подмены путей, по которым распространяются файлы

18#CODEIB


Облачные антивирусы…

Кто-кого обманывает или кто-то собирается отправлять конфиденциальные данные на проверку на чужие сервера?

19#CODEIB


Антиспам системы на основе байесовских сумм

Могут быть доведены до 100-процентого обнаружения спама, но требуют постоянного обучения и используют внешние базы DNSBL – в связи с чем уязвимы к атакам на дискриминацию отправителя через внесение его в данные базы.

Облачные системы антиспама также могут быть уязвимы к атакам на дискриминацию отправителя.

20#CODEIB


Блокирование сменных носителей на основе их идентификаторов

Но флешки всей партии зачастую выпускаются с одним идентификатором

21#CODEIB


Думаете это полный список ложных технологий, которые вам продают?

• Виртуальные клавиатуры• Защищенные среды исполнения• Менеджеры паролей• Системы анализа уязвимостей• Программы, именующиеся себя Антируткитами и

антиспуваре

22#CODEIB


Не все золото, что блестит

Многие ранее реализованные подсистемы безопасности в силу современных угроз либо потеряли свою значимость, либо стали

просто вредны

Многие рекомендуемые Вам технологии имеют не только преимущества

23#CODEIB


Антивирус обязан

иметь систему самозащиты, не позволяющую неизвестной вредоносной программе нарушить нормальную работу антивируса

нормально функционировать до поступления обновления, позволяющего пролечить заражение

иметь систему сбора информации, позволяющую максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию

лечить активные заражения

24#CODEIB


IT-специалисты могут получить подтвержденные «Доктор Веб» знания значительно быстрее и, что самое главное, совершенно бесплатно.

Чтобы стать специалистом в администрировании программных продуктов Dr.Web, необходимо:1. Зарегистрироваться на сайте training.drweb.com/external и получить доступ к «Личному кабинету»;2. Самостоятельно изучить учебные материалы, которые находятся в «Личном кабинете»3. Сдать соответствующий экзамен.

В случае успешной сдачи экзамена соискатель получает электронный сертификат по выбранному направлению.

Обучение специалистов

25#CODEIB


26#CODEIB


Вопросы? Благодарим за внимание!

Желаем вам процветания и еще больших успехов!

www.drweb.com

Номер службы технической поддержки

8-800-333-7932

Запомнить просто! – возникла проблема – набери DRWEB!

8-800-33-DRWEB


Business

Доктор Веб - Почему в информационной безопасности ничего не меняется?