Embed Size (px)
Citation preview
Group-IB
Первый 24/7 CERT в Восточной Европе CERT-GIB — первый частный круглосуточный центр реагирования на инциденты ИБ в России.
Российский лидер в сфере РКП Первая и единственная компания в СНГ, предоставляющая весь спектр услуг в области расследования инцидентов ИБ.
Резидент Сколково Проект — комплексная система противодействия киберпреступности CyberCop.
Этапы развития
2003 2010 2011 2011
2011
Group-IB основана в Москве
Вступила в Leta Group
Выход на международный рынок
Создан
CERT-GIB
60+
специалистов
Общий штат
Комплекс услуг Прединцидентный консалтинг; Реагирование; Криминалистика; Расследование; Юридическое сопровождение; Постинцидентный консалтинг.
Наши партнеры
Группы по реагированию на инциденты (CERT) в 55 странах
мира
Антивирусные компании
Производители решений для компьютерной криминалистики и
информационной безопасности
Университеты США и Европы
Международные криминалистические организации
Ассоциация сертифицированных специалистов по борьбе с
мошенничествами (ACFE)
Центры изучения угроз информационной безопасности
Рынок киберпреступности
Рынок киберпреступности
В тесном сотрудничестве c ФСБ и
МВД России при содействии
Сбербанка России и FOX-IT
Результат расследования – задержана
преступная группа из 8 человек
Первый в российской практике случай
задержания всех фигурантов группы
онлайн-мошенников
Группа Carberp
В тесном сотрудничестве c ФСБ и
МВД России при содействии
Сбербанка России и ESET
Результат расследования –
задержана преступная группа из 7
человек
Ликвидирована крупнейшая
банковская бот-сеть России
Группа Hodprot
Мошенничества на Урале
Наши награды
Благодарственные письма
Неосведомленность работников о проблемах
безопасности и мошенничествах
Уязвимая защита локальной сети
Уязвимое ПО на ПЭВМ
Отсутствие антивирусного ПО (или
необновляемое)
Работа пользователя с повышенными
привилегиями
Токен находится в ПЭВМ, даже когда он не нужен
Заход на интернет-ресурсы, которые не касаются
работы (в т.ч. развлекательные)
Неконтролируемый доступ к ПЭВМ
Отсутствие услуг банка по обеспечению усиленной
защиты проведения платежных поручений
Причины инцидентов
Первичное реагирование
1. Выявление объектов исследования
2. Ограничение доступа к объектам
3. Вызов специалиста
4. Снятие криминалистических образов
(запись на однократно записываемые
носители информации)
5. Передача объектов на исследование
6. Юридически грамотное оформление
собранной информации
7. Устранение канала утечки
информации в случае его обнаружения
Компьютерная
криминалистика
Поиск
цифровых
носителей
информации
Сохранение
целостности
цифровых
носителей
информации
Анализ
содержимого
цифровых
носителей
информации
Изложение
результатов по
содержимому
цифровых
носителей
информации
Цели
В соответствии с законодательством РФ:
Основные законодательные нормативно-правовые акты
Федеральный закон от 31.05.2001 г. № 73-ФЗ "О государственной
судебно-экспертной деятельности в Российской Федерации"
Задачи
Установить факт инцидента
Восстановить обстоятельства инцидента
Установить причины возникновения инцидента
Определить методы совершения инцидента
Сформировать доказательную базу для правового
преследования виновных лиц
Обеспечить целостность доказательной базы
Выявить новые способы мошенничества
Что делает специалист?
Поиск следов работы вредоносного ПО
Поиск следов несанкционированного доступа
Анализ файлов
Анализ журналов системной активности
Анализ истории переписки e-mail агентов и программ
мгновенных сообщений
Анализ информации баз данных
Поиск следов работы программ, имеющих отношение к
инциденту
Восстановление удаленных файлов
Аудит
информационной
безопасности
1. Комплексный аудит информационной
безопасности
2. Анализ защищенности информационных систем
Комплексный аудит
информационной
безопасности
Комплексный аудит информационной безопасности
Аудит на соответствие требованиям стандартов ИБ
Анализ защищенности
Цели аудита ИБ:
выполнить требования регулятора
получить экспертное заключение для решения своих проблем (суд, бюджет, кадры…)
Результаты:
экспертный отчет
рекомендации
Для чего и зачем?
Анализ защищенности
Виды
Тесты на проникновение (АС / ИС)
Социотехнический тест на проникновение «Социальный пентестер»
Аудит безопасности WEB-приложений
Исследование защищенности систем ДБО
Анализ исходных кодов приложений
Анализ защищенности АСУ ТП / SCADA
Анализ защищенности ERP/SAP
Анализ защищенности беспроводных сетей
Цели проведения анализа защищенности:
определить реальное состояние защищенности
адаптировать свою инфраструктуру или продукт к требованиям рынка или клиентуры
Результаты:
экспертный отчет с описанием уязвимостей, ошибок конфигурации, брешей безопасности
демонстрация возможности эксплуатации уязвимостей
рекомендации по устранению выявленных брешей
Для чего и зачем?
Тесты на проникновение
Традиционные варианты проведения
модель «Blackbox»
модель «Whitebox»
Неформальные способы тестирования
«Социальный пентестер» - индивидуальная модель нарушителя
внедрение в штат своего человека
применение технических средств съема информации;
проверка физического периметра (включая СБ, ЧОП и т.п.)
определение лояльности сотрудников к конкурентной среде
