Типовые задачи и решения по информационной безопасности
Илья ЯблонкоМенеджер по работе с ключевыми заказчиками
Типы задач / проектов по ИБ
Комплексные проекты по ИТ/ИБ/ИБ АСУ ТП (полный цикл)
Проекты по СЗПДн/ПОИБ (полный цикл)
Аудиты и консалтинговые услуги по ИБ – широкий круг
Техническая поддержка
Проекты по "классу решений" (полный цикл)
Задачи / классы решений ИБ
Сетевая и около-сетевая безопасность (Firewall, IPS, VPN, шлюз безопасности и т.п.)
Управление доступом к информационным ресурсам ИнтернетЗащита от DDoS-атакМониторинг сети на основе анализа сетевого трафикаВысокоскоростное шифрование каналовЗащита электронной почтыДоверенная и недоверенная инфраструктура открытых ключейБезопасность web-ресурсов и баз данных (Web Application Firewall,
DataBase Firewall)Средства анализа защищенности и контроля конфигурацийЗащита от таргетированных атак, включая подкласс «песочницы»Управление процессами и рисками ИБ
Контроль и предотвращение утечек информации (DLP)
Задачи / классы решений ИБСредства защиты уровня конечного узла
Сертифицированные СЗИ от НСД
Усиленная аутентификация и средства управления ключевыми носителями
Контроль персонала, контроль действий привилегированных пользователей
Защита среды и защита в среде виртуализации
Управление и защита мобильных устройств
Управление учётными записями (IdM)
Анализ и корреляция события безопасности (SIEM, включая подкласс log management)
Системы управления и аудита полномочий
Резервное копирование и восстановление данных
Высокая доступность (на сетевом, системном и прикладном уровнях)
Средства мониторинга инфраструктурных сервисов и приложений
Управление обновлениями
Создание СОИБ:
• Предпроектное обследование или аудит ИБ
• Сбор и систематизация исходных данных, формирование отчета об обследовании
• Аудит ИБ и формирование рекомендаций по результатам аудита
• Проектные работы
• Разработка ТЗ
• Различные типы проектирования: эскизное, техническое, рабочее
• Эксплуатационная документация
• Организационно-распорядительная документация
• Специальные работы: модели угроз безопасности ПДн, концепции ИБ и т.д.
• СМР и ПНР
• План СМР и ПНР
• Программа и методика испытаний, программа опытной эксплуатации
• СМР и ПНР
• Предварительные испытания, опытная эксплуатация, приемочные испытания
• Аттестация объектов информатизации по требованиям безопасности информации
• Сопровождение
• Техническая поддержка
• Аутсорсинг
• Консалтинг
Аналитический центр УЦСБ
💡Аудит ИБ• Комплексный аудит ИБ• Оценка соответствия
требованиям • Аудит прав доступа• Compliance
💡Процессы ИБ• Регламентация деятельности• Оценка рисков ИБ
💡Совершенствование• Разработка концепции ИБ• Автоматизация процессов ИБ
💡Задачи «практической безопасности»• Внешнее/внутреннее
тестирование на проникновение• Анализ исходных кодов• Проверка осведомленности
персонала• Проверка конфигураций
Что мы предлагаем?
💡Аудит ИБ• Комплексный аудит ИБ• Оценка соответствия
требованиям • Аудит прав доступа• Compliance
💡Процессы ИБ• Регламентация деятельности• Оценка рисков ИБ
💡Совершенствование• Разработка концепции ИБ• Автоматизация процессов ИБ
💡Задачи «практической безопасности»• Внешнее/внутреннее
тестирование на проникновение• Анализ исходных кодов• Проверка осведомленности
персонала• Проверка конфигураций
Виды пентестов
ВнешнийПроникновение извне
ВнутреннийПроникновение из одного сегмента сети в другойПовышение привилегийПроникновение с правами обычного пользователя
Анализ защищенностиТестирование отдельных компонентов
Социальная инженерияИспользование слабого звена в виде человека
Направления работ • Поиск и исследования уязвимостей• Тестирования на проникновение – внешнее и внутреннее• Анализ вредоносного ПО• Исследования в области распространения ботнетов• Анализ исходных кодов• Социальная инженерия• Расследования инцидентов• …
Пример: Advisory (ICSA-15-132-02)Rockwell Automation RSView32
Weak Encryption Algorithm on
Passwords, May 26, 2015
Пример
> 250 IP-адресов
Распределенная ИТ-инфраструктура
Разведка
Заказчик
Сайты
FTP
Интернет Внутренняя сетьВнешний периметр
Заказчик
Сайты
FTP
Электронный архив
Разведка
Интернет Внутренняя сетьВнешний периметр
Электронный архив
Поиск уязвимостей
Подборпаролей
‘ OR ‘1’=‘1admin:admin
Электронный архив
Интернет Внутренняя сетьВнешний периметр
Электронный архив
Поиск уязвимостей
Подборпаролей
Пароли по умолчанию
Не отслеживаются события входа администратора
Электронный архив
Интернет Внутренняя сетьВнешний периметр
Электронный архив
Поиск уязвимостей
Подборпаролей
Электронный архив
Интернет Внутренняя сетьВнешний периметр
Электронный архив
Поиск уязвимостей
Подборпаролей
Выполнениекоманд ОС
Не отслеживаются события
У приложения права локальной системы
Электронный архив
Выполнениекоманд ОС
Shell
Пароль администратора
Проблемы МЭ
Небезопасные настройки ОС
Внутренняя сеть
Интернет Внутренняя сетьВнешний периметр
Пароль администратора
Реверс-прокси
Контроллер AD
Возможен подбор паролей
Не отслеживаются события
Слабое разграничение ДМЗ
Внутренняя сеть
Интернет Внутренняя сетьВнешний периметр
Наши методы
1. Автоматизированный поиск уязвимостей
2. Ручной поиск уязвимостей
3. Анализ сетевой инфраструктуры
4. Анализ используемого ПО
5. Анализ исходного кода
…
237. Анализ парольной защиты (метод грубой силы, анализ хэшей паролей)
Особенности
• Имитация действий реального злоумышленника
• В контролируемых условиях
• Демонстрация наиболее серьезных проблем
• Не только уязвимости, но и рекомендации
• ~80% завершается успешно
Комплексный аудит ИБ
Подразделения:
Головная компания
Филиалы
Производственные отделения
Информационные системы:
Все
Содержащие конф. информацию
Критичные (SAP, …)
Направления ИБ:
Все или отдельные процессы обеспечения ИБ
Организационные меры
Технические меры
Требования ИБ:
Законодательные
Отраслевые
Внутренние
Международные
Типовые этапы комплексного аудита ИБ
Формирование рекомендаций
Анализ угроз ИБ
Оценка соответствия требованиям ИБ
Анализ защищенности
Очное обследование
Заочное обследование Опросные листы, ОРД
Интервьюирование, инструм. анализ
Пентесты, анализ защищенности и пр.
Выявление несоответствий
Актуальные угрозы, оценка рисков ИБ
Устранение несоответствий и
уязвимостей
Область комплексных аудитов ИБ
Мы проводим аудиты ИБ по следующим направлениям:• Банковский сектор (PCI DSS, 382-П, СТО БР ИББС)• Промышленный сектор (АСУ ТП)• Государственные структуры (ГИС)• Коммерческие организации (КТ, ПДн, ИСО 27000)• Отраслевые требования ИБ• …
Особенности• Компетентная команда аудиторов
• Участие в работах экспертов по направлениям ИБ (CISSP, CISA, CCIE Security, MCSE, Private Cloud, Messaging, Kaspersky KL Certified Systems Engineer и т.д.)
• Представление результатов Заказчику с учетом интересов, потребностей и степени вовлеченности аудитории в процессы ИБ
Техническим специалистам
Руководителям
Собственные разработки УЦСБ
Защита АСУ ТП – DATAPK
Контейнерные ЦОД – DATARK
Автоматизация управления ИБ – GRC-система ePlat4m
Опыт УЦСБ в областиобеспечения информационнойбезопасности промышленных
систем автоматизации и управления
Атака «Человек посередине»
Подмена трафика между компонентами АСУ ТП
Заражение компонентов АСУ ТП вредоносным ПО
Отказ в обслуживании компонентов АСУ ТП
Эксплуатация уязвимостей компонентов АСУ ТП
Стенд Автоматизированный парковочный комплекс
Почему ИБ АСУ ТП?
Повышение уровня информатизации
Реальные инциденты (в основном зарубежные)
Регулярно выявляемые уязвимости
Существенные последствия дажес учётом низкой вероятности
Законодательные инициативы ->нормативные требования
УЦСБ и ИБ АСУ ТП
Выделенное направление - более трёх лет функционирования:
1. Исследования по теме ИБ АСУ ТП
2. Создание систем обеспечения ИБ АСУ ТП
3. Разработка собственныхрешений - DATAPK
Исследования по теме ИБ АСУ ТП
Анализ мирового и отечественного опыта
Собственные исследования и оценка защищённости
Аудиты реальных действующих АСУ ТП
Анализ мирового иотечественного опыта
Национальные и отраслевые зарубежные стандартыМеждународные стандарты (ISA99)Работы зарубежных аналитических агентствЧто в результате:
Подходы к определению критичности объектов защиты
Состав мер по обеспечению ИББезопасная архитектура АСУ ТПСредства и методы создания
систем ИБ 💡Внутренние семинары
Собственные исследования и оценка защищённости
Эксперты и аналитики
Выявление уязвимостей
Пример: Advisory (ICSA-15-132-02)Rockwell Automation RSView32 Weak Encryption Algorithm on Passwords, May 26, 2015
34
💡Оценка защищённости
Аудиты действующих АСУ ТП
Что проверяем?Поиск известных (ИТ) уязвимостейСоответствие требованиям (внешним, внутренним)Оценка ущерба от реализации угроз ИБ
Как проверяем?«Неразрушающий контроль» - сбор данных только
встроенными средствами СВТ и ПО в продуктивном сегменте АСУ ТП
Полноценный контроль защищенности на стендах Заказчика или разработчика (при наличии)
Тест на проникновение из смежныхсетей (офисная, управления и пр.)
Моделирование угроз ИБи разработка требований
Исследование АСУ ТППостроение модели нарушителя
Учет внутриобъектового режима (не только внутренний/внешний)
Учет потенциала нарушителя (знания, навыки, мотивация)
Формирование перечня актуальных угрозПостроение реального сценария реализации
угрозы соответствующим нарушителемУчёт защитных мер 💡Нормативная
документация
Все этапы:
Предпроектное обследование
Проектирование
Ввод системы в действие
Сервисная поддержка
Отдельные технологические объекты и комплексные системы защиты информации
При создании/реконструкции идля действующих АСУ ТП
Создание систем обеспеченияИБ АСУ ТП
💡Референс-проекты
Состав работ по проектированию
Формирование требований
Анализ и выбор решений
Учёт особенностей эксплуатации АСУ ТП
Апробация решений
💡Комплексные системы защиты
Разработка собственных решений
Ведение каталога компонентов АСУ ТП, выявление изменений в их составе
Централизованный сбор, корреляция, систематизация и анализ значимости событий ИБ в АСУ ТП
Контроль и управление конфигурациями компонентов АСУ ТП
Выявление уязвимостей, контроль защищённости компонентов АСУ ТП
Анализ сетевых потоков и обнаружение компьютерных атак и аномалий трафика
Контроль соответствия требованиям по обеспечению ИБ
ПАК DATAPK – специализированное решение для реализации различных моделей защиты АСУ ТП
Модуль Функции модуля
Модуль мониторинга • Сбор событий ИБ• Выявление сетевых аномалий• Сбор конфигураций• Определение текущего состава объектов защиты• Выявление изменений в составе объектов защиты• Проверка объектов защиты на наличие уязвимостей
Модуль корреляции • Корреляция событий ИБ• Выявление изменений конфигураций
Модуль анализа • Выявление инцидентов ИБ• Оценка выполнения требований безопасной
конфигурации• Формирование отчетов• Интеграция со смежными системами
Режимы функционирования ПАК DATAPK
Функции модуля мониторингаПассивный мониторинг
Активный мониторинг
Сканирование защищенности
Сбор событий ИБ
Обнаружение атак
Выявление сетевых аномалий
Сбор конфигураций
Определение текущего состава ОЗ
Выявление изменений в составе ОЗ
Проверка ОЗ на наличие уязвимостей
Пассивный мониторинг:однонаправленное получение информации, мониторинг на основе анализа сетевого трафика, без воздействия на компоненты системы
Сканирование защищенности:выявление уязвимостей компонентов АСУ ТП
Активный мониторинг:взаимодействие с компонентами системы (запрос-ответ), сбор конфигураций и событий
/
Что мы предлагаем?
💡Внутренние семинары
💡Оценка защищённости
💡Обследование, оценка объема и стоимости
💡Нормативная документация
💡Референс-проекты
💡Аудит ИБ АСУ ТП
💡Комплексные системы защиты
Почему УЦСБ?
Разработка корпоративных стандартов
Аудиты действующих АСУ ТП
Проектирование КСЗИ АСУ ТП
Ввод в эксплуатацию и поддержка систем обеспечения ИБ АСУ ТП
Разработка собственного решения - DATAPK
а также: вебинары, семинары, курсы…
Серия вебинаров ИБ АСУ ТП. Первый сезон.
Серия 1. Архитектура и основные компоненты АСУ ТП с точки зрения ИБ
Серия 2. Взаимосвязь АСУ ТП с ИТ и основные отличия подходов к обеспечению безопасности
Серия 3. Законодательство и требования регуляторов РФ, международный опыт в области защиты АСУ ТП
Серия 4. Практика проведения аудитов ИБ АСУ ТП
Серия 5. Построение комплексной системызащиты АСУ ТП
Серия 6. Управление ИБ в АСУ ТП и способы её автоматизации
Серия 7. Система анализа и мониторинга состояния информационной безопасности автоматизированных систем управления
Серия 8. Защита АСУ ТП на примере решения УЦСБ DATAPK
Серия 9. Типовые требования по обеспечению ИБ на примере системы автоматического управления и регулирования компрессорного цеха
http://USSC.ru/events/webinar/
Серия вебинаров ИБ АСУ ТП.Второй сезон
Серия 1. Решение УЦСБ для обеспечения кибербезопасности промышленных систем автоматизации и управления
Серия 2. Решения Check Point …
Серия 3. Решения Fortinet …
Серия 4. Решения InfoWatch …
Серия 5. Решения Cisco …
Серия 6. Решение Emerson …
Серия 7. Решения Siemens …
Серия 8. Решение Efros Config Inspector …
Серия 9. Решения Лаборатории Касперского …
Серия 10. Решения Positive Technologies …
Серия 11. Решения Rockwell Automation …
http://USSC.ru/events/webinar/
Что говорит закон?
Приказ ФСТЭК №31 является рекомендательным:«Настоящие Требования применяются в случае принятия владельцем АСУ решения об обеспечении защиты информации…»
47
Основные сложности обеспечения ИБ
Атака стоит существенно меньше потерь от её реализации
Скрытность и длительность атак (от 3 до 9 лет)
АСУ ТП работают по 5-10 лет без обновления
При разработке АСУ ТП про ИБ не думали
Атакующим хорошо известны уязвимости
Самое слабое звено защиты - сотрудники
Офисные средства слабоприменимы
Автоматизация процессов управления ИБ с помощью ePlat4m Security GRC
Алексей Липатов
Директор по развитию, к.т.н. ePlat4m
Структура СУИБ организации
Средства обеспечения ИБ
Процессы управления и обеспечения ИБ
Персонал
Законодательные и бизнес- требования
Информационная безопасность
Практики – Приказы ФСТЭК России № 17,
21, 31, НМД ФСБ России, ГОСТ 27001 и
др.
Повышение эффективности
исполнения с помощью
ePlat4m
Повышение эффективности работы
с помощью ePlat4m
Назначение ePlat4m
1. Автоматизация процессов управления и обеспечения ИБ
2. Организация совместной работы различных категорий пользователей:
• высшее руководство
• подразделения ИТ
• подразделения ИБ
• работники организации
3. Централизованное хранение информации по вопросам ИБ
4. Автоматизированный сбор и систематизация данных из внешних систем
5. Представление информации в графическом, табличном и ином удобном виде
Возможности ePlat4m
Прикладные модули ePlat4mМодуль Функционал модуля
Управление
классификацией ИТ-
активов
Автоматизирует процессы управления классификацией
информационных и физических активов
Управление рисками ИБ Автоматизирует процессы идентификации, анализа,
оценки и обработки рисков ИБ
Управление инцидентами
ИБ
Автоматизирует процессы регистрации, обработки
инцидентов ИБ, оповещения о них, хранения статистики
и результатов расследования инцидентов
Работа с персоналом и
третьими сторонами по
вопросам ИБ
Автоматизирует процессы доведения ОРД по ИБ до
работников и контрагентов организации, контроль
знаний работников организации требований по ИБ
Управление соответствием
требованиям ИБ
Автоматизирует процессы внутреннего аудита и оценки
соответствия СУИБ организации требованиям по ИБ
Управление защитой ПДн Автоматизирует процессы защиты ПДн
Другие модулиДругие модули ePlat4m и модули по требованиям
организации
Модуль управления соответствием требованиям ИБ – экранная форма
Благодарю за внимание!
Илья Яблонко, CISSP
Менеджер по работе с ключевыми заказчикамиООО «УЦСБ»
620100, г. Екатеринбург, ул. Ткачей, 23
Тел.: +7 343 379 98 34 #1229
Моб.: +7 912 607 55 66
E-mail: [email protected]
http://www.USSC.ru