Об угрозах информационной безопасности, актуальных

для разработчиков средств защиты информации

Максим Андреевич АвдюнинЗАО «Перспективный мониторинг»

Расследование инцидентов ИБ

ЗАО «Перспективный мониторинг»

Инструментальный анализ ИБ

Аудит информационной безопасности (ИБ)

Анализ трафика Исследования и экспертиза ИБ

ЗАО «Перспективный мониторинг»

ПАО «Уралкалий»

ООО «Военно-промышленная компания»

МИРС Пермского края

Росреестр

Правительство Хабаровского края

и др.

Группа компаний «ИнфоТеКС»

Заказчики

Угрозы-2015Уязвимые технологии (мобильные, облачные и т.д.)

Риски инноваций

Облачные атаки на СКЗИ

Атаки на Интернет Вещей

Целевые атаки на АСУ ТП

ИБ-катастрофы

ИБ-провалы платформ-2014 (Apple iOS, Microsoft)

Shellshock, уязвимости TLS/SSL (Goto Fail, Heartbleed, POODLE, WinShock)

Проблемы внешних сервисов

Проблемы обработки уязвимостей

Саморазоблачения (Drupal)

Проблема политики раскрытия уязвимостей

Растущий разрыв в потребностях и уровне/количестве специалистов ИБ

Вмешательство государств

Гос. программы по кибервооружениям (Китай, США)

Санкции и запреты

Вывод?Если нас сломают Когда нас сломают

Разработчик СЗИ — мишень?

Разработчик СЗИ может стать целью злоумышленников, так как:

Активно противостоит, а, следовательно, взаимодействует с ними

Является такой же компанией, как и прочие, а следовательно, для

него актуальны классические угрозы для организаций и

сотрудников

Производит продукты, которые в дальнейшем станут важными

инфраструктурными компонентами других информационных

систем

Обладает сведениями о своих клиентах и их доверием , нередко

имеет доступ к их информационным системам

Разработчик СЗИ — ценная мишень!

Продукт Исходные коды и готовоепрограммное обеспечениеАлгоритмыПланы разработок

Технологические ресурсыСборочные серверыСетевые и серверные мощности

ЛюдиСотрудники, внешние контактыРассылка писем/перепискаот имени доверенной организации

Инфраструктура поддержкиКонтрактная документацияСервисные подразделения

Разработчики СЗИ интересны для атакующих «высоких классов», так как воспринимаются как активные участники государственной политики, представители интересов государства

Потенциальные цели:

Проблемы отрасли — взгляд изнутри

Сложно объяснить заказчику, зачем тратить деньги на ИБ

Нет понимания роли СЗИ в обеспечении бизнес-процессов

Нет понимания, что недостаточно купить СЗИ, с ними надо работать

Проблемы стандартизации

Отрыв требований сертификации от требований безопасной разработки

«Своё» понимание безопасной разработки у каждого разработчика

Ни одна компания не производит всех возможных СЗИ

Нет компетенций по ряду областей ИБ

Специалисты по разработке СЗИ не специалисты во всех остальных областях

Нет компетенций во всех остальных областях

Нововведения и угрозы отслеживаются лишь в «своей» области

Иллюзия безопасности

Способы решения

Обучение информационной безопасности

Повышение общей осведомленности

Регламентация процесса

Организация взаимодействия для «самозащиты» отрасли

Общий язык, интеграция областей ИБ

Совместное развитие ИБ компаниями рынка

Стандартизация практик разработки

Внедрение практик безопасной разработки

Противодействие «экономии на безопасности»

Сотрудничество с «регуляторами»

Сближение «бумажной» и практической безопасности

Подконтрольность компонентов, сервисов, инструментов (импортозамещение)

Внешняя экспертиза

Аудит информационной безопасности

Организация центров мониторинга

Аутсорсинг задач ИБ

От теории к практике

Использованиемирового опыта

Развитиесобственных идей

Microsoft SDL

Внедрение практик безопасной разработки в ОАО «ИнфоТеКС»

От теории к практикеЦентр мониторинга ЗАО «ПМ»

От теории к практикеЧтение обучающих курсов

Спасибо за внимание!

Максим Андреевич Авдюнин

ЗАО «Перспективный мониторинг»