пр Куда идет ИБ в России? (региональные аспекты)

Куда идет ИБ в России, и что надо

сделать у себя уже в этом году?(региональные аспекты)

Прозоров Андрей, CISM

Руководитель экспертного направления

Компания Solar Security

Мой блог: 80na20.blogspot.com

Мой твиттер: twitter.com/3dwave

2017-03 Киров

solarsecurity.ru +7 (499) 755-07-70

Мои любимые отчеты по ИБ

2

1. JSOC Security flash report

2. ISACA: State of Cybersecurity

3. Kaspersky Security Bulletin

4. Symantec: Internet Security Threat Report

5. Cisco: Annual Security Report

6. ENISA: Annual Incident Reports

7. Check Point: Security Report

8. EY: Global Information Security Survey

9. PWC: Global State of Information Security Survey

10. Verizon: Data Breach Investigations Report

11. FireEye: Annual Cyber Threat Reports

12. Group-IB: Hi-Tech Crime Trends

13. Positive research. Сборник исследований по практической безопасности

14. Ponemon Institute: Cost of Cyber Crime Study / Cost of Data Breach Study

15. РКН: Отчет о деятельности

16. МВД РФ: Статистика и отдельные пресс-релизы

17. ЦБ РФ: Обзор о несанкционированных переводах денежных средств и Отчет Центра

мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере

solarsecurity.ru +7 (499) 755-07-70 3

Вам не кажется, что как-то

слишком много страха

стало в ИБ?..


Что видно из отчетов: Как страшно жить!

4

Инцидентов меньше не становится…

Ущерб огромен!

Злоумышленники постоянно придумывают

сложные атаки и облают знанием 0-day

уязвимостей

Но используют типовые атаки,

эксплуатирующие базовые уязвимости и

соц.инженерию

Инциденты остаются незамеченными

месяцами (и даже годами)


Может не все так страшно?


Правильные вопросы…

6


Вендоры и интеграторы предлагают

Серебряная пуля Системный и комплексный подход


Старые и новые аббревиатуры по ИБ

8

Старые Уже слышали… Ожидаем

• DLP - Data Loss

Prevention

• IDS / IPS - Intrusion

detection /

prevention system

• IdM / IAM -

Identity and Access

Management

• SIEM - Security

information and

event management

• VPN - Virtual Private

Network

• DPI - Deep Packet Inspection

• EDR - Endpoint Detection and

Response

• GRC - Governance, risk

management, and compliance

• MSSP - Managed Security

Service Provider

• NGFW - Next-Generation

Firewall

• PAM - Privileged Access

Management

• SOC - Security Operations

Center

• UTM - Unified threat

management

• WAF – Web Application

Firewall

• AST - Application security

testing

• CASB - Cloud Access Security

Broker

• DCAP - Data-Centric Audit

and Protection

• EM - Employee Monitoring

Tools

• IGA - Identity Governance and

Administration

• MDRS - Managed

Detection and Response

Services

• SIRPs - Security Incident

Response Platforms

• UEBA - User and Entity

Behavior Analytics

• …


Тренды ИТ и ИБ

9

Первые

последователи

США и

Европа

Москва

Регионы РФ

3-5 лет на

каждый этап…


Тренды ИТ и ИБ

10

http://solarsecurity.ru/analytics/webinars/880


Что на самом движет ИБ в организации?

11

• Требования и Внимание

регуляторов

• Недавние инциденты

• Личное обаяние руководителя

по ИБ и понимание им

проблем бизнеса


Планы проверок

12

Сводный план проверок субъектов предпринимательства на 2017

год - http://plan.genproc.gov.ru/plan2017

РКН: План проведения плановых проверок юридических лиц (их филиалов,

представительств, обособленных структурных подразделений) и индивидуальных

предпринимателей на 2017 год - https://rkn.gov.ru/plan-and-reports

ФСТЭК России: План проведения плановых проверок юридических лиц и

индивидуальных предпринимателей по вопросам лицензионного контроля на 2017

год - http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-

informatsii/1091-plan-provedeniya-planovykh-proverok-na-2016-god

ФСТЭК России: План проведения плановых проверок юридических лиц и

индивидуальных предпринимателей по вопросам экспортного контроля на 2017 год

- http://fstec.ru/eksportnyj-kontrol/planovye-proverki

ФСБ ???Сколько кировских компаний в планах проверок?

Только ВГУ в апреле по вопросам экспертного контроля…

http://plan.genproc.gov.ru/plan2017

https://rkn.gov.ru/plan-and-reports

http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-informatsii/1091-plan-provedeniya-planovykh-proverok-na-2016-god

http://fstec.ru/eksportnyj-kontrol/planovye-proverki


Регуляторы и тренды

13

1. Новая Доктрина ИБ

2. Проект ФЗ о КИИ и ГосСОПКА

3. Правки в 149-ФЗ и обновление Приказов ФСТЭК России 17/21/31

4. ГОСТ ЦБ РФ «Безопасность финансовых (банковских) операций. Защита

информации финансовых организаций. Базовый состав организационных и

технических мер защиты информации»

5. Рекомендации (ГОСТ) ЦБ по аутсорсингу ИБ

6. Лицензия на ТЗКИ на «услуги по мониторингу ИБ средств и систем

информатизации» и требования к лицензиатам

7. Импортозамещение

8. Новые штрафы по ПДн

9. …

Переходим от «бумажной безопасности» к «практической» с фокусом

на устранение уязвимостей и реагирование на инциденты ИБ.

Требования к ИБ и контроль их исполнения будут усиливаться…


Все любят ПДн

14


Отчеты по инцидентам ИБ

15

http://solarsecurity.ru/analytics/reports/

http://solarsecurity.ru/analytics/reports/



Типовые инциденты* (ежедневно)

17

Использование TOR на хосте (нарушение правил работы или вредоносное ПО)

Проблемы с учетными записями (критичные привилегии и группы,

кратковременное превышение привилегий, создание во внерабочее время и пр.)

Обнаружение невылеченных вредоносных объектов на рабочих станциях

Модификация критичных веток реестра

Большое количество обнаруженных и невылеченных объектов категории not-a-

virus (могут «докачивать» исполняемые файлы)

Обнаружение индикаторов компрометации Threat Intelligence

Использование средств удаленного администрирования (teamviewer, ammyy admin)

Успешные попытки подключения из различных стран в корпоративную сеть

Подозрительная активность в ночное время, выходные и праздники

Значительные объемы трафика на различные облачные хранилища и сторонние

почтовые серверы

Очистка журналов аудита

…

*Из отчетов по инцидентам ИБ, выявленным Solar JSOC


ИБ и стратегия Го

18

Сначала срочный ход, а потом большой!


Базовые технические меры ИБ

АВЗ

Разграничение прав

доступа (need to know)

МСЭ

Резервное копирование

Запрет на установку

стороннего ПО и

Перечень допустимого ПО

Запись логов

19


Базовый бумажный compliance

Обработка ПДн (Перечень ПДн,

общедоступная Политика, Согласие на

обработку, Положение об обработке

ПДн. Процедура реагирования на

запросы субъектов…)

Базовые документы по ИБ (АВЗ,

парольная политика, политика

допустимого использования…)

Простой режим КТ (Перечень КТ,

Положение о КТ, соглашение о

неразглашении, типовые формы

договоров…)

Ознакомление под подпись!

20


О чем еще стоит подумать?

21

Сейчас нет достаточных предпосылок к увеличению

бюджетов ИБ…

ИБ – даже не второстепенная, а третьестепенная задача для

бизнеса.

Все больше задач ИБ отходит к ИТ (и это правильно).

Ответственный за ИБ становится «менеджером»…

Проблема персонала (хороших специалистов найти трудно)

Уходим от «бумажной» безопасности в сторону «реальной» с

фокусом на мониторинг и реагирование на инциденты

Доступность и Целостность становится важнее

Конфиденциальности

Нет бюджета – занимаемся повышением осведомленности

Пора задуматься о контроле «теневого» ИТ


Простые рекомендации

22

На следующую неделю

• Составьте перечень внутренних документов, регламентирующих ИБв организации

• Проверьте ведутся ли логи у важных элементов ИТ-инфраструктурыи СЗИ

На 3 месяца

• Обеспечьте базовый «бумажный» compliance

• Проверьте и усильте базовые меры ИБ

На год

• Проведите обучение сотрудников по базовым вопросам ИБ(правила, принятые в организации, и актуальные вопросы ИБ)

• Определите стратегию защиты от внутренних угроз

• Запустите процесс Управление уязвимостями

• Запланируйте запуск процессов Управление событиями ИБ иУправление инцидентами

23

Прозоров Андрей, CISM

Руководитель экспертного направления

Компания Solar Security

Мой блог: 80na20.blogspot.com

Мой твиттер: twitter.com/3dwave

Technology

пр Куда идет ИБ в России? (региональные аспекты)