Upload
andrey-prozorov-cism
View
6.476
Download
2
Embed Size (px)
Citation preview
Куда идет ИБ в России, и что надо
сделать у себя уже в этом году?(региональные аспекты)
Прозоров Андрей, CISM
Руководитель экспертного направления
Компания Solar Security
Мой блог: 80na20.blogspot.com
Мой твиттер: twitter.com/3dwave
2017-03 Киров
solarsecurity.ru +7 (499) 755-07-70
Мои любимые отчеты по ИБ
2
1. JSOC Security flash report
2. ISACA: State of Cybersecurity
3. Kaspersky Security Bulletin
4. Symantec: Internet Security Threat Report
5. Cisco: Annual Security Report
6. ENISA: Annual Incident Reports
7. Check Point: Security Report
8. EY: Global Information Security Survey
9. PWC: Global State of Information Security Survey
10. Verizon: Data Breach Investigations Report
11. FireEye: Annual Cyber Threat Reports
12. Group-IB: Hi-Tech Crime Trends
13. Positive research. Сборник исследований по практической безопасности
14. Ponemon Institute: Cost of Cyber Crime Study / Cost of Data Breach Study
15. РКН: Отчет о деятельности
16. МВД РФ: Статистика и отдельные пресс-релизы
17. ЦБ РФ: Обзор о несанкционированных переводах денежных средств и Отчет Центра
мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере
solarsecurity.ru +7 (499) 755-07-70
Что видно из отчетов: Как страшно жить!
4
Инцидентов меньше не становится…
Ущерб огромен!
Злоумышленники постоянно придумывают
сложные атаки и облают знанием 0-day
уязвимостей
Но используют типовые атаки,
эксплуатирующие базовые уязвимости и
соц.инженерию
Инциденты остаются незамеченными
месяцами (и даже годами)
solarsecurity.ru +7 (499) 755-07-70 7
Вендоры и интеграторы предлагают
Серебряная пуля Системный и комплексный подход
solarsecurity.ru +7 (499) 755-07-70
Старые и новые аббревиатуры по ИБ
8
Старые Уже слышали… Ожидаем
• DLP - Data Loss
Prevention
• IDS / IPS - Intrusion
detection /
prevention system
• IdM / IAM -
Identity and Access
Management
• SIEM - Security
information and
event management
• VPN - Virtual Private
Network
• DPI - Deep Packet Inspection
• EDR - Endpoint Detection and
Response
• GRC - Governance, risk
management, and compliance
• MSSP - Managed Security
Service Provider
• NGFW - Next-Generation
Firewall
• PAM - Privileged Access
Management
• SOC - Security Operations
Center
• UTM - Unified threat
management
• WAF – Web Application
Firewall
• AST - Application security
testing
• CASB - Cloud Access Security
Broker
• DCAP - Data-Centric Audit
and Protection
• EM - Employee Monitoring
Tools
• IGA - Identity Governance and
Administration
• MDRS - Managed
Detection and Response
Services
• SIRPs - Security Incident
Response Platforms
• UEBA - User and Entity
Behavior Analytics
• …
solarsecurity.ru +7 (499) 755-07-70
Тренды ИТ и ИБ
9
Первые
последователи
США и
Европа
Москва
Регионы РФ
3-5 лет на
каждый этап…
solarsecurity.ru +7 (499) 755-07-70
Тренды ИТ и ИБ
10
http://solarsecurity.ru/analytics/webinars/880
solarsecurity.ru +7 (499) 755-07-70
Что на самом движет ИБ в организации?
11
• Требования и Внимание
регуляторов
• Недавние инциденты
• Личное обаяние руководителя
по ИБ и понимание им
проблем бизнеса
solarsecurity.ru +7 (499) 755-07-70
Планы проверок
12
Сводный план проверок субъектов предпринимательства на 2017
год - http://plan.genproc.gov.ru/plan2017
РКН: План проведения плановых проверок юридических лиц (их филиалов,
представительств, обособленных структурных подразделений) и индивидуальных
предпринимателей на 2017 год - https://rkn.gov.ru/plan-and-reports
ФСТЭК России: План проведения плановых проверок юридических лиц и
индивидуальных предпринимателей по вопросам лицензионного контроля на 2017
год - http://fstec.ru/litsenzionnaya-deyatelnost/tekhnicheskaya-zashchita-
informatsii/1091-plan-provedeniya-planovykh-proverok-na-2016-god
ФСТЭК России: План проведения плановых проверок юридических лиц и
индивидуальных предпринимателей по вопросам экспортного контроля на 2017 год
- http://fstec.ru/eksportnyj-kontrol/planovye-proverki
ФСБ ???Сколько кировских компаний в планах проверок?
Только ВГУ в апреле по вопросам экспертного контроля…
solarsecurity.ru +7 (499) 755-07-70
Регуляторы и тренды
13
1. Новая Доктрина ИБ
2. Проект ФЗ о КИИ и ГосСОПКА
3. Правки в 149-ФЗ и обновление Приказов ФСТЭК России 17/21/31
4. ГОСТ ЦБ РФ «Безопасность финансовых (банковских) операций. Защита
информации финансовых организаций. Базовый состав организационных и
технических мер защиты информации»
5. Рекомендации (ГОСТ) ЦБ по аутсорсингу ИБ
6. Лицензия на ТЗКИ на «услуги по мониторингу ИБ средств и систем
информатизации» и требования к лицензиатам
7. Импортозамещение
8. Новые штрафы по ПДн
9. …
Переходим от «бумажной безопасности» к «практической» с фокусом
на устранение уязвимостей и реагирование на инциденты ИБ.
Требования к ИБ и контроль их исполнения будут усиливаться…
solarsecurity.ru +7 (499) 755-07-70
Отчеты по инцидентам ИБ
15
http://solarsecurity.ru/analytics/reports/
solarsecurity.ru +7 (499) 755-07-70
Типовые инциденты* (ежедневно)
17
Использование TOR на хосте (нарушение правил работы или вредоносное ПО)
Проблемы с учетными записями (критичные привилегии и группы,
кратковременное превышение привилегий, создание во внерабочее время и пр.)
Обнаружение невылеченных вредоносных объектов на рабочих станциях
Модификация критичных веток реестра
Большое количество обнаруженных и невылеченных объектов категории not-a-
virus (могут «докачивать» исполняемые файлы)
Обнаружение индикаторов компрометации Threat Intelligence
Использование средств удаленного администрирования (teamviewer, ammyy admin)
Успешные попытки подключения из различных стран в корпоративную сеть
Подозрительная активность в ночное время, выходные и праздники
Значительные объемы трафика на различные облачные хранилища и сторонние
почтовые серверы
Очистка журналов аудита
…
*Из отчетов по инцидентам ИБ, выявленным Solar JSOC
solarsecurity.ru +7 (499) 755-07-70
Базовые технические меры ИБ
АВЗ
Разграничение прав
доступа (need to know)
МСЭ
Резервное копирование
Запрет на установку
стороннего ПО и
Перечень допустимого ПО
Запись логов
19
solarsecurity.ru +7 (499) 755-07-70
Базовый бумажный compliance
Обработка ПДн (Перечень ПДн,
общедоступная Политика, Согласие на
обработку, Положение об обработке
ПДн. Процедура реагирования на
запросы субъектов…)
Базовые документы по ИБ (АВЗ,
парольная политика, политика
допустимого использования…)
Простой режим КТ (Перечень КТ,
Положение о КТ, соглашение о
неразглашении, типовые формы
договоров…)
Ознакомление под подпись!
20
solarsecurity.ru +7 (499) 755-07-70
О чем еще стоит подумать?
21
Сейчас нет достаточных предпосылок к увеличению
бюджетов ИБ…
ИБ – даже не второстепенная, а третьестепенная задача для
бизнеса.
Все больше задач ИБ отходит к ИТ (и это правильно).
Ответственный за ИБ становится «менеджером»…
Проблема персонала (хороших специалистов найти трудно)
Уходим от «бумажной» безопасности в сторону «реальной» с
фокусом на мониторинг и реагирование на инциденты
Доступность и Целостность становится важнее
Конфиденциальности
Нет бюджета – занимаемся повышением осведомленности
Пора задуматься о контроле «теневого» ИТ
solarsecurity.ru +7 (499) 755-07-70
Простые рекомендации
22
На следующую неделю
• Составьте перечень внутренних документов, регламентирующих ИБв организации
• Проверьте ведутся ли логи у важных элементов ИТ-инфраструктурыи СЗИ
На 3 месяца
• Обеспечьте базовый «бумажный» compliance
• Проверьте и усильте базовые меры ИБ
На год
• Проведите обучение сотрудников по базовым вопросам ИБ(правила, принятые в организации, и актуальные вопросы ИБ)
• Определите стратегию защиты от внутренних угроз
• Запустите процесс Управление уязвимостями
• Запланируйте запуск процессов Управление событиями ИБ иУправление инцидентами