2020/07/20 11:08:50

IT Security Day 2020

30 июня 2020 года TAdviser проводит конференцию "IT Security Day 2020"

Содержание

30 июня TAdviser провел онлайн-конференцию IT Security Day 2020, посвященную обеспечению информационной безопасности в новых реалиях. Участники мероприятия обсудили текущие и возможные будущие потребности современных заказчиков в области ИБ, включая вызванные эпидемией новой коронавирусной инфекции, проблемы и лучшие практики обеспечения безопасности.

В общей сложности в конференции приняли участие около более 100 человек. В их числе представители таких организаций как Федеральное казначейство Министерства финансов РФ, НЛМК, МИД России, Департамент информационных технологий Москвы, Департамент строительства города Москвы, «Почта России», «Концерн Калашников», ВНИИАЭС, Администрация г. Нижний Новгород, X5 Retail Group, Росимущество, «Сибирская генерирующая компания», «ГМК Норильский никель», «Ашан Ритейл Россия», РусАл, «Бургер Кинг» и многих других.

Вел конференцию начальник управления режима ИБ Газпромбанка Алексей Плешков.

Заказчики об угрозах и обеспечении ИБ

Представитель Газпромбанка Алексей Плешков выступил и в качестве докладчика, открыв работу конференции. Он рассказал о векторах угроз, с которыми столкнулись компании при переводе сотрудников на удаленный режим работы, а именно:

  • некорректная адаптация сотрудников и организации к удаленному доступу - возникает дополнительная угроза при обращении к внешним компетенциям;
  • рост влияния инсайдеров, которые на удаленке получают большую свободу доступа к ресурсам, о чем свидетельствуют публикации в СМИ: количество утечек за три месяца увеличилось;
  • возрастание риска несанкционированного доступа из интернета к внутренним ресурсам компании;

Алексей Плешков, начальник управления режима ИБ Газпромбанка
«
Одна из возрастающих угроз при переходе на удаленку – риск несанкционированного доступа к внутренним ресурсам компании из интернета, - констатировал Алексей Плешков. - Важный аспект – наличие средств контроля удаленного доступа на личных устройствах. На корпоративные средства можно поставить хорошую защиту, на личных устройствах это сделать сложнее.
»

  • риски, связанные с резким увеличением закупок новых средств доступа, ИТ и ИБ-решений - даже если новые системы правильно установлены, есть большая вероятность, что они некорректно работают;
  • проблемы настройки компонентов на основе свободного кода, которые всегда содержат уязвимости и их число только растет, поэтому необходимо иметь инструмент для выявления таких уязвимостей;
  • рост количества атак с применением социальной инженерии по телефону и интернету – необходимо повышать осведомленность сотрудников;
  • мошенничества с инвестициями, при продажах, доставке (SCAM-схемы) – получили развитие через мессенджеры, ресурсы наподобие Avito;
  • атаки на защищенные устройства с использованием личных средств удаленного доступа, когда мошенник звонит сотруднику-потенциальной жертве, представляясь специалистом поддержки, и просит установить на устройство приложение (например, TeamViewer);
  • фишинг по цифровым каналах коммуникаций;
  • использование мессенджеров для просьб о помощи и переводов на подставные счета.

Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса группы «Московская биржа», высказал свое мнение о цифровизации - ее этапах, влиянии на риски ИБ, о новых подходах для уменьшения рисков.

Сергей Демидов, директор департамента операционных рисков, информационной безопасности и непрерывности бизнеса группы «Московская биржа»

В цифровой трансформации любой компании есть три этапа, по мнению спикера:
1) оцифровка информации и технологий, систематизация оцифрованной информации;
2) создание и улучшение продуктов с использованием оцифрованной информации;
3) собственно, цифровая трансформация – изменения, позволяющие самой организации более эффективно управлять новыми цифровыми продуктами, повышая их ценность для потребителей и самой организации для владельцев.

Технологии начинают давить на организацию, констатировал Сергей Демидов, обозначив шесть областей этого давлении и основные драйверы цифровизации. Области давления – процессы и ИТ, сфера деятельность компании, лидерство и культура внутри компании, управление временем, методы работы, управлением знаниями. В числе драйверов цифровизации докладчик выделил снижение издержек на содержание недвижимости, пандемию, привлечение удаленной рабочей силы, повышение привлекательности работодателя и лояльности клиентов.

В результате цифровизации внутренние процессы организации становятся все более технологическими и сложными, отметил докладчик. Многие компании создают маркетплейсы по продаже промышленного оборудования. В качестве примера Сергей Демидов привел металлургическую компанию, которая стала создавать маркетплейс для продажи своей продукции по всему миру, начала менять интерфейс с целью повышения дружественности к пользователю и повышения эффективности процесса покупки.

Сергей Демидов декларировал тезис о том, что новые технологии требуют новых продуктов ИБ, обозначил связанные с этим проблемы и их возможные решения. В числе проблем:

  • совокупная стоимость владения (ТСО) систем не всегда включает информационную безопасность;
  • на рынке может не оказаться требуемых решений, а также кадров с необходимой экспертизой;
  • риски внедрения могут превосходить потенциальный эффект;
  • руководство не всегда понимает проблемы ИБ.

Решение проблем, по оценке спикера, лежит на поверхности: необходимо практиковать риск-ориентированный подход, пилотировать новые технологии, едва они появились на рынке, плотно работать с регулятором, поскольку любая новая область – серая зона и возникают дополнительные риски. Кроме того, необходимо обучать сотрудников, инвестировать в это деньги. Если все это учитывать, завершил свое выступление Сергей Демидов, ИБ поможет цифровизации компании, ее светлому будущему.

«
Программа управления непрерывностью организации – основной инструмент обеспечения информационной безопасности, - подчеркнул Сергей Демидов. – У нас эта программа работает, поэтому переход на удаленку прошел гладко – это режим тестировался и раньше. С точки зрения технических инструментов ИБ, главное – это контроль аномалий. Мы опасались направленных атак на инфраструктуру финансового рынка. Такие атаки делаются ради политического эффекта, а не ради денег, поэтому сигнатурные инструменты не работают. Атак не было, но детальный анализ аномалий позволил нам спать спокойно.
»

Анатолий Скородумов, начальник управления по обеспечению информационной безопасности «Банка Санкт-Петербург», рассказал о практике использования SOC в банке, целесообразности создания центра мониторинга и реагирования на инциденты в современных компаниях. В 2015 году банк подключился к внешнему коммерческому SOC, рассказал спикер. А сейчас строится собственный, но сегодня работает гибридная модель. Внешний SOC обрабатывает системную информацию – логи серверов, сетевого оборудования, межсетевых экранов, систем обнаружения атак. На второй линии, во внутреннем центре, обрабатывается информация об инцидентах, полученная из внешнего SOC, а также логи прикладных систем, DLP, данные фрод-анализа.

Анатолий Скородумов, начальник управления по обеспечению информационной безопасности «Банка Санкт-Петербург»

Эффективная система мониторинга и реагирования на инциденты полезна любой компании, отметил Анатолий Скородумов. С другой стороны, если в компании нет понимания, зачем нужен SOC, построить свой эффективный центр ИБ не получится. Значительно более полезным будет потратить время и деньги на понимание того, нужен ли он организации. Затем спикер перечислил предпосылки для построения своего SOC:

  • есть актуальные угрозы ИБ, реализация которых может привести к краху компании или нанести существенный урон;
  • есть понимание, как можно выявить реализацию этих угроз и что нужно делать, чтобы минимизировать последствия - атаки долго готовятся и быстро реализуются.
  • в компании достаточный уровень зрелости системы ИБ и есть ресурсы для организации SOC.

«
Если вы спросите, за минувшие пять лет бывали или нет ситуации, когда SOC реально спас банк от краха или колоссальных потерь, то - нет, - констатировал Анатолий Скородумов. - Не припомню, чтобы были инциденты, которые бы привели к серьезным потерям банка. С одной стороны, это подтверждает, что мы правильно строим систему ИБ. С другой стороны, если ничего не случалось, руководство начинает задумываться, а зачем вкладывать деньги, если и так все хорошо? Вместе с тем, на мой взгляд, центр мониторинга и реагирования на инциденты ИБ нужен практически всем. Мы живем в век цифровой трансформации, пандемия только подталкивает нас в этом направлении. У большинства просто нет другого способа общаться с клиентом, продавать ему что-то иначе как через цифровые каналы. Это увеличивает вероятность осуществления угроз ИБ. Они растут и в количественном отношении, и в плане потерь на единицу атаки.
»

О практике предупреждения реализации фишинговых угроз в крупной компании рассказал Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем «ЕВРАЗ» – глобальной горно-металлургической компании с активами в России, США, Канаде и Казахстане. Чтобы противостоять фишинговым атакам не только при помощи антивируса и антиспама, в компании решили укрепить пользователя как последний рубеж обороны, обучив его посредством ложных фишинговых атак. Целями реализации проекта стали:

  • оценить вероятность утечки учетных данных из корпоративных систем;
  • повысить степень вовлеченности пользователей в процесс ИБ;
  • повысить уровень осведомленности пользователей;
  • оценить результаты мероприятий по обучению.

Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем «ЕВРАЗ»

В компании арендовали виртуальный сервер, развернули виртуальный продукт KingFisher и спланировали двухэтапную рассылку, весной и осенью. В мае 2019 прошла первая рассылка - было разослано письмо о том, что компания подружилась со Сбербанком, и что теперь для сотрудников доступны на льготных условиях вклады, ипотека и так далее. Несмотря на то, что обучающий фишинг был реализован грубо и внимательный пользователь мог бы его распознать, многие звонили в Сбербанк и требовали ипотеку под 4%.

Вторая волна рассылки была нацелена на регионы, сотрудникам сообщалось, что РЖД якобы предлагают билеты на юг со скидкой при предъявлении учетных корпоративных данных. Для получения скидки требовалось зайти на портал под корпоративной «учеткой», авторизоваться. Было отправлено порядка 13 тыс. писем, 103 пользователя сообщили в службу поддержки, что они получили фишинг, а 417 сдали свои корпоративные учетные данные условным злодеям.

Те, кто сдал свои учетные данные, по словам Андрея Нуйкина, извещались, что они стали жертвой мошенничества. Еще им сообщалось несколько базовых принципов, которым нужно следовать для предотвращения подобного в дальнейшем. Осенью, на втором этапе, прошло еще две рассылки. После второй – рассылка по якобы скидкам «Пятёрочки» - из 1111 сотрудников, перешедших по ссылке, примерно 5 на 100 учетных записей были скомпрометированы.

Андрей Нуйкин отметил, что после проведения двух кампаний количество тех, кто сообщил о фишинге, увеличилось, а число тех, кто сдал свои учетные корпоративные данные, уменьшилось, так что работа в этом направлении будет продолжена.

«
Фишинг стал одной из самых серьезных угроз, и эта стало главной предпосылкой для проведения обучения наших пользователей, - рассказал Андрей Нуйкин. – Злодеи не дураки: вместо того, чтобы ломать программно-аппаратные комплексы, проще и дешевле сломать человека. Шлют письма с разными темами – уведомления от Microsoft, письма от портала госуслуг и многое другое. Одно время шли файлы PDF, в которых одна-единственная кнопочка для перехода на ресурс и загрузки зловреда.
»

Вендоры - о технологиях защиты

Дмитрий Ковалев, руководитель отдела инструментов ИБ компании Softline, рассказал об инструментах и сервисах ИБ, используемых и заказчиками, и в самой компании, которая обслуживает в круглосуточном режиме порядка 35 тыс. хостов и оборот которой по итогам 2019 года составил $1,5 млрд. При переходе на удаленку растет нагрузка на ресурсы, на специалистов по безопасности, констатировал Дмитрий Ковалев. Количество инцидентов растет, наблюдается нехватка ресурсов, так что качественно отрабатывать все процессы ИБ становится невозможно. Поэтому в приоритете – доступность ресурсов, осведомленность персонала, способность справиться с нагрузкой, необходимость сохранить бизнес компании в равновесии.

Дмитрий Ковалев, руководитель отдела инструментов ИБ компании Softline

Спикер перечислил три фундаментальных инструмента ИБ, которыми пользуются заказчики:

  • внешние инструменты и аналитика ИБ по сервисной модели;
  • управляемые сервисы от сервис-провайдера, затрагивающие внутренние процессы;
  • SEC – центры управления ИБ.

Затем спикер подробнее рассказал о некоторых услугах, предлагаемых его компанией. Так, при помощи онлайн-портала Ethic можно осуществлять поиск негативных публикаций в СМИ, в «тёмной сети» (dark net), выявлять фейковые домены, выдающие себя за корпоративный ресурс компании и многое другое. Команда аналитиков анализирует широкий набор ресурсов, мониторинг проводится не только в автоматизированном режиме – сами специалисты тоже анализируют информацию, выявляя публикации с высоким уровнем риска и сообщая об этом заказчику. Возможны проактивные действия против веб-ресурсов с негативным характером, обратил внимание Дмитрий Ковалев. Сервис Ethic, отметил он, облегчает жизнь не только службе ИБ, но и маркетингу, внутренней безопасности и кадровому подразделению.

«
С точки зрения ценообразования, центр управления ИБ – удел не только больших и зрелых компаний, но и небольших организаций, - заверил Дмитрий Ковалев. - Выбирая себе определенный уровень обслуживания, можно получить SEC под ключ базового уровня или экспертного уровня, обеспечивающий ИБ распределенной инфраструктуры. Поскольку все сервисы ИБ предоставляются компанией по модели MSSP, они не требуют большого времени подключения, а платежи растянуты во времени.
»

Представитель Softline также поделился мнением о том, насколько в России востребован сейчас аутсорсинг процессов ИБ. Востребованность аутсорсинга информационной безопасности растет уже несколько лет, как и интерес к ИТ-сервисам в целом. Новый стимул к развитию ИБ-услуги получили весной этого года, когда на фоне массового перехода на home-office резко возросла нагрузка на ИТ- и ИБ-подразделения, отметил Дмитрий Ковалев.

«
По нашим прогнозам, этот тренд продолжит свое развитие. Большинство наших заказчиков оценили преимущества аутсорсинга: эта модель позволяет получить качественную услугу по защите корпоративной информации, не расширяя штат профильных специалистов внутри компании. Сегодня у Softline есть клиенты, которые полностью передают нам заботу о защите информации, - указывает он.
»

Говоря о том, какие процессы заказчики наиболее часто передают на аутсорсинг, а какие, как правило, совсем не готовы передавать, руководитель отдела инструментов ИБ Softline отметил, что управляемые услуги в области информационной безопасности условно можно разделить на две категории. Первая – это предоставление в облаке инструментов, которые не затрагивают внутреннюю инфраструктуру компании (в их числе, например, ETHIC, разработка Softline, позволяющая отслеживать репутационные риски в Интернете). Вторая группа – классические MSSP, аутсорсинг ИБ и услуги Центра мониторинга и реагирования на инциденты (SOC).

«
Работать с ними пока готовы не все клиенты, так как для многих пустить во внутреннюю инфраструктуру представителей внешнего провайдера оказывается психологически сложно или невозможно по причине строгих внутренних регламентов. Постепенно ситуация меняется и, на мой взгляд, со временем мы сможем прийти к полному переходу на сервисную модель потребления ИБ, - сказал Дмитрий Ковалев.
»

Региональный директор Skybox Security в России и СНГ Юрий Черкас напомнил, что основная задача информационной безопасности - защита от реального нарушителя, который может атаковать в любом месте. И только анализ всех компонентов инфраструктуры в совокупности позволяет реально смоделировать поверхность атаки.

Региональный директор Skybox Security в России и СНГ Юрий Черкас

Основная сложность состоит в том, что, во-первых, сама сеть динамически меняется, в том числе меняются правила доступа в сеть, поскольку 70- 100 изменений в день - это нормально. Во-вторых, растет количество уязвимостей: каждый месяц появляется 1-1,5 тыс. новых, а кроме того еще и появляются новые сервисы, которые тоже имеют уязвимости. Спикер перечислил параметры анализа вектора атаки:

  • наличие уязвимости и ее критичность;
  • тип и расположение злоумышленника;
  • наличие сетевого доступа;
  • наличие готовых эксплойтов;
  • ценность актива.

Затем Юрий Черкас рассказал о пяти шагах по управлению уязвимостями, которые можно реализовать на платформе Skybox View: 1. Знай свою сеть: это не мониторинг, а построение обновляемой модели конкретной корпоративной сети;
2. Знай все уязвимости сети: на основе актуальной базы уязвимостей Skybox;
3. Анализируй векторы атак: выделяй наиболее актуальные;
4. Расставляй приоритеты уязвимостей в контексте сети на основе скоринговой модели;
5. Действуй направленно при закрытии уязвимостей, причем Skybox напоминает не только о доступных обновлениях, но и о сигнатурах IPS.

В результате реализации перечисленных пяти шагов количество уязвимостей становится прозрачным и управляемым, заключил Юрий Черкас, и внутри компании можно выстроить автоматизированный процесс управления ИБ.

«
Количество цифровых сервисов растет, - констатировал Юрий Черкас, - Это требует от нас более эффективного реагирования на меняющиеся процессы. Необходимо постоянно повышать эффективность управления уязвимостями, повышать безопасность инфраструктуры.
»

Юрий Черкас также поделился мнением об особенностях и сложностях защиты виртуальных сетей. Виртуальные сети становятся все популярнее, но, действительно, удобство применения этих технологий сопряжено с рядом сложностей с точки зрения информационной безопасности, отметил он.

«
Основными преимуществами виртуализации и контейнеризации является гибкость и эластичность, которая позволяет динамически перераспределять и наращивать вычислительные ресурсы, тем самым значительно повышая эффективность их использования. При этом настройки виртуальной инфраструктуры постоянно меняются, появляются новые сервисы и приложения, корректируются правила сетевого взаимодействия и т.д. В таких условиях очень сложно произвести инвентаризацию ИТ-ресурсов привычными традиционными средствами, как бы банально это не звучало, - говорит Юрий Черкас.
»

Поэтому представитель Skybox Security выделяет 2 основные проблемы:

1. Сложность инвентаризации активов в условиях постоянных изменений, особенно с ростом популярности контейнерных сред;

2. Малая эффективность традиционных имеющихся средств защиты.

«
Но в этом нет ничего страшного, т.к. решение уже существует и даже используется в ряде компаний в России. Основyая идея заключается в том, чтобы иметь всегда актуальный перечень функционирующих в виртуальной или контейнерной среде сервисов и приложений. Достигается это путем интеграции с VMware NSX, Kubernetes и другими платформами виртуализации. Эти же решения путем «пассивного» сканирования выявляют все имеющиеся в виртуальной инфраструктуре уязвимости и анализируют угрозы. Далее остается выбрать меры по устранению возможных векторов атак на выявленные уязвимости. В качестве возможных мер могут использоваться специализированные МЭ для виртуальных сред, - пояснил Юрий Черкас.
»

Алексей Андрияшин, технический директор Fortinet в России и странах СНГ, представил доклад, посвященный безопасности SD-WAN сетей. Спикер отметил, что при построении сетей часто уделяется внимание транспортной составляющей, повышению качества передачи данных. Однако при появлении трафика ситуация в сети может измениться кардинально и даже непредсказуемо: могут возникнуть пиковые нагрузки, очереди, снизиться качество данных. Чтобы исправить эту ситуацию, придуман набор правил, которые помогают повысить производительность сети, улучшить качество работы приложений, которым важно уделять особое внимание.

Алексей Андрияшин, технический директор Fortinet в России и странах СНГ

Докладчик пояснил, в чем полезное свойство SD-WAN в связи с этим. Главная задача, отметил он, – построить такую распределенную сеть, при которой трафик определенных приложений будет гарантированным образом доставляться по назначению. Работа приложений должна быть построена таким образом, чтобы исключить сложности, которые могут возникнуть в зависимости от выбора определенного канала передачи данных. Концепция SD-WAN подразумевает автоматический выбор направления передачи трафика приложения с тем, чтобы обеспечить его гарантированную работу. Основные направления безопасности SD-WAN:

  • требование легкой замены компонентов, на которых строится сеть;
  • упрощение управления сетью;
  • обеспечение производительности любых приложений – облачных или локальных;
  • обеспечение сетевой безопасности.

Спикер рассказал, что компания Fortinet предлагает законченное решение FortiOS Secure SD-WAN. По его оценке, это решение позволяет снять все вопросы, связанные с построением защищенных сетей, и в том числе сетей, где работают приложения со строгими требованиями по обеспечению безопасности.

«
Очень часто при построении SD-WAN вопросы безопасности решают отдельным образом, и это большая проблема, - констатировал Алексей Андрияшин. – Безопасность при построении SD-WAN должна занимать самое первое место, все процессы внутри должны рассматриваться с точки зрения безопасности.
»

Антон Фишман, руководитель департамента системных решений Group-IB, рассказал об угрозах для отечественных компаний и физических лиц в 2020 году, тактиках нападения и защиты от атак, решениях по безопасности своей компании. Спикер поведал о нескольких схемах мошенничества, начав со схемы «курьер», впервые проявившей себя, по его словам, в августе 2019 года и получившей большое распространение в 2020. Суть схемы следующая: на популярных ресурсах бесплатных объявлений вроде Avito злоумышленники размещают премиальное объявление о продаже по заниженным ценам товара – телевизоров, мобильных телефонов и др. Покупатель связывается с продавцом во внутреннем чате бесплатного сервиса. Затем продавец переводит общение с покупателем в один из популярных мессенджеров якобы для удобства, но на самом деле для того, чтобы служба безопасности площадки не отследила его действия.

Антон Фишман, руководитель департамента системных решений Group-IB

После этого злоумышленник запрашивает контактные данные покупателя для оформления доставки через курьерскую службу. Покупателю отправляется ссылка на фейковый сайт или страницу, полностью копирующую дизайн известного почтового или курьерского бренда, после чего жертве предлагается совершить оплату товара.

Зачастую мошенники не останавливаются на достигнутом, некоторых жертв им удается обмануть повторно – разводят на возврат денег, задержку товара на таможне. Средний чек одного такого мошенничества – от 15 до 30 тыс. рублей, ежедневный оборот только одной группы, занимающейся этой схемой, составляет более 200 тыс. рублей. В период пандемии, дополнил Антон Фишман, количество регистраций фишинговых доменов, в том числе курьерских служб, выросло более чем в 7 раз.

Для СМБ актуальна схема мошенничества, когда злоумышленники попадают в инфраструктуру клиента через уязвимый RDP-сервер. Она была особенно актуальна в период массового перевода на удаленку, но действует и сейчас. Злоумышленники получают доступ на домен контроля, пояснил Антон Фишман, шифруют данные и требуют выкуп порядка 10 биткойнов.

Касательно крупного бизнеса спикер привел пример атаки, которая прошла по компаниям энергетического комплекса России. Первоначальный вектор проникновения был стандартный – через презентации, вложенные в почтовую рассылку от якобы логистических служб. После открытия презентации пользователем в реестре генерируется огромное количество ключей, которые появляются в автозапуске и в отложенных задачах, при этом ни одного файла на компьютере не создается. Потом генерируется загрузчик, сам по себе не имеющий вредоносной сути, но он подгружает вредонос из интернета и делает вредоносную инъекцию, вставляя ее под легитимный процесс. Поскольку на самом хосте не создается объектов, стандартным антивирусом обнаружить такую атаку невозможно, только при помощи систем поведенческого анализа, и то не всегда.

В завершение Антон Фишман рассказал про комплексный подход к безопасности на базе комплексной системы предупреждения киберугроз Treat Detection System (TDS) от Group-IB.

«
Наша задача – покрыть все вектора распространения угроз, - сказал Антон Фишман. - Сейчас наше решение - это уже крупный комплекс, который состоит из шести модулей. Он покрывает и ICS-системы (Industrial Control Systems), и саму сеть – анализ аномалий и др., и почту, и загрузку файлов на хостах при помощи поведенческого анализа. Все модули взаимосвязаны и обогащаются из системы кибер-разведки, которая остается флагманским продуктом нашей компании.
»

Денис Рыбин, руководитель группы информационной безопасности Mail.ru, рассказал об актуальных угрозах ИБ и способах защиты корпоративных коммуникаций. Начал свое выступление спикер с того, как выглядит классический ландшафт компании с незрелой ИБ:

  • все подразделения используют неструктурированные внешние сервисы ИБ;
  • наличие переиспользуемых учетных записей;
  • совмещение сотрудниками рабочего и личного пространства.

Денис Рыбин, руководитель группы информационной безопасности Mail.ru

Денис Рыбин подробнее рассмотрел, какие угрозы это несет. Так, неструктурированные внешние сервисы, отметил он, не гарантируют доступность, ведь рабочее пространство компании завязано на внешнего поставщика, с которым нет даже договора о доступности сервисов. И если компания решит, что больше не оказывает данную услугу или она должна стать платной, компания понесет убытки.

Не следует забывать и про отсутствие целостности данных в условиях, когда используются несколько мессенджеров. Внутренние документы, содержащие коммерческие тайны, пересылаются на множество ресурсов, и если какие-либо документы вдруг утекут, невозможно будет восстановить картину инцидента – никто не предоставит логов. Не стоит забывать и о том, что, предоставляя внешним сервисам какие-либо данные, компания соглашается с тем, что у посторонних лиц есть к ним доступ.

Что касается переиспользуемых записей, то какими бы сознательными ни были сотрудники, всегда найдутся те, кто будет использовать старые пароли или придумывать слабые новые, чтобы проще было запомнить. Сотрудники такой организации никогда не будут использовать двухфакторную аутентификацию, учетные записи после увольнения будут оставаться заброшенными.

Совмещение рабочего и личного пространства – зона, которая содержит ряд критичных проблем:

  • неоднозначные имена, сложность определения владельца аккаунта;
  • высокая вероятность случайной пересылки документа из делового чата в личный;
  • повышенный риск социальной инженерии.

Решить эти проблемы, по оценке Дениса Рыбина, призваны привычные сервисы корпоративных коммуникаций, но под полным контролем – корпоративная почта, система хранения документов и мессенджер, ВКС и VPN. Преимущества такого подхода:

  • корпоративные данные остаются в периметре компании, потоки данных можно отследить;
  • гибкость интеграции и настройки ИБ – в том числе двухфакторная аутентификация;
  • прозрачность и оперативность при расследовании инцидентов.

«
Важно понимать, что есть модель общей ответственности, - подчеркнул Денис Рыбин. - В случае с Amazon данный ресурс предоставляет все нижние инфраструктурные слои, а компания накручивает на них свои продукты. В случае же запуска решения на своей площадке все наоборот: вендор предоставляет решение, а вы обязаны сделать для него инфраструктуру. Каким бы безопасным решение ни было само по себе, вы должны предоставить для него безопасный инфраструктурный слой.
»

Валерий Денисов, инженер по информационной безопасности Check Point, тоже подтвердил актуальность фишинга и электронной почты, как одного из популярных каналов для атак, а также поделился мнением о наиболее актуальных задачах по защите бизнес-сервисов на период пандемии. Очень многие заказчики сейчас переходят на облачные варианты – тот же MS Office 365, отметил он. При использовании облачных сервисов необходимо понимать, что сам сервис может быть защищен, но данные, которые получаются с его помощью, нужно проверять и защищать, чтобы пользователь не получил вредоносный код.

По оценке Валерия Денисова, есть много интересных примеров фишинга, когда злоумышленники пытаются поставить пользователю приложение под видом TeamViewer и скомпрометировать рабочее место, что особенно актуально при удаленной работе. Чтобы понимать, что происходит в мире, в Checkpoint работает команда аналитиков, публикуются отчеты с указанием инструментов взлома, сказал спикер.

Современные заказчики широко используют продвинутые технологии, констатировал Валерий Денисов: различные контейнеры, облака, посредством которых разработчики меняют инфраструктуру и приложения ежедневно. ИБ-специалистам нужно постоянно подстраиваться под новое, понимать, что происходит в публичных облаках, контейнерах просто для того, чтобы не потерять контроль. Осложняет ситуацию и то, что порог входа в атаку сегодня достаточно низкий: в интернете представлено огромное количество примеров, как совершить ту или иную вредоносную инъекцию.

В завершение доклада Валерий Денисов рассказал о семействе продуктов Check Point CloudGuard – комплексе технологий для защиты любой инфраструктуры, которая находится и на площадке заказчика, и в публичном облаке. Для безопасного использования публичных облаков нужно понимать, что в них развернуто, какие виртуальные машины и с какими настройками. В этом способен помочь сервис DOM9, который подключается к публичному облаку, сканирует все сервисы и ресурсы, проверяет конфигурацию на соответствие ожиданиям заказчика. Если используются веб-приложения, на этот случай Check Point предлагает CloudGuard WAAP, использующий машинное обучение для динамической подстройки под приложение.

«
Поскольку пользователь при удаленной работе находится вне периметра, то мощная защита самого периметра не спасет того, кто подключается посредством облачного ресурса, - констатировал Валерий Денисов. – В новых обстоятельствах необходимо защищать каждую точку обработки информации. Если это сервер, то необходимо внедрять модель нулевого доверия - Zero Trust - чтобы контролировать все потоки трафика от сервера и к нему. Если пользователь подключается к корпоративной системе по VPN, то необходимо защитить его рабочую станцию, потому что скомпрометированный пользователь может нанести вред в виде утечки информации.
»

На актуальную производственную тему выступил Ян Сухих, руководитель отдела безопасности АСУ ТП компании «Ростелеком – Солар». Он рассказал про особенности защиты АСУ ТП. В их числе – «зоопарк» вендоров, дефицит специалистов, огромные риски ИБ и восприятие инвестиций в ИБ как невозвратных и неэффективных со стороны собственника бизнеса.

Ян Сухих, руководитель отдела безопасности АСУТП компании «Ростелеком – Солар»
«
Инвестиции в информационную безопасность АСУТП воспринимаются собственником бизнеса как безвозвратные инвестиции, то есть как ненужные траты, - заметил Ян Сухих. - На самом деле это не так, и лекарство здесь – риск-ориентированный подход. Нами была разработана модель, позволяющая оценить вероятность взлома на основе скоринговой системы. С ее помощью бизнесу можно доказать, что это не просто затраты, а средства, которые позволяют сэкономить.
»

Докладчик констатировал, что речь идет не только о «зоопарке» АСУТП от разных вендоров – Siemens, Schneider Electric, Emerson, но еще и о системах разных поколений, ведь срок работы АСУТП составляет 20 – 25 лет, в отличие от других ИТ-систем. К этому добавляется еще и проблема «зоопарка» сетевых архитектур. В результате АСУТП защищается по «кусочному» принципу: для защиты одной системы привлекается один вендор, для защиты другой – еще один. Обслуживать все эти системы заказчику очень сложно. Поэтому важно иметь концепцию ИБ, с ее разработки следует начинать систематизацию ИБ на предприятии.

Вторая особенность - отсутствие опытных ИБ-специалистов по работе с АСУТП. Это отчасти следствие тотального дефицита кадров на рынке, который будет только усугубляться, заметил Ян Сухих. Большие затраты на обучение специалистов – тоже проблема. Причем специалисты после обучения часто уходят к интеграторам или уезжают за границу. В этом контексте предприятиям важно сотрудничать с профильными вузами в плане подготовки специалистов ИБ.

Что касается рисков, то стоимость ущерба от инцидентов в АСУТП может быть колоссальной, констатировал Ян Сухих. На крупном химическом предприятии ущерб от остановки производства может составлять от полумиллиона до трех миллионов долларов в сутки, а потенциальный ущерб от крупных аварий может исчисляться десятками миллиардов долларов, привел пример он. Спикер напомнил о кибератаке на датскую компанию Maersk, ущерб от которой оценивается в $300 млн.

В заключение Ян Сухих констатировал, что полагаться на то, что сработает один из слоев защиты ИБ АСУТП – технологический, мониторинговый или система противоаварийной защиты - нельзя, нужно делать акцент на комплексный подход.

Михаил Папура, заместитель генерального директора АО «Корп Софт», рассказал участникам конференции о продукте компании на основе технологии распознавания лиц, основная задача которого – защита информационной системы от НСД. Спикер рассказал, что применение программных сервисов биометрической защиты нивелирует следующие пять угроз:

  • при идентификации проверяется, кто вводит логин и пароль, является ли он их владельцем;
  • защита от подмены пользователя - использование ИС злоумышленником, когда авторизованный пользователь отошел от монитора, экран блокируется, поскольку осуществляется непрерывная проверка присутствия авторизованного пользователя;
  • идентификация при удаленной работе пользователя;
  • ситуация подглядывания из-за плеча – как только появляется неопознанное лицо, экран блокируется, а пользователь получает сообщение.
  • регламентация доступа к технологическому оборудованию – например, к производственной линии, станку.

Михаил Папура, заместитель генерального директора АО «Корп Софт»

Михаил Папура рассказал о компонентах продукта, который включает биометрический сервер BiomServer, локальный компонент BiomCam и агент BionAgent , непосредственно отрабатывающий сценарии реагирования. Эти компоненты, отметил докладчик, могут работать через облачные сервисы, в локальной сети, на площадке заказчика. При этом возможны два варианта реализации защиты – извне, на уровне ОС, и внутри, когда защита встраивается в код ИС. Первый - когда у заказчика нет исходных кодов программ, либо он не хочет их нарушать. В этом случае биометрическая защита осуществляется очень быстро: 100 пользователей можно подключить в течение одного часа. Второй сценарий – когда сценарии вписаны внутрь ИС, и это большая гибкость, но требуется дорабатывать программный код.

В плане требований по защите персональных данных, отметил Михаил Папуро, система распознавания лиц позволяет хранить не фотографии, а дескрипторы лица по характерным точкам.

«
Все знают про уникальные для каждого человека биометрические слепки – отпечаток пальца, голос, рисунок вен, лицо, - напомнил Михаил Папура. - Чтобы идентифицировать пользователя в ИС, наиболее удобно его лицо. Наше решение обеспечивает непрерывную биометрическую идентификацию в информационной системе на основе распознавания лица ее авторизованного пользователя.
»

Архив конференций IT Security Day:



Официальный Партнер конференции компания Skybox Security

Skybox Security – предлагает решение по управлению безопасностью совершенно нового класса. С одной стороны, платформа дает полную видимость сети, интегрируясь с 140+ различными ИТ и ИБ-решениями, и успешно реализует функционал, свойственный продуктам класса Firewall Management. С другой стороны, компонент Vulnerability and Threat Management работает с уязвимостями, имеющимися в ИТ-инфраструктуре, и позволяет моделировать вектора атак на конкретные активы с учетом настроек сети, что дает возможность своевременно выявлять наиболее опасные уязвимости и фокусироваться на их устранении. Такое сочетание возможностей продукта в рамках одной платформы делает ее действительно уникальной и одинаково востребованной как ИТ, так и ИБ-службами организаций различных отраслей.


Официальный Партнер конференции компания Softline

Softline – лидирующий глобальный поставщик IT-решений и сервисов, работающий на рынках Восточной Европы, Америки и Азии. Мы помогаем нашим заказчикам осуществить цифровую трансформацию бизнеса и защитить его от угроз средствами кибербезопасности. Мы предлагаем комплексные технологические решения, облака, программное и аппаратное обеспечение и широкий спектр IT-услуг. Оборот компании Softline в 2019 году превысил $1,54 млрд долларов при росте продаж на 13,2% по группе компаний. Компания представлена в 95 городах 50 стран мира. За более чем 25 лет успешной деятельности мы накопили уникальный опыт работы на крупных, динамично развивающихся рынках.

Клиентами Softline уже стало более 60 000 частных и государственных организаций всех масштабов, от крупных корпоративных заказчиков до среднего и малого бизнеса. Более 1500 аккаунт-менеджеров, 1000 специалистов по продажам решений и technical presale, 1000 инженеров и технических специалистов помогают заказчикам выбрать оптимальные IT-решения и грамотно внедрить их.

Компания Softline является партнером более чем 3000 поставщиков программного и аппаратного обеспечения, имеет высочайшие партнерские статусы всех ключевых вендоров. Для наших поставщиков мы предоставляем уникальный канал маркетинга и продаж, охватывающий все страны нашего присутствия. В то же время мы всегда находимся на стороне клиента и предлагаем решения, наилучшим образом решающие его задачи, вне зависимости от бренда.



Официальный Партнер конференции компания Group-IB

Group-IB — один из ведущих разработчиков решений для детектирования и предотвращения кибератак, выявления фрода и защиты интеллектуальной собственности в сети. Система сбора данных о киберугрозах Group-IB Threat Intelligence признана одной из лучших в мире по версии Gartner, IDC и Forrester. В основе технологического лидерства компании – 16-летний опыт расследования киберпреступлений по всему миру и более 60 000 часов реагирования на инциденты ИБ, аккумулированные в крупнейшей в Восточной Европе Лаборатории компьютерной криминалистики и круглосуточном центре оперативного реагирования CERT-GIB. Group-IB — партнер Interpol и Europol, поставщик решений в сфере кибербезопасности, рекомендованный SWIFT и ОБСЕ. Group-IB – компания-участник Всемирного экономического форума.



Партнер конференции компания Ростелеком-Солар

«Ростелеком-Солар», компания группы ПАО «Ростелеком» – Национальный провайдер сервисов и технологий для защиты информационных активов, целевого мониторинга и управления информационной безопасностью. В основе наших технологий лежит понимание, что настоящая информационная безопасность возможна только через непрерывный мониторинг и удобное управление системами ИБ. Этот принцип реализован в продуктах и сервисах «Ростелеком-Солар». Линейка продуктов «Ростелеком-Солар»: 1. Solar Dozor (DLP) – блокирует утечки информации, анализирует действия пользователей и помогает выявлять ранние признаки корпоративного мошенничества. 2. Solar webProxy (SWG) – контролирует доступ сотрудников и приложений к веб-ресурсам и защищает веб-трафик от вредоносного ПО и навязчивой рекламы. 3. Solar appScreener (SAST) – анализирует безопасность приложений методом «белого ящика», выявляя уязвимости и закладки в исходном коде и исполняемых файлах. 4. Solar inRights (IGA) – помогает построить удобные и эффективные процедуры исполнения регламентов управления доступом и расследовать инциденты, связанные с правами доступа. Сервисы «Ростелеком-Солар»: 1. Solar JSOC – первый в России коммерческий центр по мониторингу и реагированию на инциденты ИБ, предоставляющий сервисы по защите от внешних и внутренних киберугроз по модели MDR (Managed Detection and Response). 2. Solar MSS — экосистема управляемых сервисов кибербезопасности (Managed Security Services), решающих задачи по защите от киберугроз в процессе цифровой трансформации российских организаций. «Ростелеком-Солар» делает технологии доступными и удобными: 1. Сложные наукоемкие технологии представлены пользователям через простые и понятные интерфейсы. 2. Заказчики сами выбирают способ доставки технологий – в виде традиционного приложения (on-premise) или сервиса (SaaS). Продукты и сервисы «Ростелеком-Солар» защищают 50+ компаний из топ-100 российского бизнеса.

Программа конференции

ВремяТема докладаДокладчик
11:00 Плешков Алексей

Независимый эксперт

11:12 Демидов Сергей

Директор департамента информационной безопасности, Группа «Московская Биржа»

11:24 Ковалев Дмитрий

Руководитель отдела технологической экспертизы ИБ, Softline

11:41 Черкас Юрий

Региональный директор Skybox Security в России и СНГ

11:58 Андрияшин Алексей

Tехнический директор Fortinet в России и странах СНГ

12:15 Фишман Антон

Руководитель департамента системных решений Group-IB

12:32 Рыбин Денис

Руководитель группы информационной безопасности Mail.ru

12:44
КАКИЕ ЗАДАЧИ НАИБОЛЕЕ АКТУАЛЬНЫ ДЛЯ ИБ-СФЕРЫ?
Денисов Валерий

Инженер по информационной безопасности, Сheckpoint

12:56 Сухих Ян

Руководитель отдела кибербезопасности АСУ ТП, Ростелеком- Солар

13:08 Папура Михаил

Заместитель Генерального директора Корп Софт

13:20 Скородумов Анатолий

Начальник управления по обеспечению информационной безопасности, Банк Санкт- Петербург

13:32 Нуйкин Андрей

ННачальник отдела обеспечения безопасности информационных систем, ЕВРАЗ

13:45
Завершение мероприятия