2020/11/03 11:30:56

IT Security Day 2020

14 октября 2020 года TAdviser провел онлайн-конференцию «IT Security Day 2020»

14 октября 2020 года аналитический центр TAdviser провел конференцию IT Security Day 2020, посвященную информационной безопасности бизнеса. В условиях массовой организации удаленной работы сотрудников эта тема стала особенно актуальной. Помимо этого, на мероприятии обсудили ситуацию на рынке информационной безопасности, изменение списочного состава актуальных угроз, их качественные характеристики, методы и инструменты защиты.

В мероприятии приняли участие 110 человек. В их числе представители таких организаций как Федеральное казначейство, ГИАЦ МВД России, Департамент информационных технологий Москвы, Департамент строительства города Москвы, Росгвардия, ГУП Мосгортранс, Российская государственная библиотека, Центральный банк РФ, Газпромбанк, «Спортмастер», «Корпорация Иркут», «Ашан Россия», «Лукойл-Технологии», «Транснефтьэнерго» и многих других.

Вел конференцию Алексей Плешков, начальник управления режима ИБ Газпромбанка, который и открыл мероприятие своим докладом.

Алексей Плешков, начальник управления режима ИБ Газпромбанка

Заказчики о новых угрозах и защите

Алексей Плешков посвятил свое выступление противодействию в Telegram-каналах мошенничеству, направленному против физических лиц. В ходе личного исследования методом OSINT (Open Source INTelligence), спикер смог получить доступ к базе данных действующих паспортов, другим персональным данным различного рода. Чаще всего эти данные утекают, по оценке Алексея Плешкова, путем фотографирования монитора – таких фотографий с объявлениями о продаже краденных данных в Telegram-каналах множество.

На основании опросов, проводимых по инициативе Telegram-каналов с целью исследования своей аудитории, можно утверждать, что более 2/3 аудитории интересуют инструкции по мошенничеству в интернете (scam), при этом 30% интересующихся – с опытом, 30% - новички. Реализуются мошеннические схемы, как правило, на барахолках в интернете вроде «Юла» и Avito, но помимо этого люди рисуют поддельные сайты, имитирующие внешний вид настоящих, активно занимаются фишингом. Это направление мошенничества стало особенно актуальным. Более 40% мошенников не достигли 18-летнего возраста, при этом идет дальнейшее омоложение жуликов.

Для новейшего времени характерно, что более половины мошенников считают себя вправе совершать преступления против стариков, инвалидов и людей, оказавшихся в сложной социальной ситуации. Порядка 80% сетевых проходимцев активно ищут новые схемы, источники доходов – они хотят развиваться. Наиболее популярные способы обналичивания мошеннических доходов – QIWI и криптовалюты, а наиболее вероятные направления дальнейшего роста мошенничества – недвижимость, социальная инженерия, удаленное заражение компьютеров и совершение несанкционированных операций.

«
В мире за последние полгода количества фишинговых атак по отношению к физическим лицам выросло в два раза, - сказал Алексей Плешков. – Это характерно и для России. Регулярно в сводках МВД появляется информация о мошенничествах в отношении физлиц, квалифицируемых по ст. 159 УК РФ и совершаемых по различным каналам – электронным, телефонным, в реальной жизни
»

Сергей Демидов, директор департамента информационной безопасности группы «Московская биржа», рассказал об уникальном опыте по контролю рисков удаленной работы, основанном на чужих ошибках. Первый случай, который внимательно изучили сотрудники группы «Московская биржа», был из международной практики. Финансовая организация с большой разветвленной сетью, в стране объявлен жесткий карантин, действуют большие ограничения с точки зрения государства. Злоумышленники атакуют сервера, удаленные офисы организации. Стандартные средства защиты от DDoS-атак оказались малоэффективны, удаленные сотрудники теряют возможность работать на целые дни, весь бизнес оказывается под серьезной угрозой. Борьба с атаками продолжается порядка двух недель, с подключением силовых ведомств.

Сергей Демидов, директор департамента информационной безопасности группы «Московская биржа»

По итогам рассмотрения этого кейса в группе «Московская биржа» пересмотрели архитектуру удаленного доступа, внедрили proxy-сервера, файерволы, реконфигурировали протоколы, стали тестировать средства защиты чаще – ежеквартально.

Второй кейс - из практики рисков использования собственных устройств сотрудников. Сотрудница некоей компании, в которой все в порядке с информационной безопасностью удаленных сотрудников, чередовала использование домашнего компьютера с дочкой, и на устройстве завелся троян. В итоге во время живой сессии, когда сотрудница ненадолго отошла от компьютера и не заблокировала интерфейс, хакер стал выполнять финансовые операции. По итогам изучения этого кейса, отметил Сергей Демидов, в группе «Московская биржа» пересмотрели политику BYOD, стали требовать от сотрудников обновлять антивирусы, делать соответствующие рассылки. Для критичных рабочих мест усилили контроль, повысили запас корпоративных нетбуков со средствами обеспечения ИБ.

«
В марте, апреле и мае пошел колоссальный рост фишинговых писем, - рассказал Сергей Демидов. – Тренинги, чтобы донести до удаленных сотрудников, проводить стало тяжело, стандартные онлайн-тренинги воспринимались все хуже, ушла их эффективность, стал нарастать риск пропуска критичных событий. Мы стали глубоко копаться в рассылках, чтобы не пропустить атаки, дополнительно мотивировать пользователей вознаграждением внутренней валютой за каждое сообщение по фишингу. Стали проводить короткие тренинги, но более регулярно
»

Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем «Евраза», рассказал о том, как в холдинге при помощи псевдофишинговых рассылок повышают осведомленность пользователей в вопросах реального фишинга. Основная проблема обычных рассылок по ИБ, проведения курсов повышения грамотности – сложность получения обратной связи, отсутствие понимания, осознали пользователи важность проблемы в полном объеме или остались вопросы. Исходя из этого, в холдинге пришли к идее псевдофишинга. Основная цель – понять, изучают ли люди материалы по ИБ, повысить осведомленность пользователей, оценить результаты.

Андрей Нуйкин, начальник отдела обеспечения безопасности информационных систем «Евраза»

На начальном этапе арендовали хост в облаке, разместили там фишиговый инструмент King Phisher. Рассылки начали делать еще в 2019 году, в 2020-м впервые попробовали помимо ссылок рассылать письма с документами. Результат: на 15 тыс. писем - 873 перехода по ссылке с оставлением учетных данных, 90% из которых - реальные. По письмам с документами – 100 человек открыли файлы, двое прислали документы со своими данными.

«
При переходе на удаленку резко выросло количество фишинговых сообщений – возврат налогов от государства и другие письма, - рассказал Андрей Нуйкин. - Мы поняли, что, несмотря на множество средств технической защиты, пользователи – наше слабое звено. Начали с простейшего: раз в месяц делали информационную рассылку по ИБ, где в сжатой форме рассказывали о проблемах, давали правильные установки. Кроме того, предлагали набор курсов, которые пользователь мог пройти по своему желанию или в обязательном порядке»
»

Илья Борисов, менеджер по ИБ регионального кластера СНГ ThyssenKrupp Industrial Solutions, рассказал об управлении процессами устранения уязвимости в крупной корпоративной информационной системе.

Илья Борисов, менеджер по ИБ регионального кластера СНГ ThyssenKrupp Industrial Solutions

Спикер выделил в этом процессе три основных шага:

  • обнаружение уязвимостей - при помощи рассылок, веб-приложения, сканера;
  • работа со списком – фильтрация, расстановка приоритетов, назначение сроков устранения;
  • устранение уязвимостей – установка обновлений, оформление исключения и др.

Актуальные проблемы:

  • неподдерживаемые системы, для которых не выпускаются обновления, но они являются критичными для бизнеса;
  • скорость – нужно устранять быстро, например - уязвимость уже активно эксплуатируется злоумышленниками, а ресурсов у ИБ-подразделения не хватает;
  • низкое качество обновлений – установка патча хуже, чем его отсутствие.

Спикер рассказал о «кольцах обновлений»: патч сначала разворачивается на небольшой группе опытных пользователей, потом на еще нескольких и лишь затем масштабируется на всю организацию. Завершил Илья Борисов свой доклад следующим тезисом: к управлению процессом устранения уязвимостей требуется комплексный подход с обязательным тестированием обновлений, ведением отчетности и соблюдением баланса между ИБ, ИТ и бизнесом.

«
В нашей компании основным инструментом обнаружения уязвимостей является сканер, который потом загружает информацию на портал в зависимости от региона, - рассказал Илья Борисов. - У каждого региона есть доступ к своим уязвимостям. На этапе работы со списком основная проблема в том, что уязвимостей много, и не всегда их можно устранить сразу. Поэтому они копятся, и возникает вопрос, как их отфильтровать, расставить приоритеты. Здесь иногда бывает важно обращать внимание на контекст уязвимости. Например, некоторые из них требуют локального доступа к системе – их можно устранить позже, а те, которые могут эксплуатироваться удаленно, лучше закрыть сразу»

»

Начальник отдела ИБ «ВТБ Специализированный депозитарий» Александр Луганцев раскрыл в своем докладе методологический аспект создания или реорганизации системы ИБ, когда нужно оценить состояние информационной безопасности в компании и понять, требуется ли создавать систему с нуля или модернизировать то, что есть. Важный момент, который сразу подчеркнул докладчик – предполагается, что руководство компании поддерживает сбор информации.

Начальник отдела ИБ «ВТБ Специализированный депозитарий» Александр Луганцев

На первом этапе аккумулируется информация о назначении компании, сферах деятельности, численности персонала, основных и вспомогательных процессах, порядке взаимодействия между подразделениями, процессе распространения решений руководства. Итог первого этапа является максимально полная общая информация о защищаемом объекте. На втором этапе изучается состав информационных систем, обеспечивающих функционирование компании на уровне локальной вычислительной сети: таблицы маршрутизации, состав сетевого оборудования, каналы связи с вышестоящими и нижестоящими организациями, доменная структура, способы выхода в сеть серверов. Итог – полная информация о сети, зафиксированная в отчете.

Третий этап – изучение информационных систем, обеспечивающих основные и вспомогательные бизнес-процессы, какие подразделения пользуются каждой ИС, есть ли ответственные за их функционирование. Итог – перечень систем с описанием их структуры. На четвертой стадии требуется понять, какая информация циркулирует в системах, степень ее актуальности, порядок классификации, защиты. На завершающем этапе определяется нормативная составляющая: под действие каких федеральных законов в части информационной безопасности подпадает компания.

«
После финального этапа сбора информации на руках должна быть полная картина функционирующих систем и степени обеспечения их защиты, - завершил свое выступление Александр Луганцев. - Можно готовить и предоставлять руководству план создания системы информационной безопасности, построенный на реальности. По опыту, при численности организации в 2-3 тыс. сотрудников такой аудит силами двух-трех человек занимает порядка двух-трех месяцев
»

Вендоры: тенденции и решения

Алексей Белоглазов, технический эксперт по защите от кибератак Check Point Software, поделился методами обеспечения безопасности вне корпоративного периметра организации, при удаленной работе сотрудников. Он отметил, что в последние месяцы неуклонно возрастает количество атак и на юридические лица - до 900 атак в неделю на одну организацию по России и СНГ. Активно развиваются банковские трояны. Количество атак с их помощью становится все больше, они активно крадут учетные данные пользователей. Растет и количество вымогателей-шифровальщиков, при этом снижается ценовой порог входа в преступный бизнес и возраст злоумышленников.

Алексей Белоглазов, технический эксперт по защите от кибератак Check Point Software

Фактор, негативно влияющий на безопасность работы из дома – «зоопарк» устройств, которые уже могут быть заражены, поэтому злоумышленники с удвоенной силой атакуют пользователей.

Затем Алексей Белоглазов поделился опытом перевода на удаленку сотрудников Check Point Software за 9 дней. Самым сложным оказался перевод разработчиков, некоторым из них пришлось организовать безопасный доступ непосредственно к рабочим станциям, где развернут весь необходимый им инструментарий. При этом на уровне шлюзовой защиты по периметру были запущены все средства защиты, включая запись сессий на уровне терминальных серверов, аутентификацию пользователей с возможностью подключения только к своим компьютерам. Но этими мерами в компании не ограничились и также развернули все рабочие столы в виртуальной сети Remote Access VPN с двухфакторной аутентификацией. На уровне мобильных устройств все корпоративные данные и мобильная почта находятся внутри защищенного крипто-контейнера, то есть они изолированы от операционной системы.

«
В связи с общей ситуацией задача офицеров безопасности усложняется, - сказал Алексей Белоглазов. – Помимо векторов атаки, к которым мы уже привыкли - почта, сеть и флешки - нужно учитывать, что теперь, когда мы работаем на удаленке, могут быть скомпрометированы устройства наших сотрудников, в том числе мобильные. Злоумышленники могут перехватывать трафик, стремятся перехватить «учётку», в том числе с помощью социальной инженерии. Причем эта задача становится приоритетной, поскольку наблюдается рост компаний, использующих облачные сервисы: уже 55 компаний из топ-500 РБК используют облачную почту, а в сегменте СМБ таких компаний еще больше, поскольку такие сервисы легко масштабируются, что особенно удобно при удаленке
»

Вячеслав Половинко, руководитель направления собственных продуктов «АМТ-Груп», поставил целью своего доклада привлечь внимание к технологии однонаправленного шлюза, устройствам класса Diode, которые на российском рынке применяются мало – в отличие от зарубежной практики. Из наиболее критичных в плане безопасности тенденций, выделенных спикером в начале выступления: атакам подвергаются такие объекты как госпитали, системы водоснабжения и энергоснабжения, то есть те, которые раньше даже по этическим критериям не могли быть атакованы.

Вячеслав Половинко, руководитель направления собственных продуктов «АМТ-Груп»

Устройства класса Diode, отметил Вячеслав Половинко, как раз и применяются тогда, когда атаки на периметр абсолютно недопустимы. Особенную актуальность Diode приобретает, исходя из роста количества и качественного изменения уязвимостей:

  • в начале августа 2020 американский центр реагирования на инциденты ICS CERT сообщил о большом количестве уязвимостей в приборах SIMATIC, SCALANCE, Yokogawa и др.;
  • ключевым для успеха большинства атак является установление двунаправленного канала взаимодействия с системой-«жертвой», причем двунаправленность важна уже на самом раннем этапе, при рекогносцировке цели;
  • многие техники захвата систем при атаке также реализуются на основе двустороннего взаимодействия;
  • зарубежный опыт демонстрирует, что регуляторы энергетического и транспортного секторов уже включили в свои документы стратегию кибербезопасности, причем для ряда отраслей применение устройств класса Diode в целях разделения зон безопасности регламентируется в явном виде.

В плане рыночных предложений Вячеслав Половинко констатировал, что в России западные вендоры или вовсе не поставляют продукты класса Diode, или делают это ограниченно и не готовы раскрывать коды, проводить диагностические мероприятия, сертифицировать по российским требованиям. Из российских вендоров мало кто уделяет этому внимания, воспринимая это как ограниченный сегмент, и компания «АМТ-Груп» - одна из тех, кто развивает линейку аппаратных и программно-аппаратных средств класса Diode. В заключение спикер привел примеры сценариев использования Diode, один из которых – однонаправленная загрузка данных в защищаемую информационную систему.

«
Раньше атака промышленных объектов была доступна лишь специально подготовленным, экспертным группам, зачастую в недрах спецслужб, - поделился Вячеслав Половинко. - В современном мире организовать атаку на крупный промышленный объект с катастрофическими последствиями можно с использованием практически общедоступных средств, причем это могут сделать даже подростки, не осознающие всей серьезности последствий. Вероятность такой атаки стала гораздо выше, причем она может носить случайный характер. Это подталкивает к необходимости применения на сегментах с ключевой значимостью по уровню доверия такого класса устройств, как Diode. Мы отстаем очень сильно в плане регламентации таких решений, у нас этим занимается пока преимущественно ФСТЭК и пока только в сфере промышленности, на Западе таких стандартов намного больше
»

Юрий Черкас, региональный директор Skybox Security в России и СНГ, посвятил свой доклад автоматизации выявления уязвимостей в различных компонентах корпоративной информационной системы. Спикер озвучил пошаговый подход Skybox Security:

Юрий Черкас, региональный директор Skybox Security в России и СНГ

1) «Знай свою сеть» - первым делом необходимо построить код модели корпоративной сети и постоянно ее обновлять;
2) «Знай все об уязвимости» - решение от Skybox может выступать единой базой данных, получая данные из других систем, обновляемых патчами, а кроме того есть встроенный движок пассивного сканирования;
3) «Анализируй векторы атак» - Skybox сигнализирует об уровне опасности по каждому вектору атаки;
4) «Приоритеты в контексте сети» - каждой потенциальной угрозе присваивается вероятностная оценка опасности по шкале;
5) «Действуй направленно» - система выдает рекомендации по устранению угрозы, остается только среагировать.

«
В корпоративной информационной сети есть масса уязвимостей,- завершил Юрий Черкас, Skybox Security. – Наша система позволяет выстроить оцифрованный процесс изучения уязвимостей, сконфигурировать сетевое оборудование, сфокусироваться на действительно опасных направлениях
»

Альберт Маннанов, продуктолог MSS «Ростелеком-Солар», рассказал про межсетевые экраны (МСЭ), их эволюцию, сложности при выборе и при поддержке в большой сети, об опыте решения этих проблем его компанией. Сначала межсетевые экраны были пакетными решениями, напомнил Альберт Мананов, потом с ростом количества атак потребовалась их модернизация, добавление новых функций - системы обнаружения вторжений, потокового антивируса, фильтрации трафика и ряда других. С ростом подключений к облачным сервисам потребовалось контролировать и их. Для нейтрализации более продвинутых угроз, например, «нулевого дня», которые невозможно обнаружить сигнатурным методом, нужно было выявлять поведенческим анализом, и в МСЭ появилась возможность отправлять файлы в песочницу. И, наконец, в экраны добавляется управление удаленными сотрудниками.

Альберт Маннанов, продуктолог MSS «Ростелеком-Солар»

Сложности, с которыми сталкиваются компании – «зоопарк» решений МСЭ, высокая стоимость специалистов, проблемы с лицензированием. При появлении дополнительного филиала или точки продаж растет количество подключений, нагрузка на специалистов, и, соответственно, возрастает риск, что упустили некое подключение, совершили другую ошибку. Кроме того, выходят обновления, нужно поддерживать работоспособность оборудования, при этом некоторые вендоры не предоставляют единую консоль поддержки оборудования.

Подход решению этих проблем «Ростелеком-Солар» – управляемый сервис UTM, в котором можно выделить две части – безопасность и сетевая инфраструктура. Безопасность обеспечивается на основе решений лидеров рынка МСЭ нового поколения Fortinet и CheckPoint. Вторая составляющая сервиса UTM – сетевая инфраструктура, обеспечивающая доступ к ЦОД, отказоустойчивость на площадках и шифрование.

«
Мы предоставляем функциональность лидеров нашего рынка межсетевых экранов с централизацией доступа в сеть для филиалов, - сказал Альберт Мананов. – Наш флагманский клиентский сегмент - компании с филиальной структурой, второй – представители СМБ, для которых сейчас готовится тарифная сетка, которая позволит даже маленьким компаниям, имеющим подключение к интернету, получать межсетевой экран как облачный сервис
»

Илья Осадчий, директор по развитию «Тайгер Оптикс», рассказал о двух продуктах, Guardicore и SilverFort. Первый предназначен для микросегментация ЦОД, контейнеров и частных облаков. Система SilverFort – решение для двухфакторной аутентификации без агентов на основе анализа поведения учетных записей и определения уровня риска.

Илья Осадчий, директор по развитию «Тайгер Оптикс»

Guardicore, отметил спикер, позволяет осуществить визуализацию всех сред в рамках единого интерфейса, увидеть текущие взаимодействия, аномалии, проблемы. Решение совместимо с технологиями контейнеризации и оркестрации, позволяет реализовать единую политику сегментации разнородной инфраструктуры, при этом не требуется закупок оборудования, переконфигурирования приложений. Принцип работы Guardicore – на все системы устанавливаются агенты, что позволяет отслеживать коммуникации и блокировать их, если это требуется.

В качестве примера Илья Осадчий привел кейс в банке из топ-25, где был сложный сегмент SWIFT и с помощью Guardicore смогли за две недели реализовать микросегментацию, причем не потребовалось закупки железа.

«
Нам часто говорят, что нет зрелости для сегментации ЦОД, но злоумышленникам все равно, есть она или нет - придут и взломают, - констатировал Илья Осадчий. - Поэтому нужно оценить риски, создать модели угроз, и если взлом ЦОД – реальный риск, то один из лучших подходов сегодня – микросегментация. И если не хватает зрелости ИТ, нужно ее повышать. В целом, если в дата-центре есть хотя бы 300 серверов или виртуальных машин, уже пора задуматься о микросегментации
»

Во второй части доклада Илья Осадчий рассказал о решении Silverfort, которое снижает риски пользователей и систем в плане неавторизованного доступа. Это очень актуально, подчеркнул спикер, поскольку 70% атак в 2019 году были при помощи украденных учетных записей.

Спикер подчеркнул, что система:

  • упрощает жизнь пользователям;
  • быстро внедряется – архитектура без агентов и прокси;
  • защищает все интерфейсы и протоколы на машине;
  • повышает безопасность за счет машинного обучения и анализа рисков.

«
Многие думают: куплю токен, внедрю аутентификацию и решу проблему – это не так, - констатировал Илья Осадчий. - Во-первых, аутентификация – это сложно, необходимо устанавливать агенты, учить пользователей. Во-вторых, использование аутентификации от традиционных поставщиков – иллюзия защиты, поскольку эти решения защищают интерактивный вход в Windows или другую ОС, добавив второй фактор. Но никто из злоумышленников не входит в Windows через интерактивный экран, все входят через невизуальные интерфейсы. То есть традиционные решения аутентификации поддерживают только часть систем, они некомфортны для пользователей и, по сути, не защищают, поскольку защищают не то, что нужно

»

Информация о Партнерах.

Компания «ОДИН АЙДИЭМ» (www.1idm.ru) является разработчиком программной платформы для построения систем управления учетными записями и правами пользователей – «1IDM: управление учетными записями и доступом». 1IDM является уникальной российской разработкой; включена в Реестр отечественного ПО Минкомсвязи РФ.

Используемые в платформе технологии делают решения на ее основе доступными не только в России, но и за рубежом. Платформа 1IDM является достойным выбором при импортозамещении мировых аналогов.

Системы, построенные на платформе 1IDM, характеризуются удобным учетом прав, а также обеспечивают оперативное управление и эффективный аудит прав доступа.

Внедрение 1IDM обеспечивает повышение качества контроля и аудита прав доступа пользователей к информационным ресурсам, соблюдение требований регуляторов, отраслевых и международных стандартов в области информационной безопасности.

1IDM одинаково подходит как крупным корпоративным заказчикам, так и предприятиям среднего масштаба. Нашими клиентами являются как государственные и коммерческие компании, так и органы власти. Существуют специальные условия для ВУЗов.


Skybox Security

Миссия Skybox Security - упростить задачу управления ИБ. Мы помогаем нашим клиентам выполнять рутинные задачи, высвобождая драгоценное время специалистов для реализации наиболее важных проектов и инициатив. Мы предлагаем интуитивно понятный инструмент, позволяющий ИТ и ИБ командам взаимодействовать более эффективно и оперативно. Интеграция с 140+ ИТ и ИБ-решениями дает единый источник данных, а автоматизированные задачи сбора, нормализации и анализа позволяют получить актуальную и целостную картину защищенности вашей инфраструктуры. Skybox Security – это единая платформа, работа которой основана на построении модели сети. Детальный анализ и контроль настроек сети позволяет управлять политиками сетевой безопасности, а симуляция атак и поиск уязвимых компонентов дает возможность расчета приоритета и риска для миллионов уязвимостей в течение часов, а не дней или недель.