доктор веб медведев вячеслав год прошел как сон пустой...

Г. ЕКАТЕРИНБУРГ4 СЕНТЯБРЯ 2014

Вячеслав МедведевДоктор Веб

Год прошел как сон пустой… или почему ничего не меняется в информационной безопасности

ООО "Доктор Веб"+7(495)789-4587+7(495)796-8992

Прошел год с нашей предыдущей встречи. Вышли новые приказы и стандарты по ИБ, отгремели атаки на банковскую сферу хакеров Украины, взломали твиттер Дмитрия Медведева…

2


Не дремали злоумышленники (которые давно уже не равны просто хакерам- маньякам)

3


• Троян-шифровальщик для шифрования файлов, хранящиеся в сетевых хранилищах производства компании Synology.

http://news.drweb.com/show/?c=5&i=5890&lng=ru

• Трояны для блокировки Android устройств и кражи с них денежных средств

http://news.drweb.com/show/?c=5&i=5886&lng=ruhttp://news.drweb.com/show/?c=5&i=5815&lng=ru

• Хакеры могут следить за пользователями, даже не расшифровывая трафик

http://www.securitylab.ru/news/456716.php

4





Поменялось ли что-то к лучшему в статистике безопасности?

5


6

• По сравнению с 2011–2012 гг. средний уровень защищенности сетевого периметра и внутренних сетей понизился.

• Для проведения атак внешнему злоумышленнику теперь требуется более низкая квалификация. Для 50% атак достаточно низкой квалификации, тогда как ранее такая квалификация была достаточной для 40% атак

• с 74 до 91% выросла доля систем, где оказалось возможным получение доступа во внутреннюю сеть.

• Получение полного контроля над важными ресурсами из внутренней сети теперь возможно для 100% рассмотренных систем, тогда как ранее подобный результат был получен в 84% случаев. В 71% случаев внутренний нарушитель может получить полный контроль над всей информационной инфраструктурой.

Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies


7

• В 67% компаний словарные пароли использовались для привилегированных учетных записей.

• с 10 до 64% возросла доля систем, где не установлены актуальные обновления безопасности на узлах сетевого периметра.

• Наиболее распространенной уязвимостью ресурсов внутренней сети по-прежнему является использование слабых паролей, которые встречаются в 92% систем.

• В каждой третьей системе уровень осведомленности пользователей был оценен как низкий, в этих системах свыше 20% адресатов рассылки, эмулирующей фишинг, перешли по предложенным ссылкам и запустили предложенный файл или ввели свои учетные данные.

Статистика уязвимостей корпоративных систем (2013 ) Positive Technologies


Троян, предназначенный для удаления на инфицированном компьютере других вредоносных программ.


В этих условиях за чистотой в сети начинают следить уже вирусы

8



В чем причина подобного падения интереса к безопасности? Или проблема совсем в иной области?

9


Мы отвечаем за то, что мы выбираем или стоит ли верить моде?

10


Интеграция с корпоративными системами управления, использование в своих приложениях сторонних библиотек

Интеграция с корпоративными системами управления позволяет, в частности, не переключаясь между интерфейсами систем управления, контролировать состояние всей сети.

Но каждая система безопасности настолько надежна, насколько она себя контролирует. Примеры взлома защищенных систем (java, защищенные среды исполнения) постоянно освещаются в новостях. Полагаясь на систему управления, компоненты которой не защищены от модификации или подмены, администратор может в один прекрасный момент увидеть совсем не то, что происходит в сети.

11


А между прочим:

Разделение в информационной системе функций по управлению (администрированию) информационной системой, управлению (администрированию) системой защиты информации, функций по обработке информации и иных функций информационной системы

Приказ ФСТЭК России № 17

12

Использование в локальной сети ПО, имеющего известные уязвимости или ПО для которого нет средств защиты

13

Вирус AdThief заразил более 75 тыс. iOS-устройств http://www.anti-malware.ru/news/2014-08-21/14586

Гетерогенная среда создается путем применения различных типов информационных технологий с целью ограничения возможностей потенциальных нарушителей по реализации угроз безопасности информации (по несанкционированному доступу к информации, внедрению вредоносного программного обеспечения (компьютерных вирусов) и по организации вторжений (проведению компьютерных атак)).

В информационной системе должно применяться прикладное и специальное программное обеспечение, имеющих возможность функционирования на различных типах операционных системах (независимое от вида операционной системы прикладное и специальное программное обеспечение).

Приказ ФСТЭК России № 17

14


Проактивные системы (обычного типа)

Требуют наличия в базах данных всех профилей всех существующих в мире программ, что нереально – в том числе в связи с тем, что программы постоянно обновляются. Это приводит к тому, что у пользователя временами запрашивается разрешение на то или иное действие. И неверный ответ может привести к тяжелым последствиям. Таким образом, реальна атака на «приучение» пользователя отвечать «да» и последующее вредоносное действие.

15


Системы на основе контроля за изменениями, в том числе облачные

Прорывная технология в момент возникновения, позволяющая сократить время проверки, сейчас не имеет смысла – контрольные суммы файлов нужно пересчитывать после каждого обновления, то есть примерно раз в час, что увеличивает торможение системы.

В дополнение к этому облачные системы критичны к каналу доступа в Интернет.

16


Возможность внедрения вредоносных программ в легитимные загрузки – в том числе в подписанные исполняемые файлы, если проверка подписи не проводится перед их выполнением


Во-первых, антивирусная защита поддерживается только для Windows. Для реализации безагентового сценария при

виртуализации Linux/Unix/… придётся подождать VMware. Во-вторых, … не работает функция карантина для файлов и

зараженных «виртуалок». Т.е. отловленного зловреда можно только убить, вылечить или протрубить сигнал сисадмину. В-третьих…

Увы – всё это тоже особенности API от VMware.Eugene Kaspersky Амбиции, лень и жадность в IT-бизнесе

17



Облачные антивирусы…

Кто-кого обманывает или кто-то собирается отправлять конфиденциальные данные на проверку на чужие сервера?

18


Антиспам системы на основе байесовских сумм

Могут быть доведены до 100-процентого обнаружения спама, но требуют постоянного обучения и используют внешние базы DNSBL – в связи с чем уязвимы к атакам на дискриминацию отправителя через внесение его в данные базы.

Облачные системы антиспама также могут быть уязвимы к атакам на дискриминацию отправителя.

19


Блокирование сменных носителей на основе их идентификаторов

Но сейчас все флешки выпускаются с одним идентификатором

20


Думаете это полный список ложных технологий, которые вам продают?

• Виртуальные клавиатуры• Защищенные среды исполнения• Менеджеры паролей• Системы анализа уязвимостей• Программы, именующиеся себя Антируткитами и

антиспуваре

21


Не все золото, что блестит

Многие ранее реализованные подсистемы безопасности в силу современных угроз либо потеряли свою значимость, либо стали

просто вредны

22


Антивирус обязан

иметь систему самозащиты, не позволяющую неизвестной вредоносной программе нарушить нормальную работу антивируса

нормально функционировать до поступления обновления, позволяющего пролечить заражение

иметь систему сбора информации, позволяющую максимально быстро передавать в антивирусную лабораторию всю необходимую для решения проблемы информацию

лечить активные заражения

23


IT-специалисты могут получить подтвержденные «Доктор Веб» знания значительно быстрее и, что самое главное, совершенно бесплатно.

Чтобы стать специалистом в администрировании программных продуктов Dr.Web, необходимо:1. Зарегистрироваться на сайте training.drweb.com/external и получить доступ к «Личному кабинету»;2. Самостоятельно изучить учебные материалы, которые находятся в «Личном кабинете»3. Сдать соответствующий экзамен.

В случае успешной сдачи экзамена соискатель получает электронный сертификат по выбранному направлению.

Обучение специалистов

24


25


Вопросы? Благодарим за внимание!

Желаем вам процветания и еще больших успехов!

www.drweb.com

Номер службы технической поддержки

8-800-333-7932

Запомнить просто! – возникла проблема – набери DRWEB!

8-800-33-DRWEB


http://www.drweb.com/

доктор веб медведев вячеслав год прошел как сон пустой...

Documents