САИБ. Максим Прокопов: "Практика расследования...
TRANSCRIPT
Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015#CODEIB
Прокопов МаксимГЕНЕРАЛЬНЫЙ ДИРЕКТОР,Сибирской Академии Информационной Безопасности
ПРАКТИКА ПРЕДОТВРАЩЕНИЯ ИНЦИДЕНТОВ В ИС С ПРИМЕНЕНИЕМ
ТЕХНИЧЕСКИХ СРЕДСТВ
SKYPEEMAIL
ЕСТЬ ЛИ У ВАС ИНЦИДЕНТЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ?
КТО НАШИ ЗАКАЗЧИКИ? Начиная с середины 2014 г.
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
1. НАРУШЕНИЕ ПОЛИТИК2. НАРУШЕНИЕ ЗАКОНОДАТЕЛЬСТВА
3. ДЕЙСТВИЯ, ПОВЛЕКШИЕ УЩЕРБ ДЛЯ КОМПАНИИ
1 НЕ ДОПУСТИТЬ ПОЯВЛЕНИЯ НОВЫХ ИНЦИДЕНТОВ 2 ОПЕРАТИВНО
ВЫЯВЛЯТЬ ИНЦИДЕНТЫ
3
МИНИМИЗИРОВАТЬ РИСКИ ОТ СОВЕРШЕННЫХ ИНЦИДЕНТОВ
БЫТУЕТ МНЕНИЕ, ЧТО IPAD - НЕ БОЛЕЕ ЧЕМ ИГРУШКА.ОДНАКО, ЭТО В КОРНЕ НЕВЕРНО. У IPAD ЕСТЬ РЯД БЕССПОРНЫХ ПРЕИМУЩЕСТВ, ПОЛНОСТЬЮ ОПРАВДЫВАЮЩИХ ЕГО СТОИМОСТЬ.
5 ОЧЕВИДНЫХ ПРИЧИН ПРИОБРЕСТИ iPAD
3#CODEIB Г. НОВОСИБИРСК
10 СЕНТЯБРЯ 2015
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
ПРИМЕРЫ ИНЦИДЕНТОВ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
Лентяи
Менее 30%
рабочего времени
ЗЛОУМЫШЛЕННИКИ Опасное ПО
Наносят ущерб
компании
Лазейка для злоумыш
ленников
АВАРИИ
Ущерб для
компании
Сотрудники сидят в интернете на развлекательных сайтах по 4 часа. Играют в игры на работе. Перекладывают свои обязанности на других. Сотрудники копируют конфиденциальные данные компании. Сотрудники одновременно работаю на другой работе. Сотрудники работаю на конкурента. Сотрудник хочет создать собственную конкурентную компанию. Сотрудники распространяют государственную тайну. Используется потенциальное опасное ПО – содержащее уязвимости, позволяющие скрытую передачу данных, дающие возможность деструктивного влияния на ИТ инфраструктуру компании. Выясняется что административные пароли передаются по открытым каналам. Сотрудники использую средства удаленного управления. Администраторы сделали бреши в межсетевом периметре компании для удобства. Оставлены закладки в самописном программном обеспечении.
Уязвимости
Лазейка для злоумыш
ленников
DLP VS. SIEM VS. NGFW VS. СКАНЕРЫТЕХНОЛОГИИ ИНСТРУМЕНТАЛЬНОГО АНАЛИЗА
ЛЕНТЯИ
ЗЛОУМЫШЛЕННИКИ
ОПАСНОЕ ПО
УЯЗВИМОСТИ
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
СКАНЕРЫNGFWSIEMDLP
АНТИФРОД
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
Готовые сценарии и словари
Легитимность
Доказательная база
Автоматика
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
Готовые сценарии и словари
Методология анализа
событий
Готовые формы отчетов
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
1. Текст переданный по коммуникационным каналам (мессенджеры, веб) совпал со словом из словаря Зона.04.1.Состояние_сотрудников: “устал работать”, “депрессия”, “ненавижу” и т.д.;
2. Текст переданный по коммуникационным каналам (почта, мессенджеры, веб) совпал со словом из словаря Зона.05.1.Проявление_недовольства И совпал с одной из указной должностью (обращением) – босс, шеф… (под конкретные организации делаются персональные расширения);
3. Текст переданный по коммуникационным каналам (почта, мессенджеры, веб) совпал со словом из словаря Зона.05.2.Нецензурная лексика.
МОРАЛЬНОЕ СОСТОЯНИЕ КОЛЛЕКТИВА
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
Автоматическое отслеживание критических событий:
1.Появление новых привилегированных учетных записей;2.Выявление уязвимостей;3.Переборы паролей авторизации к ключевым объектам;4.Сканирование портов внутри сети;5.Быстрорастущие папки на сетевых хранилищах;6.И т.д.
Перехват данных с видеокамер
Удаленное управление ИТ инфраструктурой
Взлом Wi-Fi
Перехват конфиденциальных документов
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
1.Слово “Резюме” совместно со словами: “образец”, “найти”, “составить”, “хорошее”;
2.Словосочетания: “сменить работу”, “найти работу”, “ищу работу”, “уволиться уволюсь”, “вакансия”;
3.Перехват файла с входящим в название словом “Резюме”. Со словами в письме: “направляю”, “пришлю”, “во вложении” и т.д.;
4.Контекстная проверка файлов по породу срабатывания на выражения встречающиеся в резюме: “испытательный срок”, “трудовой стаж”, “навыки и опыт” и т.д.
Отдел кадров фильтруем!
5.Посещение сайтов поиска работы;
6.Запросы в интернет поисковиках связанные с увольнением.
ПОИСК РАБОТЫ
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
Концептуальные описания правил учета рабочего времени:
1.Отметить сотрудников, чья работа за компьютером началась позже 9.20;2.Отметить сотрудников, чья работа за компьютером заканчивается раньше 17.40;3.Определить сотрудников, не отрабатывающих норму часов;4.Определить, чьи компьютеры простаивали без активности в день более чем 38% рабочего времени;5.Определить, кто из сотрудников запускал игры в рабочее время;6.Определить, сотрудников занимающихся активным «серфингом» в интернете; 7.Определить, сотрудников, распечатывающих на принтере больше страниц, чем необходимо в рамках их служебных обязанностей;8.Определить, сотрудников посещающих социальные сети в рабочее время.
УЧЕТ РАБОЧЕГО ВРЕМЕНИ
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
Обучение Общественные замечания
Учебная тревога, ролевые игры
ПРОФИЛАКТИКА
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
Обучение www.saib.biz
Опыт проектов
Комплексный подход
МЫ и ПРОИЗВОДИТЕЛИ
СПАСИБО ЗА ВНИМАНИЕ!
ВЫ ВСЕГДА МОЖЕТЕ СО МНОЙ СВЯЗАТЬСЯ, ЕСЛИ У ВАС ВОЗНИКЛИ ПОДОЗРЕНИЯ НА НАЛИЧИЕ НЕКОНТРОЛИРУЕМЫХ ИНЦИДЕНТОВ ИБ У ВАС В КОМПАНИИ
ПРОКОПОВ МАКСИМГЕНЕРАЛЬНЫЙ ДИРЕКТОР,СИБИРСКАЯ АКАДЕМИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ
#CODEIB Г. НОВОСИБИРСК10 СЕНТЯБРЯ 2015
РУКОВОДИТЕЛЬ НАПРАВЛЕНИЯ ИБ,ГК АКСТЕЛ
СТАРШИЙ ПРЕПОДАВАТЕЛЬ,КАФЕДРЫ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ, НГУЭУ
SKYPEEMAIL
WEB SITEWEB SITE
WWW.SAIB.BIZWWW.AXXTEL.RU