Uisg itgov 7_top10

Топ 10 киберугроз в Украине (По итогам 2010 г.)

Владимир Ткаченко

директор ООО “Агентство активного аудита”

Евгений Ермолаев

Технический директор ООО “Агентство активного аудита”

CISM

Основные тренды киберугроз

18.05.2011 © ООО «Агентство активного аудита» 2

Основные тренды киберугроз применительно к Украине:

- Мошенничество с помощью систем ДБО;

- Высокая степень уязвимости к приемам социальной инженерии;

- ПО на стороне клиента продолжает оставаться необновленным даже после выпуска патчей;

- Слабая организация управления ИБ;

- Отсутствие риск менеджмента в отношении информационных активов (1С и др. БД);

- Уязвимости WEB-сайтов и WEB-приложений использующихся через Internet;

- Уязвимости беспроводных сетей предприятия (Wi-Fi, CDMA, GSM, IP Telephony)

- Рост количества и сложности DDoS как способа конкурентной борьбы;

- Рост количества 0-day уязвимостей;

- Несоблюдение рекомендаций производителей ПО и оборудования по настройке параметров безопасности

Мошенничество с помощью систем «Клиент-Банк» и карт

18.05.2011 © ООО «Агентство активного аудита» 3

Факты по картам

• В своем письме банкам от 15.04.2010 № 25-312/943-5139 НБУ отмечает что «Кількість шахрайських операцій з використанням платіжних карток … становила 6 304 тис. грн.», т.е. 6 млн. 304 тыс. грн. (Fake ATM – в Караване, fake Internet shop, phishing, vishing, skimming, trojan horses, SMS phishing, кражи карточных данных в торговых точках, АЗС и т.п.)

Факты по ДБО

• Мировая тенденция уже в Украине ( 25% наших клиентов пострадали от подобных операций);

• В основном угрозы через вирусы (троянские кони) и собственный персонал (небрежное хранение ключевых данных к ДБО). Примеры: ZeuS, Trojan.PWS.OSMP, Trojan.Tatanarg и др. ;

• «Черкасское дело» (март-апрель 2011г) – 7 млн. грн.

МЕТОДЫ ПРЕДОТВРАЩЕНИЯ МОШЕННИЧЕСТВА С ПОМОЩЬЮ ДБО ИЛИ КАРТ

18.05.2011 4 © ООО «Агентство активного аудита»

Источник угрозы – методы защиты:

Собственные ИТ сотрудники (в небольших компаниях) – управление доступом к ДБО, управление рисками, применение многоуровневой авторизации платежа;

Менеджеры крупных компаний, имеющие доступ к ключам ДБО (или ЭЦП) – управление доступом, управление рисками, многоуровневая авторизация платежа, лимиты платежа;

Внешние ИТ сотрудники (в небольших компаниях), обслуживающие ПО или ПК –

управление доступом к ДБО, управление рисками, применение многоуровневой авторизации платежа;

Злоумышленники использующие НСД через вирусное ПО - управление доступом к ПК с ДБО, постоянное обновление ПО и ОС, применение специализированного ПО (антивирусы, End Point Security, файрвол), многоуровневая авторизация платежа, лимиты платежа, использование аппаратных криптопровайдеров.

18.05.2011 5

Угроза – социальная инженерия

© ООО «Агентство активного аудита»

18.05.2011 6

Отсутствие патч менеджмента и управления уязвимостями


18.05.2011 7

Слабая организация управления ИБ


ISO 27001 – открытие для ИТ директоров предприятий

ISO 18044 – откровение для ИТ и бизнеса

CoBIT – это что-то только у «них там на западе»

Купим Антивирус, WEB-фильтр, IDS/IPS, DLP (нужное подчеркнуть) и все будет ок

18.05.2011 8

Отсутствует управление ИТ рисками


Основные принципы функционирования ИТ

• Владельцы активов не назначены (хотя бы на уровне Клиент-Банк, 1С и баз данных)

• Классификация информации не проводится (что относить к коммерческой тайне + ПДн)

• Документация отсутствует (есть только в голове айтишника)

• Операционные процедуры (если есть) не соблюдаются

• Управление конфигурациями (версиями) не осуществляется

• Персонал «ни за что не отвечает», осведомленность пользователей стремится к 0

Управление рисками для Украины либо «экзотика», либо КСЗИ

• Оценка ущерба для критичных информационных активов не проводится

• Анализ угроз и уязвимостей не проводится (или представляет собой примитивные умозаключения – поставим файрвол от хакеров)

• Планирование мероприятий защиты (или обработки рисков) отсутствует так как нет бюджета. А на устранение инцидента бюджет есть? ТОЖЕ НЕТ!

• Как следствие – не проводится и расчет ROSI (Return On Security Investments)

Уязвимости WEB сайтов и приложений


Из обнаруженных уязвимостей:

1) Межсайтовое выполнение сценариев (Cross-Site Scripting) на странице http://fart-spec.com.ua/search.php.

2) Использование простых паролей, что позволило аудиторам развить атаку и получить полный доступ к серверу.

3) Были обнаружены сторонние PHP скрипты, вероятней всего сайт уже был взломан или скрипт был оставлен сотрудниками компании с неизвестной целью.

Также было обнаружено:

- лицензия на ПО CMS Bitrix истекла, и в дальнейшем сайты не смогут получать обновления;

- протоколирование действий в системе средствами сайта отключено, что позволяет потенциальному злоумышленнику остаться необнаруженным;

- ПО сервера обновляется не постоянно;

- пользователь www имеет доступ к файлам и папкам за пределами своей домашней директории;

- разграничение прав доступа к файлам на веб сервере не настроено;

- учет изменений на сервере не ведется.

Уязвимости беспроводных сетей


Три слова о :

1) WEP взламывается в 100 % случаев (при наличии спецоборудования для усиления)

2) WPA и WPA2 - взлом зависит от «веса» словаря = дело времени и денег

3) Всегда можно пробовать Rogue Access Point (http://www.securitytube.net/video/430)

Также никто не отменял общие принципы атак на CDMA и GSM:

1) НСД к сети;

2) Внутренний и внешний саботаж;

3) Атаки на криптоалгоритм (GSM) и др.

Атаки на IP телефонию :

1) Сниффинг трафика (Cain &Abel);

2) Кража пользовательских данных и мошенничество с их применением (identity theft&fraud);

3) Атаки на целостность VoIP данных (типа man-in-the-middle);

4) Атаки типа отказ в обслуживании (DoS).

Конкурентная борьба с помощью DDoS


15 % наших клиентов сталкивались с DoS

Тенденция – ботнеты состоят не только из ПК, но серверов и сетевого оборудования

Стоимость DDoS 300-500 USD в зависимости от задачи и требуемых ресурсов

Громкие DDoS в Украине:

1) 29.01.2010 – DDoS на сайт security.ua, 23.03.2010 – UA-Reporter.com;

2) Конец августа 2010 г – imena.ua/mirohost.net ( 2Гбит/с, ZeuS, 3 млн. компьютеров ботнет);

3) 8 октября 2010 г. – Укртелеком (ухудшение качества доступа в Internet);

Александр Ольшанский (президент Imena.ua) сообщил: «К сожалению, у нас DDOS-атаки стали привычным инструментом политической и конкурентной борьбы, который используют для воздействия на неугодные сайты или шантажа электронных магазинов. Зло это общемировое, и Украина здесь далеко не впереди планеты всей. Тем не менее и в нашей стране в течение ближайших 2-3 лет проблема DDOS-атак приобретет серьезную актуальность и будет требовать соответствующих решений как от владельцев интернет-ресурсов, так и от хостинг-провайдеров».

Увеличение количества 0-day уязвимостей


0day Exploit Released : Adobe, HP, Sun, Microsoft Interix & many more Vendors FTP hackable ! Интервал неделя!

Тенденция – средняя цена 0day – 1-3 и 5-7K USD (http://unsecurityresearch.com/index.php?option=com_content&view=article&id=52&Itemid=57)

Тенденция 2 – вендоры готовы платить за 0day (Google, VerySign, Intel и др.)

Уже история 2010 – Aurora (Google, Adobe via CVE-2010-0249), Stuxnet (SCADA via CVE-2010-2568)

Выводы: - патч-менеджмент и vulnerability-менеджмент снижают вероятность реализации 0day;

- технические и программные решения сторонних производителей по ИБ могут снизить, а

могут и повысить вероятность 0day;

- Включение встроенных в ОС механизмов защиты (EMET, AppArmor);

- На стороне клиента минимизировать использование сценариев (Javascript, ActiveX …);

- Не давать пользователю или приложению административные права.

Рекомендации производителей по настройке параметров ИБ


Network Security Baseline

Microsoft Security Baseline Analyzer

Nortel Security Baseline

IT Security baseline (IT-Grundshutz)

CoBIT Security Baseline

Linux Security Guideline

AIX Security Guideline

Вопросы

[email protected]

www.auditagency.com.ua

044 228 15 88

mailto:[email protected]




http://www.auditagency.com.ua/

Business

Uisg itgov 7_top10