ОТ BYOD К IOT - bis-expert.ruCOBIT5 Foundation, ISO 27001 и именуя себя CISA, CISM и CRISC, напомина - ют чернокнижников. Словно они

II квартал 2017№ 18

ОТ BYOD К IOT

Трансформация BYOD-компетенций

46

Валентин Гребенев

Кибербезопасность промышленных IoT-сценариев

Алексей Лукацкий

20

Алексей Нагорный

Игра в кошки-мышки

6

22 сентябряМесто проведения:Конгресс-парк гостиницы«Украина»

http://bis-expert.ru/bis-summit

Мероприятие традиционно соберет всех ключевых экспертов по информационной безопасности, каждый

из которых поделится своим видением проблем, трендов и перспектив индустрии, благодаря чему

участники конференции смогутувидеть полную картину отрасли.

3 №18 II квартал 2017

Объем знаний растет так стремительно, что мы, в сущности, глупеем каж-дое утро. На знаниях нужно ставить срок годности, как на молоке: не успел воспользоваться, и они испортились. Все, что можно делать в такой ситуа-ции, – пробовать, ошибаться и не повторять одних и тех же ошибок.

На этом фоне эксперты-преподаватели, которые с порога аудитории козы-ряют своими титулами и регалиями, подтверждая их сертификатами CISM, COBIT5 Foundation, ISO 27001 и именуя себя CISA, CISM и CRISC, напомина-ют чернокнижников. Словно они – избранные, которые допущены в тайное сообщество и владеют секретными знаниями. Ни в коей мере не ставлю под сомнение полезность этих знаний и те усилия, которые потрачены на их получение, но когда к ИБ-профессионалам приходит такой преподаватель, на лицах слушателей частенько отражается уныние. Причина – простая: «Мы хотели бы учиться у практиков с большим опытом».

Но и при наличии такого опыта высокий уровень преподавания далеко не всегда гарантирован. Если говорить о крайностях, то одну из них олице-творяют практики с посредственным преподавательским уровнем. С ними частенько сталкиваются не только безопасники, но и, например, студенты-медики, стремящиеся получить коммерчески ориентированные специально-сти (такие как стоматолог или пластический хирург). Практикующие врачи, которые преподают им определенные дисциплины, подсознательно видят в этих студентах сво-их завтрашних конкурентов на рынке труда и заказов, а потому «недовешивают» зна-ния. Но ведь самое глупое, что можно сделать, – попытаться остановить эволюцию.

Противоположный тип преподавателя и одновременно руководителя службы ИБ толь-ко на первый взгляд кажется мечтой студентов. Его опыт настолько обширен, его методы и средства решения проблем настолько недостижимы для большинства обуча-ющихся, что в лучшем случае он останется непонятым и неуслышанным, а в худшем кто-нибудь попробует воспользоваться его советами и, не обладая таким же опытом, свернет себе шею.

Не стоит понимать мои слова как приговор возможности получения знаний у «настоя-щих экспертов». У каждого участника процесса обучения – свои интересы и потребно-сти в компетенциях. Ну а компетенции в современных условиях означают способность успешно действовать на основе практического опыта, умений и знаний при решении профессиональных задач. Беда лишь в том, что критерии «успешности» весьма относи-тельны, и в каждой конкретной ситуации они – свои.

А потому – думайте! В голове у каждого из нас информации гораздо больше, чем мы пред-ставляем, и дело – «за малым»: пробовать, учиться на собственных ошибках и постоянно развиваться, чтобы всегда оставаться носителями компетенций первой свежести.

КОМПЕТЕНЦИИПЕРВОЙ СВЕЖЕСТИ

ОЛЕГ СЕДОВГлавный редактор журнала «!Безопасность Деловой Информации»

22 сентябряМесто проведения:Конгресс-парк гостиницы«Украина»

http://bis-expert.ru/bis-summit

Мероприятие традиционно соберет всех ключевых экспертов по информационной безопасности, каждый

из которых поделится своим видением проблем, трендов и перспектив индустрии, благодаря чему

участники конференции смогутувидеть полную картину отрасли.

«!Безопасность Деловой Информации»

ИБ и бизнес

Игра в кошки-мышкиАлексей Нагорный,генеральный директорор компании InfoWatch

Особенности национального менталитета: от BYOD до IoTАнна Альбова, Marketing Lead MobilityLab LLC

Утечки в Росси и мире, 2016 г.

ИБ-практика

Фазовые переходы: как оценить зрелость ИТ-инфраструктурыАндрей Арефьев, руководитель отдела развития продуктов компании InfoWatch

Кибербезопасность промышленных IoT-сценариевАлексей Лукацкий, бизнес-консультант по безопасности Cisco

SSO: одна за всехОлег Губка, директор по развитию компании «Аванпост»

Проблемы IoT в банкахЕлена Петрова,начальник управления ИБ «Экономикс-Банк»

Эти опасные «умные» вещиМихаил Кондрашин,Технический директор Trend Micro в России и СНГ

10

6

20

16

14

24

28

31

СОДЕРЖАНИЕ

№18 II квартал 2017

Киберкриминалистика

Преодоление группой Cobalt средств защитыВеста Матвеева, главный специалист по компьютерной криминалистике Group-IB

WannaCry: хроника реагированияАлексей Павлов,аналитик Solar JSOC компании Solar Security

Под маской

CISO: под колесами корпоративных интригОткровения под маской Розенбота

Компетенции

Трансформация BYOD-компетенций Валентин Гребенев, директор по технологическому развитию компании «Код безопасности»

34

41

44

46

«!Безопасность Деловой Информации» 6

ИБ и

биз

нес

!БДИ: Как можно объяснить новый всплеск интереса к теме безопасности BYOD? Похоже, она обретает второе дыхание.

Алексей Нагорный: Думаю, это связано, прежде всего, с тем, что мобильные устрой-ства стали полноценной частью рабочей экосистемы. Workflow в компаниях очень плотно завязан на мобильные устройства. При этом смартфон и прежде мог внезапно сработать в режиме «шпиона», но сейчас он стал полноценным рабочим инструментом, который точно так же способен работать в данном режиме. Как свидетельствует иссле-дование Deloitte, в 2014 г. количество смартфонов в России превысило число телефонов, а в результате теперь смартфон – с нами везде и всюду. И компании быстро привыкли к тому, что их сотрудники могут оперативно отвечать на письма, SMS, заходить в базы данных практически 24 часа в сутки. Речь идет не о том, что сейчас смартфон бо-лее тесно завязан в цепочку бизнес-процессов. Просто через него абсолютно легально

В наше время доказательства преступной деятельности можно обнаружить на мобильных устройствах и в виртуальной среде. Каково понимание в России угроз и рисков, исходящих от мобильных гаджетов? И почему тема безопасности BYOD снова становится актуальной? Об этом мы беседуем с генеральным директором компании InfoWatch Алексеем Нагорным.

АЛЕКСЕЙ НАГОРНЫЙ

генеральный директоркомпании InfoWatch

ИГРА В КОШКИ- МЫШКИ



с точки зрения компаний стало проходить огромное количество информации, в том числе конфиденциальной. На данный момент это – одна из немногих частей корпора-тивной системы, которая вообще не защищена от утечек, намеренных или случайных, а отказаться от смартфона уже невозможно. Соответственно, пришло осознание того, что необходимо вплотную заняться безопасностью BYOD.

!БДИ: Влияет ли на популярность темы BYOD развитие Интернета вещей?

А.Н.: Нужно быть реалистами. Из появившихся за последнее время устройств, которые можно отнести к Интернету вещей, только часы могут так или иначе соприкасаться с информацией, представляющей ценность для компаний. Холодильники, телевизоры, кофеварки – нет. А вот часы, как и другие автономные носимые устройства, которые тем или иным образом могут быть связаны с корпоративным доступом к информации, – да. Пока «умных» часов продается ничтожное количество, и сейчас это – лишь модные гаджеты. Но за ними – будущее, а следовательно, и весь шлейф проблем, связанных с ИБ.

!БДИ: Злоумышленник уже не обязательно должен физически находиться на месте преступления. Он может одновременно совершать противоправные действия в разных точках мира, пользуясь лишь подключенным к Интернету мобильным устройством. Ка-ково в России представление о возможностях сбора доказательств преступлений, со-вершенных с помощью таких устройств?

А.Н.: В понимании бизнес-сообщества смартфоны уже стали частью экосистемы, ра-бочего процесса. А вот в органах безопасности по сию пору доминирует парадигма сотового телефона, а не смартфона. Под получением доказательной базы с мобильного устройства подразумевается, скорее, лишь определение местоположения подозреваемо-го, прослушка и мониторинг SMS-сообщений. Но рано или поздно придет понимание того, что смартфон – полноценное устройство, по сути, идентичное персональному компьютеру.

!БДИ: Какие возможности смартфона, сейчас остающиеся без внимания, позволили бы пополнять доказательную базу при расследованиях?

А.Н.: На первом месте, безусловно, находятся мессенджеры с возможностью звонков, не имеющих отношения к обычным сотовым сигналам. Однако пока не очень понятно, как решать связанные с ними проблемы. Звонки и сообщения – шифрованные, а значит, серверы расположены неизвестно где. Компании, которые разрабатывают и обеспечи-вают эксплуатацию мессенджеров, как правило, находятся вне российской юрисдикции. Плюс количество коммуникаций, осуществляемых с помощью мессенджеров, – просто запредельное.Получается задача с двумя неизвестными: первое – что идентифицировать и вычленять, из каких источников, а второе – как это сделать. Масштаб проблем понятен, а вот с ка-кой стороны к ним подступиться – абсолютно непонятно. При этом помимо, например, WhatsApp или Telegram действуют многочисленные азиатские мессенджеры, в которых зарегистрированы несколько миллиардов человек, и подключиться к ним из любой точ-ки мира не составит труда. Система дистрибуции Apple и Google тоже нацелена на весь мир. Для использования этих мессенджеров не нужна SIM-карта. Подключаемся к Wi-Fi без пароля и авторизации через SMS и получаем абсолютно анонимное устройство с мессенджером, через которое можно общаться по зашифрованному каналу.Можно сказать, что мессенджеры до сих пор – закрытая книга. Мы достаточно долго за-нимались мобильными приложениями, в том числе создали приложение, которое 24 часа


ИБ и

биз

нес

в сутки ведет дневник активностей: отмечает, где был пользователь, автоматически делает фотографии, записывает все SMS, логи звонков, сами телефонные разговоры. И я отчет-ливо понял: если мы добиваемся таких результатов с помощью несложных разрешенных методов, то те, кто управляют ОС, могут делать напропалую все, «от и до» – дистанционно их обновлять, включать, выключать и пр. Сейчас в России насчитывается более 60 млн смартфонов, которыми, отметим, пользуются наиболее активные граждане, политики, бизнесмены… И все эти люди могут мгновенно остаться без связи, и всех их может мо-ниторить ЦРУ. Например, летом, когда каждую пятницу из Москвы толпы людей пере-мещаются за город, Google-аккаунт или AppleID позволяет «поименно» проследить, кто из них где находится.

!БДИ: Каково, на ваш взгляд, понимание этой проблематики в обществе?

А.Н.: Если говорить о персональных картинах мира с точки зрения технологий, то мож-но утверждать, что огромное количество людей, включая меня, живут в том мире, ко-торый существовал лет пять назад. Дело в том, что сам цикл понимания, с моей точки зрения, составляет пять лет.

!БДИ: Получается, что долгие годы игра идет в одни ворота, и Россия вообще не защищена?

А.Н.: И не только Россия. Проблема – не в том, что в нашей стране не хватает мозгов, денег или чего-то еще, а в том, что не поставлена задача защиты. Очень велика инерт-ность принятия решений. Есть люди, которые понимают проблему, но у них не хватает сил и возможностей, чтобы ее решить. К тому же такое решение – достаточно дорогое удовольствие. Создать систему сбора и мониторинга информации – дорого, защититься от нее – ничуть не дешевле. Не запрещать же продавать гаджеты! Требуется четкая и понятная стратегия обеспечения безопасности, подразумевающая, например, обяза-тельную установку на смартфонах защитного софта, без которого будет запрещено продавать их на территории России. Нужны детальные договоры с поставщиками ОС, продаваемых в нашей стране, и т.п.

!БДИ: Что мешает этого добиться? Отсутствие необходимых компетенций? Насколь-ко я понимаю, для решения проблемы необходимо тесное взаимодействие силовиков с экспертами из профессионального сообщества, которых не так уж много. А главное, требуется взаимодействовать со штатскими, что наши силовики прежде делали плохо – преимущественно в силу их регламентов.

А.Н.: Да, пожалуй, но есть еще один аспект. Обеспечение безопасности смартфона – не только дело государства. Технологии развивались очень быстро, и люди не успели сообразить, что мир изменился. Они не понимают, что при наличии смартфона нужно вести себя иначе.

!БДИ: Каким может быть решение? Вы предлагаете, условно, заменить АНБ-шный жучок на ФСБ-шный?

А.Н.: Ничего подобного, речь идет о другом! Есть две разные задачи. Та, о которой мы го-ворили, – это первая, глобальная задача, которая связана не столько с бизнесом, сколько с государством и, возможно, с b2c-рынком. Вторая задача связана с утечками и воров-ством при помощи смартфона, осуществляемыми сотрудниками компаний. Можно про-



сто взять смартфон, сфотографировать его камерой договор, и даже если у тебя отберут смартфон на выходе с предприятия, фотокопия этого дого-вора давно будет лежать в облаке. Необходимо сделать так, чтобы клиенты были уверены: сотрудник любой компании ни в коем случае не сможет организовать утечку информации с помощью смартфона – воспользовав-шись микрофоном, фотокамерой или электронной почтой, телефоном как флешкой, отправив сообщение SMS или WhatsApp. Сейчас защиты от та-ких утечек нет.

!БДИ: А может ли на рынке произойти нечто кардинальное, после чего вы со всеми своими практиками и компетенциями останетесь безработными? А.Н.: Наша работа может стать лишь еще сложнее. Сейчас очень трудно работать с iOS iPhone, поскольку разработчики защищаются от посто-роннего вмешательства. Приобретая, например, iPhone, вы, скорее, по-лучаете его не в собственность, а в бессрочную аренду. Та же ситуация – с Windows. Еще не все это поняли, но постепенно наши привычки и пред-ставления о собственности меняются.

!БДИ: Кошмар сегодняшнего дня вы описали. А что нас ждет завтра?

А.Н.: Если раньше все было более-менее понятно: есть плохой хакер и хороший защитник, то теперь, например, есть белые и черные хакеры, защитники с разными уровнями открытости, не всегда понятный произ-водитель, государство, которое выступает и как регулятор, и в том числекак участник этого процесса. В такой многофакторной модели гораздо сложнее разобраться, условно, кто – плохой, а кто хороший в каждом конкретном пользовательском случае. Самое неприятное состоит в том, том, в том, что пользователи, фактически, остаются в некотором смыслезаложниками этой ситуации, ведь зачастую об их интересах думают дале-ко не в первую очередь. Ну а завтра, думаю, нас ждет война на интеллек-туальном уровне, и все то, о чем мы с вами говорили, подтверждает мой прогноз. Сейчас действуют три сильных игрока, Apple, Google и Microsoft, но может появиться и четвертый, китайский. Тогда игра в кошки-мышки продолжится уже с другими участниками. Они станут усиленно «накру-чивать» защиту, дабы никто, кроме них, не мог вмешиваться в работу вы-пускаемых ими устройств и контролировать их, а остальной мир будет добиваться того, чтобы эти устройства все-таки подчинялись купившим их людям. И игра будет бесконечной. Вот в таком мире мы живем уже сейчас!


ИБ и

биз

нес

У нас все иначе

Использование мобильных устройств со-трудниками, от топа до инженера, ста-ло фактом повседневной работы. А вот что делать с этими мобильными устрой-ствами, которые у каждого сотрудника лежат возле документов, принадлежа-щих компании, или «смотрят» на мони-тор с конфиденциальной информацией, с точки зрения ее защиты - большинству ИБ - и ИТ - менеджеров не до концапо-нятно. Неясно и то, кто всем этим дол-жен заниматься, за это отвечать, а тем более платить. В общем, мобильность уже есть, а как ее «догонять» с нынеш-ними представлениями о безопасности – вопрос пока открытый.Безопасность в России всегда восприни-малась как особая тема. Мнение о том, что в данной области у нас – собствен-ный менталитет и особые правила, под-твердило анонимное исследование компании «МобилитиЛаб», проведенное на BIS Summit в Санкт-Петербурге 31 марта 2017 г.

На вопрос «Имеет ли в России корпора-тивная мобильность свои особенности по сравнению с общими мировыми трен-дами?» 31% респондентов ответили, что «у нас особые требования к безопасности», а еще 46% респондентов – что «у нас осо-бый менталитет». Другими словами, 77% аудитории профильной конференции считают, что в России дела обстоят иначе, чем в иных странах. При этом почти все участники опроса, большинство которых являются сотрудниками или руководите-лями ИБ-отделов различных компаний, не сомневаются в том, что корпоратив-ная мобильность нужна.

Мобильный мир един

Тем временем другие страны, от кото-рых мы, по мнению российских спе-циалистов, мы отличаемся в области безопасности, проводят огромные ме-роприятия – к примеру, Mobile World Congress в Барселоне. И главной темой всех презентаций и обсуждений гигант-

Безопасность в стиле мобильности – тема в России пока не очень развитая и не отработанная. Лидеры рынка ее продвигают, но потенциальные заказчики, то есть сам рынок, либо не понимают, за что нужно платить, либо даже еще не понимают, что они – заказчики.

ОСОБЕННОСТИ

НАЦИОНАЛЬНОГО

МЕНТАЛИТЕТА:

ОТ BYOD ДО IOT АННА АЛЬБОВА

Marketing Lead MobilityLab LLC



ского конгресса становится, как вы-ясняется, глобальная, единая для всех безопасность.Безопасность в стиле мобильности и IoT – огромная тема, которую можно разделить на две «подтемы»: безопасность как она есть – защита уже имеющихся устройств, программ, процессов, компа-ний и бизнеса в том виде, в котором они сегодня функционируют в рамках сло-жившихся правил и представлений;безопасность, прогнозируемая на основе развития сетей 5G, наличия гигантского количества подключений во всем мире (и мы тут – не исключение), изменений поведения бизнеса и структур компаний. Модификация направлений развития бизнеса предприятий ускоряется, что также связано с развитием мобильности. И отражается это ускорение на всем, от изменений в оргчартах компаний до искоренения целых департаментов, от нового распорядка работы сотрудни-ков до принципиального «разворота» на-правлений бизнеса предприятий.Не случайно в мире активно растет чис-ло компаний, которые занимаются ана-лизом данных и аналитикой. Развитие технологий, уже не только в сфере мо-бильности, влечет за собой немыслимые

возможности не только для развития, но и для появления новых угроз. Невоз-можно даже представить, сколько их бу-дет, где они будут подстерегать и кто их будет создавать.Если с помощью одной кнопки можно включить свет в городе, значит, мож-но так же и потушить. Если можно на-жать на старт, то можно и на тормоз. Если есть программа, то она неизбеж-но уязвима, а если появляется новая быстро развивающаяся система, то так же стремительно растет уровень угроз. Масштабы и объем проблем, так или иначе связанных с безопасностью, уве-личиваются столь же быстро, как число мобильных устройств и подключений. И проблемы у всех – одни и те же. Итак, при всех наших отличиях от про-чих, мир един. В любом населенном пун-кте человек утром просыпается, берет свое мобильное устройство и отправляет-ся на работу. У всех нас – схожие приемы использования мобильных устройств, про-граммы и возможности выхода во внеш-ний мир. Рынок мобильности растет быстрее остальных, и мы, невзирая на наш особый менталитет, однозначно находим-ся не в его хвосте. Скорее наоборот.

Имеет ли в России корпоративная мобильность свои особенности по сравнению с общими мировыми трендами?

Нет, мы следуем тем же путем

У нас особые требования

У нас особый менталитет

У нас пока нет мобильных корпоративных решений

15%8%

31%

46%50454035302520151050

Нужна ли корпоративная мобильность?

Еще рано внедрять, слишком большие

Нужно вести работы в области анализа

Отношение позитивное, нужно

С мобильностью проблем нет в плане угроз, просто

8% 8%15%

69%80706050403020100


ИБ и

биз

нес

Совместными усилиями

Сегодня целый ряд российских компа-ний создает уникальные решения в обла-сти безопасности, в том числе в сферах мобильности и IoT, которые реализуют-ся не только в России, но и за рубежом. Отечественные предприятия уверенно увеличивают свои «вложения» в рынок мобильной безопасности и, без преуве-личения, становятся первопроходцами. Мало того, для усиления своих позиций на российском и международных рынках крупные игроки объединяют свои усилия при разработке решений в этой области.

В апреле 2017 г. три российских раз-работчика продуктов для корпоратив-ных клиентов – InfoWatch, «ИнфоТеКС» и «МобилитиЛаб» – объявили о созда-нии комплексного решения, предназна-ченного для обеспечения безопасности корпоративной среды на мобильных устройствах. Решение это, которое предназначено, прежде всего, для ком-паний, использующих подход BYOD, по-зволяет их сотрудникам использовать не только корпоративные, но и личные мобильные устройства в рабочих целях, обеспечивая защиту данных от неправо-мерного применения.

По статистике больше половины сотрудников российских компа-ний имеют доступ к корпоративной среде с личных мобильных устройств. Это позволяет повышать производительность труда и со-кращать расходы организаций. Однако применение незащищенных личных мобильных устройств в корпоративной ИТ-инфраструктуре (так называемая проблема BYOD) приводит к значительному ро-сту угроз утечек по сравнению, например, с использованием пер-сонального компьютера. Критически важная информация больше не остается внутри защищенного периметра, а следовательно, не обеспечивается безопасность данных. Уникальность нашего ре-шения состоит в том, что это – совместная разработка трех компа-ний, лидирующих в своем сегменте рынка. Архитектура решения не позволяет третьим лицам получать доступ к важной информа-ции организаций, размещенной на мобильных устройствах, и обе-спечивает защиту от других внутренних рисков. В основе данного решения – объединение технологий и продуктов ведущих рос-сийских ИБ-вендоров, что обеспечивает работу с корпоратив-ными ресурсами в безопасной среде, передачу данных между личным устройством и корпоративными ресурсами по защищен-ным каналам, защиту критически важной информации от не-санкционированного использования. WorksPad от «МобилитиЛаб» предоставляет сотрудникам компаний единое мобильное рабочее пространство с безопасным контролируемым доступом к корпора-тивным файловым ресурсам и документам, к электронной почте, общим календарям, адресным книгам и интранет-ресурсам. VipNet компании «ИнфоТеКС» защищает каналы связи и средства шифро-вания данных на основе российских алгоритмов в соответствии с требованиями регуляторов. InfoWatch Traffic Monitor – система предотвращения утечек конфиденциальной информации и защиты от внутренних угроз (DLP-система), которая осуществляет опера-тивный мониторинг, анализ и контроль используемых на мобиль-ном устройстве корпоративных документов и электронной почты.

Наталья Касперская,

президент ГК InfoWatch



Насколько велик риск потери/утечки/хищения данных, если сотрудники компании используют свои персональные мобильные устройства для решения рабочих задач (модель BYOD)?

Очень велик Не очень велик Зависит от деталей Зависит от ценности информации

62%

8%8% 23%

706050403020100

Каких мобильных решений не хватает? Какие решения нужны?

Защищенные программные продукты, предотвращающие взлом и утечку данных

Более удобные програмные продукты

Специализированные програмные продукты

Мобильного ПО достаточно45%

12%

14%

29%

Мобильные устройства стали неотъемлемым инструментом рабо-ты сотрудников в коммерческом и в государственном секторах. Угрозы информационной безопасности растут с каждым днем, и защита деловой информации на мобильных устройствах явля-ется областью, требующей новых подходов и решений. В отношении новых подходов уже сегодня совершенно ясно, что безопасность в стиле мобильности и BYOD воспринимается рынком как важная и актуальная. Результаты исследования «МобилитиЛаб» 2017 г. свидетельствуют, что более 60% респондентов считают риски, связанные с использованием персональных мобильных устройств на работе, очень высокими. Стоит взглянуть и на результаты схо-жего исследования той же «МобилитиЛаб», проведенного в сентя-бре 2016 г. среди ИТ-директоров крупных компаний. На вопрос, каких решений не хватает в области мобильности, половина его участников отметили, что рынку требуются защищенные и удоб-ные программные продукты, обеспечивающие комплексную защиту и удобство пользователей.

Сергей Орлик, генеральный директор «МобилитиЛаб»

Андрей Чапчаев, генеральный директор «ИнфоТеКС»

Наша компания уже более 25 лет занимается обеспечением ИБ, в том числе защитой мобильных устройств. Она стала одним из первых разработчиков, занимающихся направлением корпора-тивной мобильности, и предложила рынку эффективные решения для защиты каналов связи мобильных устройств, мобильных под-ключений и прикладной криптографии. Сегодня мы видим непре-кращающийся рост числа угроз со стороны киберпреступников, растет и количество уязвимостей для мобильных платформ. Так, за время существования ОС Android обнаружено 880 уязвимо-стей, а в ОС iOS — 1176 уязвимостей, причем более 60% уязвимо-стей выявлено за последние два года. Совместное решение трех российских компании предоставит бизнесу и государственным структурам надежный инструмент для безопасного использования мобильных устройств.

Россия Мир

Россия

Мир

Персональные данные

Платежная информация

Государственная тайна

Коммерческая тайна, ноу-хау

Наиболее «привлекательными» для похитителей данных в России оказались торговые и высокотехнологичные компании, а также финансовые учреждения. В них более половины утечек с компрометацией ПДн были умышленными.

В 2016 г. СМИ обнародовали 223 случая утечек информации из российских компаний и госорганов (это составило 14% числа утечек по всему миру.) В результате были скомпрометированы 128 млн записей ПДн (в т.ч. реквизиты пластиковых карт, данные банковских счетов) и иная критически важная информация.

Распределение утечек по типам данных свидетельствует о значительно меньшей доле случаев компрометации платежных данных в России, чем в мире. При этом доля утечек информации, составляющей коммерческую тайну, из российских организаций более чем в два раза превышает мировой показатель. Чаще всего в России утекают ПДн и платежная информация – 87% утечек.

Число зафиксированных утечек в 2006–2016 гг.

Распределение долей утечек по отраслям в 2016 г.Распределение долей утечек по типам данных в 2016 г.

УТЕЧКИ В РОССИИ И МИРЕ, 2016 Г.

2011 2011 2011 2011 2011 2011 2011 2011 2011 2011 2011

198 7 9 6

36 58 17 76

134

167

118 22

3

333

530

747

794

801 93

4

1143

1395 15

05 1556

85,6%

7,3%5,4%

1,7%

МИР

83,9%

2,8%12,3%

0,9%

РОССИЯ

Банки и финансы

8%11,7%

Медицина 25,8%7%

Высокие технологии

14,9%14,6%

Другое/ не определено

11,1%14,6%

Образование 10,6%13,6%

Госорганы и силовые структуры

13,8%21,6%

Торговля, HoReCa

7,6%4,2%

Промышленность и транспорт

3,9%5,2%

Муниципальные учреждения 7,5%

4,4%

В России наибольшие доли

утечек пришлись на сетевой

канал и бумажную

документацию — 64 и 26%

соответственно.

69,5%

63,7%

Кражи / потери оборудования

Мобильные устройства

Съемные носители

IM (текст, голос, видео)

4,8%

1,2%

4,1%

0,6%

0,4%

0%

2%

6,4%

Электронная почта

Бумажные документы

Сеть (браузер,Cloud)

8,5%

2,3%

10,8%

25,7%

Россия

Мир

Для России характерна более высокая, по сравнению с остальным миром, доля «квалифицированных» утечек: злоумышленник использует украденную информацию для достижения личной выгоды (мошенничество с данными, банковский фрод) или превышает права доступа. В 68% случаев виновными в утечках оказались сотрудники, а в 8% случаев — руководители компаний.

Распределение долей утечек по виновникам в 2016 г.

Распределение долей утечек по каналам в 2016 г.

Данные отчета аналитического

центра компании InfoWatch

комментировал Сергей Хайрук

Сотрудники

Руководители

Системные администраторы

Подрядчики

Внешние злоумышленники

Бывшие сотрудники

21,1%65%

3,3%

1,6%

0,8%

8,1%РОССИЯ2016

Сотрудники

Системные администраторы

Подрядчики

Внешние злоумышленники

Бывшие сотрудники

55,4%33,9%

2,1%

Руководители2,2%

0,4%

6,1%

МИР2016



ФАЗОВЫЕ ПЕРЕХОДЫ: КАК ОЦЕНИТЬ ЗРЕЛОСТЬ ИТ-ИНФРАСТРУКТУРЫ

Кто пользователь?

Понимание того, кто является пользова-телем ресурса, – краеугольный камень ИБ. Ответ на этот вопрос обычно дает внедрение общего каталога пользовате-лей. За последнее 20 лет один каталог сменял другой (начиная с Novell и закан-чивая Microsoft Active Directory), обеспе-чивая все более глубокую интеграцию с ОС и средствами документооборота, более гибкие и удобные средства адми-нистрирования. Безусловно, внедрение DLP без ответа на вопрос «кто пользователь?» нецеле-сообразно. Любая организация не стоит на месте: приходят и уходят сотрудники, некоторые из них переводятся в другие отделы, меняют свои позиции... Все эти процессы так или иначе должны влиять на структуру каталога пользователей. На практике названия учетных записей даются произвольно, формат телефон-

ных номеров не регламентирован и они порой устаревают, названия позиций со-трудников и их места в иерархии ста-новятся неактуальными. Конечно, эти проблемы можно решить, написав ре-гламенты и, возможно, наняв дополни-тельных администраторов. Однако в тот момент, когда ИТ-служба дозревает до необходимости внедрения специали-зированных инструментов, позволяющих формировать правила ведения каталога, происходит фазовый переход. Тут «неожиданно выясняется», что в биз-нес-процессах компании участвуют мно-гие ИТ-системы (SRM, ERP, HR, Srevice Desk и т.д.). Все они плохо совместимы с внедренным каталогом, а процессы найма и увольнения все так же акту-альны. Для обеспечения безопасности и эффективности работы предприятия нужно своевременно создавать учетные записи в системах, к которым имеет до-ступ сотрудник, а при его увольнении

В сфере ИТ действуют те же принципы, что и в физике: любой переход в новое качество является фазовым и требует определенной энергии. Как оценить степень зрелости ИТ-инфраструктуры компании с точки зрения внутренней безопасности? И где проходит граница между задачами защиты, относящимися к ИТ и ИБ? АНДРЕЙ АРЕФЬЕВ

руководитель отдела развития продуктов компании InfoWatch



своевременно блокировать или уда-лять такие записи. Можно утверждать: мечта Microsoft о том, что внедрение Active Directory позволит закрыть все соответствующие проблемы, разру-шилась из-за многообразия ИТ-систем. Написание регламентов и прием на ра-боту квалифицированных сотрудников не избавляют от человеческого факто-ра, а главное – не дают простого ответа на вопрос «кто?», поскольку один сотруд-ник может иметь несколько учетных за-писей. Для полноценного ответа на этот вопрос необходим фазовый переход, со-стоящий во внедрении IdM-решения.

Переоценка или самообслуживание

Итак, в компании внедрен IdM, налаже-ны процессы управления учетными за-писями и правами, но через некоторое время обнаруживается, что количество ролей или групп в каталоге равно ко-личеству сотрудников, а удалить ту или иную группу невозможно, поскольку последствия окажутся непредсказуе-мыми. Выяснить, кто, зачем и почему выдал права на разные ресурсы, прак-тически нереально, а любое изменение ранее выданных прав является крайне рискованным и чревато остановкой биз-нес-процессов. Возникает разрыв между

требованиями бизнеса и технической реализацией ИТ. Самый правильный способ, устранения этого разрыва – использование инстру-ментов, позволяющих привлекать бизнес к регулярной переоценке прав подчи-ненных. Как правило, такие возмож-ности предоставляют решения класса Access Management. Их внедрение обыч-но сопровождается пересмотром систе-мы прав, а это требует определенной энергии, и, значит, на данном уровне зрелости ИТ происходит очередной фа-зовый переход.Теперь ИТ-процессы компании бы-стро адаптируются к бизнес-требо-ваниям и уже не пожирают большое количество ресурсов. Внедрение IdM позволило использовать одну учетную запись, права розданы, а процессы на-лажены. По мере внедрения решений «закручивались» политики безопасно-сти. Безусловно, все права локальных администраторов отобраны, политики безопасности в отношении паролей уже-сточены. И правильно: человек – слабое звено, и нужно лишь подобрать или украсть пароль, чтобы затем от его име-ни творить чудеса. Вы научили сотрудников не записывать пароли на бумажках, заставили менять их раз в три месяца, придумывать паро-ли из большого количества букв и сим-волов и не повторять их снова и снова.



Результат не заставил себя ждать: со-трудники забывают пароли (особенно после отпуска), поток запросов к адми-нистраторам на сброс паролей не оста-навливается. Хорошо, когда все всех знают, но что делать, если компания – крупная и распределенная? Простой со-трудника из-за забытого пароля дорого обходится предприятию, но еще дороже окажется сброс кем-нибудь пароля гене-рального директора. Ситуация становится еще более слож-ной, когда законодательство какой-ли-бо страны регламентирует внедрение на предприятиях ИТ-процессов, гаран-тирующих доступ к ИС только уполно-моченным лицам. Так, в Европе и США компании должны обеспечивать меры безопасности так, чтобы бабушки, ин-вестирующие в них свои сбережения, не обанкротились вместе с этими ком-паниями, если злоумышленники получат несанкционированный доступ к ИТ-системам. Решение данной проблемы возможно при внедрении либо специ-ализированных систем, позволяющих привлекать руководителей бизнес-под-разделений к ИТ-процессам (в данном случае – к инициации сброса пароля), либо систем самообслуживания, да-

ющих возможность сбрасывать соб-ственные пароли (многие зарубежные IdM-вендоры начинали с разработки именно таких решений).

Граница между ИТ и ИБ

Благодаря внедрению разнообразных систем вам удалось добиться контроля учетных записей и контроля над досту-пом этих записей к ИС. Таким образом, можно ответить на вопросы «кто, что, где и как?» с точки зрения разрешения доступа. Однако невозможно понять, как используется информация, к кото-рой сотрудники имеют легитимный до-ступ. Теперь нужно нанять ИБ-офицера (все описанные ранее задачи, как пра-вило, выполняет ИТ-команда). Потом следует провести аудит, идентифици-ровав информацию, которая представ-ляет ценность для компании. На основе выводов аудита разработать политики безопасности. Провести работу с со-трудниками, подписать с ними дополни-тельные соглашения. Ну и, разумеется, внедрить DLP-систему, без которой раз-работанные политики и регламенты ока-жутся «макулатурой». Как правило, внедрение DLP предпола-гает мониторинг информационных по-токов и выявление нарушений на основе правил. Классические вопросы при вы-боре DLP-системы таковы: какие кана-лы можно контролировать, можно или нет заблокировать тот или иной функ-ционал ОС, на какой объем трафика рассчитана система и как ее можно масштабировать? Для эффективного внедрения важно понимать, насколько точно должны быть заданы политики безопасности, обеспечивает ли система лингвистический анализ или придется поддерживать огромные словари. На-конец, может ли DLP-система предот-вращать утечки или является очередным инструментом, который лишь сообщает вам о наличии проблем. Очередной этап зрелости наступит, когда служба ИБ сможет использовать



DLP-системы для предотвращения инци-дентов на основе контентного анализа документов или сообщений. Практику-емое некоторыми компаниями закрытие USB-портов приводит к тому, что по за-просам пользователей для них делают исключения, и они получает неконтро-лируемую возможность копировать фай-лы на USB-диски. Понятно, что потом можно провести расследование, но пре-дотвратить утечку данных не удастся. Полноценное DLP-решение просто обя-зано обеспечивать анализ копируемого содержимого и, если копирование нару-шает политики безопасности, блокиро-вать такую деятельность.Еще один аспект, который начинает вол-новать службу безопасности, – использо-вание мобильных устройств для доступа к корпоративным ресурсам. Как прави-ло, возникают вопросы «что будет с по-терянным или украденным устройством, как такое устройство заблокировать или очистить от информации?», но без должного внимания остаются проблемы самого попадания конфиденциальных документов на мобильные устройства. А ведь, казалось бы, все знают, что устройства полностью контролируются производителями и что любая инфор-мация, хранящаяся на них в открытом виде, может попасть в руки компаний Apple, Google и др.По статистике 50% российских компа-ний предоставляют сотрудникам доступ к корпоративной почте с мобильных устройств (в том числе персональных). При этом, как правило, они не имеют корпоративной политики и технической возможности ограничивать применение средств доступа. Уверен, всем известно, как можно обойти политики DLP при наличии доступа к почте с мобильных устройств. Осуществить следующий фазовый переход позволяют способы предотвращения утечек информации на основе анализа контента, осозна-ние проблем использования мобильных устройств в бизнес-процессах, поиск компромисса между безопасностью ком-пании и частной жизнью сотрудников.

Внедрение любой системы сопровожда-ется несколькими этапами реакции без-опасников: ожидание чуда, восхищение от результатов, осознание недостаточ-ности функционала. Вы внедрили DLP, но через некоторое время осознали: бизнес-процессы компании изменились, возникли новые процессы, которые нужно защищать, и новые форматы документов, не «покрытые» правилами DLP, к тому же DLP-система лишь удов-летворяет основные потребности ком-пании, но не способна обнаруживать в ней «теневые» процессы и описывать их с помощью правил любой сложности. Приходит понимание того, что служба безопасности должна помогать бизнесу зарабатывать деньги, оптимизировать расходы, а не просто кошмарить его угрозами. И тогда возникает потреб-ность в инструментах, которые рабо-тают с большими данными, позволяют анализировать информацию, поступа-ющую от разных систем безопасности, выявлять сотрудников из групп риска и сложные схемы их незаконного обо-гащения. Осознание проблем, покупка и внедрение соответствующих систем, создание эффективных для бизнеса про-цессов – все это сложная, кропотливая, творческая работа, однозначно ведущая к очередному фазовому переходу.



IoT в руках злоумышленников

Ведется много разговоров об Industry 4.0 и Интернете вещей, которые, вроде бы, положительно влияют на экономику отдельных отраслей, целых государств и улучшают жизнь граждан. Создаются различные специализированные ассоци-ации, а в России даже в Ростехрегули-ровании появился технический комитет ТК194, который будет заниматься стан-дартизацией киберфизических систем, в том числе Интернета вещей. Однако есть и другая сторона явления: актив-но растет число атак на промышленные системы и случаев использования Ин-тернета вещей для осуществления про-тивоправных действий. В прошлом году возник ботнет Mirai. В нынешнем году число IoT-ботнетов многократно увеличилось («Амнезия», Hajime, BrickerBot, Persirai). Не проходит

месяца, чтобы какой-нибудь исследова-тель не сообщил о взломе автомобиля, унитаза, вибратора с встроенной видеока-мерой, кардиостимулятора, инсулиновой помпы, стелек или холодильника, под-ключенных к Интернету. А уж что гово-рить о промышленном Интернете вещей (раньше это называлось системами про-мышленной автоматизации), который ломают очень активно! Можно упомя-нуть Stuxnet, атаки на энергосистему Украины и на канализацию в Брисбене, шифровальщик WannaCry, выведший из строя пять заводов Renault и попав-ший на ряд железнодорожных объектов... Совсем недавно исследователи обнару-жили вредоносный код CrashOverride – четвертый из созданных специально для промышленных систем (перед ним были Stuxnet, BlackEnergy и Havex). Тут надо сразу оговориться, что речь идет об известных вредоносах, ориен-тированных именно на промышленные

КИБЕРБЕЗОПАСНОСТЬ ПРОМЫШЛЕННЫХ IOT-СЦЕНАРИЕВСегодня мы сталкиваемся с целым рядом значимых событий, которые свидетельствуют о становлении сферы кибербезопасности промышленного Интернета вещей (Internet of Things, IoT). Рост числа зарегистрированных атак на промышленные системы и случаев использования Интернета вещей для осуществления противоправных действий только добавляет остроты этой теме.

АЛЕКСЕЙ ЛУКАЦКИЙбизнес-консультант

по безопасности Cisco



системы, хотя кибератаки и раньше наносили ущерб физическим объек-там. Вспомним историю с ПО, украден-ным советскими разведчиками в США и затем использованным на газопрово-де в СССР: состоялся взрыв, приведший к остановке работы трубопровода. Из-вестна и история с инсайдером на Иг-налинской АЭС, произошедшая в 1989 г. Да, в те времена никто не собирал индикаторы компрометации, и в со-временных базах инцидентов нет зна-чений хешей вредоносных файлов. Но это не означает, что атак не было и они не повлияли на физический мир. Тот же WannaCry, который является «исконно офисным» вирусом, немало навредил промышленным объектам (за-водам Renault, поликлиникам, вокзалу в Франкфурте, заводу по производству телекоммуникационного оборудования). Имеется и много других примеров, ко-торые свидетельствуют, что сегодня виртуальный и физический миры объ-единены, а для воздействий на второй из первого не всегда нужны особые зна-ния. При этом появление CrashOverride показывает, что компетенции злоумыш-ленников растут, и можно спрогнози-ровать увеличение числа вредоносных программ, специфических для разных отраслей, систем промышленной авто-матизации и промышленных протоколов.

Чем ответит отрасль кибербезопасности и ОТ?

Возникает вопрос, как защитить со-временные промышленные системы автоматизации? У ИТ и OT (operational technology; между OT и IoT есть разли-чия, но в данном контексте ими можно пренебречь) много общих проблем за-щиты. Разработано немало стандартов и требований по регулированию спец-ифических вертикалей, мировой ры-нок ИБ-решений для IoT растет, но все же пока остается фрагментированным и не очень большим.Крупные игроки рынка ИБ только

подступаются к новому сегменту, ис-пользуя для этого традиционные ИТ-подходы, не всегда работающие в об-ласти IoT. Миры ИТ и IoT различаются по масштабам, спектру платформ, спец-ифическим протоколам, воздействию на физический мир, срокам жизни и автономности решений и др., поэто-му использовать привычные межсетевые экраны, антивирусы, PKI, системы ана-лиза сетевого трафика в промышленных сегментах не получается. Отрасль OT пока тоже не желает ак-тивно заниматься ИБ – за исключением крупных поставщиков (Siemens, ABB, Rockwell, Schneide и др.), чье оборудо-вание уже столкнулось с проблемами информационной безопасности. Во-обще сегодня именно ИБ-инциденты являются драйверами развития отрасли. Так, NetGear запустила программу bug bounty после обнаружения уязвимостей в ее оборудовании. D-Link была оштра-фована в январе 2017 г. из-за реализа-ции множества атак, осуществленных на основе уязвимостей в ее оборудова-нии. Американская федеральная тор-говая комиссия инициировала Home Inspector Challenge для выявления ИБ-проблем в IoT-оборудовании.

Концепция активной обороны промышленного IoT

Что в такой непростой ситуации делать потребителю? Следуя концепции активной обороны, можно выделить пять последова-тельных сценариев, позволяющих наращи-вать защитный потенциал в зависимости от конкретных задач и модели угроз.

1. Данный сценарий подразумевает ис-пользование «правильной» архитектуры, т.е. базиса системы защиты. В случае с промышленными сетями это – сег-ментирование, управление цепочками поставок оборудования и запчастей, поддержка, устранение уязвимостей, управление патчами и обновлениями и прочие задачи, которые даже не всег-



да относятся к защите. Они лишь созда-ют основу для реализации последующих сценариев. Данный сценарий – наиме-нее затратный, но весьма эффектив-ный; в нем задействованы встроенные механизмы ИБ на уровнях сетевой ин-фраструктуры (сегментирование, 802.1x или Port Security, VLAN и т.п.), СУБД, ОС и приложений АСУ ТП.

2. Начинается использование тради-ционных средств защиты, но пока – в пассивном режиме. Пассивная защита не требует (или почти не требует) по-стоянного участия человека в ее про-цессе. По сути, речь идет об установке разных средств защиты, которые ра-ботают в соответствии с заданными политиками, зачастую статическими. К таким средствам относятся классиче-ские межсетевые экраны, системы об-наружения атак, антивирусы, системы контроля над доступом (NAC), системы защиты оконечных устройств (HMI, сер-веров АСУ ТП и т.п.). Разумеется, речь идет о решениях, учитывающих специ-фику промышленных сетей, – их прото-колы, число промышленных устройств (десятки и сотни тысяч), возможность работы в агрессивной среде, требова-ния к задержкам и т.п. Этот сценарий лучше всего описан в нормативных до-кументах – скажем, американском NIST Cyber Security Framework или россий-ском Приказе N31 ФСТЭК.

3. Человек активно вовлекается в про-цесс защиты, и к инструментам второго уровня добавляется аналитика. Начи-наются проведение пентестов, внедре-ние систем мониторинга аномальной активности, систем управления логами и других инструментов управления ин-цидентами, анализ вредоносного кода. В рамках данного сценария необходи-мо непрерывное участие высококвали-фицированного персонала, способного обнаруживать то, что пропускают тради-ционные средства сетевой безопасности.

4. Этот сценарий (хотя грань между ним и предыдущим достаточно условна) подразумевает выстраивание процес-сов Threat Intelligence и Threat Hunting, в рамках которых разрозненные сле-ды несанкционированной активности, обнаруженные на предыдущем этапе, аккумулируются в индикаторах ком-прометации (IoC), бюллетенях и от-четах об угрозах, в формализованных описаниях угроз, которые можно пре-доставлять общественности, в том чис-ле в рамках центров распространения информации об угрозах (ISAC, CERT, CSIRT, ГосСОПКА).

5. Происходит больший сдвиг от обо-ронительной тактики к наступательной. На этом этапе идентифицируются уже не только атаки, но и сами атакующие, против которых затем предпринимают-

Архитектура Пасивнаяоборона

Активнаяоборона Разведка Нападение

Встроенная защита, полити-ки, устранение уязвимостей,

отказо устойчи-вый дизайн

Защита от угроз,

не требующая участия человека

Мониторинг угроз и ре-агирование

на них (актив-ное вовлече-ние человека)

Сбор данных, обогащение информации

и предоставле-ние разведдан-

ных

Юридические меры против нарушителей и функции самозащиты

против нарушителей



ся различные действия – возбуждение уголовного преследования, перехват управления командными серверами C&C, разделегирование вредоносных доменов и т.п. Это – нечастый сценарий, который применяется, скорее, на госу-дарственном уровне или монополистами, имеющими соответствующие возможно-сти и ресурсы.

Очевидно, что чем дальше мы отходим от первого сценария, тем больше ресур-сов (временных, людских, финансовых) требуется. При этом уровень защитных возможностей возрастает непропорци-онально затратам. Всегда ли надо стре-миться реализовать последний сценарий обеспечения ИБ на промышленном пред-приятии? К счастью, нет. Многие, закре-пившись на втором уровне, так на нем и остаются, поскольку не сталкиваются с АРТ и иными угрозами, которые тре-буют серьезной аналитики и присутствия человека. Зачем тратить деньги на избы-точный и редко используемый сервис! Таким предприятиям не нужны SOC и CSIRT, посменно работающие группы ана-литиков и специалистов, реагирующих на инциденты. Их устраивает автомати-ческая защита, обеспечиваемая межсете-выми экранами, системами обнаружения

вторжений и антивирусами, ведь они борются с традиционными нарушителя-ми, а не с представителями иностранных спецслужб или с кибертеррористами. А вот крупным корпорациям, военным и госструктурам, использующим си-стемы управления технологическими процессами, популярными средствами защиты не обойтись. Нужны еще ин-

струменты непрерывного мониторинга и люди, способные правильно пользо-ваться этими инструментами (или внеш-ние подрядчики).По моим оценкам, до 60% организаций с той или иной степенью детализации реализуют первый, архитектурный сце-нарий (хотя в своих офисных сегментах они, вполне возможно, воплощают уже третий-четвертый сценарий). Еще 30% переходят ко второму сценарию, вне-дряя специализированные, но все еще пассивные промышленные средства защиты. И только единицы начинают примериваться к защите своих промыш-ленных IoT-сетей с помощью третьего или четвертого сценария. Однако рост числа «промышленных» вредоносных ко-дов (Stuxnet, BlackEnergy, Havex, Crash Override) может изменить эти пропор-ции уже в ближайшее время.

Нападение

Разведка

Активная оборона

Пассивная оборона

Архитектура

ЦЕННОСТЬ

ЦЕНА



Девятый вал паролей

Современные тренды развития ИТ во многом обусловлены их активной ин-теграцией практически во все сферы де-ятельности. При этом интерактивность, доступность и удобство применения становятся важнейшими показателями качества любого пользовательского ИТ-сервиса. Развитие web-технологий значительно облегчило решение этих задач и позво-лило вывести пользовательские серви-сы на новый уровень. Сегодня можно получать различные услуги, не выходя из дома. Оплата коммунальных плате-жей и штрафов, запись ребенка в дет-ский сад или школу, покупка продуктов и бытовой техники, перевод денежных средств и управление личными финан-сами – лишь малая часть того, что обе-спечивают web-технологии. В корпоративной среде также происхо-дят значительные изменения. Размывают-ся границы офиса и корпоративной сети. Для доступа к рабочему пространству и информации, будь то офисные при-

ложения, электронная почта или пор-тал, CRM- или ERP-система, чаще всего нужен только Интернет. Это позволяет оптимизировать работу, значительно по-высить ее производительность и снизить издержки на поддержание офиса. Уже есть примеры весьма масштабных проектов, реализуемых в данной об-ласти. В 2016 г. компания «ВымпелКом» успешно запустила проект BeeFree, подразумевающий перевод ее сотруд-ников на работу из дома. Планируется до конца 2017 г. довести количество та-ких сотрудников до 70% общего числа. В нашей стране это – первый, но, навер-няка, далеко не последний проект столь крупного масштаба. Еще одна тенденция оптимизации издержек бизнеса – переда-ча ИТ-сервисов и систем в облака. Пока в России развитие облачных технологий идет медленнее, чем в западных странах, но в целом наблюдается положительный тренд. Уже сейчас редко можно встре-тить зрелую компанию, у которой хотя бы один-два ИТ-сервиса не являются об-лачными.При всей полезности современных ИТ мы получаем достаточно большое

Появление достаточно большого числа «домашних» и корпоративных web-приложений обеспечило массу удобств, позволило оптимизировать работу и снизить издержки. Однако теперь для аутентификации каждый пользователь вынужден запоминать множество логинов и паролей, что порождает вполне понятные проблемы. Справляться с ними помогают технологии единой аутентификации.

SSO: ОДНА ЗА ВСЕХ

ОЛЕГ ГУБКАдиректор по развитиюкомпании «Аванпост»



количество пользовательских web-приложений – «домашних» и корпора-тивных. Большинство из них требуют отдельной аутентификации, т.е., как ми-нимум, ввода логина и пароля пользова-теля, защищающих конфиденциальную информацию от внешних посягательств. Запомнить такое количество пар логинов и паролей сложно даже для «продвинуто-го» пользователя, поэтому чаще всего ис-пользуются слабые пароли либо пароли хранятся в открытом виде – как наклей-ки на мониторах и записки под клавиату-рой. Нередко используется один пароль к личным и корпоративным аккаунтам. Все это обуславливает значительное снижение уровня защищенности систем от несанкционированного доступа. Нуж-но учитывать и психологический дис-комфорт пользователей, вынужденных вспоминать пароли и тратить время на их ввод. Многие из нас были свидетелями таких ситуаций: после длительного не-использования приложения (например, во время отпуска) восстановление паро-ля ложится на службу технической под-держки. Практически в любой компании заявки на сброс паролей входят в топ-лист системы Service Desk, и столь банальная задача серьезно нагружает квалифициро-ванных специалистов ИТ-служб.

Технологии единой аутентификации

Решение этих проблем стало возмож-ным с появлением принципа единой аутентификации и соответствующих технологий SSO (Single Sign-On). Прин-цип SSO заключается в однократной аутентификации пользователя (напри-мер, при входе в домен или приложение), после чего во все остальные приложе-ния, к которым ему разрешен доступ, он входит «прозрачно», без предъявле-ния аутентифицирующей информации. При необходимости для усиления одно-кратной аутентификации задействуют-ся дополнительные способы, такие как применение смарт-карт и USB-токенов, одноразовых паролей, биометрии и т.п.Можно выделить два основных типа SSO-технологий. Один из них подраз-умевает перехват окон аутентифика-ции пользовательского приложения и автоматическую подстановку в него логина и пароля из защищенного про-филя пользователя. Преимущества данной технологии заключаются в простоте интеграции. Для настройки перехвата соответствующего окна сни-маются идентификаторы окна и полей ввода данных аутентификации с по-



мощью специального инструментария. Осуществляется это достаточно просто и занимает считанные минуты. Правда, из-за необходимости установки агентско-го приложения на компьютере пользова-теля невозможно задействовать данный подход в больших масштабах и для внеш-них пользователей (в результате данный вид SSO принято называть «корпоратив-ным»). Также данная технология приме-нима в большей степени к приложениям с толстым клиентом, а корректное снятие идентификаторов с окон web-приложений не всегда возможно.Для реализации единой аутентифика-ции в web-приложениях, предназначен-ных для широкого круга внутренних и внешних пользователей, используется другая технология, Web SSO. Основной ее принцип заключается в организа-ции единого сервиса аутентификации, который интегрируется с целевыми приложениями и «забирает» функцию проверки подлинности пользовате-ля на себя. При доступе пользователя к web-приложению, интегрированному с сервисом Web SSO, он перенаправля-ется на страницу аутентификации дан-ного сервиса. Только после успешного прохождения процедуры аутентифика-ции Web SSO отдает соответствующий ответ с данными пользователя web-приложению, которое его авторизует; сам пользователь тоже возвращается на страницу web-приложения. При об-ращении пользователя к другому при-ложению Web SSO проверяет наличие текущей сессии аутентификации. При обнаружении таковой повторная аутен-тификация не требуется – пользователь получает доступ «прозрачно». Для усиления аутентификации чаще всего применяется технология одно-разовых паролей TOTP (Time-based One Time Password Algorithm). Они могут генерироваться в мобильном прило-жении или высылаться по sms. Данный алгоритм удобен, в первую очередь, тем, что не накладывает ограничения на устройства доступа к приложениям. Могут применяться и другие способы

аутентификации, такие как использова-ние смарт-карт и биометрия, но уже за-частую в корпоративной среде.Технология Web SSO может быть пред-ставлена в двух реализациях: как IDP (Identity Provider) и реверсивный прокси. IDP выступает в роли стороннего сер-виса, к которому web-приложение перенаправляет пользователя для аутентификации. В основном для интеграции IDP с приложениями ис-пользуются стандартизованные прото-колы SAML и OpenID Connect, которые поддерживает большинство современ-ных приложений, что делает интегра-цию с IDP простой и малозатратной. При реализации Web SSO в виде ре-версивного прокси пользователь сначала проходит аутентификацию на прокси-сервере, а затем получает доступ к приложению. Как правило, такая интеграция Web SSO c прило-жениями осуществляется с помощью проприетарных протоколов, что подраз-умевает определенные доработки web-приложений. А поскольку любое, даже повторное обращение пользователя к приложению проходит через прокси-сервер, возникают серьезные требова-ния к его производительности.

Примеры использования Web SSO

Любая организация, оказывающая услуги населению (будь то орган исполнитель-ной власти, финансовая организация или интернет-магазин), сталкивается с проблемами аутентификации внешних пользователей в разных приложениях, и системы Web SSO являются отлич-ным решением. Технологии Web SSO активно применяются как в корпора-тивной среде, так и в социальной сфере. Наиболее яркие примеры – сайт госус-луг www.gosuslugi.ru и портал Москвы www.mos.ru. Несмотря на возмож-ность единого доступа ко всем серви-сам, за каждым из них стоит отдельное ведомство с собственными информаци-



онными системами. Единую однократ-ную аутентификацию для доступа к ним и обеспечивают решения Web SSO. Еще один пример применения Web SSO – федеративная аутентификация. Она уже давно используется в социаль-ных сетях: с помощью аккаунта в одной сети можно создать аккаунт и получить доступ к другой. Схожий принцип мо-жет быть реализован и в корпоратив-ной среде. Чаще всего это актуально для холдинговых структур – у каждой компании холдинга есть свои каталоги пользователей и приложения, но пери-одически ей требуется предоставлять доступ к приложениям «родственного» предприятия. Тогда на уровне головной компании может быть организован сер-вис Web SSO, который интегрируется с приложениями этой компании и обе-спечивает единую аутентификацию всех пользователей с их учетными данными.Наконец, несколько слов – об импор-тозамещении. До настоящего времени активными участниками рынка Web SSO были лишь крупные западные про-изводители, такие как Oracle и IBM. Они

предлагали не всегда оптимальные вари-анты решений – как по удобству адми-нистрирования и производительности, так и по цене. Однако в последнее вре-мя появились примеры действительно качественного импортозамещения, при-чем хорошие российские решения пре-восходят зарубежные по техническим показателям и значительно дешевле. Среди них – система Blitz Identity Provider, которая «выросла» из Единой систе-мы идентификации и аутентификации (ЕСИА) портала госуслуг. Можно также назвать Indeed Web Authentication компа-нии Indeed Identity, специализирующейся на продуктах для единой аутентифика-ции. Есть и решение Avanpost Web SSO, которое гармонично дополняет линейку систем Identity Management (IDM) ком-пании «Аванпост» и уже используется несколькими крупными заказчиками. Остается надеяться, что активное раз-витие данных продуктов продолжится во внутренней честной конкурентной борьбе и что в ближайшее время мы уви-дим новые интересные возможности та-ких систем и новые проекты.



ПРОБЛЕМЫ IOT В БАНКАХ

Появление технологии IoT породило немало публикаций, посвященных без-опасности использования соответству-ющих устройств. Что действительно представляет собой угрозу, а что явля-ется преувеличением? О безопасности Интернета вещей было бы уместно рас-суждать в контексте применения «умных» устройств в быту. Однако область моей профессиональной деятельности – ИБ в финансово-кредитной сфере, поэтому мы проанализируем угрозы в ситуациях массового проникновения в банки IoT-приборов и интеграции IoT с платежны-ми системами.

Использование бытовых IoT-устройств

Если в банке используется бытовое IoT-устройство, то возможна ли с него сете-вая атака? При работе такого прибора под управлением Bluetooth 4.0 он отзы-вается лишь на «приказ» единственного управляющего устройства (например, мобильного телефона). Заставить IoT-прибор засорять канал паразитным

трафиком можно только при поступле-нии «вредных» команд именно с такого устройства, и ответ также вернется к нему. Другими словами, идея атаковать банк с помощью «умного» офисного чай-ника пока бессмысленна. Да, памятен инцидент с бот-сетью Mirai. Однако в нем были использованы IoT-устройства другого класса – в основном, веб-камеры. Организация управления веб-камерами – несколько иная, и для атаки была задействована технология доступа к устройству с применением пароля по умолчанию, установленного производителем. Напомним: возможна совместная рабо-та в IoT технологий Bluetooth и Wi-Fi. Если в приборе используются обе тех-нологии, то ситуация с сетевой атакой вполне реализуема. Предположим, для консультирования клиентов в банке задействованы мобильные устройства (эта технология уже применяется). Они связываются по Wi-Fi с управляющим сервером, передавая и получая данные, в т.ч. конфиденциальные. При появлении в зоне работы мобильных устройств до-статочно мощного IoT-прибора с техно-

Сравнительно недавно стал

популярен термин «Интернет

вещей» (Internet Of Things – IoT).

В технику нового поколения

встроена возможность

беспроводного взаимодействия

с пользователем при помощи,

например, мобильного телефона.

Попробуем разобраться, чревата

ли угрозами эволюция бытового

устройства до уровня «разумное».ЕЛЕНА ПЕТРОВА

начальник управления ИБ «Экономикс-Банк»



логией Wi-Fi (например, ретранслятора для IoT-камер) вполне возможно наруше-ние работы этих устройств. Головную боль ИБ-специалистов по-рождает «безликость» Интернет-вещиц. Они, к примеру, идеально подойдут для отслеживания консультантов в здании банковского офиса: на управляющем устройстве видна метка в зоне действия IoT. Когда прибор связывается с управ-ляющим устройством, аутентификация, по сути, не происходит, уникальные па-роли и номера приборов пользователю не видны. Он видит лишь типовое назва-ние, устанавливаемое производителем. Слышали про атаку под названием «До-рожное яблоко»? Вполне реально орга-низовать аналогичную с применением IoT. Наблюдаем, какое IoT-устройство использует консультант, покупаем такое же, загружаем в память вредоносный код, незаметно заменяем устройство IoT собственным, выключаем легальное. Че-рез некоторое время консультант обна-ружит сбой и «привяжет» подмененное IoT-устройство, внешне не отличающее-ся от легального. Если IoT-устройство маркировано над-писями или наклейками, можно его ненадолго «позаимствовать», заменить электронную начинку и вернуть на ме-сто, организовав столь незатейливым способом канал хищения и передачи информации. Штатно присоединенное IoT-устройство будет идентифицировано как легитимное. Эта проблематика особенно актуаль-на для IoT-камер с применением Wi-Fi. Например, если наблюдение в помеще-ниях банка организовано с помощью IoT-камер, достаточно подменить или захватить управляющее ими устройство. В результате удастся получить данные видеонаблюдения, конфиденциальную информацию клиентов (например, их ПИН-коды), а в периоды отсутствия по-сетителей IoT-камеры можно исполь-зовать для организации сетевых атак с применением Wi-Fi.Кроме того, в память IoT-устройства можно запрятать ссылку на зловредный

ресурс. Доступ к памяти с посторонним кодом будет осуществляться с управля-ющего устройства, а какие-то признаки подмены кода на IoT-приборе обнаружить не удастся. Представьте, что соедине-ние с неизвестным ресурсом устанав-ливается лишь тогда, когда IoT-прибор находится недалеко от управляющего мобильного устройства. Приблизился сотрудник к офисной кофеварке, и со-стоялся «посторонний» обмен данными, отошел сотрудник, и обмен прервался. С точки зрения обращения к сторон-ним веб-ресурсам IoT получил для удобства потребителей, на мой взгляд, излишнюю самостоятельность. При включении прибора он без «лишних» во-просов через управляющее устройство куда-то быстро обращается за обновле-нием. И никаких сообщений, что обнов-ление загружается с такого-то ресурса, и никаких запросов о согласии владель-ца вещицы на обновление! Кроме того, ПО для IoT разработчи-ки размещают в облачных хранилищах. Если злоумышленник получит доступ к хранилищу и заменит обновляемый код, то подмененный код очень быстро растиражируется на все устройства IoT, загружающие обновления из этого хра-нилища. Инцидент может получиться «интереснее», чем с WannaCry.



Интеграция IoT с платежной системой

Дать стимул дальнейшему развитию технологии IoT можно лишь при опла-те разработок финансовыми монстрами. И диалог крупных платежных систем (Visa, Master Card) с разработчиками IoT-устройств уже идет. Однако даже на на-чальном этапе видно много проблем: • аутентификация владельца сред-

ства платежа, скорее всего, будет осуществляться через сканер отпе-чатков, но его можно скопировать с поверхности прибора и использо-вать для несанкционированных пла-тежей;

• определение места хранения пла-тежных реквизитов и возможность несанкционированного доступа к ним. При размещении разработ-чиками реквизитов в памяти IoT-устройств возможна подмена, к тому же IoT-вещицу можно украсть вме-сте с этими данными. Если же раз-мещать реквизиты в управляющем устройстве, то нет смысла в объ-единении IoT и платежной системы. Скорее всего, тогда придется ис-пользовать отложенный платеж: за-каз размещает IoT-прибор, а оплата проходит при появлении в зоне IoT управляющего устройства (или пла-теж отправляется по сети Wi-Fi, 3G);

• разбор конфликтных ситуаций при несанкционированных платежах. В IoT-устройствах нет проработан-ного механизма сбора и хранения

сведений об обмене данными. Как прописывать разбор конфликтных ситуаций, порядок фиксации прото-колов обмена? Просить предъявлять кофеварки и холодильники? Альтер-нативное решение – хранение про-токолов обмена в облаке. Возможно, после интеграции с платежными си-стемами и «начинка» IoT-устройств претерпит изменения, и платежные системы доработают регламенты разбора конфликтных ситуаций.

Каковы варианты защиты денег владель-ца IoT-устройства? Думаю, на первых этапах развития технологии IoT будут использоваться ограничения разовой/суточной суммы оплаты (впрочем, мо-шенники смогут проводить несколько платежей в пределах лимита). Кроме того, можно устанавливать ограничи-тельные МСС-коды в зависимости от ти-пов IoT-устройств. Ты кофеварка? Вот и оплачивай только кофе и расходные материалы, а за медиаконтент пусть платит телевизор! Да, настройка раз-граничения сложна, вероятность оши-бок велика, есть вероятность получения мошенником доступа к IoT-устройству и направления платежа на поддельный сервис с нужным MCC-кодом. Но в лю-бом случае это – вариант решения.Пока реализованных решений для объе-динения IoT и платежных систем нет, как и способов построения защиты. Мало данных, позволяющих четко понять, что защищать, от чего и как. Но рано или поздно IoT-устройства станут привычны-ми, и такая информация появится.



ЭТИ ОПАСНЫЕ «УМНЫЕ» ВЕЩИ

Несмотря на великое многообразие совре-менных «умных» устройств, на самом деле все инновации сводятся к двум основным технологическим решениям: в архитек-туру изделия добавляется универсальное вычислительное устройство, которое яв-ляется аналогом привычного персональ-ного компьютера и имеет необходимую для конкретных целей мощность, а затем это устройство подсоединяется к Интер-нету. Подключенные к Сети устройства, которые могут общаться друг с другом или с неким центром управления, получи-ли название «Интернет вещей» (Internet of Things – IoT). Ну а поскольку устройства класса IoT архитектурно почти не отли-чаются от компьютеров или смартфонов, они тоже подвержены интернет-угрозам. При этом речь идет об угрозах не только для информации, но и для самих пользо-вателей.

По стопам «Терминатора»

Самым ярким свидетельством новой ре-альности стало появление ботнета Mirai.

В 2016 г. он позволил злоумышленни-кам успешно реализовать DDoS-атаку на серверы DynDNS, что вызывало недо-ступность, в частности, сервисов Twitter. Расследование показало, что ботнет со-стоял из тысяч взломанных IP-камер и устройств записи видеоизображений. Авторы Mirai воспользовались уязвимостя-ми в устройствах конкретного произво-дителя и создали ботнет, который не мог быть обнаружен антивирусом, поскольку, в отличие от персональных компьютеров, эти устройства просто не оснащались ан-тивирусными программами.Массовый переход к «умным» устрой-ствам опасен не только тем, что они подвержены угрозам, которые ранее были актуальны только для компью-теров и смартфонов. Ситуация – куда более серьезная. Деятельность в сфере информационной безопасности, в пер-вую очередь, нацелена на задачи за-щиты данных, т.е. на предотвращение доступа третьих лиц к ценным сведени-ям и на обеспечение контроля над це-лостностью. Применительно к «умным»

Мир устройств стремительно «умнеет». Камеры наблюдения становятся IP-камерами, к названиям телевизоров добавляется слово smart, а автомобили обзаводятся бортовыми системами, которые еще несколько лет назад можно было увидеть лишь в кино. Однако «умные» вещи приносят своим владельцам не только дополнительные удобства и возможности, но и новые угрозы.

МИХАИЛ КОНДРАШКИНтехнический директор

Trend Micro в России и СНГ



устройствам такие задачи также важны, но бреши в защите порождают и угро-зы иного свойства – в первую очередь, угрозы для физической безопасности и неприкосновенности частной жизни.В 2016 г. с такими проблемами столкну-лась семейная чета из Вашингтона. Су-пруги обнаружили, что купленная ими для присмотра за трехлетним сыном ви-деокамера ведет с ним беседы мужским голосом. Оказалось, что неизвестный злоумышленник «взломал» устройство и развлекался с его помощью, общаясь с ребенком.Угрозы для жизни и здоровья пользова-телей вызывают все больше беспокойства с учетом того, что число потенциально опасных изделий, получающих «умные» функции и подключение к Интернету (например, автомобилей), постоянно рас-тет. В 2015 г. автоконцерн Fiat Chrysler Automobiles был вынужден отозвать почти 1,5 млн своих автомобилей Jeep, поскольку специалисты по информаци-онной безопасности выявили и проде-монстрировали уязвимости их бортовых систем. В ходе исследования удалось получить полный доступ к управлению автомобилем, и понятно, что использова-ние злоумышленниками такого доступа

могло привести к трагедии.Хотя возможность воплощения в жизнь трагического сценария, известного нам по фильму «Терминатор», пока еще да-лека, вместе с «умными» устройства-ми к нам уже пришло огромное число угроз. Чаще всего пользователи не за-думываются о безопасности, когда по-купают очередной телевизор, камеру наблюдения или автомобиль, но самое неприятное состоит в том, что о без-опасности не задумываются и произво-дители этих изделий. Их разработчики не обладают компетенциями в сфере ИБ, да и в глазах потребителей, к сожа-лению, высокий уровень защиты «умных» устройств не является конкурентным преимуществом. Исследования, прове-денные в 2016 г. специалистами альянса Zero Day Initiative, позволили обнару-жить более 100 уязвимостей в Advantech WebAccess — самой популярной плат-форме управления устройствами IoT. В помощь разработчикам специали-сты по информационной безопасности предлагают специальные инструменты, позволяющие дополнять «умные» продук-ты средствами защиты и централизо-ванно контролировать все проданные устройства. Такие системы доступны уже сегодня, но сложно прогнозиро-вать, когда разработчики начнут массово их использовать. А пока IoT-устройства, число которых на рынке увеличивается в геометрической прогрессии, покупают-ся, используются и будут использоваться еще много лет «как есть», без подсистем безопасности и централизованного контроля.

Бомбы замедленного действия

К сожалению, даже если производи-тель ответственно подходит к разра-ботке своего устройства IoT, внедряет в него определенные механизмы защиты и выпускает заплаты при обнаружении уязвимостей, возникает другая слож-ность – обеспечения долговременной поддержки уже применяемых устройств.



Традиционное ПО предоставляет-ся пользователям по принципу AS-IS, то есть без каких-либо обязательств поставщиков. Правда, разработчики оз-вучивают сроки, в течение которых бу-дут доступны обновления, призванные устранять выявленные неполадки и ла-тать уязвимости. Однако мы постоянно сталкиваемся с угрозами, связанными с использованием устаревшего ПО. Са-мый яркий пример в ИТ-индустрии – ОС Windows XP, которая до сих пор действует на 7% компьютеров, под-ключенных к Интернету, хотя с 2014 г. не поддерживается разработчиком.Ситуация с программной начинкой «умных» устройств – еще плачевнее. Разработчики не мотивированы на дол-госрочную поддержку актуальности своего ПО, и прекращение производства того или иного устройства чаще всего означает, что его обновления теперь тоже выпускаться не будут. А значит, тысячи проданных устройств переходят в «серую зону», о чем пользователей за-частую даже не оповещают.Человечество не имеет опыта массовой долгосрочной эксплуатации сложных информационных систем с поддержа-нием их в актуальном состоянии, а ведь каждый новый класс изделий IoT по-рождает подобную систему. Через 10–15 лет мы будем окружены миллионами таких устройств, огромная часть кото-рых уже не будет поддерживаться про-изводителями, – например, потому, что

они попросту уйдут с рынка. При этом устройства будут содержать в себе уяз-вимости, уже известные на тот момент, и станут представлять собой угрозы для жизни и здоровья потребителей.Необходимо четко понимать, что лю-бое «умное» устройство содержит в себе десятки уязвимостей. Пока о них ниче-го не известно, но рано или поздно все тайное становится явным. Новый «умный» автомобиль, оснащенный всеми сред-ствами защиты, в одночасье станет очень опасным, когда какой-либо злоумышлен-ник выявит в нем роковую ошибку, до-пущенную программистами. IP-камера, размещенная в доме с целью обеспече-ния безопасности его хозяев, сможет преподнести им весьма неприятные сюр-призы, если к ней сумеют подсоединиться преступники. А телевизор, оснащенный камерой для проведения видеочатов, смо-жет без ведома владельцев включать ее, снимать видеоматериалы и отправлять их в неизвестном направлении.Найдет ли индустрия информацион-ных технологий разумный компромисс между инновационностью и безопасно-стью? Озаботятся ли производители «ум-ных» изделий их защитой прежде, чем произойдет масштабная атака, которая объяснит все пользователям гораздо до-ходчивее, чем нравоучения специали-стов по информационной безопасности? Очень хочется, чтобы ответ на оба во-проса оказался положительным.



ПРЕОДОЛЕНИЕ ГРУППОЙ COBALT СРЕДСТВ ЗАЩИТЫ

Служба ИБ и обнаружила часть исполь-зуемых преступниками программ и подо-зрительные подключения к серверу, после чего полностью перекрыла доступ в Ин-тернет всему банку. Это оказалось наи-лучшим решением, ведь группа Cobalt

устраивала в его сети контролируемую бот-сеть, работу которой очень сложно отследить и еще сложнее остановить.На следующий день после атаки специ-алисты Group-IB приехали в центральный офис банка и начали искать первоисточ-

В июне 2016 г. в России была

зарегистрирована первая атака

с участием группы Cobalt:

у крупного сибирского банка

попытались украсть деньги через

банкоматы. Злоумышленники

проникли в сеть банка,

получили над ней контроль,

скомпрометировав учетную запись

администратора домена,

и добрались до сервера управления

банкоматами.

НачальноепроникновениеЦелевой фишинг, покуп-ка загрузок, уязвимость во внешней системе

СборданныхАтакующие ищут компью-теры, с которых можно получить доступ к критич-ным системам (APM КБР, SWIFT, карточный процес-синг, системы управления банкоматами и др.)

ЗавершениеатакиПолучают доступ к си-стемам как легитимный оператор, наблюдают за ним и выполняют те же действия

Противодействие расследованиюУничтожают даные после атаки и повреж-дают файловые системы используемых компью-теров

УдаленныйдоступАтакующие использу-ют удаленный доступ для контроля сети

ПолучениепривилегийСобирают реквизиты доступа к центральным серверам и пароли администраторов, используя утилиту Mimikatz

1

4

2

5

3

6

Рис.1. Этапы атак группы Cobalt

ВЕСТА МАТВЕЕВАглавный специалист по компьютерной

криминалистике Group-IB


Киберкрим

иналистика

ник атаки, выяснять этапы ее развития, причины и последствия, анализировать вредоносные программы и восстанавли-вать хронологию событий. Компьютеры, которые были задействованы в атаке, от-правили на экспертизу. Криминалисты Group-IB сразу поняли, что столкнулись с новым подходом к целе-вым атакам на банки. И они не ошиблись. Июньский инцидент стал «тестирова-нием» новой технологии атак, которую злоумышленники уже в июле начали при-менять в странах СНГ, Европы и Азии. Например, из более чем трех десятков банкоматов тайваньского банка First Bank были похищены 2 млн долл. Сейчас, спу-стя год, эта группа продолжает атаковать банки, о чем ежемесячно оповещает ко-манда Threat Intelligence Group-IB. Сначала целью группы Cobalt было опу-стошение банкоматов: на них запускалась программа, напрямую отправляющая дис-пенсерам команды на выдачу денежных средств. Потом группа стала атаковать любые системы финансовых организа-ций, в которых имелись деньги (карточ-ный процессинг, платежные системы, SWIFT и пр.). Получив доступ к такой системе, злоумышленники изучают алго-ритм формирования платежных рейсов,

и он повторяется «вручную». При этом сами сервисы или системы не взламыва-ются, обеспечивается доступ в сеть орга-низации, а далее – к соответствующим серверам систем.Атаки группы Cobalt всегда осуществляют-ся по одному и тому же шаблону. Общие принципы целевых атак на финансовые организации не меняются c 2013 г., ког-да группы Anunak, Corkow, Buhtrap, Lurk начали проводить первые атаки на рос-сийские банки, – изменяются только ин-струменты. Этапы атак показаны на рис. 1.Поскольку группе Cobalt до сих пор уда-ется проникать в сети крупных финансо-вых организаций, расположенных по всему миру, имеет смысл рассказать о приемах этой группы, используемых для маскиров-ки в сети и преодоления средств защиты.

Проникновение в сеть

Во всех исследованных Group-IB слу-чаях для проникновения в сеть ком-пании-жертвы использовалась почта. С почтового сервера злоумышленни-ков осуществляется массовая рассылка фишинговых сообщений с вложениями для сотрудников интересующей орга-

Рис. 2. Примеры тем сообщений и имен вложений



низации. Темы писем и имена вложений формулируются так, чтобы сотрудники захотели их открыть (рис. 2).Рассылка проводится массово: в одной организации письма поступают, как правило, к 10–40 сотрудникам. При этом часть почтовых адресов принадле-жит сотрудникам, уже не работающим в организации, то есть группа Cobalt ис-пользует неактуальные списки рассылки. Каждое письмо содержит вложение, ко-торое должно загрузить в оперативную память компьютера «полезную нагруз-ку» – ПО Cobalt Strike.Для того чтобы сделать возможной та-кую загрузку, злоумышленники опро-бовали несколько форматов вложений и писем, ведь их первоочередная зада-ча – обойти почтовые фильтры, сред-ства защиты и политики безопасности компании. Первое время в качестве вло-жения использовались архивы с испол-няемыми вложениями exe и .scr (рис. 3).Архив защищен паролем для обхода ан-тивирусной проверки, системы безопас-ности и почтовых фильтров. Однако при использовании политики безопасности, запрещающей пересылку зашифрован-

ных архивов, такое почтовое сообщение может быть заблокировано, поэтому зло-умышленники начали рассылать файлы .doc, которые содержат эксплойты, как правило, для ПО Microsoft Office (рис. 4).Такая схема подразумевает наличие уязвимой версии ПО. Компании могут себя обезопасить с помощью своевре-менного обновления всего применяе-мого ими программного обеспечения. Конечно, остаются уязвимости «нулево-го дня», но мы пока не встречались с их использованием в подобных атаках. Для организаций, своевременно обновляю-щих свои системы и придерживающихся жестких политик безопасности, придуман еще один способ доставки по почте вре-доносного кода – в документах Word. При открытии документа требуется нажать на кнопку «Включить содержимое», разре-шающую запуск макроса макроса (рис. 5).Одной из задач злоумышленников при доставке почтовых сообщений является сокрытие отправителя. В случае про-стой подмены поля отправителя боль-шинство почтовых серверов блокируют сообщения, поэтому группа Cobalt ре-гистрировала домены, названия которых

Рис. 3. Пример сообщения с исполняемым вложением .exe


Киберкрим


были схожи с реальными (например, diebold.pw), и настраивала свой почто-вый сервер для рассылки от имени этих доменов (рис. 6).Как только вложение запущено и вредоносный код отработал, в па-мять загружается «полезная нагрузка»

ПО Cobalt Strike. Это средство ис-пользуется для проведения тестов на проникновение, а значит, доступно не только кибермошенникам. Данное ПО предоставляет полный комплект функций для управления загруженным модулем, а соответственно, и заражен-

Рис. 5. Пример сообщения с документом Word, при открытии которого требуется нажать на кнопку «Включить содержимое», разрешающую запуск макроса

Рис. 4. Пример сообщения с файлом .doc, со-держащим эксплойт для ПО Microsoft Office



ным компьютером – кейлоггер, сним-ки экрана, удаленный доступ по VNC, инжекты в процессы, обход системы безопасности UAC, средство mimikatz, применяемое с целью компрометации реквизитов доступа для учетных запи-сей ОС Windows, возможность сканиро-вания открытых портов на компьютерах организации и др.

Выполнение в оперативной памяти

Модули ПО Cobalt Strike не хранятся в файловой системе, их исполняемый код можно найти только в оперативной памяти. По умолчанию код выполняет-ся в контексте процесса rundll32.exe, но может быть инжектирован в любой процесс, например с целью увеличения прав и числа привилегий. Кроме того, Cobalt Strike дает возможность не вы-ставлять фрагменту памяти, выделен-ному в контексте другого процесса, атрибуты RWX (Read, Write, Execute), по которым часто выявляется инжек-тированный код. Наконец, не все анти-вирусные средства умеют сканировать оперативную память.

Методы закрепления

В инцидентах, которые связывают с группой Cobalt, каждый раз исполь-зовались разные способы закрепления. Задача закрепления – прописать в ав-тозагрузку путь до исполняемого фай-ла или программный код, запускаемый с помощью командного интерпретатора powershell.exe, для обращения к задан-ному в коде интернет-ресурсу с целью загрузки и запуска модуля ПО Cobalt Strike. Таким образом, сама «полез-ная нагрузка» в системе не хранится и каждый раз загружается заново. До-полнительный бонус данного способа закрепления состоит в том, что каждый раз может загружаться разная «полезная нагрузка».Закрепление осуществляется не на всех зараженных компьютерах, а на не-скольких, имеющих доступ в Интернет. В рамках реагирования были зафикси-рованы следующие способы автозагруз-ки: через службу, ключи автозагрузки, задачи ОС Windows, с помощью замены легитимных исполняемых файлов ПО, прописанного в автозагрузке, на испол-няемый файл злоумышленников. Опас-

Рис. 6. Пример сообщения, отправленного злоумышленниками со своего домена, название которого схоже с именем «реального» домена


Киберкрим


ность задач ОС состоит в том, что их запуск может быть отложенным. Даже если сейчас сеть не заражена, через ме-сяц может сработать соответствующая задача, и «полезная нагрузка» попадет на компьютеры организации.

Обход антивирусных средств

Обычно в момент проведения почтовой рассылки эксплойты и все исполняемые модули антивирусными средствами не де-тектируются (так происходило со всеми активно работающими группами). За-гружаемые модули злоумышленники стараются пересобирать, чтобы обхо-дить сигнатурный анализ антивирусных средств. ПО Cobalt Strike предоставляет возможность использовать для этих це-лей фреймворк The Artifact Kit и даже модифицировать его под себя, так как он распространяется в исходных текстах.Кроме того, автозагрузка производится посредством загрузки модуля ПО Cobalt Strike в оперативную память без сохра-нения в файловой системе. Дополнитель-ными средствами обхода антивирусного ПО являются использование эксплойтов для повышения уровня прав и привиле-гий, обход UAC, инжектирование кода в доверенные процессы.

Обход сетевых средств защиты

Cobalt Strike позволяет устанавливать модули двух типов – HTTP/HTTPS/DNS-модуль и SMB-модуль. Первый устанав-ливается в системы, имеющие доступ в Интернет, и обеспечивают взаимодей-ствие с сервером управления с помощью протоколов HTTP/HTTPS/DNS. После открытия почтового сообщения, отправ-ленного злоумышленниками, в систему загружается именно такой модуль. Мо-дуль второго типа устанавливается даже в системах, не имеющих доступа в Ин-тернет, поскольку с помощью протоко-ла SMB, обычно используемого внутри локальной сети, SMB-модулем можно

управлять через другие зараженные компьютеры, на которых запущен HTTP/HTTPS/DNS-модуль.Для обхода систем обнаружения и пре-дотвращения вторжений, межсетевых экранов и прокси-серверов с сигнатур-ными правилами, нацеленными на обна-ружение запросов определенного вида, модули ПО Cobalt Strike формируют профили взаимодействия по протоко-лу HTTP: задаются значения служебных заголовков протокола и параметров запросов, данные могут пересылаться как значение поля в заголовках, как значение отправляемого в составе URI параметра, как часть URI, пересылать-ся в теле HTTP-сообщения. При вза-имодействии с сервером управления данные (исполняемые файлы, команды, результаты работы команд) шифруют-ся. Для взаимодействия по протоколу HTTPS могут использоваться профи-ли протокола HTTP с указанием SSL-сертификата, а для передачи данных по DNS-протоколу – DNS A, AAAA и txt-записи. При этом можно отдельно зада-вать интервалы взаимодействия между сервером управления и модулем на за-раженном компьютере.Модуль ПО Cobalt Strike может исполь-зовать несколько профилей и пере-ключаться между способами передачи данных по команде с сервера управ-ления без необходимости обновления самого модуля. Адреса серверов управ-ления меняются с момента проникнове-ния злоумышленников в сеть компании до момента хищения денежных средств, что позволяет избежать создания чер-ных списков IP-адресов и доменных имен. Таким образом, внутри организа-ции создается контролируемая бот-сеть с доступом к любому компьютеру, даже не имеющему доступ в Интернет.

Распространение по сети

Для запуска программ злоумышлен-ников, в том числе модулей ПО Cobalt Strike, на других компьютерах сети ис-



пользуются методы, предоставляемые продуктами Microsoft при наличии соот-ветствующих учетных записей:

• создание службы на другом ком-пьютере для запуска программного кода, запуск службы и ее удале-ние. В качестве командной строки прописывается программный код, передаваемый на вход командного интерпретатора powershell.exe;

• подключение к каталогу общего до-ступа (C$, ADMIN$) на другом ком-пьютере, копирование в него модуля, создание службы и ее запуск для старта модуля, удаление службы;

• подключение к другому компьютеру с помощью PsExec.exe (программа удаленного доступа входит в набор SysInternals компании Microsoft), ко-пирование модуля и его запуск;

• подключение к другому компьютеру по протоколу RDP, копирование мо-дуля и его запуск.

Службы после создания удаляются, а удаленный доступ по протоколу RDP и с помощью PsExec является обычным для администраторов сети, поэтому следы запуска программ, которые впо-следствии также удаляются и работают только в оперативной памяти, сложно выявить своевременно. Как правило, помогают журналы ОС. Более деталь-ную информацию можно получить при использовании расширенного аудита безопасности и периодическом созда-нии резервных копий этих журналов.

Использование стандартных средств

Комплекс Cobalt Strike является обще-доступным, и можно загрузить его для изучения и создания правил детектиро-вания в сети. Кроме того, для работы внутри организации группой Cobalt ис-пользуются такие стандартные средства:

• удаленное подключение по протоколу RDP (встроенная возможность ОС);

• удаленное подключение с помощью PsЕxec;

• удаленное подключение с помощью TeamViewer, что позволяет резерви-ровать возможность удаленного до-ступа в случае потери контроля над модулями ПО Cobalt Strike;

• сетевое сканирование с помощью программы SoftPerfect Network Scanner;

• обеспечение защищенного подклю-чения с помощью программы Plink.

В сети организации можно создать правила обнаружения данных средств. А обращения ПО TeamViewer можно кон-тролировать с помощью правил на меж-сетевом экране, прокси-сервере и др.

Итак

После заражения одного компьютера в сети организации группа Cobalt начи-нает изучать используемые в ней про-граммы, искать серверы критически важной инфраструктуры и компью-теры, с которых к ним осуществля-ется доступ. Многие финансовые организации тратят большие деньги на ИБ и считают, что их изолирован-ные подсети безопасны. Однако все эти подсети кем-то управляются, а значит, практически всегда есть доступ в без-опасную подсеть из небезопасной – пусть только с одного компьютера, пусть с уникальной учетной записью. Вот его-то и будут искать злоумышлен-ники – как показывает практика, они тратят от двух недель до 1,5 мес. на по-лучение доступа к критически важной инфраструктуре.Следовательно, на выявление злоумыш-ленников в сети у ИБ-специалистов банка есть, в среднем, месяц. А по-скольку антивирусное ПО в такой де-ятельности – не помощник, спасти может лишь знание того, как, кого и с помощью каких инструментов ата-куют кибермошенники. Поэтому нужно своевременно обновлять ПО, изучать отчеты ИБ-специалистов, предостав-ляющих индикаторы компрометации, и современные техники взлома.


Киберкрим


Превентивные мероприятия

До начала заражения публиковалось достаточно много аналитики, по-священной выявленным уязвимостям. В рамках наших профильных сервисов мы оповестили клиентов о критич-ности таких уязвимостей и необходи-мости обновления всех доступных для этого хостов. С помощью мониторинга и анализа логов контролировать экс-плуатацию уязвимостей было невоз-можно, и мы сделали паузу до начала фактических срабатываний.

12.05.2017

11:37. На некритичном хосте одного из заказчиков был детектирован новый образец шифровальщика. Поскольку у нас с заказчиком простроен процесс совместного разбора таких инцидентов, мы начали действовать по четырем зара-нее намеченным направлениям:

• анализ доступных журналов и окру-жения инцидента для выявления попыток проникновения шифро-вальщика в инфраструктуру;

• получение и самостоятельный ана-лиз сэмпла вредоносного ПО и об-

WANNACRY: ХРОНИКАРЕАГИРОВАНИЯ Мы не собираемся рассказывать,

как защититься от вируса-

шифровальщика WannaCry, –

таких рекомендаций в Интернете

десятки. Речь пойдет о том, как

в случае атаки функционирует

SOC и какие шаги необходимы

для реагирования на глобальные

инциденты.

АЛЕКСЕЙ ПАВЛОВаналитик Solar JSOC

компании Solar Security



раза машины нашей forensic team;• работа с пользователем для опреде-

ления канала проникновения вредо-носного ПО;

• передача сэмпла в антивирусные лабо-ратории (по согласованию с клиентом).

13:52. Первые краткие итоги: на хосте действует антивирус с максимально жесткими политиками, доступ поль-зователя к USB и Интернету серьезно ограничен, и он уверяет, что не откры-вал каких-либо писем. Следовательно, отсеклись стандартные маршруты рас-пространения шифровальщика, что при-влекло внимание к инциденту внутри JSOC. Первые рабочие версии: вредонос-ное ПО «воспользовалось» уязвимостью (у хоста был белый ip) либо долгое вре-мя находилось «в спячке», ожидая своего часа. Первые выводы forensic team: вирус – многомодульный, с возможностью обо-гащения функционала, он распространя-ется с помощью сетевого сканирования внешних и внутренних адресов и экс-плуатации уязвимости. 15:32. Осуществлена проверка клиентов по имеющимся индикаторам – задолго до появления официального сообщения о массовой эпидемии. Масштабы бед-ствия еще не были известны, поэтому экстренных оповещений мы не прово-дили. В результате оперативного анали-за нам стали известны ip-адрес и домен

сервера, на который идут обращения при шифровании файлов. Ретроспективная проверка всех заказчи-ков не выявила положительных срабаты-ваний. Все индикаторы были добавлены в активные правила и листы для дальней-шего отслеживания попыток обращения, в том числе неуспешных, к вредоносно-му домену и оперативного выявления за-раженных машин.По разным каналам начала появляться информация о вирусе-шифровальщике. Стало понятно, что обнаруженный нами зловред распространяется массово. Ра-бота была разделена еще на несколько направлений:

• оповещение клиентов о первых ин-дикаторах работы и мероприятиях;

• углубленная работа с сэмплом;• фокусное общение с технологиче-

скими и техническими партнерами для обмена результатами разбора вируса;

• активное отслеживание сообщений в СМИ, ленте Facebook, «взорванной» сведениями о заражениях, на фо-румах вендоров и CERT для поиска дополнительной информации и ин-дикаторов.

17:30. Стало известно, что для рас-пространения вредоноса используется уязвимость EternalBlue CVE-2017-0144. О ней впервые заговорили 14 апре-


Киберкрим


ля, и многие эксперты опубликовали предупреждения об опасности данной уязвимости. Клиенты Solar JSOC, име-ющие открытый вовне порт 445, были проинформированы о необходимости установки патчей и применения компен-сирующих мер для снижения риска экс-плуатации этой уязвимости. 18:15. У всех заказчиков был запущен кастомный сценарий для отслеживания аномального количества соединений с одного хоста по порту 445 внутри сетей заказчиков. Таким образом, мы смогли контролировать попытки распростра-нения вредоноса с хостов, не подклю-ченных к Solar JSOC. К счастью, таких рабочих станций выявлено не было. В это же время мы получили допол-нительные сетевые индикаторы ком-прометации, поставили на контроль обращения через межсетевые экраны и прокси, а также стали мониторить DNS-запросы. Все клиенты получили оповещение о необходимости блоки-ровки указанных адресов на сетевом оборудовании. Общее поведение вредо-носного ПО было таким:

• с нескольких серверов происходит сканирование Интернета в поисках открытых наружу портов 445;

• обнаружив открытый порт, WannaCry пытается эксплуатировать уязвимость EternalBlue;

• в случае успеха эксплуатации в системе устанавливается бэкдор DoublePulsar, а затем докачиваются основные компоненты WannaCry;

• после этого вирус шифрует файлы определенных форматов, не затра-гивая системные файлы;

• программа начинает случайным об-разом сканировать «серые» адреса в поисках вариантов дальнейшего распространения и в случае их об-наружения вновь повторяет цикл.

После 19:30 большинство антивирус-ных вендоров добавили в свои реше-ния сигнатуры отдельных компонентов WannaCry. Были запущены принудитель-ное обновление и проверка всех машин наших клиентов. В течение следующих

нескольких часов мы непрерывно взаи-модействовали со специалистами заказ-чиков по фактам обнаружения новых подробностей поведения и распростра-нения WannaCry. Разбор инцидента (еди-ничное заражение) у заказчика показал, что открытых наружу портов 445 у него не было. Таким образом, единственным способом проникновения в его инфра-структуру оставалась почта.

13–14.05.2017

В течение последующих двух дней мы по-лучали информацию и сэмплы других сборок вредоносного ПО, эксплуати-рующих уязвимость EternalBlue. Новые индикаторы компрометации проверя-лись в ретроспективе и ставились на ак-тивный контроль. Дежурный аналитик взаимодействовал с техническими специ-алистами заказчика в течение выходных. Все подозрительные почтовые вложения очень тщательно проверялись.Нам стало понятно, что использование уязвимости останется трендом ближай-шего времени, и любые меры, связанные с применением мониторинга, кастомных сигнатур и работой антивируса, стоит рассматривать лишь как компенсирую-щие. Соответственно, в еще более ин-тенсивном режиме продолжилась работа с обновлением систем, в том числе legacy, для которых появились актуальные патчи.


Под

мас

кой

CISO: ПОД КОЛЕСАМИ КОРПОРАТИВНЫХ ИНТРИГ

Все зависит от CISO

Все события в сегменте ИБ, все успехи и падения определяются исключительно поведением и навыками CISO. Рассмо-трим основные умения CISO, влияющие на положение ИБ-сотрудников в компа-нии (перечислено лишь то, что относит-ся к предмету обсуждения):

• квалификация – четкое понимание того, чем нужно заниматься, каких сотрудников нанимать, знание своих бизнес-процессов, наличие бизнес-образования;

• позиционирование – правильно вписаться в структуру компании, не дублировать работу других подраз-делений, обеспечить аргументацию своих потребностей (бюджета и шта-та) при любых преобразованиях;

• выстраивание отношений – обеспе-чить четкое исполнение своих рас-поряжений «снизу», максимальную поддержку «сверху», избегать вну-тренних конфликтов и отбить охоту «шалить» у коллег «по горизонтали»;

• ориентация в «центрах силы» – не оказаться пешкой в чужой игре при разборках внутри компании, выбирать верную позицию при кон-фликтах интересов;

• создание системы внутренней без-опасности – нести ответственность за подчиненных и защищать их от увольнения.

К сожалению, в России CISO, удовлет-воряющих этим критериям, можно пересчитать по пальцам. Большинство – случайные люди в данной области. Придя в компанию, в которой криво сформированы процессы ИБ, и не зная, как правильно организовать дело, они лишь усугубляют ситуацию и прибли-жают день своего «съедения». Возможны два варианта развития событий, которые, в принципе, приводят к одинаковому результату (просто возникают разные угрозы и модели увольнений):

• грамотный и знающий CISO – встреча-ется в единичных случаях. За два-три года он создает в компании систему ИБ, полезную для бизнеса. Его репу-

NICKNAME: РАЗЕНБОТ

ИБ стала одним из направлений

деятельности практически

любой компании. Но владельцы

и руководители бизнеса

не всегда понимают, что такое

ИБ, это влияет на судьбы CISO.

Сегодня в рубрике «под маской» мы

публикуем рассуждения Розенбота

о личных рисках руководителя

службы ИБ.


Под м

аской

тация в компании, авторитет и льготы достигают приличного уровня;

• среднестатистический CISO – слу-чайный человек без необходимых знаний и навыков. Он действует по наитию, порождает массу кон-фликтов, не обеспечивает выпол-нение основных задач. Из «центра пользы» ИБ превращается в «центр проблем и конфликтов», что вызы-вает в компании раздражение.

Зачастую CISO переоценивают свою значимость для бизнеса. При этом ИБ-подразделения (как, например, и бухгалтерия) обеспечивают лишь вспо-могательные сервисы, а потому бизнес относится к ним как к «расходному ма-териалу». Желающим опровергнуть это мнение и доказать свою важность для бизнеса – флаг в руки, только результат, скорее всего, окажется нулевым.Можно утверждать, что реальный срок работы CISO в компании составляет два-четыре года. Изредка встречаются проти-воположные примеры, но в среднем дело обстоит именно так. Уточним: данное утверждение в наибольшей степени от-носится к коммерческим предприятиям, меньше – к госсектору, а для консерватив-ной банковской сферы малоприменимо.

Причины «заката» и принципы реагирования

Теперь поговорим о причинах, меха-низмах и динамике «склонения к закату» любого CISO.Ему надо быть готовым к следую-щим рискам:

• зависть руководителей служб без-опасности, которые не умеют за-щищать свой бюджет, получать от бизнеса необходимые штаты, и другие «сведения счетов»;

• обида руководителя на чрезмерно самостоятельного CISO, который не «прогибается» под его интересы;

• желание пристроить приятеля или родственника на место CISO и полу-чить «ручного» сотрудника;

• желание переложить на CISO ответ-ственность за чьи-то промахи, поиск «крайнего»;

• получение CISO доступа к излишней корпоративной информации (напри-мер, свидетельствующей о корруп-ции). Надо строить работу так, чтобы исключить доступ к таким данным, не любопытствовать, не вмешиваться в конфликты интересов.

CISO всегда должен быть готов к уходу. При этом можно попытаться избежать увольнения, став «лучшим в мире» спе-циалистом с полным набором необходи-мых личных и деловых качеств.Признаки возникновения рискован-ного состояния таковы:

• CISO перестают приглашать на сове-щания в службы безопасности;

• сильно сокращается прямое общение с непосредственным руководителем;

• в штат навязывают «позвоночного»;• противники объединяют позиции

и консолидируют действия.Способы предотвращения рисков (гарантий они, понятно, не дают):

• исправление фундаментальных ошибок;• пересмотр подхода (идеологии);• устранение причин конфликтов;• достижение уникального положения

в компании;• совершенствование личных и про-

фессиональных качеств;• понимание природы отношений

в компании – нужно переигрывать «доброжелателей», грамотно лавиро-вать и не расслабляться ни на минуту.

Как уходить без ущерба для репутации:• не доводить до увольнения по «проф-

непригодности»;• в ерно по зи ц ион ирова т ь с я

в компании, меньше конфликтовать, не доводить конфликты до разборок у владельцев – чем громче скандал, тем тяжелее последствия;

• адекватно реагировать на угрозы – бороться при «подставах», спокойно выполнять свои функции до момен-та ухода в случае замены на «ручно-го» сотрудника.



ТРАНСФОРМАЦИЯBYOD-КОМПЕТЕНЦИЙПонятие BYOD пришло в мир ИБ достаточно давно – об этомговорят уже лет пять. Однако до сих пор не найдено решение, позволяющее безопасно подключать личные устройства к информационным системам компаний. Это связано с большим количеством противоречий, которые не получится разрешить без обновления компетенций сотрудников ИБ-служб.

Защита без вторжения

Пользователи не хотят, чтобы к их лич-ным устройствам имели доступ какие-нибудь сисадмины, но вовсе не против получать с этих устройства доступ к корпоративным ресурсам и информа-ции, ведь это позволяет им выполнять свои обязанности не только на рабо-чем месте, но и, например, из дома. В результате у безопасников возни-кают дополнительные проблемы, ведь конфиденциальная корпоративная ин-формация обрабатывается на неконтро-лируемых устройствах. Многие производители MDM-решений ратуют за применение контейнеризации, позволяющей изолировать на персональ-ном мобильном устройстве ту область, в которой запускаются и хранятся кор-поративные приложения. Передача ин-формации из одной области в другую контролируется или блокируется. По-скольку MDM-система управляет только выделенным контейнером, у системного

администратора нет возможности выйти за его пределы и влезть в личные дан-ные владельца смартфона. Если телефон будет потерян либо сотрудник уволится, сисадмин дистанционно удалит корпора-тивную информацию, а остальной кон-тент – по желанию владельца. На наш взгляд, можно говорить о транс-формации BYOD и возникновении но-вой концепции. Из относительно новых трендов назовем перенос в мобильную сферу концепции VDI, которая позволя-ет виртуализировать стационарные ком-пьютеры. Фактически, все приложения запускаются в облаке, а пользователь на своем рабочем месте видит только изображение экрана. Получается, что физические компьютеры информации не содержат, но данные никуда не утека-ют, и можно централизованно управлять ими и системой, «накатывать» обновления. По аналогии была придумана концеп-ция виртуальных мобильных устройств Virtual Mobile Infrastructure (VMI). Прин-цип ее работы остался тем же, только

ВАЛЕНТИН ГРЕБЕНЕВдиректор по технологическому

развитию компании«Код безопасности»



вместо компьютера используется мо-бильное устройство, а в качестве ОС – мобильная ОС. В облаке запускается виртуальная копия, образ мобильного устройства, а на физическом устройстве отображается либо рабочий стол с икон-ками, либо непосредственно приложения. Это – относительно новый подход, и со-ответствующие решения только появи-лись и сейчас развиваются, но некоторые компании уже их предлагают.С помощью VMI тоже достигается ре-шение проблемы защиты от утечек информации через мобильные устрой-ства. Данные фактически не передают-ся на такие устройства: они хранятся и обрабатываются в облаке. Кроме того, решаются проблемы обновления, за-крытия уязвимостей в ОС (в том числе мобильных) и проблемы совместимости приложений с различными версиями мобильных ОС.

Изменение компетенций ИБ-специалистов

Возникает вопрос: меняются ли в свя-зи с изменениями в концепции BYOD требования к компетенциям ИБ-специалистов? Теоретическая база оста-ется неизменной, ведь речь всегда идет о защите информации (в сети, на ПК или мобильном устройстве). Принципы и подходы также одинаковы: это – ана-лиз угроз, выявление уязвимостей си-стемы, реагирование, принятие мер для защиты от рисков. Однако, в соответствии с особенно-стью BYOD, специалист должен, в пер-вую очередь, знать и понимать угрозы, характерные для мобильных устройств и ОС, хорошо разбираться в мобильных ОС, понимать различия между ними. Кроме того, доступ пользователей с лич-ных устройств осуществляется по Сети из неконтролируемых точек, на которых могут применяться разные методы атак, вплоть до man in the middle. А значит, нужно разбираться в вопросах сете-вой защиты и соответствующих рисках.

Наконец, если ИТ-ландшафт включает в себя средства виртуализации, то спе-циалист по ИБ должен знать и распоз-навать связанные с ними уязвимости, угрозы и риски, выбирать и применять эффективные меры защиты.Как показывает практика, большинство ИБ-специалистов что-то слышали про MDM, но досконально не понимают раз-ницу между работой с такими решени-ями и удаленным администрированием компьютеров. Тут важен следующий нюанс: мобильные операционные систе-мы изначально разрабатывались не как корпоративные, а как индивидуальные, поэтому по управляемости они в зна-чительной мере уступают современным ОС для ПК. Весьма важен и этический аспект. Если компания применяет MDM-решение, которое технически позволяет си-стемному администратору получать доступ к информации об устройстве, то у руководства должна быть уве-ренность в порядочности этого адми-нистратора, в том, что он не станет предпринимать какие-либо противо-правные действия. В целом, на рынке не очень много ИБ-специалистов, которые способны качественно работать с мобильными устройствами, исполь-зуемыми по принципу BYOD. Новая область деятельности, которая только разворачивается в российском корпора-тивном сегменте, подразумевает необхо-димость получения ИБ-специалистами и новых специфических знаний.


ЖУРНАЛ «!БЕЗОПАСНОСТЬ ДЕЛОВОЙ ИНФОРМАЦИИ»Авторы

Алексей Нагорный, генеральный директорор компании InfoWatchАнна Альбова, Marketing Lead MobilityLab LLCСергей Хайрук, аналитик компании InfoWatchАндрей Арефьев, руководитель отдела развития продуктов компании InfoWatchАлексей Лукацкий, бизнес-консультант по безопасности Cisco Олег Губка, директор по развитию компании «Аванпост»Елена Петрова, начальник управления ИБ «Экономикс-Банк» Михаил Кондрашин, Технический директор Тренд Микро в России и СНГВеста Матвеева, главный специалист по компьютерной криминалистике Group-IBАлексей Павлов, аналитик Solar JSOC компании Solar SecurityВалентин Гребенев, директор по технологическому развитию компании «Код безопасности»Владимир Журавлев, заведующий кафедрой учебного центра «Информзащита»

Информация

Номер журнала: ¹18, II квартал 2018 г.Тираж: 1000 экз. Распространяется бесплатно Номер свидетельства: ПИ NФС 77 – 54908 Свидетельство о регистрации СМИ: ПИ NФС 77 – 54908 Зарегистрировавший орган: Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций

Главный редактор: Олег Седов Литературный редактор: Наталья Соболева Руководитель группы дизайна: Ирина ЛифинцеваДизайнер-верстальщик: Алена Яковлева, Яна Аксакова

Адрес редакции: 123022, Москва, ул. Верейская, д. 29, стр. 134, БЦ «Верейская Плаза» Дизайн и печать – типография «ЮСМА»: 109316, Москва, Волгоградский пр-т, д. 42, корп. 5 Интернет-версия издания: www.bis-expert.ru/bdi

Контакты по вопросам рекламы и размещения материалов Е-mail: [email protected]

Рукописи не возвращаются и не рецензируются.

Редакция не несет ответственности за достоверность рекламных материалов. Любое воспроиз-ведение материалов и их фрагментов возможно только с письменного согласия редакции.

Наши выпуски

Журнал о трендах, знаниях и личном опыте в области защиты информационных активов

ОПТИМИЗАЦИЯ

РАСХОДОВ

КОМПАНИИ

АНАЛИЗРАБОЧЕГО

ВРЕМЕНИ

ПЕРСОНАЛА

ПОВЫШЕНИЕ

ДИСЦИПЛИНЫ

ТРУДА

КОНТРОЛЬ

СОТРУДНИКОВ

РАССЛЕДОВАНИЕ

«ПО ГОРЯЧИМ СЛЕДАМ»

ПРИВЛЕЧЕНИЕ

К ОТВЕТСТВЕННОСТИ

НАРУШИТЕЛЕЙ

Предотвращение

репутационных

и финансовыхрисков

Documents

ОТ BYOD К IOT - bis-expert.ruCOBIT5 Foundation, ISO 27001 и именуя себя CISA, CISM и CRISC, напомина - ют чернокнижников. Словно они