пр Актуальный ландшафт угроз ИБ 2015 08

Актуальный ландшафт угроз ИБ

Прозоров Андрей, CISM

Руководитель экспертного направления

Компания Solar Security

Мой блог: 80na20.blogspot.com

Мой твиттер: twitter.com/3dwave

2015-08

solarsecurity.ru +7 (499) 755-07-70

Почему эта тема?

2


О чем эта презентация?

3

Угрозы ИБ (статистика и тенденции)

Кадровое обеспечение ИБ (проблемы и риски)

Регулирование ИБ в РФ (Что нового?)

Импортозамещение (Что сейчас, чего ожидать?)


Полезные отчеты по ИБ

4

1. JSOC Security flash report Q1 2015

2. ISACA, State of Cybersecurity: Implications for 2015. An ISACA and RSA

Conference Survey

3. PwC. Управление киберрисками во взаимосвязанном мире. Основные

результаты Глобального исследования по вопросам обеспечения

информационной безопасности. Перспективы на 2015 год

4. Positive research 2015. Сборник исследований по практической

безопасности

5. Get ahead of cybercrime. EY’s Global Information Security Survey 2014

6. Verizon 2015 Data Breach Investigations Report

7. McAfee White Paper, Cybercrime Exposed. Cybercrime-as-a-Service, 2013

8. A Trend Micro Research Paper. Cybercriminal Underground Economy

Series.Russian Underground Revisited, 2014

9. Cisco 2015 Midyear Security Report

10. Symantec 2015 Internet Security Threat Report, Volume 20

11. Код Безопасности. Импортозамещение в ИБ: ожидания и перспективы

solarsecurity.ru +7 (499) 755-07-70 5

В 2014 году количество

инцидентов ИБ выросло на 48%.

PWC


Инциденты ИБ в 2014 году

6

76,57%

23,43%

(опыт респондентов)

Больше атак

Меньше атак

ISACA


Средний размер финансовых убытков в

результате инцидентов ИБ, 2013-2014

7

PWC


Источники инцидентов ИБ в 2014

8

ISACA

45,60%

17,45%

19,81%

40,09%

28,62%

40,72%

Киберкриминал

Кибершпионаж

Хактивисты

Хакеры

Злонамеренные инсайдеры

Ошибки и халатность инсайдеров


Ночные и дневные инциденты

9

JSOC


Успешные атаки

10

ISACA


Внешние угрозы vs Внутренние

11

JSOC


PWC


Внутренние угрозы

13

JSOC


Источники внутренних угроз

14

JSOC


Источники внутренних угроз

15

Verizon


Каналы утечки

16

JSOC


Наиболее распространенные уязвимости

внутренней сети

17

PT

Сложность получения доступа

со стороны внутреннего

нарушителя:

• Тривиальная – 6%

• Низкая – 50%

• Средняя – 44%


Внешние угрозы

18

JSOC


Наиболее распространенные уязвимости

на сетевом периметре

19

PT

Сложность преодоления

периметра:

• Высокая (не удалось

преодолеть периметр) – 13%

• Средняя – 26%

• Низкая и тривиальная – 61%


Векторы атак для преодоления сетевого

периметра

20

PT

40%

33%

27%

24%

60%

16%

Словарные пароли

Уязвимости веб-приложений

Отсутствие актуальных обновлений

2014 2013


Векторы заражения вредоносным кодом

21

Verizon


Чем выявляются атаки?

22

45,8%54,2%

События ИБ, выявленные с

использованием сложной

аналитики (SIEM, DLP, TI, PC

и пр.)

События ИБ, выявленные

базовыми СЗИ (МЭ, IPS,

сетевое оборудование и

пр.)

JSOC


56% организаций вряд ли

могут обнаруживать

сложные кибератаки

63% организаций

обнаруживают атаку не

раньше, чем через 1 час

(даже при наличии SOC)

EnY


Оперативное реагирование JSOC

24

Среднее время на подготовку

и предоставление

аналитической справки об

инциденте и рекомендаций по

критичным инцидентам 24,5

минуты, по всем остальным –

86 минут.


Одиночные

хакеры,

Script kiddies

Anonymous,

«хактивисты»,

«идейные»

Организованный

криминал

(массовые атаки)

Организованный

криминал (APT,

целевые атаки)

Кибервойска

(спонсируются

государствами)

Любопытство,

интерес, обида,

злоба

Пропаганда,

блокирование

ресурсов,

политические

цели

Финансовая

выгода,

вымогательство,

онлайн-

мошенничество

Финансовая

выгода, кража

информации,

корпоративный

шпионаж

Нарушение

работы

критических

инфраструктур,

кража

государственной

тайны

Взлом веб-

сайтов, поиск и

эксплуатация

простых

уязвимостей

DDoS, утечки

данных,

публикации в

СМИ

Массовое

вредоносное ПО,

покупка услуг

Корпоративный

шпионаж,

сложное

дорогостоящее


длительные

целевые атаки,

предоставление

услуг

Дипломатический

шпионаж,

сложное

дорогостоящее


длительные

целевые атаки,

киберсаботаж,

научные

разработки

Кто

?З

ач

ем

?К

ак

?

Источники угроз по сложности обнаружения

Сложное обнаружение и предотвращениеУмеренная сложность обнаружения и предотвращения


Цены на 0-day уязвимости

26

McAfee


Киберкриминал: Цены на услуги и продукты

27

Trend Micro


Почему системы ИБ не справляются?

28

Неправильные приоритеты в ИБ

Нет СЗИ

СЗИ не настроены / не используются

Низкий уровень зрелости процедур ИБ

Нет квалифицированных кадров

Низкий уровень осведомленности сотрудников компании

Атакуют ночью

Против нас работают профессионалы

Нехватка бюджета


Бюджет на ИБ в 2015

29

ISACA

56,09%

10,77%

33,14%Увеличен

Снижен

Без изменения


Ожидания кибератак в 2015 году

30

ISACA

38,25%

44,26%

16,19%

1,31%

Высокая вероятность

Средняя вероятность

Низкая вероятность

Не произойдут



Количество ИБ специалистов в организации

32

ISACA


У 53% организаций

отсутствуют

необходимые

квалифицированные

кадры по ИБ

EnY


Время на поиск персонала ИБ

34

2,70%

13%

21,49%

30,45%

23%

9,72%

< 2 недель

1 месяц

2 месяца

3 месяца

6 месяцев

более 6

ISACA


http://80na20.blogspot.ru/2014/11/blog-post.html

http://80na20.blogspot.ru/2014/11/blog-post.html


Самые нужные навыки для ИБ

специалистов

36

ISACA


Кому отчитывается ИБ?

37

19,97%

59,74%

5,96%

3,54% 10,79%

CEO

CIO

CFO

Audit

Board of director

ISACA


Пути решения проблемы

нехватки персонала

38

Развитие корпоративной

культуры (чтобы хотели у вас

работать)

Обучение персонала

Развитие молодых

специалистов по ИБ

Аутсорсинг процессов ИБ

Передача проектов ИБ на

внешних подрядчиков

Аутстафинг



Защита ГосИС

40

Не все проектировщики ГосИС

знают о наличии требований к ИБ

Ожидаем обновление Приказа

ФСТЭК России №17 в 2016 году

(замечания и предложения уже

собрали)

Методические рекомендации –

большой и сложный документ


Новые Постановления Правительства РФ

41

Постановление Правительства РФ от 06.07.2015 N 676 «О требованиях к

порядку создания, развития, ввода в эксплуатацию, эксплуатации и вывода

из эксплуатации государственных информационных систем и дальнейшего

хранения содержащейся в их базах данных информации»

Постановление Правительства РФ от 06.07.2015 N 675 "О порядке

осуществления контроля за соблюдением требований, предусмотренных

частью 2.1 статьи 13 и частью 6 статьи 14 Федерального закона "Об

информации, информационных технологиях и о защите информации"

(вместе с "Правилами осуществления контроля за размещением

технических средств информационных систем, используемых

государственными органами, органами местного самоуправления,

государственными и муниципальными унитарными предприятиями,

государственными и муниципальными учреждениями, на территории

Российской Федерации", "Правилами осуществления контроля за

соблюдением требований к порядку создания, развития, ввода в

эксплуатацию, эксплуатации и вывода из эксплуатации государственных

информационных систем и дальнейшего хранения содержащейся в их

базах данных информации").


Обновление УК РФ

42

Штрафы по статье 183 «Незаконные получение и разглашение

сведений, составляющих коммерческую, налоговую или

банковскую тайну» увеличили до 1,5 млн.рублей. Сроки лишения

свободы остались неизменными (до 7 лет)

Переименована и расширена статья 187 «Неправомерный оборот

средств платежей»

1. Изготовление, приобретение, хранение, транспортировка в

целях использования или сбыта, а равно сбыт поддельных

платежных карт, распоряжений о переводе денежных средств,

документов или средств оплаты, а также электронных средств,

электронных носителей информации, технических устройств,

компьютерных программ, предназначенных для

неправомерного осуществления приема, выдачи, перевода

денежных средств, -


Все строят CERT

43

С 1 июня 2015 года в ЦБ РФ начало работу новое подразделение - центр

мониторинга и реагирования на компьютерные атаки в финансово-

кредитной сфере (FinCERT)

ГосСОПКА (ФСБ России):

Опубликована выписка из документа «Концепция государственной

системы обнаружения, предупреждения и ликвидации последствий

компьютерных атак на информационные ресурсы Российской

Федерации» (утв. Президентом РФ 12.12.2014 N К 1274)

Еще помним про Указ Президента РФ от 15 января 2013 г. N 31с «О

создании государственной системы обнаружения, предупреждения и

ликвидации последствий компьютерных атак на информационные

ресурсы РФ»

Появилась база угроз и уязвимостей ФСТЭК России - http://bdu.fstec.ru

Еще стоит вспомнить про проект ФЗ о КВО, пересмотре Доктрины ИБ и

методических документах ФСТЭК России…

http://bdu.fstec.ru/


Структура центров ГосСОПКА

44


ФСТЭК России

45

Планируют выход на 2х-летний цикл обновления документов. По Приказу

17 уже собрали предложения

"Методика определения угроз безопасности информации в ИС« (проект,

собрали замечания)

В планах много новых документов:

Порядок аттестации информационных систем

Порядок обновления ПО в ИС

Порядок выявления и устранения уязвимостей в ИС

Порядок реагирования на инциденты, связанные с нарушением

безопасности информации

Защита информации в ИС при использовании мобильных устройств

Защита информации в ИС при применении устройств беспроводного

доступа

Комплект документов по защите АСУ ТП / Приказ 31

Обновят ли СТР-К в 2016 году? Или заменят Приказом 17?


Переход от ТУ к ПЗ (ФСТЭК России)

46

Основная проблема –

ГОСТ 15408 обновился в

2014 году

Уже есть требования к:

• Системы обнаружения вторжений

• Средства антивирусной защиты

• Средства доверенной загрузки

• Средства контроля съемных носителей информации

Ожидаем

• Средства защиты от

несанкционированного вывода (ввода)

информации (DLP-системы)

• Средства контроля и анализа

защищенности

• Средства ограничения программной

среды

• Средства межсетевого экранирования

• Средства управления потоками

информации

• Средства идентификации и

аутентификации

• Средства управления доступом

• Средства разграничения доступа

• Средства контроля целостности

• Средства очистки памяти

А также требования к:

• Средствам защиты среды

виртуализации

• Базовым системам ввода-вывода

• Операционным системам

• Система управления азами данных


ЦБ РФ и СТО БР ИББС

47

Новые документы СТО БР ИББС:

РС БР ИББС-2.5-2014 Менеджмент инцидентов ИБ

РС БР ИББС-2.6-2014 Обеспечение ИБ на стадиях жизненного

цикла АБС

РС БР ИББС-2.7-2015 Ресурсное обеспечение информационной

безопасности

РС БР ИББС-2.8-2015 Обеспечение ИБ при использовании

технологии виртуализации

Ожидаем РС про защиту от утечки (РС 2.9) и про антифрод

ЦБ РФ опубликовал Отчет о несанкционированных переводах

денежных средств за 2014 год


Разъяснения РКН про ПДн

48


Все любят ПДн

49

Штрафы не увеличили

Отраслевая МУ ЦБ РФ (ожидаем)

Изменение подхода к проверкам РКН

(+мероприятия систематического наблюдения).

+ проект Постановления Правительства РФ «Об

утверждении Положения о государственном

контроле и надзоре за соответствием

обработки ПДн требованиям законодательства

РФ»

Появились Методические рекомендации по

разработке нормативных правовых актов,

определяющих угрозы безопасности ПДн,

актуальные при обработке ПДн в ИСПДн,

эксплуатируемых при осуществлении

соответствующих видов деятельности"

(утверждены руководством 8 Центра ФСБ

России 31 марта 2015 года №149/7/2/6-432)

242-ФЗ уже близко, с 1 сентября 2015 года

Отчет РКН за 2014 год -

http://80na20.blogspot.ru/

2015/03/2014.html

http://80na20.blogspot.ru/2015/03/2014.html


http://siliconrus.com/2015/07/rkn-pers2016

http://siliconrus.com/2015/07/rkn-pers2016/


Про блокировки сети Интернет

51

Основания для

блокировки:• Наркотики

• Призывы к суициду

• Порно с

несовершеннолетними

• Фильмы, защищенные

исключительными

правами

• Призывы к массовым

беспорядкам

• Экстремизм

• Размещение ложной

информации о банках

(проект)

Левада-Центр

Основной мотив - защита

детей от информации,

причиняющей вред их

здоровью и развитию


Обновлен указ №188 про перечень

сведений конфиденциального характера

52

Добавлено:

7. Сведения, содержащиеся в личных делах осужденных, а также

сведения о принудительном исполнении судебных актов, актов

других органов и должностных лиц, кроме сведений, которые

являются общедоступными в соответствии с Федеральным законом

от 2 октября 2007 г. N 229-ФЗ "Об исполнительном производстве

Поправлено про «Сведения, составляющие тайну следствия и

судопроизводства»



Импортозамещение – это не про ИБ, это

про закупки…

54

Федеральный закон от 05.04.2013 N 44-ФЗ "О контрактной системе в

сфере закупок товаров, работ, услуг для обеспечения государственных и

муниципальных нужд"

Федеральный закон от 18.07.2011 N 223-ФЗ "О закупках товаров, работ,

услуг отдельными видами юридических лиц"

Постановление Правительства РФ от 28.11.2013 N 1085 "Об утверждении Правил

оценки заявок, окончательных предложений участников закупки товаров, работ,

услуг для обеспечения государственных и муниципальных нужд"

Гражданский Кодекс РФ § 4. Поставка товаров для государственных (ст.525-534)

Бюджетный Кодекс РФ Статья 72. Осуществление закупок товаров, работ, услуг для

обеспечения государственных (муниципальных) нужд

КоАП Статья 7.29. «Несоблюдение требований законодательства Российской

Федерации о контрактной системе в сфере закупок товаров, работ, услуг для

обеспечения государственных и муниципальных нужд при принятии решения о

способе и об условиях определения поставщика (подрядчика, исполнителя)» и

Статья 7.30. «Нарушение порядка осуществления закупок товаров, работ, услуг для

обеспечения государственных и муниципальных нужд»


Законы про импортозамещение

55

Федеральный закон от 29.06.2015 N 188-ФЗ "О внесении изменений в

Федеральный закон "Об информации, информационных технологиях и о

защите информации" и статью 14 Федерального закона "О контрактной

системе в сфере закупок товаров, работ, услуг для обеспечения

государственных и муниципальных нужд" (Начало действия документа -

01.01.2016):

Про реестр российского ПО и критерии

Про правки в 44-ФЗ: «устанавливаются запрет на допуск товаров, происходящих

из иностранных государств, работ, услуг, соответственно выполняемых,

оказываемых иностранными лицами, и ограничения допуска указанных товаров,

работ, услуг для целей осуществления закупок»

Федеральный закон от 13 июля 2015 года N 227-ФЗ "О внесении

изменений в Федеральный закон "О контрактной системе в сфере закупок

товаров, работ, услуг для обеспечения государственных и муниципальных

нужд"" (Начало действия документа - 15.08.2016)

Про правки в 44-ФЗ: Требование к участникам закупки: участник закупки не

является офшорной компанией


Ключевые органы исполнительной власти

56

Министерство экономического развития Российской

Федерации: регулирование контрактной системы в

сфере закупок товаров, работ, услуг для обеспечения

государственных и муниципальных нужд.

Министерство связи и массовых коммуникаций

Российской Федерации: проведение экспертной

оценки документов и материалов, используемых для

формирования и ведения Единого реестра

российских программ для электронных

вычислительных машин и баз данных.


Проект постановления Правительства РФ

57

Постановление Правительства РФ «Об установлении запрета на

допуск программного обеспечения, происходящего из иностранных

государств, для целей осуществления закупок для обеспечения

государственных и муниципальных нужд» (проект)

Заявленные цели:

защита внутреннего рынка РФ

развитие национальной экономики

поддержка российских товаропроизводителей


Код Безопасности


Код Безопасности


Лукацкий про перечень СЗИ

60

http://lukatsky.blogspot.ru/2015/03/blog-post_6.html

http://lukatsky.blogspot.ru/2015/03/blog-post_6.html


Импортозамещение: Итого

61

Тема не нова. Есть упоминание в

Доктрине ИБ (2000) и Стратегии

развития ИТ до 2025 года

Все идет к спискам рекомендованного

ПО (отраслевые и для гос.оранизаций)

Государство готово выделять бюджеты

на долгосрочные программы


На этом у меня все…

Спасибо за внимание!

Прозоров Андрей, CISM

Мой блог: 80na20.blogspot.com

Мой твиттер: twitter.com/3dwave

Моя почта: [email protected]

Technology

пр Актуальный ландшафт угроз ИБ 2015 08