Информационная безопасность?.. Кибербезопасность?..

Плейлист Информационная безопасность: https://www.youtube.com/watch?v=5UjlmsONLg0&list=PLOJkpu7Wj63W1YVlGIYn1E5oVaAiFIYJ8

Татьяна Станкевич, "Газинформсервис"

Сегодня мы живем в цифровом обществе: люди проводят в интернете гораздо больше времени, чем 10 лет назад; он-лайн присутствие бизнеса и компаний - это по большей части современная необходимость нежели новомодный тренд. Это нужно для того, чтобы мы с Вами в любой момент могли получить легкий доступ ко всему (продуктам, услугам, информации).
Но любая технология сопряжена с угрозами и сегодня главной из них являются кибератаки. И вот здесь появляются термины «кибербезопасность» и «информационная безопасность», которые эти кибератаки должны предотвратить или по меньшей мере сократить пагубные последствия их реализации.

Чего же нам ожидать от злоумышленников? Потенциальными источниками угроз для нас станут современные технологические новинки (интернет вещей, искусственный интеллект и машинное обучение в деятельности злоумышленников и пр.).
В части вирусов-вымогателей предполагается смещение в сторону мобильных устройств. Атаки на облачные хранилища будут усиливаться. Еще одна актуальная угроза – взломы средств массовой информации для распространения ложной информации и аккаунтов в социальных сетях.

Развитие роботостроения создает еще один потенциальный источник угроз: робот – это овеществленная компьютерная система, угроза, связанная с ним, - объект внутри периметра.

«Умный дом» наряду с другими техноновинками таит в себе массу уязвимостей и возможностей для злоумышленников.

Жизнь подтверждает справедливость ранее сформулированного тезиса о том, что системы безопасности сами нуждаются в защите:

Нейронная сеть может подделать отпечатки пальцев

А преступники — пользоваться этим

Американские ученые продемонстрировали, как искусственный интеллект может создавать «мастер-ключи» для обхода систем, основанных на идентификации по отпечаткам пальцев. Сгенерированные нейросетью отпечатки подходили в каждом пятом случае, хотя вероятность ошибки дактилоскопических сканеров не должна быть выше одной на тысячу попыток.

Исследование было подготовлено пятью учеными Нью-Йоркского и Мичиганского университетов во главе с Филиппом Бонтрейджером из Инженерной школы Нью-Йоркского университета. Возможность с помощью нейронной сети создать поддельные отпечатки пальцев связана с двумя факторами.

Во-первых, большинство биометрических систем считывают не весь отпечаток пальца, а лишь его часть, приложенную к сканеру. Если отпечаток пальца в целом уникален, то части отпечатков могут в значительной мере совпадать. В связи с этим искусственный отпечаток, содержащий несколько линий, будет соответствовать разным частям сразу нескольких реальных отпечатков. Кроме того, система не сравнивает полученный частичный отпечаток с полным отпечатком в базе данных, а лишь оценивает его на совпадение с такими же частичными отпечатками.

Во-вторых, некоторые сочетания линий в отпечатках оказываются более распространенными, чем прочие. Искусственный интеллект учится выделять именно такие варианты.

Сочетание этих двух факторов позволяет ИИ создавать поддельные отпечатки, которые будут сходны с довольно большим количеством реальных отпечатков, а затем подбирать подходящий. Сами исследователи сравнивают такой способ с так называемым «подбором по словарю» — хакерской атакой, при которой система взламывается перебором разных возможных паролей. Только в данном случае система перебирает не пароли, а варианты отпечатков пальцев.

Ученые считают, что их исследование должно помочь в совершенствовании биометрических систем. По их мнению, «лежащий в основе метод, вероятно, будет иметь широкое применение в сфере безопасности систем, основанных на отпечатках пальцев, а также синтезе отпечатков». «Без проверки того, что биометрия связана с реальным человеком, многие из этих враждебных атак становятся возможными»,— отмечает один из авторов проекта.

О том, что искусственный интеллект может быть использован в преступных целях, говорят далеко не впервые. В феврале несколько десятков специалистов по кибербезопасности опубликовали доклад «Преступное использование ИИ: прогноз, профилактика и предотвращение». Речь в докладе шла о нескольких вариантах подобного использования ИИ, в числе которых хакерские атаки, массовые взломы БПЛА, беспилотных автомобилей и других автоматизированных систем, использование ИИ в пропаганде. В числе прочего в докладе говорится и об использовании уязвимости человека, например, применении синтеза речи. К этой группе можно отнести и подделку отпечатков пальцев.

https://www.kommersant.ru/doc/3803970

Как бороться с кибератаками

Татьяна Станкевич, "Газинформсервис"

Мы занимаемся безопасностью бизнеса малого, среднего, крупного. Малый бизнес более подвержен кибератакам, поскольку в отличии от крупных корпораций он не может себе позволить значительные инвестиции в технологии и стратегии безопасности.

Для построения эффективной системы защиты информации любой компании придется пройти через 3 этапа:

1. Удовлетворение требований законодательства — защита персональных данных, охрана видов тайн, обеспечение лицензируемых видов деятельности и прочее. Применительно к данному этапу – анализу требований законодательства и последующему удовлетворению – степень риска является недопустимой, т.к. невыполнение требований законодательства может привести к ликвидации компании.
   
   
2. Удовлетворение потребности бизнеса в информационной безопасности — мер, требуемых поставщиками или клиентами для поддержки непрерывной деловой активности, путем повышения уровня информационной безопасности. В большинстве случаев они формируют конкурентное преимущество. Уровень риска – оправданный, несет в себе потерю доли рынка; способ реализации зависит от исполнения предлагаемого решения.
   
   
3. Внедрение наилучших практических мер по обеспечению информационной безопасности..

Обеспечение информационной безопасности – это вспомогательный процесс для основного процесса любой компании – получения прибыли.

Компания «Газинфомрсервис» – интегратор и вендор в области информационной безопасности.
В нашем портфеле 6 линеек продуктов: две информационные системы и четыре линейки средств защиты информации.

Информационная безопасность. Инфрастуктура открытых ключей

Татьяна Станкевич, "Газинформсервис"

Что такое инфрастуктура открытых ключей? Это вообще очень, ну, на мой взгляд, ну, каждому, конечно, кажется, что то, что он делает – это наиболее важное, наиболее сложное. Но, на мой взгляд, инфрастуктура открытых ключей из всей информационной безопасности – она находится на таком, неком привилегированном положении, потому что на базе вот этой штуки можно решить очень много задач и устранить массу уязвимостей.

Состоит инфрастуктура открытых ключей из обязательных и необязательных компонентов.

К обязательным компонентам в первую очередь относится ключевая пара. Это то, что позволяет нам реализовать две главные технологии:

- технологию электронной подписи,

- технологию шифрования.

Кто-нибудь знает, что такое ключевая пара и из чего она состоит? Вы не проходили в институтах?

У нас раньше был Первый федеральный закон, там терминология была более понятной, там ключевую пару определяли как два ключа: открытый и закрытый.

Сейчас эти термины – их заменили. Открытый ключ – это ключ проверки электронной подписи, закрытый ключ – это ключ электронной подписи.

Уязвимости сайта. Как их обнаружить?

Сергей Никитин, "Газинформсервис"

Вот я нашел такую картинку, где было написано "Меня взломали".

У меня было такое предложение – давайте, попробуем взломать "Газинформсервис". Не знаю, хотите – нет?

Значит, немножко предистории. Такой логотип знаком, нет? Никто не знаком?

Я еще чего-то знаю, чего, смотрите, не знаете вы. У меня еще есть шансы на рынке труда.

В общем, пока я писал статью про интернет вещей, наткнулся на такой поисковик, называется Censys.io, по-моему, вот так вот пишется.

Эта штука, она сканирует типа домен по имени сайта, либо какой-то пул IP-адресов, либо какую-то геолокацию на предмет известных уязвимостей в устройствах, которые он там обнаружил.

Информационная безопасность. Что такое SIEM?

Максим Якубов, "Газинформсервис"

Что же такое – SIEM системы?

Если мы полностью разберем, откроем SIEM, у нас получится Security Information and Event Management. В переводе на русский, это означает управление информационной безопасностью и событиями. SIEM-система – это решение, которое позволяет автоматизировать и упростить управление, собственно, самой информационной безопасностью во всей инфоструктуре.

Что такое SIEM-система? Ответ на этот вопрос важно понимать как разработчикам SIEM-систем, так и заказчикам. SIEM-система – это не "серебряная пуля", это не универсальное решение, которое что-то защищает само по себе.

То есть, SIEM-система не обеспечит защиту активов компании как физических, так и, скажем, виртуальных, программных от кражи, уничтожения – она не для этого предназначена. Правильно сказала девушка, она предназначена для того, чтобы мониторить, собирать события по, скажем, инцидентам, ну, и вообще в целом событиям, чтобы понимать, что есть инцидент, а что является просто событием информационной безопасности.

Информационная безопасность. Как работает SIEM-система?

Максим Якубов, "Газинформсервис"

На данном слайде представлена довольно типовая архитектура практически любой SIEM-системы.

Значит, сервер сбора событий, ну, скажем так, это своего рода фэншуйный компонент.

Да, также есть, так называемый, агент, который можно устанавливать непосредственно на источнике событий, если они это позволяют делать. Но зачастую используется единый сервер или группа серверов сбора событий, которыми, собственно, и осуществляется сбор событий со всех источников событий.

Дальше эти события нормализуются, скажем так, потому что события – они в разном формате, эти события разные по объему, их всех нужно привести к единому виду, чтобы SIEM-система могла эффективно и быстро их обрабатывать.

После того, как события собраны, нормализованы, они отправляются на сервер управления событиями – то есть непосредственно здесь, на этом компоненте и происходит корреляция событий, их анализ, ну, и скажем так, диагноз того, что это за событие.

Информационная безопасность. Как работать с SIEM-системой?

Максим Якубов, "Газинформсервис"

Так, как же работать с SIEM-системами? Так вот, мы подошли к тому, что все-таки мало купить саму SIEM-систему, мало ее внедрить – ею надо еще и грамотно управлять.

По большому счету работать с SIEM-системой сможет только специалист, но, честно говоря, я не знаю, как долго его хватит на работу под такой нагрузкой.

Для того, чтобы эффективно использовать хотя бы 50% возможностей SIEM-системы, требуется несколько специалистов, это целая команда.

На данном слайде представлены типовые роли.

То есть, администратор - данный специалист с этой ролью - он осуществляет, как вы уже, наверное, догадались, поддержание работоспособности основных компонентов всей SIEM-системы: настройку, управление, восстановление при необходимости.

Авторы разрабатывают сценарии использования SIEM-системы, так называемые кейсы.

Оператор – это, собственно, специалист, который все время сидит у монитора, осуществляет мониторинг событий, которые происходят в IT-структуре в режиме реального времени.

Информационная безопасность. Какие SIEM-системы бывают

Максим Якубов, "Газинформсервис"

Создал для вас небольшую инфографику по SIEM-системам. Для тех, кто еще не в курсе, этот магический квадрант SIEM-систем компании аналитической Gartner.

Даже основательно не рекомендую вам брать его как какую-то непреложную истину, так как да, эта аналитическая компания, она все-таки проводит анализы и сравнивает какие-то конкретные компоненты, может быть, даже функционал систем, но важно помнить, что чтобы попасть вот сюда, компании платят этой аналитической конторе денежку.

То есть, когда вы выбираете SIEM-систему, нужно в первую очередь отталкиваться от реальных потребностей заказчика и понимания бюджета.

То есть, можно, конечно, посмотреть сюда для такого общего обзора, чтобы понимать, что творится сейчас на рынке SIEM-систем, кто является там лидерами, кто претендентами, а кто готов там бежать вообще впереди всей планеты.

Из пресс-релиза Positive Technologies:

«Один из распространенных вариантов успешных атак в ходе тестирования — обнаружение на сетевом периметре интерфейсов систем, которые должны быть доступны исключительно из внутренней сети, — говорит аналитик Positive Technologies Екатерина Килюшева. — Например, доступная из интернета система видеонаблюдения может позволить злоумышленнику не только просматривать видео с камер, но и выполнять произвольные команды на сервере. Это показывает, как важно правильно определять границы сетевого периметра и следить за состоянием защищенности каждого компонента системы. Мы рекомендуем ограничить количество сервисов на сетевом периметре, а также убедиться в том, что открытые для подключения интерфейсы действительно должны быть доступны всем интернет-пользователям. Не менее важно убедиться, что в открытом виде не хранится чувствительная информация — учетные данные для доступа к различным ресурсам, адресная книга компании и т. п. Чтобы следить за эффективностью принимаемых мер защиты, мы рекомендуем регулярно проводить тестирование на проникновение».

Как сообщают специалисты, во всех протестированных компаниях главную проблему на сетевом периметре представляют уязвимости в коде веб-приложений. В целом с недостаточной защитой веб-ресурсов связаны 75% векторов проникновения. В половине компаний для преодоления периметра требовался всего один шаг, и чаще всего он заключался в эксплуатации уязвимости в веб-приложении.

«Чем сложнее веб-приложение и чем больше у него функций, тем выше вероятность того, что разработчики допустили в коде ошибку, которая позволит злоумышленнику провести атаку, — отмечает Екатерина Килюшева. — Частично такие ошибки выявляются в рамках тестирования на проникновение, но наибольшее их число может быть выявлено только при проверке приложения методом белого ящика, подразумевающим анализ исходного кода. Для исправления уязвимостей обычно требуется внести изменения в код, на что может потребоваться значительное время. Чтобы бизнес-процессы не останавливались, рекомендуется применять межсетевой экран уровня приложений (web application firewall), который не позволит эксплуатировать уязвимость, пока ее не устранили, а также защитит от новых и не найденных уязвимостей».

Во всех исследуемых системах был получен полный контроль над инфраструктурой от лица внутреннего нарушителя. Помимо этого, эксперты получили доступ к критически важным ресурсам, в том числе ресурсам АСУ ТП, SWIFT, к управлению банкоматами.