Cover_END 9/5/16 3:51 PM Page Cov1
www.itsec.ru
№ 4, сентябрь 2016 Издание компании
XIII Международная выставка
20–22 сентября 2016
Спецпроект ИБ на фИнансовых рынках
ЭЛектроннАя ПодПИСь СтеГАноГрАфИя дЛя ПодтВержденИя ПодЛИнноСтИ БезоПАСноСть БезнАЛИчных ПЛАтежей коммерчеСкАя тАйнА
Александр Галицкий, основатель и президент компании ЭЛВИС-ПЛЮС, создатель фонда Almaz Capital Partners
Ровесник Российских иТ
TB_Forum 9/5/16 1:22 PM Page Cov2
Preview 9/5/16 4:51 PM Page 1
PREVIEW
XIII международная выставка InfoSecurity Russia 20–22 сентября МВЦ "Крокус Экспо", павильон 1, зал 1 InfoSecurity Russia перешагнула 13-й рубеж! Волнительная дата, ведь трактовать ее можно по-разному. К счастью, все обошлось – и участников много, и метро "Мякинино" не закрыли, а то, что народ всполошился, так это и хорошо – нет равнодушных, а это главное!
www.itsec.ru
Наталья Рохмистрова, руководитель проекта “Информационная безопасность/ Information Security"
В этом году еще больше красивых стендов, а если вы посмотрите на деловую программу выставки, то непременно заметите: добрая половина докладов – выступления заказчиков. Солидный практический опыт, понимание тенденций рынка и знание продуктов и решений – далеко не полный перечень того, чем они готовы делиться в своих презентациях и во время бесед в кулуарах выставки. Дискуссии обещают быть жаркими, вопросы – каверзными, ответы – откровенными. Впервые в тринадцатилетней истории выставки партнером деловой программы выступает заказчик, и неважно, каким будет первый блин, главное, чтобы это стало трендом последующих лет. Пришло время сотрудничать, обмениваться накопленным опытом и компетенциями, соответствовать потребностям и уважать труд других. Бесконечно много имен, которым я хочу сказать огромное спасибо за сотрудничество и помощь! Благодарю всех участников InfoSecurity 2016, которые готовы поделиться своими новинками и полезными идеями для решения задач в области ИБ на своих стендах: 1IDM, AirWatch, AUVESY GmbH & Co KG, Axoft, Bitdefender, Custis, Defence Group, DDos-Guard, Extreme Networks, Fortinet, Huawei, ISBC ("Лоджик Телеком"), IT Guard, Netwell, Niagara Networks, ObserveIT, PeopleNet Security, Positive Technologies, SAP (ArsCom), StaffCop ("Атом Безопасность"), TerraLink, Thales (DNA Distribution), Tottoli GSM (WellTell), Trustwave, Vaultize Technologies, WALLIX, Web Control, XSoft Ltd., "АВ Софт", "Актив", "Аладдин Р.Д.", АЛТЭКС-СОФТ, "АльтЭль", АМИКОН, АМТ-ГРУП, "Газинформсервис", НПП "Гамма", "Геоинформ", "ДиалогНаука", ИВК, ИМАГ ("СвязьКомплект"), "Интеллектуальная безопасность" ("Триметр", SecurityVision), "Инфосистемы Джет", ИнфоТеКС, НПП ИТБ, "Кросс технолоджис", "Марвел-Дистрибуция", "МФИ Софт", НПО "Эшелон", НТБ, ОКБ САПР, "С-Терра СиЭсПи", ТСС (Diamond Security Group), "Фактор-ТС". Много интересного и полезного от регуляторов отрасли, авторитетных спикеров и лидеров рынка ИБ посетители традиционно узнают в конференциях: l ИБ промышленного сектора; l Информационная безопасность в банковской сфере; l ИБ на предприятиях ритейла; l Карты. Платежи. Мобильность; l Безопасность виртуальной среды.
Желаю вам интересной и эффективной работы, много полезных контактов и успешной реализации творческих идей!
Бронируйте участие в InfoSecurity Russia 2016 на лучших условиях
• 1
Contents 9/5/16 4:51 PM Page 2
СОДЕРЖАНИЕ В ФОКУСЕ ПЕРСОНЫ Александр Галицкий Ровесник российских ИТ . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .6 стр.
ПРАВО И НОРМАТИВЫ
6
Людмила Харитонова Правовые аспекты практической защиты коммерческой тайны . .8 Антон Свинцицкий, Евгения Заяц Организация защиты информации и режим коммерческой тайны . .11
JOB Игорь Писаренко Минимизация финансовых и репутационных рисков при увольнении ключевых работников . . . . . . . . . . . . . . . . . . . . . . . . . . .12 стр.
14
СПЕЦПРОЕКТ ИБ НА ФИНАНСОВЫХ РЫНКАХ Павел Слипенчук Использование методов стеганографии для подтверждения подлинности электронных документов . . . . . . . . . . . . . . . . . . . . . . .14 Алексей Сизов Мошенничество как неизбежность – антифрод как сервис . . . . .18 Андрей Рычков Электронные деньги: точка роста или источник угроз? . . . . . . . .20 Татьяна Милачева Не "вспомнить всё": как двухфакторная аутентификация заменяет привычные пароли . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .22 Денис Горчаков Уязвимости повышения привилегий: новая угроза для мобильного банкинга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24
стр.
28
Всероссийский Банк Развития Регионов усовершенствовал управление инцидентами с помощью системы контроля привилегированных пользователей SafeInspect . . . . . . . . . . . . . . .25
Владимир Бенгин Практика применения MaxPatrol SIEM для защиты от кибератак . . .26 Андрей Ревяшко Мобильное приложение для интернет-магазина: кто атакует и как защищать? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .28 стр.
Кристина Анохина Осторожно! Бесконтактные платежи . . . . . . . . . . . . . . . . . . . . . . . .30 2 •
58
Contents 9/5/16 3:52 PM Page 3
СОДЕРЖАНИЕ Лев Денисов Безопасность безналичных платежей на транспорте: почему никто не воспринимает это всерьез . . . . . . . . . . . . . . . . . . . . . . . . . .34
Журнал "Information Security/Информационная безопасность" № 4, 2016 Издание зарегистрировано в Минпечати России Свидетельство о регистрации ПИ № 77-17607 от 9 марта 2004 г. Учредитель и издатель компания "Гротек" Генеральный директор ООО "Гротек" Андрей Мирошкин
УПРАВЛЕНИЕ Алексей Плешков "Компот из сухофруктов", или Методы формирования и поддержания культуры информационной безопасности в организации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .36
ТЕХНОЛОГИИ
Издатель Владимир Вараксин Руководитель проекта Наталья Рохмистрова, rohmistrova@groteck.ru Выпускающий редактор Екатерина Данилина, danilina@groteck.ru
Вениамин Левцов, Николай Демидов Анатомия таргетированной атаки. Часть 3 . . . . . . . . . . . . . . . . . . . .40
Корректор Ольга Михайлова
Владимир Воротников Защита и нападение – история со счастливым финалом? . . . . . .46
Дизайнеры-верстальщики Анастасия Иванова, Ольга Пирадова Фото на оболожке Алиса Урюпина
ЗАЩИТА СЕТЕЙ Михаил Родионов Новые технологии в сетевой безопасности . . . . . . . . . . . . . . . . . . .48
Группа управления заказами Татьяна Мягкова
Антон Шкарин Сетевая форензика – расследование инцидентов в сети предприятия . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .50
Юрисконсульт Кирилл Сухов, lawyer@groteck.ru
КОНТРОЛЬ ДОСТУПА Татьяна Петрова Биометрия. Болезни роста . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .52 Какой должна быть DLP?
. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .54
КРИПТОГРАФИЯ Сергей Петренко, Руслан Щучинов Применение криптографии в качестве сервиса для мобильных приложений . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .56 Александр Баранов Электронная подпись: от технических проблем к организационно-правовому аспекту . . . . . . . . . . . . . . . . . . . . . . . .58 Константин Саматов Актуальные вопросы применения электронных подписей . . . . . .60
НОВЫЕ ПРОДУКТЫ И НЬЮСМЕЙКЕРЫ Новости . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23 Новые продукты и услуги . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .63 Ньюсмейкеры . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .68
Департамент продажи рекламы Наталья Рохмистрова Рекламная служба Тел.: (495) 647-0442, rohmistrova@groteck.ru Отпечатано в типографии РА Европа, Россия Тираж 10 000. Цена свободная Оформление подписки Тел.: (495) 647-0442, www.itsec.ru Департамент по распространению Тел.: (495) 647-0442, факс: (495) 221-0864 Для почты 123007, Москва, а/я 82 E-mail groteck@groteck.ru Web www.groteck.ru, www.itsec.ru Перепечатка допускается только по согласованию с редакцией и со ссылкой на издание За достоверность рекламных публикаций и объявлений редакция ответственности не несет Мнения авторов не всегда отражают точку зрения редакции © "Гротек", 2016
• 3
InfoSec_2016_razvorot 9/5/16 3:52 PM Page 4
ГЛАВНОЕ СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ
InfoSecurity Russia .
20–22 2016
.
Единственная в России отраслевая выставка по информационной безопасности и крупнейшее деловое событие отрасли. Формат выставки позволяет посетителям ознакомиться с продуктами и решениями в области защиты информации в экспозиции, демозонах и на интерактивных стендах, на практике представляющих работу систем. Самые актуальные вопросы, волнующие всех участников рынка, традиционно будут подняты в конференциях и ключевых докладах, проходящих нон-стоп в течение трех дней.
Прием заявок на участие открыт:
www.infosecurityrussia.ru
elvis+ 9/5/16 1:24 PM Page 6
В ФОКУСЕ
Ровесник российских ИТ Александр Галицкий, основатель и президент компании ЭЛВИС-ПЛЮС, создатель фонда Almaz Capital Partners
Д
ва с половиной десятилетия... За столь длительный по меркам российского рынка период компании ЭЛВИС-ПЛЮС удалось занять прочные позиции в сфере информационной безопасности и на рынке системной интеграции. Об истории и сегодняшнем дне компании рассказывает ее основатель и президент – Александр Галицкий.
– Когда-то, 25 лет тому назад, Вам пришлось совершить резкий переход от инженера, разработчика до предпринимателя. Как Вам пришла идея создания собственной компании? Что послужило предпосылкой для этого шага? – В 90-е нам было тяжело перестраиваться, мы были абсолютно закрытой организацией (НПО ЭЛАС), которая по сути не имела связей с внешним миром. Столкнувшись с этим самым миром, мне, уже тогда руководившему довольно большим коллективом, пришлось принимать непростое решение – уйти из закрытого НПО и создать частную компанию. С одной стороны, за плечами имелся опыт руководства проектами, в которых работало множество инженеров (около 1,5 тыс. человек), с соответствующим бюджетом и масштабом задач, с другой – возрастной лимит до 30 лет, который жестко устанавливался в объявлениях об открывавшихся вакансиях иностранных компаний, выходивших на российский рынок. Возник вопрос, где лежит будущее? В торговле? Я сразу отмел этот вариант и задумался: а смогу ли я реализовать себя как инженер или руководитель инженерного коллектива во вновь образовавшемся рыночном пространстве? Имевшийся опыт руководителя крупных инженерных команд позволял мне чувствовать себя уверенно в том, что касалось принятия ответственных решений. И я решил рискнуть. Тогда впервые на нашем горизонте появилась американская компания Sun Microsystems, и это событие сыграло ключевую роль. Нам повезло: у нас появился заказчик. Но ЭЛВИС-ПЛЮС на самом деле возник отчасти по другому, довольно курьезному случаю. Нужно было принять на баланс НПО предоставленное Sun Microsystems на мое имя компьютерное оборудование, что не допускалось по действовавшему в то время в стране законодательству. И вот, чтобы оборудование принималось на баланс госучреждения не от физического, а от юридического лица, и пришлось создать свою компанию. К тому времени наша основная организация в результате перестроечных процессов была разделена на научно-производственные центры (НПЦ). Направление, которым руководил я, было одним из них – ЭЛектронно-Вычислительные Информационные Системы, сокращенно – НПЦ ЭЛВИС НПО ЭЛАС. Поэтому, недолго думая, мы назвали нашу частную компанию ЭЛВИС-ПЛЮС. И почти немедленно получили технические задание от Sun Microsystems: разработать устройство, реализующее протокол для беспроводной передачи данных в локальной сети – то, что сегодня называется Wi-Fi. А тогда он имел всего лишь номер – 802.11. В 1996 г. он лег в основу технологии Wi-Fi. От нас требовалось разработать соответствующую компью-
6 •
терную плату и программное обеспечение, в том числе в стандарте PCMIA. Задача была интересной, поскольку в то время моя работа отчасти была связана с созданием низкоорбитальных спутников для передачи данных по космическим каналам связи, работающим по протоколу IP. Поэтому предложенная Sun Microsystems тема для нас оказалась очень близкой, как говорится, родной. Мы набрали в команду нужных специалистов и в начале 1992 г. получили от Sun Microsystems необходимое финансирование, a в марте 1993 г. уже продемонстрировали работающие прототипы. Это избавляло от нужды придумывать разного рода "левые" ходы, сделав нас не зависящими от государственного финансирования, что впоследствии очень сильно помогло, когда мы занялись технологией виртуальных частных сетей VPN. – Вы задумывали ЭЛВИС-ПЛЮС как компанию – разработчика продуктов? Каково соотношение в компании интеграторского бизнеса и вендорского? – За свою историю ЭЛВИС-ПЛЮС много чего попробовал. Как я уже говорил, мы начали с радиомодемов и компьютерных плат для беспроводных локальных вычислительных сетей, работающих по протоколу 802.11. В 1992 г. для Sun Microsystems нами впервые были выпущены радиоплаты в формате PCMCI, которые мы демонстрировали на INTEROP в Париже в октябре 1993 г. Мы первые в далеком 1995 г. запустили в стране промышленный Web-портал, который назывался "ИнфоАрт". Для получения источников независимого финансирования в том же году мы открыли интеграторское направление. Движение в направлении Интернета, в частности, привело к образованию дочерней компании – ЭЛВИС-ТЕЛЕКОМ, хотя интернет-услуги мы начали предоставлять еще в 1991 г. И подобных случаев у нас было множество – буквально один за другим… Все это обусловливалось тем, что разные направления требовали разных подходов к организации бизнеса, денежных потоков и т.д. К системной интеграции мы пришли опять же благодаря Sun Microsystems. Мы выполняли для них очень много заказных работ, связанных как с оборудованием, так и с ПО. Даже на Банк России нас "вывел" сам (!) Скотт Макнили, главный управляющий Sun Microsystems. И мы занялись проблемами ИБ, став генеральным подрядчиком банка в построении глобальной IP-сети. В этом проекте под нашим руководством работали крупнейшие телекоммуникационные компании Global One (сейчас – Orange Business Services), Sprint. Самые разные организации обращались к нам за решением своих ИТ-проблем, которые никто другой решить не мог. У меня всегда была превосходная когорта инженеров, потому что еще в советское время я имел право набирать по всей стране лучших – до 20 человек в год. C семьями, с предоставлением квартир.
elvis+ 9/5/16 1:24 PM Page 7
www.itsec.ru
ПЕРСОНЫ
– Как Вы оцениваете сегодняшнее положение компании на рынке? Есть ли у компании любимая отрасль, любимый заказчик? – Ориентация ЭЛВИС-ПЛЮС – информационная безопасность, хотя на самом деле между ИТ и ИБ граница весьма призрачная. В широком понимании – любая ИТсреда должна быть безопасной. Любой наш проект в сфере системной интеграции предусматривает организацию такой безопасной среды на основе наших инженерных разработок и разработок других вендоров-лидеров рынка безопасности и телекоммуникаций. Если можно так выразиться, для нашей компании это основной мотив в любой ИТ-партитуре. ИБ, не будучи мейнстримом, тем не менее играет все более возрастающую роль в улучшении работы ИТ-систем, защите информационных потоков и систем хранения данных. Ведь, например, ERP-системы создаются ради эффективной реализации прежде всего самого ERPфункционала. Безопасность же в данном случае может рассматриваться как нечто инкрементальное, улучшающее работу, повышающее надежность ERP-системы. К сожалению, у нас это правильно понимают не все. В частности, те, кто заявляет, что, дескать, у нас лучшие в мире решения по ИБ и мы можем их предоставить, скажем, компании Amazon, вряд ли могут рассчитывать на успех, потому что требования ИБ определяются бизнесфункцией того или иного решения, но не наоборот. Соотношение интеграторского и вендорского бизнеса в ЭЛВИС-ПЛЮС меняется год от года. Лично я – сторонник вендорского бизнеса. Сейчас наметился некий перекос в сторону интеграторского за счет продуктового. Но последние наши разработки идут в правильном направлении, а именно – в сторону увеличения вендорской составляющей. Наш давний друг – Центробанк. Именно благодаря ЦБ РФ мы по-настоящему вошли в бизнес системной интеграции. Это одновременно и наш пилотный, и наш любимый заказчик. Кого-либо еще выделить сложно: мы работали и с "Лукойлом", и с ФНС России, и со многими предприятиями нефтяной, энергетической и банковской сфер. Ключевыми партнерами для нас по-прежнему остаются Cisco Systems и Sun (в составе Oracle), а из российских – Positive Technologies и "Лаборатория Касперского". – Какое решение компании ЭЛВИС-ПЛЮС можно назвать флагманским и в чем его особенность? – Конечно же, узнаваемость компании прежде всего определяется нашим продуктом – программно-аппаратным комплексом ЗАСТАВА, который мы постоянно совершенствуем и модернизируем под нужды заказчика. Это решение абсолютно синхронизировано как с российскими, так и с международными стандартами сетевой безопасности. Достаточно сказать, что разработчики ЗАСТАВы входят в число авторов документов RFC, выпускаемых организацией Internet Engineering Task Force, а имя Валерия Смыслова, пожалуй, самостоятельный бренд в области сетевой безопасности среди международных специалистов. В дополнение к ЗАСТАВе у нас имеется ряд новых продуктов, повышающих безопасность операционной среды, обеспечивающих сетевую безопасность и защиту конфиденциальной информации. – Расскажите, пожалуйста, о новых технологиях и продуктах. Какими функциями и возможностями они обладают? – Это, например, технология "Базовый доверенный модуль" (БДМ), которая предназначена для построения доверенной вычислительной среды на мобильных компьютерах, планшетах и смартфонах, базирующихся на архитектуре Intel х64. Технология БДМ не противопоставляется реализованным в архитектуре Intel х64 мобильного устройства механизмам доверенной загрузки, а приме-
няется наряду с ними и фактически контролирует их. Это существенно повышает уровень защищенности изделий и позволяет выстроить многоуровневую систему защиты. В последнее время очень внимательно присматриваемся к технологии блокчейна, там для нас видится довольно перспективная криптографическая составляющая. – Почему данные продукты будут наиболее востребованы именно сейчас? – Раньше все крутилось внутри закрытых корпоративных систем. Мобильность была развита слабо. Повсеместное проникновение принципа BYOD, переход к облачным технологиям и мобильным рабочим местам – все это накладывает дополнительные требования безопасности, в частности, на мобильные устройства. Вот недавний пример: на одной из организованных совместно с Positive Technologies конференций с участием компаний-стартапов было немало хакеров, которые учинили тотальный демовзлом всех мобильных устройств, подключаемых к беспроводной локальной вычислительной сети в ходе конференции. Взлом оказался настолько глубоким, что мы были вынуждены сменить наши мобильные устройства на новые. – За 25 лет существования компании Вам приходилось идти и на определенные риски. А можете ли рассказать о Ваших самых запомнившихся трудностях и победах над ними? – Главной моей персональной ошибкой было изначально не совсем правильное отношение к бизнесу. Несопоставимость амбициозности инженерных задач и их финансирования не может не привести к краху. Так было в начале нашей истории. Это был одновременно и нелегкий путь выживания, и столь же нелегкий способ осознания и позиционирования себя на рынке. Недостаточно быть хорошим инженером, нужно быть еще и хорошим продавцом – к этому выводу я пришел не сразу и не без внутреннего сопротивления. Только 25% затрат уходят на поиск идеи, выбор технологии и создание прототипа, а 75% – на превращение прототипа в продукт, организацию продаж и маркетинг. Такова структура себестоимости рыночного продукта. В СССР все было совершенно по-иному – плановые заказы от "оборонки", никакого маркетинга и никаких продаж. Все бюджетные средства тратились на разработку и производство продукции. – Если бы Вы могли начать все заново, но имея уже накопленный опыт, выбрали ли бы Вы вновь
ИТ-индустрию? Или ушли бы в другое направление? – Нет, я стал бы заниматься тем же самым. Я рад, что не поддался соблазнам, которые у меня, конечно же, были – ни политическим, ни бизнесовым, сулившим, быть может, больше денег (и больше проблем!)... Я рад, что я в ИТ и живу жизнью, которая мне нравится. – Какое напутствие на следующие 25 лет Вы дадите своему "первенцу" – компании ЭЛВИСПЛЮС? – 25 лет – период, требующий того, чтобы серьезно определиться. У компании имеются точки роста, необходим соответствующий потенциал. Этот потенциал – в наших молодых сотрудниках, которым я всячески желаю успеха в их самореализации как специалистов, благо им есть с кого брать пример и на чьих ошибках учиться. Спасибо за беседу. l
NM АДРЕСА И ТЕЛЕФОНЫ АО "ЭЛВИС-ПЛЮС" см. стр. 68
• 7
haritonova 9/5/16 1:23 PM Page 8
ПРАВО И НОРМАТИВЫ
Правовые аспекты практической защиты коммерческой тайны Людмила Харитонова, управляющий партнер ЮК “Зарцын и партнеры"
В
любой компании есть информация, которая важна и представляет коммерческую ценность. Разглашение такой информации может привести к существенным убыткам. Именно поэтому многие задаются целью создать режим коммерческой тайны и защитить информацию от разглашения. Кроме того, довольно большую часть информации или документов нельзя защитить никакими другими способами, кроме коммерческой тайны.
на коммерческой тайной:
Например, в консалтинговой компании есть внутренние стандарты, методики, описание бизнес-процессов. Все это – крайне важная информация, которая позволяет быстрее и эффективнее выполнять задачи. Запатентовать такую информацию нельзя, а значит, закрыть ее от конкурентов можно, только используя институт коммерческой тайны. Однако бытует мнение, что в России это не действенный способ, и привлечь кого-либо за разглашение практически невозможно. Так ли это, попробуем разобраться.
потенциальная коммерче-
Чем регулируется?
Законодательство устанавливает несколько признаков для информации, которая может быть призна-
l Действительная или
ская ценность информации в силу неизвестности ее третьим лицам.
l Отсутствие у третьих лиц
свободного доступа на законном основании.
l Режим коммерческой
тайны в отношении информации.
Гражданским кодексом и Федеральным законом "О коммерческой тайне" № 98-ФЗ, Постановление РСФСР от 5 декабря 1991 г. № 35. Если читать эти акты, становится очевидно, что большая часть отдана на самостоятельное регулирование внутри компаний. Закон же лишь обозначает основные принципы. Во многом отсутствие положительной судебной практики связано именно с неверным оформлением документов и невыстроенным бизнес-процессом по защите информации.
За разглашение коммерческой тайны законодательство предусматривает несколько видов ответственности: l Административная (ст. 13.14 КОАП РФ) – правда, данный вид ответственности, скорее, символический и предусматривает штраф до 5000 руб. l Уголовная (ст. 183 УК РФ) – тут все серьезнее: может быть назначено лишение свободы сроком до 3 лет. l Гражданская (ст. 15 ГК РФ) – возмещение причиненных убытков.
8 •
Что можно защитить как коммерческую тайну? Законодательство устанавливает несколько признаков для информации, которая может быть признана коммерческой тайной: l Действительная или потенциальная коммерческая ценность информации в силу неизвестности ее третьим лицам. l Отсутствие у третьих лиц свободного доступа на законном основании. l Режим коммерческой тайны в отношении информации. Обратите внимание, что существует перечень информации, которая не может являться коммерческой тайной (сведения о заработной плате, данные об учредителях и тд). Есть сведения, которые в зависимости от обстоятельств перестают относиться к коммерческой тайне. Например, сведения о финансовом состоянии должника прекращают относиться к сведениям, признанным конфиденциальными или составляющим коммерческую тайну, с момента открытия конкурсного производства. При этом под режимом коммерческой тайны по сути понимается комплекс мер (в том числе организационных), которые позволяют предотвратить доступ третьих лиц к информации и сохранить ее в тайне. Важно понимать, что принятие Положения о коммерческой тайне – обязательная, но недостаточная мера. Чтобы режим коммерческой тайны был "рабочим", необходимо: 1. Разработать и утвердить Положение о коммерческой тайне, в котором указывается
конкретный перечень защищаемой информации. Составляя Положение о коммерческой тайне, старайтесь избегать общих формулировок и шаблонных текстов. Чем подробнее и индивидуальнее составленный документ, тем проще вам будет защитить свою информацию (в том числе и в суде). С положением должны быть ознакомлены все сотрудники под роспись. Во взаимоотношениях с контрагентами такой документ заменит соглашение о конфиденциальности (NDA). 2. В трудовые договоры включить положения, обязывающие работников соблюдать режим коммерческой тайны и обозначающие ответственность за нарушение режима. В должностной инструкции имеет смысл детализировать порядок доступа и работы с информацией (для каждой отдельной должности). 3. Документально оформить доступ конкретного сотрудника к информации (например, актом). В акте следует указать, к каким источникам дан доступ сотруднику (под каким логином он будет заходить в CRM или другие системы). 4. Документально оформить прекращение доступа конкретного сотрудника к информации (актом). Как видите, режим коммерческой тайны не ограничивается каким-то единоразовым действием, а представляет собой постоянный процесс. В документах стоит избегать расплывчатых формулировок. Например, довольно часто в документах используется такая фраза: "К информации, подле-
midexpo_IS 9/5/16 1:22 PM Page 9
haritonova 9/5/16 1:24 PM Page 10
ПРАВО И НОРМАТИВЫ Ответственность
Процесс введения режима коммерческой тайны может быть следующим:
l Определение перечня
информации, которая важна именно для вашей компании (проекта).
l Определение списка
должностей, которые имеют доступ к такой информации.
l Составление перечня мер
по охране информации (документов, содержащих информацию).
l Разработка и введение в
действие документов.
l Поддержание актуально-
сти документов.
10 •
жащей сохранению в тайне и неразглашению, в соответствии с условиями настоящего Соглашения относится любая конфиденциальная информация, содержащаяся на бумажных, магнитных либо любых иных материальных носителях и ставшая известной получающей стороне в течение срока действия настоящего Соглашения". Казалось бы, такая формулировка позволяет защитить абсолютно все. Но фактически – наоборот: невозможно идентифицировать, что же стороны хотели сохранить в тайне. Или другой пример: "Получающая сторона обязана принять все зависящие от нее меры для охраны информации". Cнова нет конкретики, о каких мерах идет речь. Но используя другую формулировку, можно доказать, что получающая сторона не выполняла своих обязанностей по охране информации: "…Сторона 2 обязуется принять все необходимые меры для сохранения в тайне конфиденциальной информации, в том числе:
l обеспечить доступ к информации только для ограниченного количества специалистов, непосредственно использующих означенную информацию в связи с исполнением договоров со Стороной 1; l не делать копий документов в большем количестве, чем это обычно необходимо для исполнения специалистами договора со Стороной 1, и уничтожать копии, когда необходимость в их использовании отпадет; l назначить лиц, ответственных за разработку и практическое осуществление мероприятий по обеспечению конфиденциальности информации; l не размещать информацию в сети Интернет, в том числе в социальных сетях, блогах, форумах, в том числе закрытых и частных сетях; l не указывать информацию о сотрудничестве со Стороной 1 или Заказчиками Стороны 1 в резюме или иных материалах о своей профессиональной деятельности в течение 3 лет по окончании настоящего Соглашения".
Закономерный вопрос: а стоит ли игра свеч? Удастся ли взыскать какие-либо убытки, если сделать все правильно по документам? За разглашение коммерческой тайны законодательство предусматривает несколько видов ответственности: l Административная (ст. 13.14 КОАП РФ) – правда, данный вид ответственности, скорее, символический и предусматривает штраф до 5000 руб. l Уголовная (ст. 183 УК РФ) – тут все серьезнее: может быть назначено лишение свободы сроком до 3 лет. l Гражданская (ст. 15 ГК РФ) – возмещение причиненных убытков. Размер убытков определяется судом и зависит от представленных доказательств. Доказывание в делах данной категории – самый сложный элемент, но без верного документального оформления режима коммерческой тайны доказать что-либо невозможно. Процесс введения режима коммерческой тайны может быть следующим: l Определение перечня информации, которая важна именно для вашей компании (проекта). l Определение списка должностей, которые имеют доступ к такой информации. l Составление перечня мер по охране информации (документов, содержащих информацию). l Разработка и введение в действие документов. l Поддержание актуальности документов. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
dialog_S 9/5/16 1:23 PM Page 11
www.itsec.ru
ПРАВО И НОРМАТИВЫ
Организация защиты информации и режим коммерческой тайны Антон Свинцицкий, руководитель отдела консалтинга АО “ДиалогНаука" Евгения Заяц, старший консультант отдела консалтинга АО “ДиалогНаука"
О
сновным нормативным правовым актом, регулирующим отношения в области защиты коммерческой тайны как одного из типов информации ограниченного доступа, является Федеральный закон от 29.07.2004 № 98-ФЗ “О коммерческой тайне", который устанавливает основные требования и принципы режима коммерческой тайны. Не менее важным является Трудовой кодекс РФ, который регулирует вопросы обработки информации, составляющей коммерческую тайну в рамках трудовых отношений, а также Гражданский кодекс РФ, регулирующий отношения по использованию прав на секрет производства.
С точки зрения закона, коммерческая тайна – режим конфиденциальности информации, позволяющий ее обладателю при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или получить иную коммерческую выгоду. Но во многих случаях разглашение информации, составляющей коммерческую тайну, несет репутационные риски. Права обладателя информации, составляющей коммерческую тайну, возникают с момента установления им в отношении этой информации режима коммерческой тайны.
Что включает коммерческая тайна В соответствии с требованиями Федерального закона от 29.07.2004 № 98-ФЗ "О коммерческой тайне" режим коммерческой тайны должен включать как минимум следующие меры по охране конфиденциальности информации: 1. Определение перечня информации, составляющей коммерческую тайну (при этом необходимо учитывать ограничения законодательства – доступ к некоторым сведениям не может быть ограничен). 2. Ограничение доступа к информации, составляющей коммерческую тайну, путем установления порядка обращения с этой информацией и контроля над соблюдением такого порядка. 3. Учет лиц, получивших доступ к информации, составляющей коммерческую тайну, и (или) лиц, которым такая информация была предоставлена или передана.
4. Регулирование отношений по использованию информации, составляющей коммерческую тайну, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров. Как правило, доступ к информации, составляющей коммерческую тайну, предоставляется: l работникам; l физическим лицам, с которыми заключен договор гражданско-правового характера на выполнение работ/оказание услуг, связанных с обработкой информации, составляющей коммерческую тайну; l физическим лицам, являющимся представителями/сотрудниками юридических лиц – контрагентов, с которыми заключены договоры гражданско-правового характера или с которыми ведется работа по подготовке заключения таких договоров; l уполномоченным представителям надзорных органов. Таким образом, должны быть определены процедуры предоставления доступа и регламентированы требования к обработке информации, составляющей коммерческую тайну, для каждой категории лиц. Уполномоченные представители надзорных органов допускаются к информации, составляющей коммерческую тайну, при наличии письменного запроса, обоснования. 5. Установка ограничительных пометок на материальные носители (документы), содержащие информацию, составляющую коммерческую тайну. Кроме указанных обязательных мер, обладатель информа-
ции, составляющей коммерческую тайну, вправе применять при необходимости средства и методы технической защиты конфиденциальности этой информации и другие не противоречащие законодательству меры.
Эффективные меры Наиболее эффективными мерами для поддержания режима коммерческой тайны являются: 1. Определение владельцев информационных ресурсов. 2. Создание ролевой модели доступа к информационным ресурсам и информационным системам, обрабатывающим информацию, составляющую коммерческую тайну. 3. Предоставление доступа только к тем информационным ресурсам и информационным системам, доступ к которым необходим для выполнения должностных обязанностей и договорных обязательств. 4. Внедрение механизмов контроля информационных потоков с целью выявления несанкционированной передачи информации, составляющей коммерческую тайну. 5. Внедрение механизмов логирования действий пользователей с информационными ресурсами и определение критериев выявления подозрительных действий и операций. l
Меры по охране конфиденциальности информации признаются разумно достаточными, если: а) исключается доступ к информации, составляющей коммерческую тайну, любых лиц без согласия ее обладателя; б) обеспечивается возможность использования информации, составляющей коммерческую тайну, работниками и передачи ее контрагентам без нарушения режима коммерческой тайны.
NM АДРЕСА И ТЕЛЕФОНЫ АО "ДИАЛОГНАУКА" см. стр. 68
• 11
pisarenko 9/5/16 1:24 PM Page 12
JOB
Минимизация финансовых и репутационных рисков при увольнении ключевых работников Игорь Писаренко, начальник отдела методологии и контроля управления информационной безопасности департамента безопасности ВТБ 24 (ПАО) к.т.н., доцент, член АРСИБ
У
Исследования в области информационной безопасности, например исследование Аналитического центра компании SearchInform 2015 года, показывает, что конфиденциальную информацию чаще остальных пытались украсть менеджеры (31%), руководители подразделений (19%) и ИТ-специалисты (12%).
течка конфиденциальной информации всегда была, есть и наверняка еще будет большим злом информационной безопасности: утечки информации происходят во всем мире с завидной регулярностью, никто от них не застрахован, и никакие, даже самые продвинутые средства защиты информации не дают гарантий от них.
Незначительные утечки информации обычно проходят незаметно, не вызывая особых последствий, а вот утечка критичной информации, да еще в больших объемах, может привести к возникновению ущерба: финансового: за счет прямых потерь, недополученной выгоды, штрафных санкций, выплаты компенсаций – и репутацонного: от потери имиджа и оттока клиентов вплоть до серьезных международных скандалов: один из недавних примеров – публикация ресурсом WikiLeaks переписки Национального комитета Демократической партии США. Утечка конфиденциальной информации может произойти в любой организации, где такая информация собирается, обрабатывается и хранится, при этом для коммерческих организаций обычно рассматриваются такие способы утечки, как разглашение конфиденциальной информации1 и несанкционированный доступ к конфиденциальной информации2. Наибольшую угрозу представляют умышленные действия, когда злоумышленник, имеющий легальный доступ к информации, целенаправленно собирает ее для передачи третьему лицу. В организациях банковской сферы, в которых создана защита от внешнего нарушителя, основной упор в борьбе с утечками конфиденциальной информации делается на внутреннего нарушителя. Несмотря на то, что многие организации ввели и используют 1
различные средства мониторинга каналов утечки информации, включая DLP-системы, активно работают службы ИБ, пользователи знают правила информационной безопасности и подписали соглашение о конфиденциальности, утечек не становится меньше, а их "авторами" являются штатные работники с легальным доступом к информации. При этом особый интерес к информации проявляют работники, которые увольняются из организации или планируют это сделать: таких работников интересует все, на чем можно заработать или использовать в качестве бонусов на собеседовании при устройстве на новую работу: проектная документация, клиентские базы, информация о движениях на счетах клиентов, разработки организации, сведения об инвестиционной деятельности организации, коммерческие предложения, персональные данные сотрудников и мн.др. Для большинства организаций, где осуществляется разграничение доступа к информационным системам и ресурсам, значительная часть персонала, в том числе менеджеры и руководители подразделений, имеют ограниченный доступ только к тем системам и ресурсам, которые им необходимы для выполнения служебных обязанностей. И, как правило, действия такого персонала с информацией контролируются на предмет ее возможной утечки (если, конечно, служба ИБ организации этим вообще занимается).
С другой стороны, в каждой организации существуют отдельные категории привилегированных пользователей, которые имеют легальные права доступа если не ко всей конфиденциальной информации, то к ее значительной части, либо могут получить такие права и при этом могут находиться вне зоны контроля со стороны службы информационной безопасности. Кто к ним относится? В первую очередь к ним можно отнести (назовем их ключевыми работниками): l ТОП-менеджмент организации; l администраторов информационных систем; l администраторов информационной безопасности. Такие работники могут находиться в группах исключений средств мониторинга ИБ, иметь возможности для бесконтрольного копирования или передачи информации или знать пути бесконтрольного использования информации и, наконец, иметь иммунитет со стороны руководства организации от службы информационной безопасности.
Что можно предпринять для уменьшения финансовых и репутационных рисков, особенно при увольнении таких ключевых работников? И здесь никто ничего нового не придумал, как говорится – все уже придумано до нас: надо комплексно проводить необходимые мероприятия правового, организационного и технического харак-
Разглашение – это умышленные или неосторожные действия с конфиденциальной информацией, приведшие к ознакомлению с ней лиц, не допущенных к такой информации. Разглашение выражается в сообщении, передаче, предоставлении, пересылке третьим лицам, опубликовании, утере и в других формах обмена и действий с конфиденциальной информацией. 2 Несанкционированный доступ – противоправное преднамеренное овладение конфиденциальной информацией лицом, не имеющим права доступа к ней.
12 •
pisarenko 9/5/16 1:24 PM Page 13
www.itsec.ru
JOB
тера на всех этапах жизненного цикла трудовой деятельности работника (по возможности, невзирая на ранги и должности) в соответствии с рекомендациями ГОСТ Р ИСО/МЭК 27002-2012 по вопросам безопасности, связанным с персоналом, а именно: l перед трудоустройством; l в течение занятости; l при прекращении или смене занятости. Перед трудоустройством необходима тщательная проверка кандидата, и чем более высокий уровень доступа к информации и ответственность предполагаются, тем более углубленной и полной должна быть такая проверка. В ходе проверки изучаются представленные документы, рекомендации, проводятся собеседования, возможно, с участием психологов или специальных средств типа полиграфа, тестирования на профессиональную пригодность, проводится сбор дополнительной информации с целью выявления возможного негатива и уточнения подробностей в биографии кандидата. В качестве источников такой дополнительной информации могут выступать различные государственные и коммерческие структуры: бюро кредитных историй, судебные и правоохранительные органы (естественно, при наличии таких возможностей), бывшие коллеги по работе, соседи по месту жительства, сеть Интернет и т.п. На этом этапе важным является четкое распределение ролей и обязанностей, доведение требований по информационной безопасности до кандидата, подписание соглашения о конфиденциальности. Кандидат должен понимать степень ответственности еще до приема на работу. Трудовая занятость должна начинаться с инструктажа или обучения по вопросам информационной безопасности и доведения правил обработки информации, желательно под роспись. В течение трудовой занятости для работника должны быть созданы условия, обеспечивающие соблюдение конфиденциальности информации: предоставление корпоративных средств обработки информации, защищенного удаленного доступа, необходимых средств защиты информации и т.п. Особую роль играет контроль деятельности работника с точки зрения возможной утечки информации (как умышленной, так и случайной). Для этого используют-
ся различные технические средства: DLP-системы, средства мониторинга информационной безопасности, логи серверов, другие источники. Надо учитывать следующие моменты: l Каналы утечки информации могут быть различными: понятно, что удобнее всего копировать информацию на флешку или оправлять ее на личную почту, но можно еще фотографировать экран монитора на камеру телефона, печатать информацию на принтере или просто записать самое нужное карандашом на бумаге (конечно, так объемную клиентскую базу унести сложно). Необходимо контролировать как можно большее количество потенциальных каналов утечки. l Ключевые работники могут находиться вне рамок контроля ("бесконтрольные" VIP-группы, администратор безопасности, который отключил контроль у себя, или администратор системы, который знает неконтролируемые пути обхода). Необходимо контролировать (естественно, по возможности) всех работников без исключения, выявлять и блокировать неконтролируемые каналы возможной утечки информации. l Выявление фактов утечек или предпосылок к ним и оперативное и эффективное реагирование на них должно производиться, опять же, невзирая на ранги и должности. Информация, несанкционированно скопированная на съемный носитель или отправленная на личную почту, должна оперативно удаляться, а сам факт – доводиться до сведения руководителя нарушителя. Ну и, наконец, в рамках прекращения трудовых отношений с ключевым работником необходимо обращать внимание на следующие вопросы. Работник перед своим увольнением зачастую начинает активно копировать или отправлять на свою личную почту информационные материалы ("свои" наработки, выгрузки из различных систем, нормативные документы организации, образцы документов, базы данных, личную информацию и т.п.) Некоторые это делают заранее, некоторые – в самый последний момент, поэтому контроль за этими работниками должен осуществляться на ежедневной основе, до полного ухода. Для этого в службу информационной безопасности должна заблаговременно поступать информация об увольнении работников организации. В
случае выявления фактов или предпосылок к утечке – опять же, приниматься меры по удалению скопированной на съемный носитель или отправленной на внешний адрес сети Интернет информации. В качестве меры превентивного характера может производиться отключение портов ввода-вывода информации, блокироваться доступ к Интернету и внешней почте в случае обоснованных подозрений на возможную утечку информации. Полезно провести с таким работником собеседование, в ходе которого напомнить об обязательствах, указанных в соглашении о конфиденциальности, и об ответственности за незаконный сбор и использование конфиденциальной информации. После прекращения трудовой занятости ключевого работника необходимо провести комплекс мероприятий, направленный на аннулирование прав доступа и смену паролей к учетным записям, которые остаются активными, в случаях группового доступа увольняемых работников следует исключать их из любых списков группового доступа. Почтовые ящики и учетные записи работника должны быть заблокированы. Можно также отметить некоторые условия, которые непосредственно влияют на эффективность контроля в рамках увольнения ключевых работников: l своевременность получения информации об увольнении ключевых работников; l качество работы службы информационной безопасности по контролю каналов утечки информации, полнота контроля; l понимание со стороны руководства организации в необходимости и важности такой работы. Хотелось бы обратить внимание еще на один момент несколько психологического характера: если в организации служба информационной безопасности регулярно ведет мониторинг каналов утечки информации, выявляет факты или предпосылки к утечке конфиденциальной информации и оперативно реагирует на них, то об этом наверняка знают все работники, и многие просто поостерегутся копировать и выносить информацию из организации. l
В стандарте СТО БР ИББС-1.0-2014 отмечается, что наибольшими возможностями для нанесения ущерба обладает собственный персонал, и содержанием деятельности злоумышленника является прямое нецелевое использование предоставленного ему в порядке выполнения служебных обязанностей контроля над активами либо нерегламентированная деятельность для получения контроля над активами, а в рекомендациях РС БР ИББС-2.9-2016 для термина "утечка информации" дается достаточно узкое понятие, исключающее разведывательные возможности и прочие технические каналы утечек, которые может использовать внешний злоумышленник: "Утечка информации – несанкционированное предоставление или распространение информации конфиденциального характера, не контролируемое организацией". И отмечается, что рассматриваются только случаи утечки информации, реализуемые в результате действий работников организации или иных лиц, обладающих легальным доступом к информации.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 13
slipenchuk 9/5/16 1:24 PM Page 14
СПЕЦПРОЕКТ
Использование методов стеганографии для подтверждения подлинности электронных документов Павел Слипенчук, ведущий инженер Отдела обеспечения процессов по противодействию кибермошенничеству Департамента безопасности, ПАО “Сбербанк"
С
развитием ИT всевозможные документы (платежные чеки, подтверждающие оплату товаров и услуг; билеты на транспорт; электронные журналы и т.д.) также стали переходить из офлайна в онлайн. Оплата ЖКХ через Сбербанк Онлайн или покупка билетов на поезд через сайт РЖД уже несколько лет не является нестандартным способом оплаты. Тем не менее, в отличие от средств и документов “реального мира" данные платежные документы по сути технически ничем и никак не защищены!
Беря в руку банкноту, мы можем попытаться распознать ее подлинность по водяным знакам, тактильными ощущениями и т.д. Даже бумажные чеки, выдаваемые кассовыми аппаратами, имеют средства защиты: они содержат криптографический проверочный код (КПК), генерируемый специальным приспособлением в кассе, так называемой "Электронной контрольной лентой защищенной" (ЭКЛЗ). И только электронные документы не имеют никаких технических способов подтверждения достоверности. Целью данной статьи является поднятие вопроса о возможной защите электронных доку-
Схема 1. Взаимодействие документов первого класса
ментов методом стеганографии1. Автор рассмотрит три класса электронных документов; для каждого класса будет предложена схема стеганографической защиты. Будут приведены примеры электронных документов, для которых защита является востребованной.
Классы электронных документов Рассмотрим три класса электронных документов: l электронные документы, являющиеся копиями бумажных документов; l электронные документы, для которых требуется защита при печати;
l электронные документы, хранимые и используемые только в электронном виде. К первому типу документов может относиться сканированный паспорт гражданина РФ; ко второму типу – подтверждение гостиницы в системе booking.com; к третьему типу относятся любые документы, для которых не предусмотрена стеганографическая защита при печати (например, электронные журналы).
Первый класс электронных документов Для документов первого класса вкрапляемая информация внедряется в сам бумажный документ. В случае его копирования метка должна быть так же скопирована на копию. Таким образом стеганографическую метку можно считать и с оригинала, и с копии. В схеме 1 три стороны: l создатель документа и контролер (А); l владелец документа (Б); l проверяющий документ (В). Схема взаимодействия: 1. А создает документ (I), содержащий проверяемую информацию m. Документ I может содержать любую иную информацию, но проверяемая – только m. 2. A создает специальную стеганографическую метку (II) на основе проверяемой информации с помощью какого-либо алгоритма.
1 Стеганография (от др.греч. στεγανo’ς – скрытый + γράφω– пишу; дословный перевод – “скрытопись") – междисциплинарная наука и искусство по сокрытию информации внутри другой информации с учетом сохранения в тайне самого факта такой передачи и/или хранения.
14 •
slipenchuk 9/5/16 1:24 PM Page 15
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
3. A вкрапляет стеганографическую метку II в документ I. 4. Полученный в п. 3 документ с меткой (III) А передает Б. 5. Б сканирует документ III и получает отсканированный документ с меткой (IV). 6. Б печатает отсканированный документ и получает печатную копию документа (V). 7. Копия V передается стороне B. 8. Сторона B видит данные m. Но пока эти данные никак не подтверждены. 9. B сканирует документ V и получает его электронную копию IV. 10. В передает А документ IV. Например, по сети Интернет с помощью протокола HTTP (POST-запрос). 11. Из полученного документа IV контролер А извлекает стеганографическую метку II. 12. Стеганографическим алгоритмом А извлекает из метки II вкрапленную информацию 13. А передает извлеченную информацию стороне B. 14. В проверяет корректность указанных и вкрапленных данных. "Да" – информация корректна, "Нет" – информация некорректна. Шаги 8 и 14 могут быть осуществлены на стороне А, а не В. В этом случае на шаге 13 будет передано не m, а сообщение о подлинности или не подлинности документа. ("Да/нет"сообщение.) В данной схеме сторона А (создатель документа и контролер) может быть разделена на две стороны: А1 (создатель документа) и А2 (контролер). Однако в этом случае необходимо, чтобы A1 и A2 договорились о методе стеганографического вкрапления и извлечения – данные методы должны быть согласованы. Протокол передачи данных HTTP, разумеется, можно заменить на иные протоколы передачи данных, в том числе с использованием средств защиты данных (HTTPS, SFTP и т.д.). В случае, когда у А есть база данных со всеми возможными документами, которые А когдалибо выпустил, использование стеганографии может быть излишним, т.к. А может при каждом запросе выбирать информацию из СУБД и на шаге 13 отправлять не извлеченную информацию, а данные о под-
Схема 2. VI – это электронный документ, не содержащий стеганографической метки. Шаг 5 на схеме отсутствует, остальные шаги и сущности те же, что на схеме 1 линности или не подлинности документа (роль шага 14). Однако в двух случаях стеганография может быть полезна: 1. В случае невозможности или трудности хранить всевозможные документы, создаваемые А. 2. В случае сбоя СУБД. В случае пункта 2 стеганография выступает своего рода дополнительным способом подтверждения подлинности документа. Пункт 1 может показаться невероятным и неприменимым на практике. Однако в последние пять лет часто данных становятся так много, что возникают проблемы с их хранением, передачей и обработкой (проблема Big Data). Данная проблема решается созданием нереляционных СУБД (NoSQL) и отказом в хранении многих данных на долгий период. Стеганография может позволить увеличить срок гарантированной проверки подлинности документа. Стеганография не требует наличия базы данных обо всех выпущенных документах, требуется лишь робастный и стойкий алгоритм вкрапления и извлечения данных и некий секретный параметр (ключ), с помощью которого данные вкрапляются и извлекаются различным способом. Ключ вкрапления и извлечения сторона А должна держать в секрете. Для робастности системы следует обратить внимание на все процессы, из-за которых метка может повредиться и/или быть некорректно считанной на шаге 12. На повреждение метки могут повлиять следующие процессы:
l передача искомого бумажного документа III от А к Б (шаг 4); l сканирование (III → IV) и печать (IV → V) копии документа (5 и 6); l передача копии документа V от Б к В (7); l сканирование копии документа (9). На каждом из этих процессов метка II может быть повреждена настолько, что извлечение m (см. 12) будет невозможно. Таким образом, система должна быть спроектирована так, чтобы метка не была потеряна.
Многофакторная стеганография При защите банкнот используется множество способов защиты подлинности. Многие из них известны и не требуют специального оборудования (наличие водяного знака); некоторые требуют специальное оборудование (УФ-лампа); есть методы, которые держатся в
Второй класс Документы второго класса – это документы, не имеющие "бумажного предка". Например, билеты на транспорт или подтверждение гостиницы в системе booking.com. Схема 1 упрощается и приобретает такой вид, как показано на схеме 2. На повреждения метки могут повлиять следующие процессы: l печать (IV → V) копии документа (6); l в результате передачи копии документа V от Б к В (7); l в результате сканирования копии документа (9). Шаг 4 не может повредить метку, т.к. данные передаются в электронном формате.
секрете. Аналогичную идею можно попытаться использовать для стеганографии; то есть использовать не один, а множество стеганографических способов. Некоторые из них можно раскрыть для всех сторон (А, Б, В), некоторые только для сторон А и В, некоторые могут быть известны только для стороны А. Если хотя бы один водяной знак на банкноте подделан, то можно выявить, что банкнота фальшивая. Аналогично и с многофакторной стеганографией: если хотя бы один из алгоритмов стеганографии не подтверждает подлинность документа,
Третий класс Это документы, хранимые и проверяемые только в электронном виде (например, электронные банковские чеки и т.д.) От второго класса их отличают методы использования. Документы третьего класса не печатают на бумаге.
то документ считается поддельным.
• 15
slipenchuk 9/5/16 1:24 PM Page 16
СПЕЦПРОЕКТ Обнаружение документов при сканировании (класс 1) При печати защищаемого документа можно вкраплять в него специальную метку. Сканирующие устройства в организации при сканировании каждого документа должны проверять наличие или отсутствие данной метки. В этом случае сканирование защищаемого документа можно запретить (и/или отправить сообщение в службу внутренней безопасности).
Заключение
Схема 3. Шаг 7 является передачей электронного документа, а не бумажного. Шаги 9 и 6 отсутствуют
ЭЦП и информационное сокрытие Информационное сокрытие в электронных документах может выступать не только в роли стеганографии (самого факта сокрытия информации), а в каче-
Схема взаимодействия еще упрощается (схема 3). Для третьего класса электронных документов не требуется никакой робастности для стеганографии, т.к. документы передаются, хранятся и используются только в электронном виде. Следовательно, для данного типа документов стеганографический алгоритм должен обладать только свойством стойкости (крайне высокой трудоемкостью извлечения данных без знания ключа).
стве механизма неотчуждаемости информации от основного документа. Сам процесс вкрапления
Примеры использования стеганографии в электронных документах
в данном случае может представлять собой общеизвестный и несекретный алгоритм. А в качестве вкрапляемой информации может выступать электронно-цифровая подпись (ЭЦП). Тогда требования к информационному сокрытию для классов 1 и 2 будут только в робастности. Для класса 3 не требуется и робастность. ЭЦП может содержать информацию для подтверждения подлинности документа внутри него же само-
Защита исключительного права в электронных журналах/книгах (класс 3) По причине распространения планшетов и смартфонов появляется новая отрасль – продажа журналов (или книг) в электронном виде. Можно каждому пользователю продавать уникальную копию журнала, содержащую информацию о покупателе (E-mail, логин в системе и т.д.) и серийный номер журнала. Сама информация может быть вкраплена внутрь искомого документа и/или защищена ЭЦП.
го. Таким образом подлинность не отчуждаема от искомого документа.
Защита подлинности копий документов (класс 1) Если бы фон документа был уникален относительно его номера, то с помощью фона можно было бы проверить подлинность копии документа. К распространенному виду мошенничества можно отнести копии паспортов. В настоящий момент поддельную копию сде-
16 •
лать проще простого: для этого нужно в копии настоящего документа изменить ФИО, иные текстовые данные и фотографию. Если бы фоновая страница каждого паспорта была бы уникальна и связана с номером документа, то можно было бы отличить подлинные копии от фальшивок. (Для этого, разумеется, требуется, чтобы при копировании стеганографическая система была бы робастной.)
Проверка подлинности билетов на транспорт (класс 2) Если организация оплачивает командировку своему сотруднику, как бухгалтеру проверить подлинность купленного сотрудником электронного билета РЖД? В настоящий момент, насколько известно автору, сложилась практика "верим на слово".
Проверка подлинности бронирования гостиниц (класс 2) Многие консульства отказываются принимать бронирования в системах типа booking.com при приеме заявки на визу. Это усложняет процесс получения виз. Использование согласованного механизма проверки подлинности может решить эту проблему.
Проверка подлинности электронных банковских чеков (класс 2) При оплате различных услуг через системы электронного банковского обслуживания (ЖКХ, штрафы ГИБДД и т.д.) плательщику выдается электронный чек в виде PDF-документа.
Если А – стоимость стеганографического решения, Y – ущерб при использовании стеганографического решения, а Х – ущерб без использования стеганографического решения, то стегосистема экономически целесообразна, если верно неравенство: A+Y<X Даже подсчет X может оказаться трудоемкой задачей, а как определить Y? Только с подсчетом А, видимо, не возникает никаких проблем. Возможно, самым оптимальным вариантом является "разведка боем". Для этого необходимо запустить пилот, для которого А ≈ 0 (т.е. цена решения достаточно мала). Если будет ощутимое изменение разности в убытках, то можно будет попытаться разрабатывать более качественные стеганографические системы. Важным свойством разрабатываемой системы должна быть многофакторность (см. выше), т.е. возможность несколькими способами проверить подлинность электронных документов. Процесс перехода различных документов в электронный вид неизбежен, и, следовательно, требуется разработка различных технических методик для подтверждения их подлинности. Также требуется большая работа и в правовом поле. В настоящий момент автору неизвестны коммерческие продукты, которые используют именно стеганографию для подтверждения подлинности электронных документов. Возможно, они и не понадобятся, и человечество изобретет иные способы защиты. Однако возможно, будет не лишним использовать стеганографию в качестве дополнительного метода защиты. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
fortinet 9/5/16 1:22 PM Page 17
jet 9/5/16 1:23 PM Page 18
СПЕЦПРОЕКТ
Мошенничество как неизбежность – антифрод как сервис Алексей Сизов, руководитель направления противодействия мошенничеству Центра информационной безопасности компании “Инфосистемы Джет"
К
Сегодня не только банки стали объектами атак на клиентов. Аналогичная ситуация сложилась в ритейле и других крупных компаниях, работающих с массовым сегментом (в транспортной отрасли (авиа, ж/д), у провайдеров услуг и пр.). Большинство этих организаций работают через Интернет, принимая платежи/оплату через карты и платежные системы, оказывают сервисы по дистанционному управлению счетами и услугами. Многие из них имеют программы лояльности, счета которых уже не один год являются лакомым куском для мошенников, вследствие чего убытки уже перевалили за миллиард рублей.
18 •
аждая компания сталкивается с мошенничеством. На разных уровнях, в разных объемах, с разными последствиями – но непременно сталкивается. Сегодня существует масса способов и подходов к построению методик противодействия мошенничеству для разных сегментов рынка, разных угроз и методов реализации самих хищений. В зависимости от источника риска и инфраструктуры контрольные механизмы могут иметь те или иные показатели эффективности. Но что делать, когда атака направлена на клиента – самое незащищенное звено любого электронного бизнеса? Достаточно ли существующих механизмов, когда ваш клиент не может быть однозначно и/или надежно идентифицирован, если идентификация клиента в вашем бизнесе не предусмотрена?
Возьмем, к примеру, ДБО (особенно физических лиц), эквайринговые площадки, небанковские системы личных кабинетов, порталы продаж и услуг. Именно это основной сегмент массового онлайн-мошенничества, где господствует вредоносное ПО, средства удаленного управления клиентскими устройствами, социальная инженерия, фарминг и фишинг. Из нашей практики чаще всего подвержены рискам несанкционированных операций именно системы ДБО. При этом бичом является уязвимость конечной инфраструктуры и самого клиента, вне зависимости от уровня применяемых средств идентификации и аутентификации. Вы скажете – клиент сам виноват, – и будете правы. Но мошенники "жируют" за счет этого, и часть пострадавших в любом случае будет предъявлять претензии банку, в котором злоумышленники смогли применить столь очевидные схемы мошенничества. Кроме того, не стоит забывать и о потере лояльности – второй раз клиент вряд ли захочет стать жертвой злоумышленников и предпочтет перевести свои деньги на хранение в другую, более надежную финансовую организацию. Примеров атак на ДБО, особенно на мобильные приложения, масса. Останавливаться на них нет смысла. Сегодня важно то, что не только банки стали объектами атак на клиентов. Аналогичная ситуация сложилась в ритейле, в других крупных ком-
паниях, работающих с массовым сегментом (в транспортной отрасли (авиа, ж/д), у провайдеров услуг и пр.). Большинство этих организаций работают через Интернет, принимая платежи/ оплату через карты и платежные системы, оказывают сервисы по дистанционному управлению счетами и услугами. Многие из них имеют программы лояльности, счета которых уже не один год являются лакомым куском для мошенников, вследствие чего убытки уже перевалили за миллиард рублей. Вот лишь один пример: регистрация на прием в одно из государственных учреждений проводилась через Интернет. Что сделали злоумышленники? Наладили авторегистрацию всего свободного времени в момент открытия и организовали на форуме перепродажу этого времени по 5–10 тысяч рублей за запись. На чем же построены сегодня классические схемы защиты различных сегментов от мошенничества? Для каналов ДБО – это анализ поведенческой модели клиента, начиная от белых списков получателей и заканчивая анализом поведения на сайте, попыток контролировать устройство, а точнее, его смену, и т.д. Очевидно, что существуют пользователи, которых сложно профильтровать, а метод тотального контроля всех "новых" операций не применим. Например, когда количество операций на одного уникального клиента равно 1–2 в течение года или за все время
работы с отдельно взятым сервисом. Потенциальный клиент в этом случае – инкогнито, и определить, будет ли операция мошеннической, исходя из его действий, почти невозможно. Нет ни истории, ни достаточных данных, которым можно доверять… Что же тогда работает? Уже примерно десять лет между участниками межбанковской системы существует обмен информацией о доверии и потенциальном риске клиента, совершаемых ими операциях в том или ином канале в банковской деятельности. И если еще вчера эти каналы взаимодействия не были регламентированы и работали с нарушением норм и правил регуляторов, то сегодня промышленный и экспертный подходы позволили организовать процесс обмена на должном уровне с соблюдением всех норм информационной безопасности. Пример тому – облачный антифрод. Это классический антифрод, но с измененными ценностями. Если в первом варианте на стороне компании можно было сказать: "Мы знаем почти все о своем клиенте и можем прогнозировать его поведение", то облачные сервисы – это предоставление небольшой части условно связанной с клиентом информации, но зато полученной там, где раньше не было возможности вести подобный контроль, то есть на стороне клиента. Какие преимущества есть у облачных сервисов перед классическим антифродом? Первое –
jet 9/5/16 1:23 PM Page 19
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
возможность получения сведений о клиенте в масштабе конкретной отрасли, а не в разрезе инфраструктуры одной компании. Что такое клиент в Интернете? Это не человек и не логин, это, прежде всего, устройство. Однозначного соответствия между клиентом и устройством не существует, но даже нечеткое соответствие позволяет изменить картину с условно неопределенной до заслуживающей доверия в оценке рискованности/не рискованности работы с тем или иным клиентом. Это возможность видеть то, что злоумышленник скрывает от глаз компании-провайдера или компании-агента: свой IP, данные своего окружения и т.д. Возьмем ту же проверку IP на подлинность. Если в банк приходит клиент и намеренно некорректно указывает свои паспортные данные – банк откажет ему в кредите? Однозначно, да. Так почему же, если клиент скрывает свой IP или иную информацию, по которой можно определить его благонадежность, банк обязан работать с ним и проводить его операцию? Таким образом, облачные сервисы борьбы с мошенничеством стремятся к формированию репутации того объекта, с которым мы вступаем в информационное взаимодействие. Сейчас эта репутация крайне небогата и порой не структурирована. Представьте, какова бы она была, если бы тот же антифрод имел возможность оперировать данными Яндекса, Google, Facebook, MAIL.ru. Хотя даже репутация, сложившаяся исходя из статичной информации об объекте, IP, параметрах устройства, динамичных сведениях о характере операций, профиле работы с ним, дала бы огромный эффект в концепции "знай своего клиента". И тут срабатывает классическое НО: банки и другие заинтересованные компании хотят получать эту информацию, но совершенно не готовы ею делиться. По нашей статистике, лишь один из пяти участников готов обмениваться с сервисом данными о потенциальном мошенническом характере операции по своему клиенту. В случае же, если это клиент не компании, т.е. между банком и субъектом отсутствуют договорные отношения, информация о которых может быть передана другим участникам, то таковых становится приблизительно две трети от общего числа участников. И лишь 2% готовы
публиковать сведения в полном объеме, т.е. доводить до других участников/пользователей сервиса не только информацию, прошедшую проверку на репутацию, факты атак на клиента, а абсолютно все сведения о рисках и свершившихся фактах противоправных операций со стороны клиента. На днях Центробанк объявил о переводе в обязательные требования части рекомендаций к участникам межбанковского взаимодействия. Но изменит ли это "честность" сообщества? Каждый банк опасается повышенного внимания к себе, а значит, будет по-прежнему скрывать топовые инциденты, важные сведения и т.д. Изменит ситуацию, возможно, во-первых, гарантия того, что раскрытие инцидента не приведет затем к наложению санкций на банк; а во-вторых, существование нескольких моделей мотивации участников – тех, кто больше дает, и тех, кто больше получает. В этом же есть и залог стабильности системы. Пока же подобные сервисы работают не совсем так, как хотелось бы. Государственные существуют на основании требований к участию, коммерческие предлагают дополнительные инструменты (такие как выявление активности вредоносного ПО, удаленного управления и прочих угроз), побуждая каждого участника раскрывать и делиться итоговыми сведениями. Кроме того, по мнению представителей банков из списка ТОП-20, сервисы, подобные облачному антифроду, дают сегодня незначительный эффект из-за низкой добавочной стоимости получаемой информации относительно той, которую они уже имеют. Но не стоит забывать о том, что компании из ТОП-20 могут обеспечить себе и своим клиентам наилучшие технологии защиты и сделать эту защиту эшелонированной, тем самым снижая риск уязвимости одного из компонентов. Чего не скажешь о банках ниже ТОП-уровня, а также о ритейлерах, не попавших в аналогичную двадцатку крупнейших в интернет-сегменте. В текущих условиях они не имеют возможностей и бюджетов на передовые разработки вендоров или штат аналитиков экстра-уровня. И для них актуальная информация – это ценность, с помощью которой вме-
сте с правильными внутренними регламентами информация становится оружием в борьбе со злоумышленниками. Трансформация сведений, получаемых от таких сервисов, в конечное действие на стороне банка (например, при детектировании фишинга – блокировка операций CNP или всей активности по скомпрометированной карте) и есть ключевой элемент, отличающий понимание о рисках от реагирования на риски. Тем самым необходимо формировать внутри себя эффективную модель реагирования, начиная с уровня экспертного консалтинга (создание регламентов или построение внутренних процессов в компании) и заканчивая уровнем автоматизации такого реагирования на базе существующих ИT-компонент или использования специализированных решений, в том числе антифрода. При этом решение задач автоматизированной классификации риска должно происходить не только относительно прецедента на стороне клиента или пользователя защищаемого ресурса и сервиса, но и относительно общей совокупности действий, регистрируемых в информационных системах компании, этот сервис предоставляющих. Как показывает наша практика использования облачных сервисов – результаты их работы условно можно разделить на три категории: l требующие незамедлительной реакции; l требующие обогащения сведениями из внутренних источников (данные клиента, реквизиты операции, недоступные внешним сервисам); l информационные сведения. И приведение 2-й и 3-й категории к реагированию возможно лишь экспертом либо специализированным решением. Отсутствие же автоматизации получаемых с помощью сервиса данных ведет к большим внутренним рискам: ведь информация о потенциальных угрозах уже доступна службе внутренней эксплуатации, а незамедлительного учета в схеме обслуживания клиентов все еще нет. l
Из нашей практики чаще всего подвержены рискам несанкционированных операций именно системы ДБО. При этом бичом является уязвимость конечной инфраструктуры и самого клиента, вне зависимости от уровня применяемых средств идентификации и аутентификации.
На днях Центробанк объявил о переводе в обязательные требования части рекомендаций к участникам межбанковского взаимодействия. Но изменит ли это "честность" сообщества? Каждый банк опасается повышенного внимания к себе, а значит, будет попрежнему скрывать топовые инциденты, важные сведения и т.д. Изменит ситуацию, возможно, во-первых, гарантия того, что раскрытие инцидента не приведет затем к наложению санкций на банк; а во-вторых, существование нескольких моделей мотивации участников – тех, кто больше дает, и тех, кто больше получает. В этом же есть и залог стабильности системы.
NM АДРЕСА И ТЕЛЕФОНЫ компании ИНФОСИСТЕМЫ ДЖЕТ см. стр. 68
• 19
rychkov 9/5/16 1:24 PM Page 20
СПЕЦПРОЕКТ
Электронные деньги: точка роста или источник угроз? Андрей Рычков, руководитель сервиса по приему платежей ЦЕНТРАЛЬНАЯКАССА.РФ
П Федеральный закон № 161-ФЗ дает следующее определение: "Электронные деньги (ЭДС) – это безналичные денежные средства в рублях или иностранной валюте, учитываемые кредитными организациями без открытия банковского счета и переводимые с использованием электронных средств платежа".
По данным Центрального Банка Российской Федерации, в 2015 г. с использованием электронных денег было совершено больше 1 млрд операций на общую сумму 909 млн рублей. Масштабы впечатляют: уже нельзя назвать электронные деньги необычным видом платежа. Для многих людей привычно с их помощью совершать покупки и оплачивать услуги в Интернете.
20 •
о данным Центрального Банка Российской Федерации, в 2015 г. с использованием электронных денег было совершено больше 1 млрд операций на общую сумму 909 млн рублей. Масштабы впечатляют: уже нельзя назвать электронные деньги необычным видом платежа. Для многих людей привычно с их помощью совершать покупки и оплачивать услуги в Интернете.
Недопонимание все равно есть, поэтому предлагаю для начала разобраться в терминологии. Важно понимать, что электронные деньги – это официальная форма хранения денежных средств, которая регулируется законодательством – Федеральным законом № 161-ФЗ. Документ дает следующее определение: "Электронные деньги (ЭДС) – это безналичные денежные средства в рублях или иностранной валюте, учитываемые кредитными организациями без открытия банковского счета и переводимые с использованием электронных средств платежа". По-прежнему многие путают разные виды "безналичных" денежных средств: деньги на банковской карте и электронные деньги. Главное отличие электронных денег от денег на банковских картах в том, что электронные деньги эмитированы организацией (в нашей стране это только кредитные организации, лицензированные ЦБ РФ: или банки, или некоммерческие кредитные организации), а безналичные деньги, как и наличные, эмитируются государственным центральным банком. Еще важно понимать, что для хранения и обращения электронных денег не требуется открытия банковского счета конкретного пользователя. Нужно лишь получить электронное средство платежа. Это может быть привычный всем электронный кошелек. Чтобы быстро создать кошелек с электронными деньгами, не нужно проходить долгую процедуру регистрации, достаточно акцептовать оферту кредитной организации, памятку об ЭДС ЦБ РФ и пополнить счет
кошелька. А для получения банковской карты необходимо прийти с паспортом в отделение финансовой организации, подписать счет и подождать 2–3 недели, чтобы получить карту и начать ею пользоваться. Получается, что открыть счет с электронными деньгами намного быстрее и проще, достаточно иметь доступ к сети Интернет. В массовом сознании электронные деньги часто путаются с криптовалютами, что в корне неверно. Если наличные и безналичные денежные средства в России эмитируются Банком России, а единственная валюта в нашей стране – рубль, то у криптовалюты нет централизованного эмитента, и она доступна для эмиссии любым желающим. Также сейчас обсуждается приравнивание криптовалюты к иностранной валюте.
Как все начиналось? В 1993 г. центробанки стран ЕС начали изучать феномен электронных денег. Тогда к ним относились предоплаченные карты. В мае 1994 г. были опубликованы результаты, которые признавали на официальном уровне существование электронных денег. Именно эту дату можно называть точкой отсчета и началом развития электронных денег. В нашей стране электронные деньги регулируются не только ФЗ-161. В марте этого года ЦБ разработал памятку "Об электронных денежных средствах" для клиентов, в которой поясняются многие моменты. Также ЦБ РФ лицензирует эмитентов электронных денег и регулирует ЭДС в реестре.
Угрозы Электронные деньги не всегда персонифицированы. С одной
стороны, именно этот фактор позволил им набрать популярность. Пользователь буквально в течение нескольких минут может зарегистрировать электронный кошелек, для этого не нужен паспорт. Удобно, если нужно быстро получить и перевести средства. Кстати, в своей анонимности электронные деньги во многом схожи с наличными. Если пользователь не прошел процедуру идентификации, то владельца денежных средств установить невозможно. Именно поэтому государство установило лимит на такие операции. Именно в этой особенности есть риск использования электронных денег в теневой экономике: уход от налогов, финансирование терроризма или покупка и продажа запрещенных товаров, легализация доходов, полученных незаконным путем. Безусловно, такой риск есть, именно поэтому операторы электронных кошельков ограничивают их использование анонимными пользователями. Например, есть лимит на размер операций и сумму хранимых средств, если человек не подтвердил личность с помощью паспорта. По законодательству остаток ЭДС, если клиент не идентифицирован, не должен превышать 15 тыс. рублей, а общая сумма перевода не должна превышать 40 тыс. рублей в течение календарного месяца. При упрощенной идентификации лимиты увеличиваются: остаток не должен превышать 60 тыс. рублей, а общая сумма операций – не более 200 тыс. рублей в течение календарного месяца. Второй фактор риска, связанный с обезличенностью счета с ЭДС, – сложность определения владельца денежных
rychkov 9/5/16 1:24 PM Page 21
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
средств. Во-первых, для правоохранительных органов это связано с длительными бюрократическими процедурами. Вовторых, если человек не прошел процедуру идентификации, то его личность можно определить только по косвенным признакам. Также есть угроза сохранности средств для пользователей. Средства вкладчика банка застрахованы в случае банкротства финансовой организации, отзыва лицензии и так далее. Электронные деньги не защищены таким образом. На них не распространяются требования законодательства, по которому максимальная сумма компенсации по банковскому вкладу составляет 1,4 млн рублей или эквивалентный этой сумме вклад в валюте по курсу на момент наступления страхового случая.
Возможности Несмотря на существующие риски, у электронных денег очень большой потенциал для повышения эффективности расчетно-платежной системы. В первую очередь, это связано с сокращением материальных и временных затрат, которые операторы, бизнес и население несут на выпуск и обслуживание ЭДС. Для населения существенным преимуществом является быстрота открытия электронного кошелька. Не нужно ждать несколько дней или недель, как в случае с банковской картой. Кроме того, бывает, люди не доверяют банкам и отказываются от любого взаимодействия с банковской системой. Поскольку обслуживание электронных денег дешевле, то зачастую при оплате комиссия ниже. Поэтому очень удобно использовать электронные деньги для микроплатежей. Сейчас наблюдается много случаев мошенничества, связанных с оплатой банковскими картами в сети Интернет. У людей под разными предлогами выманивают данные карты и списывают деньги. При использовании непроверенных сайтов и приложений также можно лишиться средств. Использование при оплате электронных денег серьезно сокращает риск стать жертвой мошенников: не нужно доставать банковскую карту, "засвечивать" ее реквизиты. Многие именно с этой целью
открывают счет в электронных деньгах и при необходимости просто переводят себе на счет в ЭДС нужную сумму и оплачивают с электронного кошелька. Работать с электронными деньгами часто удобнее и бизнесу. Операторы ЭДС – это либо проверенные банком компании, либо их дочерние предприятия, поэтому подключение приема платежей в интернетмагазине проходит по максимально быстрому сценарию. При использовании электронных денег есть услуги, которые очень удобны в реализации, в отличие от подобных услуг, предлагаемых банковским сектором. Например, при использовании электронных денег можно создать условный счет, назовем его подарочный счет, на который друзья и родственники могут отправить деньги для подарка близкому человеку. После создания счета его можно отправлять в виде ссылки друг другу и пополнять в течение нескольких минут. С подарочными картами банка чуть сложнее. В основном банки их предлагают на материальном носителе (пластиковая карта с чипом). Для ее получения требуется больше времени, и, конечно, реквизиты карты невозможно передать в виде ссылки. Также пополнение подобных карт будет дороже, т.к. обслуживание операций через международные платежные системы более затратное.
Опыт реализации проекта с электронными деньгами По запросу крупной сети диспетчерских служб по вызову такси мы реализовали функцию "оплата банковской картой" с зачислением безналичных денежных средств на электронный кошелек водителя. Такая форма зачисления была выбрана совместно с заказчиком по нескольким причинам: l прямое взаимодействие водитель–пассажир при оплате заказа; l моментальное зачисление денежных средств; l отсутствие необходимости иметь банковскую карту. Для создания кошелька и распоряжения ЭДС водителю необходимо согласиться принимать заказы с карты, акцептовать оферту банка и памятку об ЭДС ЦБ РФ, посещение офиса банка или нашего сер-
виса при этом не требуется. Для использования ЭДС, его необходимо просто скачать. Для водителей есть два варианта распоряжения деньгами: оплата услуг с помощью нашего сервиса или перевод средств на банковскую карту.
В 1993 г. центробанки стран ЕС начали изучать феномен электронных денег. Тогда к ним относились предоплаченные карты. В мае 1994 г. были опубликованы результаты, которые признавали на официальном уровне существо-
Обеспечение ИБ К платежным приложениям предъявляются требования по обеспечению полного комплекса безопасности, как к ДБО любого банка. Также необходимо выполнить требование PCI DSS 3.0 в хранении данных карт пассажиров. Основная точка риска – мобильное приложение водителя. Поэтому нужно следить за качеством платформы. Например, на рутованных устройствах, поскольку у них уровень защиты ниже, мы ограничили функционал нашего приложения "Центральная касса", к которому привязан кошелек водителя. Также мы проверяем сертификаты и обеспечиваем подпись. Пользователь может пользоваться приложением, совершать платежи, но он не может привязать карту. С одной стороны, это связано с определенными неудобствами для пользователя, с другой – защищает его денежные средства. Сотовый телефон легко потерять, его могут украсть, мы защищаем пользователя и от такой ситуации. При каждом входе в приложением, ему необходимо ввести индивидуальный пароль. Если в течение определенного времени пользователь не совершает никаких действий в открытом приложении, то сессия заканчивается и осуществляется автоматический выход. Для исключения мошенничества также важно правильно настроить антифрод. Приложение блокирует сомнительные операции: нетипичное количество поездок или суммы платежей. Кроме того, мы проверяем "живость" карты и ее доступность. Например, авторизованные пользователи могут привязать карту, т.е. сохранить ее данные. Если в течение 6 месяцев операций по карте не совершалось, то ее данные удаляются согласно PCI DSS 3.0. l
вание электронных денег. Именно эту дату можно называть точкой отсчета и началом развития электронных денег.
Последние несколько лет идет совершенствование и развитие электронных денег. Изначально ими можно было расплачиваться исключительно в Интернете или переводить другому пользователю. Теперь же операторы выпускают Smart-карты наподобие банковских, на которых хранится идентификатор ЭДС и которыми можно расплачиваться в магазинах. Также существуют технологии, при которых электронными деньгами можно, например, оплатить топливо на АЗС прямо с мобильного устройства путем генерации и считывания уникального кода доступа к ЭДС.
Главное отличие Электронные деньги эмитированы организацией (в нашей стране это только кредитные организации, лицензированные ЦБ РФ: банки или некоммерческие кредитные организации). Безналичные деньги, как и наличные, эмитируются государственным центральным банком. Для хранения и обращения электронных денег не требуется открытия банковского счета конкретного пользователя. Нужно лишь получить электронное средство платежа, например электронный кошелек.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 21
milacheva 9/5/16 1:23 PM Page 22
СПЕЦПРОЕКТ
Не "вспомнить всё": как двухфакторная аутентификация заменяет привычные пароли Татьяна Милачева, директор по маркетинговым коммуникациям, WebMoney Transfer
Пароль умер. Да здравствует пароль! Пароль просто забыть, легко восстановить и уже давно несложно технологично украсть. Ведущие мировые провайдеры онлайн-сервисов встали на путь внедрения различных моделей двухфакторной аутентификации, однако решения отличаются по степени как сложности, так и удобства для конечного пользователя. Двухфакторная аутентификация означает использование второго "ключа" помимо логина и пароля в момент авторизации доступа. Второй фактор, как правило, использует то, чем пользователь владеет физически. Например, гаджет и получаемый через него дополнительный виртуальный ключ. Из всего спектра возможностей для введения двухфакторной аутентификации стоит отдельно выделить разработку мобильных клиентов. Учитывая доступность мобильного Интернета и популярность смартфонов, именно в этом направлении, вероятнее всего, будут двигаться крупные компании.
Новости о многочисленных сливах персональных данных, угоне средств с банковских счетов заставили компании с большим трепетом относиться к вопросам безопасности. Пользователи начинают осознавать последствия беспечности и готовы переходить на второй фактор, когда речь идет о финансах и ПДн.
22 •
Стандарты безопасности формируются как ответ на атаки Долгое время рядовые пользователи воспринимали второй фактор не как дополнительный уровень защиты, а, скорее, как лишнее препятствие для доступа к тому или иному сервису. Однако несколько резонансных историй заставили пользователей насторожиться касательно безопасности их персональных и финансовых данных. Так, например, при атаке корпоративного мессенджера Slack хакеры получили доступ к персональной информации пользователей, включая их имена, адреса электронной почты, ники в Skype и пароли. Несмотря на то, что пароли были зашифрованы дополнительно, в рассылке после инцидента компания попросила своих клиентов перейти на двухфакторную аутентификацию для обеспечения дополнительной безопасности в будущем. Масла в огонь подлила и история, о которой слышал весь мир: из iCloud были украдены пикантные фотографии звезд американского шоу-бизнеса. На тот момент двухфакторная аутентификация уже была внедрена, однако не на всех сервисах компании. По следам случившегося Apple
ввела второй фактор подтверждения личности для iMessage и FaceTime.
Корпорации ищут решения Для начала обозначим устаревающие методы двухфакторной аутентификации и, наоборот, решения ближайшего будущего. Не очень впечатляющими с точки
входе или, например, при смене пароля, то это вполне жизнеспособный вариант. Но если речь идет о доступе к интернет-банкингу, например, на ежедневной основе, такой способ неудобен в первую очередь самим корпорациям. Банки несут существенные издержки по отправке SMS, а клиенты с удивлением видят эти затраты в цене финансовых про-
Сейчас на слуху признание разработчика игр Digital Extremes в том, что два года назад хакеры украли почти 800 тысяч почтовых адресов игроков Warframe. И хотя компания отрицает, что пароли и финансовые данные попали в руки взломщиков, тем не менее, начат процесс внедрения двухфакторной системы идентификации.
зрения удобства и защиты данных выглядят одноразовые коды на бумажных табличках и скретчкарты, которые до сих пор выдают своим клиентам некоторые финансово-кредитные учреждения. По-прежнему, хоть и значительно реже, в качестве метода двухфакторной аутентификации используется физический USBключ. Пока еще диковиной является биометрическая аутентификация – японский банк Ogaki Kyoritsu уже устанавливает уличные банкоматы, для авторизации в которых нужно приложить руку к встроенному сканеру. Введение PIN-кода и даты рождения клиентом банка данное новшество все равно не отменяет. В ближайшем будущем двухфакторная аутентификация будет активнее использовать способность распознавания лиц и отпечатков пальцев. Также в качестве идентификации начинают применять геолокационные сервисы, верифицирующие пользователя при помощи его местоположения. Этим списком возможные способы двухфакторной аутентификации, конечно, не ограничиваются, постепенно внедряются мобильные клиенты, которые могут стать полноценной заменой аутентификации через SMS в ближайшем будущем.
SMS-аутентификация теряет позиции Российские пользователи уже привыкли получать SMS с кодом в качестве подтверждения. Если подобная аутентификация требуется при первоначальном
дуктов. Как известно, в 2014 г. стоимость SMS-рассылок взлетела в десятки раз из-за изменений в законодательстве, что вынудило банки рассматривать альтернативные методы аутентификации клиентов. Пользователей же беспокоит, что SMS не всегда приходят мгновенно. Однако есть и более существенные риски: l SIM-карта может быть восстановлена злоумышленниками по поддельным документам; l случайные лица могут получить доступ к персональной информации клиентов операторов мобильной связи; l SMS могут быть перехвачены или перенаправлены; l SMS-код может быть просто прочитан с заблокированного экрана телефона; l злоумышленник может заменить номер телефона на свой через функцию восстановления доступа, которая есть у каждого сервиса и, как правило, не защищена вторым фактором. Ненадежность метода многократно доказывалась Tech-энтузиастами, в прессе немало примеров журналистских экспериментов по восстановлению номера для получения доступа к SMS как второму фактору защиты аккаунтов. Национальный институт стандартов и технологий США недавно обнародовал документ под названием Digital Authentication Guideline, официально рекомендующий разработчикам новых сервисов заменить SMS как второй фактор идентифика-
milacheva 9/5/16 1:23 PM Page 23
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
ции на альтернативные решения. Эксперты же считают, что SMSаутентификация до сих пор так популярна только потому, что потребители всегда предпочитают удобство безопасности. Кибератаки с целью получения чужих финансовых данных в текущих условиях экономической ситуации будут учащаться, поэтому тема выбора метода второго фактора защиты становится, в том числе, личным решением пользователя.
Гик-девайсы помогут понять и принять Подсластить пилюлю замысловатости систем подтвержде-
ния могут новейшие гаджеты. Умные часы, как правило, используются не только как модный аксессуар, но и как дополнительный экран, удобный в моменты, когда не хочется доставать смартфон. ИT-эксперты предсказывали, что подтверждение действий с помощью умных часов с точки зрения удобства и быстроты сможет вывести двухфакторную аутентификацию на совершенно новый уровень. Из реализованных кейсов можно отметить сервис E-NUM с часами под управлением Android Wear, Pebble Watch и Apple Watch. После синхронизации со смартфоном
входящие уведомления с проверочным кодом всплывают сразу на экране часов. Для некоторых моделей смарт-часов дополнительно реализован запрет отображения числа-ответа в случае, если они находятся слишком далеко от смартфона. Такой подход позволяет значительно ускорить и упростить процедуру идентификации, хотя пока процент проникновения умных часов среди российских пользователей невелик, но будет расти в будущем. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Международная конференция "Безопасность платежей 2016"
С
21.07.2016 по 22.07.2016 в Санкт-Петербурге состоялась конференция “Безопасность платежей 2016". Организатором конференции выступило ООО “Дейтерий". Конференция направлена на повышение уровня осведомленности в области обеспечения безопасности платежей. Также на ней проливается свет на будущее правил безопасности этого сегмента, в частности – изменения в стандарте PCI DSS.
Участники В конференции приняли участие свыше ста делегатов, среди которых – регуляторы отрасли, создатели и владельцы платежных сервисов, специалисты по информационной безопасности, руководители ИТ-отделов, разработчики платежного программного обеспечения. Василий Окулесский, начальник управления безопасности АО "НСПК"; Джереми Кинг, международный директор Совета PCI SSC; Леонид Дубов, руководитель биллинга в компании "Яндекс "; Михаил Хоружик, руководитель сервиса по приему платежей в компании "Яндекс"; Алексей Лукацкий, бизнес-консультант по безопасности в Cisco Systems; Алексей Митюшов, CISO компании "Аэроэкспресс", CISSP; Кристина Андреева, инженер по защите информации Deiteriy, CISA, PCI QSA; Юрий Малинин, ректор НОУ "Академия Информационных Систем", председатель Ассоциации пользователей стандартов по информационной безопасности АБИСС (PO PCI SSC); Александр Савинов, руководитель направления "Цифровой и карточный бизнес" Департамента безопасности Сбербанка (ПАО); Лев Шумский, начальник управления контроля информационных рисков ДОР ГК "Связной"; Андрей Дроздов, старший менеджер KPMG, CISA, CISM, CGEIT; Алексей Бабенко,
ведущий менеджер по развитию бизнеса компании "Информзащита"; Сергей Шустиков, генеральный директор Deiteriy, CISA, PCI QSA (P2PE), PCI PA-QSA (P2PE); Петр Шаповалов, инженер по защите информации Deiteriy, PCI QSA; Вячеслав Максимов, технический директор ООО "Инксекьюрити"; Денис Безкоровайный, генеральный директор ProtoSecurity, CISSP, CISA, CCSK; Андрей Ревяшко, технический директор Wildberries; Олег Федотов, специалист по информационной безопасности Wildberries; Антон Остроконский, специалист по тестированию на проникновение Deiteriy; Семен Уваров, специалист по тестированию на проникновение Deiteriy; Александр Платонов, системный администратор платежного сервиса в компании "Яндекс"; Роман Головань, разработчик платежного сервиса в компании "Яндекс"; Николай Ульянов, разработчик платежного сервиса в компании "Яндекс"; Антон Конвалюк, инженер группы инфраструктурной безопасности в компании "Яндекс".
Основными вопросами на конференции стали: 1. Правила платежной системы "Мир": самооценка, отчетность и планы развития. 2. Взлом платежных приложений. Практическая сторона безопасности.
"Скоро откроет двери российская платежная система "МИР". Интересен свод ее правил безопасности, как он коррелирует с действующими стандартами безопасности международной платежной системы. Есть мнение, что выполнение требований безопасности для платежной системы "МИР" автоматически приводит исполнителя к стандарту PCI DSS", – Василий Окулесский, НСПК.
"При внедрении стандарта PCI DSS не все банкиэквайеры готовы подписывать матрицы ответственности, и к этому надо быть готовым. Привлечение к проекту опытных специалистов-консультантов по стандарту PCI DSS существенно сокращает расходы на разработку платежного приложения", – Федотов Олег, Wildberries; Андрей Ревяшко, Wildberries.
"Для повышения ответственности компаний при исполнении требований PCI DSS планируется введение внушительных штрафных санкций для нарушителей", – Джереми Кинг, Совет PCI SSC.
3. Обучение и профессиональные сертификации как основные факторы успеха. 4. Финансовое обоснование инвестиций в информационную безопасность. 5. Антифрод. 6. Как разработать безопасное приложение? 7. Баланс между удобством и безопасностью платежей. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Материал подготовил Андрей Ревяшко, технический директор Wildberries
• 23
gorchakov 9/5/16 1:23 PM Page 24
СПЕЦПРОЕКТ
Уязвимости повышения привилегий: новая угроза для мобильного банкинга Денис Горчаков, руководитель группы антифрод-аналитики, АО “Лаборатория Касперского".
У
Буквально за три года от простых приложений, использующих код из учебников, мобильные зловреды полностью обрели "взрослую" функциональность:
l научились разделять тело вируса на безобидные загрузчики и вредоносный код;
l освоили техники внедрения в системные процессы и приложения;
l перешли к использованию множества вредоносных функций в одном зловреде, работая и банковскими троянцами, и вымогателями одновременно;
l стали использовать динамические центры управления, дополнительно защищаясь возможностью контроля через сервисы Google и SMS-сообщения;
l код вирусов теперь написан опытными программистами, защищен и наравне с обычными троянцами может содержать десяток эксплойтов - фрагментов вредоносного кода, обеспечивающего получение привилегий суперпользователя (Root).
24 •
язвимости, приводящие к повышению привилегий, – одни из наиболее критичных, поскольку дают атакующему возможность получить максимальные полномочия в системе, обойти или отключить защитные средства и надежно закрепиться на скомпрометированном устройстве. Несколько лет назад это утверждение показалось бы необычным в статье про безопасность мобильных гаджетов, однако сейчас на полном серьезе можно говорить о наличии такой угрозы для смартфонов и планшетов.
Вредоносное ПО для мобильных устройств быстро прошло путь, занявший у компьютерных вирусов пару десятков лет. История эксплуатации повышения привилегий на Androidустройствах берет истоки во времена версий 2.х этой ОС, когда получение рута было в основном уделом энтузиастов, занимающихся модификациями тогда еще довольно несовершенной системы. Они добавляли в свои устройства новые функции, изменяли их интерфейс. Затем, не в последнюю очередь благодаря популярным интернет-ресурсам, данная активность пошла в массы, привлекая пользователей, заинтересованных не только в модификации устройств, но и во взломе игр и приложений путем обхода встроенных механизмов покупки услуг или игровых ресурсов. Технологии повышения привилегий стали проще и доступнее: неподготовленному пользователю уже не нужно было настраивать свой компьютер и смартфон, вводить что-то в командную строку: достаточно было установить приложение, нажать в нем несколько кнопок и перезагрузить свой гаджет. Вскоре после этого над возможностью использования уязвимостей ОС Android, ее драйверов и системных приложений стали задумываться злоумышленники: сначала это были попытки скопировать код эксплуатации нескольких уязвимостей из упомянутых приложений для домашних пользователей. Благодаря тому, что за последние несколько лет было найдено и описано значительное количество таких уязвимостей в Android, в том числе с публичными примерами
их эксплуатации (PoC), собраны готовые публичные библиотеки (SDK) для повышения привилегий и размещены с их открытым исходным кодом на ресурсах для программистов, данная функциональность быстро вошла в "джентльменский набор" современных мобильных вирусов. Последние образцы некоторых обнаруженных троянцев (таких как Hummer) содержат в коде эксплуатацию до 18 различных уязвимостей одновременно, в то время как компьютерные вирусы обычно ограничиваются тремя– четырьмя. В результате об угрозе стали всерьез задумываться разработчики банковских и платежных приложений для мобильных устройств. К сожалению, в большинстве из них сейчас реализованы лишь простые проверки на наличие файла SU, являющегося лишь одним из признаков того, что на устройстве получены привилегии суперпользователя. Первыми поставили на поток дело китайские вирусописатели, использующие вредоносное ПО для рекламной монетизации: к тому же, в Китае много устройств с доступными по умолчанию привилегиями суперпользователя (по некоторым оценкам, привилегии разблокированы на 80% устройств в Китае), а за ними подтянулись российские и немецкие создатели мобильных банковских троянцев и поддельных банковских приложений (Fake-Banker). Конечно, мобильное вредоносное ПО отлично работает и без прав суперпользователя, однако с ними простор действий у зловредов гораздо больше: l значительно расширяются возможности закрепления на
устройстве: удалить такой вирус весьма проблематично, порой единственным выходом для пользователя становится обращение в сервисный центр; l не приходится запрашивать у пользователя дополнительные доступы, вся вредоносная активность происходит абсолютно незаметно; l появляются новые удобные векторы атаки, такие как внедрение в процессы браузеров для подмены загружаемых страниц. В случае с уязвимостями приложений, домашних и серверных ОС все достаточно понятно: разработчики оперативно выпускают обновления, нужно вовремя установить новую версию программы или применить исправление. С мобильными устройствами все гораздо хуже, поскольку у них есть своя специфика: l Многократно упомянутая фрагментация версий ОС Android и отсутствие исправлений для старых версий системы. l Короткий жизненный цикл поддержки устройств. Для недорогих гаджетов (до 15 тысяч рублей), которые, по данным некоторых ритейлеров, составляют до 70% продаж, производители даже не закладывают в бюджет разрабатываемых устройств никакой постпродажной поддержки. l Неприятие мобильных устройств как полноценного ИТактива с соответствующими доступами к информационным ресурсам. Таким образом, сейчас перед разработчиками мобильных приложений, особенно финансовых, в полный рост встает вопрос защиты от подобных угроз. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
ntb 9/5/16 1:23 PM Page 25
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
Всероссийский Банк Развития Регионов усовершенствовал управление инцидентами с помощью системы контроля привилегированных пользователей SafeInspect
К
омпания “Новые технологии безопасности" (НТБ) – российский разработчик программного обеспечения для повышения уровня безопасности информационных систем и управления критичной ИТ-инфраструктурой – объявляет о внедрении системы контроля привилегированных пользователей SafeInspect во Всероссийском Банке Развития Регионов (ВБРР).
В ходе выполнения рутинных операций по управлению привилегированными пользователями банк искал пути решения следующих задач: 1. Реализовать рабочий процесс персонифицированного доступа к привилегированным учетным записям к конкретным системам, на заданный промежуток времени, с четким обоснованием необходимости и требуемым количеством согласований. 2. Осуществлять идентификацию привилегированных пользователей и разделение на зоны безопасности. 3. Отслеживать в реальном времени выполнение заданных команд. 4. В реальном времени контролировать привилегированные сессии с возможностью прерывания в случае необходимости. 5. Записывать информацию о привилегированных сессиях в формате .avi или/и в текстовом формате в случае работы из командной строки. 6. Осуществлять эффективный поиск при анализе записей привилегированных сессий в процессе расследований. Выявив необходимость в оптимизации защиты данных и управлении инцидентами, Всероссийский Банк Развития Регионов нашел дополнительное решение для контроля активности администраторов. Компания провела анализ, где оценивались продукты по управлению сеансами привилегированных пользователей нескольких поставщиков. Детально изучив и протестировав доступные на рынке решения, специалисты банка остано-
вились на отечественном решении SafeInspect от компании НТБ, которое обеспечивает необходимый уровень защиты, сочетание развитой функциональности и оптимальное соотношение цены и качества. В ходе пилотного тестирования у заказчика был проверен и утвержден широкий функционал системы контроля привилегированных пользователей SafeInspect. Доказано, что решение позволяет закрыть широкий круг проблем по контролю и управлению доступом к привилегированным аккаунтам и эффективно решает весь спектр стоящих перед заказчиком задач. По итогам тестирования банк подтвердил, что весь заявленный функционал системы SafeInspect работает корректно, стабильно, без "зависаний" и полностью соответствует всем заявленным требованиям. "SafeInspect – действительно отличный продукт на рынке решений по аудиту и контролю привилегированных пользователей, – отмечает Игорь Годин, начальник отдела защиты информационно-телекоммуникационных систем Всероссийского Банка Развития Регионов. – Внутренние угрозы в целом и те, что ассоциированы с привилегированными пользователями, в частности являются сложным вопросом, требующим комплексного, многостороннего подхода. Сделав этот вопрос частью стратегии безопасности нашего банка, мы надежно защитили конфиденциальные данные от всех возможных атак как снаружи, так и извне".
Информация о решении Система контроля привилегированных пользователей SafeInspect – программное решение для контроля и управления привилегированными учетными записями. Его задачи – постоянная защита привилегированных аккаунтов в сети и достоверный учет их использования. Решение представляет собой полнофункциональную платформу для эффективного управления привилегированными учетными записями и сессиями в современных информационных системах – как классических, так и облачных. SafeInspect разработан специально для тех заказчиков, которым необходима надежная в эксплуатации и простая в управлении платформа для контроля работы как собственных администраторов, так и внешних поставщиков услуг.
"Контроль того, кто получает доступ через привилегированные учетные записи, и учет действий пользователей с административным правами – две неотъемлемые части корпоративной системы информационной безопасности и соответствия стандартам, – говорит Михаил Романов, директор по развитию бизнеса компании "Новые технологии безопасности" (НТБ). – ИБ-проекты в банках всегда привлекают не только сложностью и масштабом поставленных задач, но и социальной ответственностью перед клиентами. Согласно рейтингу портала Banki.ru, Всероссийский Банк Развития Регионов входит в TOП-50 российских банков по ключевым показателям деятельности. Теперь у его клиентов и руководства исчез еще один повод для беспокойства". l
Специалистами было отмечено, что SafeInspect – оптимальный продукт на рынке решений по аудиту и контролю привилегированных пользователей, а инвестиции в данное решение дадут банку возможность в будущем сократить риск ущерба от внешних злоумышленников и ошибок администрирования, обусловленных человеческим фактором. Более того, при помощи этого простого в использовании инструмента банк может существенно сократить затраты на управление ИТ-инцидентами, повышая уровень безопасности конфиденциальных данных.
NM АДРЕСА И ТЕЛЕФОНЫ ООО "НОВЫЕ ТЕХНОЛОГИИ БЕЗОПАСНОСТИ" см. стр. 68
• 25
positive 9/5/16 1:24 PM Page 26
СПЕЦПРОЕКТ
Практика применения MaxPatrol SIEM для защиты от кибератак Владимир Бенгин, руководитель отдела поддержки продаж SIEM, Positive Technologies
З
а последние 1,5–2 года целенаправленные кибератаки на организации с последующим нарушением бизнес- и технологических процессов из экстраординарных событий стремительно переходят в разряд рядовых. Срок обнаружения атаки колеблется от полугода по зарубежной статистике до трех лет в российской практике. Максимальный срок присутствия злоумышленника в инфраструктуре организации с момента взлома до его обнаружения, зафиксированный нашими экспертами, составил 7 лет.
При этом уже через 1–2 недели после проникновения найти все скомпрометированные системы, как правило, невозможно, поскольку злоумышленник получает возможность использовать легальные учетные записи и встроенные утилиты администрирования. То есть разрыв между сроком компрометации инфраструктуры и временем обнаружения атаки недопустимо велик. Ключевое средство выявления сложных атак и инцидентов ИБ – решения класса Security Information and Event Management (SIEM).
Основные причины низкой эффективности существующих SIEM-систем: 1. Сложность внедрения и большие трудозатраты при эксплуатации: планируя проект, никто не может дать точную оценку его итоговой стоимости и спрогнозировать, когда система будет способна выявлять инциденты. Написание новых правил корреляции, поддержание их в актуальном состоянии – постоянная правка тысяч строк кода командой высококвалифицированных специалистов. При настройке правил реагирования на различные аномалии специалисты вынуждены вручную разбирать большой объем ложных инцидентов. 2. Неразвитость механизмов автоматизированной передачи знаний о новых угрозах и сценариях атак: если вендор имеет подобную экспертизу, он может поделиться ей только в "ручном" режиме – через специализированные форумы и рассылку бюллетеней. 3. Высокая инертность учета изменений инфраструктуры: каждый день в ИТинфраструктурах крупных компаний происходят конфигурационные изменения, но существующие средства ИБ адаптируются под изменения с большой задержкой, так как процесс учета изменений слабо автоматизирован.
26 •
SIEM как бы есть, и его как бы нет Тем не менее, на практике оказывается, что, с одной стороны, SIEM-системы используются большинством компаний из списка Fortune 500 и Global 2000, а с другой – сохраняется удручающая статистика по скорости выявления атак. На самом деле причин столь низкой эффективности SIEM в сфере защиты от кибератак несколько. Здесь стоит отметить сложность и трудозатратность внедрения: нужны интеграция и обеспечение взаимодействия SIEM со множеством систем. При этом невозможно выполнить все работы единоразово – это процесс, так как практически ежедневно в ИТ-инфраструктурах крупных компаний происходят конфигурационные изменения различного характера. SIEM-системы – это надстройка, зонтик над всей инфраструктурой, очень чувствительный к любым изменениям в ней. И именно в необходимости постоянной доработки ("дотюнивания") SIEM-систем (особенно если для этого требуется привлечение интегратора и запуск нового интеграционного проекта) кроется одна из причин того, почему уже буквально через 1–2 года после внедрения они просто "кладутся на полку". Конечно, в основе работы системы лежит логменеджмент – сбор данных обо всем, что происходит в рамках инфраструктуры: это данные с каких-то систем ИБ, с коммутационного оборудования, операционных систем, бизнес-приложений (в том числе
и собственной разработки). Поэтому нельзя обойти вниманием и вопрос подключения к SIEM источников информации в организации. Этот процесс занимает большой промежуток времени и является крайне трудозатратным. В силу того хотя бы, что число типов источников в рамках одной организации может исчисляться десятками. Практически ни одна SIEM-система не обеспечивает достаточное покрытие источников "из коробки". И это тоже одна из причин слабой эффективности существующих решений. В этом смысле подключение всех существующих источников заказчика в рамках проекта внедрения, равно как и подключение новых в рамках последующей технической поддержки, без перекладывания этих задач на заказчика или целиком на интегратора, – в прямом смысле слова уникальная ситуация на рынке.
Каким должен быть SIEM С самого начала работы над собственным продуктом мы ясно понимали, что SIEM, анализирующий только события, не сможет эффективно выявлять инциденты ИБ – требуется новый формат адаптации системы к постоянно изменяющейся инфраструктуре.
Моделирование виртуальной инфраструктуры Необходимо собирать и использовать данные о конфигурации всей инфраструктуры (узлах, их настройках, установленном ПО), об уязвимостях, данных по сетевому трафику, запу-
positive 9/5/16 1:24 PM Page 27
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
щенных процессах и т.д. И все это, включая события, нужно постоянно и в автоматическом режиме привязывать к существующим объектам инфраструктуры. Это позволит уйти от привязки системы к отдельным IPадресам или именам хостов и оперировать более верхнеуровневыми понятиями – актив и конфигурация актива, критичность актива или группы активов. При этом под активом понимается любой элемент инфраструктуры, сетевой узел, идентифицируемый по различным признакам (например, одному или нескольким IP-адресам или именам). Таким образом, в MaxPatrol SIEM все имеющиеся и получаемые данные – конфигурация узла, его настройки, установленное ПО, сетевая активность, логи – унифицируются и выстраиваются вокруг каждого из активов с учетом их расположения и взаимосвязей. Они постоянно обогащаются данными из новых событий, сканирований, сетевого трафика и от агентов на конечных точках, благодаря чему в MaxPatrol SIEM выстраивается полная виртуальная модель инфраструктуры предприятия, актуальная в каждый отдельный момент времени. И это позволяет системе автоматически подстраиваться под постоянно изменяющуюся инфраструктуру.
Передача исследовательской экспертизы Наша концепция SIEM подразумевает, что система, в числе прочего, должна передавать заказчику экспертизу. Для этого мы внедряем базу знаний Positive Technologies Knowledge Base (PTKB), которая представляет собой высокоуровневый постоянно пополняемый набор данных, основанный на 15-летнем опыте проведения тестов на проникновение и аудитов защищенности нашего исследовательского центра (Positive Research). MaxPatrol SIEM, установленный на площадке заказчика и связанный с базой знаний PTKB, позволит получать новые данные об известных моделях атак и паттернах поведения хакеров, учитывать новые уязвимости и эксплойты, автоматически обновлять правила корреляции. При этом новые правила корреляции, построенные на унифицированных активах, автоматически накладываются на инфра-
В основе работы SIEMсистемы лежит логменедж-
MaxPatrol SIEM: информация об активе и его состоянии
мент – сбор данных обо всем, что происходит в рам-
структуру заказчика и не требуют ручной перенастройки. Поэтому для эффективной эксплуатации SIEM нет обязательного требования иметь обширную команду аналитиков Threat Intelligence Team и Offensive-специалистов в штате. Тем не менее, все это является лишь частью будущей комплексной платформы обеспечения информационной безопасности платформы MaxPatrol 10, которая заменит множество решений (Asset Management, SIEM, Vulnarability Management, Compliance Management, Risk Management и др.).
Как это работает на практике Использование MaxPatrol SIEM в реальных инфраструктурах отечественных компаний продемонстрировало высокий уровень эффективности системы, в том числе и в выявлении и предотвращении кибератак, фактов внутреннего мошенничества, несанкционированной деятельности пользователей с расширенными привилегиями (уровня администраторов) и др. Например, анализ и сопоставление различных событий из логов антивирусов позволили выявить активность APT-групп в нескольких коммерческих и государственных структурах. В одной из организаций, использующих MaxPatrol SIEM, подключение к нему системы документооборота позволило провести ретроспективный анализ ранее выявленного инцидента, связанного с нелегитимными манипуляциями с документами (внутренний нарушитель, пользуясь повышенными привилегиями и ошибками в реализации логики системы, снимал документы с назначения к исполнению и удалял их практически бесследно). Результаты
анализа были экстраполированы на всю историю жизненного цикла документооборота и позволили выявить ряд аналогичных случаев, ранее неизвестных, а также то, что они продолжались практически и на момент расследования. Есть в копилке MaxPatrol SIEM и опыт выявления внутреннего мошенничества на основе анализа сетевого взаимодействия между бизнес-подразделениями одной компании. В системе было реализовано правило, в соответствии с которым инцидентом признавалось любое взаимодействие между двумя большими подразделениями организации, логически привязанными к динамическим группам финансового департамента и отдела разработки. Зафиксированная аномальная активность между ними, которую ранее было сложно выявлять на уровне простого анализа сетевых активностей между подсетями, и последующее расследование позволили выявить квалифицированного внутреннего злоумышленника.
ках инфраструктуры: это данные с каких-то систем ИБ, с коммутационного оборудования, операционных систем, бизнес-приложений (в том числе и собственной разработки).
В MaxPatrol SIEM все имеющиеся и получаемые данные – конфигурация узла, его настройки, установленное ПО, сетевая активность, логи – унифицируются и выстраиваются вокруг каждого из активов с учетом их расположения и взаимосвязей. Они постоянно обогащаются данными из новых событий, сканирований, сетевого трафика и от агентов на конечных точках, благодаря чему в MaxPatrol SIEM выстраивается полная виртуальная модель инфраструктуры
*** Таким образом, мы все больше убеждаемся, что для выявления инцидентов ИБ необходима не просто SIEM-система с классическим набором функциональных возможностей, а целая экосистема, включающая множество решений и обеспечивающая понимание актуальной модели инфраструктуры на любой момент времени, а также привносящая в продукт практическую экспертизу нашего исследовательского центра. l
предприятия, актуальная в каждый отдельный момент времени.
NM АДРЕСА И ТЕЛЕФОНЫ компании POSITIVE TECHNOLOGIES см. стр. 68
• 27
reviashko 9/5/16 1:24 PM Page 28
СПЕЦПРОЕКТ
Мобильное приложение для интернетмагазина: кто атакует и как защищать? Андрей Ревяшко, технический директор ООО “Вайлдберриз"
Л
Один из лидирующих интернет-магазинов России – WB.RU – получает около 65% своих заказов посредством мобильного приложения. Тенденции продаж говорят о росте этого числа.
юди очень быстро привыкают к хорошему и удобному. Быстро настолько, что человечество не заметило, как простой сотовый телефон превратился в симбиоз кошелька, средства связи, мобильного офиса, всевозможных развлечений и всего прочего. Чуть больше десяти лет прошло с момента вхождения мобильных с цветными дисплеями в широкие массы. Что будет с сегментом смартфонов еще через десять лет, сказать с уверенностью на 100% сложно. При этом есть однозначное понимание того, что вопросы защиты и нападения в контексте мобильных приложений были, есть и будут.
Для понимания ценности мобильного приложения для интернет-магазина стоит взглянуть на некоторые открытые в сети факты: 1. В этом году китайский ритейлер-гигант JD.COM провел в своей стране онлайн-распродажу и получил за один день более 100 миллионов заказов. Причем 85% из них были сделаны с мобильных устройств. 2. Один из лидирующих интернет-магазинов России – WB.RU – получает около 65% своих заказов посредством мобильного приложения. Тенденции продаж говорят о росте этого числа (график роста заказов с мобильных приложений показан на рисунке). Что ни говори, но при увеличении числа пользователей мобильных приложений увеличиваются и риски компаний – за счет отсутствия должной политики информационной безопасности в первую очередь. Главным образом это касается ритейл-
сегмента. Ведь зачастую именно в нем скорость разработки главенствует над безопасностью. Осознав ценность мобильных приложений для интернет-магазинов, рассмотрим виды атак, под действие которых они попадают.
Неправильное использование возможностей платформы Согласно исследованиям, которые проводятся на базе мирового лидера в области изучения Web-уязвимостей (OWASP), на первом месте среди уязвимостей находится ошибка разработчиков – неправильное использование возможностей платформы. Будь то IOS, Android или Windows Phone. Так уж сложилось, что есть несколько популярных платформ, и в идеале под каждую требуется держать свою команду программистов. Это позволит погрузиться в особенности платформы. Но по факту, в целях
экономии разработки на одних и тех же разработчиков могут быть наложены обязанности ведения проектов на двух, а то и на трех платформах. Кроме того, нередко прибегают к использованию универсальных решений, благодаря которым становится возможным написание единого кода, который в дальнейшем будет преобразован к проекту на требуемой платформе. Все это ведет к тому, что особенности той или иной платформы, включая набор средств безопасности, – разработанный конкретно для той или иной операционной системы (далее ОС), а также рекомендации производителей учитываются слабо или же и вовсе игнорируются. Для наглядности можно рассмотреть IOS Keychain – защищенное место для хранения секретных данных приложений, ровно как и самой ОС. Данные о сессиях, паролях и т.п., хранящиеся вне IOS Keychain, к примеру в локальном хранилище, доступны злоумышленнику.
Небезопасное хранение данных
Количество заказов с мобильного приложения в месяц
28 •
Следующей угрозой, посредством которой становятся возможными атаки на мобильные приложения, является небезопасное хранение данных. В процессе своей жизнедеятельности приложение так или иначе формирует и сохраняет информацию: l Базы данных SQL; l Cookie-файлы; l LOG-файлы; l XML манифест-файлы. Общемировая практика атак на мобильные приложения
reviashko 9/5/16 1:24 PM Page 29
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
показывает, что нередко "нападающий" получает такую возможность за счет добытой информации из, в частности, указанных мест, которые хранят ее в открытом виде. В LOG-файлах могут сохраняться ошибки, содержащие информацию о типах используемого ПО на серверной стороне, кроме того, есть случаи, когда в описаниях ошибок есть логин и пароль для подключения к базе данных. Попавшие в руки злоумышленника авторизационные Cookie-файлы будут проанализированы. В лучшем случае пострадает один пользователь. В худшем может получиться так, что атакующий сможет понять механизм авторизации и при помощи подмен получить доступ к большинству личных кабинетов пользователей, где могут храниться персональные данные или, к примеру, возможность оплаты с личного счета. Шифрование криптостойкими алгоритмами и детальная проработка потоков сохраняемой информации в данном случае позволит минимизировать угрозы атак либо свести их на ноль.
Небезопасный канал передачи данных Защитив данные на стороне мобильного приложения, не стоит забывать об угрозе, которая появляется на пути передачи данных – от приложения к серверу. Наша следующая атака – это небезопасный канал передачи данных. Пока приложение передает информацию по незащищенным каналам связи – данные можно подменить, украсть и перенаправить. К примеру, вы рассчитывали оплатить молоко, а по факту оплатили чей то счет на телефон. Такая неприятность становится возможной за счет того, что есть тип атаки Man in the middle. Это когда приложение устанавливает связь с сервером через, к примеру, прокси-сервер (установили связь через бесплатный WiFi на улице), который подконтролен злоумышленнику. И по сути – атакующий от имени вашего приложения общается с сервером. Такой вид атаки возможен и через защищенные каналы, но только в тех случаях, когда приложение не проверяет сертификат. Приложению требуется убедиться в подлинности пришедшего сертификата.
Важно понимать, что защищенные каналы могут работать с рядом криптоалгоритмов. Нельзя защитить приложение, передавая информацию с использованием некриптостойких алгоритмов, и не стоит верить информации, которая передается без контрольного значения.
Небезопасная авторизация В мировой практике использования мобильных приложений нередки случаи, когда решение об авторизации принимает приложение, и серверная часть доверяет этому решению. Таким образом, разработчики открывают двери злоумышленникам – подвергая систему атаке, которая обозначается как небезопасная авторизация. Серверная сторона может быть богата на различные методы – от предоставления данных для отчетов до редактирования прав доступа. Авторизовавшись в приложении с самыми простыми правами, для которых само же приложение и ограничивает набор серверных методов, атакующему остается подобрать вызов методов. Защитой в данном случае служит проверка привилегий авторизованного пользователя на серверной стороне.
Фальсификация кода Сюда же можно отнести еще одну угрозу – фальсификацию кода. Дело в том, что серверная сторона всегда должна с опаской относиться к запросам своей второй половинки – мобильного приложения, ведь логику работы установленного мобильного приложения можно скорректировать в интересах злоумышленника. Более того, есть случаи, когда оригинальные приложения модифицируются силами "плохих ребят" и выкладываются в места "раздачи" – в частности, в Google Play и AppStore. Вред от подобных атак начинается как минимум с того, что сервер будет работать с запросами от нелицензированного приложения (а был расчет на заработок от лицензий), и заканчиваться тем (с учетом вышеописанных угроз), что авторизационные данные пользователей будут уходить к злоумышленникам. Помимо учета угроз от небезопасного хранения данных (включая использование криптостойких алгоритмов шифрования) и использования защищенных каналов передачи данных, стоит позаботиться и о проверке ори-
гинальности приложения, было ли оно модифицировано или нет.
Защищенные каналы могут работать с рядом криптоалгоритмов. Нельзя
Реверс-инжиниринг Подход, посредством которого исходный код приложения становится доступен не только разработчикам приложения, но еще и киберпреступникам. Так или иначе – часть ценных для бизнеса алгоритмов находится в мобильном приложении, и попадание их в руки к конкурентам может нанести урон предприятию. Исследуя исходные коды, можно найти явные огрехи или слабые места – даже на серверной стороне. Отсюда же вытекает одна из дорог в сторону угрозы фальсификации кода. Все это становится легко доступным, когда не используется защитный подход – obfuscating (запутывание). Подход заключается в преобразовании исходного кода в непонятный вид посредством специального программного обеспечения.
защитить приложение, передавая информацию с использованием некриптостойких алгоритмов, и не стоит верить информации, которая передается без контрольного значения.
В 2016 году китайский ритейлер-гигант JD.COM провел в своей стране онлайн-распродажу и получил за один день более 100 миллионов заказов, 85% из которых были сделаны с мобильных устройств.
Посторонний функционал В заключение хочется сказать о том, что в десятку общемировых уязвимостей вошел так называемый посторонний функционал. Часто разработчики оставляют для себя "лазейки" с благими намерениями – быстро проверить тот или иной функционал, посмотреть, что доступно самому привилегированному пользователю без авторизации, либо волшебная кнопка отключения двухфакторной авторизации – дабы не тратить время на вход в приложение по полному циклу. И весь этот арсенал может стать доступным человеку, способному на атаку через приложение! Простой пример. Человек зарегистрировался в мобильном приложении, в качестве средства связи указав номер телефона, который принадлежит человеку с приличной суммой на счете. Через оставленную разработчиками лазейку отключил подтверждение телефона (проверку на владение телефонным номером). Попросил систему восстановить логин и пароль по SMS. Угроза деньгам пользователей и репутации организации! Защита – административное воздействие на разработчиков. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 29
anohina 9/5/16 1:24 PM Page 30
СПЕЦПРОЕКТ
Осторожно! Бесконтактные платежи Кристина Анохина, старший преподаватель кафедры основ радиотехники и защиты информации Московского Государственного Технического Университета Гражданской Авиации
В
Недавно в Москве был случай, когда в метро ходил молодой человек с POS-терминалом и, "случайно" толкнув, списывал с карты некую сумму денег. Учитывая, что данный терминал не так сложно приобрести и зарегистрировать, открыв обычное ИП, то риски использования подобных новшеств в области информационных технологий и финансов увеличиваются.
30 •
настоящее время банковские карты есть практически у всех, а у некоторых их даже несколько. Ими удобно оплачивать различные товары и услуги, не копаясь в бумажках. Стоит отметить, что данная технология удобна не только покупателям, но и продавцам, т.к. позволяет значительно сократить время оплаты и увеличить поток клиентов. Однако это на первый взгляд все кажется так просто и легко, но задумывались ли вы когда-нибудь о безопасности этих транзакций, когда проводите своим кошельком или мобильным телефоном по терминалу оплаты, и после заветного сигнала деньги улетучиваются? А вдруг так же просто могут списать деньги и мошенники с вашей карты?
В настоящее время существует ряд приложений для безналичной и быстрой оплаты с использованием банковской карты и/или любого из устройств, поддерживающего технологию NFC (смартфоны, браслеты, часы и др.). Модуль NFC может встраиваться в устройство несколькими способами: на стадии производства, в салоне сотового оператора (цепляется отдельно к SIM-карте) или самостоятельно. Сейчас рядом крупных банков выпускаются карты с уже встроенным NFC-модулем, в этом случае для совершения бесконтактного платежа необходим только POS-терминал, поддерживающий функцию приема NFC-платежей. Для оплаты мобильным телефоном с функцией NFC необходимо эмулировать в него свою банковскую карту при помощи определенного приложения. Ниже приведен ряд подобных приложений, существующих на сегодняшний день: l Apple Pay – платежная система, интегрированная в устройства Apple и представленная 9 сентября 2014 г. Владельцы Apple-девайсов могут использовать кредитные и дебетовые карты MasterCard напрямую через Apple Pay. l Samsung Pay. Держатели карт MasterCard могут использовать свои смартфоны в качестве мобильного платежного устройства. Безопасность и удобство платежей обеспечиваются механизмом токенизации, использованием платформы MDES, а также криптографическим алгоритмом EMV.
l Android Pay – реализована связка Android Pay и MasterCardPayPass, основанная на все том же механизме токенизации. Настоящий номер карты пользователя не передается, поэтому потребителю обеспечивается дополнительный уровень безопасности. l "Кошелек". В России развивается проект, связанный с технологией MasterCard и мобильными платежами. В 2014 г. MasterCard и CardsMobile представили новые возможности мобильного приложения "Кошелек". Оно доступно для скачивания на более чем 100 моделях телефонов за счет облачной NFC-технологии. Благодаря технологии бесконтактных платежей расплатиться за ланч стало намного проще. Можно забыть дома кошелек и расплатиться при помощи своего смартфона с функцией NFC (при условии, что в него эмулирована банковская карта) или любого другого устройства, просто проведя им над POS-терминалом. Не нужно больше вводить PIN-код, который мы часто забываем, и не придется подписывать чеки. Но следует помнить, что существует некий лимит на снятие денежных средств за одну транзакцию в зависимости от используемой вами валюты – 1000 руб. или эквивалент 25 EUR в местной валюте. В случае превышения лимита придется провести оплату уже обычным контактным способом при помощи банковской карты.
Опасность использования технологии бесконтактных платежей В случае утери вашего мобильного телефона злоумыш-
ленник может использовать ваш электронный кошелек (при условии, что он не заблокирован и не требует ввода пароля) и проводить различные транзакции, пока SIM-карта не будет заблокирована. Хотя при необходимости среднестатистический пароль можно подобрать за пару часов при помощи брутфорса. Отсутствие необходимости в вводе PIN-кода и подписании чека – это, конечно, хорошо, но что делать, если кто-то списал деньги с карты или электронного кошелька без вашего ведома? В Великобритании были жалобы жителей, которые пользуются картами с бесконтактной системой оплаты, о списании денежных средств без их ведома. Хотя производители терминалов с технологией NFC и установили расстояние до 30 см на реакцию считывателя, но злоумышленник в Великобритании создал свой считыватель, который позволял проводить транзакции бесконтактным способом на расстоянии до 80 см. В связи с чем деньги списывались со счетов посетителей одного из магазинов без их ведома, а некоторые замечали SMS-сообщения о совершении незаконной транзакции только по прошествии нескольких часов. Или недавно в Москве был случай, когда в метро ходил молодой человек с POSтерминалом и, "случайно" толкнув, списывал с карты некую сумму денег. Учитывая, что данный терминал не так сложно приобрести и зарегистрировать, открыв обычное ИП, то риски использования подобных новшеств в области информацион-
dialog_r 9/5/16 1:22 PM Page 31
anohina 9/5/16 1:24 PM Page 32
СПЕЦПРОЕКТ для ее обработки – 500 млсек. Ровно столько времени есть у терминала и карты, чтобы познакомиться, обсудить свои вопросы и принять верное решение. И столько же времени есть у мошенника, чтобы списать определенную сумму с вашей карты. Основные фазы обслуживания бесконтактной транзакции приведены на рисунке. Рассмотрим более подробно каждую фазу.
Фаза 1
Основные фазы обслуживания бесконтактной транзакции
Заглянем немного в историю появления бесконтактных платежей. Данная технология появилась в 2005 г. и сразу заняла почетное место среди пользователей банковских карт за счет своего удобства и тем самым сокращения времени транзакций. В 2011 г. технология моментальной оплаты пришла в Россию, ей можно было воспользоваться в единичных магазинах/бутиках Москвы, а в 2012 г. МТС совместно с MasterCard запустил совместный проект с использованием мобильных телефонов для проведения бесконтактных плате-
ных технологий и финансов увеличиваются. Следует помнить, что сейчас существует очень много различных вирусов, в том числе на мобильных телефонах семейства Android. Недавно была опубликована статья о трояне, который выдавал себя за Flash Рlayer и проникал на устройства наивных пользователей. В случае заражения вирус собирает любую информацию, с которой работает пользователь на устройстве, в том числе и данные приложений онлайн-банков, электронного кошелька и др., и отправляет ее на командный сервер. Еще одним из недостатков использования банковских карт с NFC является малочисленность торговых точек их использования. POS-терминалы для проведения бесконтактных операций стоят дорого, а в условиях нынешней экономики их покупка, установка и настройка нецелесообразны. Поэтому выезжая куда-нибудь за пределы крупных городов, не стоит надеяться, что вы сможете оплатить свою покупку без помощи карты.
жей.
Как же обезопасить себя от мошенников при использовании NFC? Обезопасить себя на 100% не получится никогда и ни в чем, всегда существует доля вероятности наступления негативных последствий. Но мы постараемся сократить ее до минимума. Каждый раз при проведении оплаты мобильным устройством блокируйте его, а не просто убирайте в карман. Иначе есть риск,
32 •
что злоумышленник спишет еще одну сумму с вашего счета, пока вы собираете свои покупки или открываете машину. Также следует устанавливать более надежные пароли в мобильное приложение для электронного кошелька, чтобы в случае утери мобильного телефона злоумышленнику пришлось бы долго подбирать пароли, а вы в это время успели бы заблокировать SIM-карту и сам электронный кошелек. Не передавайте свою карту с возможностью бесконтактной оплаты третьим лицам (даже сотрудникам торговой точки). Храните карту в труднодоступном месте и не афишируйте в людном месте, сколько на ней денег. Используйте антивирусные программы на ваших мобильных устройствах, вовремя обновляйте ПО и не доставайте свой телефон лишний раз, чтобы не привлекать внимания воров. Подключите SMS-уведомления от вашего банка, чтобы всегда быть в курсе всех совершенных транзакций с использованием вашей банковской карты. Также сейчас появились специальные кошельки, которые защищают карту от считывания (RFID Blocking Wallet) и карты, которые кладутся в кошельки рядом с вашими для их защиты от злоумышленников.
Немного о методе проведения банковских транзакций Согласно ГОСТ Р ИСО/МЭК 14443-1-2013 требования к проведению бесконтактных транзакций имеют очень жесткие рамки
В этот момент терминал уже знает сумму к оплате и может определить возможность проведения транзакции по бесконтактному интерфейсу с учетом разрешенных банком-эквайером лимитов. Терминал заполняет запись TTQ (Terminal Transaction Qualifier), которую он позже отдаст карте для принятия решения. Если проведение бесконтактной транзакции возможно, то терминал активирует бесконтактный считыватель.
Фаза 2.1 Клиент подносит бесконтактную карту или телефон с функцией NFC к считывателю (POSтерминалу). Считыватель запрашивает у карты список приложений, которые поддерживают бесконтактную оплату – PPSE (Proximity Payment Systems Environment). Если приложение найдено, то оно автоматически выбирается для оплаты по идентификатору AID (Application ID). Если приложение не найдено, то транзакция завершается.
Фаза 2.2 Терминал передает карте самую главную команду – Get Processing Option. На основании анализа записи TTQ, суммы и валюты транзакции данных карта принимает решение о способе аутентификации клиента с учетом правил управления рисками, заданных эмитентом карты. Для бесконтактной оплаты реализован механизм ускоренной аутентификации FDDA (Fast Dynamic Data Authentication). Перед ответом на команду Get Processing Option карта подписывает с помощью сертификата ключа эмитента случайное число (Unpredictable Number), а также параметры переданной терминалом транзакции – сумму и код валюты. В отличие от стандартного EMV-процессинга для сокращения времени вместо
anohina 9/5/16 1:24 PM Page 33
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
отдельного цикла обмена криптограмма транзакции (TC) передается сразу в ответе на команду Get Processing Option.
Фаза 3 На основании информации, полученной от карты, терминал проводит аутентификацию держателя карты. Варианты могут быть следующие: l Без аутентификации. l По подписи. l PIN-код. l CDCVM (Consumer Device CVM). Специальный способ, придуманный для устройств клиента, таких как телефон. В этом случае клиент вводит отдельный код доступа к платежному приложению. Признак проведения такой аутентификации будет передан в терминал.
Фаза 4 При необходимости терминал формирует запрос авторизации и направляет его эмитенту. В запросе передаются стандартные поля EMV-транзакции, криптограмма транзакции, выбранное приложение и признак обслуживания карты по бесконтактному интерфейсу. С точки зрения платежной системы взаимодействие участников не отличается от обычной оплаты по карте. POS-терминал подключен к хосту процессинговой системы банка-эквайера и формирует запросы на авторизацию транзакций оплаты. Процессинговая система банка-эквайера направляет запросы на авторизацию, например в платежную систему Visa, которая маршрутизирует запросы на процессинговую систему банка-эмитента. Полученный ответ по цепочке возвращается на терминал. Взаимодействие банка-эмитента со смартфоном построено более интересно, поэтому рассмотрим его более подробно далее. Пользователь ставит на свой смартфон программу для проведения бесконтактных транзакций. При первом запуске программа привязывается к смартфону с помощью сеансового пароля, отправляемого пользователю по SMS. Далее пользователь должен создать пароль для доступа к платежному приложению. Этот пароль проверяется онлайн на сервере банка-эмитента, поэтому нужен доступ в сеть Интернет.
Канал между смартфоном и сервером банка-эмитента защищен. В системе используется технология SSL-pinning. Это означает, что SSL-сертификат, используемый на сервере, внедрен непосредственно в приложение. Стандартное хранилище сертификатов Android не используется, поэтому риск подмены сертификата существенно снижается. Кроме того данные, передаваемые в приложение, шифруются ключом, загружаемым с сервера. По защищенному каналу связи между процессинговой системой банка-эмитента и телефоном в приложение загружаются детали банковской карты Visa. Если в телефоне есть чип NFC и режим HCE (Host Card Emulation) поддерживается, то дополнительно в приложение загружается ключ, которым будет подписана криптограмма транзакции. Принятый ключ, так же как и детали карты, хранится в защищенном хранилище в памяти смартфона. В целях безопасности ключ периодически меняется. Для оплаты товара доступ в Интернет не требуется, надо только разблокировать экран. Далее будет проведена транзакция описанным ранее способом. В случае превышения суммы покупки приложение может запросить дополнительное подтверждение от клиента с помощью пароля доступа. Здесь потребуется выход в Интернет. Взаимодействие с терминалом производится согласно описанной выше схеме qVSDC. В отличие от аппаратной реализации на чипе все вычисления, а также генерация криптограммы TC выполняются программно. Однако, несмотря на описанную выше защиту электронного кошелька, злоумышленники научились обходить ее довольно просто. Достаточно вписать в считывающее устройство POSтерминала функцию, которая будет списывать с вашей карты не рубли, а доллары, например, и увеличить эту сумму, допустим, до $2000. Также в марте 2016 г. был представлен RFID-вирус, который может проникать в терминалы. Пока это пассивный вирус, но в нем есть возможность внедрить промежуточное ПО, которое можно использовать впоследствии как угодно. Считывающее устройство мошенников обычно очень похоже на легальное, и вы вряд ли сможете отличить их, но первое
отличается от последнего более продвинутой функциональностью. Злоумышленнику достаточно приблизить на 5–20 см такое устройство к карте с чипом RFID или мобильному устройству/карте с функцией NFC, как вся необходимая информация будет считана, а деньги – переведены. В переполненном вагоне метро, на рынке, в магазине провести данную операцию нетрудно. Человек может даже не заметить воровства. Полученные данные мошенники записывают/передают на другие карты-клоны для дальнейших операций (влекут хищения средств с подлинных банковских карт) либо сразу при помощи своих POS-терминалов совершают транзакции. Стоимость легального считывателя для систем PayPass и PayWave начинается от 20 тыс. руб. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать. Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет около $120 – их хакеры изготавливают самостоятельно. Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру, а также ПО на самом компьютере. Учитывая сегодняшний курс доллара, это все равно значительно ниже, чем покупка официальных считывателей, отвечающих всем требованиям. На глаз не всегда можно различить, какой считыватель легальный, а какой нет. Также у мошенников есть и более дешевые способы кражи данных с бесконтактных карт – обычный смартфон с поддержкой NFC. Сейчас подобный телефон можно купить в районе 8 тыс. руб. В дополнение к телефону нужно купить специальный считыватель. Если вы еще не пользуетесь данной технологией оплаты своих покупок и решили ее попробовать, то старайтесь соблюдать те меры безопасности, о которых говорилось выше, и не забывайте, что прежде всего вы защищаете себя и свой бюджет от мошенников, а не от когото другого. l
Стоимость легального считывателя для систем PayPass и PayWave начинается от 20 тыс. руб. Но надо понимать, что хакерам для считывателя нужно немного, а компоненты не очень сложно заказать. Стоимость RFID-ридеров, которыми пользуются хакеры для воровства денег с банковских карт россиян, составляет около $120 – их хакеры изготавливают самостоятельно. Самый примитивный считыватель состоит из специального контроллера, антенны для приема сигнала и интерфейса для подключения к компьютеру, а также ПО на самом компьютере. Учитывая сегодняшний курс доллара, это все равно значительно ниже, чем покупка официальных считывателей, отвечающих всем требованиям. На глаз не всегда можно различить, какой считыватель легальный, а какой нет.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 33
denisov 9/5/16 1:23 PM Page 34
СПЕЦПРОЕКТ
Безопасность безналичных платежей на транспорте: почему никто не воспринимает это всерьез Лев Денисов, независимый эксперт
Занимательные факты Прежде чем начать разговор на такую непростую тему, приведу несколько занимательных фактов. По крайней мере 20 млн пассажиров в России ежедневно оплачивают свой проезд с помощью бесконтактных карт. 99% таких карт подвержены уязвимостям. Это означает, что можно сравнительно легко получить несанкционированный доступ к данным на карте и их видоизменить (перезаписать). Злоумышленник, проявив должный уровень фантазии, может, например, купив одну карту, сделать множество "клонов" (100% идентичных с точки зрения системы оплаты карт). В ряде случаев можно даже не покупать карту, а незаметно прочитать данные с вашей собственной карты и воспользоваться вашим электронным билетом на проезд. И не удивляйтесь, если вашу карту потом заблокируют, что будет сопровождаться, возможно, неприятным разговором с представителями правоохранительных органов.
34 •
Представили? Стало не по себе? А что скажете на то, что и разработчики таких систем, и заказчики, как правило, знают об этом? Как сказал технический директор компании – оператора одного из крупнейших в России проектов, запущенного сравнительно недавно: "Да, мы знаем про это". Но, как видим, все относятся к этому достаточно пренебрежительно.
Экскурс в историю Почему так происходит? Давайте для начала проведем небольшой экскурс в историю, и я напомню, как все начиналось. В 90-е годы прошлого века была изобретена бесконтактная Smart-карта, получившая название Mifare Classic. Ее особенностью было то, что она представляла собой, по сути, пассивную радиометку, имеющую собственную энергонезависимую память, к которой можно обращаться с помощью определенных команд. Память карты разделена на 16 секторов, состоящих из четырех 16-байтных блоков, доступ к которым может быть разграничен секретными ключами. Получается, с одной стороны, объем памяти небольшой, набор функциональных команд ограничен, с другой стороны, чтобы считать и записать данные на карту, достаточно поместить ее в электромагнитное поле бесконтактного считывателя (неважно, какой стороной). В общем, для определенных сфер жизни, где требуется быстро произвести идентификацию пользователя, это оказалось весьма востребовано: в системе контроля доступа и, конечно же, в системах оплаты проезда для общественного транспорта. В итоге такие карты приобрели большую популярность: как уже отмечалось выше, практически все транспортные про-
екты в России используют данный тип карт. Разумеется, то, что имеет наибольшую популярность, является и предметом внимания многих: от хакеров-самоучек до серьезных криптологов. Так произошло и в данном случае: еще в теперь уже далеком 2008 г. студенты одного голландского университета провели т.н. обратный инжиниринг криптографического протокола, используемого в картах Mifare Classic, и обнаружили в нем существенные уязвимости, позволяющие получать несанкционированный доступ к карте (извлекать ключи) и, соответственно, изменять хранящиеся в ней данные. Компания-правообладатель технологии Mifare отреагировала на это достаточно оперативно: во-первых, подала в суд на студентов (который впоследствии проиграла), во-вторых, разработала новый чип для бесконтактных карт, получивший название Mifare Plus. В нем применили современное шифрование стандарта AES, но в целях обратной совместимости с уже существующей огромной инфраструктурой по приему карт Mifare Classic сохранили и режим работы с использованием старого криптопротокола, исправив попутно уязвимость, связанную с датчиком случайных чисел (который, как выяснилось, был не совсем "случайным" и позволял злоумышленнику эксплуатировать данный факт в своих, понятно каких, целях).
"А воз и ныне там" Что же было потом? Да по большому счету ничего не изменилось. Заказчики (муниципалитеты, перевозчики), как правило, просто не знали о том, что они используют небезопасную технологию. Исполнители (разработчики, интеграторы, поставщики) либо тоже не знали, либо просто скрывали
denisov 9/5/16 1:23 PM Page 35
www.itsec.ru
ИБ НА ФИНАНСОВЫХ РЫНКАХ
тот факт, что их системы оплаты проезда стали небезопасными. В лучшем случае заказчика "раскручивали" на покупку карт на основе нового чипа Mifare Plus, умалчивая, что продолжают использовать их в режиме обратной совместимости (т.е. с использованием старого, "взломанного" криптопротокола).
Разорвать замкнутый круг Почему же так происходит? Помимо вышеобозначенной причины (попросту незнания, читай – некомпетентности заказчика/исполнителя), есть и вполне понятная экономическая причина. Во-первых, в существующих проектах придется модернизировать инфраструктуру: менять карты на новые, с новым чипом, обновлять оборудование и программное обеспечение. Эти затраты в бюджеты просто не заложены и не предусмотрены. Во-вторых, поставщикам выгоднее замалчивать сложившуюся ситуацию. Проще продавать готовое, уже созданное решение (пусть и небезопасное), чем тратиться на дополнительную разработку: заказчик явно не захочет за это платить. В самом деле, разве вы будете покупать современный автомобиль, если продавец вам скажет, что тормозная система у него на уровне первых образцов времен зарождения автомобилестроения? Уверен, вы потребуете поставить современную тормозную систему или, что вероятнее, обратитесь к другому производителю. И венцом всего этого является просто недооценка "масштабов бедствия". Забавно было читать на одном крупном ИТсайте комментарии человека, который кичился своим гигантским опытом внедрения социальных и транспортных про-
ектов и всерьез думал, что для "взлома" карт требуются осциллографы и другое специальное оборудование, а сам "взломщик" должен обладать, как минимум, высшим образованием в сфере криптографии. На самом деле все гораздо печальнее, планка для входа в "волшебный мир взлома" транспортных карт упала настолько низко, что уже буквально стремится к нулю. Стоимость бесконтактного ридера, с помощью которого можно это делать, составляет примерно 30 долларов, и его легко найти в свободной продаже. А уж бесплатных утилит на бескрайних просторах Интернета просто невообразимое количество… Вот и замкнулся круг, и мы пришли к тому, с чего начинали: незнание или некомпетентность (называйте как хотите) усугубляет проблему в геометрической прогрессии. Вначале это незнание про уязвимости, затем – это иллюзии того, что их сложно воспроизвести на практике. Можно быть гениальным разработчиком и архитектором сложных систем, но если эти системы построены на уязвимых технологиях, то они и сами становятся уязвимыми. Сейчас технологии становятся более доступными, что создает ложное ощущение легкости их применения в разработке. Этот тезис приобретает все большую актуальность для платежных и, в частности, бесконтактных решений на транспорте. Например, несколько месяцев назад в СМИ появилась информация об очередном случае взлома московской транспортной карты "Тройка". На деле это оказалось описанием уязвимости, озвученной мною еще в мае 2016 г. на одной из хакерских конференций. И, как ни странно, к взлому чипа
Mifare Plus, лежащего в основе "Тройки", это не имеет никакого отношения. Просто одним банком было разработано приложение, позволяющее напрямую пополнять баланс карты с помощью Android-смарфтона с NFC. К сожалению, разработчики банка не реализовали защиту от MITM-атаки и передавали ключи для доступа к карте, по сути, в открытом виде по SSL- (TLS) протоколу. Так что с помощью подмены сертификата на самоподписанный можно было легко расшифровать трафик и получить ключи от карты. И, похоже, только широкий резонанс в средствах массовой информации заставил исправить эту старую, как мир, уязвимость. Но сколько теперь человек имеет ключи для несанкционированного доступа к "Тройке", мы уже никогда не узнаем… Кстати, недавно была опубликована новая уязвимость карт на основе чипа Mifare Plus, так что "взлом" карт "Подорожник", "Стрелка" и других крупных транспортных проектов – лишь вопрос времени. Думаю, весьма короткого времени… Так что, отвечая на вопрос "что делать", можно посоветовать при внедрении новых транспортных проектов не только полагаться лишь на компетентность поставщика и его
В 90-е гг ХХ в. была изобретена бесконтактная Smart-карта, получившая название Mifare Classic. Она представляла, по сути, пассивную радиометку, имеющую собственную энергонезависимую память, к которой можно обращаться с помощью определенных команд. Память карты разделена на 16 секторов, состоящих из четырех 16байтных блоков, доступ к которым может быть разграничен секретными ключами. Получается, с одной стороны, объем памяти небольшой, набор функциональных команд ограничен, с другой стороны, чтобы считать и записать данные на карту, достаточно поместить ее в электромагнитное поле бесконтактного считывателя (неважно, какой стороной). Это оказалось весьма востребовано для определенных сфер жизни, где требуется быстро произвести идентификацию пользователя: в системе контроля доступа и в системах оплаты проезда для общественного транспорта.
типовое техническое задание, но и привлекать независимую экспертизу, чтобы не оказаться в неудобной ситуации. Ведь то, что 8 лет назад казалось малоприменимым на практике, сегодня может обернуться многомиллионными потерями. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 35
pleshkov 9/5/16 3:51 PM Page 36
УПРАВЛЕНИЕ
"Компот из сухофруктов", или Методы формирования и поддержания культуры информационной безопасности в организации Алексей Плешков, независимый эксперт по информационной безопасности
П
редставьте, что вы – руководитель крупной организации, давно и стабильно работающей на рынке в России, который вдруг осознал важность и нужность информационной безопасности и стал уделять этим вопросам больше внимания у себя на предприятии. Представили? Нет? Согласен, вот так сложно просто взять и посадить себя в кресло большого руководителя, а еще сложнее представить руководителя, самостоятельно пожелавшего разобраться в вопросах ИБ.
Тогда представьте, что организация, в которой вы сейчас работаете, плавно эволюционировала и перешла на следующий уровень зрелости управления в соответствии с моделью CMMI, а для ваших коллег стали актуальны и близки вопросы обеспечения режима конфиденциальности внутренней информации. Не получается? Догадываюсь, почему это может быть трудно. Метод эмпатии выбран мною лишь для того, чтобы проиллюстрировать актуальность вопроса низкой или порой полностью отсутствующей в большинстве современных коллективов культуры ИБ. Термин "культура ИБ" неразрывно связан с понятием режима информационной безопасности.
Культура информационной безопасности Красивое и не особо длинное словосочетание. А что это вообще такое? Где определение или методическое описание для данного словосочетания? При подготовке материала я просматривал различные отечественные и иностранные источники в надежде найти формальное определение и привести ссылку на надежный источник, а в идеале – на утвержденный глоссарий из нормативного документа. Бесполезно. Строгого формального определения культуры ИБ в настоящее время в рунете нет. Каждый кулик свое болото хвалит. Каждый эксперт придерживается своей субъективной философии в данном вопросе. И я не исключение!
36 •
Кто-то из экспертов считает, что культура ИБ – это отношение большинства к процессу обеспечения защиты информации в организации. Как следствие, культурой ИБ можно назвать деятельность всех сотрудников организации по обеспечению уважения интересов заинтересованных сторон общего дела (владельцев, учредителей, клиентов, партнеров, руководителей, работников и пр.) в отношении совместно обрабатываемой информации. Важными факторами для возникновения и поддержания культуры ИБ в этом случае являются наличие менеджмента ИБ, представленного иерархией лидеров, стандартизация, внутреннее и внешнее регулирование, а также элементы доверия внутри организации (Аспект СПБ). Любопытное определение культуры ИБ дано экспертамитеоретиками, опиравшимися на концепцию деятельного подхода. С точки зрения интереса в контексте понятия "общества", культура ИБ – это существующие в определенный период развития общества способы обеспечения интересов личности в информационной сфере, упрочнения демократии, создания правового социального государства, достижения и поддержания общественного согласия, духовного обновления государства, сохранения нравственных ценностей, утверждения в обществе идеалов высокой нравственности, патриотизма и гуманизма, развития многовековых духовных традиций государства, пропаганды национального культурного наследия, норм морали и общественной нравственности, пред-
отвращения манипулирования массовым сознанием, а также развития современных телекоммуникационных технологий, сохранения и развития отечественного научного и производственного капитала (ЮУрГУ). Иностранные эксперты склонны считать, что культура ИБ – это термин, используемый для подробного описания идеологии, обычаев и социального поведения работников организации (в оригинале – группы людей), способных оказать влияние на состояние защищенности информации, находящейся в их распоряжении. Понятие культуры ИБ вбирает в себя элементы кибербезопасности, политических и общественных наук, информатизации, философии и психологии (SECURIT). В сильно упрощенном виде под термином "культура ИБ" некоторые представители экспертного сообщества понимают процесс самостоятельного освоения работниками знаний, умений и навыков в области информационной безопасности, а также собственно процесс применения этих навыков на практике с общей целью достигнуть более высокого уровня ИБ в организации в краткосрочной или долгосрочной перспективе. Вне зависимости от того, какое из предложенных определений близко и понятно именно вам, необходимость выстраивания процессов по формированию у каждого работника своей собственной внутренней культуры ИБ, поддержание и регулярное совершенствование этой культуры – это важные составные части набора организацион-
pleshkov 9/5/16 3:51 PM Page 37
www.itsec.ru
УПРАВЛЕНИЕ
ных методов защиты информации в любой современной организации. Рассмотрим основные методы и подходы к формированию и поддержанию культуры ИБ. Базисом для составления данного перечня, помимо личного опыта автора, явились описанные в открытых источниках и по понятным причинам обезличенные кейсы и факты, имевшие место в ряде известных организаций РФ в 2015–2016 гг. Прошло то время, когда эти громкие истории гроздями висели на главных страницах популярных информационных изданий и собирали порой нелестные комментарии читателей. Да, факты достаточно стары, но для аналитика по ИБ даже сейчас, на момент написания материала, они не потеряли своей информационной привлекательности, поэтому их с уверенностью можно назвать "сухофруктами". Глобально методы формирования культуры информационной безопасности в отдельно взятой организации можно разделить на следующие группы, находящиеся в тесной взаимосвязи между собой: информирование/ обучение, контроль/выявление нарушений, проведение внутренних проверок и расследований, дисциплинарное воздействие на нарушителей режима ИБ1. К основным методам, нацеленным на информирование и обучение работников организации культуры ИБ, относятся: 1. Проведение очных инструктажей (вводных, повторных, внеплановых, по факту выявления нарушения) для сотрудников организации под роспись в журнале инструктажей по вопросам ИБ (в т.ч. при выходе новых нормативно-правовых документов в России и в организации) на регулярной основе. В рамках таких инструктажей целесообразно не только доводить информацию в формате, но и отвечать на вопросы сотрудников, сформированные в процессе работы.
Рис. 1. Цикл формирования и поддержания культуры информационной безопасности в организации 2. Регулярное дистанционное информирование сотрудников по каналам внутренней корпоративной электронной почты. Материалы с иллюстрациями и описаниями с флагом "срочно" и/или "важно", полученные по внутренней корпоративной почте от сотрудников службы защиты информации, будут рассмотрены сотрудниками организации с интересом и неподдельным любопытством только в тех случаях, когда это не является обыденностью, не содержит сухой технический текст или скан-копии плохого разрешения и не переходит за грань "внутреннего спама". 3. Обязательное дистанционное обучение сотрудников организации актуальным вопросам информационной безопасности в формате электронного курса (слайды, презентации, демонстрационные ролики, интерактивные упражнения, промежуточные и итоговые тестирования, практические работы и пр.), опубликованного на внутреннем и/или внешнем облачном портале. 4. Популяризация темы защиты информации во внутренней корпоративной среде путем повышения интереса у работни-
ков к вопросам информационной безопасности на рабочем месте, направление памяток/информационных брошюр с иллюстрацией и/или яркой инфографикой. 5. Создание внутреннего доступного для всех сотрудников внутри сети организации ресурса (Webпортал, файловый сервер, база данных с доступом через сервер приложений и пр.) для размещения внутренних и внешних нормативных документов по ИБ. Обеспечение режима ИБ в организации слабоэффективно при низком уровне культуры информационной безопасности у ее работников.
6. Участие представителей службы защиты информации во внутренних совещаниях и обучающих мероприятиях в организации и аргументированное рассмотрение (в устной и письменной форме) поступающих смежных вопросов с точки зрения обеспечения ИБ всеми работниками. 7. Электронная рассылка информационных бюллетеней, в т.ч. полученных извне, по актуальным угрозам ИБ и предложение комфортных для работников мер защиты, выбранных с учетом специфики организации. 8. …
1 Режим информационной безопасности (режим ИБ) – комплекс организационно-технических мер по обеспечению защиты от внешних и внутренних угроз информации/объектов, принимаемых обладателем и включающих в себя: l определение перечня информации/объектов, подлежащих защите; l ограничение доступа к информации/объектам, подлежащим защите, путем установления порядка обращения с этой информацией/объектами и контроля за соблюдением такого порядка; l учет лиц, получивших доступ к информации/объектам, подлежащим защите, и (или) лиц, которым такая информация/объекты были предоставлены или переданы; l регулирование отношений по использованию информации/объектов, подлежащих защите, работниками на основании трудовых договоров и контрагентами на основании гражданско-правовых договоров и соглашений; l нанесение на материальные носители (документы), содержащие напечатанную информацию или объекты, подлежащие защите, соответствующих меток (грифа) с указанием реквизитов обладателя этой информации/объекта.
• 37
pleshkov 9/5/16 3:51 PM Page 38
УПРАВЛЕНИЕ
Рис. 2. Эффективные методы формирования культуры ИБ в организации Контрольные мероприятия, проводимые службой защиты информации, являются важным фактором, влияющим на уровень культуры ИБ в организации. В настоящее время применяются различные способы контроля за обеспечением режима ИБ в организации, в т.ч. подробно описанные в выпущенных регуляторами нормативно-методических документах. Наиболее эффективными, по мнению практиков, методами являются: 1. Внедрение инструментов (программных агентов, средств ограничения и блокировки избыточных прав и пр.) по контКультура ИБ у работников организации не будет повышаться при отсутствии режима информационной безопасности.
ролю за действиями работников на автоматизированных рабочих местах, с периферийным оборудованием, с внешней электронной почтой, внедрение контроля доступа в Интернет и зоны с ограниченным доступом, а также контроля действий привилегированных пользователей. 2. Проведение внутренних тестов на проникновение. Реализация собственными силами сценариев, эмулирующих дейСтабильно высокий уровень культуры ИБ у работников организация позволит в будущем снизить материальные расходы организации на мероприятия по контролю за обеспечением режима информационной безопасности.
38 •
ствия нарушителей, и мониторинг реакции работников организации на подобные ситуации. 3. Сбор организационными и техническими инструментами атомарных событий из внешних и внутренних информационных источников и формирование корреляционных цепочек по ранее созданным сигнатурам, позволяющих выявлять аномалии и несоответствия в действиях работников. 4. Создание сетки простых и понятных руководству метрик, позволяющих математически оценить количественные показатели культуры ИБ в организации (например, количество звонков в службу защиты информации в отчетные периоды по вопросам ИБ, количество оказанных работникам консультаций по электронной почте, количество выявленных подозрений на инциденты ИБ с участием работника организации, и пр.). 5. Оценка понимания работниками глубины и важности вопросов обеспечения ИБ в организации при согласовании внутренних нормативных или организационно-распорядительных документов, а также в рамках проведения совещаний по смежным вопросам. 6. Обязательное тестирование (в дистанционном, электронном и/или очно-бумажном формате) работников организации на знание теоретических основ информационной безопасности и основных положений внутренних нормативных документов организации. 7. Использование внешних аудитов на соответствие требованиям смежных с ИБ стандартов в качестве обязательных инструментов для формирования среза текущего уровня культуры ИБ в отдельных подразделениях или процессах в организации. 8. … Экспертиза в части проведения внутренних проверок и комплексных расследований как элемент, позволяющий восстановить цепочку событий и выявить причинно-следственную связь в действиях работников, является обязательной частью цикла поддержания культуры ИБ и способствует развитию как рядовых работников, так и сотрудников службы защиты информации в организации, поскольку требует от экспертов высоких профессионализма и ответственности. Составными
частями экспертизы, влияющими на уровень культуры ИБ в организации, можно назвать: 1. Определение соответствия между действиями нарушителей режима ИБ и требованиями внутренних нормативных документов организации и внешних правовых актов. 2. Сбор и анализ доказательной базы, чаще всего для внутреннего использования, при принятии решения в отношении сотрудника, допустившего нарушение. 3. Поиск актуальных источников для сбора атомарных событий, в т.ч. при отсутствии информации, необходимой для проведения комплексного анализа ситуации. 4. Налаживание взаимодействия со смежными подразделениями внутри и профильными структурами вовне организации и оперативный обмен значимой информацией в процессе расследования. 5. Накопление статистики и опыта для экспресс-оценки ситуации и выделения из потока событий и подозрений, подпадающих под критерии ошибок первого и второго рода. 6. Составление детальных отчетов как на техническом, так и на понятном рядовому сотруднику (не техническому специалисту) языке, после прочтения которых возникает осознание необходимости и важности соблюдения внутренних требований режима ИБ. 7. Оценка технической и экономической составляющих мошеннических действий, а также степени влияния этих действий на общий уровень защиты информации в организации. 8. … Элементом модели, отвечающим за обратную связь в классическом процессном подходе, выступает функциональный блок "Дисциплинарное воздействие". Многим привычно под словосочетанием "дисциплинарное воздействие" понимать какое-либо негативное проявление. В контексте формирования и поддержания внутри организации культуры ИБ, помимо известных и понятных принципов "кнута и пряника", данный элемент включает в себя несколько скрытых, но при этом не менее важных аспектов: 1. При регулярной популяризации результатов экспертизы и разборе допущенных сотруд-
pleshkov 9/5/16 3:51 PM Page 39
www.itsec.ru
УПРАВЛЕНИЕ
никами организации нарушений у коллег нарушителя происходит последовательное формирование четкого видения успешной работы по пресечению допущенных нарушений режима ИБ внутри их организации службой защиты информации. Затем приходит понимание наличия у экспертов достаточных инструментария и профессионализма для своевременного выявления и детального расследования инцидентов и, как следствие, представление собственной защищенности от внешних угроз при перманентном выполнении требований по ИБ. 2. Для экспертов по ИБ разбор организационных причин допущенных нарушений позволит улучшить действующие требования по ИБ, отладить критерии для выявления событий с признаками инцидентов ИБ, глубже понять схемы бизнес-процессов и с учетом вновь открывшихся обстоятельств адаптировать настройки технических средств мониторинга и контроля. 3. Участие экспертов по ИБ в оперативных мероприятиях, направленных на выявление умысла в действиях нарушителей режима ИБ, позволяет на реальных примерах понять требования и принципы работы сотрудников из подразделений корпоративной и физической безопасности внутри организации или силовых структур из правоохранительных органов, что, в свою очередь, может быть использовано для обучения сотрудников организации в будущем. 4. В процессе дисциплинарного воздействия на сотрудников с низким уровнем культуры ИБ чаще всего задействованы непосредственные руководители этих сотрудников. По завершении технических мероприятий и профилактических инструктажей руководители, самостоятельно осознав важность выполнения требования по ИБ, доносят пози-
ции до других своих подчиненных, что положительно сказывается на поддержании уровня культуры ИБ в целом. Принцип "сарафанного радио" позволяет за минимальное время донести важную информацию в удобопонятном виде до всех сотрудников организации. 5. В некоторых случаях знание того, что в отношении коллег или целых подразделений проводится расследование по факту нарушения ими режима ИБ, дисциплинирует и мотивирует сотрудников гораздо больше, чем прохождение вводного дистанционного курса по ИБ. К сожалению, это только временный эффект, и его воздействие будет снижаться тем быстрее, чем реже в организации будут проводиться мероприятия, по результатам которых принимаются меры дисциплинарного и/или административного воздействия. 6. Еще один косвенный положительный эффект от применения методов дисциплинарного воздействия – это расширение неформального круга лиц, через которых внутри организации можно как передавать, так и получать информацию о выявленных или допущенных нарушениях режима ИБ. Известны случаи, когда своевременно и точечно доведенная до сведения отдельных сотрудников бухгалтерии информация о вирусной эпидемии в сторонней организации или о разрушительном воздействии "программ-шифровальщиков" позволила не допустить распространение данной угрозы в ранее подверженных подобным атакам организациях. 7. Любое дисциплинарное воздействие со стороны организации на сотрудника является внешней экспертной оценкой корректности его действий. Точно также это воспринимается работниками в процессе становления культуры ИБ в организации. Для нетехнических работников наличие профессиональной и понятной оценки от эксперта в области защиты информации становится дополнительно мотивирующим фактором к развитию. 8. … Представленный выше перечень методов является открытым, он не претендует на полноту и побитовое соответствие требованиям аудиторов. Однако в случае
Колонка эксперта
О российском рынке SIEM Денис Фокин, инженер Axoft
Основные отличия российского рынка SIEM от мирового Российский рынок SIEM далек от насыщения. Наши заказчики получили технологии, но пока не до конца понимают, как их использовать с максимальной эффективностью. Forecast Analysis дает интересную мировую статистику по SIEM: рынок вырос с $1,67 млрд в 2014 г. до $1,73 млрд в 2015 г. Интерес к данному классу решений в России также растет.
Основные потребители SIEM-решений в России В первую очередь, это крупные коммерческие компании и госсектор. В таких организациях требования к защите коммерческих и государственных тайн очень высоки: им необходим комплексный мониторинг ИТ-инфраструктуры. Возникает потребность в сборе информации как со средств активной защиты (NGWF, антивирусы, IPS, недавно появившиеся WAF), так и с отдельных узлов и информационной системы в целом.
На что заказчики в первую очередь обращают внимание? Все большую роль играют качество работы с активами, полнота и актуальность базы знаний уязвимостей. Решение должно не только обнаруживать инциденты, но и предоставлять средства профилактического анализа возможных угроз, выдавать рекомендации по их устранению и, наконец, легко внедряться и интегрироваться в существующую ИТ-инфраструктуру.
Лидеры российского рынка SIEM В России наибольшей популярностью пользуются решения HPE ArcSight и IBM QRadar. Популярный на Западе Splunk не так известен в России. Несмотря на схожие цели – сбор и управление событиями ИБ, – они предлагают различные подходы в вопросах корреляции и визуализации собранных с источников событий данных. При этом каждое из этих решений может служить прекрасной основой для SOC. Не стоить забывать про российские разработки (Positive Technologies и НПО "Эшелон"), которые могут достойно конкурировать с мировыми лидерами рынка. l
его применения в комплексе с уже внедренными в организации мерами полученный синергетический эффект должен стать хорошим подспорьем для экспертов служб защиты информации при формировании и поддержании на приемлемом, по мнению многих регуляторов, уровне культуры ИБ в организации. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 39
levtsov 9/5/16 1:23 PM Page 40
ТЕХНОЛОГИИ
Анатомия таргетированной атаки. Часть 3 Вениамин Левцов, вице-президент, глава корпоративного дивизиона “Лаборатории Касперского"
Николай Демидов, технический консультант по информационной безопасности “Лаборатории Касперского"
Э
APT – (Advanced Persistent Threat) – комбинация утилит, вредоносного ПО, механизмов использования уязвимостей "нулевого дня" и др. компонентов, специально разработанных для реализации атаки. Целенаправленная, или таргетированная, атака – это процесс. Процесс всегда строится под жертву, являясь продуманной операцией, а не просто разовым техническим действием. Он направлен на работу в условиях конкретной инфраструктуры, призван преодо-
та статья является продолжением цикла публикаций, посвященных природе таргетированных атак, их особенностям и методам противодействия им. Ознакомиться с первыми двумя частями материала можно в предыдущих номерах журнала Information Security 2016: l Часть первая, посвящена истории происхождения целевых атак, детальное описание первой подготовительной фазы http://www.itsec.ru/imag/insec-2-2016/38. l Часть вторая, посвящена описанию развития атаки следуя ее фазам, http://www.itsec.ru/imag/insec-3-2016/36.
Следует отметить несколько важных особенностей, отличающих целенаправленную атаку от обычного заражения: l адресность; l скрытность; l продолжительность; l использование разнородных инструментов и методов; l изменчивость вектора атаки, ее инструментария по мере развития; l наличие центра управления атакой – преступной группы, в составе которой есть и профессиональные ИT-эксперты. Возникает вопрос о возможных способах противодействия такой операции. В третьей части публикации мы предложим комплексный подход, который призван помочь в решении этой непростой задачи. Важно отметить, что здесь мы не будем касаться регламентов и политик безопасности, предполагая, что они разработаны и применяются на практике. Очевидно, что, если в организации отсутствуют основы, регламентирующие функционирование системы ИБ, эффект от внедрения подхода, описанного ниже, будет незначительным.
леть существующие в ней механизмы безопасности и определенные продукты, вовлечь во взаимодействие ключевых сотрудников (чаще всего обманом).
40 •
Стратегия противодействия целевым атакам Комплексная стратегия включает 4 важных элемента системы защиты, которые описаны далее (см. рис.). Мы приводим их в порядке, которому по наше-
му опыту на практике следуют компании по мере роста зрелости их систем. 1. Предотвращение. Целью является недопущение начала и развития атаки. 2. Обнаружение. Исходя из предположения, что в сети развивается атака, ставится цель обнаружения ее следов, распознавания признаков, связи всех деталей в единую картину. 3. Реагирование. В случае подтверждения факта атаки определяются последствия и шаги по их устранению. 4. Прогнозирование. Цель – реализация проактивных мер, позволяющих существенно затруднить злоумышленникам подготовку и проведение атаки.
Предотвращение таргетированной атаки Главная цель – не допустить запуск каких-то неконтролируемых процессов в корпоративной сети. Можно выделить два основных класса мер – хорошо знакомый всем набор технических решений, способных прервать сетевую коммуникацию или запуск какого-то процесса в инфраструктуре, и обучение.
Технические средства Речь идет о таких классических средствах, как защита конечных точек, включая антивирусные компоненты и контроль приложений, межсетевые экраны и системы предотвращения вторжений. Поскольку при атаке зачастую активно используются элементы распространенного зловредного ПО, "классика" может оказать посильную помощь.
Основными технологиями детектирования для решений, относящихся к превентивной группе, являются сигнатурный анализ, исполнение правил для сетевых соединений, черные и белые списки (Black & Whitelisting) приложений. Увы, в реальности злоумышленники зачастую собирают специальный стенд, повторяющий контуры системы защиты атакуемого предприятия, – воспроизводится вероятная конфигурация МЭ, устанавливается аналогичная версия антивируса и т.д. В результате ничто не мешает им проводить тесты и модифицировать инструменты атаки, пока они не смогут преодолеть установленные системы. Однако хорошо сбалансированная система защиты, использующая решения от различных производителей, регулярно обновляемая, проходящая Health-check хотя бы раз в год, – остается важным участком обороны, в ряде случаев позволяющим остановить саму попытку атаки. Приведем несколько примеров, позволяющих хоть отчасти усложнить жизнь атакующим: l Таргетированная атака Carbanak, направленная на финансовые учреждения, кумулятивный приблизительный ущерб от которой составил 1 миллиард долларов. Многие из пораженных банков не имели сегментации внутренней сети, сеть управления банкоматами была доступна из корпоративной сети, чем воспользовались киберпреступники. Использование сетевых экранов для сегментации сети и меж-
levtsov 9/5/16 1:23 PM Page 41
www.itsec.ru
ТЕХНОЛОГИИ
сегментного контроля взаимодействия позволит обеспечить профилактику распространения целевой атаки внутри инфраструктуры компании. l Таргетированная атака Hellsing, направленная на шпионаж в правительственных структурах, использовала в своем развитии целенаправленный фишинг – распространение писем с вложением, в котором находился запароленный архив. Это позволяло надежно обходить традиционные средства защиты, основанные на проверке вложений. Внутри архива содержались PDF-файлы с вложенным бэкдором. Наличие проактивного антиспам-фильтра в сочетании с файловым антивирусом позволит определить попытку обхода стандартных средств контроля (антивирус), тем самым усложнив организацию целевой вредоносной рассылки. Важно отметить что в организации эффективной защиты от целевой атаки необходимо применять технологии динамического анализа. Антивирус, хоть и относится к превентивной группе, но обладает рядом подобных технологий, относящихся к категории Machine Learning, или самостоятельного обучения. Наряду с применением классических блокирующих средств защиты важно осуществлять контроль уязвимостей в приложениях, включающий процесс поиска, ранжирования и патчменеджмента, как реального, так и виртуального. В целом приведенный набор средств и технологий значительно усложняет задачу киберпреступникам, но в случае с таргетированной атакой его недостаточно.
Обучение в целях повышения грамотности в области ИБ Важно подчеркнуть, что человеческий фактор и уязвимости в ПО являются главными составляющими успеха в реализации таргетированной атаки. Обычный персонал компании является ключом доступа киберпреступников для входа в инфраструктуру. Минимизация пробелов в знаниях по информационной безопасности позволит сотрудникам распознавать применяемые к ним методы социальной инженерии и правильно реагировать на них. Персонал обязан знать, как социальная инженерия управляет действиями человека
без применения технических средств и для чего используется целенаправленный обман или иные действия, способные ввести сотрудника в заблуждение. Для того, чтобы приносить реальную пользу в отражении атак, такое обучение "кибергигиене" должно охватывать важнейшие области знаний, представления о которых должен иметь даже рядовой сотрудник. Мы выделяем следующие сферы для развития осведомленности: l назначение антивируса и контроля приложений; l уведомления систем безопасности – как на них реагировать; l понимание проблемы утечки данных; l риски при использовании мобильных устройств; l угрозы при работе с электронной почтой и Интернетом; l социальные сети и риски работы в них; l методы социальной инженерии; l развитие бдительности; l политика ИБ и как ее можно нарушить. Итак, эффективное сочетание классических превентивных решений защиты вместе с обученным основам кибербезопасности персоналом усложняют задачу атакующему. Но что делать, если атаке удалось "зацепиться" в сети и начать развитие? Увы, практически всегда организации в какой-то момент понимают, что предотвратить и исключить атаку полностью почти невозможно.
Детектирование Следующим важнейшим элементом системы защиты становится детектирование атаки. Выявление отдельных признаков атаки или ее компонентов более вероятно при соблюдении следующих условий: l Тренинги и иные способы повышения экспертизы. Специалисты ИБ имеют достаточно глубокие представления о природе и особенностях таргетированных атак, постоянно повышают уровень своих знаний – в чем организация их всячески должна поддерживать. l SIEM как автоматизация обработки событий безопасности. l Внешние источники информации об угрозах, или Threat Intelligence. Поставки актуальной информации об угрозах в виде фидов (потоков данных), списков IoC, отчетов.
l Системы с динамическим анализом исполнения. Специализированные средства выявления признаков таргетированной атаки. l Сервисы по выявлению атак с проведением регулярных проверок.
Обеспечение экспертизы Первым условием является профессиональное обучение расследованию целевых атак – специализированный курс, позволяющий офицерам безопасности компании эффективно выполнять подобные задачи, использовать нужные инструменты, выставлять приоритеты и собирать улики, проводить аналитическую работу. Курс затрагивает следующие аспекты: l Что такое инциденты информационной безопасности и их категоризация. l Как проводить сбор свидетельств инцидента. l Изучение прикладной науки – "криминалистика компьютерных преступлений (Digital Forensics)". l Как правильно применять специализированные инструменты. По окончании обучения офицер безопасности будет иметь четкое представление о своих действиях в случае расследования инцидента, связанного с таргетированной атакой.
По данным проведенного "Лабораторией Касперского" опроса российских предприятий, практически каждая четвертая компания (23%) считает, что уже становилась жертвой целевых атак.
Из проведенного в 2015 г. "Лабораторией Касперского"
Автоматизация обработки событий безопасности Развитие ИБ подтолкнуло компании к автоматизации процесса сбора, нормализации, хранения и обработки событий, получаемых из журналов различных ИT-систем. Это, в свою очередь, повлияло на появление нового класса систем по консолидации и хранению журналов событий – менеджмент событий. Данные логов направляются в единую систему SIEM (Security Information and Event Management) – по управлению событиями информационной безопасности, которая призвана решать следующие задачи: l сбор, объединение, хранение событий, получаемых от различных источников; l оперативное обнаружение нарушений политик ИБ; l автоматическое оповещение и управление инцидентами; l формирование базы знаний по инцидентам; l предоставление отчетности для аналитиков.
исследования видно, что ключевыми рисками внутри компании по-прежнему остаются уязвимости в ПО (48% от общего числа опрошенных компаний) и незнание сотрудниками правил ИT-безопасности, приводящие к случайным утечкам данных (37% от общего числа опрошенных компаний). Эти две проблемы чаще других приводят к потере конфиденциальных данных.
• 41
levtsov 9/5/16 1:23 PM Page 42
ТЕХНОЛОГИИ
Адаптивная стратегия защиты
Поток данных содержит: l Набор URL-адресов,
соответствующих наиболее зловредным ссылкам и Webсайтам.
l IP-репутация – града-
ция IP-адресов по уровню безопасности.
l Набор файловых
хешей, охватывающий вредоносные программы.
l Активность ботнет-
сетей (вредоносные объекты, командные центры).
42 •
За последние 15 лет SIEM получил широкое распространение на рынке ИБ, несмотря на ряд недостатков. Решение представляет собой мощнейший корреляционный механизм, требующий постоянной доводки (настройки), описаний правил срабатывания на те или иные события. Эффективность детектирования сильно зависит от правил, разрабатываемых инженером. Недостатком SIEM является обязательное наличие обслуживающего высококвалифицированного персонала. Недостаточно просто устанавливать обновления и создавать новые правила, важно быть информированным о распространении новых угроз и их векторов атаки, включая детали зависимостей для создания правил детектирования. Найти специалиста, отвечающего совокупным требованиям, практически невозможно. Очевидно, что результат детекта системой SIEM может быть выше, если в нее на регулярной основе поступает структурированная информация об объектах, которые могут быть вовлечены в таргетированную атаку: например о действующих командных центрах ботнетов или фишинговых сайтах. Приведем пример детектирования атаки внутри инфраструктуры с помощью SIEM: l Учетная запись сотрудника Иванова была использована на его рабочей машине в рабочие часы. В то же время пропускная система не имела записей о приходе сотрудника на работу (карточка не активирована), следовательно, коррелятор, сопоставив оба события, создаст инцидент ИБ.
l Три неправильные попытки входа в день с определенного хоста на протяжении определенного периода. l Множественные RDP-соединения с рабочей машины, где ранее удаленный доступ не использовался. l Всплеск сетевого трафика между различными узлами в нерабочие часы.
Threat Intelligence – данные об актуальных угрозах ИБ Понимание текущего ландшафта угроз и оперативные данные об актуальных атаках и вредоносных активностях позволяют компании укрепить защиту корпоративных информационных систем. Хотелось бы отметить 3 источника оперативных данных об угрозах: l Потоки данных (Threat Data Feeds). l Отчеты, содержащие детали конкретных целевых атак или механизмов, задействованных для их реализации. l Мониторинг активности ботнет-сетей.
Потоки данных (Threat Data Feeds) За создание такой информации отвечают крупные компании, работающие в сфере информационной безопасности и имеющие в своем арсенале круглосуточную службу по выявлению и анализу угроз. Такие службы, как правило, состоят из аналитиков безопасности и автоматизированных комплексов детектирования, включающих в себя множество новейших технологий. Ввиду непрерывности процесса описания новых угроз лучшим
способом распространения экспертной информации является подписка, которая оформляется в виде сервиса. Она позволяет компании оперативно получать новые порции информации об угрозах в формате JSON (JavaScript Object Notation – простой формат обмена данными). В процессе доставки JSON-пакеты данных легко трансформируются в любой необходимый вид под конкретное решение благодаря использованию парсера (программы для считывания и обработки текстовых данных). Фактически поток данных (Data Feeds), состоящий из JSON-файлов, пополняет локальную экспертную базу компании с высокой эффективностью: с частотой передачи пакетов раз в 10 минут. И эти данные сразу же применяются в имеющихся средствах защиты, например SIEM. Поток данных является неотъемлемой частью любого SOC (Security Operational Center, ситуационный центр управления безопасностью). Что может содержать в себе поток данных: l Набор URL-адресов, соответствующих наиболее зловредным ссылкам и Web-сайтам. l IP-репутация – градация IPадресов по уровню безопасности. l Набор файловых хешей, охватывающий вредоносные программы. l Активность ботнет-сетей (вредоносные объекты, командные центры). Комбинация из потока данных и SIEM позволяет существенно повысить качество работы решения в части детектирования, фактически наделяя коррелятор экспертными знаниями о самых последних атаках и угрозах, распространяющихся по миру. Тем самым достигается снижение количества ложных срабатываний и придается мощнейший импульс детектирующим способностям системы. Приведем наглядный пример: на базе обнаруженного командного центра ботнет-сети ниже вы видите строки, содержащиеся в полученном JSON-пакете: l Уникальный идентификатор записи - "id":"143348". l Ссылка на домен центра управления "mask": "botnetccurl.com". l Тип записи (применяется для сопоставления правил в корреляторе) "type":"1".
levtsov 9/5/16 1:23 PM Page 43
www.itsec.ru
ТЕХНОЛОГИИ
l Первый раз, когда был замечен "first_seen":"08.04.2014 16:45". l Последний раз, когда был замечен "last_seen":"12.02.2015 13:56". l Популярность (насколько распространен, наивысшая популярность 5) "popularity: "5". l Наименование угрозы "threat":"CnC.Win32.ZBot". После того как информация из полученного JSON-пакета при помощи парсера будет добавлена в SIEM, любое обращение на домен "botnetccurl.com" из корпоративной сети будет расцениваться как инцидент и попытка связи с командным центром. Что тем самым позволит обнаружить возможные инфицированные машины внутри компании.
Отчеты об APT Помимо потоков данных, на рынке существует возможность получать детализированные отчеты. Детализированные отчеты в основном предоставляют те же компании, которые предлагают подписку на потоки данных. Это производители решений ИБ и целый ряд консалтинговых компаний с собственным SOC и командой аналитиков. APT-отчет содержит, как правило, подробное описание таргетированных атак, обнаруженных экспертной группой. Как и в случае с потоком данных, отчеты предоставляются обычно в виде подписки, являются глубоко детализированными и состоят из нескольких типов файлов: l IOC – индикатор компрометации, описание вредоносных объектов. l YARA – набор детектирующих правил. l Детальный отчет, содержащий анализ (фазы развития) атаки. Отчет служит инструментом для офицера безопасности, предоставляя глубокое понимание угрозы и возможность для проактивных действий, направленных на предупреждение конкретной угрозы1.
Анализ активности ботнетсетей Последние годы мы наблюдаем экспоненциальный рост количества ботнет-сетей. Помимо стандартных путей распространения Malware (PC), драйвером бурного роста выступили реше1
ния класса "Интернет вещей" (Internet of Things, IoT), производители которых практически не уделяют внимания безопасности. Для киберпреступников IoT является лакомым куском, так как в большинстве своем эти решения имеют стабильное высокоскоростное подключение к Интернету и обладают достаточным запасом производительности. Почему стоит обращать внимание на активность ботнетсетей в разрезе профилактики таргетированной атаки? Дело в том, что атаки, организованные ботнет-сетями, часто применяют для целенаправленного фишинга (рассылки поддельных почтовых писем с прикрепленным загрузчиком). Также через ботнет-сети часто осуществляют DDoSатаки, которые служат средством отвлечения внимания от чего-то более значимого, в том числе развития таргетированной атаки. Такие атаки получили название Smokescreen – дымовая завеса. Приведем реальные примеры таргетированных атак с использованием DDoS для отвлечения внимания: l В 2011 г. кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке, в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoSатакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации. l В 2015 г. таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберпреступники применили масштабную DDoS-атаку на внешние Web-ресурсы компании, тем самым отвлекли внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему. Усложняет ситуацию и рост DDoS-атак в мире, обусловленный широкой монетизацией подобных услуг. Воспользоваться ботнет-сетями сегодня может любой желающий.
Мониторинг ботнет-сетей Производители решений ИБ и различные консалтинговые компании предлагают услугу, предоставляющую экспертную информацию по планируемым атакам, доступную в двух вариантах: 1. В составе потока данных (Data Feed), предоставляя комплексную информацию по всем известным ботнет-сетям со всего мира. 2. Детальный отчет, информирующий компанию перед началом попытки реализации атаки на корпоративные ресурсы. Каким образом осуществляется мониторинг активности ботнет-сетей? Для выполнения этой непростой задачи применяются безопасные контейнеры (изолированные системы), которые подвергаются инфицированию в реальном времени. После чего процессы работы троянов детально разбираются и анализируются, позволяя увидеть всю карту коммуникаций трояна с командными центрами и соседними зомбо-хостами. Результаты анализа попадают в отчет, который содержит следующую информацию: l Тип ботнета – классификация. l IP-адреса командных центров. l Географическое распределение образцов ПО. l Тип атаки – информация о целях и используемом ПО. l Сведения об использованных алгоритмах атаки (инъекции Web-кода). l MD5 – хеши вредоносного ПО. Услуга по анализу активности ботнет-сетей является механизмом раннего обнаружения. Используя ее, компания обеспечит себя экспертной информацией по планируемой атаке на свои ресурсы, что значительно укрепит защиту в целом.
По данным проведенного в 2015 г. "Лабораторией Касперского" исследования, 26% опрошенных компаний, подвергшихся DDoS-атакам, сообщили об утечке закрытой информации, что подтверждает применение DDoS-атаки как инструмента для отвлечения внимания.
В 2011 г. кинокомпания Sony Pictures Entertainment подверглась целенаправленной атаке, в ходе которой было парализовано более 80% конечных узлов внутренней сети компании и зашифрованы большие массивы информации. Операция сопровождалась масштабной DDoS-атакой, которой отводилась отвлекающая роль. Нарушив статистику сетевой активности, она позволила киберпреступникам незаметно выгрузить более 100 терабайт закрытой информации.
В 2015 г. таргетированная атака на энергоресурсы Украины привела к веерному отключению энергоподстанций. Перед началом активной фазы киберпреступники применили масштабную DDoS-атаку на внешние Web-ресурсы компании, тем самым отвлекли
Внедрение специализированных систем обнаружения таргетированных атак
внимание инженеров безопасности, заставив их в срочном порядке решать навязанную проблему.
Таргетированная атака характеризуется высокой степенью индивидуальности и устойчивости к традиционным средствам защиты. Для выявления признаков заражения необходимо применять решения, обладаю-
Подобные публичные отчеты можно найти на www.securelist.ru.
• 43
levtsov 9/5/16 1:23 PM Page 44
ТЕХНОЛОГИИ
Согласно отчету "Лаборатории Касперского" 2016 г. самая длительная DDoSатака в первом квартале 2016 г. длилась 8,2 дня, или 197 часов беспрерывно.
Пример работы анализатора аномалий:
l Нетипичное сканирова-
ние сети, осуществленное с рабочей станции секретаря. l Использование про-
грамм удаленного доступа в нерабочие часы либо в определенное повторяющееся время.
l Загрузка в сеть боль-
шого объема данных.
щие средствами сбора информации о событиях на разных уровнях инфраструктуры: как на внешнем контуре (Web, Е-mail, основной Gateway), так и на внутреннем (конечные узлы, внутренние коммутационные узлы и т.д.). Такие решения отличаются комплексным применением различных технологий динамического детектирования и способностью обеспечивать аналитическое сопоставление потоков информации из разных источников. Этот подход делает возможным обнаружение сложных, порой растянутых во времени и хорошо замаскированных зловредных действий. Модульность обеспечивает распределенный контроль над всеми возможными каналами поступления и распространения элементов целевых атак. Система обнаружения таргетированной атаки должна иметь в составе следующие компоненты: l Сетевые/почтовые сенсоры, позволяющие осуществлять сбор информации с различных контрольных точек. l Сенсоры рабочих станций, позволяющие увеличить охват и детализацию анализируемой информации. l Компоненты динамического анализа объектов. l Центр по анализу аномалий – создание типовых шаблонов поведения и контроль отклонений от них. l Облачный репутационный сервис – обновляемая в реальном времени база знаний об угрозах, в том числе и по компонентам таргетированных атак.
Основные технологии обнаружения следов таргетированной атаки Этапы реагирования
Рассмотрим подробней применяемые технологии в системах обнаружения целевой атаки.
включают:
l идентификацию; l сдерживание; l лечение;
l восстановление;
l выводы и профилактика.
44 •
Динамический анализ объектов (песочница) Технология обнаружения подозрительного поведения объекта в виртуальной изолированной среде. Песочница – это, по сути, набор актуальных виртуальных сред, контролируемых технологиями анализа исполнения. Так как песочницы существуют на рынке уже достаточно продолжительное время, киберпреступники научились обходить данную технологию, применяя
различные техники обхода (Sandbox Evasion). Приведем пример нескольких Sandbox Evasion-техник, когда объект не проявит свою активность: l Разрешение экрана не более чем 800x600. Обычный пользователь не будет использовать такое разрешение в работе. l Наличие установленных программ (определенный инвентарь). Например, любые установленные средства, которые свидетельствуют о наличии виртуальной среды. l Отсутствие действий при демонстрации диалогового окна. Нет реакции, следовательно, за машиной никто не работает. Поэтому важной особенностью современной песочницы является ее способность противостоять техникам обхода (Anti-Evasion). Пример Anti-Evasion-техник: l Эмуляция работы пользователя (движения мышью, работа на клавиатуре). l Распознание диалоговых окон, автоматическое действие. l Выполнение прокрутки документа на вторую страницу (Scroll). l Настройка окружения, максимально похожего на реального пользователя.
Анализ аномалий Технология основывается на статистическом анализе информации, учитывающем частоту событий и их последовательность. Каналами сбора информации являются сетевые сенсоры и сенсоры рабочих станций. В процессе работы технологии формируется поведенческая модель, отклонение от которой может быть признаком вредоносной активности. Пример работы анализатора аномалий: l Нетипичное сканирование сети, осуществленное с рабочей станции секретаря. l Использование программ удаленного доступа в нерабочие часы либо в определенное повторяющееся время. l Загрузка в сеть большого объема данных. Внедрение специализированных систем обнаружения таргетированной атаки позволит видеть симптоматику атаки, а не набор разрозненной информации, подлежащей длительному анализу инженерами безопасности.
Сервис по выявлению таргетированной атаки В случае подозрения аномальной активности внутри инфраструктуры может оказаться эффективным специализированный сервис, цель которого – обнаружение следов таргетированной атаки и выработка рекомендаций по их устранению. Более детально о перечне работ в рамках такого сервиса: l анализ ландшафта угроз применимо к конкретной компании; l использование специализированных средств для обнаружения следов компрометации; l анализ исходящих сетевых соединений для обнаружения возможных соединений с командными центрами киберпреступников; l использование открытых источников (OSINT); l сбор улик; l анализ улик и реконструкция инцидента (хронология и логика); l анализ вредоносного ПО, использованного в атаке (в случае его обнаружения); l обнаружение вероятной компрометации других систем в окружении; l предоставление рекомендаций по дальнейшим шагам исправления. Сервис предоставляется крупными производителями информационной безопасности и консалтинговыми компаниями. Позволяет снять либо подтвердить подозрения о наличии следов активных элементов таргетированной атаки.
Реагирование Третьим элементом стратегии является "реагирование". Основная цель заключается в реакции на инцидент ИБ, следуя набору принятых процедур, направленных на минимизацию ущерба и устранению последствий. Реагирование является важным этапом в обеспечении общей системы безопасности компании. От того, насколько хорошо построен процесс, зависит эффективность всей системы. Этапы реагирования включают: l идентификацию; l сдерживание; l лечение; l восстановление; l выводы и профилактика. В силу особенностей и отличий целенаправленных атак от обычных угроз процесс реагирования
levtsov 9/5/16 1:23 PM Page 45
www.itsec.ru
ТЕХНОЛОГИИ
в случае APT имеет свою специфику. Нужно принять факт, что если компания является целью для атаки, то рано или поздно атакующий пробьется в инфраструктуру тем или иным образом. Исходя из этого, необходимо осознавать, что если система безопасности не может гарантировать 100% эффективность превентивных мер, то необходимо обеспечить 100% детектирования атаки, причем на самом раннем этапе развития. Обнаружение и реагирование на угрозу на раннем этапе позволит минимизировать ущерб. Для наглядности рассмотрим пример. Допустим, атакующий нашел уязвимость в ИT-инфраструктуре компании и получил доступ к уязвимой машине во внутреннем периметре. После чего злоумышленник постарается закрепиться внутри сети, чтобы иметь постоянный доступ в инфраструктуру, далее он будет собирать данные внутри компании и, в конце концов, выгружать корпоративные данные на внешние ресурсы. И если система защиты не заблокировала проникновение, она должна обеспечить возможность обнаружения атаки на перечисленных последующих этапах. Обнаружив атаку на этапе сбора данных или разведки внутри сети, мы сможем предотвратить кражу данных. Кроме того, нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделав его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это, он может также вычистить следы атаки. После блокировки атаки также крайне важно провести анализ действий злоумышленника, выяснить векторы проникновения и распространения. На этом этапе важно понимать, что если в процессе анализа будут обнаружены не все компоненты и следы компрометации, есть риск, что атакующий сможет остаться в системе, впоследствии изменить свое поведение и еще долго продолжать свою деятельность. Поэтому важно формализовать все полученные в резуль-
тате анализа знания и заложить их в систему в виде правил/политик для автоматического реагирования в будущем. Это позволит накапливать знания о возможных цепочках атак и необходимых реакциях на них. Данный процесс должен выполняться на постоянной основе и использовать упомянутые выше методы интеллектуальной обработки данных, непрерывно расширяя возможности системы. Наиболее технологически продвинутые решения в области защиты от таргетированных атак непременно должны обладать таким функционалом, причем предоставлять механизмы пополнения таких формализованных знаний из внешних источников.
Своевременная оценка уязвимостей (Vulnerability Assessment) Автоматизированный процесс сканирования и квалификации уязвимостей. Позволяет оперативно указать на найденные критичные точки в программном обеспечении. Имеет встроенный механизм (Patch Management), обеспечивающий своевременное обновление программных продуктов. Чтобы получить точную оценку угроз для выполнения каждого из этих тестов, рекомендуется привлекать высококвалифицированных аналитиков по информационной безопасности, обладающих большой экспертизой и знаниями актуальных современных угроз и их распространения.
Рекорд последних лет принадлежит предвыборному сайту Дональда Трампа, мощность DDoS-атаки на который составила 602 Гбит/с.
Прогнозирование Устранение последствий целевой атаки является гораздо более сложной задачей, чем своевременное применение предупреждающих мер. Важно идентифицировать уязвимые сегменты корпоративной сети и возможные векторы угроз для оперативного устранения брешей в системе безопасности. Этап прогнозирования помогает справиться с данной задачей и включает в себя определенный набор услуг.
Тест на проникновение (Penetration Test) В ходе теста моделируется вторая фаза таргетированной атаки "Проникновение", в которой применяются комбинированные техники обхода и методы социальной инженерии. Задачей теста является обнаружение наиболее уязвимых элементов инфраструктуры компании и выработка рекомендаций по их устранению.
Оценка уровня защищенности (Security Assessment) На первый взгляд сервис частично повторяет задачу теста на проникновение, но это не так. Главное отличие в том, что оценка уровня защищенности происходит без применения средств эксплуатации уязвимостей. Аналитики безопасности получают доступ ко всей инфраструктуре в целом и проводят аудит изнутри, не прибегая к моделированию атаки извне. Сервис позволяет выявить критические места в инфраструктуре, указав на возможные векторы угроз.
Аналитический отчет об угрозах информационной безопасности (Threat Intelligence Report) Отдельно важно обозначить наличие специализированного инструмента оценки общего состояния защищенности компании. Таким инструментом является сервис, базирующийся на использовании пассивных и полупассивных методов разведки на основе открытых источников (OSINT), которые не вызывают каких-либо подозрений. Работа осуществляется со стороны, без взаимодействия с внутренней инфраструктурой компании. Длительность предоставления сервиса равна одному кварталу, что позволяет определить: l актуальные угрозы; l факты компрометации информационных систем; l наличие потенциальных уязвимостей; l наличие действующего вредоносного ПО. Как видите, можно выделить четыре элемента общей системы противодействия таргетированным атакам. В целом можно судить о зрелости организации по тому, внедрены ли и как именно применяются эти элементы. В следующей статье, завершающей материал, разговор пойдет о реализации подходов обнаружения таргетированных атак на примере существующих на рынке решений. l
Ботнет представляет собой совокупность компьютеров, зараженных вредоносным кодом и управляемых злоумышленником централизованно.
Нужно не только обнаружить атаку, необходимо своевременно и адекватно среагировать на нее. В случае неправильных действий на этапе реагирования можно разрушить цифровые доказательства, тем самым затруднив дальнейший анализ или даже сделав его невозможным. Также нельзя позволить атакующему обнаружить противодействие раньше времени – заподозрив это, он может также вычистить следы атаки.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 45
s-terra 9/5/16 1:23 PM Page 46
ТЕХНОЛОГИИ
Защита и нападение – история со счастливым финалом? Владимир Воротников, руководитель отдела интеграционных решений ООО “С-Терра СиЭсПи"
Л
юбой ЦОД является привлекательной мишенью для атак злоумышленников. Во-первых, количество хранимой там информации несоизмеримо с любым другим ИT-объектом. Во-вторых, концентрация ценной информации там существенно выше: в отличие от компьютеров среднестатистических пользователей в центрах обработки данных реже хранится ненужная мусорная информация.
Поскольку проблема защиты ЦОДов является актуальной, механизмы защиты ЦОДов непрерывно совершенствуются. Но и злоумышленники не стоят на месте. Исследуются, находятся и используются новые, все более и более продвинутые виды атак. Простые инструменты разведки и взлома уже давно доступны в виде хорошо документированных продуктов. Архитектура и функциональные возможности современных ботнетов поражают воображение и часто превосходят по сложности даже ведущие средства защиты информации. Это вечная борьба защиты и нападения, которая, как показывает история, никогда не закончится. Или все-таки у нее может быть конец? И если да, то кто все-таки победит? О том, на каком витке этой борьбы мы находимся, а также о том, как законы квантовой физики делают нас на шаг ближе к победе "белых шляп", мы и поговорим в данной статье.
Больше производительности – для "больших" каналов! Мы с вами живем в годы экспоненциального роста количе-
Таблица 1. Производительность
ства передаваемой информации. Какой бы совершенной ни была система защиты, она будет бесполезной, если не будет справляться со своей задачей на все более и более возрастающих скоростях. Кроме того, с учетом распространенности DDоS-атак оборудование должно иметь еще и запас по производительности для адекватной реакции на такие атаки. Понимая эту проблему, компания "С-Терра СиЭсПи" предлагает в составе своей продуктовой линейки высокопроизводительное решение для защиты высокоскоростных (от 10 Гбит/с) каналов между ЦОДами. Решение защищает трафик на всех уровнях от канального до прикладного (L2 – L7). При этом его производительность позволяет зашифровать даже наиболее тяжелые с позиции сетевого оборудования передаваемые данные, такие как, например, IP-телефония, где размер пакетов очень мал, а накладные расходы и требования к качеству крайне велики. Решение основано на применении уникального высокопроизводительного устройства С-Терра Шлюз 10G на базе Intel® Compute Module HNS2600TP. Характеристики его работы приведены в таблицах 1, 2.
Не шифрованием единым Вид трафика
Производительность, Мбит/с
UDP 512
9500
UDP 1400
14 200
Таблица 2. Показатели задержки Режим шифрования
Задержка, мс
Без нагрузки
0,27
С нагрузкой 9 Гбит/с (UDP 512) 0,4–0,6
46 •
Но задача обеспечения конфиденциальности и целостности передаваемых данных является не единственной в рамках защиты ЦОДов. Для более надежной защиты сетевой инфраструктуры нужны продвинутые, интеллектуальные решения, которые могут анализировать сетевой трафик на
предмет наличия вредоносной активности. Поэтому компания "С-Терра СиЭсПи" включила в свою продуктовую линейку систему обнаружения вторжений. Механизмы, используемые в С-Терра СОВ, позволяют администратору своевременно обнаруживать и адекватно реагировать на инциденты, возникающие в ЦОДах. Кроме того, СОВ предоставляет важные сведения для расследования уже произошедших инцидентов. В гонке злоумышленников и администраторов безопасности важно не только решать текущие задачи, но и думать на шаг вперед. Ряд современных научных и инженерных исследований в области дает нам возможность радикально повысить безопасность передаваемых данных.
Квантовая физика и криптография – связь уже очевидна Читая новости квантовой физики, с первого взгляда может показаться, что практическая часть ее применения находится где-то в далеком будущем. Однако системы квантовой криптографии уже действуют. И они не так далеки, как может показаться. Прототипы таких систем уже есть в России и готовы вот-вот начать применяться в реальном секторе. Механизм квантового распределения ключей (далее КРК) позволяет двум пользователям вырабатывать и обмениваться между собой случайными двоичными данными, которые могут быть использованы как секретный ключ. При этом законы квантовой механики исключают возможность незаметного
s-terra 9/5/16 1:23 PM Page 47
www.itsec.ru
ТЕХНОЛОГИИ
прослушивания такого обмена информацией. Это достигается за счет того, что ключ передается одиночными фотонами. Злоумышленнику, чтобы получить информацию о ключе, требуется тем или иным способом взаимодействовать с этим фотоном, но любое такое взаимодействие неминуемо вызовет изменение состояния фотона, что будет замечено на принимающей стороне. Схема проверена и хорошо зарекомендовала себя на практике: на данный момент подобные системы работают в США, Швейцарии, Японии в интересах банков и государственных организаций. При этом КРК имеет и свои ограничения. Так, например, скорость передачи ключа очень сильно зависит от расстояния и уменьшается на порядки при переходе от 100 м к 10 км. Инженерным пределом на данный момент является передача квантового ключа на расстоянии 100 км. Кроме того, схема требует наличие не конфиденциального, но защищенного от модификаций классического канала. Полученный с помощью КРК ключ обычно используют для защиты передаваемых данных. Если мы хотим получить максимальный уровень защиты, то мы можем использовать его в системе с абсолютной криптографической стойкостью, такой как шифр Вернама (одноразовый блокнот). Здесь, однако, мы ограничены длиной ключа, которая должна быть не меньше длины передаваемого сообще-
ния. Это серьезная инженерная проблема, т.к. современные системы квантового распределения ключей позволяют генерировать ключ на скоростях десятков и сотен килобит в секунду, что на несколько порядков ниже требуемых для ЦОДов скоростей. Тем не менее, технологии КРК активно развиваются, и мы можем ждать значительного увеличения скорости генерации и передачи ключа в будущем. Кроме того, если использовать данный ключ как элемент на одной из стадий построения IPsec-туннеля, то вышеназванных скоростей генерации оказывается вполне достаточно. Именно над таким решением работают сейчас инженеры компании "С-Терра СиЭсПи" и исследователи в Российском квантовом центре. На данный момент успешно проведены испытания первого прототипа решения. Был разработан и реализован протокол передачи квантового ключа между системой КРК и шлюзами безопасности. Работа данного протокола, а также принципиальная возможность использования квантового ключа в технологии IPsec была продемонстрирована на стенде. Испытания были успешными, и сейчас ведутся работы по более глубокой интеграции системы КРК и шлюзов безопасности С-Терра.
Из пушки по?.. Квантовое распределение ключей, безусловно, является
перспективной технологией, дающей нам надежду на получение чрезвычайно высокого уровня безопасности. Кроме того, ряд компаний по достоинству оценит репутационный выигрыш от использования такой системы. Как показала западная практика, именно крупные европейские (в частности, швейцарские) банки стали одними из первых, кто применил у себя на практике КРК. Такой шаг логично вписывается в образ компаний, для которых надежность – основа имиджа. Но за все приходится платить: решения с применением КРК, выйдя на рынок, ожидаемо будут существенно дороже своих "не квантовых" аналогов. Мониторинг работы такой системы, ее обслуживание и ремонт также потребуют существенно больше ресурсов и времени. Поэтому не следует забывать, что уровень защищенности должен быть пропорционален ценности защищаемой информации. Во многих случаях вполне достаточной является проверенная временем связка IKE с использованием протокола Диффи-Хеллмана, которая применяется во всех современных продуктах компании "С-Терра СиЭсПи".
Какой бы совершенной ни была система защиты, она будет бесполезной, если не будет справляться со своей задачей на все более и более возрастающих скоростях. С учетом распространенности DDoS-атак оборудование должно иметь запас по производительности для адекватной реакции на такие атаки.
Уровень защищенности должен быть пропорционален ценности защищаемой информации. Во многих случаях вполне достаточной является проверенная временем связка IKE с использованием протокола Диффи-Хеллмана, которая применяется во всех современных продуктах компании "С-Терра СиЭсПи".
В заключение Помимо фундаментальных причин роста количества передаваемого и хранимого трафика и, как следствие, роста количества ЦОДов, в России есть ряд локальных факторов, которые только усиливают данную тенденцию: необходимость хранения персональных данных граждан на территории РФ, пакет Яровой-Озерова и др. К счастью, уже сейчас есть решения, которые готовы к такому развитию событий. Высокопроизводительное решение на основе уникального устройства С-Терра Шлюз 10G, как карьерный экскаватор от ИБ, способно обработать огромное количество трафика, а С-Терра СОВ, как саперная лопатка, поможет провести аккуратный и точный анализ передаваемых данных. l
NM АДРЕСА И ТЕЛЕФОНЫ компании С-ТЕРРА СИЭСПИ см. стр. 68
• 47
rodionov 9/5/16 1:22 PM Page 48
ТЕХНОЛОГИИ
Новые технологии в сетевой безопасности Михаил Родионов, глава представительства Fortinet в России
Для того, чтобы в условиях виртуальной экономики компания была защищена от различных злоумышленников, чтобы ее бизнес был непрерывен и стабилен с точки зрения ИТ-инфраструктуры, информационная безопасность компании должна быть комплексной и охватывать все современные тренды
48 •
– Как на сегодняшний день изменилась безопасность? – За несколько последних лет подход к обеспечению безопасности претерпел достаточно серьезные изменения. Связано это с тем, что наш мир стал всецело цифровым: совершенствуются технологии, повсеместно внедряются новые сервисы, которые доступны и компаниям, и частным лицам. Например, сейчас мы видим, что для организации выхода в Интернет компании все чаще предпочитают Wi-Fi проводным сетям. Также компании продолжают активно внедрять облачные сервисы, потому что они позволяют сократить CАРЕХ и, возможно, скорректировать ОРЕХ. Соответственно, все больше цифровых сервисов проникает в компании, да и в нашу повседневную жизнь тоже. И каждый новый цифровой элемент – это не только потенциальная возможность для развития компании, но и потенциальная угроза, так как он может быть использован с целью обхождения установленных в компании механизмов защиты. Это если говорить о новых сервисах. А ведь во многих компаниях механизмы защиты не менялись уже несколько лет. Как следствие, сегодня совершается множество краж совершенно различной информации. СМИ чуть ли не ежедневно пестрят заголовками о миллионных кражах то в одном банке, то в другом. Пароли постоянно крадут, причем крадут и у крупных компаний, и у небольших, и у российских, и у зарубежных. И все это является следствием того, что стремительное развитие цифрового мира даже несколько опередило компании, которые совсем недавно внедряли свои системы безопасности.
– Насколько сильно эволюционируют средства нападения? Как должны изменять компании подход к предотвращению угроз? – Мы видим, что злоумышленники постоянно используют различные новые средства, но и старые тоже никуда не уходят, если мы говорим о каких-то ботнет-сетях. И все они способны обходить старые средства защиты. Так, например, для борьбы с атаками Zerodays в индустрии сетевой безопасности разработали концепцию, которая, если разобраться, уже давно не нова – ей уже несколько лет. Называется она система эмуляции кода, или песочница. Этот механизм позволяет сделать эмуляцию кодов-вредоносов и понять, является ли код действительно вредоносным или же не несет угрозы и является самым современным ответом для противодействия целенаправленным атакам. Однако на одном из пилотов, где тестировались ведущие мировые компании, занимающиеся системами эмуляции кода, мы видели, как некоторые криптолокеры проникали через систему защиты, состоящую из Next Generation Firewalls, антивирусов на пользовательской станции и на песочнице. То есть средства нападения очень быстро развиваются и позволяют обходить средства защиты от ведущих мировых производителей. И тут метод борьбы тут только один – изменение старой системы безопасности и построение действительно эшелонированной безопасности. – Виртуальная экономика значительно повышает ценность бизнеса за счет включения в деловую сферу огромного количества пользователей, устройств, приложений и данных. Из каких компонентов должна выстраиваться защита компании
в условиях виртуальной экономики для сохранения ее конкурентоспособности? – Для того, чтобы в условиях виртуальной экономики компания была защищена от различных злоумышленников, чтобы ее бизнес был непрерывен и стабилен с точки зрения ИТинфраструктуры, информационная безопасность компании должна быть комплексной и охватывать все современные тренды: облачные услуги, BYOD, IoT и другие. Если раньше безопасность была многокомпонентной, то сейчас мы видим, что Next Generation Firewall и различные UTM-устройства начинают выполнять все больше и больше функций, которые раньше были выделены в отдельный класс, например VPN концентратор или IDS. Система защиты, которая закрывает какую-то одну часть предприятия, не позволяет защитить его от большого многообразия угроз. Комплексная же безопасность охватывает все элементы сетевой безопасности от рабочих станций пользователей, их мобильных устройств и до облачных сервисов. Закрывается все: кампусная и филиальная сети, головной офис компании, собственный ЦОД компании, если он есть, – все эти элементы сетевой безопасности должны быть защищены. Для защиты филиальной сети необходимо внедрить небольшие устройства, которые бы объединяли филиальную сеть в единую корпоративную для передачи данных с контролем используемых приложений на сети, с контролем контентной фильтрации, с контролем конкретных приложений. Например, в Skype можно переписываться, но запрещена передача данных, чтобы информация не вышла из компании. Если мы говорим про головной офис, то это, разумеется, многокомпонентная защита: это защита на границе сети, защита
rodionov 9/5/16 1:22 PM Page 49
www.itsec.ru
ЗАЩИТА СЕТЕЙ
внутри сети, так называемая концепция внутренней сегментации, когда весь поток данных внутри компании анализируется на МЭ (межсетевых экранах) следующего поколения, тем самым останавливая вредоносы, которые по каким-либо причинам могут попасть в сеть, в самом зачатке. Если мы говорим о сетевой безопасности, то здесь, разумеется, тоже есть деление – есть софтверные клиенты, которые устанавливаются на десктопы, на мобильные устройства; есть устройства, которые обеспечивают сетевую безопасность с точки зрения проверки на различные сигнатуры; есть системы, занимающиеся фильтрацией почты; есть системы, которые защищают только Web-серверы компаний. Только при таком всестороннем комплексном подходе можно говорить, что компания будет защищена. – Быстрое развитие виртуальной экономики и взрывное увеличение объема трафика в корпоративных инфраструктурах побуждают ведущие предприятия к внедрению высокоэффективных технологий. К ним относится, например, технология ASIC (специализированные интегральные микросхемы), которая позволяет адаптироваться к растущим требованиям и сохранить конкурентное преимущество. Расскажите, пожалуйста, подробнее о данной технологии. – Технологии ASIC используются довольно давно и уже получили признание крупнейших мировых ИТ-компаний. Их преимущества – быстродействие, компактные размеры самой микросхемы, экономное энергопотребление, сокращение задержек в работе сетевого оборудования. Технологии на базе ASIC становятся все более популярными. Например, компания Google разработала и успешно использует специализированный ASIC-процессор, предназначенный для реализации систем искусственного интеллекта на базе многоуровневых нейронных сетей. – Миллиарды не являющихся пользовательскими устройств IoT с поддержкой протокола IP обмени-
ваются крупными объемами данных при помощи проводных и беспроводных точек доступа, публичных и частных сетей, традиционных и облачных инфраструктур. Как вы относитесь к IoT-решениям? – Если мы говорим об Интернете вещей, то это один из трендов, который коренным образом меняет наш современный мир, начиная от информационных систем и заканчивая бытом обычного человека. В России IoT пока не очень сильно развит, но мы видим, что в течение нескольких лет эта индустрия серьезно изменит существующие в России сети. Одно из самых интересных событий, которое мы рискуем увидеть уже в этом году, – это атака машины на машину, без какого-либо участия со стороны человека. Поэтому, разумеется, с точки зрения информационной безопасности здесь придется закручивать гайки. Например, DDoS-атаки. Самая сильная DDoS-атака за последнее время была совершена при помощи видеокамер. Множество видеокамер были объединены в единую ботнет-сеть, и они генерировали SYN-пакеты, которые заставляли сетевое оборудование анализировать эту сессию. В результате сетевое оборудование могло очень быстро выйти из строя, потому что не справлялось с таким количеством одновременных сессий. Мы считаем, что также такое молниеносное распространение Интернета вещей приведет к еще большему использованию технологии интегральных микросхем. Так как ASIC позволяет держать на себе большее число сессий, увеличится и количество используемых устройств. – Что должно произойти в сфере технологий, чтобы Интернет вещей стал обыденным делом? – Должна быть снижена стоимость аппаратных чипсетов, которые будут использоваться в конечных устройствах. Тогда эти устройства станут доступны простому обывателю и удобны в использовании – мы получим новые сервисы, сможем что-то запрограммировать удаленно, когда нам это потребуется.
То есть для популяризации этой технологии необходимо снизить стоимость внедрения IoT и показать явное удобство. Сейчас эти два критерия уже почти выполнены, соответственно, осталось совсем немного времени до широкомасштабного внедрения Интернета вещей. – На что нужно обратить внимание при реализации сетевой безопасности на предприятии? – Естественно, это зависит от самого предприятия. Например, небольшим компаниям можно начинать строить инфраструктуру с нуля. Или же речь идет о предприятии, у которого уже есть некоторая история, соответственно, ему требуется защита другого уровня. В любом случае, при построении сетевой инфраструктуры необходимо обращаться в компанию, которая занимается этим профессионально. Если на предприятии уже внедрены и используются какие-то средства информационной безопасности, то будет целесообразно сделать аудит этих средств. Например, при помощи МЭ следующего поколения, когда берется МЭ, и на него направляется копия трафика компании. В свою очередь, МЭ анализирует возможные риски, которые есть в компании, исследует данные на наличие каких-либо вредоносов. И уже на основе полученных данных квалифицированные специалисты дают свои рекомендации и выстраивают концепцию защиты. l
Технологии ASIC используются довольно давно и уже получили признание крупнейших мировых ИТкомпаний. Их преимущества – быстродействие, ком-
пактные размеры самой микросхемы, экономное энергопотребление, сокращение задержек в работе сетевого оборудования. Технологии на базе ASIC становятся все более популярными. Например, компания Google разработала и успешно использует специализированный ASICпроцессор, предназначенный для реализации систем искусственного интеллекта на базе многоуровневых нейронных сетей
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 49
mfi 9/5/16 1:22 PM Page 50
ТЕХНОЛОГИИ
Сетевая форензика – расследование инцидентов в сети предприятия Антон Шкарин, менеджер по разработке, “МФИ Софт"
С
амое утомительное в работе с инцидентами в сети крупной компании – не их поиск, а длительное и масштабное расследование для предотвращения последствий и повторения подобных ситуаций в будущем. Каждый, кто впервые сталкивается с подобной задачей, задумывается об автоматической фиксации всех сетевых процессов, чтобы, как при внешнем видеонаблюдении, иметь возможность целостно отсмотреть все события в сети, определить уязвимости, причины системного сбоя или мошеннические действия. Такой класс решений в сфере информационной безопасности уже существует и называется “сетевая форензика".
Основы сетевой форензики
Сетевая форензика (от англ. Network Foresics) – термин, означающий "криминалистика", а именно комплекс мер для расследования внутрикорпоративных преступлений и случаев мошенничества, поиска уязвимостей и других инцидентов в сетевой инфраструктуре компании.
Сетевая форензика (от англ. Network Foresics) – термин, означающий "криминалистика", а именно комплекс мер для расследования внутрикорпоративных преступлений и случаев мошенничества, поиска уязвимостей и других инцидентов в сетевой инфраструктуре компании. Назначение сетевой форензики: l детальное исследование сетевой инфраструктуры, работы различных программ, в том числе вирусной активности; l мониторинг сетевых инцидентов, оставляемых следов, инструментов совершения мошеннических действий;
Рис. 1. Применение решений класса сетевой форензики
50 •
l сбор доказательств для ведения расследования в компьютерной криминалистике; l восстановление скрытой или уничтоженной информации; l отслеживание источников сетевых атак. Автоматизированная система класса сетевой форензики обеспечивает прозрачность сетевой инфраструктуры с помощью тотального контроля трафика сети компании в режиме реального времени, выявляет аномалии и помогает в расследовании инцидентов.
Какие задачи решает сетевая форензика? Применение сетевой форензики помогает крупным, в том числе территориально распределенным компаниям контролировать сетевую инфраструктуру вне зависимости от каналов связи на уровне протоколов. Открытые порты доступа, уязвимости системы, технические сбои, утечки, хакерские атаки, вирусные заражения – вся информация от локализации проблемного участка сети до конкретного процесса записывается в реальном времени и может воспроизводиться заново при расследовании инцидентов. По данным исследовательского центра МФИ Софт (рис. 1), решения класса сетевой форензики применяются: 24% – в целях обеспечения информационной безопасности сети предприятия; 33% – для мониторинга сетевых уязвимостей и целостности инфраструктуры;
27% – для контроля установки, запуска и работы Web-приложений; 16% – для непрерывного анализа транзакций в режиме 24/7.
Потребители систем мониторинга трафика компьютерных сетей Сетевая форензика необходима крупным предприятиям для мониторинга сетевой активности, применяется специализированными центрами мониторинга и реагирования на инциденты, а также компьютерными криминалистами в расследовании сетевых аномалий. В настоящий момент наиболее востребованы решения класса сетевой форензики в территориально распределенных компаниях, заинтересованных в своевременном выявлении внутрикорпоративных мошенничеств. Непрерывный мониторинг и запись всего трафика компании помогают криминалистам собрать исчерпывающую доказательную базу для предъявления в суде.
Интеллектуальное решение для расследования инцидентов в сети На сегодняшний день существуют как зарубежные, так и российские аппаратно-программные комплексы для расследования сетевых инцидентов, контроля и анализа всех информационных потоков предприятия с возможностью записи всего трафика, его индексации и быстрого поиска данных и воспроизведения событий за любой период времени.
mfi 9/5/16 1:22 PM Page 51
www.itsec.ru
ЗАЩИТА СЕТЕЙ
Рис. 2. Прозрачная сетевая инфраструктура
Рис. 3. Всплеск почтового трафика
Практика применения сетевой форензики В интерфейсе системы сетевой форензики отобразился резкий всплеск почтового трафика с одного IP-адреса сервера (рис. 3). Оказалось, автоматизированная хакерская система подобрала пароль к серверу и разместила ПО для запуска рассылки спама. Результатом действий вредоносной программы стала большая перегрузка в сети организации, был блокирован доступ сотрудников в Интернет. Оперативно были приняты меры по отключению сервера от сети, восстановлению сетевой инфраструктуры и возобновлению доступа в Интернет. С помощью ретроспективного анализа удалось отследить попытки подбора пароля с вычисленного IP из Новой Зеландии. IP был добавлен в черный список, об инциденте сообщили поставщику связи.
Решения подобного класса поддерживают все актуальные протоколы и их постоянное обновление, интегрируются с SIEM-системами, обладают высокопроизводительным хранилищем данных и скоростью обработки трафика 10 Гбит/с. Принцип действия систем сетевой форензики строится на сборе и анализе больших объе-
мов неструктурированных данных. Благодаря чему можно выявлять инциденты в реальном времени, находить информацию любого формата в момент передачи пакета. С помощью технологии сетевой форензики у ИT-специалистов и офицеров информационной безопасности появляется возможность наглядно рассмот-
реть всю сетевую инфраструктуру компании вне зависимости от ее размера, отобразить действия всех пользователей, обнаружить подозрительную аномальную активность в сети, включая кибератаки различной мощности, и при получении оповещения от системы оперативно на них реагировать. Благодаря воспроизведению записи трафика и ретроспективному анализу детально расследовать сетевые инциденты, устранять уязвимости инфраструктуры можно еще до появления разрушительных и критических последствий, а также собрать исчерпывающую доказательную базу для защиты интересов компании от внутренних и внешних угроз. l
По данным исследовательского центра МФИ Софт, решения класса сетевой форензики применяются: 24% – в целях обеспечения информационной безопасности сети предприятия; 33% – для мониторинга сетевых уязвимостей и целостности инфраструктуры;
27% – для контроля установки, запуска и работы Web-приложений; 16% – для непрерывного анализа транзакций в режиме 24/7
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 51
petrova 9/5/16 1:24 PM Page 52
ТЕХНОЛОГИИ
Биометрия. Болезни роста Татьяна Петрова, программист лаборатории информационно-вычислительных систем и технологий программирования Санкт-Петербургского института информатики и автоматизации Российской академии наук (СПИИРАН)
Ф
ормально впервые о возможности использования дактилоскопических отпечатков для идентификации индивидуума объявил Уильям Гершель в 1877 г., хотя известны и более ранние документы с чернильными отпечатками вместо подписи человека, не владеющего грамотой. Уильям Гершель работал чиновником английской администрации в Бенгалии (Индия), округ Хугли с 1858 г. Он не был естествоиспытателем и, вероятно, поначалу воспользовался мистическим убеждением, распространенным у индусов и китайцев, что отпечаток обязывает гораздо более, чем подпись, что и легло впоследствии в основу его двадцатилетних наблюдений. Свои исследования в дактилоскопии он оформил в своем труде “The origin of finger prints" в 1879 г.
Надо признать, что биометрические технологии за свою почти полуторавековую историю развивались значительно медленнее по сравнению со многими другими, например медицинскими, информационными, вычислительными, что, по всей вероятности, определяется в первую очередь потребностями рынка. Одним из препятствий для развития рынка биометрических систем в настоящее время является отсутствие декларированных объективных стандартных характеристик предлагаемого продукта. На сегодняшний день в первом приближении
оценки используются только абстрактные среднестатистические взаимонезависимые вероятностные критерии FAR* и FRR**, заявляемые разработчиками. Их величину трудно подтвердить или оспорить при практическом использовании, т.к. потребителю, как правило, сложно ориентироваться при выборе системы для своей конкретной задачи. Следующим препятствием внедрения подобных систем является трудность построения многокритериального показателя, опирающегося на такие показатели, как цена, скорость обработки, надежность и т.п. Так, в случае регистрации и контроля доступа на крупном предприятии важна скорость обработки большого объема информации, на небольшом предприятии – ценовая рентабельность системы, на критически важном – высокая надежность аутентификации и функциональная неуязвимость системы. Трудность внедрения также связана с определением понятия "цена ошибки", поскольку ошибка с допуском для рядового сотрудника – досадное происшествие, для ключевого координатора – угроза нарушения производственного процесса,
несущая серьезные материальные потери, для главнокомандующего страны – возможность катастрофы планетарного масштаба. И все же надо признать, что сравнительно недавно биометрия как область знаний получила применение в экспериментальных разработках в различных аспектах человеческой деятельности, таких как молекулярная медицина, генетика, социология, психиатрия, торговля, бытовая и организационная сфера, борьба с международной преступностью и терроризмом и т.д. Также постоянно расширяется список используемых индивидуальных особенностей человека и методики их фиксации, на основе которых создаются новые биометрические технологии. Например, одна из последних разработок – метод идентификации "CEREBRE" – Cognitive Event Rеlated Biometric Recognition (биометрическое распознавание на основе когнитивных событий), – созданный учеными из Бингемтонского университета (Бингемтон, штат Нью-Йорк, США) и использующий "отпечатки мозга" (brainprints) – волновую картину мозговой деятельности человека.
* FAR (False Acceptance Rate) – вероятность ложного совпадения биометрических характеристик двух людей. ** FRR (False Rejection Rate) – вероятность отказа доступа человеку, имеющему допуск, или иной сценарий отказа в идентификации.
52 •
petrova 9/5/16 1:24 PM Page 53
www.itsec.ru
КОНТРОЛЬ ДОСТУПА
Однако при всем многообразии разрабатываемых в наше время биометрических технологий в практическом применении пока преобладают три основных направления: l криминалистика; l системы контроля и управления доступом (СКУД); l кредитно-банковская сфера. Первое направление имеет наиболее продолжительную официальную историю (более века) и является довольно консервативным в отношении выбора методов и средств, поскольку в этой сфере их применение требует серьезного научного и правового обоснования. Второе направление получило свое развитие относительно недавно (20–25 лет) с увеличением объема носителей информации и повышением скорости ее обработки. Оно сейчас и лидирует на рынке по объему и многообразию предлагаемого продукта и услуг. Третье направление активно обсуждается в плане перспективы применения методов многофакторной аутентификации
мально носит гипотетический характер, а в локальных масштабах – пока только эмпирический. На практике индивидуальная характеристика должна быть выражена в такой степени, при которой в процессе создания образа, его цифровой свертки с использованием определенных математических алгоритмов и сравнения с имеющимся образцом (верификации) не должна возникать погрешность, способная привести к ошибочному решению (идентификации). В этом аспекте существенную роль играет качество применяемых методов и средств фиксации и оценки показателей соответствующих биометрических данных (надежность, доступность, скорость обработки, стоимость и т.д.). В связи с этим технология многофакторной аутентификации подразумевает применение совокупности нескольких биометрических технологий, что позволяет существенно повысить точность и унифицировать процедуру оценки подлинности субъекта.
В случае регистрации и контроля доступа на крупном предприятии важна скорость обработки большого объема информации, на небольшом предприятии – ценовая рентабельность системы, на критически важном – высокая надежность аутентификации и функциональная неуязвимость системы.
(МФА) с использованием биометрических технологий в кредитно-банковской сфере. Безусловно, рано или поздно это будет реализовано, но сначала предстоит долгая борьба между комплексом средств защиты финансового статуса субъекта и различными злонамеренными сценариями его компрометации и фальсификации. А как известно, любая борьба предусматривает много затрат и потерь, размер которых пока может превзойти преимущества, обусловленные применением новых технологий. Построение системы многофакторной аутентификации основано на использовании сочетания наиболее применимых с технологической точки зрения индивидуальных признаков субъекта. При рассмотрении данного подхода следует оговориться, что утверждение об абсолютной уникальности той или иной биометрической характеристики в планетарном масштабе фор-
Однако это преимущество порождает, в свою очередь, целый ряд серьезных проблем. Вот только несколько аспектов: l Применяемые сейчас различные инструменты аутентификации – ключи, пароли, PINкоды, токены, Smart-карты, документы и др. – можно забыть, потерять, украсть, дискредитировать и т.д., но их защита в какой-то мере во власти их владельца, и они заменяемы. В то же время биометрические признаки неотделимы от их хозяина и не отзываемы. Они не обладают конфиденциальностью, поскольку большую часть образов, практически употребляемых для создания индивидуального многофакторного биометрического профиля, можно получить и обработать без ведома субъекта (голос, походка, отпечатки пальцев и ладоней, двух- и трехмерное изображение лица, рисунок сетчатки глаза, рисунок вен поверхности руки в ИК-съемке, ДНК и др.).
l Существующие в настоящее время базы данных биометрических параметров носят тематически-целевой характер и ориентированы на хранение кодов одного индивидуального фактора (редко гибрид) и, как правило, содержат информацию об относительно небольшом количестве субъектов. В свою очередь, базы для многофакторной аутентификации, безусловно, сначала будут функционально пересекаться и поглощать друг друга, а значит – унифицироваться и объединяться. В таком случае, столкнувшись с необходимостью аутентификации в любой сфере – финансовой, административной, бытовой, медицинской и т.д. – каждый индивидуум получит кодовую маркировку, применимую в иных аспектах по его желанию или независимо от его воли. Обобщая вышеизложенное, можно сказать, что преследуя цели создания инструментов защиты, управления и использования информации, мы создаем некую новую сущность в информационном поле. А для этой информационной сущности необходима принципиально новая идеология ее защиты, с иными средствами управления ею и с морально-правовой платформой для ее использования, отличная от существующей. И очень важно, чтобы эта идеология сформировалась задолго до появления реальной возможности применения тотальной многофакторной биометрической маркировки человека. l
При всем многообразии разрабатываемых в наше время биометрических технологий в практическом применении пока преобладают три основных направления:
l криминалистика;
l системы контроля и управления доступом (СКУД);
l кредитно-банковская сфера.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 53
smart 9/5/16 1:23 PM Page 54
ТЕХНОЛОГИИ
Какой должна быть DLP?
П
еред каждой компанией, принявшей решение о внедрении системы предотвращения утечек данных (Data Leak Prevention – DLP), встает непростая задача формирования основных требований к этой системе в условиях отсутствия у персонала экспертизы и опыта в этой области. Какова логика этого процесса, в чем его специфика, каковы типовые основные требования к современным DLP-системам? В этой статье мы постарались кратко ответить на эти вопросы, обобщив 20-летний опыт взаимодействия с клиентами компании “Смарт Лайн Инк" из более чем 90 стран мира, использующими программный комплекс DeviceLock DLP. Мы уверенно ссылаемся на свой опыт, поскольку все 20 лет развития компания живет исключительно на заработанные средства, не привлекая инвесторов – что было бы невозможным, если не учитывать интересы и запросы клиентов.
Что требуют клиенты
Black Hat Survey: Инсайдер – самая опасная угроза Возможности взлома с участием инсайдеров и их вовлеченность в наиболее популярные среди хакеров методы взлома хорошо известны специалистам по ИБ. Именно поэтому участники двух последних конференций Black Hat рассматривают угрозы, связанные с инсайдерами, как имеющие наивысшую степень риска для корпоративной ИБ. Именно поэтому ключевой посыл, который мы слышим от наших клиентов, – "самое важное, что должно уметь DLP-решение, – это остановить инсайдерские утечки данных".
54 •
Для наших клиентов DLPсистема является одним из инструментов управления рисками информационной безопасности. С одной стороны, этот подход ставит задачей DLP-систем снижение бизнесрисков, связанных с утечками данных ограниченного доступа. С другой стороны, организациям необходимо минимизировать расходы на приобретение и эксплуатацию таких систем (Total Cost of Ownership – TCO). Оба требования важны, и их сбалансированная реализация обеспечивает управляемость рисками ИБ. Настоящая статья посвящена тем основным бизнес-критериям и требованиям при выборе DLP-системы, которые определяют ее функциональные возможности предотвращать утечки данных. Критерии и требования, влияющие на совокупную стоимость владения (TCO) системами DLP, будут рассмотрены во второй статье цикла. Использование управления рисками как парадигмы выбора технического решения предполагает формирование нескольких ключевых критериев биз-
нес-уровня, используемых затем для выработки основных функциональных требований к DLP-системам. У организаций-клиентов "Смарт Лайн" ключевые бизнес-критерии выбора DLP базируются на следующих положениях: l В целях минимизации возможных утечек данных DLPрешение должно в первую очередь обеспечивать нейтрализацию наиболее опасных векторов угрозы утечки информации. l Негативное влияние угроз должно быть снижено в дополнение к нейтрализации ключевых угроз посредством мониторинга и контроля всех основных каналов утечки информации во всех сценариях, связанных с этим вектором угроз. l Для каждого защищенного канала превентивный контроль должен быть как можно более полным, эффективным и надежным. Полнота контроля прямо зависит от того, все ли возможные варианты механизмов утечки данных для этого канала находятся под контролем или только некоторые из них. Эффективность DLPрешений определяется их производительностью. Наконец, надежность в контексте DLP означает защищенность от вмешательства пользователя в работу решения – т.е. защиту от преднамеренных или случайных действий пользователя, направленных на прекращение нормальной работы DLP-системы или изменение заданных службой ИБ политик контроля. l Поскольку полностью избежать инцидентов с утечками данных невозможно в принципе,
выявленные инциденты должны быть проанализированы для выявления нарушителей, а обстоятельства и факторы возникновения должны быть учтены для разработки соответствующих мер противодействия в дальнейшем. Не менее важным является и анализ предотвращенных попыток противоправных действий с корпоративными данными. Возможность облегчения и автоматизации этих процессов является еще одним ключевым фактором для DLP-решения. Каждый из перечисленных высокоуровневых критериев может быть связан с функциональными требованиями к DLPрешениям.
Наиболее значимые утечки связаны с инсайдерами Наши клиенты видят наибольшую угрозу утечки данных в процессах обработки данных ограниченного доступа пользователями корпоративных ИС (включая сотрудников, подрядчиков, партнеров и др.) в ходе выполнения их рабочих задач. Почему же корпоративные инсайдеры создают так много проблем? По той причине, что, с одной стороны, именно они создают, используют и хранят конфиденциальную информацию. Но с другой стороны, человеческая природа неизменна, и инсайдеры так и будут допускать случайные ошибки, будут любознательными, небрежными. Будут намеренные проступки. Будут продажи корпоративных секретов. Наконец, будут жертвы социальной инженерии (например, фишинга).
smart 9/5/16 1:23 PM Page 55
www.itsec.ru
КОНТРОЛЬ ДОСТУПА
Во всех этих случаях действия инсайдера могут повлечь утечку данных: например он может скопировать конфиденциальную информацию на съемный накопитель, переслать по электронной почте другому получателю, залить на файлообменный облачный сервис с открытым доступом "для всех". Рынок и отраслевая статистика полностью подтверждают мнение наших клиентов – большинство зарегистрированных случаев утечки данных действительно связаны с инсайдерами. Важно отметить, что не все инциденты были инициированы самими инсайдерами – но многие утечки стали возможными благодаря внешним факторам, в том числе социальной инженерии и взлому. Бизнес также требует, чтобы все эти DLP-функции в равной степени защищали не только пользователей внутри корпоративного периметра (в офисе), но и работающих вне офиса – в путешествии, дома или в отпуске. Ключевой посыл, который мы слышим от наших клиентов, – "самое важное, что должно уметь DLP- решение – это остановить инсайдерские утечки данных в любом сценарии".
Превентивный контроль: качество, эффективность и надежность Качество превентивных DLPконтролей в канале потенциальной утечки зависит от их полноты – т.е., насколько много возможных вариаций, механизмов и сценариев утечки предотвращает DLP-система в данном канале передачи данных. Вот несколько примеров, поясняющих критичность полноты контроля: l SMTP-почта: инспекция содержимого (контента) исходящих сообщений и вложений для любого почтового SMTPклиента, а не только для MS Outlook, Thunderbird и IBM/Lotus Notes; l Web-почта: инспекция контента исходящих сообщений и вложений при использовании любого Web-браузера, а не только Internet Explorer, Firefox и Chrome; l Instant Messengers: инспекция контента не только отправляемых файлов, но и исходящих сообщений.
Для эффективного предотвращения утечек данных необходимо, чтобы как контекстные, так и контентно-зависимые механизмы могли быть гибко и вариативно использованы в DLP-политиках. Проще говоря, первоначально разрешенное использование различных каналов передачи данных (контекст передачи) должно быть ограничено до приемлемого минимума, не нарушающего бизнес-процессы. И уже затем для блокировки передачи данных, утечка которых недопустима, используется проверка содержимого – контентная фильтрация. При этом также следует иметь в виду, что даже самая высококлассная DLP-система будет бесполезной, если не может защитить сама себя от умышленных действий инсайдера, направленных на вмешательство в работу DLP или ее остановку. Поэтому наши клиенты требуют, чтобы DLPсистема обеспечивала надежную защиту от вмешательства пользователей, в том числе с правами локальных администраторов.
DLP для аудита и инцидент-менеджмента в ИБ Для обеспечения аудита событий информационной безопасности и расследования инцидентов, связанных с утечками данных, DLP-решение должно обладать эффективной подсистемой журналирования, теневого копирования и тревожного оповещения. При этом такая подсистема должна обладать следующими качествами: l централизация и высокая доступность, обеспечиваемая поддержкой множества серверов и отказоустойчивой централизованной базой данных; l автоматический сбор данных в централизованную БД, адаптивный к изменениям в сетевом окружении и текущей доступности инфраструктурных компонентов DLP-системы; l создание полных копий объектов данных, нарушающих DLP-политики и вызвавших срабатывание функций предотвращения утечки; l тревожные оповещения для корпоративных SIEM-систем и администраторов безопасности о значимых событиях в режиме реального времени;
l наличие инструментария для облегчения анализа собранных данных. Здесь хотелось бы особо отметить, что наличие множества аналитических инструментов, выполненных в высококачественной графике и позволяющих рисовать разные "картины" и "досье", будет бесполезным, если им будет нечего анализировать или анализ будет строиться по ограниченному набору контролируемых каналов передачи данных.
Важно не особенное, а необходимое Подводя заключение к вышеприведенным ключевым функциональным требованиям к DLP-решениям, определенным нашими клиентами, следует сказать, что ничего экзотического в основных требованиях нет, это типичные требования для DLP-индустрии от корпоративного рынка. Главное для клиентов – чтобы все аккуратно сформулированные ими по принципу "ничего не забыть" основные функциональные требования к DLP-решению были полностью поддержаны в выбранном продукте, доступном на рынке в уже реализованном виде, а не в перспективе или с оговорками. Однако реальность далека от идеала – многие предлагаемые DLP-системы не удовлетворяют требованиям полностью. И здесь с удовлетворением хочу заметить, что наш продукт – DeviceLock DLP – удовлетворяет этим основным требованиям с высокой степенью полноты. l
Подсистема сбора данных должна также обладать полнотой, как и функционал превентивного контроля, охватывая множество различных вариаций, механизмов и сценариев утечки – фиксируя все попытки пользователей использовать самые разные каналы потенциальной утечки.
* На правах рекламы
NM АДРЕСА И ТЕЛЕФОНЫ АО "СМАРТ ЛАЙН ИНК" см. стр. 68
• 55
petrenko 9/5/16 1:23 PM Page 56
ТЕХНОЛОГИИ
Применение криптографии в качестве сервиса для мобильных приложений Сергей Петренко, менеджер отдела научных исследований и развития продуктов, ОАО “ИнфоТеКС"
Руслан Щучинов, ведущий программист отдела мобильных решений ОАО “ИнфоТеКС"
А
ктуальность вопросов обеспечения информационной безопасности в мобильных устройствах растет вместе с популярностью их использования. В данной статье мы коротко рассмотрим некоторые аспекты применения криптографических методов защиты информации для мобильных платформ.
Применение криптографии в персональных мобильных устройствах При использовании мобильного устройства в личных целях имеют место следующие сценарии, при которых применяется криптография.
Защищенные коммуникации "точка– точка"
При использовании мобильного устройства в личных целях имеют место следующие сценарии, при которых применяется криптография:
l защищенные коммуникации "точка–точка";
l доступ к системе ДБО;
l электронная цифровая подпись;
l NFC-платежи.
56 •
Многим бы хотелось, чтобы их личные разговоры по мобильным телефонам были защищены и недоступны третьим лицам. Однако изначально "защищенная" сотовая связь стандарта GSM по факту таковой уже не является в силу постоянно растущего количества обнаруженных закладок и уязвимостей в протоколах защиты мобильной связи (A3, А5, A8, G4 и др.), мобильных ОС и аппаратной части устройств. Кроме того, известны случаи "прослушки" абонентов с использованием поддельных базовых станций, в том числе передвижных, есть атаки на сами базовые станции с возможностью перехвата управления и т.д. Использование наложенных криптографических механизмов потенциально может обеспечить конфиденциальность связи в сотовой сети, но сценариев их массового применения пока нет. Известны лишь экзотические варианты, например приобретение и использование группой людей для связи между собой одинаковых "криптотелефонов" (Blackphone, Cryptophone и др.).
Доступ к системе ДБО Получение некоторых банковских услуг возможно через специальное приложение, которое предоставляет пользователю удаленный доступ с его мобильного устройства к сервисам банка. Защита соединения при таком доступе в большинстве решений реализуется по протоколу SSL на основе встроенных в мобильную ОС иностранных криптоалгоритмов, а доверие обеспечивается набором предустановленных корневых сертификатов. В этой схеме имеется ряд уязвимостей, таких как компрометация корневых сертификатов, установка вредоносным ПО поддельных сертификатов и т.д. Серьезную потенциальную опасность также представляют ошибки разработчиков при реализации SSL, поэтому особое внимание необходимо уделять вопросам безопасной разработки ПО.
Электронная цифровая подпись Удаленно использовать ряд сервисов, например предоставляемых порталом государственных услуг, можно при наличии квалифицированной ЭЦП, реализация которой требует наличия сертифицированных ФСБ России средств криптографической защиты информации (далее – СКЗИ). Исходя из этого, использование квалифицированной ЭЦП на мобильном устройстве сопряжено с решением специфических задач, таких как контроль распространения СКЗИ, безопасное хранение ключей в устройстве и др. Альтернативным путем является реализация ЭЦП непосредственно на SIM-карте.
Такой сценарий, например, уже начал реализовываться в этом году в Казахстане в рамках проекта "Мобильное правительство". В России реализация ЭЦП на SIM-карте потенциально интересна по следующим причинам: l на российском рынке есть примеры сертификации программных СКЗИ, реализованных на иностранных чипах и сертифицированных по классу КС3, чего нельзя сказать про СКЗИ для мобильных платформ, а SIM-карта по сути и является микрочипом иностранного производства; l российские производители микросхем технологически уже готовы выпускать "отечественные" SIM-карты – сертификация СКЗИ на таких чипах может быть заметно проще и быстрее, чем на SIM-картах иностранного производства; l SIM-карта выдается при обязательном предъявлении паспорта; запросив дополнительно к паспорту СНИЛС, можно выполнить требование по установлению личности владельца при выдаче квалифицированного сертификата ЭЦП. Вариант размещения ЭЦП на SIM-карте в течение последних нескольких лет достаточно активно прорабатывался как Минкомсвязи России, так и операторами сотовой связи и некоторыми вендорами СКЗИ. Однако реального воплощения в жизнь пока так и не получил.
NFC-платежи При наличии в мобильном телефоне NFC-модуля и Secure Element (далее – SE) определенные технические решения позволяют "превратить" его
petrenko 9/5/16 1:23 PM Page 57
www.itsec.ru
КРИПТОГРАФИЯ
в "электронный кошелек" для совершения бесконтактных платежей. SE представляет из себя отдельный микрочип, отвечающий за информационную безопасность, и бывает нескольких типов: встроенный (Embedded SE), отчуждаемый (Removable SE – microSD-карта) или SE на U-SIM. Для реализации "на борту" телефона виртуальной платежной карты необходима поддержка в SE международных стандартов (например, EMV) и соответствующих им криптоалгоритмов (3DES, RSA, SHA). Массового распространения технология NFC-платежей с мобильного телефона в России пока не получила, но уже есть отдельные пилотные проекты и работающие сервисы.
Разработка криптографического ПО Существует как минимум три важных отличия в разработке ПО для мобильных устройств от создания приложений для ПК. 1. Дефицит памяти. ОС Android 4 может ограничить размер выделенной для приложения оперативной памяти объемом в 64 Мбайт. Это означает, что Android-приложение, работающее с большими файлами, не может, например, сначала сформировать нужную структуру формата PKCS#7 в памяти, а затем записать ее в файл. Возможный дефицит памяти приходится учитывать на всех уровнях приложения вплоть до чтения и записи сущностей в формате стандарта двоичного кодирования информации ASN.1. Отсюда следует, что поточность, т.е. способность программы обрабатывать большие массивы данных порциями, а не целиком, должна закладываться в мобильное приложение с криптографией еще на этапе проектирования. Заказчик системы электронного документооборота может, например, предъявить требование поддержать шифрование файлов объемом до 200 Мбайт. Для разработчиков это означает, что файлы в формате PKCS#7 на мобильных устройствах могут записываться только в поточном режиме с помощью TLV-элементов неопределенной длины. А это уже влияет на выбор модуля для работы с ASN.1, реализацию стандарта PKCS#7 и т.д.
2. Высокие требования к быстродействию программы. Из-за разной производительности платформ скорость работы алгоритма на ПК и на смартфоне может отличаться на порядки, но пользователь не должен этого ощутить. Поэтому в разработке мобильного ПО нельзя списать задачи оптимизации алгоритмов в технический долг – их необходимо решать еще до выпуска приложения. Каждый из российских криптоалгоритмов имеет свои способы повышения скорости работы. В алгоритме шифрования ГОСТ 28147–89 вместо стандартной таблицы узлов замены можно использовать расширенный вариант таблицы с "утопленной" операцией циклического сдвига. В новой функции хеширования ГОСТ Р 34.11–2012 трудоемким является линейное преобразование L, которое можно оптимизировать, вычислив заранее результаты для комбинаций из 8 бит. Одна из самых "тяжелых" операций в криптографии – процедура создания/проверки подписи. В алгоритмах ГОСТ Р 34.10–2012 эту процедуру можно оптимизировать сразу по трем независимым направлениям: l оптимизация алгоритма нахождения кратной точки эллиптической кривой; l использование неаффинных координат для представления точек эллиптической кривой; l ускорение операций в конечном поле, например реализация эффективного умножения. 3. Реализация. Возможности для кастомизации криптографии в иностранных мобильных ОС сильно ограничены, что вынуждает российских разработчиков искать нестандартные решения. Например, если в Android-приложении стандартный элемент WebView должен показывать HTTPS-страницы с ГОСТ TLS, программе необходимо сначала "добраться" до системного класса, обслуживающего HTTPS-соединения, заменить в нем фабрику SSL-сокетов на собственную, поддерживающую Cipher Suites с алгоритмами ГОСТ и уже после этого открыть заданную HTTPS-ссылку. На практике это можно реализовать, например, с использованием методов рефлексивноориентированного программирования.
Криптография во вредоносном ПО К сожалению, разработчики вредоносных программ также используют криптографию в своих целях, а именно для сокрытия вредоносного кода и его активностей от антивирусного ПО и вирусных аналитиков. Криптоалгоритмы позволяют обфусцировать вредоносный код и максимально обезопасить его от обратной разработки, а также предоставляют возможность защитить канал удаленного управления. Зашифровываться могут: l SMS-коды и сообщения; l адреса удаленных ботнетсерверов; l канал передачи данных удаленному серверу; l имена функций, переменных и файлов, используемых в коде; l исполняемые и бинарные файлы, содержащие вредоносный функционал. Данный сценарий ставит перед нами нетривиальные задачи обнаружения и реверсинжиниринга вредоносного кода, поиска ошибок в реализации криптоалгоритмов (статически "прописанный" ключ и т.д.) и, собственно, криптоанализа. Резюмируя, можно сказать, что использование криптографии в мобильных устройствах имеет, с одной стороны, множество нерешенных вопросов, а с другой – большой потенциал для развития и, как следствие, является очень перспективной сферой для изучения российским криптографическим сообществом. l
Встраивание криптографии Для наиболее популярных мобильных платформ (Android и iOS) встраивание криптографии возможно по двум вариантам, каждый из которых имеет свои особенности. 1. Получение прав "суперпользователя" (Jailbreak для iOS и UnlockRoot для Android) и размещение криптобиблиотек на уровне ядра ОС с заменой системной криптографии на "свою". 2. Встраивание криптографии через предоставляемый ОС специальный API. Такой интерфейс доступен в OC Android и iOS начиная с версий 4.х и 9.х соответственно. Этот путь выглядит более предпочтительным, т.к. реализация происходит легитимным путем, и сохраняется работоспособность всех системных средств защиты платформы.
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
• 57
baranov 9/5/16 1:23 PM Page 58
ТЕХНОЛОГИИ
Электронная подпись: от технических проблем к организационно-правовому аспекту Александр Баранов, заместитель генерального директора АО “ГНИВЦ", заведующий кафедрой информационной безопасности НИУ ВШЭ
Е
сли десять лет назад о том, что такое электронная подпись, знали десятки, максимум сотни человек по всей России, то сегодня с ней знакомы миллионы. За эти годы мы накопили достаточно опыта, чтобы решить все технические вопросы. Решена даже проблема визуализации в разных операционных системах, которая вначале представлялась катастрофичной. И вот, когда все технические аспекты кажутся легко решаемыми, возникли сложности в организации работы с электронной подписью. И эта проблема, на мой взгляд, сложнее, чем техническая.
Мертвые души
Электронная подпись неразрывно связана с электронным документом. А электронный документ с юридической точки зрения – ничто. Ни в каком законе четко не закреплено, каковы юридические последствия этого электронного файла. Как его встроить в судебное доказательство? В первую очередь, проблемы электронных документов связаны с тем, что они легко размножаются. Электронную подпись по сравнению с обычной очень просто подделать.
58 •
Когда велась работа над созданием Федерального закона № 63-ФЗ "Об электронной подписи", мы предупреждали, что нельзя выпускать его в таком виде, в каком он был принят в Европейском союзе. У нас еще нет такой богатой практики использования электронной подписи, в том числе правоприменительной: и население еще не готово, и традиции еще не сложились. Самая главная ошибка заключалась в том, что к работе над этим законом не были привлечены структуры, имеющие дело с последствиями применения электронной подписи, – ФСБ, МВД, прокуратура, Следственный комитет, оперативные службы. Фактически этот документ составлялся законопослушными гражданами для законопослушных граждан, которые не понимают криминальный ум. В результате бре-
шами в законе № 63-ФЗ начали успешно пользоваться злоумышленники для реализации своих преступных схем. Оказалось, что электронная сущность может жить независимо от человека. Один из свежайших примеров. Умер человек, директор предприятия, а его электронная подпись действительна в течение года. Предприятие продолжает пользоваться его электронной подписью, сдавая под ней отчетность. А как выяснить, жив владелец подписи или нет? Обзванивать все учреждения? Более того, отозвать электронную подпись практически невозможно. Пока суд не признает человека официально пропавшим, удостоверяющий центр не имеет права отозвать подпись. И мошенники этим пользуются. Более того, подставные лица специально оформляют на себя компании, а потом пропадают. И все это позволяет делать электронная подпись вследствие простоты ее использования. Одним из способов решения этой проблемы могут стать специальные электронные метки, как в загранпаспортах, которые мошенники уже не смогут подделывать. Принципиально важно отчуждить результат подписи от ее владельца. Причем для реализации этого варианта не потребуется дополнительно нагружать госбюджет. Расходы можно переложить на клиентов, предложив им такую метку в качестве опции для
выбора: вряд ли владелец многомиллионной квартиры пожалеет 200–300 рублей, чтобы быть уверенным, что в нее не прописался посторонний. Не будешь же каждые 2–3 дня проверять в Росреестре, числится ли квартира за тобой или уже нет. Такая же ситуация с банками и крупными вкладами.
Подвести фундамент Электронная подпись неразрывно связана с электронным документом. А электронный документ с юридической точки зрения – ничто. Ни в каком законе четко не закреплено, каковы юридические последствия этого электронного файла. Как его встроить в судебное доказательство? В первую очередь, проблемы электронных документов связаны с тем, что они легко размножаются. Электронную подпись по сравнению с обычной очень просто подделать. Вторая опасность заключается в том, что недобросовестный владелец электронной подписи всегда может переподписать документ, поменяв в нем, к примеру, реквизиты или другие данные. Поэтому нужно разработать закон об электронном документе. Как может быть электронное общество без закона об электронном документе в стране, в которой электронный документооборот используется в полном объеме и продолжает развиваться? Не имея закона об электронном документе,
baranov 9/5/16 1:23 PM Page 59
www.itsec.ru
КРИПТОГРАФИЯ
мы, по сути, не знаем, с чем работаем. Непонятно, почему до сих пор не организована работа над созданием такого закона, ведь для этого есть все условия: есть необходимые юристы и квалифицированные специалисты в ФСБ и в Минкомсвязи.
Лучше меньше, да лучше Электронная подпись, как известно, зиждется на удостоверяющих центрах, которые связывают ее с личностью конкретного человека. За время функционирования удостоверяющих центров к ним назрел целый ряд вопросов. Какова квалификация их сотрудников? А какова процедура идентификации? Она где-нибудь прописана, закреплена? Удостоверяющие центры не имеют возможности проверить действительность паспортов, которые им предъявляют. А уж то, что удостоверяющий центр вынужден выдавать квалифицированную электронную подпись по рукописной доверенности, – вот где успешно реализуемая основа для мошенничества! Поэтому удостоверяющих центров не может быть 400 штук. Давайте посмотрим, сколько таких центров в других странах, например в Соединенных Штатах. Не больше пяти. Невозможно управлять 400–500 организациями, которые осуществляют деятельность, потенциально интересную для мошенников. Неизвестно, появились ли уже центры-однодневки, но при соответствующем объеме и это явление не заставит себя долго ждать.
Руководит деятельностью 400–500 удостоверяющих центров Министерство связи и массовых коммуникаций Российской Федерации, где работает 200–250 сотрудников. А ФСБ контролирует только техническую сторону: следит, чтобы у центров были сертифицированные средства, чтобы они действовали по соответствующим правилам. Причем в Минкомсвязи нет отдельной службы, которая отвечала бы за удостоверяющие центры, и неизвестно, есть ли специальный отдел. По крайней мере, по всем проблемам приходится общаться с департаментом, который занимается не только удостоверяющими центрами, но и многими другими вопросами. Они просто не могут справиться с проблемой удостоверяющих центров и электронной подписи хотя бы потому, что они гражданские лица, не понимающие криминальную психологию и не представляющие многообразие мошеннических схем. А какую финансовую ответственность несут удостоверяющие центры за убытки, причиненные третьим лицам? В общей сложности около трех миллионов рублей. А какой регламент работы с запросами на проверку действительности электронной подписи? Сроки, в которые удостоверяющие центры должны предоставить соответствующую информацию, не прописаны. Поэтому количество удостоверяющих центров необходимо сокращать, жестко регламентировать их деятельность и очень тщательно их контролировать.
Перенос акцента Все вышеизложенное указывает на то, что с момента внедрения электронной подписи произошло серьезное смещение акцента. Сегодня проблемной представляется не техническая сторона, не математическая, а организационно-правовая. Возможно, организационно-правовые вопросы кажутся сложнее теперь, когда мы за прошедшие десять–шестнадцать лет преодолели технические трудности и теперь лицом к лицу столкнулись с правоприменительной практикой. Несомненно, техническая сторона по-прежнему остается интересной, но уже не первостепенной. Сейчас первостепенны две вещи: закон об электронной подписи и выдача массовому клиенту фиксирующего документа о том, что он работал с определенными структурами – банками, реестрами и пр. l
Электронная подпись, как известно, зиждется на удостоверяющих центрах, которые связывают ее с личностью конкретного человека. За время функционирования удостоверяющих центров к ним назрел целый ряд вопросов. Какова квалификация их сотрудников? А какова процедура идентификации? Она гденибудь прописана, закреплена?
Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
Хотите подписаться? Заканчивается подписка? Изменился адрес? Заполните анкету на нашем интернет-сайте:
http://www.itsec.ru Теперь, заполнив одну анкету, Вы можете стать подписчиком журналов и тематических каталогов издательства «Гротек» ПРИМЕЧАНИЯ: 1. Заполненная анкета дает право на бесплатную квалифицированную подписку на территории России. 2. Издательство оставляет за собой право присвоения квалификации подписчика на издания.
Анкета действительна при условии заполнения всех полей. • 59
samatov 9/5/16 1:23 PM Page 60
ТЕХНОЛОГИИ
Актуальные вопросы применения электронных подписей Константин Саматов, начальник отдела по защите информации ТФОМС Свердловской области, член АРСИБ, преподаватель информационной безопасности УРТК им. А.С. Попова
В
сегодняшних реалиях, связанных с повсеместным развитием информационных технологий, широкое распространение получают информационные системы, использующие в технологических процессах механизмы электронных подписей. При этом на практике специалисты испытывают массу затруднений, связанных с применением различных ее видов. В том, что такое электронная подпись, где и как она применяется, мы и попробуем разобраться в данной статье.
Что такое электронная подпись?
Согласно ГОСТ Р 7.0.8–2013: Подлинный документ – документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения. Подписание (документа) – заверение документа собственноручной подписью должностного или физического лица по установленной форме. Подпись – реквизит, содержащий собственноручную роспись должностного или физического лица.
60 •
Согласно ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи" электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Полагаю, что такое непростое определение как раз и затрудняет правильное восприятие электронной подписи. Вообще электронную подпись следует рассматривать в трех аспектах: 1) информация, которая присоединена к другой информации или иным образом связана с ней и на основе которой можно определить автора, т.е. непосредственно то лицо, которое подписало данный документ; 2) реквизит документа, т.е. некая обязательная часть документа, т.к. именно подпись делает из электронного сообщения документ; 3) аналог собственноручной подписи. Реквизит документа – это элемент оформления документа (ГОСТ Р 7.0.8–2013). Правила оформления и порядок расположения реквизитов документов содержатся в ГОСТ Р 6.30–2003 "Унифицированные системы документации. Унифицированная система организационно-распорядительной доку-
ментации. Требования к оформлению документов". Согласно ГОСТ Р 7.0.8–2013: Подлинный документ – документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения. Подписание (документа) – заверение документа собственноручной подписью должностного или физического лица по установленной форме. Подпись – реквизит, содержащий собственноручную роспись должностного или физического лица. Говоря об аналогах собственноручной подписи, коим, в частности, является электронная подпись, следует отметить, что аналоги были известны еще со времени принятия первой редакции Гражданского кодекса Российской Федерации (ГК РФ), т.е. с 1995 г. Так, ч. 2 ст. 160 ГК РФ предусматривает использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи – в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. Указанный принцип был впоследствии заимствован Федеральным законом от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и, конечно же, Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи".
В соответствии с ч. 4 статьи 11 Федерального закона от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" в целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами. Таким образом, изначально характерный для сферы частных (гражданских) правоотношений принцип возможности использования аналога собственноручной подписи перекочевал в сферу публичных правоотношений, что и явилось, по мнению автора, толчком к началу широкого применения электронной подписи в практике.
Виды и типы электронных подписей Рассматривая вопрос электронной подписи и ее практического применения, нельзя не затронуть вниманием виды электронной подписи. Федеральный закон "Об электронной подписи" выделяет два вида – простая электронная подпись и усиленная электронная подпись. Последняя, в свою очередь, подразделяется на два типа:
samatov 9/5/16 1:23 PM Page 61
www.itsec.ru
КРИПТОГРАФИЯ
неквалифицированная электронная подпись и квалифицированная электронная подпись. 1. Простая – электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Самый распространенный пример простой электронной подписи – это PIN-код банковской карты. 2. Усиленная электронная подпись: l Неквалифицированная электронная подпись: 1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи; 2) позволяет определить лицо, подписавшее электронный документ; 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; 4) создается с использованием средств электронной подписи. l Квалифицированная электронная подпись: 1) соответствует всем признакам неквалифицированной электронной подписи; 2) ключ проверки электронной подписи указан в квалифицированном сертификате, т.е. сертификате, выданном аккредитованным удостоверяющим центром; 3) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи". Важно понимать, что усиленная электронная подпись отличается от простой использованием криптографических алгоритмов, а неквалифицированная от квалифицированной тем, что последняя может быть выдана только организацией (удостоверяющим центром), имеющей соответствующую аккредитацию. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью: 1. Квалифицированная усиленная электронная подпись
считается полноценным аналогом собственноручной подписи по умолчанию, т.е. во всех случаях, кроме случая, когда в законодательстве предусмотрено составление документа исключительно на бумажном носителе. Надо сказать, что, например, автору такие случаи неизвестны. Даже "консервативное" бухгалтерское и налоговое законодательство благодаря внесенным в него в последние годы изменениям позволяет использовать усиленную квалифицированную электронную подпись как для текущей бухгалтерской (налоговой) документации, так и для архивной. 2. Простая или усиленная неквалифицированная электронная подпись будут являться полноценным аналогом собственноручной только в случаях, прямо предусмотренных в действующем законодательстве, либо если есть соглашение сторон, обменивающихся электронными документами. Опять же, следует отметить, что автору неизвестны нормативно-правовые акты, устанавливающие условия использования простой либо неквалифицированной усиленной электронных подписей, поэтому на практике юридическим гарантом признания указанных видов электронных подписей полноценным аналогом собственноручной подписи служит соглашение между участниками электронного взаимодействия. На этом рассмотрение того, что такое электронная подпись, какие бывают ее виды и каковы условия признания электронной подписи юридически значимым аналогом собственноручной подписи, можно считать законченным. Перейдем к рассмотрению вопросов ее применения.
Практические аспекты применения различных видов электронных подписей Исходя из практического опыта автора, можно сказать, что наиболее широкое применение электронные подписи получили в следующих сферах: 1. Аутентификация и авторизация пользователей информационных систем. Для реализации данных функций подходят все виды электронной подписи, начиная с простой. Вообще исходя из формального определения
простой электронной подписи, под ней можно понимать авторизацию посредством логина и пароля. В межведомственных информационных системах, в частности в СМЭВ (система межведомственного электронного взаимодействия), для аутентификации используются квалифицированные усиленные электронные подписи. 2. Сдача отчетности в налоговые органы, государственные внебюджетные фонды, органы статистики. В данном случае используется только квалифицированная усиленная электронная подпись, т.к. законодательством для данных видов документов установлено такое дополнительное требование, как заверение указанных документов печатью (ч. 3 ст. 6 Федерального закона "Об электронной подписи"). 3. Использование электронной подписи в документообороте и обмене информацией в форме электронных документов. Собственно, это основная сфера применения электронной подписи, и именно для этой цели она и предназначена. Поэтому стоит остановиться на теме использования электронной подписи в документообороте подробнее.
Согласно ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи" электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Виды и типы электронных подписей 1. Простая – электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Самый распространенный пример простой электронной подписи – это PIN-код банковской карты. 2. Усиленная электронная подпись:
l Неквалифицированная электронная подпись: 1) получена в результате криптографического преобразования информации
Применение электронной подписи в документообороте и обмене документами Давайте для начала определимся, что такое документооборот? Согласно ГОСТ Р 7.0.8–2013. "Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения" (утв. Приказом Росстандарта от 17.10.2013 № 1185-ст) под документооборотом понимается движение документов в организации с момента их создания или получения до завершения исполнения или отправки. Электронный документооборот согласно данному стандарту – это документооборот с использованием автоматизированной информационной системы (системы электронного документооборота). Здесь также важно правильно понимать, что такое документ и чем он отличается от других видов материальных носителей информации.
с использованием ключа электронной подписи; 2) позволяет определить лицо, подписавшее электронный документ; 3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания; 4) создается с использованием средств электронной подписи.
l Квалифицированная
электронная подпись: 1) соответствует всем признакам неквалифицированной электронной подписи; 2) ключ проверки электронной подписи указан в квалифицированном сертификате, т.е. сертификате, выданном аккредитованным удостоверяющим центром; 3) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи".
• 61
samatov 9/5/16 1:23 PM Page 62
ТЕХНОЛОГИИ
Согласно ГОСТ Р 7.0.8–2013. "Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения" (утв. Приказом Росстандарта от 17.10.2013 № 1185-ст) под документооборотом понимается движение документов в организации с момента их создания или получения до завершения исполнения или отправки. Электронный документооборот согласно данному стандарту – это документооборот с использованием автоматизированной информационной системы (системы электронного документооборота).
62 •
Согласно ст. 2 Федерального закона "Об информации, информационных технологиях и о защите информации": Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах. Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель. Важно понимать: l электронный документ отличается от любого другого документа только формой; l документом считается только носитель информации, содержащий определенный набор реквизитов по установленным правилам; l основным реквизитом, позволяющим "преобразовать" носитель информации в документ, является подпись. Исходя из этого, важным становится вопрос о соотношении понятий электронного документооборота и документооборота электронных копий документов. На практике нередко встречаются случаи, когда под электронным документооборотом понимается процесс движения электронных (сканированных) копий документов. Представляется, что указанное толкование является неверным. Электронным документооборотом допустимо признавать лишь оборот
носителей информации, имеющих такой реквизит, как электронная подпись. Весь документооборот состоит из двух больших потоков – это входящие и исходящие документы. Если говорить про исходящий документопоток, то на практике возникает вопрос, какой вид (тип) электронной подписи следует применять при подписании исходящих документов. Наиболее рекомендуемым типом является квалифицированная усиленная электронная подпись, т.к. она может быть использована для обмена документами с неопределенным кругом лиц. Кроме того, бухгалтерская и налоговая документация (отчетность) может подписываться только усиленной квалифицированной электронной подписью, что прямо предусмотрено действующим законодательством. Неквалифицированная электронная подпись может быть использована в обмене, когда круг его участников заранее определен (ограничен). При этом важно понимать, что в соответствии с ч. 3 ст. 6 Федерального закона "Об электронной подписи" использование неквалифицированной электронной подписи допустимо для совершения любых юридически значимых действий, включая сделки с установленными дополнительными требованиями (скрепление печатью), при условии наличия соглашения между участниками взаимодействия. Простая электронная подпись также может быть использована для совершения любых юридически значимых действий за исключением сделок с установленными дополнительными требованиями (скрепление печатью) при условии наличия соглашения между участниками взаимодействия. В то же время простая электронная подпись, как правило, не обеспечивает целостность документа, поэтому нельзя с достоверностью утверждать, что в этот документ не вносились изменения. В свете изложенного автор полагает, что использование простой электронной подписи целесообразно лишь для внутренних документов юридического лица при наличии локального нормативного акта, устанавливающего условия ее признания аналогом собственноручной подписи.
Относительно входящего документооборота. Входящий документ, подписанный усиленной квалифицированной электронной подписью, организация обязана принимать, т.к. в соответствии с Федеральным законом "Об электронной подписи" она является полноценным аналогом собственноручной подписи. На практике может возникать проблема, связанная с несовместимостью программного обеспечения, осуществляющего подписание электронных документов. Поэтому участникам электронного обмена рекомендуется договариваться о том, какое программное обеспечение они будут использовать для подписания электронных документов. Помимо несовместимости программного обеспечения, также существует проблема ведения электронного архива. Дело в том, что сертификаты электронной подписи имеют конечный срок действия. Как правило, он составляет один год. При этом в действующем законодательстве (ст. 11 Федерального закона "Об электронной подписи") предусмотрено, что квалифицированная электронная подпись признается действительной, если квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен. В случае с электронным архивом это означает, что необходимы метки, подтверждающие факт того, что сертификат был действителен на момент подписания электронного документа. В заключение необходимо отметить, что с каждым днем количество направлений для использования электронных подписей все возрастает. В данной статье я постарался кратко изложить наиболее важные вопросы, возникающие в практике использования различных видов электронных подписей, правильное понимание которых является залогом их успешного применения. l Ваше мнение и вопросы присылайте по адресу
is@groteck.ru
NEW_PROD 2 9/5/16 1:22 PM Page 63
НОВЫЕ ПРОДУКТЫ И УСЛУГИ
НОВЫЕ ПРОДУКТЫ Экономичное решение, позволяющее минимизировать угрозы финансовых потерь благодаря высокоточному обнаружению и предотвращению современных кибератак FireEye Network Security Essential Производитель: FireEye, Inc. Назначение: система Web-защиты от вредоносных программ Особенности: предотвращает целенаправленные атаки, с которыми не справляются традиционные средства защиты информации, с помощью запатентованного механизма MVX (без использования сигнатур) Возможности: l упрощенное развертывание и управление за счет высокой степени автоматизации l сниженная совокупная стоимость владения за счет доступной цены и низких эксплуатационных расходов l предотвращение потенциально возможных атак посредством машинного обучения, ретроспективного анализа и анализа слабых сигналов l обнаружение типичных и известных атак при помощи традиционной сигнатурной технологии IPS l высокая эффективность использования за счет низкого уровня ложных срабатываний и категоризации оповещений l встроенное блокирование атак в среде с 2,5 тыс. пользователей и пропускной способностью до 250 Мбит/с Характеристики: зависят от модели Ориентировочная цена: зависит от конфигурации Время появления на российском рынке: IV квартал 2016 г. Подробная информация: http://dialognauka.ru/products/fireeye/ Фирма, предоставившая информацию: ДИАЛОГНАУКА, АО См. стр. 11, 31
Комплексное решение, позволяющее минимизировать риск нарушений безопасности, ведущих к значительным финансовым убыткам, благодаря высокоточному обнаружению и предотвращению современных кибератак FireEye Network Security Power Производитель: FireEye, Inc. Назначение: система Web-защиты от вредоносных программ Особенности: предотвращает целенаправленные атаки, с которыми не справляются традиционные средства защиты информации, с помощью запатентованного механизма MVX (без использования сигнатур)
Возможности: l предотвращение потенциально возможных атак посредством машинного обучения, ретроспективного анализа и анализа слабых сигналов l обнаружение типичных и известных атак при помощи традиционной сигнатурной технологии IPS l предоставление полной информации об атаках на организацию с использованием облачного анализа угроз l высокая эффективность использования за счет низкого уровня ложных срабатываний и категоризации оповещений l комплексная защита пользователей организации – от Windows и Mac OS X до Android и iOS l интеграция с другими системами безопасности с помощью API и процессов обнаружения и реагирования l встроенное блокирование атак в среде с 40 тыс. пользователей и пропускной способностью до 4 Гбит/с Характеристики: зависят от модели Ориентировочная цена: зависит от конфигурации Время появления на российском рынке: IV квартал 2016 г. Подробная информация: http://dialognauka.ru/products/fireeye/ Фирма, предоставившая информацию: ДИАЛОГНАУКА, АО См. стр. 11, 31
Облачная консоль управления безопасностью Kaspersky Endpoint Security Cloud
Производитель: "Лаборатория Касперского" Назначение: малый и средний бизнес в отличие от крупных корпораций не может позволить себе иметь в распоряжении дорогостоящую ИТ-службу. Он нуждается в готовом решении, которое просто установить и которым просто управлять – на месте или удаленно. Именно таким решением является Kaspersky Endpoint Security Cloud Особенности: l все функции безопасности могут быть настроены и развернуты из единой консоли на всех устройствах – рабочих станциях на базе Windows, ноутбуках, файловых серверах и мобильных устройствах на базе Android и iOS
www.itsec.ru
l благодаря простому и удобному интерфейсу продукта можно быстро настроить политики и применить их ко всем рабочим местам Возможности: защита компьютеров, мобильных устройств и файловых серверов из облачной консоли управления, которая не требует покупки дополнительного оборудования и позволяет управлять системой безопасности компании с любого устройства, подключенного к Интернету Характеристики: многоуровневая защита и максимально простое управление: l облачная консоль, которая упрощает администрирование l защита компьютеров, ноутбуков и файловых серверов на базе Windows l безопасность мобильных устройств на базе iOS и Android l предустановленные политики безопасности, разработанные экспертами l полностью готовое решение – не требуется покупать дополнительное оборудование Время появления на российском рынке: сентябрь 2016 г. Подробная информация: http://www.kaspersky.ru/business-security/ small-to-medium-business Фирма, предоставившая информацию: ЛАБОРАТОРИЯ КАСПЕРСКОГО См. 4-ю обл.
Обновленная версия решения по защите баз данных с расширенным набором функций Гарда БД 4
Производитель: "МФИ Софт" Сертификат: изделие сертифицируется Назначение: защита баз данных и Web-приложений от утечек и неправомерного доступа к информации, хранящейся в базах данных любых протоколов Особенности: l гибкий конструктор политик безопасности – все учетные записи и порты под контролем l понятный пользовательский интерфейс для решения повседневных задач l высокопроизводительный съем трафика – 10 Гбит/с на типовое устройство с возможностью кластеризации
• 63
NEW_PROD 2 9/5/16 1:22 PM Page 64
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
l интеллектуальная система хранения больших массивов данных объемом до 1 Пбайт l интеграция с SIEM и Ldap l масштабируемость – подходит для территориально распределенных компаний l контролируемые объекты – СУБД: Oracle, Microsoft SQL, MySQL, PostgreSQL, Teradata, Sybase ASE, Netezza l Web-приложения: SAP Business Object, Microsoft Dynamics CRM, бизнес-приложения на основе HTTP(s)протоколов Возможности: l проверяет на легитимность все запросы пользователей баз данных в реальном времени l контролирует обращения к базам данных и приложениям вне зависимости от роли пользователей и используемого ПО l выявляет и предотвращает попытки внешнего вторжения в СУБД l автоматически обнаруживает и классифицирует базы данных в сети предприятия l производит сканирование баз на уязвимости – позволяет находить незаблокированные учетные записи, неустановленные патчи и учетные записи с простыми паролями l помогает при расследовании инцидентов – восстанавливает и анализирует информационную картину обмена данными за любой период времени Время появления на российском рынке: сентябрь 2016 г. Подробная информация: http://www.mfisoft.ru/direction/ib/garda-bd/ Фирма, предоставившая информацию: МФИ СОФТ, ООО См. стр. 68
Система для анализа и записи трафика для выявления и расследования сетевых инцидентов. Решение класса Network forensics Гарда Монитор
Производитель: "МФИ Софт" Сертификат: изделие сертифицируется Назначение: l обеспечение полноты контроля сетевой инфраструктуры на предприятии l выявление аномалий и инцидентов безопасности на сети компании
64 •
l расследование сетевых инцидентов, таких как передача HTTP-трафика на нестандартных портах, попыток вирусного заражения или установки нерегламентированного ПО Особенности: l непрерывный сбор данных при помощи сетевых мониторов l нереляционное хранилище с быстрым доступом к данным l наглядные предустановленные графические отчеты по перехваченным событиям Возможности: l мониторинг IP-трафика для анализа состояния сети организации l запись всего трафика предприятия с возможностью повторного воспроизведения любого потока данных – помогает узнать, что, где и как произошло l классификация трафика по протоколам l определение географического положения источника и получателя данных l оповещение об аномалиях в сети компании (запуск приложений, всплеск или спад сетевой активности) в режиме реального времени l ретроспективный анализ за любой временной период Время появления на российском рынке: август 2016 г. Подробная информация: http://www.mfisoft.ru Фирма, предоставившая информацию: МФИ СОФТ, ООО См. стр. 68
l не требуется выделенный канал связи между провайдером и абонентом Возможности: l абонент использует преднастроенное провайдером программное обеспечение без дополнительных настроек l решение легко масштабируется l можно установить дополнительное криптооборудование Характеристики: l IPsec VPN ГОСТ l базовый состав решения: С-Терра Виртуальный Шлюз (5 шт.) + С-Терра Клиент (5 шт.) l лицензионный договор на 1 год Ориентировочная цена: от 307 000 руб. (в рассрочку в 1-й год пользования) Время появления на российском рынке: II квартал 2016 г. Подробная информация: http://www.s-terra.ru/resheniya/ industry_solutions/s-terra-vpn-kak-servis/ Фирма, предоставившая информацию: С-ТЕРРА СИЭСПИ См. стр. 46, 47
Криптомаршрутизатор Zelax-ST
С-Терра VPN-как-сервис
Производитель: ООО "С-Терра СиЭсПи" Сертификат: сертифицированы компоненты решения: № СФ/114-2515, СФ/515-2661, СФ/114-2513, СФ/5152659, № 3370, 3371, выданы ФСБ России, ФСТЭК России Назначение: инструмент для предоставления услуги "VPN-как-сервис" с защитой каналов связи VPN-продуктами С-Терра в соответствии с ГОСТ Особенности: l решение предназначено для поставщиков услуг связи (сервис-провайдеров) l сервис-провайдер может предоставлять в пользование абоненту защищенный VPN-канал связи l не требуется установка специального оборудования
Производитель: ООО "С-Терра СиЭсПи", ООО НПП "Зелос" Сертификат: № СФ/114-2515, СФ/515-2661, СФ/124-2516, СФ/5252662, СФ/124-2517, СФ/525-2663, № 3370, выданы ФСБ России, ФСТЭК России Назначение: универсальное устройство, объединяющее функции маршрутизации, коммутации и сетевой безопасности, в том числе ГОСТ-шифрования и межсетевого экранирования; для построения и защиты сетей любой топологии и территориальной распределенности Особенности: l сделано в России l экономия пространства l высокая плотность портов Возможности: l несколько эшелонов защиты l полная функциональность маршрутизатора l все функции VPN-шлюза l интегрированный МЭ Характеристики: l IPsec VPN ГОСТ l производительность шифрования до 600 Мбит/с на TCP l коммутация на скорости проводов
NEW_PROD 2 9/5/16 1:22 PM Page 65
НОВЫЕ ПРОДУКТЫ И УСЛУГИ
Ориентировочная цена: от 351 000 руб. Время появления на российском рынке: III квартал 2016 г. Подробная информация: http://www.sterra.ru/products/catalog/ zelax-st/ Фирма, предоставившая информацию: С-ТЕРРА СИЭСПИ См. стр. 46, 47
токола Torrent, поддержка OCR в сервере полнотекстового поиска DeviceLock Search Server и др. Время появления на российском рынке: III квартал 2015 г. Подробная информация: www.devicelock.com/ru Фирма, предоставившая информацию: СМАРТ ЛАЙН ИНК, ЗАО См. стр. 54, 55
Программный комплекс DeviceLock DLP, версия 8.1
Система обнаружения атак ЗАСТАВА-IDS
Производитель: ЗАО "Смарт Лайн Инк" Назначение: выявление нарушений корпоративной политики безопасного хранения файлов, документов и данных, в том числе данных ограниченного доступа, на рабочих станциях, серверах и в сетевых хранилищах организации Особенности: l осуществляет централизованный контроль и протоколирование доступа пользователей к устройствам, портам ввода-вывода, сетевым протоколам и приложениям l обеспечивает проактивную защиту от утечки данных и проникновения вредоносных программ на рабочие компьютеры сотрудников Возможности: l предназначен для организаций, заинтересованных в простом, доступном и высокоэффективном подходе к решению задачи предотвращения утечки корпоративных данных с Windows- и Mac-компьютеров, а также виртуализованных Windows-сред l обеспечивает координированное применение полного набора механизмов контекстного контроля и контентной фильтрации для защиты от утечек данных при их использовании, передаче и хранении на корпоративных компьютерах, при этом не прерывая штатные производственные процессы l позволяет службам информационной безопасности централизованно и оперативно управлять DLP-политиками в масштабах всей организации независимо от размера ИТ-инфраструктуры l поддерживает любые LDAP-каталоги, рабочие группы и может использоваться на отделенных от общей сети рабочих станциях под управлением ОС Windows l предоставляет службам ИБ высокий уровень функциональных возможностей для DLP-защиты рабочих станций при гибкой ценовой политике l среди новых возможностей версии 8.1 – контроль IBM (Lotus) Notes, про-
Производитель: АО "ЭЛВИС-ПЛЮС" Сертификат: сертификат отсутствует Назначение: обнаружение и предотвращение компьютерных атак Особенности: l в основе: сигнатурный метод анализа сетевого трафика со скоростью передачи данных не менее 1 Гбит/с l устойчивость к техникам обхода: сборка TCP-сессий, обработка перекрывающихся TCP-фрагментов, независимость от размера IP-пакетов l компоненты: сетевой сенсор, центральный сервер Возможности: l подключение сенсоров к каналам связи по схеме "т-образие" или "в разрыв" l блокировка вредоносного трафика l маскирование наличия сенсора в контролируемой сети l настройка контролируемых подсетей и сигнатур Характеристики: l консоль управления: Web-интерфейс, набор утилит на сенсоре l безопасность: контроль целостности, аутентификация администратора Время появления на российском рынке: IV квартал 2016 г. Фирма, предоставившая информацию: ЭЛВИС-ПЛЮС, АО См. стр. 6, 7
Межсетевой экран нового поколения FortiGate 6040Е
Производитель: Fortinet Сертификат: изделие подлежит сертификации
www.itsec.ru
Назначение: для крупных распределенных сетей Особенности: доступны 6 различных наборов интерфейсов (10GbE, 40GbE, 100GbE) для соответствия требованиям клиентов Возможности: l первый продукт в серии 6000, в которую впоследствии войдут другие высокопроизводительные корпоративные межсетевые экраны l обладает беспрецедентной производительностью, поддерживает масштабирование и обеспечивает защиту высочайшего уровня, благодаря чему крупные организации получают возможность задействовать функции безопасности без снижения пропускной способности сети l разработан специально для защиты огромных потоков мобильного и облачного трафика, проходящего через сети крупнейших организаций l система безопасности Fortinet оснащена новыми специализированными процессорами обработки трафика FortiASIC Content Processor 9 поколения. Процессоры CP9 повышают производительность устройства при обработке трафика на уровне L7, требующей большого объема вычислений, например при выполнении функций антивирусной защиты, работе системы предотвращения вторжений (IPS), анализе приложений, а также при обработке SSL-трафика Характеристики: пропускная способность МСЭ: до 320 Гбит/с; пропускная способность NGFW – 80 Гбит/с Время появления на российском рынке: II квартал 2016 г. Подробная информация: https://www.fortinet.com/products-services/ products/firewall/fortigate-high-endfirewall.html Фирма, предоставившая информацию: FORTINET См. стр. 17
Высокоэффективный межсетевой экран для защиты Web-приложений FortiWeb 4000E
Производитель: Fortinet Сертификат: изделие подлежит сертификации Назначение: современная многоуровневая защита приложений в сетях средних и крупных организаций, поставщиков служб приложений и поставщиков SaaS
• 65
NEW_PROD 2 9/5/16 1:22 PM Page 66
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
Особенности: пропускная способность до 20 Гбит/с, полный объем хранения Возможности: l встроенные современные функции защиты от вредоносных программ l функции сканирования на наличие уязвимостей от Acunetix l производительность, эффективность и функционал средств Fortinet FortiWeb превосходят аналогичные показатели решений конкурентов l включают FortiSandbox и инфраструктуру защиты от продвинутых угроз, что обеспечивает всестороннюю защиту корпоративных сетей от наиболее изощренных киберугроз Характеристики: порты 4 x GE RJ45, RJ45 4 x GE обходные порты, порты SFP GE 4 x, порты 4 x 10G SFP+, два блока питания переменного тока, 2 x 2 Тбайт для хранения Время появления на российском рынке: сентябрь 2015 г. Подробная информация: http://www.fortinet.com/products/fortiweb/ index.html Фирма, предоставившая информацию: FORTINET См. стр. 17
FortiSandbox 3000D
Производитель: Fortinet Сертификат: изделие подлежит сертификации Назначение: решение по борьбе с изощренными вредоносными программами и целенаправленными устойчивыми угрозами Особенности: динамическая защита от вредоносных программ на основе облачного сервиса обновлений, эмуляция кода, полная виртуальная среда, расширенная наблюдаемость, обнаружение обратных сетевых обращений, анализ вручную, дополнительный доступ к услугам FortiGuard Возможности: l функционирует вместе с межсетевыми экранами Fortinet FortiGate (NGFW) и шлюзом для защиты электронной почты FortiMail, сочетая в одном устройстве сервис двухуровневой песочницы, динамический анализ угроз, приборный интерфейс в реальном времени и подробную отчетность l при использовании с FortiSandbox способны выявлять и проверять подозрительные файлы, а затем устанав-
66 •
ливать обновленный уровень защиты на основе полного жизненного цикла угрозы l большинство обнаружений происходит в течение трех или менее минут Время появления на российском рынке: 2015 г. Подробная информация: http://www.fortinet.com/press_releases/2014/ fortinet-earns-recommended-ratingfortisandbox-nss-labs.html Фирма, предоставившая информацию: FORTINET См. стр. 17
MaxPatrol SIEM LE Производитель: Positive Technologies Сертификат: реестр отечественного ПО (рег. номер ПО 1143, класс ПО: системы мониторинга и управления), выдан Минкомсвязи России Назначение: программно-аппаратный комплекс для выявления инцидентов ИБ в реальном времени в ИТ-инфраструктурах малого и среднего масштаба Особенности: l три модели: на 250, 500 или 1000 сетевых узлов l переход между моделями через простой апгрейд лицензии l время хранения на встроенных дисках – до 15 месяцев в режиме оперативного хранения l конфигурация All-in-one, сбор данных с 1-й площадки l построен на базе комплексной платформы MaxPatrol 10 Возможности: l SIEM-система корпоративного уровня l сбор, анализ и мониторинг событий из различных источников, выявление и расследование инцидентов ИБ l содержит полную модель инфраструктуры с глубоким пониманием активов на основе информации, получаемой из новых событий, сканирований, сетевого трафика и агентов на конечных точках l автоматическое построение топологии сети Характеристики (аппаратная платформа): l 20х Core 2,6 ГГц l 128 Гбайт RAM l 24 Tбайт HDD l 4x 1 Гбайт Network l Redundant Power Supply l дополнительна доступна опция архивного хранения (СХД емкостью 40 Tбайт) Ориентировочная цена: от 3,5 до 6 млн руб. Время появления на российском рынке: сентябрь 2016 г. Подробная информация: http://www.ptsecurity.ru/products/mpsiem/ Фирма, предоставившая информацию: POSITIVE TECHNOLOGIES См. стр. 26, 27
PT Application Firewall версия 3.3 Производитель: Positive Technologies Сертификат: № 3455, выдан ФСТЭК России; № 2619, выдан Минобороны России Назначение: для выявления и блокирования современных атак на Web-порталы, ERP-системы и мобильные приложения и корпоративные ресурсы Особенности: l визионер в рейтинге Gartner 2015–2016 гг. l модули для автоматического закрытия уязвимостей PCode и для мультидвижковой антивирусной проверки файлов МScan l модуль для динамического тестирования безопасности приложений (DAST) Web Engine l удобный интерфейс для совместной работы l алгоритмы машинного обучения l защита от атак на клиентов (DOMbased XSS) Возможности: l защищает приложения любого масштаба с учетом отраслевой специфики l вертикальная и горизонтальная масштабируемость l в связке с анализатором кода PT Application Inspector автоматически обнаруживает уязвимости и создает виртуальные патчи l защищает от всех распространенных уязвимостей по классификации OWASP и WASC l выявляет и блокирует автоматизированные атаки, в том числе распределенные DoS-атаки уровня приложений l отсеивает неподтвержденные срабатывания и выстраивает цепочки развития реальных атак Характеристики: l специализированные модули и механизмы (пассивный сканер, механизмы нормализации, механизм для создания правил, модуль анализа XML, модуль для защиты от атак на стороне клиента) l на базе универсальной аппаратной платформы l поставляется как аппаратное или виртуальное решение Ориентировочная цена: рассчитывается под каждый проект Время появления на российском рынке: II квартал 2016 г. Подробная информация: http://www.ptsecurity.ru/products/af/ Фирма, предоставившая информацию: POSITIVE TECHNOLOGIES См. стр. 26, 27
PT ISIM Производитель: Positive Technologies Сертификат: сертификат отсутствует Назначение: защита автоматизированных систем управления технологическим процессом (АСУ ТП)
NEW_PROD 2 9/5/16 1:22 PM Page 67
НОВЫЕ ПРОДУКТЫ И УСЛУГИ
Особенности: l отраслевая специфика – протоколы, архитектура, правила корреляции и оборудование – закладывается на стадии исследований l собирает данные без вмешательства в технологический процесс l анализирует копию сетевого трафика l выявляет распределенные во времени атаки, связывая события в логические цепочки l оперативно расследует инциденты на удаленных объектах благодаря функции Remote Forensic, работающей независимо от подключения объекта к общей сети, качества связи, наличия персонала и его профессионального уровня l визуализирует атаки на сетевой и технологической карте предприятия l соотносит вектор потенциальной атаки с существующими шагами технологического процесса Возможности: l обнаруживает уязвимости и хакерские атаки на технологические сети предприятия l помогает расследовать инциденты (в т.ч. ретроспективно) на критически важных объектах без остановки системы Характеристики: l имеет распределенную архитектуру l генерирует отчеты, адаптированные под каждого участника процесса, – оператора оборудования, ИБ-специалиста l составляет карту для наблюдения и управления удаленными объектами Ориентировочная цена: рассчитывается под каждое внедрение Время появления на российском рынке: II квартал 2016 г. Подробная информация: http://www.ptsecurity.ru/products/isim/ Фирма, предоставившая информацию: POSITIVE TECHNOLOGIES См. стр. 26, 27
PT MultiScanner Производитель: Positive Technologies Сертификат: сертификат отсутствует Назначение: l многопоточная система выявления вредоносного контента в почтовых ресурсах, файловых хранилищах, Web-порталах l усиление антивирусной защиты корпоративной инфраструктуры на различных уровнях l создание удобного пользовательского сервиса для выявления вредоносного контента Особенности: l в состав можно включить антивирусы, которые соответствуют требованиям ИБ l распаковывает архивы, в т.ч. защищенные паролем, и сканирует файлы по отдельности
l проверяемые файлы не покидают инфраструктуры системы l возможность интеграции с исследовательской средой Positive Technologies – запуск приложений и анализ их поведения в изолированной среде, гарантирующей нераспространение вредоносного контента при его проверке в системе Возможности: l параллельно сканирует файлы с помощью антивирусных решений l проводит ретроспективный анализ l обновляет антивирусы без доступа к Интернету l имеет постоянно обновляемые единую внутреннюю базу знаний и репутационные списки l уведомляет пользователей об обнаруженном вредоносном содержимом в ранее загруженных файлах l выдает результаты в Web-консоли или по E-mail l поддерживает стандартные интерфейсы (Rest API, SMTP, ICAP, Syslog) Характеристики: l аппаратная и виртуальная реализация l скорость обработки до 57 600 файлов в час l режим мониторинга и блокировки l масштабируемая архитектура Ориентировочная цена: рассчитывается под каждый проект Время появления на российском рынке: III квартал 2016 г. Подробная информация: http://www.ptsecurity.ru/products/ multiscanner/ Фирма, предоставившая информацию: POSITIVE TECHNOLOGIES См. стр. 26, 27
УСЛУГИ Консалтинговые услуги по подготовке к сертификации и сертификации на соответствие требованиям международного стандарта безопасности данных платежных карт PCI DSS (версия 3.2) Отрасль: компании, принимающие к оплате карты международных платежных систем или участвующие в реализации платежного процесса с использованием карт Регион: CEMEA Описание: 28 апреля 2016 г. советом по стандартам безопасности индустрии платежных карт (PCI SSC) была опубликована новая версия стандарта PCI DSS. Изменения, которые затронули новую версию: l для любого удаленного доступа к сертифицируемой по PCI DSS среде нужно включить мультифакторную аутентификацию l при внесении любых изменений в сертифицированную инфраструктуру
www.itsec.ru
необходимо проверять выполнение требований PCI DSS l поставщику услуг необходимо проводить тестирование на проникновение инфраструктуры заказчика не реже чем раз в полгода l у поставщика услуг должна быть разработана программа поддержания соответствия требованиям стандарта PCI DSS l до 30 июня 2016 г. все поставщики услуг обязаны обеспечить поддержку протокола TLS не ниже версии 1.1, а до 30 июня 2018 г. полностью отказаться от использования прошлых небезопасных версий Новые требования стандарта PCI DSS 3.2 будут обязательны к выполнению с 1 февраля 2018 г. Фирма, предоставившая информацию: ДИАЛОГНАУКА, АО См. стр. 11, 31
Комплексная техническая поддержка ИБ-инфраструктуры Отрасль: без ограничений Регион: РФ Описание: консолидированная поддержка всех ИБ-систем единым поставщиком услуг: l единая точка ответственности l единая точка входа l единый уровень сервиса (SLA) l единое управление – выделенный сервис-менеджер l решение проблем совместимости и проблем "на стыке" разных систем l консолидация знаний и опыта l уменьшение сроков диагностики и решения инцидентов l гарантия сроков восстановления l снижение нагрузки на собственный персонал l снижение совокупной стоимости поддержки на 15–20% Передача всех средств защиты на поддержку единому исполнителю позволит снизить затраты, оптимизировать процессы эксплуатации ИБ-инфраструктуры, повысить оперативность и результативность выполняемых работ. На старте проекта проводится обследование всех систем, разрабатывается оптимальный SLA, регламенты обслуживания и взаимодействия Фирма, предоставившая информацию: ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ См. стр. 18, 19
Хостинг ИСПДн Отрасль: без ограничений Регион: РФ Описание: комплексная услуга по размещению информационных систем персональных данных (ИСПДн) в виртуальном ЦОДе компании "Инфосистемы Джет" в соответствии с требованиями № 152-ФЗ включает:
• 67
NEW_PROD 2 9/5/16 1:22 PM Page 68
НОВЫЕ
ПРОДУКТЫ И УСЛУГИ
l построение частной модели угроз (МУ) l определение уровня защищенности (1–4 УЗ) l предоставление в аренду виртуальной инфраструктуры для размещения ИСПДн l предоставление сервисов информационной безопасности в соответствии с МУ и УЗ на базе сертифицированных средств защиты l разработку комплекта организационно-распорядительной документации в соответствии с требованиями регуляторов l круглосуточное техническое сопровождение с гарантированными параметрами качества l гарантированный SLA по доступности ресурсов и сервисов ИБ – 99,98% Услуга позволяет быстро, без капитальных затрат обеспечить высокую защиту и строгое соответствие ИСПДн требованиям регуляторов Фирма, предоставившая информацию: ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ См. стр. 18, 19
Защищенный хостинг Web-приложений Отрасль: без ограничений Регион: РФ
Описание: комплексная услуга на базе виртуального ЦОДа компании "Инфосистемы Джет" обеспечивает высокую доступность критичных для бизнеса Web-приложений и надежную защиту от хакерских атак, взломов и утечки данных. Она включает в себя: l размещение Web-приложений на вычислительных ресурсах виртуального ЦОДа l защиту от DDoS-атак, направленных на переполнение канала связи l расширенную защиту от атак прикладного уровня с использованием технологии WAF (Web Application Firewall), включая интеллектуальную фильтрацию трафика с учетом специфики конкретного Web-приложения l непрерывный контроль эффективности защиты и оперативную корректировку политик фильтрации Защита обеспечивается в круглосуточном режиме. Гарантированный уровень доступности Web-приложений – 99,5%. Оплата на ежемесячной основе. Тарификация зависит от пропускной способности интернет-канала и количества Web-приложений Фирма, предоставившая информацию: ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ См. стр. 18, 19
Тестирование аппаратных платформ на совместимость с СКЗИ С-Терра
Отрасль: информационная безопасность Регион: РФ Описание: одно из преимуществ программного обеспечения (ПО) С-Терра – возможность его использования на оборудовании разных производителей. Закажите тестирование вашей аппаратной платформы на совместимость со средствами криптографической защиты информации (СКЗИ) С-Терра, если вы собираетесь: l построить систему обеспечения информационной безопасности с использованием вашего оборудования на архитектуре Intel x86, которое не указано в списке совместимого с ПО С-Терра оборудования l подтвердить легитимность использования СКЗИ С-Терра на вашем оборудовании l пройти подготовку к аттестации вашей автоматизированной системы в регулирующих организациях Подробности – на сайте http://www.s-terra.ru/podderzhka/uslugi Фирма, предоставившая информацию: С-ТЕРРА СИЭСПИ См. стр. 46, 47
НЬЮС МЕЙКЕРЫ ДИАЛОГНАУКА, АО 117105 Москва, ул. Нагатинская, 1 Тел.: (495) 980-6776 Факс: (495) 980-6775 E-mail: info@dialognauka.ru, marketing@dialognauka.ru www.dialognauka.ru См. ст. "Организация защиты информации и режим коммерческой тайны" на стр. 11 См. стр. 31 ИНФОСИСТЕМЫ ДЖЕТ, КОМПАНИЯ 127015 Москва, ул. Большая Новодмитровская, 14, стр. 1 Тел.: (495) 411-7601, 411-7603 Факс: (495) 411-7602 E-mail: info@jet.msk.su www.jet.msk.su См. ст. "Мошенничество как неизбежность – антифрод как сервис" на стр. 18, 19 ЛАБОРАТОРИЯ КАСПЕРСКОГО 125212 Москва, Ленинградское ш., 39А, стр. 3, БЦ "Олимпия Парк" Тел.: (495) 797-8700 Факс: (495) 797-8709
68 •
www.kaspersky.ru См. 4-ю обл. МФИ СОФТ, ООО 119146 Москва, Комсомольский просп., 19а Тел.: (495) 642-7075 Факс: (495) 789-6617 603104 Нижний Новгород, ул. Нартова, 6, корп. 6 Тел.: (831) 220-3222, 220-3210 Факс: (831) 220-3221 E-mail: info@mfisoft.ru www.mfisoft.ru См. новинки на стр. 63, 64 НОВЫЕ ТЕХНОЛОГИИ БЕЗОПАСНОСТИ (НТБ), ООО 107045 Москва, ул. Трубная, 12 Тел.: (495) 787-9936 E-mail: info@newinfosec.ru http://newinfosec.ru/ См. ст. "Всероссийский Банк Развития Регионов усовершенствовал управление инцидентами с помощью системы контроля привилегированных пользователей SafeInspect" на стр. 25
С-ТЕРРА СИЭСПИ 124460, Москва, г. Зеленоград, Георгиевский просп., 5, этаж 4 (основной) Тел.: (499) 940-9061, 940-9001 Факс: (499) 940-9061 E-mail: information@s-terra.ru www.s-terra.ru См. ст. "Защита и нападение – история со счастливым финалом?" на стр. 46, 47 СМАРТ ЛАЙН ИНК, АО 107140 Москва, 1-й Красносельский пер., 3, пом. 1, ком. 17 Тел.: (495) 647-9937 Факс: (495) 647-9938 E-mail: ru.sales@devicelock.com devicelock.com/ru www.smartline.ru См. ст. "Какой должна быть DLP?" на стр. 54, 55 СПЛАЙН-ЦЕНТР, ЗАО 105005 Москва, ул. Бауманская, 5, стр. 1 Тел.: (495) 580-2555 E-mail: cons@debet.ru www.debet.ru, сплайн.рф См. стр. 10
ЭЛВИС-ПЛЮС, АО 124527, Москва, Зеленоград, Солнечная аллея, 6 Тел.: (495) 276-0211 Факс: (495) 276-0238 E-mail: info@elvis.ru www.elvis.ru См. ст. "Ровесник российских ИТ" на стр. 6, 7 FORTINET 121099 Москва, Смоленская пл., 3, Регус, офис 610 Тел/факс: (499) 955-2499 E-mail: russia@fortinet.com www.fortinet.com См. стр. 17 POSITIVE TECHNOLOGIES 107061 Москва, Преображенская пл., 8 Тел.: (495) 744-0144 Факс: (495) 744-0187 E-mail: pt@ptsecurity.com www.ptsecurity.ru См. ст. "Практика применения MaxPatrol SIEM для защиты от кибератак" на стр. 26, 27
InfoSec_2016_A4 9/5/16 3:52 PM Page cov3
ГЛАВНОЕ СОБЫТИЕ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В РОССИИ
InfoSecurity Russia .
.
20–22
6015 профессиональных посетителей 2016 4155 участников деловой программы более 15 000 предварительно назначенных встреч более 300 продуктов и решений, представленных в экспозиции 163 мероприятия на стендах экспонентов и в конференц-залах 146 спикеров из числа ведущих мировых и российских экспертов, выступающих в четырех параллельных конференционных потоках.
Выставка обеспечивает максимальную полезность визита для заказчика и наивысший в России ROI для экспонента Прием заявок на участие открыт:
Реклама
www.infosecurityrussia.ru
kaspersky 9/5/16 1:22 PM Page cov4