Новости

Итоги конференции «Positive Hack Days 2016»

26.05.2016
Итоги конференции «Positive Hack Days 2016»
С 17 по 18 мая 2016 года в г. Москве состоялась VI международная конференция «Positive Hack Days 2016», организатором которой является компания Positive Technologies.

В конференции приняли участие свыше 4000 человек, в том числе представители государственных структур и крупных коммерческих компаний, специалисты по информационной безопасности (ИБ), ученые и студенты.

Тематика конференции:
  • Безопасность критически важных информационных систем.
  • Противодействие мошенничеству.
  • Киберпреступность и расследование инцидентов.
  • Государственная и корпоративная безопасность в эпоху WikiLeaks.
  • Кибервойна и кибершпионаж.
  • Защита облачных вычислений и виртуальной инфраструктуры.
  • Противодействие атакам нулевого дня.
  • Защита от DDoS-атак.
  • Безопасность АСУ ТП (SCADA).
  • Защита бизнес-приложений и ERP.
  • Безопасность сетей связи.
  • В рамках конференции прошли мастер-классы, круглые столы с участием отечественных и зарубежных экспертов отрасли, технические семинары по результатам последних исследований в области защиты от компьютерных атак, конкурсы и соревнования по взлому и защите.

    В ходе мероприятия были озвучены следующие тенденции, наблюдаемые в настоящее время в сфере информационной безопасности:
    • рост количества инцидентов ИБ в связи с тем, что малый и средний бизнес стал активно использовать сеть Интернет и в гонке за быстрой прибылью оказался не готов адекватно оценить риски ИБ и тратить средства на комплексную защиту;
    • усложнение целенаправленных компьютерных атак (Advanced Persistent Threat, APT) — появляются новые средства и способы их осуществления, а также услуги по их проведению;
    • рост вредоносного программного обеспечения (ВПО), предназначенного для кражи финансовых средств из систем онлайн-банкинга;
    • устаревшие и небезопасные технологии в сотовых сетях порождают риски кражи финансовых средств и утечки конфиденциальной информации абонентов;
    • рост компьютерных атак, связанных с компрометацией электронной почты и применением техник социальной инженерии;
    • ошибочная практика многих организаций смещать акцент при обеспечении ИБ в в сторону «реальной безопасности» в ущерб «бумажной безопасности»;
    • субъективность анализа рисков (часто он основан на личной оценке эксперта и может значительно отличаться у разных экспертов).

    На дискуссии, прошедшей с участием представителей госструктур, производителей средств защиты и руководителей подразделений ИБ различных предприятий, обсуждались актуальные проблемы ИБ в контексте государственной безопасности, бизнеса и технологий. По общему мнению участников дискуссии, развитие информационных технологий значительно опережает развитие защитных средств. Повышение уровня безопасности в масштабах страны возможно только при совместном участии государства, бизнеса и экспертов. Было особо отмечено, что для снижения рисков представителям отрасли необходимо заниматься популяризацией ИБ — механизмы защиты должны стать общепринятыми (как правила гигиены), а описание базовых методов и правил ИБ понятными простым пользователям.

    Помимо образовательных мер на уровне частных пользователей, по мнению Н. Касперской (компания InfoWatch), необходима профилактика, применение технических мер и «принуждение к ИБ» на уровне предприятий.

    Аналогичная тема была затронута в рамках дискуссии блоггеров, журналистов и экспертов отрасли. По мнению А. Лукацкого (компания Cisco), СМИ и блоггерам необходимо научиться писать об ИБ простым языком для обычных пользователей («для домохозяек»).

    И. Сафронов (компания Group-IB) рассказал об атаках на телеком-операторов. По его словам, данные атаки зачастую направлены на абонентов и не несут угрозы операторам, поэтому последние не торопятся повышать меры защиты телекоммуникационных сетей.

    В рамках секции «Технологии защиты и нападения» были освещены различные векторы компьютерных атак. Д. Курбатов (компания Positive Technologies) продемонстрировал, насколько небезопасными являются сотовые сети. Так, сотовые сети любого оператора мобильной связи содержат уязвимости, поскольку все они построены на технологиях 1970-х годов (SS7). В сетях SS7 отсутствует шифрование и проверка подлинности служебных сообщений. По данным анализа защищенности сетей SS7, проведенном экспертами компании Positive Technologies в 2015 году, злоумышленник, эксплуатирующий уязвимости данных сетей, может в 90% случаев успешных атак получить доступ к информации об абоненте, в 89% случаев — перехватить входящие СМС-сообщения, в 58% — определить местонахождение абонента и в 50% — прослушать телефонный разговор. Получение доступа к СМС-сообщениям почти всегда ведет за собой получение доступа к онлайн-банкингу. Для снижения рисков подобных угроз необходимо изменить конфигурацию сетевого оборудования, заблокировать нежелательные сообщения, внедрять дополнительные средства защиты (например, системы обнаружения вторжений).

    Кроме того, в связи с растущим числом банковских троянских программ для Android-смартфонов, эксперты компании Positive Technologies рекомендуют банкам внедрять SDLC (Systems Development Life Cycle), следовать методологиям написания безопасного кода и регулярно проводить анализ защищенности.

    Другим вектором нападения являются атаки, связанные с компрометацией корпоративной электронной почты и использованием техник социальной инженерии. Наиболее распространенными методами являются использование поддельных адресов электронной почты, схожих по написанию с доверенными адресами (банка, партнерских компаний), взлом корпоративной почты сотрудника компании или партнера компании и дальнейшая рассылка вредоносных писем с данных адресов. В связи с этим при получении писем, содержащих вложенные файлы, необходимо проверять достоверность источника, используя альтернативные каналы связи.

    На круглом столе, посвященном вопросам безопасности автоматизированных систем управления технологическими процессами (АСУ ТП), представители ведущих производителей систем ИБ и систем автоматизации производства рассказывали о возможных векторах атаках, условиях обеспечения ИБ промышленных предприятий, необходимости реализации комплексного и многоуровнего подхода к защите. Приводился тезис, что все встроенные средства защиты (внутри АСУ ТП и на периметре) обеспечивают защиту лишь в том случае, когда «они корректно настроены и отсутствуют источники атак». Помимо сетевого вектора атаки, когда целью нападавших является получение доступа к контроллерам в АСУ ТП с целью изменения параметров настройки, перехвата управления процессами, существует вектор атаки, связанный с ошибочными действиями (как целенаправленными, так и случайными) инженеров предприятия. Наиболее распространенными ошибками на уровне компьютерных сетей предприятий являются использование устаревших и, соответственно, уязвимых версий программного обеспечения, открытых протоколов передачи данных, слабых паролей и привилегированных учетных записей.

    В. Карантаев (компания ИнфоТеКС) рассказал о проблемах энергетической отрасли, связанных с тем, что многие компоненты промышленных систем устарели, и развитие отрасли невозможно без внедрения новых технологий, которые зачастую сами содержат уязвимость или подвержены тем или иным видам атак. Для решения данной проблемы необходимо тесное взаимодействие всех сторон (вендоров, интеграторов, регуляторов), внедрение дополнительных средств защиты, криптографических модулей.

    По мнению А. Бершадского (компания Positive Technologies), систему информационной защиты АСУ ТП необходимо строить, исходя из особенностей конкретной отрасли (предприятия), выявляя, помимо угроз общего класса, специфичные угрозы.

    М. Емельянников (Консалтинговое агентство «Емельянников, Попова и партнеры») рассказал, что зачастую компании основное внимание уделяют так называемой «реальной безопасности» (анализ защищенности, выявление уязвимостей, тесты на проникновение, внедрение и эксплуатация средств защиты), игнорируя безопасность «бумажную», предполагающую создание системообразующего пакета документов по ИБ (написание локальных нормативных актов, планирование деятельности, разработка и внедрение процедур, препятствующих хищениям и потерям, повышение осведомленности персонала).

    По мнению докладчика, документирование обязательно и должно затрагивать следующие процедуры:
    • введение разрешительной системы доступа пользователей к информационным ресурсам (идентификация, аутентификация, авторизация);
    • использование средств хранения, обработки и передачи информации;
    • резервное копирование и восстановление данных;
    • приобретение и обновление ПО.

    Разрешительная система доступа позволяет установить: какие пользователи и с какими правами имеют доступ к каждому ресурсу, к каким ресурсам и с какими правами имеет доступ каждый конкретный пользователь, кем и когда был предоставлен доступ с нарушением процедуры.

    С целью контроля соблюдения установленных требований безопасности необходимо разработать и донести до сотрудников регламенты, правила, инструкции (использования средств хранения, обработки и передачи информации, электронной почты), а также получить их согласие на проведение мониторинга использования ими средств хранения, обработки и передачи информации.