Основы безопасности информационных технологий презентация

Содержание

Курс на compliance или эволюционный путь развития систем защиты информации
К чему приводит повышение

Информация

Информация - сведения о лицах, предметах, фактах, событиях, явлениях и процессах не зависимо

Формы представления информации

Бумажный документ

информация на бумажном носителе в виде символов (письменная речь) и

Информационная технология

Информационная технология

совокупность процессов, методов осуществления поиска, получения, передачи, сбора, обработки, накопления, хранения,

Распространение и предоставление информации

Распространение информации

действия, направленные на ознакомление с информацией неопределенного круга лиц

Предоставление

Классификация информации

Общедоступная

О правах, свободах и законных интересах физических и юридических лиц и о

Коммерческая тайна (Закон Республики Беларусь № 16-З)

1

2

Персональные данные (Закон Республики Беларусь № 99-З)

3

Служебная

Носитель информации

Человек

воспринимает информацию различными способами (зрение, слух и т.д.) и аккумулирует ее в

Нарушитель

Способы доступа нарушителя к носителю информации

Физическое проникновение

В

Сотрудничество нарушителя с работником имеющим легальный или нелегальный

Воздействие нарушителя

Преднамеренное

Случайное

Воздействие

Угроза безопасности информации - возможные воздействия на носитель информации приводящие к ущербу

Носитель
информации

Кибератака - целенаправленное воздействие программных и (или) программно-аппаратных средств на объекты информационной инфраструктуры,

Объекты на которые осуществляются кибератаки

оборудование используемое для организации каналов связи (коммутаторы, маршрутизаторы)

1

2

устройства (компьютеры

Последствия кибератаки

создание угрозы безопасности информации

1

2

нарушение или прекращение функционирования объектов информационной инфраструктуры

Виды угроз безопасности информации

Конфиденциальности

нарушение свойства информации быть известной только определенным субъектам (создатель, обладатель)

Целостности

направлена

Контролируемая зона

Контролируемая зона

территория на которой исключено не контролируемое пребывание человека или автотранспортных средств

Внешний нарушитель

Внутренний нарушитель

Модель управления безопасностью ИС

Указ Президента Республики Беларусь от 16.04.2013 г. № 196

Оценка угроз (ФСТЭК России)

Оценка и управление рисками (R-Vision SGRC)

Система защиты информации

Система защиты информации - совокупность органов и (или) исполнителей, используемой ими

Подготовительная стадия

Этап 1

Мероприятие: инвентаризация активов;
Цель: определить информацию, которая подлежит защите, составить и утвердить

Соизмеримость используемых информации, объектов ИС и целей ЗИ

Особенность 1

сведения хранящиеся на ПК пользователей

сведения передаются с ПК пользователей по электронной почте

Особенность 2

Цель 2

Обеспечить конфиденциальность и

Цель 3

Обеспечить доступность объектов ИС

Особенность 3

объекты ИС должны быть доступны пользователям ИС в

Подготовительная стадия

Этап 3

Мероприятие: определить класс типовой ИС и ее название;
Цель: определить к какому

Классы некоторых типовых ИС в которых обрабатываются ПД

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь

Стадия 1. Проектирование системы защиты информации

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь №

Политика ИБ

общие намерения по обеспечению конфиденциальности, целостности, подлинности, доступности и сохранности информации, документально

Запрещено

Составить перечень того, что обеспечит либо утечку информации либо установку на ПК вредоносной

4

порядок взаимодействия с иными ИС (в случае предполагаемого взаимодействия)

Приказ Оперативно-аналитического центра при

Под символом «х» понимается физически выделенный канал передачи данных

Под символом «о» понимается

требования к системе ЗИ в зависимости от используемых технологий и класса типовых ИС

5

перечень документации на систему ЗИ

Состав технического задания

Стратегия обеспечения безопасности информации

Документация на систему ЗИ

должна содержать описание способов разграничения доступа пользователей к объектам ИС

обновление средств ЗИ

4

5

6

использование электронной почты

осуществление контроля (мониторинга) за функционированием системы ЗИ

8

управление криптографическими ключами, в том числе требования по их генерации, распределению, хранению, доступу

Этап 5

разработка (корректировка) общей схемы системы ЗИ

Приказ Оперативно-аналитического центра при Президенте Республики Беларусь

класс типовых ИС

1

2

3

наименование ИС

места размещения средств вычислительной техники, сетевого оборудования, системного и прикладного

5

внешние и внутренние информационные потоки и протоколы обмена защищаемой информацией

Состав общей схемы

Этап 1

внедрение средств технической и криптографической защиты информации, проверка их работоспособности и совместимости

Стадия 3. Эксплуатация системы ЗИ

Этап 1

контроль за соблюдением требований, установленных в нормативных правовых

Этап 5

резервное копирование информации, содержащейся в ИС

Этап 6

обучение (повышение квалификации) пользователей ИС

Приказ Оперативно-аналитического

1

при реализации используются специальные «инструменты», устойчивые к обнаружению средствами защиты информации

2

В атакуемой информационной

Модель нарушителя Cyber Kill Chain

OSINT

(Open Source INTelligence) сбор информации об информационной системе (ИС), в том числе из

Прикладное ПО хоста

уязвимости в прикладном ПО хоста могут позволить получить канал управления к

Интересуемые сведения

программное (прикладное и системное ПО, версии ПО) обеспечении хоста

1

2

3

адресное пространство ИС (IP,

установить на хост вредоносную программу, которая методом reverse shell подключиться к С2 нарушителя

Whois
Lookup

поиск информации о владельце ИС по ее IP или доменному имени (whois.domaintools.com)

Получение информации

Получение информации

Подбор пароля

https://losst.ru/kak-polzovatsya-nmap-dlya-skanirovaniya-seti?ysclid=l76mb3zmeq63487301

Поиск эксплойта в базе данных

Поиск эксплойта в базе данных

Получение информации

Поиск папок/файлов

Анализ обнаруженных папок/файлов

Получение информации

Получение информации

Получение информации

Анализ обнаруженных папок/файлов

Использование полученной информации для авторизации

Авторизация с правами администратора

Атака Remote Code Execution (RCE) Изучаем веб-приложение

Загрузка файла

Проверка загруженного файла

Создание полезной нагрузки shell.php

Загрузка полезной нагрузки

Проверяем загрузку полезной нагрузки

Подключаемся к хосту

Выполняем команды на хосте

Open Web Application Security Project

Хэшировать или не хэшировать – вот в чем вопрос!

Программное обеспечение

1. Операционная система;
2. Приложения

Настройка программного обеспечения

Обусловлены действиями администратора системы или службы технической

https://www.cvedetails.com/

База уязвимостей

Наиболее часто эксплуатируемые уязвимости в 2021 году

Уязвимости настройки ПО

Уязвимость нулевого дня (0-day)

Средний «срок жизни» уязвимости до обнаружения ее вендором – 5

Настройка оборудования и ПО

3

Устранение уязвимостей

Сканер уязвимостей ScanOVAL (ФСТЭК России)

Управление уязвимостями (R-Vision SGRC)

Управление уязвимостями (R-Vision SGRC)

Статистика уязвимостей (R-Vision SGRC)

Первая компетенция

Управление уязвимостями

Вооружение

подготовка (разработка или покупка) «инструментов» для эксплуатации уязвимостей (exploit), вредоносных программ (malware), и

Сервер управления
(Command and Control - C2)

Сервер эксфильтрации данных
(Drop)

SSL

SSL

Инфраструктура нарушителя

Атакуемая ИС

Reverse Shell

СЗИ

Нарушитель рассчитывает, что на уровне хоста (Endpoint) не применяются СЗИ

1

2

Исполняемый файл упаковывается в

Стратегия обеспечения безопасности

Сигнатура – сокращенная форма записи параметров данных уникально идентифицирующая ту или иную атаку

Анализируемые данные

Решение

Отчет (log)

Особенности

анализируются выполняемые некоторым набором данных функции и их последовательность – анализ

Sandbox

изолированная среда (виртуальная) эмулирующая множество сервисов хоста для динамического анализа файлов

Песочница

Установка соединения с внешним IP адресом

2

Копирование тела программы за пределы папки где она

Mail

Application

МСЭ 1

МСЭ 2

Web

Сегментирование ИС

1

резервное копирование выполняется по расписанию с учетом загрузки оборудования/информационной сети

2

выгрузка резервной копии на

Вторая компетенция

Управление резервным копированием информации

В случае доставки «полезной» программы и использования обфускации или шифрования - успех

1

2

Исполняемый код

Способы противодействия Sandbox

В случае доставки - успех

1

2

Исполняемый код реализует функцию обнаружения виртуальных сред. Он может

Доставка

нарушитель реализует загрузку вредоносной программы в ИС доступными для него способами

3

3

Модель нарушителя Cyber

Фишинг
(phishing)

(выуживание идентификаторов) – способ получения идентификаторов пользователя информационных систем нарушителем, который основан на

Условия, при которых изменения эмоционального состояния человека

Страх – побуждение к действию

Любопытство

2

Условия, при которых изменения эмоционального состояния человека

Правда, интересно, что там?

Способы доставки ВП (организации)

1 квартал 2022 года

Почтовый фишинг

реализуется путем рассылки сообщений по электронной почте

Цель

Прислать гипертекстовую ссылку и заставить ее

Цель

получение нарушителем конфиденциальной информации в виде различных идентификаторов, в том числе паролей, для

https://habr.com/ru/company/group-ib/blog/535092/

Эффективность различных способов получения информации

Вишинг. Черт кроется в деталях!

Интересный заголовок – залог успеха

Уменьшение «поверхности» атаки

Отправитель, время

Отправитель – известный / не известный (известных отправителей сложнее игнорировать). Время рабочее

secure@bsuir.by

имя ящика

домен

Проверка домена

Скопировать домен

1

Ввести домен в URL браузера

2

Имя почтового ящика и домен

Текст письма, его тема и оформление

Текст сообщения должен отвечать требованиям деловой переписки не

Признаки фишинга

1. Письмо пришло «не по назначению»;
2. Текст письма имеет эмоциональную окраску;
3. Есть

Тип вложения

Возможные аномалии:
1. Архив (*.rar, *.zip);
2. Гипертекстовая ссылка;
3. Вложение имеет не известное расширение

Почтовый фишинг

Целенаправленный фишинг

(Spear – гарпун) разновидность почтового фишинга, отличием которого является его целенаправленность (на

Атака на цепочку поставок (supply chain attack)

- сервера – 4.000 единиц

- персональные компьютеры – 45.000 единиц

Оборудование выведенное из строя:*

*

Получение информации
об информационных
ресурсах посещаемых
пользователем

Внедрение
вредоносного кода
в титульную страницу
сайта

Атака «водопой» (watering hole attack)

Эксплуатация

1. Обеспечение корневых полномочий;
2. Установка TLS соединения для загрузки вредоносной программы с последующей

Установка

Инсталляция вредоносной программы

Получение управления

Вредоносная программа подключается к серверу управления (С2) нарушителя и ждет

Действия нарушителя внутри ИС

Q1 2020

Действия нарушителя внутри ИС

Какой должен быть пароль?

Brute Force

b10a8db164e0754105b7a99be72e3fe5

Brute Force

Стойкость сложного пароля

https://xakep.ru/2017/08/16/edpr-nvidia-passcrack/#toc01

Скорость перебора пароля на полную мощность!

http://www.md5decrypter.com/ https://crackstation.net/

Онлайн сервисы

Можно ли использовать пароль длиной 4 цифры?

Будет ли стойким пароль из одинаковых букв,

1

Пароль должен храниться в секрете – это означает, что его должен знать только

Их действия могли быть не умышленные, но …

Источник угроз – сотрудник организации

Уменьшение «поверхности» атаки

https://habr.com/ru/company/group-ib/blog/535092/

Выявление группы риска

https://xakep.ru/2016/12/07/gophish-phishing-framework-howto/

В чем разница?

Стратегия обеспечения безопасности

Мониторинг безопасности

Место установки средств мониторинга

Средства мониторинга и модель OSI

Эволюция Honeypot

Обнаружение нарушителя внутри ИС (R-Vision TDP)

Обнаружение нарушителя с помощью Deception

Контроль приложений

Назначение

централизованное хранение информации о событиях произошедших в процессе функционирования хоста

Журналы событий

1102, 4624, 4625, 4657, 4663, 4688, 4672, 4700, 4702, 4719, 4720, 4722, 4724,

Много источников информации

Security Information and Event Management - управление информационной безопасностью и управление событиями безопасности

Архитектура SIEM

Open Source SIEM

Использование SIEM для обеспечения работы SOC

Стратегия обеспечения безопасности

Сущность

процесс обнаружения угроз безопасности информации на основании модели нарушителя и формирования гипотез о

TI признаки

Индикаторы Threat Intelligence - нарушитель использует ВП которая имеет хэш X

TTPs

Техники,

https://habr.com/ru/company/pt/blog/510362/

Методология Threat Hunting

Пример реализации АРТ атаки

История пользователя

Информация о соединениях пользователя (метаданные)

Стадия 1. Подготовка

За событием «загрузка файла со встроенным содержимым» следует событие «установление соединения C2»

Стадия

Индикаторы компрометации (IoC)

Что ранее никогда не происходило?

Что отличается от предыдущего поведения?

Что отличается от того, что

Инцидент

Обнаружен IP адрес пользователя на который выполняется соединения с С2 – это свидетельствует

Действие 3

Используя iptables заблокировать передачу пакетов с обнаруженных хостов

Действие 4

Перейти к поиску индикаторов

Мероприятие 1

Устранение уязвимостей, которые привели к инциденту

Мероприятие 2

Пересмотр в необходимом объеме ведомственных НПА

Мероприятие

Третья компетенция

Аналитик

Система оркестрации и автоматизации реагирования на инциденты ИБ (R-Vision SOAR)

База инцидентов (R-Vision SOAR)

Сценарий реагирования на инцидент (R-Vision SOAR)

Статистика по инцидентам (R-Vision SOAR)

Предотвращенный ущерб (R-Vision SOAR)

Специальность:
1-98 01 02 «Защита информации в телекоммуникациях»
(дневная форма обучения)
Квалификация:
Специалист по защите информации, инженер

Специальность:
1-98 80 01 «Информационная безопасность»
специализация «Защита информации в информационных системах»
(дневная и заочная формы

https://ias.bsuir.by/

Академия информатики для школьников
Направление: Кибербезопасность
Целевая аудитория: школьники 8-11 класс

1. Архитектура персонального компьютера;
2. Операционная

https://ndtp.by/educational_directions/

Кафедра защиты информации БГУИР

Образовательное направление: Информационная безопасность

Начало положено!