« Лаборатория Касперского vs Киберпреступность »

1. «Лаборатория Касперского vsКиберпреступность» Ирина Белоцерковец Лаборатория Касперского Представительство в СЗФО Irina.Belotserkovets@kaspersky.com

2. Больше чем безопасность Kaspersky LAB – на переднем краю борьбы с киберкриминалом Аналитические отчеты Информация в блогах и вирусных энциклопедиях Обучающие семинары, бизнес-завтраки, конференции Образовательные программы Работа с органами власти

3. Важные цифры. 2010 год 31 декабря 2010 г. –1 900 000 000* зафиксированных инцидентов 1,9 МИЛЛИАРДА! *3700 инцидентов в секунду

4. Динамика развития информационных угроз Локальные инциденты В 2011 году зафиксировано 2,3 миллиарда локальных инцидентов!

5. Динамика развития информационных угроз 2012год. Зафиксировано 2,7миллиарда разных вредоносных и потенциально нежелательных программ

6. Динамика развития информационных угроз - 1 595 587 670 атаки через браузер (4 371 473 раз в день) - сервера атак – 6 537 320 доменов в 202 странах мира Рост по сравнению с 2011 г. – в 1,7 раза Место Страна Количество атак % от всех атак 1 США 413 622 45925,5% 2 Россия 317 697 80619,6% 3 Нидерланды 271 583 92416,8% 4 Германия 184 661 32611,4% 5 Великобритания 90 127 3275,6%

7. Динамика развития информационных угроз Картина мира Веб-угрозы Место Страна % уникальных пользователей* 1 Россия 58,6 2 Таджикистан 58,5 3 Азербайджан 57,1 4 Армения 55,7 5 Казахстан 55,5 6 Белоруссия 51,8 7 Бангладеш 51,7 8Шри-Ланка 51,5 9 Индия 51,1 10 Судан 51,0 11 Туркменистан 51,0 12 Оман 48,0 13 Узбекистан 47,5 14 Малайзия 47,3 15 Молдавия 47,2 16 Мальдивы 46,8 17 Украина 46,8 18 Италия 45,6 19 США 45,1 20 Испания 44,7

8. Динамика развития информационных угроз 2012год Год Java-уязвимостей половина всех зафиксированных атак с использованием эксплойтов была нацелена на уязвимости в OracleJava

9. Динамика развития информационных угроз Уязвимые продукты

10. Не обновленный софт на компьютерев РФ Источник: Лаборатория Касперского,H1 2012 31% 29% 20% 17% Microsoft Office Oracle Java Adobe Flash Winamp

11. СЗФО: операционныесистемы, 2012 год

12. СЗФО: ТОП 5

13. Среднее количество пойманных при работе в Сети вредоносных программ в пересчете на одного пользователя, 2012

14. Динамика развития информационных угроз 2012год. Тенденции

15. Вымогательство и нечестная конкуренция • 404 – сайт недоступен 1939,25 9.5

16. Интернет–магазины Торговые площадки СМИ Банки (особенно интернет-банкинг) Страховые компании Телеком Государство Все остальные Мишени для DDoS-атак

17. Тенденции Увеличение атак с целью похищения ПД на крупные корпорации Репутация под угрозой: Значительное количество инцидентов взломов БД Sony, Honda, Fox News, Citibank Наболее крупная утечка: взлом Sony: PlayStation, Qriocity, Sony Online Entertainment Данные до 77 миллионов (!) пользователей сервисов PSN и Qriocity. Прямой вред репутации сервисы Sony были недоступны по всему миру в течение 2-3 недель количество возвратов и обменов приставок Sony возросло в разы «Хактивисты» «хактивизм» — взлом или вывод из строя систем государства в знак протеста новая группировка LulzSec: за 50 дней: взлом множества систем и ПД десятков тысяч пользователей - Sony, EA, AOL, сенат США, ЦРУ Cистемным администраторам крупных компаний и государственных организаций необходимо провести тестирование своих систем, в противном случае следующая волна «хактивизма» может добраться и до них.

18. Тенденции Атака на корпорацию Mitsubishi - началась в середине сентября, готовилась в июле-августе - было заражено около 80 компьютеров и серверов заводов Mitsubishi - получение и открытие PDF-файла - эксплойт уязвимости в Adobe Reader - установка вредоносного модуля, открывающего полный удаленный доступ к системе. - cбор и рассылка наружу интересующей информации

19. Тенденции

20. Тенденции

21. Тенденции

22. Важныецифры и факты. 2012год США Продажа данных свыше 100 тыс. кредиток. Совокупный ущерб от деятельности оценен в 63 млн. долларов. Индия

23. Тенденции. Кибервойны В июне 2010 г. - обнаружен любопытный образец вредоносного ПО Его драйверы были подписаны ворованными сертификатами Созданный теми же людьми, что и Stuxnet, Duqu был классифицирован в августе 2011 года венгерской исследовательской лабораторией CrySyS. - проникает на компьютер с помощью вредоносных документов Microsoft Word - ставятся совершенно иные задачи, чем те, ради которых был создан Stuxnet. - инструментарий для проведения атак, позволяющий взломать систему и затем систематически выкачивать оттуда информацию. - возможность загружать на компьютер-жертву новые модули и исполнять их «на лету» Duqu и Stuxnet – это новейшие средства для ведения кибервойн. Мы входим в эпоху холодной кибервойны, в которой сверхдержавы борются друг с другом без сдерживающих факторов, присущих реальной войне.

24. Шпионаж

25. Банковские трояны

26. Прогнозы Что нас ждет в 2013 году: в 2013 году (и далее) кибершпионаж будет становиться все более распространенным явлением не только для крупных организаций, т.к. абсолютно все предприятия имеют дело с информацией, способной заинтересовать киберпреступников; при этом похищенные данные зачастую используются для того, чтобы подобраться к другим компаниям. Таргетированныхатак станет больше, спектр компаний и отраслей экономики, которые станут объектами атак, расширится. Рост числа мотивов - не только с целью наживы, но и для привлечения внимания общественности к политической или социальной проблеме Кибероружиепоявится у большего числа стран и будет применяться как для кражи информации, так и для проведения диверсий. Косвенными жертвами таких атак могут стать центры управления энергетическими и транспортными системами, финансовые и телекоммуникационные системы, а также другие критически важные объекты инфраструктуры По мере роста использования облачных сервисов будет расти и количество нацеленных на них угроз.

27. Прогнозы В будущем ценность личных данных как для легального бизнеса, так и для киберпреступников будет лишь возрастать, а вместе с этим будет расти потенциальная угроза для тайны частной жизни Использование поддельных и краденых сертификатов неизбежно будет продолжаться и далее. Это ставит под вопрос основные принципы доверия, на которые мы опираемся, чтобы не стать жертвой злоумышленников в будущем следует ожидать роста числа вредоносных программ такого типа, как троянцы-вымогатели В 2013 предполагается более интенсивный рост количества зловредов для Mac. Но основным лидером, по росту атак, останутся устройства на базе Android. Скорее всего, мы также столкнемся с новыми мобильными ботнетами — аналогами созданного в первом квартале 2012 г. при помощи бэкдораRootSmart. в будущем году киберпреступники продолжат эксплуатировать уязвимости в Java. По всей вероятности, AdobeReader также будет «популярен» среди киберпреступников, однако в меньшей степени, поскольку в последних версиях этой программы реализована автоматическая установка обновлений

28. Легко заразить

29. Легко заразить • Зловреды в официальном магазине приложений • Зловреды через рекламу • Зловреды в неофициальных магазинах приложений

30. Легко потерять

31. Как бороться? Как вычислить слабые места в системе безопасности государства и бизнеса? Что делать на переднем краю борьбы с информационными угрозами? Как наносить превентивные удары?

32. Стратегия защиты Модель угроз Культура работы с информацией Политики безопасности Физическая защита носителей ПО для защиты информации и носителей Дополнительные сервисы и услуги Обмен информацией между пользователями

33. Модель многоуровневой антивирусной защиты Уровень политик и процедур Физическая защита Защита клиентов Контроль доступа, шифрование Данные Настройка приложений, АПО Приложения Настройка ОС, аутентификация, система обновления Узлы Защита сети Внутренняя сеть Сегментация сети, IPSec, СПВ Сетевые экраны, ДМЗ Периметр Охрана, замки, устройства слежения Документы, обучение, политики

34. Модель угроз

35. Культура работы с информацией За любую бумажку с моего стола бандит полжизни отдаст! Г.Жеглов, оперативный работник МУРа

36. Культура работы с информацией

37. Политики безопасности =

38. Физическая защита носителей

39. Как предупредить действия инсайдеров Аудит рисков ИТ-безопасности Для организаций крайне сложно определить правильный баланс между доверием к своим сотрудниками и защитой от них же. Организация должна ограждать себя от внутренних взломов наравне со внешними посягательствами путём следования принципам управления информационными рисками: - оценить имеющуюся инфраструктуру - определить критические информационные активы; - установить текущие возможные угрозы и уязвимости - оценить возможные денежные убытки вследствие утечки; - выработать стратегию управления, продумать план немедленного реагирования. Важно помнить, что избежать риска полностью нельзя. Уменьшение риска означает нахождение золотой середины между безопасной работой компании и эффективностью бизнеса.

40. Как предупредить действия инсайдеров Обучайте ваших сотрудников основам информационной безопасности В организации должна присутствовать и развиваться культура обучения сотрудников основам информационной безопасности. - что такое политики, процедуры - зачем их надо соблюдать при работе - какие средства защиты используются в сети. Первая линия защиты от инсайдеров — это информированные сотрудники. Разграничивайте должностные обязанности и привилегии доступа к данным Если все сотрудники достаточно хорошо обучены принципам безопасности, то: - ответственность за критические функции распределена между сотрудниками, - эффективное разграничение бизнес-обязанностей и привилегий при работе с информацией - максимальное количество процедур должно быть автоматизировано Тогда: - каждый работает только с теми документами, с которыми должен - вероятность сговора между людьми с целью кражи ценных сведений резко снижается.

41. Как предупредить действия инсайдеров Строгие политики управления учетными записями и паролями Если учетные записи в компьютерной сети будут скомпрометированы, инсайдер получит в свои руки все инструменты подмены своих действий и сможет украсть данные Усиление аутентификации и авторизации в сетях Пользователи, работающие с важными данными, должны пройти аутентификацию и авторизацию при доступе к информационным ресурсам. Деактивация несуществующих пользователей Когда сотрудник увольняется из организации, необходимо внимательно следовать установленным процедурам увольнения и закрывать вовремя доступ ко всем информационным ресурсам Мониторинг и сбор логов действий сотрудников в режиме реального времени Наряду с доверием к сотрудникам не пренебрегайте мониторингом подозрительной и опасной активности, которая может иногда возникать на рабочих местах пользователей - сильно увеличился внутренний сетевой трафик - возросло количество запросов к корпоративной базе данных - сильно увеличился расход тонера или бумаги.

42. Кроме того - Активно защищаться от вредоносного кода хорошими антивирусными продуктами - Использовать защиту от удаленных атак и попыток взлома. - Внедрять резервное копирование и процедуры восстановления данных. - - - Осуществлять контентную фильтрацию исходящего сетевого трафика. Электронная почта, быстрые сообщения ICQ, веб- почта, постинги на форумы, блоги и другая интернет- активность должна проверяться на предмет утечек данных. - Установить политики работы с периферийными, сменными и мобильными устройствами, на которые можно записать и унести конфиденциальный документ (FDD, CD/DVD RW, Cart Reader), присоединяемых по различным шинам (USB и PCMCIA). - не забыть и беспроводные сети (IrDA, Bluetooth, WiFi). - Проверять поток документов, отсылаемых на печать, чтобы предотвратить кражу документов в твердой копии. - Фильтровать запросы к базам данных на наличие в них опасных, извлекающих секретные сведения, запросы. - Шифровать критическую информацию на блочных устройствах и на ноутбуках.

43. Спасибо! http://www.kaspersky.ru http://www.securelist.com/ru