1. Если не взломаем Мы, то взломают Вас Директор по развитию бизнеса SaveIT Group Анна Попенко

14. 14 Команда профессионалов Save IT Group

7. 7 Анализ защищенности от Save IT Group Анализ уязвимостей Выявление уязвимостей Тестирование на проникновение Best Practice

15. 15 Опыт анализа защищенности от Save IT Group Правительство Республики Крым Правительство Воронежской области Министерство по развитию Дальнего Востока ФКП Росреестра Правительство Московской области Администрация Нижнего Новгорода Администрация Южно-Сахалинска Правительство Рязанской области ГУП Московский метрополитен АО Конструкторское бюро химавтоматики

3. 3 На что нацелен хакер? Программный модуль Готовое программное обеспечение Прикладные и системные сервисы/службы Протокол взаимодействия (сеть, wif и т.п.) Информационная система Персонал \    \   

16. Мы можем всё info@saveit.pro +7 (800) 250-87-34 CyberSecurityRussia Директор по развитию бизнеса SaveIT Group Анна Попенко +7 (930) 407-43-15 | popenko_a@saveit.pro 

9. 9 Способы взаимодействия при анализе защищенности от Save IT Group Каким способом аудитор взаимодействует с заказчиком Black Hat («Чёрная шляпа») – полностью имитировуются действия злоумышленника, – о проведении работ знают только руководители службы ИБ, – проверка уровеня оперативной готовности к атакам сетевых администраторов и администраторов ИБ. White Hat («Белая шляпа») – основная задача - обнаружение возможных уязвимостей и оценке риска проникновения в систему, – меры по сокрытию атакующих действий не применяется, – Аудиторы работают в постоянном контакте с ИБ-службой заказчика.

8. 8 Сценарии анализа защищенности от Save IT Group Уровень осведомлённости аудитора о внутреннем устройстве системы Black Box («Чёрный ящик») – максимально приближен к реальной ситуации, – не предоставляются данные об объекте (защитных средствах, ИТ/ИБ персонале), – используются только общедоступная информация об объекте атаки, – аудиторы выступают в роли внешнего нарушителя. Gray Box («Серый ящик») – в наличии определенный, небольшой, объем информации об атакуемом объекте (средства безопасности, операционные системы, информация о сетевом оборудовании, идентификаторы точек беспроводного доступа, IP- адреса), – аудитор может иметь доступ к внутренней сети (низкий уровень прав доступа). White Box («Белый ящик») – используется вся информацию о внутренней структуре/ реализации/устройстве объекта тестирования, – аудитор выступает в роли внутреннего нарушителя.

6. 6 П. 16. Внедрение системы защиты информации информационной системы включает: Приказ ФСТЭК России No 17 Что говорит закон?  Приказ ФСТЭК России о КИИ  Анализ уязвимостей информационной системы принятие мер защиты информации по их устранению 13.6. в) Выявление уязвимостей 13.6. д) Тестирование на проникновение

2. 2 Предпосылки Отрасль: гос. активы и производство/добыча 2017 год : 6925 инцидентов Источник данных об инцидентах: Computer Emergency Response Teams (CERTs) или Computer Security Incident Response Teams (CSIRTs) 2017 Data Breach Investiatins Repirt

13. 13 « Не бумагой единой » Ɩ Вы получите полноценную оценку текущего состояния информационной безопасности корпоративных ресурсов организации, Ɩ Вы выявите существующие проблемы и выработаете эффективную систему обеспечения защиты информации, Ɩ Вы минимизируете риски реализации угроз безопасности информационных ресурсов компании. На сегодняшний день Анализа защищенности необходим каждой организации:

4. 4 К чему приводит взлом? Июнь 2017 г. Petya (или NotPetya) В России атака «Роснефти», «Башнефти», «Евраза», российских офисов компаний Mars, Mondeles и Nivea. Октябрь 2017 г. Bad Rabbit («Плохой кролик») Атаковал сайты ряда российских СМИ («Интерфакс», «Фонтанка»). Май 2017 г. WannaCry Атакам подверглись системы МЧС, МВД, РЖД, Сбербанка, «Мегафон» и «Вымпелком». Ущерб 7 млн. рублей. Март 2018 г. Взлом приложения MyFitnessPal Утечка ПДН 150 млн. пользователей. Июнь 2017 г. Хакерская атака Пенсионный фонд РФ, утечка персональных данных более 17 тыс. человек. Март 2017 г. Хакерская атака Столичных банков – Пострадал «Тексбанк». Ущерб 27 млн. рублей.

11. 11 Ɩ Нагрузочное (стресс) тестирование  — тестирование производительности приложения, сервиса или протокола взаимодействия с целью определения уровня критической нагрузки (входных данных), после которого объект исследования перейдёт в состояние «отказ в обслуживании»; Ɩ Аудит социотехническими методами  — метод аудита защищенности организации, в ходе которого используются приёмы социальной инженерии, основанные на особенностях психологии людей: фишинг, претекстинг, кви про кво, дорожное яблоко, обратная социальная инженерия и некоторые другие; Ɩ Компьютерная криминалистика (форензика)   — комплекс мер для расследования внутрикорпоративных преступлений и случаев мошенничества, поиска уязвимостей и других инцидентов в сетевой инфраструктуре организации. Методики анализа защищенности от Save IT Group

12. 12 Отчёт по итогам проведения анализа защищенности от Save IT Group Результатами проведения анализа защищенности служит отчёт, который содержит: Ɩ Цели и границы проведения анализа защищенности; Ɩ Перечень используемых методик; Ɩ Используемые режимы и сценарии проведения анализа защищенности; Ɩ Выявленные уязвимости; Ɩ Подробные инструкции по устранению, выявленных в ходе анализа защищенности, уязвимостей, а также рекомендации по модернизации имеющейся системы защиты информации.

5. 5 Что диктует жизнь? Ɩ Даже малый бизнес может быть привлекательным для кибермошенников; Ɩ Убытки от утечек несоизмеримо дороже цены анализа защищённости; Ɩ Утечка коммерческой тайны может остановить малый и средний бизнес; Ɩ Утечка информации и репутационные риск для компании; Ɩ Анализ защищённости – страховка Вашего бизнеса.

10. 10 Методики анализа защищенности от Save IT Group Ɩ Аудит исходного кода на наличие уязвимостей с использованием специализированного программного обеспечения; Ɩ Обратная разработка с целью восстановления алгоритмов работы программы и последующим поиском уязвимостей; Ɩ Активное и пассивное сканирование сервисов и служб с целью выявления уязвимостей, находящихся в открытом доступе (эксплоитов); Ɩ «Фаззинг»  — с целью выявления некорректной работы алгоритмов программ или протоколов взаимодействия, которые могут впоследствии являться векторами для создания 0day уязвимостей; Ɩ Аудит соответствия   — аудит конфигураций и сред функционирования с целью оценки соответствия выполнения требований регламентирующих нормативно правовых актов.