Защищенность ИКТ: тенденцию к ухудшению отметили на PHDays

В первый день прозвучало более 50 докладов, прошли мастер-классы и круглые столы, стартовали десятки хакерских конкурсов.

Тенденция к ухудшению  

В рамках форума был представлен отчет аналитического центра Positive Technologies — Positive Research 2016. Эксперты отмечают ухудшение общего уровня защищенности информационно-телекоммуникационных систем практически во всех областях. Защищенность IT-инфраструктур крупных компаний по-прежнему оставляет желать лучшего: в каждом втором случае (46%) для получения доступа к ресурсам внутренней сети злоумышленнику достаточно даже низкой квалификации. Самые распространенные уязвимости — использование словарных паролей (53%), уязвимости веб-приложений (47%) и служебных протоколов (100%), неэффективность антивирусной защиты (91%), устаревшее ПО (82%).

Данные абонентов сотовой связи под угрозой: к такому неутешительному выводу пришли эксперты. Исследования защищенности сетей SS7, проведенные в 2015 году, показали, что в 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% —прослушивание звонков. 

Банковская индустрия по-прежнему уязвима. Все проанализированные экспертами Positive Technologies в 2015 году системы ДБО содержали уязвимости, причем 90% из них содержали критически опасные уязвимости, оставшиеся 10% — недостатки среднего уровня риска. В половине случаев механизмы двухфакторной аутентификаций с помощью одноразовых кодов, передаваемых через SMS-сообщения, отсутствовали или были реализованы некорректно. Мобильный банк на iOS на данный момент безопаснее решений на Android: серьезные уязвимости содержали 33% и 75% приложений соответственно.

Не отстает и сфера АСУ ТП: в 2015 году Positive Technologies обнаружила более 100 уязвимостей в промышленных системах управления, эксплуатация половины из этих ошибок может привести к отказу в работе оборудования. Наиболее уязвимы SCADA-серверы и HMI-панели, ПЛК и удаленные терминалы, сетевые устройства и инженерное ПО. 

 Актуальные проблемы информационной безопасности в разрезе государственной безопасности, бизнеса и технологий обсуждались на пленарном заседании «Те, от кого зависит безопасность: очная ставка». В дискуссии принимали участие представители госструктур, производителей средств защиты, IТ- и ИБ-руководители крупнейших предприятий:

• Наталья Касперская, генеральный директор группы компаний InfoWatch,
• Виталий Лютиков, начальник 2-го управления ФСТЭК России,
• Олег Босенко, начальник управления защиты информации и инженерно-технической защиты службы безопасности НК «Роснефть»,
• Евгений Крайнов, начальник управления безопасности и защиты информации Росфинмониторинга,
• Кирилл Алифанов, директор по бизнес-процессам и информационным технологиям «Э.ОН Россия»,
• Борис Симис, заместитель генерального директора Positive Technologies,
• Дмитрий Гусев, заместитель генерального директора «ИнфоТеКС»,
• Владимир Бондарев, директор практики «Информационная безопасность» AT Consulting,
• Сергей Рыжиков, генеральный директор «1C-Битрикс»,
• Илья Федорушкин, генеральный директор Tizen Security Center. 

Задал тон беседы Борис Симис, он поставил наболевший вопрос: безопасники замалчивают проблемы ИБ и не доводят их даже до руководства. С ним согласилась и Наталья Касперская, пояснив, что они «дорожат честью мундира». Борис Симис высказал мнение, что пока безопасники не признают, что их могут взломать, — невозможно выстроить систему информационной безопасности.

Развитие информационных технологий значительно опережает развитие защитных средств, и повышение уровня безопасности в масштабах страны возможно только при совместном участии государства, бизнеса и экспертов. В числе ответственных за информационную безопасность Виталий Лютиков назвал регуляторов, исследователей, заказчиков, интеграторов и разработчиков. Начальник 2-го управления ФСТЭК видит основную общую задачу в сокращении времени от момента, когда проблема обнаружена, до ее локализации и призвал всех «заниматься реальной безопасностью». 

Своего рода ответом на пленарное заседание стала секция «Хакерская правда: зачем ломаете?». Борис Симис пообщался с представителями хакерских сообществ о роли хакеров в развитии ИБ. Здесь собрались известные российские специалисты по тестированию на проникновение — Дмитрий Евтеев, Тимур Юнусов, Никита Кислицин, Омар Ганиев и Сергей Белов.

Почему взломать крупную сеть это один-два дня несложной работы? Люди тратят миллионы долларов, годами строят систему безопасности, а потом приходят специалисты по анализу защищенности и очень быстро проникают во внутреннюю сеть. Отвечая на этот вопрос, старший эксперт отдела безопасности банковских систем Positive Technologies Тимур Юнусов привел аналогию с шахматами: разница только в том, что здесь «черные» ходят первыми — и потому безопасники всегда опаздывают на один ход.

Грамотные люди есть среди атакующих и защитников, уверен технических директор HeadLight Security Дмитрий Евтеев. Именно Дмитрий, как отметил Борис Симис, еще в 2011 году «вдохнул хакерскую правду в PHDays». Работая в Positive Technologies, он собрал команду пентестеров, известную на всю страну. «Представим современную компанию, которая сделала все правильно с точки зрения парольной защиты, токенов, фаерволов и антивирусной защиты, — говорит Дмитрий. – Появляются пользователи в этой сети. Они начинают жаловаться на сложную парольную политику. Дальше на компьютере бухгалтера хотят поставить важную программу, которая не умеет работать с прокси. Возникают бреши. Пользователи начинают ходить по зараженным сайтам, а на компьютерах необычные аномалии. Специалисты по безопасности начинают бегать от компьютера к компьютеру, как-то реагировать, но уже не успевают».

Сергей Белов, аудитор ИБ компании Digital Security, уверен, что люди, которые занимаются защитой, неправильно выбирают себе команду: «Вместо пары грамотных offensive-специалистов берут экспертов, знающих теорию SDLC, но на практике умеющих строить лишь формально безопасные процессы. Такой подход ошибочен. На моей практике не было ни одной компании, в сети которой нельзя было бы перехватить минимум одну доменную учетную запись с помощью responder, nmap или Hydra».

Никита Кислицин из Group-IB отметил, что безопасность нельзя «прикрутить», купив какой-то продукт. Безопасность — это процессы, культура, люди. «Долгое время я занимался анализом бот-сетей, которые шлют самые разные данные с зараженных компьютеров — перехваченные пост-запросы, пароли, раскадровку рабочего дня, видео, ключи, которые можно вынуть из файловой системы или USB-стиков, — рассказывает Никита. — Свежий пример: зараженный компьютер системного администратора в коммерческом банке. Причина заражения лежит на поверхности: одной рукой администратор управляет доменом банка, а другой — сидит во ВКонтакте и переходит по присылаемым ему ссылкам. Банк может купить антивирус или FireEye за миллион долларов, но от таких ситуаций защититься не сможет. По моим оценкам, минимум треть компаний, в том числе крупных банков, заражены ботнетами. Сегодня строение DMZ и защита периметра немного отходит на второй план, так как проще заразить очень важные компьютеры, просто написав правильный текст и прислав человеку вирус».