Специалисты ITTS в рамках ознакомительного визита посетили столицу Зимних Олимпийских игр 2014 – город Сочи. В прибрежном и горном кластерах были осмотрены спортивные объекты, в том числе участки трассы гонок Формула-1, на которой пройдет этап гонок Grand Prix of Russia. Изучены элементы транспортной и рекреационной инфраструктуры. Особое внимание было обращено на меры обеспечения безопасности, как на физическом уровне, так и в плане обеспечения взаимодействия информационных систем, в том числе систем сигнализации, видеонаблюдения, платежных систем.

Сотрудником IT-TEAM SERVICE Антоном Ракитским подготовлена очередная статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS. Статья вышла в третьем номере журнала за 2014 год.
Ниже приводим дополненный, по сравнению с журнальным вариантом, текст статьи.

Как снизить риски бизнеса, внедряя процесс управления уязвимостями

«Тот, кто знает врага и знает себя, не окажется в опасности и в ста сражениях.
Тот, кто не знает врага, но знает себя, будет то побеждать, то проигрывать.
Тот, кто не знает ни врага, ни себя, неизбежно будет разбит в каждом сражении»
Сунь Цзы "Искусство Войны“, 6 век до н. э.

Для того чтобы понять, насколько нужна организации система управления уязвимостями, нужно в первую очередь понять от кого и от чего мы защищаемся. Это могут быть и внешние угрозы – хакеры, конкуренты, а могут и внутренние – недобросовестные сотрудники.

Управление рисками

Существует множество методик и стандартов, которые позволяют организации внедрить у себя процессы управления рисками, чтобы предотвратить негативное влияние инцидентов информационной безопасности. Одним из самых известных стандартов по управлению рисками является ISO 31000:2009 «Менеджмент рисков. Принципы и руководящие указания», который говорит об управлении всеми возможными рисками организации – операционными, финансовыми. Для управления ИТ-рисками чаще всего применяется стандарт ISO/IEC 27005:2011 (в Узбекистане целесообразнее применять стандарт O'z DSt ISO/IEC 27005:2013 «Методы обеспечения безопасности. Управление рисками информационной безопасности», который является модифицированной версией международного стандарта).

Начиная процесс управления рисками, нужно определить контекст, т.е. определить какие конкретно процессы, системы, нормативы и условия будут включены в процесс управления рисками. Следующий этап – идентификация рисков, что подразумевает определение организацией потенциальных инцидентов, которые могут причинить ущерб. Далее идут анализ рисков – определение возможных последствий от возникновения инцидентов, их масштабов, оценка рисков – определение конкретных последствий инцидентов, выраженных количественно (сумма убытков) или качественно (большие, малые потери). Далее идет собственно обработка рисков – принятие решения о том, как организация поступает с рисками, т.е. как она ими управляет.
Методов обработки рисков всего четыре:
1. Распределение (передача) риска. Пример такого метода – заключение договора со страховой компанией, которая в случае возникновения страхового случая покроет все возникшие убытки.
2. Сохранение (принятие) риска. В этом случае руководство предприятия осознает риски, но в виду отсутствия средств и персонала никак не может повлиять на величину риска, тогда риск просто принимается как данность.
3. Модификация (снижение) риска. Чаще всего к критическим системам и процессам, так или иначе, применяется снижение рисков, которое позволит снизить финансовые и репутационные затраты от возникновения инцидентов.
4. Предотвращение (избежание) риска. Организация отказывается от всех действий, которые могут сопровождаться риском. Проще говоря, волков бояться – в лес не ходить.
Как же представить себе, что такое риск? Существует множество определений, в том числе и с применением математических формул. Очень наглядным является графический вариант определения риска, который дает стандарт AS/NZS 4360:2004. В вольном переводе определение риска стандарт дает в таком виде – «Риск - это вероятность того, что произойдет некое событие, которое окажет влияние на поставленные цели» (в оригинале «1.3.13 Risk is the chance of something happening that will have an impact on objectives»).
Т.е. риск можно представить как объемную фигуру, которая может менять размер по трем измерениям. Слово «вероятность» из определения риска отвечает за измерение по оси уровня угрозы, слово «окажет» - по оси уровня уязвимости (насколько уязвимой окажется наша инфраструктура в случае возникновения инцидента), а слово «поставленные цели» - по оси влияния на бизнес.
Таким образом, уровень риска может изменяться только по этим трем измерениям. Уменьшение объема фигуры в этом случае означает уменьшение и риска. Объем фигуры может быть уменьшен за счет снижения уровня угроз, например, если бы полностью удалось исключить вероятность несанкционированного доступа и исключить деятельность хакеров, то риск был бы полностью исключен. Реально ли это? Напротив, уровень угроз с каждым годом только растет. Снижение риска может быть достигнуто и за счет снижения уровня уязвимости инфраструктуры к угрозам, например, применением антивирусного ПО для противодействия компьютерным вирусам. Чем больше применяется механизмов автоматизации и чем они сложнее, тем выше уровень уязвимости, как говорят в таких случаях – растет площадь атаки. Третьим способом уменьшить риск является снижение влияния на бизнес - если исключить полностью ИКТ из процесса производства, то оно не будет подвержено рискам. Тут тоже с каждым годом наблюдается только рост уровня проникновения ИКТ во все сферы жизни.

Меры обнаружения и предотвращения

Примерами мер обнаружения являются системы антивирусной защиты, системы управления событиями информационной безопасности (SIEM). Они фактически обнаруживают уже состоявшиеся инциденты и в лучшем случае позволяют минимизировать их последствия. Также меры обнаружения можно назвать реактивными, а предотвращения – проактивными. Давайте рассмотрим меры и их эффективность на двух примерах.
Пример 1. Если для того чтобы попасть из точки А в точку Б нам нужно пройти через стройку, то каким образом можно снизить риск получить травму на стройке, например от падения кирпича? Самый простой и эффективный способ – обойти её стороной и таким способом исключить угрозу, это как раз пример предотвращения риска. Но если вы работаете на стройке, этот способ для вас не применим. Тогда можно применить самый простой и известный способ снижения уровня уязвимости – надеть каску, очень доступный и достаточно эффективный способ проактивной защиты, т.к. все защитные меры предприняты до возникновения инцидента. Как снизить риск применением реактивной защиты? Нужно купить рюкзак, поместить туда компьютер со специальной программой, повесить на плечи видеокамеры, которые будут анализировать ситуацию вокруг, анализировать ваше местоположение, скорость движения. Тогда в случае, если будет обнаружен падающий кирпич и, по мнению системы, он будет представлять угрозу для вас, она выдаст сообщение с предупреждением, успеете ли вы среагировать – другой вопрос. Сколько будет стоить такая система и насколько она эффективна?
Пример 2. Если есть вероятность заражения какой-либо болезнью, то можно поступить двумя способами – проактивно, сделать прививку, и с высокой долей вероятности предотвратить заражение, или только в случае заражения (реактивно) применять какие-то лекарства.

Мировая практика и мнение экспертов

Следует учитывать, что процесс обеспечения информационной безопасности сам по себе убыточен, т.е. не приносит доход, а напротив, потребляет средства на приобретение технических средств, обучение персонала, оплату аудита.
Практика показывает, что почти всегда значительно практичнее применять в первую очередь проактивные меры. По мнению специалистов исследовательского центра Computer Crime Research Center «Самая эффективная мера, которую может принять организация для защиты от сетевых атак и вредоносного ПО, это установка патчей на уязвимых системах» (в оригинале «The single most important thing an organization can do to defend itself against network attacks and malware is to patch vulnerable systems.») Как видим, речь тут не идет даже про антивирусы, как самый известный элемент обеспечения безопасности, ведь те же компьютерные вирусы распространяются, в том числе, через уязвимости, которые не были своевременно устранены.
По мнению агентства Gartner, предприятия, которые осуществляют процесс управления уязвимостями, подвергаются успешным атакам на 90% реже, чем те, которые делают равные инвестиции только в системы обнаружения вторжения.
Специалисты IT-TEAM SERVICE, проводя экспертизы уровня обеспечения информационной безопасности, также используют средства обнаружения и управления уязвимостями и могут отметить, например, решение QualysGuard VM, как удобный инструмент для аудитора ИБ.

Управление уязвимостями на примере QualysGuard VM

QualysGuard Vulnerability Management автоматизирует на предприятии процесс сетевого аудита и управления уязвимостями, который включает в себя: обнаружение сетевых ресурсов, построение наглядной карты сети, назначение приоритетов для ресурсов, предоставление отчетов по оценке уязвимостей и отслеживание процесса их устранения в соответствии с теми рисками, которые они несут для бизнеса. С помощью этого инструмента менеджеры безопасности смогут провести аудит, повысить защищенность сети и обеспечить ее соответствие, как внутренним политикам безопасности, так и внешним нормативным требованиям. Поскольку решение основано на технологии SaaS («ПО как сервис») и предоставляется как услуга, то нет необходимости разворачивать и внедрять какую-либо дополнительную инфраструктуру и соответственно нести затраты на ее сопровождение.
Очень важным модулем системы является модуль управления политиками Policy Compliance, который позволяет создавать и контролировать собственные или предустановленные политики, например, наличие конкретных патчей и сервиспаков на компьютерах организации, наличие антивирусного ПО и т.д. Применение этого модуля особенно актуально для банков в связи с требованиями по соответствию стандарту PCI DSS. Следует отменить, что решения QualysGuard применяются как самими банками для проведения внутренних сканирований, так и аудиторами со статусом Qualified Security Assessor. В 2013 году система QualysGuard VM получила высшую оценку от Gartner в обзоре средств оценки уязвимостей.
 IT-TEAM SERVICE, являясь единственным официальным партнером Qualys в Узбекистане, готово оказать содействие всем желающим в проведении полнофункционального пилотного тестирования системы QualysGuard.

При создании статьи были использованы следующие источники информации:

• ISO 31000:2009 «Менеджмент рисков. Принципы и руководящие указания»
  
• HB 436:2004 Handbook Risk Management Guidelines. Companion to AS/NZS 4360:2004 
  
• Computer Crime Research Center Proactive vs. Reactive Security
  
• Gartner Predicts 2004: Security and Privacy
  
• Gartner MarketScope for Vulnerability Assessment
  

Cотрудником IT-TEAM SERVICE Антоном Ракитским подготовлена статья для информационно-аналитического журнала сферы связи и информатизации ICTNEWS по актуальной проблеме – уязвимости Heartbleed.

Появившись в начале апреля 2014 года, проблема, получившая имя Heartbleed, сегодня вышла далеко за пределы сообщества экспертов по информационной безопасности и даже заставила обратить на себя внимание людей, обычно далёких от ИТ-сферы. Попробуем в двух словах описать ее суть.
Для обеспечения защиты данных от перехвата и подмены при их передаче по сетям связи очень широко применяется программное обеспечение (ПО) OpenSSL, часто являющееся надстройкой над информационными сервисами (сайт, электронная почта, VPN). В этом ПО была обнаружена уязвимость, позволяющая, при определенных условиях, получить доступ к самым критичным данным - паролям пользователей, закрытым ключам ЭЦП и прочим данным, которые находятся в памяти уязвимого компьютера. Масштабы проблемы оценить сложно, но ориентировочно количество сайтов, подверженных уязвимости на момент ее обнаружения, оценивалось в полмиллиона. В их число попали многие торговые площадки и сервисы, имеющие базу пользователей (социальные сети, почтовые службы, ЭДО). Известный специалист по компьютерной безопасности и криптограф Брюс Шнайер оценил проблему как «катастрофическую» и по 10-ти бальной шкале присвоил ей 11 баллов.
Об особенном характере данной проблемы свидетельствует и тот факт, что у отдельно взятой уязвимости, пожалуй, впервые в истории информационной безопасности, появился свой собственный логотип и сайт – heartbleed.com.
Практически все крупные проекты, имеющие продвинутую службу сопровождения, ликвидировали уязвимость в течение нескольких часов. Но все ещё остается значительное количество компьютеров с данной уязвимостью, например, там, где нет службы поддержки, способной обновить уязвимое ПО, а также в случае если установка обновлений затруднена из-за проблем с совместимостью. Отдельная проблема – так называемый "интернет вещей", т.е. огромное количество бытовых устройств с подключением к интернету (сетевые хранилища, охранные системы, системы видеонаблюдения, модемы), многие из которых имеют уязвимую версию OpenSSL. Даже если для них выпущены обновления, то устанавливать их нужно, как правило, вручную, а часть устройств и вовсе не имеют технической поддержки от производителя. Такие устройства останутся уязвимыми до конца их эксплуатации.
Ещё один вопрос, появившийся одновременно с обнаружением уязвимости   концепция открытого ПО, которым является OpenSSL. Основным преимуществом открытого ПО считается именно возможность аудита программного кода всеми желающими и раннее обнаружение уязвимостей. Но в случае с Heartbleed этот подход не сработал - данная уязвимость существовала в нескольких версиях OpenSSL более двух лет, но обнаружили ее только сейчас. С другой стороны, неизвестно, когда была бы обнаружена ошибка, если бы код ПО не был бы общедоступным.
Что же делать сейчас? Эксперты, например CERT, рекомендуют:
- обновить уязвимые версии OpenSSL до самой последней, в которой проблема Heartbleed устранена.
- обновить серверные сертификаты. Некоторые центры, выпускающие сертификаты, например Verisign, позволяют перевыпустить сертификат без взимания дополнительной платы.
-  изменить пароли доступа к информационным сервисам, которые были подвержены уязвимости, т.к. прежние пароли могли быть скомпрометированы. На будущее, для предупреждения рисков от уязвимостей такого рода:
- использовать сложные пароли, а для их хранения использовать специальные вспомогательные средства. Если полагаться на память, то велик соблазн использовать простые пароли.
- не использовать одинаковые пароли для доступа к разным ресурсам. Скомпрометированный пароль может быть использован злоумышленниками для получения доступа и к другим ресурсам.
- применять многофакторную аутентификацию всегда, когда это возможно – например, использовать не только пароль, но и коды подтверждения, получаемые через SMS и т.д.

Для проверки серверов на наличие уязвимости Heartbleed можно порекомендовать онлайн-сервисы от компаний Qualys и Symantec.

•    https://www.ssllabs.com/ssltest/
•    https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp

Пока неясно, будет ли считаться Heartbleed значительным событием в сфере информационной безопасности спустя много лет, или же масштаб его будет переоценен как это было с «Проблемой 2000 года». Посмотрим.

При создании статьи были использованы следующие источники информации:

• Half a million widely trusted websites vulnerable to Heartbleed bug
• Schneier on Security – Heartbleed
• Heartbleed, The First Security Bug With A Cool Logo
• Security Advisory - OpenSSL Heartbleed Bug
• OpenSSL TLS heartbeat extension read overflow discloses sensitive information
• Dr. Strangebug, or How I Learned to Stop Worrying and Accept Heartbleed

Наши коллеги и партнеры, специалисты компании Digital Security, сообщают о результатах нового исследования «Безопасность мобильного банкинга: возможность реализации атаки MitM (Man-in-the Middle, Человек посередине)», автором которого является Дмитрий Евдокимов, директор исследовательского центра Digital Security. Эксперт компании занимается данной темой последние несколько лет, регулярно выступая с докладами на международных конференциях по ИБ, включая BlackHat, HackInParis, ZeroNights.
В рамках исследования рассматривались ОС Android и iOS, как наиболее распространенные и имеющие наибольшее количество приложений для мобильного банкинга. Эксперт Digital Security выяснил, что из всех рассмотренных мобильных банк-клиентов с iOS 14 % подвержены краже денег только с помощью MitM-атаки, а с Android 23 %. Сочетание других уязвимостей может также привести к краже денег со счетов клиентов. В исследовании приведены интересные сведения и практические рекомендации по предотвращению появления уязвимостей. Исследование доступно на официальном сайте Digital Security и на сайте файлообменной системы в сети tas-ix.

23 апреля технические специалисты ITTS приняли участие в ставшем уже традиционным мероприятии Cisco Systems Day. Такой формат встречи ориентирован на партнеров Cisco в Узбекистане и призван повысить их компетентность в части предлагаемых продуктов и услуг, на нём анонсируются многие изменения и нововведения. В этот раз значительное внимание было уделено вопросам партнерской программы и логистики, были представлены новинки средств обеспечения информационной безопасности, в том числе и в беспроводных сетях.

Неделей ранее наши сотрудники посетили семинар «Безопасность корпоративной сети», на котором были представлены решения компании ESET, в частности ESET NOD32. Особо интересным получилось общение пользователей продуктов ESET с представлявшими их специалистами.

Между ООО «IT-TEAM SERVICE» и компанией Digital Security установлены партнерские отношения, выдан сертификат, подтверждающий данный факт.
В рамках партнерских отношений, наша компания представляет такие услуги компании Digital Security как:
• Аудит и сертификация по стандартам PCI DSS, PA DSS, ISO 27001
• Анализ защищенности, тестирование на проникновение и ASV-сканирование
• Решения по безопасности систем SAP