Свежие посты   По годам   По датам
  • 07 Октября 2015 » [статья] Специализированные межсетевые экраны для АСУ ТП: нюансы применения
    В журнале Защита информации. INSIDE №4’2015 вышла моя статья про специализированные межсетевые экраны для АСУ ТП и нюансы их применения. Конкретные продукты в статье не упоминаются, но ранее делал обзор решений для ИБ АСУ ТП, где производители и модели перечислены: ИБ решения для АСУ ТП. Часть 1. ИБ решения для АСУ ТП. Часть 2. Актуализируемая версия презентации со всеми решениями доступна здесь: ИБ решения для АСУ ТП. В ближайшее время опубликую ещё одну статью про аудит информационной безопасности, точнее - про предпосылки его проведения. Специализированные межсетевые экраны для АСУ ТП: нюансы применения from Alexey Komarov Ещё больше материалов по вопросам информационной безопасности доступны в соответствующем разделе сайта: http://ZLONOV.ru/ics-security/ - аналитика, статистика, подборка публикаций из СМИ про выявленные уязвимости и произошедшие инциденты, а так же многое другое. Изображение

  • 06 Октября 2015 » (аналитика) Предприятия атомной энергетики не думают о кибербезопасности
     

  • 30 Сентября 2015 » Секция ИБ КВО на InfoSecurity Russia 2015
    На проходившей на прошлой неделе выставке InfoSecurity Russia 2015 помимо ставшего уже привычным общением с коллегами “по цеху” (Лица те же, визитки иногда другие (с)) отдельным пунктом поставил себе в повестку посещение секции Информационная безопасность критически важных объектов. К слову, стратегически верным было решение прийти заранее и занять место, так как небольшое помещение, хоть его и трудно было найти (из-за путаницы с табличками), забилось практически сразу. [caption id=”attachment_7615” align=”aligncenter” width=”500”] Людей было много[/caption] [caption id=”attachment_7616” align=”aligncenter” width=”500”] Зал B в зале D[/caption] Состав секции по числу выступавших получился довольно любопытным: один заказчик (ЕВРАЗ), один независимый эксперт, один вендор (НТБ) и целых пять(!) интеграторов. Глядя на такой состав, можно предположить, что готовых специфических продуктов для ИБ АСУ ТП пока не так много, заказчиков, проделавших значимую работу и готовых делиться опытом - тоже, зато в достатке интеграторов, интересующихся тематикой и предлагающих свои услуги =) Похоже, на правду, в принципе. Про решения для контроля привилегированных пользователей (то, про что был доклад НТБ) надо писать отдельно, равно как и про их применимость именно в АСУ ТП, доклад независимого эксперта был интересен, но как-то, по моему мнению, слишком оторван от реалий, а вот выступление Андрея Нуйкина из ЕВРАЗ было содержательным и сугубо по делу. Особенно интересна была часть ответов на вопросы, когда Андрей делился своим опытом и рассказывал про те подходы, которые они уже опробовали и которые только планируют внедрить. Такой трезвый взгляд на действительные проблемы и сложности без маркетинговой шелухи. Коллег из компаний интеграторов (Инфосистемы Джет, A-security, ДиалогНаука, Элвис-Плюс, АМТ-ГРУП) тоже послушать было интересно и, как справедливо отметил в своём докладе Даниил Тамеев, общий уровень экспертизы существенно вырос. До сих пор хорошо помню Технико-коммерческое предложение одного интегратора на создание комплексной системы защиты информации в АСУ ТП, которое представляло собой просто чуть переделанный шаблон ТКП на создание системы защиты персональных данных. Сейчас такого нет и это приятно. Коллеги освещали уже более узкие вопросы, чтобы не повторяться - примеры из опыта реализации проектов, нюансы построения систем защиты и т.п. С самой секции, да и в целом из трёхдневной программы, на сайте организаторов доступны далеко не все презентации, но что-то всё-таки было выложено. Доступ, правда, организован крайне неудобно - кто пробовал в личном кабинете что-то скачать, меня поймёт. Поэтому для простоты доступа все материалы скопировал в блокнот Evernote и сделал его публичным: https://www.evernote.com/pub/zlonov/infosecurityrussia2015 Получилось довольно удобно: можно даже искать по словам. Организаторам больших конференций и выставок на заметку - удобный доступ к материалам после завершения мероприятия продлит у участников послевкусие от него (считай - повысит лояльность), привлечёт тех, кто на самом мероприятии не побывал и хорошо скажется на посещаемости сайта. Мне пока из удобств встречалась разве что возможность скачать все презентации одним архивом. В заключение - две фотографии 2014 и 2015 года. Ракурсы и масштабы разные, конечно, но прошлогодняя кажется больше. Впрочем, такое кажется почти каждый год =) [caption id=”attachment_7618” align=”aligncenter” width=”500”] Вид на выставочный зал Information Security 2015[/caption] [caption id=”attachment_7619” align=”aligncenter” width=”667”] Вид на выставочный зал Information Security 2014[/caption] По теме выставок можно ещё почитать: Краткий фотоотчёт с InfoSecurity Russia 2014 Минус три тысячи сто посетителей в 2013 году Препарируем InfoSecurity Счетоводы 2011: INFOBEZ-EXPO vs InfoSecurity По тематике ИБ АСУ ТП на сайте создан отдельный раздел: https://zlonov.ru/ics-security/

  • 30 Сентября 2015 » (уязвимость) В нескольких SCADA-системах найдены бреши
    Центр ICS-CERT опубликовал серию бюллетеней о наличии нескольких уязвимостей в SCADA-системах от Resource Data Management, IBC Solar и EasyIO.

  • 29 Сентября 2015 » (уязвимость) Тысячи приборов в больницах уязвимы для киберпреступников
    Множество медицинских систем доступны хакерам онлайн, предупреждает The Register. Эксперты по безопасности Скотт Эрвен (Scott Erven) и Марк Коллао (Mark Collao) установили, что в одной из очень крупных американских медорганизаций, где работают 12 тыс. сотрудников и 3 тыс. врачей, свыше 68 тыс. систем находятся в онлайне. В частности, хакеры могут подключиться к 21 прибору, связанному с анестезией, 488 кардиологическим системам, 67 системам ядерной медицины, 133 инфузионным аппаратам, 31 кардиостимулятору, 97 МРТ-сканерам. Все это было обнаружено через поисковую систему для рынка интернет-вещей Shodan. У злоумышленников есть возможности красть данные и получать сведения о частной жизни пациентов, подчеркивают исследователи. Представитель консалтинговой компании NeoHapsis добавляет, что хакеры могут отправить вредоносное письмо сотруднику с доступом к медицинским аппаратам, чтобы инфицировать приборы. По словам эксперта, практически все девайсы до сих пор работают на Windows XP и обычно не защищены антивирусами, что делает их критически уязвимыми. К тому же на некоторых системах стоят простейшие пароли. Вдобавок исследователи продемонстрировали 24 успешных использования уязвимости MS08-067 для атаки на медицинские системы, запустив исполнение удаленного кода компьютерного червя Conficker, — эпидемия инфицирования Windows XP этим зловредом пришлась еще на 2008–2009 годы. Ко всему прочему эксперты имитировали свыше 55 тыс. удачных SSH-атак и заходов через веб с помощью логинов, осуществив 299 загрузок вредоносного ПО. На днях также стало известно, что компании, работающие в сфере здравоохранения, в три раза чаще сталкиваются с кражей данных, чем другие предприятия. Отрасль переживает на 340% больше инцидентов и нападений киберпреступников, чем остальные. Здравоохранение на 400% чаще страдает от передовых вредоносных программ, на 450% — от Cryptowall и на 75% больше получает фишинговых писем. Источник

  • 25 Сентября 2015 » Развиртуализация Facebook-группы Кибербезопасность АСУ ТП
    Для Facebook-группы Кибербезопасность АСУ ТП вчера состоялось знаменательное событие - первая оффлайн встреча. Процентная представленность, конечно, не сказать, чтобы была очень высока - 7 человек из 392 участников. Но, тем не менее, важен прецедент и сам факт: люди, для которых проблема (кибер)информационной безопасности промышленных систем автоматизации и управления - не пустой звук, действительно существуют. Шуточный протокол первого заседания от Дмитрия Артёменкова: Разоблачение stuxnet. Блеск и нищета иранских атомных станций. Итог: разоблачили. Идеология или бизнес. Кто необходимей для продвижения кибербезопасности? Итог: консенсус не достигнут. Требуется повторное заседание. Технологические шины. Перспективы развития. Итог: перпективы развили. Защитные функции сургуча как средства от НСД в АСУ ТП. Итог: имеет право на жизнь. Гиннес, Килкиннен, Хайникен, Смитуикс и сидр Стронгбоу - счётчик вышел из строя. Продолжение следует…

  • 17 Сентября 2015 » (уязвимость) Schneider патчит баг незашифрованных учетных данных в системах автоматизации зданий
    Известный производитель автоматизированных систем управления — компания Sсhneider Electric опубликовала новую прошивку для своей системы автоматизации зданий StruxureWare Building Expert, в которой закрыта уязвимость, эксплуатируемая удаленно. Исследователь Артем Курбатов обнаружил, что система передает учетные данные пользователя между сервером и клиентом в открытом (незашифрованном) виде. В оповещении от ICS-CERT говорится, что данная уязвимость не была эксплуатирована гласно. «Успешный эксплойт позволит злоумышленнику получить учетные данные пользователя», — пишет Schneider в своем оповещении. По данным Schneider Electric, эта система автоматизации зданий используется во всем мире, по большей части в коммерческих зданиях. StruxureWare Building Expert описывается как многоцелевое устройство управления, которое отслеживает работу систем вентиляции, отопления и кондиционирования, систем освещения и измерительных систем, прежде всего для контроля за расходом энергии. Уязвимость содержат версии до 2.15, по данным ICS-CERT, причем уязвимость получила CVSS-балл 10.0. Менеджерам следует обновить MPM до версии 2.15 или выше. Schneider Electric вплотную занялась закрытием дыр в безопасности с начала осени. 3 сентября компания выпустила оповещение, в котором говорится о закрытии ряда уязвимостей в Modicon M340 PLC Station P34. Об этих уязвимостях сообщил исследователь Хуан Франсиско Боливар (Juan Francisco Bolivar), также в июле о них сообщил и рассказал на конференции DEF CON независимый исследователь Адитья К. Соод (Aditya K. Sood). Продукты Modicon BMXNOC0401, BMXNOE0100, BMXNOE0110, BMXNOE0110H, BMXNOR0200H, BMXP342020, BMXP342020H, BMXP342030, BMXP3420302, BMXP3420302H и BMXP342030H содержали уязвимости, с помощью которых можно было заставить браузер перенаправлять пользователя на удаленный файл или исполняемый JavaScript, хранящийся удаленно. Источник </div> </div>

  • 17 Сентября 2015 » Действительный список блогеров по ИБ +опрос
    Актуализировал на сайте список личных блогов, связанных с темой информационной безопасности. В прошлый раз (в конце февраля) исключал блоги без свежих записей в 2015 году, но к сентябрю многие хотя бы один пост да написали, поэтому список стал существенно больше - получилось 54 блогера. Полный список доступен по ссылке: https://zlonov.ru/blogs/ Если заметите неточности или будут дополнения - сообщайте в комментариях. [caption id=”attachment_7559” align=”aligncenter” width=”650”] Список действующих личных блогов по информационнной безопасности[/caption] Конечно, не все мы пишем только и исключительно про информационную безопасность, но так как я не считаю данный перечень каким-то серьёзным рейтингом или поводом для аналитических выкладок, то и критерии включения/невключения устанавливаю довольно нежёсткие. Число подписчиков в сервисе Feedly всё же для ориентира оставил, хотя на собственном примере убедился, что он не является абсолютным показателем, так как сильно зависит от порой меняющегося механизма подсчёта в самом сервисе Feedly - например, для доменных зон .RU и .COM у одного и того же блога в BlogSpot результаты разнятся. Число подписчиков резко меняется при каких-то настройках в механизме выдачи RSS-ленты, а у блогов, бездействующих уже несколько лет, продолжает расти. Вся эта нестрогость не позволяет использовать данный показатель как действительно единый параметр оценки, как бы того ни хотелось любителям аналитики и красивых диаграмм, к коим отношу и себя. Наверное, блог, как и любой другой сайт, логичнее всего оценивать по числу посещений: если из двух блогеров один пишет в два раза чаще другого, то и читают его больше, даже если число подписчиков у них одинаковое. Как я понимаю, подобный принцип использует как раз агрегатор блогов на SecurityLab для выведения раздела “Выдающийся блогер”. Во всяком случае, ротация там происходит регулярно. [caption id=”attachment_7560” align=”aligncenter” width=”650”] Выдающиеся блогеры на SecurityLab[/caption] Поэтому мне кажется самым правильным делать рейтинг блогов на основе публичных данных сервиса статистики. Но для этого придётся выбрать и поставить всем желающим попасть в этот рейтинг один и тот же счётчик. Это важно, потому что у меня, например, каждый из рекомендованных Роскомнадзором, показывает что-то своё. Возможно, у вас есть другие соображения. Например, вы считаете, что этот рейтинг вообще не нужен. Предлагаю высказаться и принять участие в опросе, форма которого размещена по этой ссылке.

  • 16 Сентября 2015 » (инцидент) США обвинили Россию в хакерской атаке на американские системы управления промышленностью
    Российские хакеры проникли в американские системы управления промышленностью, которые работают с критически важными объектами инфраструктуры, в частности, с электросетями, заявил директор национальной разведки США Джеймс Клэппер.

  • 16 Сентября 2015 » Solar Security и её DLP Solar Dozor
    Созданная системным интегратором Инфосистемы Джет компания-вендор Solar Security (Солар Секьюрити) младше своей собственной DLP системы Solar Dozor (ранее Дозор-Джет) почти на 15 лет. Картинка-иллюстрация к посту в тему =) Вчера на пресс-конференции была представлена обновлённая версия этого продукта - Solar Dozor 6.0. По словам представителей Солар Секьюрити предыдущие версии продукта установлены более чем у 300 пользователей (в официальном пресс-релизе упоминается более 100 инсталляций). [caption id=”attachment_7543” align=”aligncenter” width=”550”] Пресс-коференция Solar Dozor 6.0[/caption] Помимо DLP в портфеле у Солар Секьюрити - аналитическая система inView, IDM-решение inRights и ещё один продукт, который будет представлен широкой общественности чуть позже - в октябре. Кстати, обещают, что это будет не SIEM и не WAF, что уже интригует =) MSSP-провайдер JSOC также предан в ведение Солар Секьюрити, так что теперь его предлагается расшифровывать как Jedi Security Operation Center (вместо Jet…). Среди клиентов JSOC в настоящее время заказчики в таких отраслях как энергетика, банки, крупные процессинговые центры. Компания в принципе делает ставку на узкий сегмент решений мониторинга и управления ИБ, так как опыт команды (материнского системного интегратора) по анализу защищённости систем безопасности клиентов показывает, что в 93% случаев, несмотря на имеющиеся средства защиты, попытки проникновения оказываются успешными. Из этого эмпирического опыта логично делается вывод о том, что управление безопасностью является ключевым элементом системы обеспечения безопасности в целом. Суть же подхода к DLP состоит в том, что предлагается перейти от борьбы с утечками (далеко не каждая утечка информации реально стоит тех денег, которые просят на борьбу с ней DLP-вендоры) к борьбе с внутренним мошенничеством (или фродом). Два-три инцидента, выявленных с помощью DLP и средств контроля коммуникаций, способны окупить все затраты на такую систему. Для успешного решения этой задачи система должна иметь возможность ведения удобного архива с быстрым поиском и обладать широкими аналитическими возможностями. На примере выявления “откатных схем”, которые трудно выявить мониторингом по ключевым словам, но можно детектировать, например, по изменению тональности или каналов общения, была показана также и необходимость наличия средств выявления косвенных признаков мошенничества. Заявлено, что в Solar Dozor 6.0 весь этот инструментарий (архив, аналитика, выявление косвенных признаков) присутствует. Кроме этого в решении есть: ”группы риска” (целые отделы можно ставить на особый контроль), “карма” сотрудников (множество мелких нарушений, каждое из которых малозначительно, в итоге приведут к снижению уровня доверия к сотруднику), досье сотрудников и отделов, профилирование действий пользователей с контролем аномальных отклонений, каталог правил выявления мошеннических схем и реагирования на них с отраслевой спецификой и многое другое. [caption id=”attachment_7541” align=”aligncenter” width=”500”] Что нового в Solar Dozor 6.0[/caption] Вообще, трудно спорить с тем, что фактически функционал современных DLP систем в плане контроля каналов уже почти одинаков и вопрос стоит не столько в выявлении утечек, а в том, что с этим делать дальше, как довести до логического конца каждый конкретный инцидент? Продемонстрированные несколько кейсов были достаточно убедительны, чтобы показать, что Solar Dozor существенно эту задачу упрощает. Интерфейс системы красив, масштабирование для экранов от планшета до плазмы поддерживается. Разработка велась с сентября прошлого года, а в качестве приоритета было выбрано максимальное удобство типовых ежедневных операций, которые были определены в ходе анализа реальных сценариев использования продукта у заказчиков. [caption id=”attachment_7542” align=”aligncenter” width=”550”] Интерфейс Solar Dozor 6.0[/caption] В качестве важного конкурентного преимущества отдельным поводом для гордости называется сверхбыстрый поиск за счёт предварительной индексации основных поисковых атрибутов. По внутренним оценкам до 85% запросов будут отрабатываться именно таким быстрым поиском. За счёт этого с системой можно работать в режиме реального времени, а не по принципу: сформировал запрос - подождал полминуты - получил результат - скорректировал запрос - опять подождал - … и т.д. Кстати, демонстрация реально работающей версии системы, а не красивых скриншотов с объяснениями “на пальцах” лично мне особенно понравилась. Честно говоря, не являюсь глубоким экспертом в DLP системах, но всё показанное было настолько просто, логично и удобно, что с некоторым удивлением услышал отрицательный ответ от более подкованных коллег на свой вопрос: “А что, у других разве этого нет?”