Компания Positive Technologies приняла участие в XIII Международной выставке InfoSecurity Russia 2016, прошедшей в московском выставочном центре «Крокус Экспо» с 20 по 22 сентября. Эксперты компании выступили с докладами в рамках собственной экспозиции и деловой программы конференции, а также презентовали два новых продукта — MaxPatrol SIEM LE и PT MultiScanner.
На стенде была представлена вся продуктовая линейка компании — MaxPatrol 8, PT Application Firewall, PT Application Inspector, PT Industrial Security Incident Manager, PT SS7 Attack Discovery, MaxPatrol SIEM и новинки — MaxPatrol SIEM LE и PT MultiScanner. В течение трех дней в режиме получасовых докладов эксперты познакомили посетителей выставки с возможностями решений Positive Technologies, продемонстрировали уязвимости систем глобального позиционирования GPS и ГЛОНАСС и поделились своим взглядом на актуальные проблемы информационной безопасности.
Защита огромных заводов и малого бизнеса
Большой интерес участников вызвала продуктовая линейка Positive Technologies. Впрочем, это неудивительно, так как за последние два года продуктовый портфель компании вырос с двух до восьми продуктов. Все они были выставлены на стенде, а об их возможностях рассказали сотрудники Positive Technologies.
Серию продуктовых докладов открыла Евгения Красавина, менеджер по продвижению продуктов Positive Technologies. Она представила многопоточную систему выявления вредоносного контента PT MultiScanner, которая устанавливается внутри защищаемого периметра. Система позволяет значительно повысить точность и оперативность обнаружения угроз за счет параллельного сканирования десятком антивирусов и комбинации различных методов выявления вредоносных активностей — включая ретроспективный анализ и репутационные сервисы. Также на базе PT MultiScanner можно создать внутренний ИБ-сервис, с помощью которого пользователи самостоятельно — через веб-портал или электронное письмо — могут проверить на вирусы свои файлы.
Олег Матыков, руководитель направления развития продуктов для защиты приложений и промышленных сетей Positive Technologies, рассказал о PT Industrial Security Incident Manager (PT ISIM) — системе управления инцидентами кибербезопасности АСУ ТП. Продукт анализирует работу промышленной системы без вмешательства в технологический процесс, умеет обнаруживать и визуализировать сложные многоступенчатые атаки, выявляя вредоносные вторжения на самых ранних этапах. Олег отметил, что PT ISIM не является «универсальной коробкой», чего так опасаются специалисты на предприятиях. Компания разрабатывает продукт для каждой отдельной отрасли, насыщая систему информацией о конкретных технологических процессах, для которых она предназначена. В команде разработки PT ISIM есть эксперты из различных отраслей, например члены РНК СИГРЭ и специалисты, работавшие на проектах по анализу защищенности технологических сегментов в Мосэнерго и Enel (Италия). В 2016 году Positive Technologies, «Бомбардье Транспортейшн (Сигнал)» и ОАО «НИИАС» совместно разработали комплексную систему повышения киберзащищенности микропроцессорных систем управления движением поездов. Это первый опыт промышленного внедрения подобных устройств в транспортной отрасли. Продукт включает в себя серверы сбора сетевого трафика на базе PT ISIM, а также устройство кибербезопасного мониторинга CyberSafeMon. Вскоре специальная модификация PT ISIM заработает и в электроэнергетической отрасли, а в 2017 году появится PT ISIM для защиты предприятий нефтяной промышленности и металлургии.
Руководитель отдела безопасности телекоммуникационных систем Positive Technologies Дмитрий Курбатов поделился с посетителями выставки способами проведения атак на абонентов мобильной связи с использованием уязвимостей SS7: перехват SMS, прослушивание разговоров, отслеживание геолокации и отключение абонента от сети. Дмитрий представил статистику исследований защищенности сетей SS7 за 2015 год, согласно которой в 89% случаев возможен перехват входящего SMS-сообщения, в 58% случаев — определение местоположения абонента, а в 50% — прослушивание звонков. Дмитрий отметил, что легкость фальсификации USSD-запросов упрощает подделку мобильных переводов — особенно в сетях операторов, выпускающих собственные банковские карты, а возможность отключения абонентов от сети угрожает огромной армии «новых и чрезвычайно желанных клиентов» телекома из мира интернета вещей — любых устройств, которые используют сотовые сети для подключения к интернету, от GSM-сигнализаций до датчиков давления на нефтепроводе. Эксперты рекомендуют проводить аудит уязвимостей телекоммуникационной сети и ее компонентов, внедрять средства защиты, контролировать уровень защищенности сети и ее сервисов, а также периметра для предотвращения и раннего обнаружения атак на инфраструктуру и ее абонентов.
О новой системе MaxPatrol SIEM LE, которая предназначена для защиты компаний малого и среднего масштаба, рассказал старший специалист отдела проектирования и внедрения Positive Technologies Алексей Петухов. Этот продукт — самый доступный способ получить полноценную систему выявления инцидентов ИБ под ключ, а также экспертную поддержку компании Positive Technologies. В MaxPatrol SIEM LE работоспособность правил корреляции сохраняется даже после изменений инфраструктуры, что позволяет упростить его эксплуатацию. При этом Positive Technologies без дополнительных затрат подключает актуальные источники данных. Эти факторы значительно сокращают общую стоимость внедрения и поддержки SIEM-системы.
Деловая программа: проблемы банкоматов и GPS
Павел Новиков, специалист отдела безопасности телекоммуникационных систем Positive Technologies, рассказал о рисках промышленного применения GPS на круглом столе «Промышленный интернет вещей и информационная безопасность», а потом на демо-стенде Positive Technologies показал, как легко сформировать поддельные сигналы GPS с помощью недорогой SDR-станции. Любой посетитель в зоне действия станции мог увидеть эти эффекты: в частности, один из гостей выставки чуть было не пропустил встречу после изучения стенда — время в его Apple iPhone и умных часах синхронизировалось в соответствии с фальшивыми GPS-сигналами.
Проблематику рынка SIEM в России на одной из экспертных сессий раскрыл Владимир Бенгин, руководитель направления поддержки продаж SIEM Positive Technologies: «Проблема российского рынка SIEM в том, что девять из десяти внедренных с 2003 по 2012 годы систем сейчас лежат на полке. За два года IT-инфраструктура большинства компаний меняется на 80%. Если вы не занимаетесь ежедневной адаптацией SIEM к изменениям, с каждым днем работает все меньшее число правил корреляции, и через два года SIEM становится полностью бесполезным. В итоге многие руководители компаний даже не знают, что у них есть SIEM-система, — она была когда-то внедрена, но уже давно не дает никакой полезной информации. При создании MaxPatrol SIEM были учтены недостатки существующих систем. Мы создали платформенное решение, в основу которого заложили глубокое понимание инфраструктуры и, по сути, функциональность решений класса Asset Management. За счет этого наша система автоматически подстраивается под любые изменения и может обслуживаться минимальным штатом специалистов ИБ».
На секции «Информационная безопасность АСУ ТП КВО» Олег Матыков выступил с докладом «Как взломали энергоснабжение города», где поделился результатами конкурса по взлому промышленного оборудования, который проводился на форуме PHDays VI. Он напомнил об уже нашумевшей истории с московским десятиклассником, которому удалось вызвать короткое замыкание электрической подстанции на игровом полигоне CityF. Олег также рассказал, как в рамках конкурса уже профессиональные хакеры, взломав уязвимый сервер в демилитаризованной зоне, получили доступ к сетям подстанций, вызвали короткое замыкание, а затем, захватив управление турбиной, произвели аварийный сброс воды ГЭС, затопив модель населенного пункта.
Хакерский взгляд на проблемы безопасности ДБО представил старший эксперт, руководитель отдела безопасности банковских систем Positive Technologies Тимур Юнусов. Он рассказал о технических несовершенствах установленных в банках антифрод-систем на примере нескольких кейсов из практики Positive Technologies по пентесту ДБО. По мнению эксперта, в рамках практической безопасности антифрод-системы не работают. Например, они слабо «заточены» на атаки со стороны клиентов банка, чем и пользуются злоумышленники: они заводят счет в банке и, используя уязвимости ДБО, проводят мошеннические операции. Также на секции «Карты. Платежи. Мобильность» Тимур разобрал популярные атаки на карточные данные через банкоматы. Речь зашла об уровне безопасности карт с бесконтактными технологиями оплаты, магнитной лентой и оснащенных чипом.
В форуме также принял участие руководитель направления по работе с технологическими партнерами Positive Technologies Алексей Голдбергс с рассказом о специфике атак на бизнес-системы и подходах к их защите. В свою очередь, менеджер по продвижению продуктов Positive Technologies Михаил Левин в своем выступлении затронул тему атак на виртуальную инфраструктуру и обеспечения безопасности гипервизоров.
Также эксперты Positive Technologies рассказали о тенденциях, которые наметились в информационной безопасности за последний год. Руководитель отдела реагирования на угрозы информационной безопасности Positive Technologies Эльмар Набигаев в ходе своего доклада «Предчувствуя взлом: реагирование на инциденты в неспокойное время» поделился результатами исследований Positive Technologies, согласно которым среднее время присутствия злоумышленника в системе составляет пять лет. Самый популярный вектор атаки — целенаправленные рассылки по почте, когда вредоносные письма рассылаются не случайным получателям, а, например, сотрудникам одной организации якобы от лица руководства, партнеров, отдела кадров.
На секции «Таргетированные атаки: характер, схемы, замысел и способы защиты» руководитель отдела мониторинга Positive Technologies Владимир Кропотов поведал о сходствах и различиях использования ВПО в таргетированных и массовых атаках. По словам эксперта, наметилась тенденция маскировки целевых атак под массовые. Злоумышленники все чаще используют оригинальные стратегии и инструменты (например, интернет вещей) при организации атак, что осложняет оперативное выявление угроз. Поэтому при расследовании важно определить характер инцидента. Также Владимир рассказал, какие шаги необходимо предпринять в первую очередь. Для начала выяснить, кто жертва — только вы или кто-то еще. Следующий шаг — анализ предпосылок инцидента и действий атакующего. Еще один признак, по которому можно определить характер атаки, — реакция атакующего на факт выявления и начала противодействия. «Во время атаки часто происходит интерактивное взаимодействие с системой жертвы, поэтому если после обнаружения структура атакующего сворачивается за несколько часов — то, скорее всего, это целевая атака», — считает Владимир Кропотов.
«От выставки мы ждали, в первую очередь, открытого общения, возможности показать новые продукты и технологии, поделиться результатами исследований, — рассказал о своих впечатлениях директор Positive Technologies по развитию бизнеса в России Максим Филиппов. — Это были насыщенные три дня: мы смогли не только обсудить с партнерами и заказчиками перспективы будущего года, но и сформировать совместные планы. Наши ожидания от InfoSecurity Russia 2016 полностью оправдались, а поставленные задачи успешно решены. В ближайшее время мы планируем встретиться с организаторами для подведения итогов и планирования нашего участия в следующем 2017 году».