ݺߣ

ݺߣShare a Scribd company logo

Кібер-атаки на критичну інфраструктуру в Україні

Download as PPTX, PDF
Glib Pakharenko
Glib Pakharenko

Презентація аналізує кібер-атаки на критичну інфраструктуру в Україні, особливо APT BlackEnergy.

1 of 15
Download to read offline
Unifying the Global Response to Cybercrime Обмеження відповідальності Публікація підготовлена Глібом Пахаренко та Сергієм Пузирко за сприяння ГО “ІСАКА Київ”, який розробив та опублікував цей документ, насамперед як освітній ресурс для фахівців із аудиту, корпоративного управління, управління ризиками та безпеки. Асоціація не стверджує, що використання цього документу гарантуватиме отримання успішних результатів. Документ не слід розглядати як такий, що містить усю достатню інформацію, процедури та тести. При визначенні доцільності застосування будь-якої інформації, процедури або тесту фахівці з аудиту, корпоративного управління, управління ризиками та захисту інформації повинні керуватися власними професійними судженнями щодо конкретних обставин в умовах існуючих систем або середовища інформаційних технологій
Unifying the Global Response to Cybercrime Цей документ є власністю ГО «Ісака Київ». Використання та відтворення цього документу та його частин дозволяється за умови посилання на ГО «Ісака Київ» Учасники створення публікації Учасник Роль Гліб Пахаренко, CISA, CISSP Автор Пузирко Сергій Співавтор Олексій Янковський Рецензент Анастасія Конопльова, CISA Рецензент
Unifying the Global Response to Cybercrime Актуальні кібернетичні загрози АСУ ТП Пузирко Сергій та Гліб Пахаренко gpaharenko (at) gmail.com 2016-02-18
Unifying the Global Response to Cybercrime Цілі атак № Установа № Установа 1 МЗС України 11 Телеканал “Україна” 2 Посольство України в США 12 Телеканал “СТБ” 3 Укрзалізниця 13 Бердянська міська рада 4 Дніпропетровська ОДА 14 Міжнародні авіалінії України 5 Тернопільська ОДА 15 Хмельницькобленерго 6 Закарпатська ОДА 16 Укренерго 7 Дніпропетровська ОДА 17 Прикарпаттяобленерго 8 Миколаївська ОДА 18 Чернівціобленерго 9 Державний архів Чернівецької області 19 Київобленерго 10 Кінофотоархів України імені Г. С. Пшеничного
Unifying the Global Response to Cybercrime Огляд атак Загальні спільні риси:  Використання соціальної інженерії  Недостатні дії з усунення та профілактики інцидентів  Використання невідомих вразливостей (0-day)  Обізнаність про внутрішню ІТ- інфраструктуру
Unifying the Global Response to Cybercrime Огляд атак  Обхід механізмів захисту операційної системи  Модульна структура ШПЗ
Unifying the Global Response to Cybercrime Модульна структура ШПЗ  вивід з ладу комп’ютера та псування інформації  крадіжка інформації  клавіатурний шпигун  крадій паролів  скріншоти екрану  сканування та атаки на інші хости в мережі  віддалений доступ до робочого столу
Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Організаційні Призначити в установі посадову особу, відповідальну за кібернетичну безпеку Проводити моніторинг ресурсів, присвячених кібернетичним атакам Проводити тренінги з підвищення освіченості серед співробітників щодо атак соціальної інженерії Впровадити повноцінну програму керування ризиком постійних атак спрямованих загроз Забезпечити наявність процедур сповіщення уповноважених державних регуляторів Налагодити обмін інформацією про атаки та загрози в своїй галузі РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Мережева безпека Ізолювати технологічні мережі від звичайних мереж Зберігати історію випадків нетипової поведінки систем. Зберігати журнали систем Інвентаризувати всі підключення до зовнішніх мереж, та ввести максимально обмежуючу політику фільтрації підключень до/від систем Використовувати IPSEC між системами в мережі РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Керування вразливостями Проводити тести на проникнення методами соціальної інженерії Відстежувати наявність вразливостей у зовнішніх системах, проводити тести на проникнення Керувати вразливостями у внутрішніх системах та використовувати свіжі версії ПЗ РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Реагування на атаки Розмістити “медові пастки” в корпоративній мережі та відслідковувати спроби проникнення в них Відстежувати зовнішні з’єднання зі ІР ТОР та іншими ІР з поганою репутацією. Забороняти ці з’єднання Відпрацювати процедуру реагування на інцидент, особливо збору та збереження доказів — оперативної та постійної пам’яті, мережевого трафіку Використовувати IPSEC між системами в мережі Ввести облік DNS запитів в мережі Створити захищені від змін сервери збору журналів подій РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Укріплення систем Ввести «білі списки» для дозволених додатків в ІТ системах Блокувати підозрілі вкладення в повідомленнях електронної пошти Використовувати механізми заборони змін для критичних систем (“заморожування”) Блокувати підозрілі вкладення в повідомленнях електронної пошти Впровадити ієрархію адміністративних ролей Запровадити плани відновлення систем у разі збоїв РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying the Global Response to Cybercrime РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ  Проводити регулярні семінари обговорення з метою збільшення рівня освіченості та обміну досвідом  Створити інформаційний ресурс (портал) для публікації новин та обміну думками з питань кібербезпеки  Створити платформу для обміну зразками шкідливого програмного забезпечення та індикаторами компрометації  Створити лабораторію зі зразками АСУ ТП критичної інфраструктури для відпрацювання методів захисту
Unifying the Global Response to Cybercrime РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ  Запровадити галузеві стандарти з кібернетичної безпеки.  Створити міжвідомчу робочу групу з розслідування направлених атак в Україні, об’єднати схожі випадки в єдине провадження  Запровадити обов’язкову оцінку ризиків на критичних об’єктах та звітування щодо результатів оцінки та плану впровадження заходів контролю
Unifying the Global Response to Cybercrime Дякую за увагу!

More Related Content

Кібер-атаки на критичну інфраструктуру в Україні

  • 1. Unifying the Global Response to Cybercrime Обмеження відповідальності Публікація підготовлена Глібом Пахаренко та Сергієм Пузирко за сприяння ГО “ІСАКА Київ”, який розробив та опублікував цей документ, насамперед як освітній ресурс для фахівців із аудиту, корпоративного управління, управління ризиками та безпеки. Асоціація не стверджує, що використання цього документу гарантуватиме отримання успішних результатів. Документ не слід розглядати як такий, що містить усю достатню інформацію, процедури та тести. При визначенні доцільності застосування будь-якої інформації, процедури або тесту фахівці з аудиту, корпоративного управління, управління ризиками та захисту інформації повинні керуватися власними професійними судженнями щодо конкретних обставин в умовах існуючих систем або середовища інформаційних технологій
  • 2. Unifying the Global Response to Cybercrime Цей документ є власністю ГО «Ісака Київ». Використання та відтворення цього документу та його частин дозволяється за умови посилання на ГО «Ісака Київ» Учасники створення публікації Учасник Роль Гліб Пахаренко, CISA, CISSP Автор Пузирко Сергій Співавтор Олексій Янковський Рецензент Анастасія Конопльова, CISA Рецензент
  • 3. Unifying the Global Response to Cybercrime Актуальні кібернетичні загрози АСУ ТП Пузирко Сергій та Гліб Пахаренко gpaharenko (at) gmail.com 2016-02-18
  • 4. Unifying the Global Response to Cybercrime Цілі атак № Установа № Установа 1 МЗС України 11 Телеканал “Україна” 2 Посольство України в США 12 Телеканал “СТБ” 3 Укрзалізниця 13 Бердянська міська рада 4 Дніпропетровська ОДА 14 Міжнародні авіалінії України 5 Тернопільська ОДА 15 Хмельницькобленерго 6 Закарпатська ОДА 16 Укренерго 7 Дніпропетровська ОДА 17 Прикарпаттяобленерго 8 Миколаївська ОДА 18 Чернівціобленерго 9 Державний архів Чернівецької області 19 Київобленерго 10 Кінофотоархів України імені Г. С. Пшеничного
  • 5. Unifying the Global Response to Cybercrime Огляд атак Загальні спільні риси:  Використання соціальної інженерії  Недостатні дії з усунення та профілактики інцидентів  Використання невідомих вразливостей (0-day)  Обізнаність про внутрішню ІТ- інфраструктуру
  • 6. Unifying the Global Response to Cybercrime Огляд атак  Обхід механізмів захисту операційної системи  Модульна структура ШПЗ
  • 7. Unifying the Global Response to Cybercrime Модульна структура ШПЗ  вивід з ладу комп’ютера та псування інформації  крадіжка інформації  клавіатурний шпигун  крадій паролів  скріншоти екрану  сканування та атаки на інші хости в мережі  віддалений доступ до робочого столу
  • 8. Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Організаційні Призначити в установі посадову особу, відповідальну за кібернетичну безпеку Проводити моніторинг ресурсів, присвячених кібернетичним атакам Проводити тренінги з підвищення освіченості серед співробітників щодо атак соціальної інженерії Впровадити повноцінну програму керування ризиком постійних атак спрямованих загроз Забезпечити наявність процедур сповіщення уповноважених державних регуляторів Налагодити обмін інформацією про атаки та загрози в своїй галузі РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
  • 9. Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Мережева безпека Ізолювати технологічні мережі від звичайних мереж Зберігати історію випадків нетипової поведінки систем. Зберігати журнали систем Інвентаризувати всі підключення до зовнішніх мереж, та ввести максимально обмежуючу політику фільтрації підключень до/від систем Використовувати IPSEC між системами в мережі РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
  • 10. Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Керування вразливостями Проводити тести на проникнення методами соціальної інженерії Відстежувати наявність вразливостей у зовнішніх системах, проводити тести на проникнення Керувати вразливостями у внутрішніх системах та використовувати свіжі версії ПЗ РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
  • 11. Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Реагування на атаки Розмістити “медові пастки” в корпоративній мережі та відслідковувати спроби проникнення в них Відстежувати зовнішні з’єднання зі ІР ТОР та іншими ІР з поганою репутацією. Забороняти ці з’єднання Відпрацювати процедуру реагування на інцидент, особливо збору та збереження доказів — оперативної та постійної пам’яті, мережевого трафіку Використовувати IPSEC між системами в мережі Ввести облік DNS запитів в мережі Створити захищені від змін сервери збору журналів подій РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
  • 12. Unifying the Global Response to Cybercrime Тип контролів Заходи контролю Укріплення систем Ввести «білі списки» для дозволених додатків в ІТ системах Блокувати підозрілі вкладення в повідомленнях електронної пошти Використовувати механізми заборони змін для критичних систем (“заморожування”) Блокувати підозрілі вкладення в повідомленнях електронної пошти Впровадити ієрархію адміністративних ролей Запровадити плани відновлення систем у разі збоїв РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
  • 13. Unifying the Global Response to Cybercrime РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ  Проводити регулярні семінари обговорення з метою збільшення рівня освіченості та обміну досвідом  Створити інформаційний ресурс (портал) для публікації новин та обміну думками з питань кібербезпеки  Створити платформу для обміну зразками шкідливого програмного забезпечення та індикаторами компрометації  Створити лабораторію зі зразками АСУ ТП критичної інфраструктури для відпрацювання методів захисту
  • 14. Unifying the Global Response to Cybercrime РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ  Запровадити галузеві стандарти з кібернетичної безпеки.  Створити міжвідомчу робочу групу з розслідування направлених атак в Україні, об’єднати схожі випадки в єдине провадження  Запровадити обов’язкову оцінку ризиків на критичних об’єктах та звітування щодо результатів оцінки та плану впровадження заходів контролю
  • 15. Unifying the Global Response to Cybercrime Дякую за увагу!