ݺߣ

ݺߣShare a Scribd company logo

Огляд атак на критичну інфраструктуру в Україні

Download as DOCX, PDF
Glib Pakharenko
Glib Pakharenko

Огляд атак на критичну інфраструктуру в Україні

1 of 17
Download to read offline
ОГЛЯД АТАК НА КРИТИЧНУ ІНФРАСТРУКТУРУ В УКРАЇНІ, ТА РЕКОМЕНДАЦІЇ ЩОДО ЗАХОДІВ КОНТРОЛЮ Версія: 2016-02-11
2 Про ISACA® Об’єднуючи більше 115 000 членів у 180 країнах світу, ISACA (www.isaca.org) допомагає лідерам у сфері управління, інформаційної безпеки та інформаційних технологій забезпечувати корисність і довіру до інформації та інформаційних систем. Із часу заснування асоціації у 1969 році ISACA є надійним джерелом знань, стандартів, співробітництва та підвищення кваліфікації для фахівців у галузі аудиту, підтвердження достовірності, безпеки, управління ризиками, забезпечення конфіденційності та управління інформаційними системами. ISACA пропонує фахівцям із кібербезпеки широкий набір ресурсів Cybersecurity Nexus™ і настанови COBIT®1, що допомагають організаціям в управлінні та контролі за інформацією та технологіями. Асоціація також розвиває та підтверджує найбільш важливі для бізнесу навички та знання, поширюючи сертифікації,що визнаються у міжнародному масштабі: CISA®2, CISM®3, CGEIT®4іCRISC™5. ISACA має понад 200 відділень по всьому світу. Про ГО «Ісака Київ» ГО «Ісака Київ» є київським відділенням ISACA, і ставить за мету розповсюдження знань та кращих світових практик в Україні, а також створення майданчика для незаангажованого спілкування професіоналів. Відділення в Україні наразі об’єднує біля 100 ІТ професіоналів. Управління асоціацією провадиться не заангажовано по відношенню до будь-яких комерційних інтересів. Місією Київського відділення ISACA є просування та запровадження зрілих процесів ІТ- управління в Україні заради забезпечення довіри користувачів та організацій до надійності інформаційних систем та їхньої цінності. Напрацювання та експертиза мережі більш ніж 200 відділень ISACA у всьому світі дозволить залучити досвід країн із набагато більш розвиненою культурою ІТ управління та кібербезпеки. Київське відділення ISACA ставить за мету забезпечити розвиток української професійної ІТ спільноти та забезпечити можливість незаангажованого спілкування між фахівцями як ІТ так і бізнесового середовища. Обмеження відповідальності Публікація підготовлена Глібом Пахаренко за сприяння ГО “ІСАКА Київ”, який розробив та опублікував цей документ, насамперед як освітній ресурс для фахівців із аудиту, корпоративного управління, управління ризиками та безпеки. Асоціація не стверджує, що використання цього документу гарантуватиме отримання успішних результатів. Документ не слід розглядати як такий, що містить усю достатню інформацію, процедури та тести. При визначенні доцільності застосування будь-якої інформації, процедури або тесту фахівці з аудиту, корпоративного управління, управління ризиками та захисту інформації повинні керуватися власними професійними судженнями щодо конкретних обставин в умовах існуючих систем або середовища інформаційних технологій. 1 COBIT® (Control Objectives for Information and Related Technologies) –Цілі контролю для інформаційних і суміжних технологій. 2 CISA® (CertifiedInformationSystemsAuditor) – сертифікований аудитор інформаційних систем. 3 CISM® (CertifiedInformationSecurityManager) – сертифікований менеджер з інформаційної безпеки. 4 CGEIT® (Certified in the Governance of Enterprise IT) – сертифікований фахівець з управління корпоративними ІТ. 5 CRISC™ (CertifiedinRiskandInformationSystemsControl) – сертифікований фахівець у галузі ризиків іконтролю інформаційних систем.
3 Збереження прав інтелектуальної власності. Цей документ є власністю ГО «Ісака Київ». Використання та відтворення цього документу та його частин дозволяється за умови посилання на ГО «Ісака Київ» . Учасники створення публікації. В табличці нижче перелічені учасники створення публікації та їх внесок. Учасник Роль Гліб Пахаренко, CISA, CISSP Автор Олексій Янковський Рецензент Анастасія Конопльова, CISA Рецензент
4 Зміст ПЕРЕДМОВА......................................................................................................................................4 ТЕРМІНИ ТА СКОРОЧЕННЯ..........................................................................................................5 ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК...........................................................................................6 ОГЛЯД АТАК.......................................................................................................................................8 Використання соціальної інженерії..........................................................................................8 Недостатні дії з усунення та профілактики інцидентів .......................................................8 Використання невідомих вразливостей (нульвого-дня) .....................................................8 Обізнаність про внутрішню інфраструктуру ІТ......................................................................9 Обхід механізмів захисту операційної системи....................................................................9 Модульна структура ....................................................................................................................9 РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ...........................................10 РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ.......................................................................................................................................15 ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ. ..............................................................................................17 ПЕРЕДМОВА Починаючи з 2014р. українські організації захлинула хвиля спрямованих кібернетичних атак, найбільшим документованим збитком від яких є кількагодинне вимикання електричного живлення в західному регіоні України (абонентів Прикарпаттяобленерго). Окрім енергетичного сектору, цілями зловмисників були підприємства транспортної, фінансової, телекомунікаційної, медіа галузей та державних органів. Характерними ознаками цих недружніх дій в кіберпросторі є поетапне захоплення та вивчення ІТ інфраструктури і методів захисту постраждалих організацій та непередбачувані у часі дії по зупиненню бізнес-діяльності установи, аж до катастрофічних наслідків. Цим ці атаки відрізняються від звичайних дій кібернетичних зловмисників, направлених на крадіжку конфіденційних даних чи їх модифікацію з метою отримання фінансових зисків. За оцінкою аналітиків антивірусних компаній (ESET, McAfee, TrendMicro, F-Secure, і т.д.) за частиною атак стоїть керівництво Російської Федерації, що відпрацювало кібератаки у військових та політичних конфліктах з Грузією та Естонією у 2007-2008рр., і тепер активно використовує їх у конфлікті з Україною. Один із видів шкідливого програмного забезпечення, що використовувалося, носить загальну назву BlackEnergy (“ЧорнаЕнергія” - укр., ВЕ - скорочено). За період свого існування цей вірус постійно змінювався та покращувався з точки зору його зловмисних можливостей, і наразі виявлена вже 3-тя генерація BlackEnergy. Ця публікація узагальнює відомі дані з відкритих джерел та пропонує план дій для зниження ризиків від кібернетичних атак на критичну інфраструктуру насамперед від ВЕ. Вона буде корисна особам всіх рівнів повноважень, відповідальним за безпеку підприємства, починаючи від його керівництва і закінчуючи адміністраторами автоматизованих систем керування технічними процесами. Регулятори можуть взяти цю публікацію за основу своїх рекомендацій та галузевих стандартів.
5 ТЕРМІНИ ТА СКОРОЧЕННЯ В таблиці нижче наведено перелік термінів та скорочень, що використовуються в документі. Black Energy, BE BlackEnergy APT Спрямовані Постійні Загрози ШПЗ Шкідливе Програмне Забезпечення ІР Інтернет адреса
6 ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК В таблиці нижче наводиться історія інцидентів з переліком їх впливу на організацію та технічними особливостями. Інформація зібрана з відкритих джерел, її достовірність залежить від надійності джерела та не перевірялась. Рекомендації в наступних секціях документу підготовлені виходячи з аналізу цих атак. № Установа Період часу Наслідки для організацій 1 МЗС України 2012 Інформація відсутня. 2 Посольство України в США 2012 Інформація відсутня. 3 Укрзалізниця 2014 Інформація відсутня. 4 Головний Інформаційно Комунікаційний та Науково Виробничий Центр Дніпропетровської ОДА. 2014 Можливо саме з цією атакою пов’язаний витік інформації з Дніпропетровської ОДА, що опублікувало угруповання “Кібер Беркут”. 5 Тернопільська облдержадміністрація 2014 Інформація відсутня. 6 Закарпатська облдержадміністрація 2014 Інформація відсутня. 7 Дніпропетровська облдержадміністрація 2014 Інформація відсутня. 8 Миколаївська облдержадміністрація 2014 Інформація відсутня. 9 Державний архів Чернівецької області 2014 Інформація відсутня. 10 Центральний державний кінофотоархів України імені Г. С. Пшеничного 2014 Інформація відсутня. 11 ТРК “Україна” Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів. 12 СТБ 2015 Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів. 13 Бердянська міська рада 2015 Інформація відсутня. 14 Міжнародні авіалінії України 2015 Інформація відсутня.
7 15 Хмельницькобленерго 2015 Інформація відсутня. 16 Укренерго 2015 Інформація відсутня. 17 Прикарпаттяобленерго 2015 Вимкнення живлення в абонентів Прикарпаттяобленерго 18 Чернівціобленерго 2015 Інформація відсутня. 19 Київобленерго 2015 Інформація відсутня.
8 ОГЛЯД АТАК Хоча кожна з атак і має особливості, можна виділити наступні загальні спільні риси: Використання соціальної інженерії Майже у всіх випадках хакери застосовували соціальну інженерію з метою ввести користувача в оману та змусити виконати дії з вимикання системи захисту. Приклад1. Обхід налаштувань безпеки офісного пакету. Зазвичай, в офісному пакеті Майкрософт вимкнена можливість запуску вбудованого в документи активного змісту. Нападники мотивували користувача ввімкнути виконання вбудованих в файл макросів, що дозволяло успішне проникнення в мережу. Приклад2. Крадіжка паролів системного адміністратора. Окремі модулі ШПЗ при запуску перевіряли, чи достатньо в них привілеїв, і якщо їх не вистачало, то виводили частково з ладу комп’ютер, щоб змусити користувача покликати адміністратора та запустити програму з підвищеними правами. Недостатні дії з усунення та профілактики інцидентів Масштаб зараження та наслідки атак можна було зменшити, у разі якщо б діяли важливі елементи кібербезпеки:  ізоляція технологічних та продуктивних мереж. На окремих об’єктах це дозволило би не переривати критичні послуги, навіть після знищення частини інфраструктури.  детальний аналіз систем після інцидентів. Окремі установи постраждали від перших атак, але не провели детального розслідування. Частково цифрові докази були знищені через неправильні дії служби інформаційних технологій установи після інциденту.  виявлення систем, які мають індикатори зараження. Шкідливе програмне забезпечення (ШПЗ) керувалось в окремих організаціях з відомих контрольних центрів. Адміністратори не помічали перехід систем в тестовий режим, після завантаження високопривільованих компонент ВЕ. Використання невідомих вразливостей (нульового дня) В деяких атаках зловмисники використовували ще невідомі атаки (нульового дня). Це поєднувалось з елементами соціальної інженерії, що змушували користувача відкрити
9 файл (довірена адреса відправника, актуальна тема повідомлення). Обізнаність про внутрішню інфраструктуру ІТ Зловмисники демонстрували детальне знання внутрішньої ІТ інфраструктури організації, щоб адаптувати та максимально ефективно використовувати ШПЗ. Це включало налаштування проксі-серверів, назви доменів, і т.д. Обхід механізмів захисту операційної системи Для підвищення привілеїв, прихованого виконання та закріплення в системі модулі ШПЗ використовували:  механізм сумісності Microsoft Windows (Windows Application Compatibility Infrastructure, Shims Infrastructure), щоб обійти механізм контролю доступу користувача. Якби адміністратори систем своєчасно виявляли нестандартні налаштування сумісності, то це б дозволили виявити атаку.  переведення систем у тестовий режим, що дозволяло завантаження непідписаних компонент ядра системи. Якби адміністратори систем своєчасно виявляли раптову появу такого режиму в системі, це дозволило б виявити атаку.  використання вразливої версії програми віртуалізації VirtualBox для завантаження непідписаних драйверів. Модульна структура ШПЗ використовувало багато різних компонент, головні з яких:  вивід з ладу комп’ютера та псування інформації  крадіжка інформації  клавіатурний шпигун  крадій паролів  світлини екрану  сканування та атаки на інші хости в мережі  віддалений доступ до робочого столу
РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ Протидія загрозі вимагає від установ комплексного підходу, що включає технічні та адміністративні заходи. Треба розуміти, що вони не дадуть стопроцентної гарантії, адже злочинці можуть адаптуватись та весь час покращувати можливості свого арсеналу. З іншого боку активна протидія у різний спосіб значно підвищує вартість атаки, та може змусити хакерів відмовитись від подальших дій. В таблиці нижче наведено перелік контролів, які потрібно запровадити на підприємства для профілактики BlackEnergy. Також ми рекомендуємо ознайомитись з першочерговими кроками по зниженню ризиків кібератак:  https://www.facebook.com/Kyiv.ISACA/posts/1031036870240438 № Тип контролів Заходи контролю Додаткові матеріали 1 Організаційні Призначити в установі посадову особу, відповідальну за кібернетичну безпеку. Трансформація кібер-безпеки  http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pag es/Transforming-Cybersecurity-Using- COBIT-5.aspx 2 Проводити моніторинг ресурсів, присвячених кібернетичним атакам BlackEnergy, та іншим атакам в Україні і в світі. Ресурси з безпеки:  https://ics.sans.org/blog  https://blogs.mcafee.com/category/mcafee- labs/  http://www.welivesecurity.com/expert_opinio n/more-technical/  http://www.cert.gov.ua  https://ics-cert.us-cert.gov/  http://ics-isac.org 3 Проводити тренінги з підвищення освіченості серед співробітників щодо атак соціальної інженерії. Пояснити небезпеку макросів, вбудованих в текстові редактори.  Про макро-віруси:  https://www.microsoft.com/security/portal/t hreat/macromalware.aspx  Соціальна інженерія:  http://zillya.ua/sotsialna-inzheneriya-abo- manipulyatsi-svidomistyu 4 Впровадити повноцінну програму керування  Керування ризиком АРТ
ризиком постійних атак спрямованих загроз . http://www.isaca.org/knowledge- center/research/researchdeliverables/pages/advanc ed-persistent-threats-how-to-manage-the-risk-to- your-business.aspx 5 Забезпечити наявність процедур сповіщення уповноважених державних регуляторів, правоохоронних та антитерористичних органів, команд CERT, та інших організацій вашої галузі про атаки Налагодити обмін інформацією про атаки та загрози в своїй галузі. N/A 6 Мережева безпека Інвентаризувати всі підключення до зовнішніх мереж, та ввести максимально обмежуючу політику фільтрації підключень до/від систем. Відстежувати неавторизовану появу нових сервісів та відкритих портів. Інструмент для виявлення змін:  https://digital- forensics.sans.org/blog/2010/06/24/ndiff- incident-detection Рішення багатьох виробників. Зберігати історію випадків нетипової поведінки систем. Зберігати журнали систем. 7 Ізолювати технологічні мережі від звичайних мереж, налаштувати між ними суворі правила мережевої фільтрації, побудувати профілі типового трафіку між системами та відслідковувати аномальний трафік. Запровадити окрему мережу управління для адміністрування, доступ до цієї мережі суворо обмежити.  Діоди даних  https://www.sans.org/reading- room/whitepapers/firewalls/tactical-data- diodes-industrial-automation-control- systems-36057  Ешелонований захист  https://ics-cert.us- cert.gov/sites/default/files/recommended_ practices/Defense_in_Depth_Oct09.pdf 8 Використовувати IPSEC між системами в мережі. N/A 9 Керування вразливостями Проводити тести на проникнення методами соціальної інженерії. Про тест на проникнення методами соціальної інженерії:
https://www.social-engineer.com/social-engineer- pentesting/ 10 Відстежувати наявність вразливостей у зовнішніх системах, проводити тести на проникнення. Стандарти з безпеки:  https://www.owasp.org/images/5/50/ASVS_3 _0_Ukrainian_Beta.pdf  https://www.owasp.org/images/e/e3/OWASP _Top_10_-_2013_Final_Ukrainian.pdf Рішення багатьох виробників. 11 Керувати вразливостями у внутрішніх системах та використовувати свіжі версії ПЗ.  Керування оновленнями промислових систем:  https://ics-cert.us- cert.gov/sites/default/files/recommended_ practices/RP_Patch_Management_S508 C.pdf  Керування оновленнями:  https://www.sans.org/reading- room/whitepapers/iso17799/patch- management-2064 12 Реагування на атаки Розмістити “медові пастки” в корпоративній мережі та відслідковувати спроби проникнення в них. Впровадження “медових пасток”:  https://www.sans.org/reading- room/whitepapers/detection/designing- implementing-honeypot-scada-network- 35252 13 Відстежувати зовнішні з’єднання зі ІР ТОР, відомими VPN, та іншими ІР з поганою репутацією. Забороняти ці з’єднання. Рішення багатьох виробників з репутаційної базою ІР адрес. 14 Відпрацювати процедуру реагування на інцидент, особливо збору та збереження доказів — оперативної та постійної пам’яті, мережевого трафіку. Відповідь направленим атакам  http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pag es/Responding-to-Targeted- Cyberattacks.aspx 15 Відстежувати використання служби psexec, та N/A
появу інших недокументованих служб, їх перехід із статусу “demand start” в автостарт. 16 Відстежувати випадки переповнення диску та намагання встановити неавторизоване ПЗ, бо це були елементи атак ВЕ. N/A 17 Проводити сканування систем та мережевого трафіку на відомі індикатори компрометації та аномалії. Сканери та сигнатури компрометації  https://www.bsk-consulting.de/loki-free-ioc- scanner/  https://plusvic.github.io/yara/  https://github.com/Neo23x0/Loki/blob/master/ signatures/apt_blackenergy.yar  https://www.snort.org/advisories/vrt-rules- 2014-10-21 18 Ввести облік DNS запитів в мережі. Пропускайте всі запити через корпоративний сервер імен (“split DNS”). N/A 19 Створити захищені від змін сервери збору журналів подій. Налаштувати журнали систем в мережі на чутливий рівень.  Керування журналами:  https://www.sans.org/reading- room/whitepapers/auditing/successful- siem-log-management-strategies-audit- compliance-33528  Керування журналами (2):  http://www.isaca.org/Journal/archives/201 2/Volume-1/Documents/jolv1-12-Log- management.pdf 20 Укріплення систем Ввести «білі списки» для дозволених додатків в ІТ системах. N/A 21 Усунути Microsoft Windows системи, що працюють тестовому режимі, які вразливі до завантаження непідписаних драйверів. N/A 22 Обмежити повний доступ адміністраторів до N/A
систем на постійній основі, надавати його лише на час авторизованих робіт. 23 Використовувати механізми заборони змін для критичних систем (“заморожування”). Рішення деяких виробників. 24 Блокувати підозрілі вкладення в повідомленнях електронної пошти. Рішення багатьох виробників. 25 Впровадити ієрархію адміністративних ролей. Зменшити використання адміністративних прав, особливо на машинах користувачів. Створити як мінімум два облікових запису для адміністраторів — один для користувацької активності, інший для адміністративної. Зменшити кількість адміністраторів з правами відлагодження (DebugPrivilegeSE). Аудит ролей та облікових записів:  http://www.isaca.org/knowledge- center/research/researchdeliverables/pages/i dentity-management-audit-assurance- program.aspx 26 Захистити паролі. Використовувати багатофакторну аутентифікацію, складні паролі, перезавантаження системи після використання адміністративних паролів, щоб не зберігати їх в пам’яті системи. Не використовувати той самий пароль на декількох системах (як то для службового користувача в локальній групі адміністраторів в інсталяційному образі системи). Використовувати складні алгоритми для збереження паролів (забороніть LM Hash). Керування паролями:  http://csrc.nist.gov/publications/drafts/800- 118/draft-sp800-118.pdf 27 Забезпечити ешелонований антивірусний захист за допомоою лійензійного антивірусного ПЗ та постійним оновленням сігнатур N/A 28 Запровадити плани відновлення систем у разі збоїв. Програма аудиту неперервної діяльності: https://www.isaca.org/ecommerce/Pages/Login.aspx ?ReturnUrl=%2fKnowledge- Center%2fResearch%2fDocuments%2fAudit- Programs%2fBusiness-Continuity-Management- Audit-Assurance-Program_icq_Eng_0911.doc
РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ В таблиці нижче наведено перелік заходів, які небхідно запровадити на національному рівні для протидій кіберзагрозам. Ці заходи в першу чергу призначені для відповідальних за кібербезпеку на підприємствах критичної інфраструктури. № Захід на національному рівні Додаткові матеріали 1 Проводити регулярні семінари обговорення з метою збільшення рівня освіченості та обміну досвідом. N/A 2 Створити інформаційний ресурс (портал) для публікації новин та обміну думками з питань кібербезпеки. N/A 3 Створити платформу для обміну зразками шкідливого програмного забезпечення та індикаторами компрометації . Платформа для обміну інформацією про віруси:  https://github.com/MISP Платформа для обміну інформації про загрози та атаки  https://soltra.com/ 4 Створити лабораторію зі зразками АСУ ТП критичної інфраструктури для відпрацювання методів захисту. N/A 5 Запровадити галузеві стандарти з кібернетичної безпеки.  http://energy.gov/sites/prod/files/Summary%20of%20CS% 20Standards%20Activities%20in%20the%20Energy%20S ector.pdf  http://www- pub.iaea.org/MTCD/Publications/PDF/Pub1527_web.pdf  http://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx  http://www.nist.gov/cyberframework/  https://www.isa.org/isa99/  http://isacahouston.org/documents/RedTigerSecurity- NERCCIPandotherframeworks.pdf  https://www.enisa.europa.eu/activities/Resilience-and- CIIP/critical-infrastructure-and-services/scada-industrial-
control-systems/annex-iii 6 Створити міжвідомчу робочу групу з розслідування направлених атак в Україні, об’єднати схожі випадки в єдине провадження. N/A 7 Запровадити обов’язкову оцінку ризиків на критичних об’єктах та звітування щодо результатів оцінки та плану впровадження заходів контролю
17 ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ. Перелік посилань нижче містить більш детальні огляди атак ВЕ в Україні. 1. http://cert.gov.ua/?p=2370 2. https://cys-centrum.com/ru/news/black_energy_2_3 3. https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 4. http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015- attacks-ukrainian-news-media-electric-industry/ 5. https://blogs.mcafee.com/mcafee-labs/updated-blackenergy-trojan-grows-more- powerful/ 6. https://socprime.com/en/blog/results-of-initial-investigation-and-malware-reverse- analysis-of-fire-sale-ukraine/ 7. http://www.isightpartners.com/2014/10/cve-2014-4114/

Recommended

Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в Україні
Glib Pakharenko
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Alexey Yankovski
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vv
Alexey Yankovski
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпеки
Alexey Yankovski
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україні
uisgslide
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТП
uisgslide
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko
Anastasiia Konoplova
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)
Anastasiia Konoplova
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
Vlad Styran
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюк
Черкаський державний технологічний університет
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
Dmytro Petrashchuk
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
IsacaKyiv
Лекція економіка організація підпр діяльностіdocx
Лекція економіка організація підпр діяльностіdocxЛекція економіка організація підпр діяльностіdocx
Лекція економіка організація підпр діяльностіdocx
TanyaIlina
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Europe without barriers
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
IsacaKyiv
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+
Shevchenko Andriy
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
ssuser039bf6
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITMSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
David Marghania
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?
KostiantynKorsun
L4
L4L4
L4
volodimir0
Security
SecuritySecurity
Security
judin
Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.
Nikolay Shaygorodskiy
Golovko d
Golovko dGolovko d
Golovko d
garasym
бікс
біксбікс
бікс
Черкаський державний технологічний університет
279014.pptx
279014.pptx279014.pptx
279014.pptx
ssuser4f37ef
Інформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналомІнформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналом
ruslanagruzd
інформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємстваінформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємства
Артем Доробалюк
Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017
MariiaNosok
Cloud orchestration risks
Cloud orchestration risksCloud orchestration risks
Cloud orchestration risks
Glib Pakharenko
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
Glib Pakharenko

More Related Content

Similar to Огляд атак на критичну інфраструктуру в Україні (20)

Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
Vlad Styran
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюк
Черкаський державний технологічний університет
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
Dmytro Petrashchuk
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
IsacaKyiv
Лекція економіка організація підпр діяльностіdocx
Лекція економіка організація підпр діяльностіdocxЛекція економіка організація підпр діяльностіdocx
Лекція економіка організація підпр діяльностіdocx
TanyaIlina
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Europe without barriers
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
IsacaKyiv
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+
Shevchenko Andriy
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
ssuser039bf6
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITMSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
David Marghania
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?
KostiantynKorsun
L4
L4L4
L4
volodimir0
Security
SecuritySecurity
Security
judin
Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.
Nikolay Shaygorodskiy
Golovko d
Golovko dGolovko d
Golovko d
garasym
бікс
біксбікс
бікс
Черкаський державний технологічний університет
279014.pptx
279014.pptx279014.pptx
279014.pptx
ssuser4f37ef
Інформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналомІнформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналом
ruslanagruzd
інформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємстваінформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємства
Артем Доробалюк
Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017
MariiaNosok
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
Vlad Styran
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюк
Черкаський державний технологічний університет
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
Dmytro Petrashchuk
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
IsacaKyiv
Лекція економіка організація підпр діяльностіdocx
Лекція економіка організація підпр діяльностіdocxЛекція економіка організація підпр діяльностіdocx
Лекція економіка організація підпр діяльностіdocx
TanyaIlina
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Europe without barriers
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
IsacaKyiv
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+
Shevchenko Andriy
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
ssuser039bf6
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITMSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
David Marghania
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?
KostiantynKorsun
L4
L4L4
L4
volodimir0
Security
SecuritySecurity
Security
judin
Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.
Nikolay Shaygorodskiy
Golovko d
Golovko dGolovko d
Golovko d
garasym
бікс
біксбікс
бікс
Черкаський державний технологічний університет
279014.pptx
279014.pptx279014.pptx
279014.pptx
ssuser4f37ef
Інформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналомІнформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналом
ruslanagruzd
інформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємстваінформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємства
Артем Доробалюк
Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017
MariiaNosok

More from Glib Pakharenko (20)

Cloud orchestration risks
Cloud orchestration risksCloud orchestration risks
Cloud orchestration risks
Glib Pakharenko
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
Glib Pakharenko
State of cyber-security in Ukraine
State of cyber-security in UkraineState of cyber-security in Ukraine
State of cyber-security in Ukraine
Glib Pakharenko
Fintech security
Fintech securityFintech security
Fintech security
Glib Pakharenko
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологій
Glib Pakharenko
Uisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ayUisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ay
Glib Pakharenko
Uisg5sponsorreport
Uisg5sponsorreportUisg5sponsorreport
Uisg5sponsorreport
Glib Pakharenko
Using digital cerificates
Using digital cerificatesUsing digital cerificates
Using digital cerificates
Glib Pakharenko
Abra pocket office
Abra pocket officeAbra pocket office
Abra pocket office
Glib Pakharenko
Utm
UtmUtm
Utm
Glib Pakharenko
Automating networksecurityassessment
Automating networksecurityassessmentAutomating networksecurityassessment
Automating networksecurityassessment
Glib Pakharenko
социальные аспекты иб V3
социальные аспекты иб V3социальные аспекты иб V3
социальные аспекты иб V3
Glib Pakharenko
Uisg opening
Uisg openingUisg opening
Uisg opening
Glib Pakharenko
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
Glib Pakharenko
Kke
KkeKke
Kke
Glib Pakharenko
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ayIsaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
Glib Pakharenko
Uisg companies 4
Uisg companies 4Uisg companies 4
Uisg companies 4
Glib Pakharenko
Кому нужна защита персональных данных
Кому нужна защита персональных данныхКому нужна защита персональных данных
Кому нужна защита персональных данных
Glib Pakharenko
Copy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored editionCopy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored edition
Glib Pakharenko
Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition
Glib Pakharenko
Cloud orchestration risks
Cloud orchestration risksCloud orchestration risks
Cloud orchestration risks
Glib Pakharenko
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
Glib Pakharenko
State of cyber-security in Ukraine
State of cyber-security in UkraineState of cyber-security in Ukraine
State of cyber-security in Ukraine
Glib Pakharenko
Fintech security
Fintech securityFintech security
Fintech security
Glib Pakharenko
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологій
Glib Pakharenko
Uisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ayUisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ay
Glib Pakharenko
Uisg5sponsorreport
Uisg5sponsorreportUisg5sponsorreport
Uisg5sponsorreport
Glib Pakharenko
Using digital cerificates
Using digital cerificatesUsing digital cerificates
Using digital cerificates
Glib Pakharenko
Abra pocket office
Abra pocket officeAbra pocket office
Abra pocket office
Glib Pakharenko
Utm
UtmUtm
Utm
Glib Pakharenko
Automating networksecurityassessment
Automating networksecurityassessmentAutomating networksecurityassessment
Automating networksecurityassessment
Glib Pakharenko
социальные аспекты иб V3
социальные аспекты иб V3социальные аспекты иб V3
социальные аспекты иб V3
Glib Pakharenko
Uisg opening
Uisg openingUisg opening
Uisg opening
Glib Pakharenko
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
Glib Pakharenko
Kke
KkeKke
Kke
Glib Pakharenko
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ayIsaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
Glib Pakharenko
Uisg companies 4
Uisg companies 4Uisg companies 4
Uisg companies 4
Glib Pakharenko
Кому нужна защита персональных данных
Кому нужна защита персональных данныхКому нужна защита персональных данных
Кому нужна защита персональных данных
Glib Pakharenko
Copy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored editionCopy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored edition
Glib Pakharenko
Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition
Glib Pakharenko

Огляд атак на критичну інфраструктуру в Україні

  • 1. ОГЛЯД АТАК НА КРИТИЧНУ ІНФРАСТРУКТУРУ В УКРАЇНІ, ТА РЕКОМЕНДАЦІЇ ЩОДО ЗАХОДІВ КОНТРОЛЮ Версія: 2016-02-11
  • 2. 2 Про ISACA® Об’єднуючи більше 115 000 членів у 180 країнах світу, ISACA (www.isaca.org) допомагає лідерам у сфері управління, інформаційної безпеки та інформаційних технологій забезпечувати корисність і довіру до інформації та інформаційних систем. Із часу заснування асоціації у 1969 році ISACA є надійним джерелом знань, стандартів, співробітництва та підвищення кваліфікації для фахівців у галузі аудиту, підтвердження достовірності, безпеки, управління ризиками, забезпечення конфіденційності та управління інформаційними системами. ISACA пропонує фахівцям із кібербезпеки широкий набір ресурсів Cybersecurity Nexus™ і настанови COBIT®1, що допомагають організаціям в управлінні та контролі за інформацією та технологіями. Асоціація також розвиває та підтверджує найбільш важливі для бізнесу навички та знання, поширюючи сертифікації,що визнаються у міжнародному масштабі: CISA®2, CISM®3, CGEIT®4іCRISC™5. ISACA має понад 200 відділень по всьому світу. Про ГО «Ісака Київ» ГО «Ісака Київ» є київським відділенням ISACA, і ставить за мету розповсюдження знань та кращих світових практик в Україні, а також створення майданчика для незаангажованого спілкування професіоналів. Відділення в Україні наразі об’єднує біля 100 ІТ професіоналів. Управління асоціацією провадиться не заангажовано по відношенню до будь-яких комерційних інтересів. Місією Київського відділення ISACA є просування та запровадження зрілих процесів ІТ- управління в Україні заради забезпечення довіри користувачів та організацій до надійності інформаційних систем та їхньої цінності. Напрацювання та експертиза мережі більш ніж 200 відділень ISACA у всьому світі дозволить залучити досвід країн із набагато більш розвиненою культурою ІТ управління та кібербезпеки. Київське відділення ISACA ставить за мету забезпечити розвиток української професійної ІТ спільноти та забезпечити можливість незаангажованого спілкування між фахівцями як ІТ так і бізнесового середовища. Обмеження відповідальності Публікація підготовлена Глібом Пахаренко за сприяння ГО “ІСАКА Київ”, який розробив та опублікував цей документ, насамперед як освітній ресурс для фахівців із аудиту, корпоративного управління, управління ризиками та безпеки. Асоціація не стверджує, що використання цього документу гарантуватиме отримання успішних результатів. Документ не слід розглядати як такий, що містить усю достатню інформацію, процедури та тести. При визначенні доцільності застосування будь-якої інформації, процедури або тесту фахівці з аудиту, корпоративного управління, управління ризиками та захисту інформації повинні керуватися власними професійними судженнями щодо конкретних обставин в умовах існуючих систем або середовища інформаційних технологій. 1 COBIT® (Control Objectives for Information and Related Technologies) –Цілі контролю для інформаційних і суміжних технологій. 2 CISA® (CertifiedInformationSystemsAuditor) – сертифікований аудитор інформаційних систем. 3 CISM® (CertifiedInformationSecurityManager) – сертифікований менеджер з інформаційної безпеки. 4 CGEIT® (Certified in the Governance of Enterprise IT) – сертифікований фахівець з управління корпоративними ІТ. 5 CRISC™ (CertifiedinRiskandInformationSystemsControl) – сертифікований фахівець у галузі ризиків іконтролю інформаційних систем.
  • 3. 3 Збереження прав інтелектуальної власності. Цей документ є власністю ГО «Ісака Київ». Використання та відтворення цього документу та його частин дозволяється за умови посилання на ГО «Ісака Київ» . Учасники створення публікації. В табличці нижче перелічені учасники створення публікації та їх внесок. Учасник Роль Гліб Пахаренко, CISA, CISSP Автор Олексій Янковський Рецензент Анастасія Конопльова, CISA Рецензент
  • 4. 4 Зміст ПЕРЕДМОВА......................................................................................................................................4 ТЕРМІНИ ТА СКОРОЧЕННЯ..........................................................................................................5 ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК...........................................................................................6 ОГЛЯД АТАК.......................................................................................................................................8 Використання соціальної інженерії..........................................................................................8 Недостатні дії з усунення та профілактики інцидентів .......................................................8 Використання невідомих вразливостей (нульвого-дня) .....................................................8 Обізнаність про внутрішню інфраструктуру ІТ......................................................................9 Обхід механізмів захисту операційної системи....................................................................9 Модульна структура ....................................................................................................................9 РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ...........................................10 РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ.......................................................................................................................................15 ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ. ..............................................................................................17 ПЕРЕДМОВА Починаючи з 2014р. українські організації захлинула хвиля спрямованих кібернетичних атак, найбільшим документованим збитком від яких є кількагодинне вимикання електричного живлення в західному регіоні України (абонентів Прикарпаттяобленерго). Окрім енергетичного сектору, цілями зловмисників були підприємства транспортної, фінансової, телекомунікаційної, медіа галузей та державних органів. Характерними ознаками цих недружніх дій в кіберпросторі є поетапне захоплення та вивчення ІТ інфраструктури і методів захисту постраждалих організацій та непередбачувані у часі дії по зупиненню бізнес-діяльності установи, аж до катастрофічних наслідків. Цим ці атаки відрізняються від звичайних дій кібернетичних зловмисників, направлених на крадіжку конфіденційних даних чи їх модифікацію з метою отримання фінансових зисків. За оцінкою аналітиків антивірусних компаній (ESET, McAfee, TrendMicro, F-Secure, і т.д.) за частиною атак стоїть керівництво Російської Федерації, що відпрацювало кібератаки у військових та політичних конфліктах з Грузією та Естонією у 2007-2008рр., і тепер активно використовує їх у конфлікті з Україною. Один із видів шкідливого програмного забезпечення, що використовувалося, носить загальну назву BlackEnergy (“ЧорнаЕнергія” - укр., ВЕ - скорочено). За період свого існування цей вірус постійно змінювався та покращувався з точки зору його зловмисних можливостей, і наразі виявлена вже 3-тя генерація BlackEnergy. Ця публікація узагальнює відомі дані з відкритих джерел та пропонує план дій для зниження ризиків від кібернетичних атак на критичну інфраструктуру насамперед від ВЕ. Вона буде корисна особам всіх рівнів повноважень, відповідальним за безпеку підприємства, починаючи від його керівництва і закінчуючи адміністраторами автоматизованих систем керування технічними процесами. Регулятори можуть взяти цю публікацію за основу своїх рекомендацій та галузевих стандартів.
  • 5. 5 ТЕРМІНИ ТА СКОРОЧЕННЯ В таблиці нижче наведено перелік термінів та скорочень, що використовуються в документі. Black Energy, BE BlackEnergy APT Спрямовані Постійні Загрози ШПЗ Шкідливе Програмне Забезпечення ІР Інтернет адреса
  • 6. 6 ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК В таблиці нижче наводиться історія інцидентів з переліком їх впливу на організацію та технічними особливостями. Інформація зібрана з відкритих джерел, її достовірність залежить від надійності джерела та не перевірялась. Рекомендації в наступних секціях документу підготовлені виходячи з аналізу цих атак. № Установа Період часу Наслідки для організацій 1 МЗС України 2012 Інформація відсутня. 2 Посольство України в США 2012 Інформація відсутня. 3 Укрзалізниця 2014 Інформація відсутня. 4 Головний Інформаційно Комунікаційний та Науково Виробничий Центр Дніпропетровської ОДА. 2014 Можливо саме з цією атакою пов’язаний витік інформації з Дніпропетровської ОДА, що опублікувало угруповання “Кібер Беркут”. 5 Тернопільська облдержадміністрація 2014 Інформація відсутня. 6 Закарпатська облдержадміністрація 2014 Інформація відсутня. 7 Дніпропетровська облдержадміністрація 2014 Інформація відсутня. 8 Миколаївська облдержадміністрація 2014 Інформація відсутня. 9 Державний архів Чернівецької області 2014 Інформація відсутня. 10 Центральний державний кінофотоархів України імені Г. С. Пшеничного 2014 Інформація відсутня. 11 ТРК “Україна” Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів. 12 СТБ 2015 Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів. 13 Бердянська міська рада 2015 Інформація відсутня. 14 Міжнародні авіалінії України 2015 Інформація відсутня.
  • 7. 7 15 Хмельницькобленерго 2015 Інформація відсутня. 16 Укренерго 2015 Інформація відсутня. 17 Прикарпаттяобленерго 2015 Вимкнення живлення в абонентів Прикарпаттяобленерго 18 Чернівціобленерго 2015 Інформація відсутня. 19 Київобленерго 2015 Інформація відсутня.
  • 8. 8 ОГЛЯД АТАК Хоча кожна з атак і має особливості, можна виділити наступні загальні спільні риси: Використання соціальної інженерії Майже у всіх випадках хакери застосовували соціальну інженерію з метою ввести користувача в оману та змусити виконати дії з вимикання системи захисту. Приклад1. Обхід налаштувань безпеки офісного пакету. Зазвичай, в офісному пакеті Майкрософт вимкнена можливість запуску вбудованого в документи активного змісту. Нападники мотивували користувача ввімкнути виконання вбудованих в файл макросів, що дозволяло успішне проникнення в мережу. Приклад2. Крадіжка паролів системного адміністратора. Окремі модулі ШПЗ при запуску перевіряли, чи достатньо в них привілеїв, і якщо їх не вистачало, то виводили частково з ладу комп’ютер, щоб змусити користувача покликати адміністратора та запустити програму з підвищеними правами. Недостатні дії з усунення та профілактики інцидентів Масштаб зараження та наслідки атак можна було зменшити, у разі якщо б діяли важливі елементи кібербезпеки:  ізоляція технологічних та продуктивних мереж. На окремих об’єктах це дозволило би не переривати критичні послуги, навіть після знищення частини інфраструктури.  детальний аналіз систем після інцидентів. Окремі установи постраждали від перших атак, але не провели детального розслідування. Частково цифрові докази були знищені через неправильні дії служби інформаційних технологій установи після інциденту.  виявлення систем, які мають індикатори зараження. Шкідливе програмне забезпечення (ШПЗ) керувалось в окремих організаціях з відомих контрольних центрів. Адміністратори не помічали перехід систем в тестовий режим, після завантаження високопривільованих компонент ВЕ. Використання невідомих вразливостей (нульового дня) В деяких атаках зловмисники використовували ще невідомі атаки (нульового дня). Це поєднувалось з елементами соціальної інженерії, що змушували користувача відкрити
  • 9. 9 файл (довірена адреса відправника, актуальна тема повідомлення). Обізнаність про внутрішню інфраструктуру ІТ Зловмисники демонстрували детальне знання внутрішньої ІТ інфраструктури організації, щоб адаптувати та максимально ефективно використовувати ШПЗ. Це включало налаштування проксі-серверів, назви доменів, і т.д. Обхід механізмів захисту операційної системи Для підвищення привілеїв, прихованого виконання та закріплення в системі модулі ШПЗ використовували:  механізм сумісності Microsoft Windows (Windows Application Compatibility Infrastructure, Shims Infrastructure), щоб обійти механізм контролю доступу користувача. Якби адміністратори систем своєчасно виявляли нестандартні налаштування сумісності, то це б дозволили виявити атаку.  переведення систем у тестовий режим, що дозволяло завантаження непідписаних компонент ядра системи. Якби адміністратори систем своєчасно виявляли раптову появу такого режиму в системі, це дозволило б виявити атаку.  використання вразливої версії програми віртуалізації VirtualBox для завантаження непідписаних драйверів. Модульна структура ШПЗ використовувало багато різних компонент, головні з яких:  вивід з ладу комп’ютера та псування інформації  крадіжка інформації  клавіатурний шпигун  крадій паролів  світлини екрану  сканування та атаки на інші хости в мережі  віддалений доступ до робочого столу
  • 10. РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ Протидія загрозі вимагає від установ комплексного підходу, що включає технічні та адміністративні заходи. Треба розуміти, що вони не дадуть стопроцентної гарантії, адже злочинці можуть адаптуватись та весь час покращувати можливості свого арсеналу. З іншого боку активна протидія у різний спосіб значно підвищує вартість атаки, та може змусити хакерів відмовитись від подальших дій. В таблиці нижче наведено перелік контролів, які потрібно запровадити на підприємства для профілактики BlackEnergy. Також ми рекомендуємо ознайомитись з першочерговими кроками по зниженню ризиків кібератак:  https://www.facebook.com/Kyiv.ISACA/posts/1031036870240438 № Тип контролів Заходи контролю Додаткові матеріали 1 Організаційні Призначити в установі посадову особу, відповідальну за кібернетичну безпеку. Трансформація кібер-безпеки  http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pag es/Transforming-Cybersecurity-Using- COBIT-5.aspx 2 Проводити моніторинг ресурсів, присвячених кібернетичним атакам BlackEnergy, та іншим атакам в Україні і в світі. Ресурси з безпеки:  https://ics.sans.org/blog  https://blogs.mcafee.com/category/mcafee- labs/  http://www.welivesecurity.com/expert_opinio n/more-technical/  http://www.cert.gov.ua  https://ics-cert.us-cert.gov/  http://ics-isac.org 3 Проводити тренінги з підвищення освіченості серед співробітників щодо атак соціальної інженерії. Пояснити небезпеку макросів, вбудованих в текстові редактори.  Про макро-віруси:  https://www.microsoft.com/security/portal/t hreat/macromalware.aspx  Соціальна інженерія:  http://zillya.ua/sotsialna-inzheneriya-abo- manipulyatsi-svidomistyu 4 Впровадити повноцінну програму керування  Керування ризиком АРТ
  • 11. ризиком постійних атак спрямованих загроз . http://www.isaca.org/knowledge- center/research/researchdeliverables/pages/advanc ed-persistent-threats-how-to-manage-the-risk-to- your-business.aspx 5 Забезпечити наявність процедур сповіщення уповноважених державних регуляторів, правоохоронних та антитерористичних органів, команд CERT, та інших організацій вашої галузі про атаки Налагодити обмін інформацією про атаки та загрози в своїй галузі. N/A 6 Мережева безпека Інвентаризувати всі підключення до зовнішніх мереж, та ввести максимально обмежуючу політику фільтрації підключень до/від систем. Відстежувати неавторизовану появу нових сервісів та відкритих портів. Інструмент для виявлення змін:  https://digital- forensics.sans.org/blog/2010/06/24/ndiff- incident-detection Рішення багатьох виробників. Зберігати історію випадків нетипової поведінки систем. Зберігати журнали систем. 7 Ізолювати технологічні мережі від звичайних мереж, налаштувати між ними суворі правила мережевої фільтрації, побудувати профілі типового трафіку між системами та відслідковувати аномальний трафік. Запровадити окрему мережу управління для адміністрування, доступ до цієї мережі суворо обмежити.  Діоди даних  https://www.sans.org/reading- room/whitepapers/firewalls/tactical-data- diodes-industrial-automation-control- systems-36057  Ешелонований захист  https://ics-cert.us- cert.gov/sites/default/files/recommended_ practices/Defense_in_Depth_Oct09.pdf 8 Використовувати IPSEC між системами в мережі. N/A 9 Керування вразливостями Проводити тести на проникнення методами соціальної інженерії. Про тест на проникнення методами соціальної інженерії:
  • 12. https://www.social-engineer.com/social-engineer- pentesting/ 10 Відстежувати наявність вразливостей у зовнішніх системах, проводити тести на проникнення. Стандарти з безпеки:  https://www.owasp.org/images/5/50/ASVS_3 _0_Ukrainian_Beta.pdf  https://www.owasp.org/images/e/e3/OWASP _Top_10_-_2013_Final_Ukrainian.pdf Рішення багатьох виробників. 11 Керувати вразливостями у внутрішніх системах та використовувати свіжі версії ПЗ.  Керування оновленнями промислових систем:  https://ics-cert.us- cert.gov/sites/default/files/recommended_ practices/RP_Patch_Management_S508 C.pdf  Керування оновленнями:  https://www.sans.org/reading- room/whitepapers/iso17799/patch- management-2064 12 Реагування на атаки Розмістити “медові пастки” в корпоративній мережі та відслідковувати спроби проникнення в них. Впровадження “медових пасток”:  https://www.sans.org/reading- room/whitepapers/detection/designing- implementing-honeypot-scada-network- 35252 13 Відстежувати зовнішні з’єднання зі ІР ТОР, відомими VPN, та іншими ІР з поганою репутацією. Забороняти ці з’єднання. Рішення багатьох виробників з репутаційної базою ІР адрес. 14 Відпрацювати процедуру реагування на інцидент, особливо збору та збереження доказів — оперативної та постійної пам’яті, мережевого трафіку. Відповідь направленим атакам  http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pag es/Responding-to-Targeted- Cyberattacks.aspx 15 Відстежувати використання служби psexec, та N/A
  • 13. появу інших недокументованих служб, їх перехід із статусу “demand start” в автостарт. 16 Відстежувати випадки переповнення диску та намагання встановити неавторизоване ПЗ, бо це були елементи атак ВЕ. N/A 17 Проводити сканування систем та мережевого трафіку на відомі індикатори компрометації та аномалії. Сканери та сигнатури компрометації  https://www.bsk-consulting.de/loki-free-ioc- scanner/  https://plusvic.github.io/yara/  https://github.com/Neo23x0/Loki/blob/master/ signatures/apt_blackenergy.yar  https://www.snort.org/advisories/vrt-rules- 2014-10-21 18 Ввести облік DNS запитів в мережі. Пропускайте всі запити через корпоративний сервер імен (“split DNS”). N/A 19 Створити захищені від змін сервери збору журналів подій. Налаштувати журнали систем в мережі на чутливий рівень.  Керування журналами:  https://www.sans.org/reading- room/whitepapers/auditing/successful- siem-log-management-strategies-audit- compliance-33528  Керування журналами (2):  http://www.isaca.org/Journal/archives/201 2/Volume-1/Documents/jolv1-12-Log- management.pdf 20 Укріплення систем Ввести «білі списки» для дозволених додатків в ІТ системах. N/A 21 Усунути Microsoft Windows системи, що працюють тестовому режимі, які вразливі до завантаження непідписаних драйверів. N/A 22 Обмежити повний доступ адміністраторів до N/A
  • 14. систем на постійній основі, надавати його лише на час авторизованих робіт. 23 Використовувати механізми заборони змін для критичних систем (“заморожування”). Рішення деяких виробників. 24 Блокувати підозрілі вкладення в повідомленнях електронної пошти. Рішення багатьох виробників. 25 Впровадити ієрархію адміністративних ролей. Зменшити використання адміністративних прав, особливо на машинах користувачів. Створити як мінімум два облікових запису для адміністраторів — один для користувацької активності, інший для адміністративної. Зменшити кількість адміністраторів з правами відлагодження (DebugPrivilegeSE). Аудит ролей та облікових записів:  http://www.isaca.org/knowledge- center/research/researchdeliverables/pages/i dentity-management-audit-assurance- program.aspx 26 Захистити паролі. Використовувати багатофакторну аутентифікацію, складні паролі, перезавантаження системи після використання адміністративних паролів, щоб не зберігати їх в пам’яті системи. Не використовувати той самий пароль на декількох системах (як то для службового користувача в локальній групі адміністраторів в інсталяційному образі системи). Використовувати складні алгоритми для збереження паролів (забороніть LM Hash). Керування паролями:  http://csrc.nist.gov/publications/drafts/800- 118/draft-sp800-118.pdf 27 Забезпечити ешелонований антивірусний захист за допомоою лійензійного антивірусного ПЗ та постійним оновленням сігнатур N/A 28 Запровадити плани відновлення систем у разі збоїв. Програма аудиту неперервної діяльності: https://www.isaca.org/ecommerce/Pages/Login.aspx ?ReturnUrl=%2fKnowledge- Center%2fResearch%2fDocuments%2fAudit- Programs%2fBusiness-Continuity-Management- Audit-Assurance-Program_icq_Eng_0911.doc
  • 15. РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ В таблиці нижче наведено перелік заходів, які небхідно запровадити на національному рівні для протидій кіберзагрозам. Ці заходи в першу чергу призначені для відповідальних за кібербезпеку на підприємствах критичної інфраструктури. № Захід на національному рівні Додаткові матеріали 1 Проводити регулярні семінари обговорення з метою збільшення рівня освіченості та обміну досвідом. N/A 2 Створити інформаційний ресурс (портал) для публікації новин та обміну думками з питань кібербезпеки. N/A 3 Створити платформу для обміну зразками шкідливого програмного забезпечення та індикаторами компрометації . Платформа для обміну інформацією про віруси:  https://github.com/MISP Платформа для обміну інформації про загрози та атаки  https://soltra.com/ 4 Створити лабораторію зі зразками АСУ ТП критичної інфраструктури для відпрацювання методів захисту. N/A 5 Запровадити галузеві стандарти з кібернетичної безпеки.  http://energy.gov/sites/prod/files/Summary%20of%20CS% 20Standards%20Activities%20in%20the%20Energy%20S ector.pdf  http://www- pub.iaea.org/MTCD/Publications/PDF/Pub1527_web.pdf  http://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx  http://www.nist.gov/cyberframework/  https://www.isa.org/isa99/  http://isacahouston.org/documents/RedTigerSecurity- NERCCIPandotherframeworks.pdf  https://www.enisa.europa.eu/activities/Resilience-and- CIIP/critical-infrastructure-and-services/scada-industrial-
  • 16. control-systems/annex-iii 6 Створити міжвідомчу робочу групу з розслідування направлених атак в Україні, об’єднати схожі випадки в єдине провадження. N/A 7 Запровадити обов’язкову оцінку ризиків на критичних об’єктах та звітування щодо результатів оцінки та плану впровадження заходів контролю
  • 17. 17 ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ. Перелік посилань нижче містить більш детальні огляди атак ВЕ в Україні. 1. http://cert.gov.ua/?p=2370 2. https://cys-centrum.com/ru/news/black_energy_2_3 3. https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 4. http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015- attacks-ukrainian-news-media-electric-industry/ 5. https://blogs.mcafee.com/mcafee-labs/updated-blackenergy-trojan-grows-more- powerful/ 6. https://socprime.com/en/blog/results-of-initial-investigation-and-malware-reverse- analysis-of-fire-sale-ukraine/ 7. http://www.isightpartners.com/2014/10/cve-2014-4114/