11 ноября 2013 г.

SafenSoft принял участие в «Открытых Инновациях» - 2013

Компания SafenSoft, разработчик передовых программных решений информационной безопасности, представила технологии проактивной защиты информации на выставке Open Innovations Expo - масштабной международной площадке, созданной для демонстрации инновационных технологий и разработок во всех важнейших сферах экономики России. В этом году выставку посетили премьер-министр России Дмитрий Медведев, глава РАО ЕЭС Анатолий Чубайс, премьер-министр Финляндии Юрки Катайнен, а также ряд руководителей министерств и ведомств страны.

Технологии сохранения ПО в заведомо исправном состоянии компании SafenSoft («Защита целостности», «Купол») позволяют обойти стандартные проблемы защиты информации, актуальные для пользователей традиционных систем информационной безопасности. Они, в отличие от антивирусного подхода, не требуют постоянного соединения с Интернетом и способны защищать программное обеспечение даже от направленных атак и угроз «нулевого дня». Такой результат достигается за счёт подхода к объекту защиты как к целостному элементу ИТ-инфраструктуры, любая модификация которого нежелательна в принципе без её санкционирования ответственным за безопасность сотрудником. Особенную важность такой принцип обеспечения работоспособности компьютера приобретает в контексте критически важных элементов информационной структуры страны, таких как системы промышленного управления или серверов с базами данных.











20 сентября 2012 г.

Elderwood Project – искусство войны



Elderwood Project – искусство войны

«Когда ты близок [к врагу] — кажись далёким»
Сунь Цзы, трактат  «Искусство войны», VI в.до н.э.

На днях специалисты исследовательской лаборатории Symantec обнародовали результаты расследования незаконной деятельности хакерской группы Elderwood Project. В отчёте указывается, что организованная группа киберпреступников совершила серию атак на государственные и коммерческие структуры, имеющих отношение к производству систем вооружения. Жертвами преступников стали субподрядчики и контрагенты предприятий оборонной промышленности в США, Канаде, Китае, Гонконге, Австралии и других странах мира. Организационная структура, число участников и цели группы до сих пор не выяснены. Учёные предполагают, что хакеры могли действовать в интересах крупной ОПГ или иностранного государства.

Объектом атак Elderwood Project  стала интеллектуальная собственность компаний,  участвующих в цепочке выполнения оборонных заказов. Эти организации, которые связаны с производством оружия, аэрокосмической промышленностью, логистикой, научно-исследовательскими и опытно-конструкторскими работами, энергетикой, машиностроением, производством высокоточной электроники и программного обеспечения для нужд армии и флота. Заражение происходило путём внедрения троянских программ на рабочие станции сотрудников компаний. Хакеры из Elderwood Project использовали как классические инструменты мошенничества, так и сравнительно новые методы незаконного проникновения. Так, в числе прочих, преступниками применялась тактика «хищник у водопоя» (англ. «watering hole»): в течение длительного времени хакер изучает сетевое поведение будущей жертвы – часто посещаемые сайты, порталы, прочие открытые сетевые ресурсы. Затем, на выбранных сайтах размещается троянская программа, которая, подобно хищнику у водопоя, поджидает выбранную цель и внедряется в компьютер, а затем и в корпоративную сеть.



Elderwood Project являет собой новую веху в истории хакерских атак. В этот раз преступники отказались от попыток взлома сетей крупных предприятий и государственных структур, поскольку организации такого масштаба, как правило, имеют развитую систему средств информационной защиты. Жертвы выбирались среди компаний, участвующих в цепочке выполнения работ по госзаказу – уровень защищённости у них значительно ниже (или практически отсутствует). Тем не менее, информация, похищенная у контрагентов заказчика, даёт достаточно полную картину финального проекта или исследования.

Отличительной чертой хакерской группы Elderwood Project стало широкое использование т.н. «угроз нулевого дня» – уязвимостей пользовательского  программного обеспечения, ещё не известных производителям антивирусных систем информационной безопасности. Исследователи уверены, что вторжения на рабочие станции сотрудников производились через уязвимости браузеров и программ воспроизведения flash-контента. В арсенале хакеров выявлено не менее восьми эксплойтов неизвестных уязвимостей ПО, которые не обнаруживались классическими антивирусными средствами. Напомним, что авторы знаменитого червя Stuxnet, который атаковал иранский ядерный проект, оперировали всего четырьмя уязвимостями нулевого дня.

Важным аспектом, который открывается при изучении современной истории кибервойн, является новая тактика нападений. Ещё свежи в памяти прогремевшие на весь мир атаки на крупнейшие банки, государственные и коммерческие корпорации, важные объекты инфраструктуры. «Большие дяди» сделали соответствующие выводы и принялись усиленно возводить линии информационной обороны. Хакеры Elderwood Project изменили стратегию кибератак – вместо попыток вскрыть превосходно защищённую цель, преступники нападают на компании-контрагенты, выполняющие работы для объекта нападения. Действительно, зачем пытаться штурмовать неприступный замок, если можно нападать на снабжающие его караваны? Подобно караванам, доставляющим провиант в замок, компании-подрядчики не могут похвастать продуманной и сильной защитой – это ли не приманка для злоумышленников. На практике это означает, что крупные компании и государственные заказчики теперь должны требовать у своих подрядчиков должного уровня информационной безопасности.

Отчёт по деятельности группы Elderwood Project в проекции громких эпизодов кибер-атак за последние несколько лет позволяет сделать некоторые выводы о состоянии информационной безопасности в мире. Во-первых, налицо не только количественный, но и качественный рост угроз. Крупные антивирусные компании регулярно сообщают всё более устрашающие цифры роста вредоносов. Примечательно, что в отчёты по дополнениям сигнатурных баз антивирусов попадают только те из них, которые были зарегистрированы и однозначно определены как опасные. Действительно, многие вредоносные программы имеют способность к размножению, самокопированию и самомодификации. Действительно, современные антивирусы довольно успешно распознают и блокируют модификации известных вредоносов. Однако их число растёт далеко непропорционально аналитическим мощностям антивирусных вендоров. Но самое главное – практика успешных кибератак показывает, что хакеры используют вредоносные коды, ещё не известные антивирусным продуктам.

Ситуация такова: новое время приносит новые угрозы, но мы пользуемся защитой, концепция которой устарела многие годы назад. Совершенно очевидно, что системы защиты на основе баз антивирусных сигнатур уже не работают. Период времени между появлением нового вредоноса и выпуском блокирующей его сигнатуры слишком велик, чтобы гарантировать безопасность. Более того, механизм распознавания новых угроз построен таким образом, что вредоносный код, написанный под конкретную задачу (атака определённой организации, сети, компьютера) практически никогда не сможет быть нейтрализован до нанесения им ущерба.

По сути, антивирусные сигнатуры формируют так называемый «чёрный список» - перечень известных угроз, которым не разрешено выполняться на компьютере. В виду масштабного роста угроз, такой подход рано или поздно оказывается просто бессильным – все угрозы просто невозможно учесть. Однако, есть возможность пойти от обратного – учесть все программы и приложения, которым доверять можно. Так работает технология динамических «белых списков», один из компонентов проактивной защиты. То есть пользователь компьютера или администратор сети разрешает исполнение только тех программ и действий пользователя, которые имеют гарантию безопасности. Все новые процессы – в том числе и скрытые – априори рассматриваются как потенциально опасные, для их исполнения запрашивается отдельное разрешение у пользователя/администратора. Таким образом достигается эффект превентивной защиты – у вредоносов практически не остаётся шансов проникнуть в систему. Технологии проактивной защиты успешно блокируют не только известные типы вредоносных кодов, но и угрозы нулевого дня. Проактивная защита прекрасно уживается с традиционными технологиями антивирусных сканеров, формируя надёжную комплексную защиту от известных и пока неизвестных угроз. С недавнего времени, некоторые производители антивирусов снабжают свои продукты модулями проактивной защиты, но их эффективность пока далека от совершенства.

В своём трактате «Искусство войны» видный стратег древности Сунь Цзы пишет: «Стратегия ведения войны такова: не полагайся на то, что враг не придет, полагайся на средства, которыми располагаешь, чтобы принять его». Сколько бы ни молодились крупнейшие антивирусные компании, время доказывает, что реактивная, пассивная защита совершенно неэффективна. Важно понимать: изменилась сама парадигма информационной безопасности. В то время, когда хакеры находят всё новые уязвимости, изобретают всё более изощрённые инструменты вторжения и шпионажа, антивирусные средства, по сути, застряли в прошлом. Сама концепция баз антивирусных сигнатур была создана в те времена, когда индустрия инфобезопасности ещё не знала таких терминов как таргетированная атака (Advanced persistent threat  - APT), уязвимость нулевого дня, бэкдор, троян и т.д. Современные вендоры антивирусных решений слишком велики, чтобы признать собственную неповоротливость. Слишком медленно они реагируют на новые вызовы, слишком мало внимания уделяют разработкам принципиально новых средств защиты.

28 июля 2011 г.

Новая парадигма информационной безопасности: предположим, что система безопасности уже взломана

В 1989 году, Стивен Кови опубликовал очень популярную книгу «7 навыков высокоэффективных людей. Мощные инструменты развития личности». Вместе с публикацией данной книги Кови ввел в бизнес-лексикон понятие «парадигма», которое используется и по сей день.

Понятие «парадигма» определено Кови как модель, лежащая в основе теории или методологии определенных научных объектов. Однако, что общего имеет «парадигма» с безопасностью корпораций и энергетических компаний? Ниже будет показано, что парадигма обеспечения безопасности переворачивается с ног на голову.

Старая парадигма: цифровая крепость



В общем и целом, идея «цифровой крепости» является нормой, или парадигмой, для корпораций и энергетических компаний. Это относится как к физической так и к кибербезопасности. В отношении кибербезопаности, данная парадигма предусматривает строгую охрану периметра цифровой сети, обычно реализуемую с помощью шлюзов и межсетевых экранов.



В рамках старой парадигмы считается, что атакующие  всегда находятся за пределами сети предприятия, соответственно, защита периметра сети позволит предотвратить не только проникновение в сеть, но и кражу ценной информации. 



Инсайдерские атаки, т.е. атаки, осуществляемые изнутри защищаемой сети, по данной парадигме маловероятны и не являются практической угрозой, от которой необходима защита сети предприятия.

Используя этот подход и учитывая постоянный рост количества атак, предприятия увеличивали затраты на обеспечение кибербезопаности, приобретая все новые и новые средства для охраны периметра сети.

Именно так складывалась ситуация на протяжении многих лет, однако, на сегодняшний день, есть много новых идей  в области информационной безопасности, переворачивающих старую парадигму буквально с ног на голову.

Новая парадигма: предположим, что система безопасности уже взломана



Если просмотреть новости за последние несколько месяцев, можно отметить несколько крупных взломов, результатом которых стала утечка корпоративной и конфиденциальной информации. Например, в результате недавнего взлома серверов Sony, компания была вынуждена приостановить работу нескольких сервисов на длительное время, для проведения расследования, что повлекло за собой серьезные потери прибыли.

В середине июня компания Sega сделала заявление о временной остановке сервиса Sega Pass, а также сбросе паролей всех пользователей сервиса, в связи с его взломом. Чуть позже, об утечке данных сообщила компании Lockheed Martin, что вызвало удивление у многих людей, учитывая тот факт, что компания является подрядчиком Пентагона.

В недавнем прошлом были зафиксированы и другие успешные атаки – результатом взлома процессингового центра кредитных карт Heartland Payment Systems стала утечка данных тысяч кредитных карт.

Все эти компании применяли парадигму цифровой крепости. Они использовали межсетевые экраны, шлюзы, IDS, двухфакторную аутентификацию и другие системы для надежной защиты периметра сети и все же их информационные системы были успешно взломаны.



Становится очевидно, что прежняя парадигма информационной безопасности уже несостоятельна и должна подвергнуться изменениям, для адекватной защиты от современных угроз.

Прежде всего, сегодня, при построении системы информационной безопасности необходимо исходить из того, что информационная система может быть и будет взломана.



Кто это сказал?



Крис Херрин (Kris Herrin), технический директор Heartland Payment Systems выступал с докладом на конференции The Source Security Conference, которая проходила в июне этого года, в Сиэтле, США. В ходе своего выступления Херрин отметил, что Heartland сделает все возможное для защиты конфиденциальной информации, однако, они будут придерживаться новой парадигмы, предполагая, что информационная система компании может быть и будет взломана.

В декабре 2010 Деборак Планкетт (Deborah Plunkett), глава Управления по защите информации Агентства Национальной Безопасности США заявила, что компьютерные системы должны разрабатываться с учетом возможности проникновения злоумышленников в систему. Планкетт также отметила, что самые изощренные атаки могут остаться незамеченными даже в сети самого Агенства.



Вместе с новой парадигмой на первый план выступают предположение о потенциальной небезопасности компьютерных систем и необходимость правильной корректировки политик и правил их использования.

Тема новой парадигмы была затронута в докладе аналитического агентства PriceWaterhouseCoopers “Are You Compromised But Don’t Know It? A New Philosophy for Cybersecurity”. В докладе аналитики подкрепляют новую парадигму информационной безопасности, обращая внимание на возможность взлома современных информационных систем и необходимость соответствующей защиты информации. Они утверждают, что новая парадигма позволяет предприятиям быть более гибкими в вопросе защиты критически важных данных.

Кирк Бэйли (Kirk Bailey), IT-директор Вашингтонского университета в Сиэтле, также придерживается новой парадигмы компьютерной безопасности, заявляя, что информационная сеть университета  может быть взломана в любое время.



Из отчета Verizon Data Breach Investigations Report for 2011 следует, что количество инцидентов кражи информации извне информационной системы постоянно растет. Другими словами, несмотря на все усилия по обеспечению безопасности периметра компьютерных систем предприятий, злоумышленникам все же удается выполнить проникновение в систему.

В отчете были приведены следующие статистические данные:

50% проникновений выполнено с помощью взломов,

49% за счет использования вредоносного ПО,

и

11% с помощью методов социальной инженерии.

 

Что делать?



Вместе с новой парадигмой информационной безопасности прежняя модель «цифровой крепости» никуда не исчезнет, однако, необходимо понимать, что классический подход на основе сигнатур не сможет эффективно защитить системы предприятия от все более и более изощренных атак. Также, нельзя забывать о том, что даже маленькая брешь в охране периметра цифровой системы – это именно то, что нужно злоумышленникам, желающим атаковать предприятие.

Например, предпринимается массированная атака на определенную энергетическую компанию, однако, данная атака, в отличие от обычных, направлена на управленческий состав компании.

Подобная атака может представлять собой фишинговую атаку, в ходе которой управленцам предприятия рассылаются сообщения электронной почты, содержащие ссылку или вложение с эксплоитом для эксплуатации уязвимостей в браузерах и другом прикладном ПО, например Adobe Reader или Microsoft PowerPoint.

Затем, злоумышленники могут установить «backdoor» для дальнейшей установки и запуска другого вредоносного ПО, перехвата сетевого трафика и конфиденциальной информации. Отсюда следует, что предположение о безопасности систем может создать существенную брешь в кибербезопаности всего предприятия.

Также, стоит отметить, что классический сигнатурный подход не сможет остановить подобную атаку, но обучение управленческого персонала позволяет эффективно противостоять таким атакам.

Следует признать, что это не просто убеждение сотрудников отказаться от открытия фишинговых писем, а внедрение новой парадигмы безопасности предприятия, т.к. новые уязвимости в программном обеспечении, а вместе с ними и новые методики атак, обнаруживаются постоянно, и, зачастую, первыми это делают представители организованной киберпрестпуности.



Итак, что же делать?

 

Кирк Бэйли (Kirk Bailey) предложил некоторые рекомендации по решению проблем в данной области.



Бэйли предлагает 10 ключевых рекомендаций по внедрению новой парадигмы безопасности. Рекомендации Бэйли представлены ниже, но они не являются легко внедряемыми в существующую сеть предприятия, и подробное описание каждой из них может занять больше места, чем данная статья.



10 ключевых рекомендаций Кирка Бэйли:



• Внедрить систему управления рисками (Risk Management Framework).

• Провести профилирование информационных активов, для выявления слабых точек, откуда информацию украсть проще всего.

• Приоритетным активом предприятия являются критически важные данные, соответственно, именно на защиту таких данных необходимо направить большее количество ресурсов.

• Создать четкую коммуникационную систему реагирования на инциденты.

• Реализация программы передачи рисков посредством контрактов и страхования.

• Создать и поддерживать стратегические альянсы с другими предприятиями для обмена опытом и информацией о новых угрозах.

• Реализация системы бизнес-аналитики, которая включает в себя эффективные функции ситуационной осведомленности.

• Создание систем управления и реагирования на инциденты.

• Разработка системы активного реагирования на инциденты.

• Максимальное ограничение сетевой активности ключевых сотрудников компании (руководителей, ведущих разработчиков и др.).



Сам Бэйли говорит, что представленный список не является исчерпывающим руководством обязательным к исполнению, но он утверждает, что новая парадигма безопасности требует иного мышления и подхода.

Следует помнить, что создать систему, защищенную на 100%, невозможно, и всегда будет присутствовать некоторый процент риска, который, зачастую, находится за пределами контроля ответственных сотрудников предприятия.

В качестве примера факторов, находящихся за пределами контроля ответственных сотрудников предприятия, можно привести т.н. «человеческий фактор», фундаментальные недостатки сетевых протоколов, установленного аппаратного или программного обеспечения и многие другие факторы.



Заключение



Новая парадигма компьютерной безопасности позволяет создать более совершенную и гибкую систему информационной безопасности, эффективно защитив конфиденциальную информацию даже от современных атак, защиту от которых не способен обеспечить классический сигнатурный подход.

Итак, для построения действительно стойкой системы безопасности, на сегодняшний день, недостаточно обеспечить безопасность периметра сети, также необходимо обеспечить контроль критически важных данных, отслеживать системные сообщения на предмет появления подозрительных изменений и контролировать всю активность в информационной системе.

 

Оригинал статьи: http://asian-power.com/node/11144

 

 

 

Комментарий SafenSoft к статье "Новая парадигма информационной безопасности: предположим, что система безопасности уже взломана"

 

В дополнение к рекомендациям от Кирка Бэйли и основываясь на аналитическом отчете, опубликованном компанией OPSWAT в июне 2011 года, компания SafenSoft хотела бы дать комментарии относительно новой парадигмы защиты ПК. Согласно вышеупомянутому аналитическому отчету  www.opswat.com/media/reports/OPSWAT-Market-Share-Report-June-2011.pdf , ведущими игроками рынка антивирусного ПО в мире сейчас являются бесплатные антивирусные программы. Лидерами по количеству пользователей в мире (по 12,37% от общего числа) являются Avast Software и AVG Technologies, далее с небольшим отставанием (12,29%) идет Avira GMBH и Microsoft Security Essentials (11,24%).  Если рассмотреть данные по Северной Америке, то там уверенное лидерство держит Microsoft (17%).  Поэтому в новую парадигму защиты ПК с точки зрения SafenSoft  входят следующие действия:

• Установка на рабочие ПК средств проактивной защиты, которые блокируют все действия сотрудника, противоречащие политике безопасности компании, а также позволяют отслеживать все действия, которые он производит на рабочей машине

• Мониторинг системных файлов и папок, отслеживание попыток вредоносных программ активизироваться на компьютере при помощи уже вышеупомянутых превентивных средств защиты

• Проводить настройку HIPS в «чистой» операционной системе. В идеале это может гарантировать только переустановка ОС. Если возможности переустановки нет, то в качестве дополнения установить на компьютер бесплатный антивирус и просканировать им систему до установки проактивной защиты, чтобы с наивысшей вероятностью избежать попадания вредоноса в список доверенных программ. Если Вас беспокоит вопрос эффективности бесплатных антивирусов по сравнению с платными, то вот здесь можно прочитать результаты тестирования на обнаружение вредоносных программ независимой лаборатории AV-Comparatives
www.avast.com/ru-ru/pr-avast-free-tops-the-paid-competition-to-get-a-plus-rating , которое наглядно проиллюстрировало превосходство бесплатного антивирусного софта над платным. Если есть сомнения по поводу отсутствия вредоносного кода в системе, рекомендуется дополнительно проверить систему один из бесплатных антивирусных сканеров.

• Не забывать о том,  что не смотря на все современные средства защиты, нельзя гарантировать на 100%  сохранность информации, пока имеет место быть человеческий фактор, поэтому необходимо тщательно подходить к подбору персонала, который имеет доступ к конфиденциальной информации и администрированию компьютеров.

4 июля 2011 г.

SafenSoft TPSecure получил сертификат “Tested and Approved” компании Diebold

Компания SafenSoft, ведущий разработчик программных решений для банкоматов и других устройств самообслуживания, сообщает о начале сотрудничества с Diebold, Incorporated (NYSE: DBD), крупнейшим в мире поставщиком интегрированных систем и услуг в сфере банковского самообслуживания и безопасности. В ближайшее время компании начнут совместную работу в России и Украине, в планах – со временем расширить эту географию.

«Мы рады возможности с помощью SafenSoft сделать вклад в безопасность сетей банкоматов наших клиентов, – сказал Иван Стригин, директор по профессиональным инженерным услугам Diebold в России ООО «Диболд Селф-Сервис). – Банки стремятся обеспечить максимально возможный уровень безопасности своих банкоматов, и решение SafenSoft TPSecure поможет им в достижении этой цели».
(Читать далее...)

2 июня 2011 г.

SafenSoft - Хищения денег в Bank of America можно было избежать

Сан Хосе, Калифорния и Москва, 31 мая 2011 – На прошлой неделе Федеральный окружной суд Северной Каролины приговорил Рида Кэверли (Reed Caverly), бывшего сотрудника Bank of America, к 27 месяцам тюремного заключения. Кэверли признал вину по факту хищения почти $300000 с использованием вредоносного ПО, которое он установил на банкоматы Bank of America. Удаление вредоносного ПО и восстановление работоспособности банковской сети стоило банку порядка $135000.Михаил Калиниченко, генеральный директор компании SafenSoft, российского разработчика программных решений в сфере информационной безопасности банкоматов, платежных терминалов и рабочих станций, считает, что подобной ситуации можно было избежать применением простых правил информационной безопасности внутри сети банкоматов.

(Читать далее...)


7 мая 2011 г.

SafenSoft (3 сообщения)


  • SafenSoft на выставке InfoSecurity в Лондоне
    Компания SafenSoft приняла участие в выставке InfoSecurity Europe, прошедшей 19-22 апреля в Лондоне. Михаил Калиниченко, генеральный директор SafenSoft, поделился своими впечатлениями о мероприятии и о поездке в целом.
    (Читать далее...)



  • SafenSoft SysWatch Deluxe получил награду Approved By Anti-Malware.ru
    Продукт персональной линейки SysWatch Deluxe вошел в список продуктов, рекомендуемых аналитическим порталом Anti-Malware.ru

    (Читать далее...)



  • Компания SafenSoft вступила в Совет по разработке стандартов безопасности PCI
    Москва и Сан-Хосе, 4 мая 2011 года – Разработчик программных решений в сфере информационной безопасности банкоматов, платежных терминалов, конечных точек сети и персональных компьютеров компания SafenSoft сообщает о вступлении в Совет по разработке стандартов безопасности индустрии платежных карт (PCI Security Council).

    (Читать далее...)

  • 20 апреля 2011 г.

    SafenSoft (2 сообщения)

  • SafenSoft на выставке InfoSecurity в Лондоне
    SafenSoft примет участие в выставке InfoSecurity Europe, которая пройдет с 19 по 21 апреля в Лондоне

    Москва, 18 апреля 2011 года – SafenSoft приглашает всех желающих посетить стенд компании на выставке InfoSecurity Europe, которая пройдет с 19 по 21 апреля в Earl's Court в Лондоне.

    (Читать далее...)

  • Платежные терминалы NGT под надежной защитой
    SafenSoft и Newest Global Technology заявили о начале партнерских взаимоотношений и планируемых совместных проектах

    Компании SafenSoft и Newest Global Technology сообщают об успешном завершении тестирования решения по информационной безопасности устройств самообслуживания TPSecure на терминалах NGT. Успешно пройденное тестирование позволяет компаниям строить планы о дальнейших партнерских проектах.

    (Читать далее...)