понедельник, 31 октября 2016 г.

СОИБ. Планирование. Противодействие комбинированным атакам / Kill Chain

В комментариях к одному из блогов наткнулся на интересную свежую инфогарфику от netspi – на одном плакате подробно рассматривалась последовательность действий нарушителей или пентестеров (Red Team) и лиц, ответственных за безопасность (Blue Team) во время комбинированной кибератаки (Kill Chain).

Такой анализ с точки зрения ИБ полезен - разорвав цепочку в одном месте, мы фактически блокируем всю цепочку атак. Но учитывая вероятность пропустить атаку в одном месте, лучше реализовывать контрмеры для большинства этапов атаки.   

Так как в исходной инфографике все было подробно и просто описано, решил просто перевести и оставить тут на память. Некоторые специфические термины или наоборот, общеизвестные в ИТ сокращения не стал переводить, чтобы не усложнять текст и не вносить путаницу.



почитать - правый клик на картинке и открыть в новой вкладке или сохранить
Напомню, что в проекте новой методики ФСТЭК также планировалось выполнение анализа угроз, возможность выполнения которых зависит от реализации других угроз.  По сути, также необходимо строить цепочки или даже деревья атак. Для 186 угроз – это не такая простая задача. Но надо и этим заниматься …

PS: Также по теме Kill Chain можно почитать у Алексея Лукацкого



воскресенье, 23 октября 2016 г.

СОИБ. Анализ. Одна DDoS атака

После одной из предыдущих статей про DDoS атаки получил несколько ссылок на отчет NexusGuard за 2 квартал 2016 года, в котором говорится что Россия вышла на первое место по атакуемым узлам, показав рост в 1992%.  

Захотелось копнуть этот отчет подробнее.  
Оказалось, что подавляющее большинство случаев выло связанно с непрерывной двухдневной DDoS атакой на все IP-адреса провайдера Starlink. Что такого интересного было размещено у Starlink-а?


Вполне можно было бы nslookup-нуть или сделать reverse dns запросы на все ip адреса. К сожалению, оказалось, что нет бесплатных сервисов, которые позволяли выполнить такие запросы для целой сети. В OSSINT сервисах типа Maltego – ограничения на reverse dns запросы в 2 тыс IP адресов. А нам надо 65 тыс.

Подходящим вариантом оказалась довольно старая утилитка FastResolver, а также возможность заскриптовать запросы к online сервису reverse dns (за один раз не более 256 ip)
for /L %i IN (0,1,255) DO curl http://api.hackertarget.com/reversedns/?q=77.50.%i.0/24 >> 1.csv

Далее нам надо понять какие TOP web сайты или TOP компании есть в полученном списке. Убираем все домены третьего уровня типа *.starlink.*. Для доментов типа mail.*.ru, mx.*.ru, ns.*.ru делаем -> *.ru с таким расчетом что мы проверяем компанию и не исключаем вероятность что в момент ddos атаки там могли находится сайты www.*.ru, а потом были перенесены или скрыты.

 Получили список из порядка 80 доменов. Как автоматически найти TOP среди них? Посмотреть pagerank от google, ТИЦ от Яндекса и популярность ресурса от Alexa top site. Много сервисов позволяют сделать проверку для одного домена. К сожалению, ни один бесплатный не позволяет проверять неограниченное количество доменов сразу. Максимальное что мне удалось найти – 250 доменов на prlog.ru. В моем случае этого вполне достаточно. Результат анализа тут.

Как показывают результаты анализа, расположенные в сети starlink домены далеки от TOP. Pagerank <50%, ТИЦ не более 1200, alexa rank – ниже 16000 по России.  

Наиболее разумным объяснением такого количества атак на ip адреса сети starlink вижу следующее – либо была атака на самого провайдера starlink (который “входит в десятку лучших интернет-провайдеров Москвы”), либо злоумышленники проводили атаку на ресурс, который, по их мнению, точно был подключен к сети starlink, но точного ip-адреса которого они не имели.  

В любом случае NexusGuard ошиблись посчитав это как 74442 отдельных DDoS атаки. Это была 1 атака.

PS: если у вас есть какие-либо подробности об этом инциденте, напишите в комментарии или лично – буду благодарен.
PPS: интересный анализ недавних DDoS атак от Сергея Сторчака 


пятница, 21 октября 2016 г.

СОИБ. Анализ. Российский государственный сегмент сети Интернет или RSNet

Неделю назад был зарегистрирован очередной документ из серии Российский государственный сегмент Интернет - Положение о российском государственном сегменте информационно-телекоммуникационной сети "Интернет", утвержденное приказом ФСО РФ №443 от 7 сентября 2016 г. (Положение)

Давайте разберем по подробнее что тут, а то возникают домыслы, что туда будет включены чуть ли не все сети на территории РФ.

Кроме указанного выше документа, учитываем ранее утвержденный Указом Президента Российской Федерации от 22 мая 2015 г. N 260 Порядок подключения информационных систем и            информационно-телекоммуникационных сетей к информационно-телекоммуникационной сети "Интернет" и размещения (публикации) в ней информации через российский государственный сегмент информационно-телекоммуникационной сети "Интернет" (Порядок).

Российский государственный сегмент сети Интернет (далее – RSNet) – включается в себя:
·         информационные системы (ИС), находящиеся в ведении ФСО России
·         информационно-телекоммуникационные сети (ИТС), находящиеся в ведении ФСО России

Оператором RSNet так же является ФСО России.  А что это за системы в их ведении?

Следующие органы должны подключить к RSNet свои ИС и ИТС до 31 декабря  2017 г.:
·         Администрация Президента Российской Федерации
·         Аппарат Правительства Российской   Федерации
·         Следственный комитет Российской Федерации
·         федеральные органы исполнительной власти
·         органы исполнительной власти субъектов Российской   Федерации

Рекомендовано подключится к RSNet следующим органам:
·         Совету   Федерации   Федерального   Собрания Российской Федерации
·         Государственной Думе Федерального Собрания Российской Федерации 
·         судебным органам   Российской   Федерации
·         органам прокуратуры Российской Федерации
·         Счетной палате Российской Федерации
·         а также организациям, созданным для выполнения задач, поставленных   перед   федеральными   государственными    органами

Условия подключения и требования к ИБ должны определяться соглашением о подключении к RSNet. Но в данный момент в соглашении ничего интересного нет, кроме “Заказчик .. обеспечивает безопасность информационных ресурсов Заказчика собственными штатными программно-аппаратными средствами, удовлетворяющими требованиям к программно-аппаратным средствам, используемым в органах государственной власти Российской Федерации для работы в сети Интернет”.  Спецификация оборудования, необходимая для подключения – пустая.

Но из текста регламента подключения вполне понятно, что для подключения требуются некие ПТК – как на стороне гос. органа, так и на стороне ФСО РФ.  Предположительно можно считать, что это криптошлюзы.

Больше ничего интересного в Положении не обнаружено, за исключением разве что разделение затрат на подключения, создание защищенных сетей и эксплуатации RSNet. Много чего будет финансироваться из федерального бюджета ФСО.

Теперь посмотрим, что удалось добыть про RSNet публичной части сети Интернет:
·         Из отчета госпрограммы «Информационное общество» за 2015 г. – введены в эксплуатацию 2 защищенных РЦОД сети RSNet, оборудован Центральный региональный узел сети RSNet, созданы 3 фронтальных сегмента RSNet.



·         Из таблицы оценки эффективности программы – всего было запланировано 35 узлов сети RSNet и 5 ЦОД

·         Посмотрел основных вендоров на предмет поставки криптошлюзов в ФСО. Больше всего намеков на АПКШ Континент-М
o   Тут и информация о клиентах с сайта производителя
o   Информация из анализа тендеров за 2015 год, например, тут или тут

·         Хотя есть и проекты на vipnet, региональные узлы которых располагаются в ведении ФСО, например, система личного приема граждан в режиме дистанционной связи. Возможно будут подключать как с vipnet так и континентами..?

Исходя из этой информации, итоговую схему RSNet я вижу примерно следующей:








пятница, 14 октября 2016 г.

СОИБ. Лучшие практики уровня государств. Директива Евросоюза по повышению безопасности сетей и информационных систем (NIS Directive)


В то время пока у нас в очередной раз откладывается принятие закона по критически важным объектам, в Евросоюзе 6 июля 2016 г. утвержден (в августе вступил в силу) новый нормативный документ, устанавливающий требования по ИБ для операторов ключевых / критически важных / жизненно важных услуг (operators of essential services) и провайдеров цифровых услуг (digital service providers).

Да! Да! Требования касаются не Госов и не операторов ПДн. И не надо больше говорить, что у нас в РФ самый страшный комплаенс по ИБ. 

Сам документ очень хорош и не удивительно, ведь работа над ним велась почти 3 года. В самом же документе подробно поясняется почему приходится вводить такие требования для коммерческих компаний – ведь очень сильно современная жизнь людей стала завысить от различных сетей и информационных систем.  И вообще в документе достаточно много внимания уделено разъяснениям, определениям, правилам для определения на кого распространяются требования, разъяснениям как быть с отраслевыми требованиями и т.п. Давайте посмотрим на наиболее интересные положения этой доктрины.

В число операторов жизненно важных услуг (ОЖВУ) обязательно включаются следующие типы компаний:
Sector
Subsector / Type
Energy
Electricity
Oil
Gas
Transport
Air transport
Rail transport
Water transport
Road transport
Banking

Financial market infrastructures
Central counterparties (CCPs)
Operators of trading venues
Health sector
Health care settings (including hospitals and private clinics)
Drinking water supply and distribution

               
Digital Infrastructure
internet exchange points
DNS service providers
top-level domain name registries

При этом в отдельных странах Евросоюза данный перечень может быть расширен. В директиве приводятся критерии отнесения компании из указанных типов к оператору жизненно важных услуг (напомню, что у нас в РФ нет публичных критериев отнесения к КСИИ или КВО) .

В число провайдеров цифровых услуг (ПЦУ) на которых распространяются требования ИБ включены:
·         Online marketplace
·         Online search engine
·         Cloud computing service

Требований в самой директиве немного. Более детальные требования должны быть разработаны странами Евросоюза в своих локальных нормативных актах. Требования не должны распространяться на компании малого и микро бизнеса (should not apply to micro- and small enterprises). В целом должен применяться риск ориентированный подход и т.п.

Требования ИБ для ОЖВУ:
·         Принимать необходимые технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов на безопасность сетей и информационных систем, используемых в целях обеспечения непрерывности оказания жизненно важных услуг
·         Своевременно уведомлять компетентные органы государства и CSIRTы об инцидентах (этому кстати уделяется очень много внимания в документе)
·         Предоставлять компетентным гос. органам (по-нашему это регулятор):
o   описание принятых меры защиты, в том числе утверждённые документы в области ИБ
o   свидетельства оценки эффективности принятых мер защиты, в том числе результаты аудита, проведенного компетентным органом или квалифицированным аудитором (по-нашему, аккредитованной организацией или лицензиатом)

Требования ИБ для ПЦУ:
·         Принимать необходимые технические и организационные меры по управлению рисками, включая меры по предотвращению и минимизации влияния инцидентов на безопасность цифровых услуг, в том числе:
o   Безопасности систем и технологических средств
o   Обработку инцидентов
o   Управление непрерывностью бизнеса
o   Мониторинг, аудит и тестирование ИБ
o   Соответствие международным стандартам
·         обеспечивать непрерывности оказания услуг и минимизации воздействия инцидентов, влияющих на безопасность используемых сетей и информационных систем ОЖВУ
·         своевременно уведомлять компетентные органы государства и CSIRTы об инцидентах
·         предоставлять компетентным гос. органам описание принятых меры защиты, в том числе утверждённые документы в области ИБ

Директива вступила в силу в августе 2016, но выполняться будет поэтапно:
·         уже:
o   создана computer security incident response teams network (CSIRTs network)
o   создана Cooperation Group для обмена информацией в области ИБ между членами евросоюза
·         к 9 февраля 2017 страны члены евросоюза должны быть созданы национальные CSIRT, включится в Cooperation Group and the CSIRTs network
·         до 9 мая 2018 года страны члены евросоюза должны адаптировать доктрину и выпустить локальные НПА, в том числе национальную стратегию безопасности сетей и информационных систем (NIS).  Должны определить компетентные органы в области NIS. Должны определить в стране единую точку взаимодействия (single point of contact) по вопросам ИБ NIS
·         с 10 мая 2018 года должны выполняться требования
·         до 9 ноября 2018 года должны быть определены и учтены в реестре компании ОЖВУ


Думаю, для одной вводной статьи про NIS Directive информации достаточно. Если будет интересно, отдельно напишу про уже действующую CSIRT Network и про критерии отнесения к ОЖВУ.  
Возможно и у нас по аналогии с европейскими соседями случатся продвижения в части КВО, уведомлении об инцидентах, обязательные аудиты ИБ и т.п.

PS: Кстати в евросоюзе октябрь 2016 – это месяц! кибербезопасности (European Cyber Security Month). Проводятся сотни мероприятий по ИБ.


 Другие статьи по теме Лучших практик 

понедельник, 10 октября 2016 г.

СОИБ. Анализ. Новости и маркетинг о DDoS атаках

За последний месяц вышло очень много новостей по теме DDoS. Даже если не брать во внимание Кребса и атаки западных ресурсов, можно увидеть, что за последний месяц-два произошло очень много атак на территории РФ. Сайты блокировались от 1 дня до 7 дней:
·         Телеканал RT
·         Двач
·         aftershock.news
·         ИА “Взгляд-инфо”
·         ИА “Свободные новости”
·         47news
·         ИА «Тульские новости»
·         кол-центр «Наблюдателей Петербурга»
·         «Орловские новости»
·         Левада-центр
·         Чиновник.ру
·         ОТВ-Югра
·         Тульские PRяники    ......

Русскоязычная аналитика за последний месяц:
·         Касперский - 77% компаний регулярно подвергаются DDoS атакам 
·         Cnews опубликовал оценки IDC о росте российского рынка защиты от DDoS на  25%
·         Департаментпо конкурентной политике г.Москва - про атаки площадок электронных торгов
·         Imperva – число атак удвоилось
·         ДИТ г. Москва – на 400% растёт интенсивности атак на гос. ресурсы 



На месте обычной организации (не СМИ, не компания из ТОП-3) я бы хотел разобраться, что происходит, кого это касается, кого атакуют и нужно ли бежать срочно заказывать защиту от DDoS? Давайте посмотрим.

У Касперского: “В опросе приняли участие более 4000 IT-специалистов из 25 стран по всему миру, включая Россию”. То есть опросили порядка 160 = 4000 / 25 компаний из РФ и выяснили что “77% регулярно подвергаются DDoS атакам”. Но что это значит? Что если компанию атаковали в прошлом году, то в 77% случаев её атаковали в этом году. А сколько всего атаковали? Какой процент из опрошенных атаковали? Нет информации.  То есть может быть и такая ситуация: всего 9 компаний сообщили что подвергались DDoS атакам. При этом 7 из них подвергались неоднократно. Как раз и получаем 77%. Всего 9!!!
У IDC не анализировались сами атаки. Только рынок. Стали больше продаваться. В общем тоже показатель для организаций, ориентирующихся на лучшие практики…

По электронным торговым площадкам по факту даже снижение количества DDoS

У Imperva, если посмотреть на исходник статьи, анализ проводился по клиентам Incapsula. Исходя из анализа географии атак – РФ либо вообще отсутствовала, либо не превышала 2% барьера.

(UPDATE)
В отчете ДИТ г. Москва говорится об увеличении интенсивности DDoS атак (в мб/c) в 4 раза. Но на контроле у ДИТ может быть большое количество ресурсов: госуслуги, порталы гос. органов, порталы крупных ГИС, которых уже достаточно много появилось, нет подробностей, что именно интересно злоумышленникам. По количеству атак тоже нет данных.  Зато кроме DDoS атак рассказывают и про другие актуальные атаки. Я думаю, другим гос. органам эта информация будет полезна. 


 Может быть из описаний конкретных инцидентов мы сможем подчерпнуть полезную информацию?
Из инцидента RT и многих других звучит мысль что DDoS атаки стоят очень дорого, в отличие от того что мы слышим на конференциях про мощные атаки за 200$. Во многих случаях атаки выполняются по политическим мотивам













А иногда выглядит так что антиDDoS сервисы проводят атаки чтобы продать свои услуги

Из инцидента Двач - вообще всё странно. Владелец сайта ещё и благодарит в итоге

В инциденте с Левада-центр, там вообще похоже не DDoS атака, а обычный взлом, либо сами заблокировали свой же сайт.

 И в итоге не совсем понятно – обычных организаций это касается или нет? Пока каких то свежих публичных свидетельств к этому не нахожу…