Кібер-атаки на критичну інфраструктуру в Україні
TRANSCRIPT
Unifying theGlobal Responseto Cybercrime
Обмеження відповідальності
Публікація підготовлена Глібом Пахаренко та Сергієм Пузирко за сприяння ГО “ІСАКА Київ”, який розробив та опублікував цей документ, насамперед як освітній ресурс для фахівців із аудиту, корпоративного управління, управління ризиками та безпеки. Асоціація не стверджує, що використання цього документу гарантуватиме отримання успішних результатів. Документ не слід розглядати як такий, що містить усю достатню інформацію, процедури та тести. При визначенні доцільності застосування будь-якої інформації, процедури або тесту фахівці з аудиту, корпоративного управління, управління ризиками та захисту інформації повинні керуватися власними професійними судженнями щодо конкретних обставин в умовах існуючих систем або середовища інформаційних технологій
Unifying theGlobal Responseto Cybercrime
Цей документ є власністю ГО «Ісака Київ». Використання та відтворення цього документу та його частин дозволяється за умови посилання на ГО «Ісака Київ»
Учасники створення публікаціїУчасник РольГліб Пахаренко, CISA, CISSP АвторПузирко Сергій СпівавторОлексій Янковський РецензентАнастасія Конопльова, CISA Рецензент
Unifying theGlobal Responseto Cybercrime
Актуальні кібернетичні загрози АСУ ТП
Пузирко Сергійта
Гліб Пахаренкоgpaharenko (at) gmail.com
2016-02-18
Unifying theGlobal Responseto Cybercrime
Цілі атак№ Установа № Установа1 МЗС України 11 Телеканал “Україна”2 Посольство України в США 12 Телеканал “СТБ”3 Укрзалізниця 13 Бердянська міська рада4 Дніпропетровська ОДА 14 Міжнародні авіалінії
України5 Тернопільська ОДА 15 Хмельницькобленерго6 Закарпатська ОДА 16 Укренерго7 Дніпропетровська ОДА 17 Прикарпаттяобленерго8 Миколаївська ОДА 18 Чернівціобленерго9 Державний архів
Чернівецької області19 Київобленерго
10
Кінофотоархів України імені Г. С. Пшеничного
Unifying theGlobal Responseto Cybercrime
Огляд атакЗагальні спільні риси: Використання соціальної інженерії Недостатні дії з усунення та
профілактики інцидентів Використання невідомих
вразливостей (0-day) Обізнаність про внутрішню ІТ-
інфраструктуру
Unifying theGlobal Responseto Cybercrime
Огляд атак Обхід механізмів захисту
операційної системи Модульна структура ШПЗ
Unifying theGlobal Responseto Cybercrime
Модульна структура ШПЗ вивід з ладу комп’ютера та псування
інформації крадіжка інформації клавіатурний шпигун крадій паролів скріншоти екрану сканування та атаки на інші хости в
мережі віддалений доступ до робочого столу
Unifying theGlobal Responseto Cybercrime
Тип контролів Заходи контролюОрганізаційні Призначити в
установі посадову особу, відповідальну за кібернетичну безпеку
Проводити моніторинг ресурсів, присвячених кібернетичним атакам
Проводити тренінги з підвищення освіченості серед співробітників щодо атак соціальної інженерії
Впровадити повноцінну програму керування ризиком постійних атак спрямованих загроз
Забезпечити наявність процедур сповіщення уповноважених державних регуляторів
Налагодити обмін інформацією про атаки та загрози в своїй галузі
РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying theGlobal Responseto Cybercrime
Тип контролів Заходи контролюМережева безпека
Ізолювати технологічні мережі від звичайних мереж
Зберігати історію випадків нетипової поведінки систем. Зберігати журнали систем
Інвентаризувати всі підключення до зовнішніх мереж, та ввести максимально обмежуючу політику фільтрації підключень до/від систем
Використовувати IPSEC між системами в мережі
РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying theGlobal Responseto Cybercrime
Тип контролів Заходи контролю
Керування вразливостями
Проводити тести на проникнення методами соціальної інженерії
Відстежувати наявність вразливостей у зовнішніх системах, проводити тести на проникнення
Керувати вразливостями у внутрішніх системах та використовувати свіжі версії ПЗ
РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying theGlobal Responseto Cybercrime
Тип контролів Заходи контролюРеагування на атаки
Розмістити “медові пастки” в корпоративній мережі та відслідковувати спроби проникнення в них
Відстежувати зовнішні з’єднання зі ІР ТОР та іншими ІР з поганою репутацією. Забороняти ці з’єднання
Відпрацювати процедуру реагування на інцидент, особливо збору та збереження доказів — оперативної та постійної пам’яті, мережевого трафіку
Використовувати IPSEC між системами в мережі
Ввести облік DNS запитів в мережі
Створити захищені від змін сервери збору журналів подій
РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying theGlobal Responseto Cybercrime
Тип контролів Заходи контролюУкріплення систем
Ввести «білі списки» для дозволених додатків в ІТ системах
Блокувати підозрілі вкладення в повідомленнях електронної пошти
Використовувати механізми заборони змін для критичних систем (“заморожування”)
Блокувати підозрілі вкладення в повідомленнях електронної пошти
Впровадити ієрархію адміністративних ролей
Запровадити плани відновлення систем у разі збоїв
РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ
Unifying theGlobal Responseto Cybercrime
РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ
Проводити регулярні семінари обговорення з метою збільшення рівня освіченості та обміну досвідом
Створити інформаційний ресурс (портал) для публікації новин та обміну думками з питань кібербезпеки
Створити платформу для обміну зразками шкідливого програмного забезпечення та індикаторами компрометації
Створити лабораторію зі зразками АСУ ТП критичної інфраструктури для відпрацювання методів захисту
Unifying theGlobal Responseto Cybercrime
РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ
Запровадити галузеві стандарти з кібернетичної безпеки.
Створити міжвідомчу робочу групу з розслідування направлених атак в Україні, об’єднати схожі випадки в єдине провадження
Запровадити обов’язкову оцінку ризиків на критичних об’єктах та звітування щодо результатів оцінки та плану впровадження заходів контролю
Unifying theGlobal Responseto Cybercrime
Дякую за увагу!