SlideShare ist ein Scribd-Unternehmen logo

Огляд атак на критичну інфраструктуру в Україні

Als DOCX, PDF herunterladen
Glib Pakharenko
Glib Pakharenko

Огляд атак на критичну інфраструктуру в Україні

Technologie
1 von 17
ОГЛЯД АТАК НА КРИТИЧНУ ІНФРАСТРУКТУРУ В УКРАЇНІ, ТА РЕКОМЕНДАЦІЇ ЩОДО ЗАХОДІВ КОНТРОЛЮ Версія: 2016-02-11
2 Про ISACA® Об’єднуючи більше 115 000 членів у 180 країнах світу, ISACA (www.isaca.org) допомагає лідерам у сфері управління, інформаційної безпеки та інформаційних технологій забезпечувати корисність і довіру до інформації та інформаційних систем. Із часу заснування асоціації у 1969 році ISACA є надійним джерелом знань, стандартів, співробітництва та підвищення кваліфікації для фахівців у галузі аудиту, підтвердження достовірності, безпеки, управління ризиками, забезпечення конфіденційності та управління інформаційними системами. ISACA пропонує фахівцям із кібербезпеки широкий набір ресурсів Cybersecurity Nexus™ і настанови COBIT®1, що допомагають організаціям в управлінні та контролі за інформацією та технологіями. Асоціація також розвиває та підтверджує найбільш важливі для бізнесу навички та знання, поширюючи сертифікації,що визнаються у міжнародному масштабі: CISA®2, CISM®3, CGEIT®4іCRISC™5. ISACA має понад 200 відділень по всьому світу. Про ГО «Ісака Київ» ГО «Ісака Київ» є київським відділенням ISACA, і ставить за мету розповсюдження знань та кращих світових практик в Україні, а також створення майданчика для незаангажованого спілкування професіоналів. Відділення в Україні наразі об’єднує біля 100 ІТ професіоналів. Управління асоціацією провадиться не заангажовано по відношенню до будь-яких комерційних інтересів. Місією Київського відділення ISACA є просування та запровадження зрілих процесів ІТ- управління в Україні заради забезпечення довіри користувачів та організацій до надійності інформаційних систем та їхньої цінності. Напрацювання та експертиза мережі більш ніж 200 відділень ISACA у всьому світі дозволить залучити досвід країн із набагато більш розвиненою культурою ІТ управління та кібербезпеки. Київське відділення ISACA ставить за мету забезпечити розвиток української професійної ІТ спільноти та забезпечити можливість незаангажованого спілкування між фахівцями як ІТ так і бізнесового середовища. Обмеження відповідальності Публікація підготовлена Глібом Пахаренко за сприяння ГО “ІСАКА Київ”, який розробив та опублікував цей документ, насамперед як освітній ресурс для фахівців із аудиту, корпоративного управління, управління ризиками та безпеки. Асоціація не стверджує, що використання цього документу гарантуватиме отримання успішних результатів. Документ не слід розглядати як такий, що містить усю достатню інформацію, процедури та тести. При визначенні доцільності застосування будь-якої інформації, процедури або тесту фахівці з аудиту, корпоративного управління, управління ризиками та захисту інформації повинні керуватися власними професійними судженнями щодо конкретних обставин в умовах існуючих систем або середовища інформаційних технологій. 1 COBIT® (Control Objectives for Information and Related Technologies) –Цілі контролю для інформаційних і суміжних технологій. 2 CISA® (CertifiedInformationSystemsAuditor) – сертифікований аудитор інформаційних систем. 3 CISM® (CertifiedInformationSecurityManager) – сертифікований менеджер з інформаційної безпеки. 4 CGEIT® (Certified in the Governance of Enterprise IT) – сертифікований фахівець з управління корпоративними ІТ. 5 CRISC™ (CertifiedinRiskandInformationSystemsControl) – сертифікований фахівець у галузі ризиків іконтролю інформаційних систем.
3 Збереження прав інтелектуальної власності. Цей документ є власністю ГО «Ісака Київ». Використання та відтворення цього документу та його частин дозволяється за умови посилання на ГО «Ісака Київ» . Учасники створення публікації. В табличці нижче перелічені учасники створення публікації та їх внесок. Учасник Роль Гліб Пахаренко, CISA, CISSP Автор Олексій Янковський Рецензент Анастасія Конопльова, CISA Рецензент
4 Зміст ПЕРЕДМОВА......................................................................................................................................4 ТЕРМІНИ ТА СКОРОЧЕННЯ..........................................................................................................5 ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК...........................................................................................6 ОГЛЯД АТАК.......................................................................................................................................8 Використання соціальної інженерії..........................................................................................8 Недостатні дії з усунення та профілактики інцидентів .......................................................8 Використання невідомих вразливостей (нульвого-дня) .....................................................8 Обізнаність про внутрішню інфраструктуру ІТ......................................................................9 Обхід механізмів захисту операційної системи....................................................................9 Модульна структура ....................................................................................................................9 РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ...........................................10 РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ.......................................................................................................................................15 ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ. ..............................................................................................17 ПЕРЕДМОВА Починаючи з 2014р. українські організації захлинула хвиля спрямованих кібернетичних атак, найбільшим документованим збитком від яких є кількагодинне вимикання електричного живлення в західному регіоні України (абонентів Прикарпаттяобленерго). Окрім енергетичного сектору, цілями зловмисників були підприємства транспортної, фінансової, телекомунікаційної, медіа галузей та державних органів. Характерними ознаками цих недружніх дій в кіберпросторі є поетапне захоплення та вивчення ІТ інфраструктури і методів захисту постраждалих організацій та непередбачувані у часі дії по зупиненню бізнес-діяльності установи, аж до катастрофічних наслідків. Цим ці атаки відрізняються від звичайних дій кібернетичних зловмисників, направлених на крадіжку конфіденційних даних чи їх модифікацію з метою отримання фінансових зисків. За оцінкою аналітиків антивірусних компаній (ESET, McAfee, TrendMicro, F-Secure, і т.д.) за частиною атак стоїть керівництво Російської Федерації, що відпрацювало кібератаки у військових та політичних конфліктах з Грузією та Естонією у 2007-2008рр., і тепер активно використовує їх у конфлікті з Україною. Один із видів шкідливого програмного забезпечення, що використовувалося, носить загальну назву BlackEnergy (“ЧорнаЕнергія” - укр., ВЕ - скорочено). За період свого існування цей вірус постійно змінювався та покращувався з точки зору його зловмисних можливостей, і наразі виявлена вже 3-тя генерація BlackEnergy. Ця публікація узагальнює відомі дані з відкритих джерел та пропонує план дій для зниження ризиків від кібернетичних атак на критичну інфраструктуру насамперед від ВЕ. Вона буде корисна особам всіх рівнів повноважень, відповідальним за безпеку підприємства, починаючи від його керівництва і закінчуючи адміністраторами автоматизованих систем керування технічними процесами. Регулятори можуть взяти цю публікацію за основу своїх рекомендацій та галузевих стандартів.
5 ТЕРМІНИ ТА СКОРОЧЕННЯ В таблиці нижче наведено перелік термінів та скорочень, що використовуються в документі. Black Energy, BE BlackEnergy APT Спрямовані Постійні Загрози ШПЗ Шкідливе Програмне Забезпечення ІР Інтернет адреса
6 ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК В таблиці нижче наводиться історія інцидентів з переліком їх впливу на організацію та технічними особливостями. Інформація зібрана з відкритих джерел, її достовірність залежить від надійності джерела та не перевірялась. Рекомендації в наступних секціях документу підготовлені виходячи з аналізу цих атак. № Установа Період часу Наслідки для організацій 1 МЗС України 2012 Інформація відсутня. 2 Посольство України в США 2012 Інформація відсутня. 3 Укрзалізниця 2014 Інформація відсутня. 4 Головний Інформаційно Комунікаційний та Науково Виробничий Центр Дніпропетровської ОДА. 2014 Можливо саме з цією атакою пов’язаний витік інформації з Дніпропетровської ОДА, що опублікувало угруповання “Кібер Беркут”. 5 Тернопільська облдержадміністрація 2014 Інформація відсутня. 6 Закарпатська облдержадміністрація 2014 Інформація відсутня. 7 Дніпропетровська облдержадміністрація 2014 Інформація відсутня. 8 Миколаївська облдержадміністрація 2014 Інформація відсутня. 9 Державний архів Чернівецької області 2014 Інформація відсутня. 10 Центральний державний кінофотоархів України імені Г. С. Пшеничного 2014 Інформація відсутня. 11 ТРК “Україна” Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів. 12 СТБ 2015 Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів. 13 Бердянська міська рада 2015 Інформація відсутня. 14 Міжнародні авіалінії України 2015 Інформація відсутня.
7 15 Хмельницькобленерго 2015 Інформація відсутня. 16 Укренерго 2015 Інформація відсутня. 17 Прикарпаттяобленерго 2015 Вимкнення живлення в абонентів Прикарпаттяобленерго 18 Чернівціобленерго 2015 Інформація відсутня. 19 Київобленерго 2015 Інформація відсутня.
8 ОГЛЯД АТАК Хоча кожна з атак і має особливості, можна виділити наступні загальні спільні риси: Використання соціальної інженерії Майже у всіх випадках хакери застосовували соціальну інженерію з метою ввести користувача в оману та змусити виконати дії з вимикання системи захисту. Приклад1. Обхід налаштувань безпеки офісного пакету. Зазвичай, в офісному пакеті Майкрософт вимкнена можливість запуску вбудованого в документи активного змісту. Нападники мотивували користувача ввімкнути виконання вбудованих в файл макросів, що дозволяло успішне проникнення в мережу. Приклад2. Крадіжка паролів системного адміністратора. Окремі модулі ШПЗ при запуску перевіряли, чи достатньо в них привілеїв, і якщо їх не вистачало, то виводили частково з ладу комп’ютер, щоб змусити користувача покликати адміністратора та запустити програму з підвищеними правами. Недостатні дії з усунення та профілактики інцидентів Масштаб зараження та наслідки атак можна було зменшити, у разі якщо б діяли важливі елементи кібербезпеки:  ізоляція технологічних та продуктивних мереж. На окремих об’єктах це дозволило би не переривати критичні послуги, навіть після знищення частини інфраструктури.  детальний аналіз систем після інцидентів. Окремі установи постраждали від перших атак, але не провели детального розслідування. Частково цифрові докази були знищені через неправильні дії служби інформаційних технологій установи після інциденту.  виявлення систем, які мають індикатори зараження. Шкідливе програмне забезпечення (ШПЗ) керувалось в окремих організаціях з відомих контрольних центрів. Адміністратори не помічали перехід систем в тестовий режим, після завантаження високопривільованих компонент ВЕ. Використання невідомих вразливостей (нульового дня) В деяких атаках зловмисники використовували ще невідомі атаки (нульового дня). Це поєднувалось з елементами соціальної інженерії, що змушували користувача відкрити
9 файл (довірена адреса відправника, актуальна тема повідомлення). Обізнаність про внутрішню інфраструктуру ІТ Зловмисники демонстрували детальне знання внутрішньої ІТ інфраструктури організації, щоб адаптувати та максимально ефективно використовувати ШПЗ. Це включало налаштування проксі-серверів, назви доменів, і т.д. Обхід механізмів захисту операційної системи Для підвищення привілеїв, прихованого виконання та закріплення в системі модулі ШПЗ використовували:  механізм сумісності Microsoft Windows (Windows Application Compatibility Infrastructure, Shims Infrastructure), щоб обійти механізм контролю доступу користувача. Якби адміністратори систем своєчасно виявляли нестандартні налаштування сумісності, то це б дозволили виявити атаку.  переведення систем у тестовий режим, що дозволяло завантаження непідписаних компонент ядра системи. Якби адміністратори систем своєчасно виявляли раптову появу такого режиму в системі, це дозволило б виявити атаку.  використання вразливої версії програми віртуалізації VirtualBox для завантаження непідписаних драйверів. Модульна структура ШПЗ використовувало багато різних компонент, головні з яких:  вивід з ладу комп’ютера та псування інформації  крадіжка інформації  клавіатурний шпигун  крадій паролів  світлини екрану  сканування та атаки на інші хости в мережі  віддалений доступ до робочого столу
РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ Протидія загрозі вимагає від установ комплексного підходу, що включає технічні та адміністративні заходи. Треба розуміти, що вони не дадуть стопроцентної гарантії, адже злочинці можуть адаптуватись та весь час покращувати можливості свого арсеналу. З іншого боку активна протидія у різний спосіб значно підвищує вартість атаки, та може змусити хакерів відмовитись від подальших дій. В таблиці нижче наведено перелік контролів, які потрібно запровадити на підприємства для профілактики BlackEnergy. Також ми рекомендуємо ознайомитись з першочерговими кроками по зниженню ризиків кібератак:  https://www.facebook.com/Kyiv.ISACA/posts/1031036870240438 № Тип контролів Заходи контролю Додаткові матеріали 1 Організаційні Призначити в установі посадову особу, відповідальну за кібернетичну безпеку. Трансформація кібер-безпеки  http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pag es/Transforming-Cybersecurity-Using- COBIT-5.aspx 2 Проводити моніторинг ресурсів, присвячених кібернетичним атакам BlackEnergy, та іншим атакам в Україні і в світі. Ресурси з безпеки:  https://ics.sans.org/blog  https://blogs.mcafee.com/category/mcafee- labs/  http://www.welivesecurity.com/expert_opinio n/more-technical/  http://www.cert.gov.ua  https://ics-cert.us-cert.gov/  http://ics-isac.org 3 Проводити тренінги з підвищення освіченості серед співробітників щодо атак соціальної інженерії. Пояснити небезпеку макросів, вбудованих в текстові редактори.  Про макро-віруси:  https://www.microsoft.com/security/portal/t hreat/macromalware.aspx  Соціальна інженерія:  http://zillya.ua/sotsialna-inzheneriya-abo- manipulyatsi-svidomistyu 4 Впровадити повноцінну програму керування  Керування ризиком АРТ
ризиком постійних атак спрямованих загроз . http://www.isaca.org/knowledge- center/research/researchdeliverables/pages/advanc ed-persistent-threats-how-to-manage-the-risk-to- your-business.aspx 5 Забезпечити наявність процедур сповіщення уповноважених державних регуляторів, правоохоронних та антитерористичних органів, команд CERT, та інших організацій вашої галузі про атаки Налагодити обмін інформацією про атаки та загрози в своїй галузі. N/A 6 Мережева безпека Інвентаризувати всі підключення до зовнішніх мереж, та ввести максимально обмежуючу політику фільтрації підключень до/від систем. Відстежувати неавторизовану появу нових сервісів та відкритих портів. Інструмент для виявлення змін:  https://digital- forensics.sans.org/blog/2010/06/24/ndiff- incident-detection Рішення багатьох виробників. Зберігати історію випадків нетипової поведінки систем. Зберігати журнали систем. 7 Ізолювати технологічні мережі від звичайних мереж, налаштувати між ними суворі правила мережевої фільтрації, побудувати профілі типового трафіку між системами та відслідковувати аномальний трафік. Запровадити окрему мережу управління для адміністрування, доступ до цієї мережі суворо обмежити.  Діоди даних  https://www.sans.org/reading- room/whitepapers/firewalls/tactical-data- diodes-industrial-automation-control- systems-36057  Ешелонований захист  https://ics-cert.us- cert.gov/sites/default/files/recommended_ practices/Defense_in_Depth_Oct09.pdf 8 Використовувати IPSEC між системами в мережі. N/A 9 Керування вразливостями Проводити тести на проникнення методами соціальної інженерії. Про тест на проникнення методами соціальної інженерії:
https://www.social-engineer.com/social-engineer- pentesting/ 10 Відстежувати наявність вразливостей у зовнішніх системах, проводити тести на проникнення. Стандарти з безпеки:  https://www.owasp.org/images/5/50/ASVS_3 _0_Ukrainian_Beta.pdf  https://www.owasp.org/images/e/e3/OWASP _Top_10_-_2013_Final_Ukrainian.pdf Рішення багатьох виробників. 11 Керувати вразливостями у внутрішніх системах та використовувати свіжі версії ПЗ.  Керування оновленнями промислових систем:  https://ics-cert.us- cert.gov/sites/default/files/recommended_ practices/RP_Patch_Management_S508 C.pdf  Керування оновленнями:  https://www.sans.org/reading- room/whitepapers/iso17799/patch- management-2064 12 Реагування на атаки Розмістити “медові пастки” в корпоративній мережі та відслідковувати спроби проникнення в них. Впровадження “медових пасток”:  https://www.sans.org/reading- room/whitepapers/detection/designing- implementing-honeypot-scada-network- 35252 13 Відстежувати зовнішні з’єднання зі ІР ТОР, відомими VPN, та іншими ІР з поганою репутацією. Забороняти ці з’єднання. Рішення багатьох виробників з репутаційної базою ІР адрес. 14 Відпрацювати процедуру реагування на інцидент, особливо збору та збереження доказів — оперативної та постійної пам’яті, мережевого трафіку. Відповідь направленим атакам  http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pag es/Responding-to-Targeted- Cyberattacks.aspx 15 Відстежувати використання служби psexec, та N/A
появу інших недокументованих служб, їх перехід із статусу “demand start” в автостарт. 16 Відстежувати випадки переповнення диску та намагання встановити неавторизоване ПЗ, бо це були елементи атак ВЕ. N/A 17 Проводити сканування систем та мережевого трафіку на відомі індикатори компрометації та аномалії. Сканери та сигнатури компрометації  https://www.bsk-consulting.de/loki-free-ioc- scanner/  https://plusvic.github.io/yara/  https://github.com/Neo23x0/Loki/blob/master/ signatures/apt_blackenergy.yar  https://www.snort.org/advisories/vrt-rules- 2014-10-21 18 Ввести облік DNS запитів в мережі. Пропускайте всі запити через корпоративний сервер імен (“split DNS”). N/A 19 Створити захищені від змін сервери збору журналів подій. Налаштувати журнали систем в мережі на чутливий рівень.  Керування журналами:  https://www.sans.org/reading- room/whitepapers/auditing/successful- siem-log-management-strategies-audit- compliance-33528  Керування журналами (2):  http://www.isaca.org/Journal/archives/201 2/Volume-1/Documents/jolv1-12-Log- management.pdf 20 Укріплення систем Ввести «білі списки» для дозволених додатків в ІТ системах. N/A 21 Усунути Microsoft Windows системи, що працюють тестовому режимі, які вразливі до завантаження непідписаних драйверів. N/A 22 Обмежити повний доступ адміністраторів до N/A
систем на постійній основі, надавати його лише на час авторизованих робіт. 23 Використовувати механізми заборони змін для критичних систем (“заморожування”). Рішення деяких виробників. 24 Блокувати підозрілі вкладення в повідомленнях електронної пошти. Рішення багатьох виробників. 25 Впровадити ієрархію адміністративних ролей. Зменшити використання адміністративних прав, особливо на машинах користувачів. Створити як мінімум два облікових запису для адміністраторів — один для користувацької активності, інший для адміністративної. Зменшити кількість адміністраторів з правами відлагодження (DebugPrivilegeSE). Аудит ролей та облікових записів:  http://www.isaca.org/knowledge- center/research/researchdeliverables/pages/i dentity-management-audit-assurance- program.aspx 26 Захистити паролі. Використовувати багатофакторну аутентифікацію, складні паролі, перезавантаження системи після використання адміністративних паролів, щоб не зберігати їх в пам’яті системи. Не використовувати той самий пароль на декількох системах (як то для службового користувача в локальній групі адміністраторів в інсталяційному образі системи). Використовувати складні алгоритми для збереження паролів (забороніть LM Hash). Керування паролями:  http://csrc.nist.gov/publications/drafts/800- 118/draft-sp800-118.pdf 27 Забезпечити ешелонований антивірусний захист за допомоою лійензійного антивірусного ПЗ та постійним оновленням сігнатур N/A 28 Запровадити плани відновлення систем у разі збоїв. Програма аудиту неперервної діяльності: https://www.isaca.org/ecommerce/Pages/Login.aspx ?ReturnUrl=%2fKnowledge- Center%2fResearch%2fDocuments%2fAudit- Programs%2fBusiness-Continuity-Management- Audit-Assurance-Program_icq_Eng_0911.doc
РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ В таблиці нижче наведено перелік заходів, які небхідно запровадити на національному рівні для протидій кіберзагрозам. Ці заходи в першу чергу призначені для відповідальних за кібербезпеку на підприємствах критичної інфраструктури. № Захід на національному рівні Додаткові матеріали 1 Проводити регулярні семінари обговорення з метою збільшення рівня освіченості та обміну досвідом. N/A 2 Створити інформаційний ресурс (портал) для публікації новин та обміну думками з питань кібербезпеки. N/A 3 Створити платформу для обміну зразками шкідливого програмного забезпечення та індикаторами компрометації . Платформа для обміну інформацією про віруси:  https://github.com/MISP Платформа для обміну інформації про загрози та атаки  https://soltra.com/ 4 Створити лабораторію зі зразками АСУ ТП критичної інфраструктури для відпрацювання методів захисту. N/A 5 Запровадити галузеві стандарти з кібернетичної безпеки.  http://energy.gov/sites/prod/files/Summary%20of%20CS% 20Standards%20Activities%20in%20the%20Energy%20S ector.pdf  http://www- pub.iaea.org/MTCD/Publications/PDF/Pub1527_web.pdf  http://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx  http://www.nist.gov/cyberframework/  https://www.isa.org/isa99/  http://isacahouston.org/documents/RedTigerSecurity- NERCCIPandotherframeworks.pdf  https://www.enisa.europa.eu/activities/Resilience-and- CIIP/critical-infrastructure-and-services/scada-industrial-
control-systems/annex-iii 6 Створити міжвідомчу робочу групу з розслідування направлених атак в Україні, об’єднати схожі випадки в єдине провадження. N/A 7 Запровадити обов’язкову оцінку ризиків на критичних об’єктах та звітування щодо результатів оцінки та плану впровадження заходів контролю
17 ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ. Перелік посилань нижче містить більш детальні огляди атак ВЕ в Україні. 1. http://cert.gov.ua/?p=2370 2. https://cys-centrum.com/ru/news/black_energy_2_3 3. https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 4. http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015- attacks-ukrainian-news-media-electric-industry/ 5. https://blogs.mcafee.com/mcafee-labs/updated-blackenergy-trojan-grows-more- powerful/ 6. https://socprime.com/en/blog/results-of-initial-investigation-and-malware-reverse- analysis-of-fire-sale-ukraine/ 7. http://www.isightpartners.com/2014/10/cve-2014-4114/

Empfohlen

Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vvAlexey Yankovski
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпекиAlexey Yankovski
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україніuisgslide
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПuisgslide
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna IvchenkoAnastasiia Konoplova
 
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Anastasiia Konoplova
 

Empfohlen

Кібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніКібер-атаки на критичну інфраструктуру в Україні
Кібер-атаки на критичну інфраструктуру в УкраїніGlib Pakharenko
 
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...
Презентація серії документів ISACA з впровадження Європейської Моделі Кібербе...Alexey Yankovski
 
Energy security v02_vv
Energy security v02_vvEnergy security v02_vv
Energy security v02_vvAlexey Yankovski
 
Настанови з кібербезпеки
Настанови з кібербезпекиНастанови з кібербезпеки
Настанови з кібербезпекиAlexey Yankovski
 
Необхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в УкраїніНеобхідність реформи галузі захисту інформації в Україні
Необхідність реформи галузі захисту інформації в Україніuisgslide
 
Актуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПАктуальні кібер-загрози АСУ ТП
Актуальні кібер-загрози АСУ ТПuisgslide
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna IvchenkoAnastasiia Konoplova
 
Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Cybersec requirements implementation by OKI (KMU 518)
Cybersec requirements implementation by OKI (KMU 518)Anastasiia Konoplova
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюкЧеркаський державний технологічний університет
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахDmytro Petrashchuk
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...IsacaKyiv
 
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Europe without barriers
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...IsacaKyiv
 
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+Shevchenko Andriy
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfssuser039bf6
 
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITMSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITDavid Marghania
 
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?KostiantynKorsun
 
L4
L4L4
L4volodimir0
 
Security
SecuritySecurity
Securityjudin
 
Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.Nikolay Shaygorodskiy
 
Golovko d
Golovko dGolovko d
Golovko dgarasym
 
бікс
біксбікс
біксЧеркаський державний технологічний університет
 
279014.pptx
279014.pptx279014.pptx
279014.pptxssuser4f37ef
 
Інформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналомІнформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналомruslanagruzd
 
інформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємстваінформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємстваАртем Доробалюк
 
Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017MariiaNosok
 
Інформаційна потужність осередків дослідження державної політики
Інформаційна потужність осередків дослідження державної політикиІнформаційна потужність осередків дослідження державної політики
Інформаційна потужність осередків дослідження державної політикиYevhen Shulha
 
Cloud orchestration risks
Cloud orchestration risksCloud orchestration risks
Cloud orchestration risksGlib Pakharenko
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestGlib Pakharenko
 

Weitere ähnliche Inhalte

Ähnlich wie Огляд атак на критичну інфраструктуру в Україні

Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахDmytro Petrashchuk
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...IsacaKyiv
 
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Europe without barriers
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...IsacaKyiv
 
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+Shevchenko Andriy
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfssuser039bf6
 
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITMSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITDavid Marghania
 
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?KostiantynKorsun
 
Security
SecuritySecurity
Securityjudin
 
Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.Nikolay Shaygorodskiy
 
Golovko d
Golovko dGolovko d
Golovko dgarasym
 
Інформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналомІнформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналомruslanagruzd
 
інформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємстваінформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємстваАртем Доробалюк
 
Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017MariiaNosok
 
Інформаційна потужність осередків дослідження державної політики
Інформаційна потужність осередків дослідження державної політикиІнформаційна потужність осередків дослідження державної політики
Інформаційна потужність осередків дослідження державної політикиYevhen Shulha
 

Ähnlich wie Огляд атак на критичну інфраструктуру в Україні (20)

Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
дисертацIя друк миронюк
дисертацIя друк миронюкдисертацIя друк миронюк
дисертацIя друк миронюк
 
Основні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установахОсновні проблеми захисту від кібератак в українських державних установах
Основні проблеми захисту від кібератак в українських державних установах
 
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
Протокол засідання відкритої наради на тему Шляхи забезпечення кібер безпеки ...
 
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
Пріоритети співпраці Україна-ЄС: кібербезпека, захсит персональних даних, про...
 
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
Пропозиції Київського відділення ISACA до проекту закону України «Про основні...
 
Incident response - CompTia CSA+
Incident response - CompTia CSA+Incident response - CompTia CSA+
Incident response - CompTia CSA+
 
Кіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdfКіберзагрози у фінансовій системі Європи та України.pdf
Кіберзагрози у фінансовій системі Європи та України.pdf
 
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMITMSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
MSI Ukraine eProcurement Deliverable 1_FINAL_Uk - SUBMIT
 
Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?Сybersecurity system in Ukraine: reality or myth?
Сybersecurity system in Ukraine: reality or myth?
 
L4
L4L4
L4
 
Security
SecuritySecurity
Security
 
Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.Lesson3 man in the information society. problems of information security.
Lesson3 man in the information society. problems of information security.
 
Golovko d
Golovko dGolovko d
Golovko d
 
бікс
біксбікс
бікс
 
279014.pptx
279014.pptx279014.pptx
279014.pptx
 
Інформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналомІнформаційне забезпечення управління персоналом
Інформаційне забезпечення управління персоналом
 
інформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємстваінформаційне забезпечення діяльності підприємства
інформаційне забезпечення діяльності підприємства
 
Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017Річний звіт Українського центру суспільних даних 2017
Річний звіт Українського центру суспільних даних 2017
 
Інформаційна потужність осередків дослідження державної політики
Інформаційна потужність осередків дослідження державної політикиІнформаційна потужність осередків дослідження державної політики
Інформаційна потужність осередків дослідження державної політики
 

Mehr von Glib Pakharenko

Cloud orchestration risks
Cloud orchestration risksCloud orchestration risks
Cloud orchestration risksGlib Pakharenko
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestGlib Pakharenko
 
State of cyber-security in Ukraine
State of cyber-security in UkraineState of cyber-security in Ukraine
State of cyber-security in UkraineGlib Pakharenko
 
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійGlib Pakharenko
 
Uisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ayUisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ayGlib Pakharenko
 
Using digital cerificates
Using digital cerificatesUsing digital cerificates
Using digital cerificatesGlib Pakharenko
 
Automating networksecurityassessment
Automating networksecurityassessmentAutomating networksecurityassessment
Automating networksecurityassessmentGlib Pakharenko
 
социальные аспекты иб V3
социальные аспекты иб V3социальные аспекты иб V3
социальные аспекты иб V3Glib Pakharenko
 
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ayIsaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ayGlib Pakharenko
 
Кому нужна защита персональных данных
Кому нужна защита персональных данныхКому нужна защита персональных данных
Кому нужна защита персональных данныхGlib Pakharenko
 
Copy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored editionCopy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored editionGlib Pakharenko
 
Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored editionGlib Pakharenko
 

Mehr von Glib Pakharenko (20)

Cloud orchestration risks
Cloud orchestration risksCloud orchestration risks
Cloud orchestration risks
 
Top mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentestTop mistakes that allows to make a successful pentest
Top mistakes that allows to make a successful pentest
 
State of cyber-security in Ukraine
State of cyber-security in UkraineState of cyber-security in Ukraine
State of cyber-security in Ukraine
 
Fintech security
Fintech securityFintech security
Fintech security
 
Кращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологійКращі практики керування ризиками хмарних технологій
Кращі практики керування ризиками хмарних технологій
 
Uisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ayUisg5sponsorreport eng v03_ay
Uisg5sponsorreport eng v03_ay
 
Uisg5sponsorreport
Uisg5sponsorreportUisg5sponsorreport
Uisg5sponsorreport
 
Using digital cerificates
Using digital cerificatesUsing digital cerificates
Using digital cerificates
 
Abra pocket office
Abra pocket officeAbra pocket office
Abra pocket office
 
Utm
UtmUtm
Utm
 
Automating networksecurityassessment
Automating networksecurityassessmentAutomating networksecurityassessment
Automating networksecurityassessment
 
социальные аспекты иб V3
социальные аспекты иб V3социальные аспекты иб V3
социальные аспекты иб V3
 
Uisg opening
Uisg openingUisg opening
Uisg opening
 
Pentest requirements
Pentest requirementsPentest requirements
Pentest requirements
 
Kke
KkeKke
Kke
 
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ayIsaca kyiv chapter_2010_survey_finding_summary_v07_ay
Isaca kyiv chapter_2010_survey_finding_summary_v07_ay
 
Uisg companies 4
Uisg companies 4Uisg companies 4
Uisg companies 4
 
Кому нужна защита персональных данных
Кому нужна защита персональных данныхКому нужна защита персональных данных
Кому нужна защита персональных данных
 
Copy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored editionCopy of Кому нужна защита персональных данных censored edition
Copy of Кому нужна защита персональных данных censored edition
 
Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition Кому нужна защита персональных данных censored edition
Кому нужна защита персональных данных censored edition
 

Огляд атак на критичну інфраструктуру в Україні

  • 1. ОГЛЯД АТАК НА КРИТИЧНУ ІНФРАСТРУКТУРУ В УКРАЇНІ, ТА РЕКОМЕНДАЦІЇ ЩОДО ЗАХОДІВ КОНТРОЛЮ Версія: 2016-02-11
  • 2. 2 Про ISACA® Об’єднуючи більше 115 000 членів у 180 країнах світу, ISACA (www.isaca.org) допомагає лідерам у сфері управління, інформаційної безпеки та інформаційних технологій забезпечувати корисність і довіру до інформації та інформаційних систем. Із часу заснування асоціації у 1969 році ISACA є надійним джерелом знань, стандартів, співробітництва та підвищення кваліфікації для фахівців у галузі аудиту, підтвердження достовірності, безпеки, управління ризиками, забезпечення конфіденційності та управління інформаційними системами. ISACA пропонує фахівцям із кібербезпеки широкий набір ресурсів Cybersecurity Nexus™ і настанови COBIT®1, що допомагають організаціям в управлінні та контролі за інформацією та технологіями. Асоціація також розвиває та підтверджує найбільш важливі для бізнесу навички та знання, поширюючи сертифікації,що визнаються у міжнародному масштабі: CISA®2, CISM®3, CGEIT®4іCRISC™5. ISACA має понад 200 відділень по всьому світу. Про ГО «Ісака Київ» ГО «Ісака Київ» є київським відділенням ISACA, і ставить за мету розповсюдження знань та кращих світових практик в Україні, а також створення майданчика для незаангажованого спілкування професіоналів. Відділення в Україні наразі об’єднує біля 100 ІТ професіоналів. Управління асоціацією провадиться не заангажовано по відношенню до будь-яких комерційних інтересів. Місією Київського відділення ISACA є просування та запровадження зрілих процесів ІТ- управління в Україні заради забезпечення довіри користувачів та організацій до надійності інформаційних систем та їхньої цінності. Напрацювання та експертиза мережі більш ніж 200 відділень ISACA у всьому світі дозволить залучити досвід країн із набагато більш розвиненою культурою ІТ управління та кібербезпеки. Київське відділення ISACA ставить за мету забезпечити розвиток української професійної ІТ спільноти та забезпечити можливість незаангажованого спілкування між фахівцями як ІТ так і бізнесового середовища. Обмеження відповідальності Публікація підготовлена Глібом Пахаренко за сприяння ГО “ІСАКА Київ”, який розробив та опублікував цей документ, насамперед як освітній ресурс для фахівців із аудиту, корпоративного управління, управління ризиками та безпеки. Асоціація не стверджує, що використання цього документу гарантуватиме отримання успішних результатів. Документ не слід розглядати як такий, що містить усю достатню інформацію, процедури та тести. При визначенні доцільності застосування будь-якої інформації, процедури або тесту фахівці з аудиту, корпоративного управління, управління ризиками та захисту інформації повинні керуватися власними професійними судженнями щодо конкретних обставин в умовах існуючих систем або середовища інформаційних технологій. 1 COBIT® (Control Objectives for Information and Related Technologies) –Цілі контролю для інформаційних і суміжних технологій. 2 CISA® (CertifiedInformationSystemsAuditor) – сертифікований аудитор інформаційних систем. 3 CISM® (CertifiedInformationSecurityManager) – сертифікований менеджер з інформаційної безпеки. 4 CGEIT® (Certified in the Governance of Enterprise IT) – сертифікований фахівець з управління корпоративними ІТ. 5 CRISC™ (CertifiedinRiskandInformationSystemsControl) – сертифікований фахівець у галузі ризиків іконтролю інформаційних систем.
  • 3. 3 Збереження прав інтелектуальної власності. Цей документ є власністю ГО «Ісака Київ». Використання та відтворення цього документу та його частин дозволяється за умови посилання на ГО «Ісака Київ» . Учасники створення публікації. В табличці нижче перелічені учасники створення публікації та їх внесок. Учасник Роль Гліб Пахаренко, CISA, CISSP Автор Олексій Янковський Рецензент Анастасія Конопльова, CISA Рецензент
  • 4. 4 Зміст ПЕРЕДМОВА......................................................................................................................................4 ТЕРМІНИ ТА СКОРОЧЕННЯ..........................................................................................................5 ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК...........................................................................................6 ОГЛЯД АТАК.......................................................................................................................................8 Використання соціальної інженерії..........................................................................................8 Недостатні дії з усунення та профілактики інцидентів .......................................................8 Використання невідомих вразливостей (нульвого-дня) .....................................................8 Обізнаність про внутрішню інфраструктуру ІТ......................................................................9 Обхід механізмів захисту операційної системи....................................................................9 Модульна структура ....................................................................................................................9 РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ...........................................10 РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ.......................................................................................................................................15 ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ. ..............................................................................................17 ПЕРЕДМОВА Починаючи з 2014р. українські організації захлинула хвиля спрямованих кібернетичних атак, найбільшим документованим збитком від яких є кількагодинне вимикання електричного живлення в західному регіоні України (абонентів Прикарпаттяобленерго). Окрім енергетичного сектору, цілями зловмисників були підприємства транспортної, фінансової, телекомунікаційної, медіа галузей та державних органів. Характерними ознаками цих недружніх дій в кіберпросторі є поетапне захоплення та вивчення ІТ інфраструктури і методів захисту постраждалих організацій та непередбачувані у часі дії по зупиненню бізнес-діяльності установи, аж до катастрофічних наслідків. Цим ці атаки відрізняються від звичайних дій кібернетичних зловмисників, направлених на крадіжку конфіденційних даних чи їх модифікацію з метою отримання фінансових зисків. За оцінкою аналітиків антивірусних компаній (ESET, McAfee, TrendMicro, F-Secure, і т.д.) за частиною атак стоїть керівництво Російської Федерації, що відпрацювало кібератаки у військових та політичних конфліктах з Грузією та Естонією у 2007-2008рр., і тепер активно використовує їх у конфлікті з Україною. Один із видів шкідливого програмного забезпечення, що використовувалося, носить загальну назву BlackEnergy (“ЧорнаЕнергія” - укр., ВЕ - скорочено). За період свого існування цей вірус постійно змінювався та покращувався з точки зору його зловмисних можливостей, і наразі виявлена вже 3-тя генерація BlackEnergy. Ця публікація узагальнює відомі дані з відкритих джерел та пропонує план дій для зниження ризиків від кібернетичних атак на критичну інфраструктуру насамперед від ВЕ. Вона буде корисна особам всіх рівнів повноважень, відповідальним за безпеку підприємства, починаючи від його керівництва і закінчуючи адміністраторами автоматизованих систем керування технічними процесами. Регулятори можуть взяти цю публікацію за основу своїх рекомендацій та галузевих стандартів.
  • 5. 5 ТЕРМІНИ ТА СКОРОЧЕННЯ В таблиці нижче наведено перелік термінів та скорочень, що використовуються в документі. Black Energy, BE BlackEnergy APT Спрямовані Постійні Загрози ШПЗ Шкідливе Програмне Забезпечення ІР Інтернет адреса
  • 6. 6 ОГЛЯД ПОТЕНЦІЙНИХ ЦІЛЕЙ АТАК В таблиці нижче наводиться історія інцидентів з переліком їх впливу на організацію та технічними особливостями. Інформація зібрана з відкритих джерел, її достовірність залежить від надійності джерела та не перевірялась. Рекомендації в наступних секціях документу підготовлені виходячи з аналізу цих атак. № Установа Період часу Наслідки для організацій 1 МЗС України 2012 Інформація відсутня. 2 Посольство України в США 2012 Інформація відсутня. 3 Укрзалізниця 2014 Інформація відсутня. 4 Головний Інформаційно Комунікаційний та Науково Виробничий Центр Дніпропетровської ОДА. 2014 Можливо саме з цією атакою пов’язаний витік інформації з Дніпропетровської ОДА, що опублікувало угруповання “Кібер Беркут”. 5 Тернопільська облдержадміністрація 2014 Інформація відсутня. 6 Закарпатська облдержадміністрація 2014 Інформація відсутня. 7 Дніпропетровська облдержадміністрація 2014 Інформація відсутня. 8 Миколаївська облдержадміністрація 2014 Інформація відсутня. 9 Державний архів Чернівецької області 2014 Інформація відсутня. 10 Центральний державний кінофотоархів України імені Г. С. Пшеничного 2014 Інформація відсутня. 11 ТРК “Україна” Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів. 12 СТБ 2015 Ймовірно знищення відеоматеріалів, виведення з ладу робочих місць та серверів. 13 Бердянська міська рада 2015 Інформація відсутня. 14 Міжнародні авіалінії України 2015 Інформація відсутня.
  • 7. 7 15 Хмельницькобленерго 2015 Інформація відсутня. 16 Укренерго 2015 Інформація відсутня. 17 Прикарпаттяобленерго 2015 Вимкнення живлення в абонентів Прикарпаттяобленерго 18 Чернівціобленерго 2015 Інформація відсутня. 19 Київобленерго 2015 Інформація відсутня.
  • 8. 8 ОГЛЯД АТАК Хоча кожна з атак і має особливості, можна виділити наступні загальні спільні риси: Використання соціальної інженерії Майже у всіх випадках хакери застосовували соціальну інженерію з метою ввести користувача в оману та змусити виконати дії з вимикання системи захисту. Приклад1. Обхід налаштувань безпеки офісного пакету. Зазвичай, в офісному пакеті Майкрософт вимкнена можливість запуску вбудованого в документи активного змісту. Нападники мотивували користувача ввімкнути виконання вбудованих в файл макросів, що дозволяло успішне проникнення в мережу. Приклад2. Крадіжка паролів системного адміністратора. Окремі модулі ШПЗ при запуску перевіряли, чи достатньо в них привілеїв, і якщо їх не вистачало, то виводили частково з ладу комп’ютер, щоб змусити користувача покликати адміністратора та запустити програму з підвищеними правами. Недостатні дії з усунення та профілактики інцидентів Масштаб зараження та наслідки атак можна було зменшити, у разі якщо б діяли важливі елементи кібербезпеки:  ізоляція технологічних та продуктивних мереж. На окремих об’єктах це дозволило би не переривати критичні послуги, навіть після знищення частини інфраструктури.  детальний аналіз систем після інцидентів. Окремі установи постраждали від перших атак, але не провели детального розслідування. Частково цифрові докази були знищені через неправильні дії служби інформаційних технологій установи після інциденту.  виявлення систем, які мають індикатори зараження. Шкідливе програмне забезпечення (ШПЗ) керувалось в окремих організаціях з відомих контрольних центрів. Адміністратори не помічали перехід систем в тестовий режим, після завантаження високопривільованих компонент ВЕ. Використання невідомих вразливостей (нульового дня) В деяких атаках зловмисники використовували ще невідомі атаки (нульового дня). Це поєднувалось з елементами соціальної інженерії, що змушували користувача відкрити
  • 9. 9 файл (довірена адреса відправника, актуальна тема повідомлення). Обізнаність про внутрішню інфраструктуру ІТ Зловмисники демонстрували детальне знання внутрішньої ІТ інфраструктури організації, щоб адаптувати та максимально ефективно використовувати ШПЗ. Це включало налаштування проксі-серверів, назви доменів, і т.д. Обхід механізмів захисту операційної системи Для підвищення привілеїв, прихованого виконання та закріплення в системі модулі ШПЗ використовували:  механізм сумісності Microsoft Windows (Windows Application Compatibility Infrastructure, Shims Infrastructure), щоб обійти механізм контролю доступу користувача. Якби адміністратори систем своєчасно виявляли нестандартні налаштування сумісності, то це б дозволили виявити атаку.  переведення систем у тестовий режим, що дозволяло завантаження непідписаних компонент ядра системи. Якби адміністратори систем своєчасно виявляли раптову появу такого режиму в системі, це дозволило б виявити атаку.  використання вразливої версії програми віртуалізації VirtualBox для завантаження непідписаних драйверів. Модульна структура ШПЗ використовувало багато різних компонент, головні з яких:  вивід з ладу комп’ютера та псування інформації  крадіжка інформації  клавіатурний шпигун  крадій паролів  світлини екрану  сканування та атаки на інші хости в мережі  віддалений доступ до робочого столу
  • 10. РЕКОМЕНДАЦІЇ ЗІ ЗНИЖЕННЯ РИЗИКІВ ДЛЯ ОРГАНІЗАЦІЙ Протидія загрозі вимагає від установ комплексного підходу, що включає технічні та адміністративні заходи. Треба розуміти, що вони не дадуть стопроцентної гарантії, адже злочинці можуть адаптуватись та весь час покращувати можливості свого арсеналу. З іншого боку активна протидія у різний спосіб значно підвищує вартість атаки, та може змусити хакерів відмовитись від подальших дій. В таблиці нижче наведено перелік контролів, які потрібно запровадити на підприємства для профілактики BlackEnergy. Також ми рекомендуємо ознайомитись з першочерговими кроками по зниженню ризиків кібератак:  https://www.facebook.com/Kyiv.ISACA/posts/1031036870240438 № Тип контролів Заходи контролю Додаткові матеріали 1 Організаційні Призначити в установі посадову особу, відповідальну за кібернетичну безпеку. Трансформація кібер-безпеки  http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pag es/Transforming-Cybersecurity-Using- COBIT-5.aspx 2 Проводити моніторинг ресурсів, присвячених кібернетичним атакам BlackEnergy, та іншим атакам в Україні і в світі. Ресурси з безпеки:  https://ics.sans.org/blog  https://blogs.mcafee.com/category/mcafee- labs/  http://www.welivesecurity.com/expert_opinio n/more-technical/  http://www.cert.gov.ua  https://ics-cert.us-cert.gov/  http://ics-isac.org 3 Проводити тренінги з підвищення освіченості серед співробітників щодо атак соціальної інженерії. Пояснити небезпеку макросів, вбудованих в текстові редактори.  Про макро-віруси:  https://www.microsoft.com/security/portal/t hreat/macromalware.aspx  Соціальна інженерія:  http://zillya.ua/sotsialna-inzheneriya-abo- manipulyatsi-svidomistyu 4 Впровадити повноцінну програму керування  Керування ризиком АРТ
  • 11. ризиком постійних атак спрямованих загроз . http://www.isaca.org/knowledge- center/research/researchdeliverables/pages/advanc ed-persistent-threats-how-to-manage-the-risk-to- your-business.aspx 5 Забезпечити наявність процедур сповіщення уповноважених державних регуляторів, правоохоронних та антитерористичних органів, команд CERT, та інших організацій вашої галузі про атаки Налагодити обмін інформацією про атаки та загрози в своїй галузі. N/A 6 Мережева безпека Інвентаризувати всі підключення до зовнішніх мереж, та ввести максимально обмежуючу політику фільтрації підключень до/від систем. Відстежувати неавторизовану появу нових сервісів та відкритих портів. Інструмент для виявлення змін:  https://digital- forensics.sans.org/blog/2010/06/24/ndiff- incident-detection Рішення багатьох виробників. Зберігати історію випадків нетипової поведінки систем. Зберігати журнали систем. 7 Ізолювати технологічні мережі від звичайних мереж, налаштувати між ними суворі правила мережевої фільтрації, побудувати профілі типового трафіку між системами та відслідковувати аномальний трафік. Запровадити окрему мережу управління для адміністрування, доступ до цієї мережі суворо обмежити.  Діоди даних  https://www.sans.org/reading- room/whitepapers/firewalls/tactical-data- diodes-industrial-automation-control- systems-36057  Ешелонований захист  https://ics-cert.us- cert.gov/sites/default/files/recommended_ practices/Defense_in_Depth_Oct09.pdf 8 Використовувати IPSEC між системами в мережі. N/A 9 Керування вразливостями Проводити тести на проникнення методами соціальної інженерії. Про тест на проникнення методами соціальної інженерії:
  • 12. https://www.social-engineer.com/social-engineer- pentesting/ 10 Відстежувати наявність вразливостей у зовнішніх системах, проводити тести на проникнення. Стандарти з безпеки:  https://www.owasp.org/images/5/50/ASVS_3 _0_Ukrainian_Beta.pdf  https://www.owasp.org/images/e/e3/OWASP _Top_10_-_2013_Final_Ukrainian.pdf Рішення багатьох виробників. 11 Керувати вразливостями у внутрішніх системах та використовувати свіжі версії ПЗ.  Керування оновленнями промислових систем:  https://ics-cert.us- cert.gov/sites/default/files/recommended_ practices/RP_Patch_Management_S508 C.pdf  Керування оновленнями:  https://www.sans.org/reading- room/whitepapers/iso17799/patch- management-2064 12 Реагування на атаки Розмістити “медові пастки” в корпоративній мережі та відслідковувати спроби проникнення в них. Впровадження “медових пасток”:  https://www.sans.org/reading- room/whitepapers/detection/designing- implementing-honeypot-scada-network- 35252 13 Відстежувати зовнішні з’єднання зі ІР ТОР, відомими VPN, та іншими ІР з поганою репутацією. Забороняти ці з’єднання. Рішення багатьох виробників з репутаційної базою ІР адрес. 14 Відпрацювати процедуру реагування на інцидент, особливо збору та збереження доказів — оперативної та постійної пам’яті, мережевого трафіку. Відповідь направленим атакам  http://www.isaca.org/Knowledge- Center/Research/ResearchDeliverables/Pag es/Responding-to-Targeted- Cyberattacks.aspx 15 Відстежувати використання служби psexec, та N/A
  • 13. появу інших недокументованих служб, їх перехід із статусу “demand start” в автостарт. 16 Відстежувати випадки переповнення диску та намагання встановити неавторизоване ПЗ, бо це були елементи атак ВЕ. N/A 17 Проводити сканування систем та мережевого трафіку на відомі індикатори компрометації та аномалії. Сканери та сигнатури компрометації  https://www.bsk-consulting.de/loki-free-ioc- scanner/  https://plusvic.github.io/yara/  https://github.com/Neo23x0/Loki/blob/master/ signatures/apt_blackenergy.yar  https://www.snort.org/advisories/vrt-rules- 2014-10-21 18 Ввести облік DNS запитів в мережі. Пропускайте всі запити через корпоративний сервер імен (“split DNS”). N/A 19 Створити захищені від змін сервери збору журналів подій. Налаштувати журнали систем в мережі на чутливий рівень.  Керування журналами:  https://www.sans.org/reading- room/whitepapers/auditing/successful- siem-log-management-strategies-audit- compliance-33528  Керування журналами (2):  http://www.isaca.org/Journal/archives/201 2/Volume-1/Documents/jolv1-12-Log- management.pdf 20 Укріплення систем Ввести «білі списки» для дозволених додатків в ІТ системах. N/A 21 Усунути Microsoft Windows системи, що працюють тестовому режимі, які вразливі до завантаження непідписаних драйверів. N/A 22 Обмежити повний доступ адміністраторів до N/A
  • 14. систем на постійній основі, надавати його лише на час авторизованих робіт. 23 Використовувати механізми заборони змін для критичних систем (“заморожування”). Рішення деяких виробників. 24 Блокувати підозрілі вкладення в повідомленнях електронної пошти. Рішення багатьох виробників. 25 Впровадити ієрархію адміністративних ролей. Зменшити використання адміністративних прав, особливо на машинах користувачів. Створити як мінімум два облікових запису для адміністраторів — один для користувацької активності, інший для адміністративної. Зменшити кількість адміністраторів з правами відлагодження (DebugPrivilegeSE). Аудит ролей та облікових записів:  http://www.isaca.org/knowledge- center/research/researchdeliverables/pages/i dentity-management-audit-assurance- program.aspx 26 Захистити паролі. Використовувати багатофакторну аутентифікацію, складні паролі, перезавантаження системи після використання адміністративних паролів, щоб не зберігати їх в пам’яті системи. Не використовувати той самий пароль на декількох системах (як то для службового користувача в локальній групі адміністраторів в інсталяційному образі системи). Використовувати складні алгоритми для збереження паролів (забороніть LM Hash). Керування паролями:  http://csrc.nist.gov/publications/drafts/800- 118/draft-sp800-118.pdf 27 Забезпечити ешелонований антивірусний захист за допомоою лійензійного антивірусного ПЗ та постійним оновленням сігнатур N/A 28 Запровадити плани відновлення систем у разі збоїв. Програма аудиту неперервної діяльності: https://www.isaca.org/ecommerce/Pages/Login.aspx ?ReturnUrl=%2fKnowledge- Center%2fResearch%2fDocuments%2fAudit- Programs%2fBusiness-Continuity-Management- Audit-Assurance-Program_icq_Eng_0911.doc
  • 15. РЕКОМЕНДАЦІЇ З ПРОТИДІЇ ЗАГРОЗІ ДЛЯ РЕГУЛЯТОРІВ ТА ГАЛУЗЕВИХ АСОЦІАЦІЙ В таблиці нижче наведено перелік заходів, які небхідно запровадити на національному рівні для протидій кіберзагрозам. Ці заходи в першу чергу призначені для відповідальних за кібербезпеку на підприємствах критичної інфраструктури. № Захід на національному рівні Додаткові матеріали 1 Проводити регулярні семінари обговорення з метою збільшення рівня освіченості та обміну досвідом. N/A 2 Створити інформаційний ресурс (портал) для публікації новин та обміну думками з питань кібербезпеки. N/A 3 Створити платформу для обміну зразками шкідливого програмного забезпечення та індикаторами компрометації . Платформа для обміну інформацією про віруси:  https://github.com/MISP Платформа для обміну інформації про загрози та атаки  https://soltra.com/ 4 Створити лабораторію зі зразками АСУ ТП критичної інфраструктури для відпрацювання методів захисту. N/A 5 Запровадити галузеві стандарти з кібернетичної безпеки.  http://energy.gov/sites/prod/files/Summary%20of%20CS% 20Standards%20Activities%20in%20the%20Energy%20S ector.pdf  http://www- pub.iaea.org/MTCD/Publications/PDF/Pub1527_web.pdf  http://www.nerc.com/pa/Stand/Pages/CIPStandards.aspx  http://www.nist.gov/cyberframework/  https://www.isa.org/isa99/  http://isacahouston.org/documents/RedTigerSecurity- NERCCIPandotherframeworks.pdf  https://www.enisa.europa.eu/activities/Resilience-and- CIIP/critical-infrastructure-and-services/scada-industrial-
  • 16. control-systems/annex-iii 6 Створити міжвідомчу робочу групу з розслідування направлених атак в Україні, об’єднати схожі випадки в єдине провадження. N/A 7 Запровадити обов’язкову оцінку ризиків на критичних об’єктах та звітування щодо результатів оцінки та плану впровадження заходів контролю
  • 17. 17 ДОДАТОК. ПЕРЕЛІК ПОСИЛАНЬ. Перелік посилань нижче містить більш детальні огляди атак ВЕ в Україні. 1. http://cert.gov.ua/?p=2370 2. https://cys-centrum.com/ru/news/black_energy_2_3 3. https://www.f-secure.com/documents/996508/1030745/blackenergy_whitepaper.pdf 4. http://www.welivesecurity.com/2016/01/03/blackenergy-sshbeardoor-details-2015- attacks-ukrainian-news-media-electric-industry/ 5. https://blogs.mcafee.com/mcafee-labs/updated-blackenergy-trojan-grows-more- powerful/ 6. https://socprime.com/en/blog/results-of-initial-investigation-and-malware-reverse- analysis-of-fire-sale-ukraine/ 7. http://www.isightpartners.com/2014/10/cve-2014-4114/