Дмитрий Хомутов
Заместитель директора по развитию в Ideco
  • Видео
  • Аудио
  • Файлы
  • Тезисы
  • Видео
  • Аудио
  • Файлы
Код ИБ 2020 | Алматы
27 февраля 2020, Алматы, Казахстан
Код ИБ 2020 | Алматы
Запросить Q&A
Видеозапись
Как устранить ТОП-10 уязвимостей сетевой защиты
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
В избранное
13
Мне понравилось 0
Мне не понравилось 0
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
  • Описание
  • Расшифровка
  • Обсуждение

О спикере

Дмитрий Хомутов
Заместитель директора по развитию в Ideco

О докладе

Тематика: Информационная безопасность

1. Исследование безопасности в российских компаниях

2. Как мы его проводили

3. Что разрешено, а что запрещено

4. Как используется интернет-канал?

5. Что делать?

6. Реальные результаты

Поделиться

Здравствуйте коллеги Меня зовут компания итеко Мы из Екатеринбурга также как компания expiring Эдуард будет мне помогать это наш пользователь в республике Казахстан Burger King соответственного сейчас а этот основная тема моего доклада это как можно защитить его периметр ответ потому что 90% современных угроз приходят к нам от сайтов как уже говорили предыдущие спикера компания Деко представлюсь мы находимся в Екатеринбурге в 2005 развиваем решение для развития сетевых инфраструктур защиты сетевого периметра изначально уже в 2005 году мы его развивали на основе Linux у нас достаточно

большая Кама инфицированных как бывших системных администраторов также разработчиков под Linux я сам долгое время работал системным администратором И специалистам пойти и руководителям АйТи отдела компаниях Мы также всегда активно взаимодействуем с нашими пользователями Как в России так и в Казахстане там на следующем слайде вы увидите как их много соответственно очень быстро реализуем какие-то доработки там наши продакт-менеджера менеджеры по работе с продуктом это всё быстро планирует И развиваем решение если вам известен продукт kerio Control

мы достаточно сильно на него похоже тоже межсетевой экран современные под Linux но развиваем его гораздо быстрее и надеюсь там скоро обгоним и перегоним всех в республике Казахстан помимо Burger King нас уже используют такие большие компании как арселора металл Генеральная прокуратура Республики Казахстан управле президента Республики Казахстан вот на с нами с Екатеринбурга приехала егорушин немногие знакомы уже и на стенде можете ещё познакомиться он соответственно работ со многими этими компаниями всегда наши клиенты готовы дать

references как положительных так же может быть каких-то отрицательных вопросов мы никогда этого не боимся и стремимся того как можно быстрее оказывать этих девушку в каких-то сложных ситуациях иду я исправлять продукт если всё-таки что-то найдено в 2019 году мы запустили Бесплатный сервис по проверке Web Security apteka.ru поскольку Мы заметили что для многих особенно там руководитель АйТи отдела тем более руководителя организации не очевидно насколько уровень их сети от угроз хорошо

осуществляется то есть проблема в том что какие-то средства по защите всего периметра везде и внедрены там но в любом случае Вы выходите в сеть через кого-то межсетевой экран или Роутер у нас 15 вроде бы какая-никакая защита есть И насколько она эффективна проверить сложно это можно там проверить различными методами аудита сети но достаточно сложные мы сделали простой ideco Security сайт собственно Security точка еда которую вы все можете этом Когда вернетесь на свои рабочие места и свои локальные сети запустить его и он осуществляет

ряд проверок сегодня уже говорилось что даже на сайтах каких-то государственных ведомств Казахстана к примеру были ссылки на порнографические сайты вот у нас нечто вроде такое Но это специально проверяется если доступ компьютера на сайте 15 потенциально опасных категории доступа когда местными потенциально опасным сайтам возможность прохождения вирусного трафика и ряд дополнительных проверок Одно из самых интересных Это проверка почтового адреса которые там можно оставить и проверить его если он в базе злоумышленников несколько баз

хакеров агрегируются в них больше 7 млрд адресов это как логины пароли к вашей непосредственно почти так и логины пароли которые выйдут в каких-то сервисах оставляли собственно злоумышленники их там купаю друг у друга воруют иногда даже друг у друга составляют огромные базы тоже сегодня уже спикеры упоминали что часто они не пытаются заменить пароль на вашем аккаунте а наоборот его подключать систему VIP все данные воруют постоянно соответственно наш сервис проверит и скажет Какие пароли в этой базе есть к вашим аккаунтом Также

вы получите информацию о скачанных торрентах также есть Ну если вы используете систему которая не ведёт подробное логирование Вы можете не знать используют в пример uTorrent или вы используете Катя простой межсетевой экран там не знаю MikroTik на нём заблокировать торрента невозможно и тут но может быть у вас пользователей к примеру настолько там вам достаточно в инструкции какой-то что там торренты Запрещённый в никто не будет использовать соответственно Здесь вы увидите так ли это на самом деле Ну проверить по чёрным списком айпи адресов Если вы там скорее всего

значит какой-то вот нет использует вашу сеть и открытые порты и ответы сервисов на внешнем интерфейсе тоже интересно даже не столько открытые порты потому что вы публикуете какие-то свои там CRM и erp системы в почту Это нормально что будут какие-то порты открыты но иногда системный администратор при настройках может ошибиться и примеру ответы портов используемое по и его версию это очень опасно В современных условиях поскольку сервисы я там чёрные поисковики типа shatana постоянно сканирует весь пиво 4 адресов пополняют свои базы данных

и когда вымышленных найдёт уязвимость в каком-нибудь сервисе Microsoft определенной версии к примеру злоумышленники атакуют все сразу в мире Одеваемся это инструменты для этого есть фактически даже там и в даркнете и использовать их может любой школьник то есть там все эти поисковики позволяют эти айпи адреса выгружать vcf файл на питоне написать скрипт купить эксплойты атаковать Сразу всех собственной целевые атаки тоже один избить бичей современного интернета то что даже может быть до конкретной организации непосредственно хакерским группировкам дела не будет но

они атакуют все уязвимые соответственно Здесь вы увидите насколько системный администратор грамотно настроил сервисы что нет ничего лишнего публика О чём вы не знаете ешь О чём говорят эти сервисы в результате мы получили следующему такую картину в основном анализировались сети в России но так в странах СНГ Где моё присутствие соответственно доступ к сайтам потенциально опасным категориям за такие как интернет казино порнографические сайты сайты фишинговые не блокировались в 97% случаях почему это

опасно мы тут расскажем как подругу подробнее попозже и устаревшие акула которая как раз мы могли выявить ответом сервисов используются к примеру шлюза на операционной системе Windows 12% случаях часто Microsoft tmg либо популярные решения там usergate Proxy & Firewall инспектор тоже kerio winroute Firewall они работают годами И от тех же а так подобных ванна край который используют уязвимости самой операционной они никак Не защищены Ну и они не поддерживаются своими производителями включая Microsoft на самом деле я могу

немного добавить самим относительно перехода на РДК Microsoft tmg продукции пройдя предыдущий тест на одном слайде Вы получили картину очень такую красненькую по всем параметрам на самом деле Хотя продукт был настроен изначально с помощью партнера Microsoft Да но ещё Дело в том что конечно интернет меняется то есть когда-то настроена эти продукты к примеру все сайты были по http общее количество сайтов тоже не превышала там не исчислялось сотнями миллионов точно Тогда не может быть обеспечивали должен

уровень защиты сейчас это уже не так если говорить о нашей базе к примеру контента фильтрации там больше 500 млн Урал они постоянно обновляются есть раньше когда-то когда там я тоже работал системным администратором можно было вести свои списки каких-то сайтов плохих категории их там не знаю раз в неделю обновлять сейчас это уже делается технологиями только машинного обучения искусственного интеллекта потому что сайты особенно порнографические используют новые домены буквально каждый день и ещё один из аспектов этих проблем то что до 40%

трафика в сетях активных мы обнаружили что они являются по сути паразитными то сюда большая часть наполовину это фактически это торренты по 2 по сети 17% 8% трафика это трафик рекламных сетей баннеров и аналитических систем Когда Вы заходите на какой-нибудь портал новостной фактически там любой и если вы откроете консоль браузера то посмотрите что там на несколько обращений к этому приходятся десятки иногда обращений к различным политическим системам банным сетям и так далее которые собственно собирают опять же данные по

пользователям чтобы ему там таргетированную рекламу как можно лучше показывать развлекательные новости компьютерные игры и так далее То есть там интернет-канал Практически только в половину силы используются по назначению в среднем Выбери несколько проблем проблема номер один собственно с которой часто сталкиваются пользователи что как бы мы ни расширяли интернет-канал У нашего провайдера там платят всё Ему больше всё равно можем столкнуться с ситуациями когда Skype конференция в директора тормозит хотя и непонятно кто использует трафик потому что кинь торрент клиенты

используют хоть там гигабитный интернет каналы его займут весь и соответственно мы получаем медленное нестабильный интернет до рабочих ресурсов вторая проблема современного интернета тоже которые там может быть там 10-15 лет назад была не столь Актуально это кража времени мы тут говорим большая кража информации тут к этому тоже перейдём но такой есть Аспект что да вы сейчас каждый пользователь если там захотел там не работать может открыть свой мобильный телефон открыть там соцсети и всё такое то есть по работе использовать пойти на кухню пить чай

курить и так далее но есть такой Аспект проблемы Что на всех порталах на всех сайтах которые в том числе по работе используются вот этот примеру скриншотом Яндекс Дзен который по умолчанию на главной страницы используется очень много рекламы которая приводит к гаражу времени гараже времени кража внимания и кражи мотивации пользователю показывается реклама специальным образом сформулированное Он даже хочет сделать Ну выполнять работу но отвлекается любое отвлечение даже на одну минуту приводит к тому что чтобы

сосредоточиться на задаче нужно до 20 минут по исследованиям психологов соответственно Даже те кто хотел работать они много теряют времени на отключение то есть такой собственно одна из крашусь крашусь уже не информация рабочего времени вашего ваших сотрудников даже мотивированных на работу 3 проблема с которой тоже Эдуард как я понимаю столкнулся с тем что почему не решаются То есть все об этом знают конечно там системные администраторы там руководителя не переходят на новое решение и до последнего используют старые часто это вообще

отсутствие нехватка компетенции специалистов по информационной безопасности особенно федеральных структурах когда там администраторов ограниченное число вынуждена администрировать нам огромную vercetti распределённое часто нет времени и опыта для работы с новыми нет бюджета на информационную безопасность вот в России это актуально тем что там у 90% компаний бюджетное б это включает в себя только антивируса то есть ну всех в целом приучили что без антивируса нельзя Это хорошо одобряет там бухгалтерия финансовую структуру директора

уже что-то больше И вот тут есть некий разрыв о чём мы говорим с коллегами на конференции автомате scm система в песочницах каким-то там еще более развитой системой фильтрации трафика и защиты от угроз А по факту и многие Там просто антивирус который обеспечивает защиту В современных условиях и те же там вирусы типа ванна края вполне проходили антивирус поскольку тот же там сервисы virustotal на него все злоумышленники загружают новый вирус и чтобы проверить что некая эвристическая проверка антивирусов их не понимает если ловят соответственно и вносят

изменения до победного конца собственной ванной край Штатов был загружен за два месяца до атаки и соответственно всем всеми антивирусами проверим что он Безопасен тут может быть да Эдуард антивирусы Я думаю мы все используем это чтобы есть бюджетные что-то есть более рациональные решения мы Их использовали не только в качестве фильтрации вирусов моих пытались использовать и в качестве Федерации в качестве фильтрации приложений Да они в какой-то мере Работают но Давайте будем честными нам ничто не заменит на самом деле нормальную контенту инфильтрацию

возобновляемыми списками плюс у нас есть вирусы Наши Любимые которые используют интернет каналы просто для зарабатывания денег причём антивирусы как Дмитрий говорит вона край ещё есть большой на самом деле очень рад антивирусов который вирусов изменился которые антивирусы не увидят пока не будет поздно возможно просто никогда не увидят Да ну собственно потому что злоумышленники опять же тестируют легко на компе установленными вирусами свои версии с установленным антивирусом версии своих вирусов новые и не везде у нас есть такая защита Да она некоторые там

привести пример я не знаю какой контингент нас промышленная компания на самом деле очень много промышленных устройств на базе компьютерных технологий мне на всех возможность физически установить антивирус и никак символ физически подключиться проверить В каком они состоянии они просто стоят и работает так скажем выполняет свою функцию если компьютер который использует человек разбудит заражён и посети про заражение всех этих устройств Я думаю многие из вас могут представить как во всех городах Казахстана больше чем в 50 филиалах искать по устройствам

где Кто у вас ворует трафик где кто сливает вашу информацию Да собственно еще один из аспектов этой проблемы компании фильтрации состоит в том что мы сотрудник зайдя на порносайт он не рискует потерять 10 минут рабочего времени последняя сессия на порнхабе как раз поедешь статистика 10 минут там от страны к стране отвечай в пределах нескольких минут кстати Ну а заходя на эти сайты собственно он открывает практически доступ к вашей локальной сети сквозь опять женатый Firewall непонятному ресурсу

все эти сайты порнографические направленности не могут использоваться стандартные способы монетизации там обычные рекламные сети там и творчеством рекламную сеть Яндекса поскольку в этом деле таких сайтов они запрещены и они вынуждены использовать преступные способы монетизации там Установи нет попытаться клиенту пользователю сайта там на фишинговый сайт его заманить установить криптомайнер сейчас очень популярны опять же соответственно каким-либо образом взломать сеть сделать её частью документа

потом торговать этим вот на этом и примеру сайт правительства атаковали с ваших компьютеров и потом пришли к вам соответственно бесконтрольный выход в Интернет приводит к тому что такие ворота с вашими сетевой экран легко открываются через собственно Вот это сервис Security точка еда которую показывает насколько они у вас открыты дверь ещё Да один из аспектов Эдуард упоминал что мы вынуждены Зачем всё равно использовать на части рабочих станций или устройство устаревшая по поскольку для кого-то промышленного оборудования мобильных операционных систем часто заплатки

производительнее Какая перевыпускает на самом деле довольно поздно Сейчас опять же это проблема усугубляется тем что ли Windows 7 которые до сих пор часто используются уже обновление безопасности больше не будет Да ещё один тоже есть проблема неконтролируемого трафика сегодня коллеги рассказывали про средства удаленного доступа TeamViewer как всегда как нож можно использовать для резки хлеба или для того чтобы кого-нибудь зарезать так и здесь часто это плохо из-за того что его можно запустить Portable версии без установки используются злоумышленниками с

помощью социального инженер заставляют обманом там пользователя бухгалтерию там что я тебе хочу помочь потому что она ведь не знаю сертификат налоговой Запусти вот эту программку и там дай доступа соответственно открывается полный доступ в локальной сети с помощью этого компьютера это вот в России теме админ TeamViewer были в прошлом году Одним из основных взлома сетей банков примеру Потому что насколько бы там изощренные средства защиты не использовались там человеческий фактор плюс средства удаленного доступа и полный доступ их нужно

контролировать запуска какими-то групповыми политиками но не всегда эффективно за счёт портал версий А за счёт средств защиты сетевого периметра современного можно вполне эффективной сети отключать включая только нужным сотрудникам Собственно как получить чистый интернет Dwar также Вот столкнулся с проблемой сюда Microsoft forefront там какие-то старые устаревшие решения под Windows и там простые межсетевые экраны не способны защитить от этих современных угроз безопасности поскольку не обладают возможностями по глубокому анализу трафика на смену этим решением

пришли решения класса utmn вместе экрана нового поколения которые основное их отличие от собственно это средство глубокого анализа трафика ДПС системы-это контент-фильтр чтобы мы могли запрещать сайты по категориям обновляемым то нас больше 500 млн 143 категории система предотвращения вторжений контроль приложений как раз чтобы могли запретить торренты чтобы они не использовали интернет-канал нужным пользователем запретить кому-то какие-то запретить средства удаленного доступа у нас больше 250 приложений есть возможность на межсетевом экране

запретить ну правила межсетевого экрана тоже никто не отменял и антивирус трафика Можно также осуществлять непосредственно на средства защиты сетевого периметра чтобы исключить возможность злоумышленников перед установкой своего отключите вирус воспользовавшись уязвимости в нём локальные антивирус здесь же это всё не ну так как эта система не под Windows то там непосредственно эти файлы не могут быть запущены также решение с помощью AIDA крутая в частности Вы можете сделать доступ в сеть авторизованным то есть не только тогда будут

собственно работать все там системы DLP системы Когда вы можете точно знать какое устройство там телефон компьютер ноутбук использовал какой непосредственно пользователь иначе вы будете потом разыскивать какой ip-адрес что нарушал там если пойдёшь теперь Они часто меняются там потребовать поднятие многих там логов это не гарантирует 100% найденного злоумышленника поскольку там кто-то мог просто подключить к сети там не знаю домашний ноутбук Ну и всё защищенные публикации ресурсов есть два в интеграции в сеть таких устройств собственно

самое главное я понимаю что Эдуардовна используется это следующей паре Да нет Непосредственно в шлюз а второй это Proxy Server not Ударная тут рассказал коридоре что да Так что они используют еще более Оригинально Не прокси-сервер для и Вот расскажи а то есть на самом деле продукт позволяет включать модуль контроля приложений и позволяет фильтровать DNS запросы а так как у нас много по всей стране мы не можем ограничиться одним шрифтом в центральном офисе но мы можем

направить все DNS запросы через центральный офис в данном случае Айбек работает как прокси для DNS запросов блокируя все запросы на те адреса которые нам либо не нужны либо это вредно и адреса каких-нибудь вирусов домой криптомайнеры в частности то есть в итоге майнинг как на компьютерах будет невозможен так и в браузере и главное что администратор ещё получить информацию что это вообще происходит лучше но получить ее раньше чтобы не допустить развития собственно по скорости внедрения один из

аспектов почему ideco utm то есть в целом подобными функциями в твоём решении наше решение же отличается от многих тем что его достаточно просто внедрить сеть во-первых есть пробный период к красного дворца же воспользовался 630 можно использовать его полнофункциональное на изучить все особенности не платя денег не покупая Николая оборудования так как можно поставить только по на виртуальную машину или на ваш сервер и потом переход возможен буквально там отключил старые решение и включил новое есть Так оно и происходит

в течение пробного периода порядка затратили трех-четырех недель на настройку всех наших сервисов так как мы используем не только фильтрации мы используем обратный прокси мы используем VPN для наших пользователей VPN между площадками Ковпака всё это настроили на разных устройствах отработали что это всё замечательно работает между собой а потом уже переход переход у нас длился полчаса примерно То есть я думаю все из вас понимаю что невозможно остановить работу компании отключить все мы это и ждать 2-3 недели Пока что-то настроиться благодаря

технической поддержки ideco нас всё получилось очень быстро и очень просто на самом деле А мы ещё в отличие от западных вампиров оказываем поддержку самостоятельно в том числе У нас сейчас в новой версии есть чат непосредственно встроенных продуктов то есть время ответа у нас там до 30 секунд не нужно создавать обязательно хватит и последняя что хочу сказать что в целом использовать продукт можно там скачать с нашего сайта зарегистрироваться Вот это результаты видно статистике за одну неделю пилотного проекта когда буквально в организации 10 компьютеров были выведены в сеть с помощью

AIDA крутым и администратор смог оценить насколько он блокирует веб контента то есть насколько действительно ходят на сайте запрещённым содержанием пользователя и насколько система предотвращения вторжений также способны выявить потенциально заражённые хасты Спасибо за внимание у нас есть специально для Казахстана чат в телеграме но в брошюре он по-моему тоже упомянут либо Вот ссылка можно по qr-коду получить

Комментарии для сайта Cackle

Купить этот доклад

Доступ к видеозаписи доклада «Как устранить ТОП-10 уязвимостей сетевой защиты»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Интересуетесь тематикой «Информационная безопасность»?

Возможно, вас заинтересуют видеозаписи с этого мероприятия

Похожие доклады

Александр Пушкин
Эксперт в ЦАРКА
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Роман Клименко
Руководитель представительства в УФО и Казахстане в Falcongaze
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Ольга Поздняк
Директор в Экспо-Линк
+ 4 докладчика
Асем Маденова
Руководитель управления по защите персональных данных комитета по ИБ в Министерство цифрового развития, инноваций и аэрокосмической промышленности
+ 4 докладчика
Медет Искаков
Начальник службы реагирования на компьютерные инциденты в РГП "Государственная техническая служба" Комитета национальной безопасности Республики Казахстан
+ 4 докладчика
Евгений Симонов
QAZSiem в Топ-менеджер
+ 4 докладчика
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно

Купить это видео

Видеозапись

Доступ к видеозаписи доклада «Как устранить ТОП-10 уязвимостей сетевой защиты»
Доступно
В корзине
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно
Бесплатно