Слайд 2Базовые принципы
Информационная безопасность как вид управления рисками
Уровень риска не может быть равен
![Базовые принципы Информационная безопасность как вид управления рисками Уровень риска не может](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-1.jpg)
нулю
Стоимость информации или ее утраты является критерием
Доверие, его уровни и их (не)существование в XXI веке
Необходимость учета человеческого фактора
Безопасность сети как комплексная задача
Модель Confidentiality-Integrity-Availability (CIA)
«Бумажная» безопасность (политики, 152-ФЗ, …)
“There’s no device known to mankind that will prevent people from being idiots” Mark Rasch, CSC
Слайд 3Элементы модели безопасности
Физическая безопасность
Безопасность конечных систем
Безопасность программного обеспечения
Управление
![Элементы модели безопасности Физическая безопасность Безопасность конечных систем Безопасность программного обеспечения Управление](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-2.jpg)
доступом пользователей
Сетевая безопасность
Управление и контроль
Слайд 4Виды сетевых атак
Пассивные:
Прослушивание и сбор трафика
Сканирование диапазонов IP
Сканирование портов
Активные:
Фишинг
Переполнение
![Виды сетевых атак Пассивные: Прослушивание и сбор трафика Сканирование диапазонов IP Сканирование](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-3.jpg)
буфера
Атаки веб-приложений: XSS, CSRF, SQL-инъекции
Подмена DNS
Man-in-the-middle (MITM)
Подмена IP, ARP, VLAN hopping
Атаки на полосу
Вирусные пандемии
Слайд 5Эволюция целей взлома
Proof of Concept, развлечение (70е – середина 80х)
DoS, повреждение файлов
![Эволюция целей взлома Proof of Concept, развлечение (70е – середина 80х) DoS,](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-4.jpg)
(середина 80х – конец 90х)
Удаленное управление, создание ботнетов (2000 – н.в.)
Рассылка спама и DDoS-атаки (2000 – н.в.)
Вымогательство (2005 – н.в.)
Шифрование файлов (2010 – н.в.)
Майнинг (2015 – н.в.)
Кибервоенные операции (2011 - ∞)
Internet of Things (IoT) (2015 – н.в.)
Слайд 6Количество компьютеров в ботнетах по странам
![Количество компьютеров в ботнетах по странам](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-5.jpg)
Слайд 7Количество управляющих серверов ботнетов по странам
![Количество управляющих серверов ботнетов по странам](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-6.jpg)
Слайд 8Безопасность пользовательских систем
Описание опытной установки:
Две виртуальные машины с Windows XP SP2
![Безопасность пользовательских систем Описание опытной установки: Две виртуальные машины с Windows XP](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-7.jpg)
и Windows 7 SP1
Обновления не установлены и отключены
Firewall отключен
Пользователь с простым паролем
Включен протокол SMB/CIFS
Публичные IP-адреса, на которых ранее никогда ничего не было
Трафик контролируется системой обнаружения атак Snort3
Сколько времени они проживут и как будет выглядеть процесс их гибели?
Слайд 9Направления борьбы
Со стороны конечных устройств:
Обучение пользователей
Физическая безопасность устройств и
![Направления борьбы Со стороны конечных устройств: Обучение пользователей Физическая безопасность устройств и](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-8.jpg)
сети
Внедрение ограничений на основе политик
Автоматическая установка обновлений
Антивирусная защита
Со стороны сети:
Использование межсетевых экранов (Firewall)
Использование систем обнаружения и предупреждения атак (NIDS, NIPS)
Контроль и ограничение контента
Слайд 10Традиционная модель сетевой безопасности на основе зон доверия
![Традиционная модель сетевой безопасности на основе зон доверия](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-9.jpg)
Слайд 11Традиционная архитектура сетевой безопасности на основе зон доверия
![Традиционная архитектура сетевой безопасности на основе зон доверия](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-10.jpg)
Слайд 12Схема взлома архитектуры сетевой безопасности на основе зон доверия
![Схема взлома архитектуры сетевой безопасности на основе зон доверия](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-11.jpg)
Слайд 13Недостатки традиционной архитектуры
Трафик в пределах зоны не контролируется
Доступ в соседнюю зону на
![Недостатки традиционной архитектуры Трафик в пределах зоны не контролируется Доступ в соседнюю](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-12.jpg)
основе IP-адресов и портов
Плохо адаптируется к концепции BYD и мобильности
Слабо применима в облачных системах и виртуализации
Слабая поддержка L4-L7 инспекции
Внедрение IDS представляет непростую задачу
Не учитывает возможность атаки изнутри периметра
Слайд 14Системы обнаружения и предупреждения атак (NIDS, NIPS)
![Системы обнаружения и предупреждения атак (NIDS, NIPS)](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-13.jpg)
Слайд 15Системы обнаружения и предупреждения атак (NIDS, NIPS)
![Системы обнаружения и предупреждения атак (NIDS, NIPS)](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-14.jpg)
Слайд 16Архитектура сетевой безопасности с нулевым уровнем доверия
![Архитектура сетевой безопасности с нулевым уровнем доверия](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-15.jpg)
Слайд 17Архитектура сетевой безопасности с нулевым уровнем доверия
![Архитектура сетевой безопасности с нулевым уровнем доверия](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-16.jpg)
Слайд 18Достоинства и недостатки модели Zero Trust
Хорошо подходит для облачных архитектур и SDN
Доступ
![Достоинства и недостатки модели Zero Trust Хорошо подходит для облачных архитектур и](/_ipx/f_webp&q_80&fit_contain&s_1440x1080/imagesDir/jpg/992718/slide-17.jpg)
определяется политикой безопасности
Весь трафик подлежит обязательной инспекции
Хорошая поддержка уровней L4-L7
Отсутствие единой точки отказа
Необходимы значительные вычислительные мощности
Для внедрения необходимо изменение архитектуры сети