Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Актуальность Актуальность современных угрозсовременных угроздля предприятийдля предприятийэнергетической отраслиэнергетической отрасли

АндрейАндрей ЗЕРЕНКОВ ЗЕРЕНКОВ Руководитель Службы консалтингаРуководитель Службы консалтинга

andrey.zerenkov@kaspersky.comandrey.zerenkov@kaspersky.com

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Актуальность информационных угрозАктуальность информационных угроз

Источник: CSI/FBI Computer Crime and Security Survey 2006

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Наши реальные примерыНаши реальные примеры Официальный Web-сайт одной из наиболее востребованных

государственных организаций был взломан злоумышленниками, замаскировавшими на нём ссылки на источники заражения

Внутренняя изолированная сеть одной из ведущих финансовых организаций была заражена через нелегально подключённыйGPRS-модем (мобильный телефон)

На инфраструктурном сервере одного из крупных операторов мобильной связи была обнаружена троянская программа, периодически обнулявшая некоторые биллинговые счета

В одном из крупнейших финансовых учреждений был выявлен комплекс вредоносных программ, запрашивавший информацию с внутренних систем от имени клиента, и пересылавший её злоумышленнику

Одно из учреждений, надёжное функционирование которого имеет критическое значение для экономики страны, было заражено вредоносной программой Virus.Win32.GPCode

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

RansomeWare (Virus.Win32.GPCode)RansomeWare (Virus.Win32.GPCode)

Сложная компонентная модель проникновения:Сложная компонентная модель проникновения: Фальшивое спам-письмо (Фальшивое спам-письмо (job.rujob.ru)) с вложением файла с вложением файла anketa.docanketa.doc, содержащий , содержащий

Trojan-Dropper.MSWord.Tored.aTrojan-Dropper.MSWord.Tored.a Скрытая установка Скрытая установка Trojan-Downloader.Win32.Small.crbTrojan-Downloader.Win32.Small.crb Отложенная загрузка Gpcode с Интернет-адреса: Отложенная загрузка Gpcode с Интернет-адреса: ...msk.ru/services.txt ...msk.ru/services.txt

Использование Использование RSA RSA для шифрования файлов данных с последующим для шифрования файлов данных с последующим предложением приобретения декодерапредложением приобретения декодера ДекабрьДекабрь’2004 ’2004 – первые образцы– первые образцы ИюньИюнь’’2005 – десятки образцов с различными алгоритмами шифрования2005 – десятки образцов с различными алгоритмами шифрования ЯнварьЯнварь’’2006 – использование 2006 – использование RSARSA (56 бит) (56 бит) ИюньИюнь’’2006 – 2006 – RSA c RSA c длиной ключа 260 бит, 330 бит, 660 битдлиной ключа 260 бит, 330 бит, 660 бит

Источник: данные «Лаборатории Касперского»

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Новый виток развитияНовый виток развития Поиск и использование уязвимостей в Поиск и использование уязвимостей в MS Office (US-CERT)MS Office (US-CERT)

14.03-16.06.2006 14.03-16.06.2006 – появление эксплойтов для «типичных уязвимостей» – появление эксплойтов для «типичных уязвимостей» приложений приложений MS OfficeMS Office, одно за другим, одно за другим

ИюльИюль’’2006 2006 – – появление эксплойтов для появление эксплойтов для уязвимости Visual Studio 2005, позволяющих хакерам загружать на атакуемый ПК троянцев со своих сайтов

Аналогичная Аналогичная «drive-by» уязвимость уязвимость XML Core Services Шантажисты – Шантажисты – RansomWareRansomWare

Шифрация данных и модификация ключевых параметров реестраШифрация данных и модификация ключевых параметров реестра «Забытое» старое«Забытое» старое

Запись в область Запись в область ACPI BIOSACPI BIOS, возвращение к загрузочным секторам дисков, возвращение к загрузочным секторам дисков Скриптовый полиморфизмСкриптовый полиморфизм

Модифицированные средства защиты Модифицированные средства защиты HTML-HTML-страниц в качестве угрозыстраниц в качестве угрозы Новый кросс-платформенный вирус Новый кросс-платформенный вирус Mobler.aMobler.a (Windows <-> Symbian) (Windows <-> Symbian) Концепты (Концепты (PoCPoC) для ) для J2ME, Mac OS X, Bluetooth-J2ME, Mac OS X, Bluetooth-червичерви VirusVirtualMachine (VirusVirtualMachine (разработка при участииразработка при участии и финансировании компаниии финансировании компании MS) MS)

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

БлокингБлокинг

Если нет обновлений, то уровень детекта падает…Если нет обновлений, то уровень детекта падает…Источник: данные «Лаборатории Касперского»

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

ФармингФарминг

Зачем создавать множество сайтов, в том числе и аппаратных, если Зачем создавать множество сайтов, в том числе и аппаратных, если можно использовать «на входе» программу-робот на централизованно можно использовать «на входе» программу-робот на централизованно управляемой ферме Интернет-сайтов?управляемой ферме Интернет-сайтов?

Источник: данные «Лаборатории Касперского»

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Фишинг (от имени поставщика услуг)Фишинг (от имени поставщика услуг)

Источник: данные «Лаборатории Касперского»

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

И многие другие…И многие другие… Банк Ирландии согласился выплатить компенсации клиентам, Банк Ирландии согласился выплатить компенсации клиентам,

пострадавшим в результате фишинг-атаки. Общий объем ущерба, пострадавшим в результате фишинг-атаки. Общий объем ущерба, понесенного клиентами банка, составил € 113 000, при этом некоторые понесенного клиентами банка, составил € 113 000, при этом некоторые клиенты потеряли суммы в размере € 5-16 000, а один потерпевший клиенты потеряли суммы в размере € 5-16 000, а один потерпевший лишился € 49 000лишился € 49 000

Смишинг (Смишинг (SMS-SMS-фишинг): «фишинг): «Мы подтверждаем факт вашего Мы подтверждаем факт вашего подключения к нашему сервису знакомств. До тех пор, пока Выподключения к нашему сервису знакомств. До тех пор, пока Выне отмените подписку, ежедневно с Вашего счета будетне отмените подписку, ежедневно с Вашего счета будетсписываться $2списываться $2»»

На сайте, адрес которого указан в тексте сообщения, пользователям ПК На сайте, адрес которого указан в тексте сообщения, пользователям ПК предлагается скачать бесплатное антивирусное приложение.предлагается скачать бесплатное антивирусное приложение.В действительности, в скачиваемом файле находится троянская В действительности, в скачиваемом файле находится троянская программа, которая подключает атакуемый компьютер к ботнету, программа, которая подключает атакуемый компьютер к ботнету, используемому для рассылки спама или DoS-атакиспользуемому для рассылки спама или DoS-атак

……Источник: данные «Лаборатории Касперского»

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Ежедневное добавление сигнатурЕжедневное добавление сигнатур

Источник: данные «Лаборатории Касперского»

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Общий объём потерь от вирусных атакОбщий объём потерь от вирусных атак

Источник: Computer Economics, 2005 Malware Report

Melissa,

Love Letter,

…

MyDoom,NetSky,Sasser,

…

“Nature of malware (viruses, worms, trojans, spyware, adware, and other malicious code) is changing: from overt threads targeting operating system vulnerabilities and users generally, to more focused, covert attacks targeting specific companies or business sectors…”

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Насущная необходимостьНасущная необходимость

Правильно определить позиционирование систем информационной безопасности на уровнях бизнес иИТ-руководства компаний

Выявить, оценить и приоритезировать риски, связанныес нарушениями информационной безопасности

Выбрать именно ту овчинку, которая стоит выделки, то есть правильно оценить интегрируемость, комплексность и стоимость предполагаемых решений до начала их реализации

Эти и другие вопросы приглашаем обсудитьна круглом столе «Информационная безопасность»

(корпус №6)

Kaspersky Labs 6ht Annual Partner Conference · Turkey, June 2-6 2004Kaspersky Labs 6th Annual Partner Conference · Turkey, 2-6 June 2004Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»Конференция ИТ-специалистов ДЗО РАО «ЕЭС России»«Лучшие прикладные решения для электроэнергетики»«Лучшие прикладные решения для электроэнергетики»

Спасибо за внимание!Спасибо за внимание!

Вопросы?Вопросы?