По оперативным данным, 15–16 мая планируются крупномасштабные хакерские атаки на промышленные объекты (АСУ ТП), банковские и телеком-системы, интернет вещей, системы корпоративного сектора. Нападающие представляют известные APT CTF-команды и ранее были замечены в высокотехнологичных кибер-операциях. Прошли времена, когда хакеров интересовали в основном веб-приложения. Сейчас под угрозой находятся промышленные, энергетические и телеком-системы, интернет вещей. Монетизация атак на эти объекты сегодня на гораздо более высоком уровне, довольно часто они становятся целями атак т.н. state sponsored хакеров. И именно эти критичные объекты заложены организаторами конкурса «Противостояние» в инфраструктуру виртуального города.
Конфликт атакующих и защитников выходит на новый уровень. Битва развернется в городе, вся экономика которого основана на цифровых технологиях. Городская инфраструктура включает в себя ТЭЦ и подстанцию, железную дорогу, «умные» дома с рекуперацией энергии, банки с банкоматами и киосками самообслуживания. Ну и конечно, в городе работают сотовая связь, интернет, различные онлайн-сервисы.
Пока нападающие расчехляют nmap'ы и смазывают модули Metasploit'a, команды защитников города возводят защитные сооружения и системы сигнализации. В этой статье я расскажу о подготовке защиты нефтяной компании и антифрод-системы, находящихся под защитой специалистов Центра информационной безопасности «Инфосистемы Джет».
Нефтяная компания
Нефтяные компании все чаще становятся жертвами как таргетированных, так и массовых кибер-атак. За прошедший год было зафиксировано сразу несколько таких резонансных случаев.
Во вторник 27 июня 2017 года мощной хакерской атаке подверглась «Роснефть». Об этом представители компании заявили в Twitter. Как стало известно, все компьютеры в НПЗ «Башнефть», «Башнефть-добыча» и в управлении «Башнефти» одновременно перезагрузились, после чего начали скачивать неустановленное программное обеспечение. На экранах появилась заставка вируса WannaCry с требованием перевести биткоины на сумму в 300 долларов, адресом кошелька и обещанием выслать ключ после получения заявленной суммы.
Один из ведущих морских грузоперевозчиков датская компания A.P. Moller-Maersk подверглась кибератаке, которая вывела из строя ее компьютерные системы.
«Мы можем подтвердить, что IT-системы Maersk вышли из строя в результате кибератаки на многие подразделения компании», — говорится в заявлении грузоперевозчика в Twitter.
Датская судоходная и логистическая компания A.P. Moller-Maersk оценивает потери в результате атаки вируса-вымогателя Petya в $200-300 млн, говорится в опубликованном в среду финансовом отчете компании за II квартал 2017 года.
Построение эффективный защиты нефтяного комплекса — одна из задач киберзащитников. Главная цель — не допустить создания аварийных ситуаций.
Ситуации высокой критичности:
авария на танкере и в порту при подаче топлива (возгорание и разлив топлива);
переполнение резервуаров (возможно возгорание);
изменение температур или переполнение нефтепродуктами ректификационных колонн.
Ситуации средней критичности:
отключение передачи топлива;
отключение электричества на стенде;
авария на системе разлива топлива;
остановка производства;
отключение пара с ТЭЦ.
Ситуации низкой критичности:
кран или краны повредят танкер;
воздействие на процесс, без последствий.
Глобальные задачи, которые стоят перед защитниками комплекса — не допустить воздействий на системы управления, которые могут привести к следующим последствиям:
получение полного или частичного контроля над ОС;
получение полного или частичного контроля над SCADA-системой;
создание критической аварийной ситуации на объектах автоматизации;
получение доступа к управлению объектом автоматизации с использованием промышленных протоколов;
получение нелегитимного доступа к ОС или SCADA (обход аутентификации);
полный или частичный отказ в обслуживании различных компонентов системы;
полное или временное нарушение связи с системами управления объектом автоматизации.
Описание используемых защитных средств и мер будет представлено после завершения конференции.
Антифрод-система
Антифрод (от англ. anti-fraud «борьба с мошенничеством»), или фрод-мониторинг — система, предназначенная для оценки финансовых транзакций на предмет подозрительности с точки зрения мошенничества и предлагающая рекомендации по их дальнейшей обработке.
Правила «Противостояния» подразумевают денежную эмиссию, присущую современному мегаполису: распоряжение денежными средствами, бизнес-процессы, нацеленные на извлечение прибыли, накопление и траты средств виртуальными жителями. Все эти операции имеют реальные прототипы в современной жизни, и также, как и в реальной жизни становятся лакомым куском для хакеров.
Еще одним видом карточного мошенничества является так называемый фишинг, когда данные о пластиковой карте получают от самого пользователя. Злоумышленники рассылают пользователям электронные письма, в которых от имени банка сообщают об изменениях, якобы производимых в системе его безопасности. При этом аферисты просят доверчивых пользователей возобновить информацию о карте, в том числе указать номер кредитки и ее ПИН-код, либо отправив ответное письмо, либо пройдя на сайт банка-эмитента и заполнив соответствующую анкету. Однако ссылка, прикрепленная к письму, ведет не на ресурс банка, а на поддельный сайт, имитирующий работу настоящего.
Разновидность данного правонарушения — звонки на сотовые телефоны граждан от «представителей» банка с просьбой погасить задолженность по кредиту. Когда гражданин сообщает, что кредита он не брал, ему предлагается уточнить данные его пластиковой карты. В дальнейшем указанная информация используется для инициирования несанкционированных денежных переводов с карточного счета пользователя.
В борьбе с подобным мошенничеством одна из основных целей — интеграция элементов обеспечения информационной безопасности в виде эффективных компонентов бизнес-процессов. Это может быть защита как денежных средств, так и информации, которую можно монетизировать или использовать в нелигитимных целях. В качестве основного средства защиты используется Jet Detective.
Исходя из степени рисков, антифрод-система должна решать следующие задачи:
автоматизация, детализация и интерпретируемоссть цифровых фактов, являющихся следами выполнения бизнес-процессов;
сравнение, сопоставление и оценка различных событий или сведений из информационных систем для определения степени правомерности тех или иных действий;
определение критериев зрелости методологии оценки легитимности событий и наличие способов, зачастую организационных, проверки таких гипотез.
Фрод — это яркий пример последствия атаки на бизнес-процесс, в котором задействовано большое количество людей и технических средств. Основная задача команды Jet Antifraud — выявление и блокирование мошеннических транзакций.
Описание используемых защитных средств и мер и будет представлено после завершения конференции. Мы будем вести прямой репортаж с места событий, не переключайтесь.
