Звіт CERT-UA за 2014 рік

28/01/2015

Для логічного завершення 2014 року вирішили вперше за весь час скласти стислий звіт за результатами діяльності нашої команди в році, що минув (в розрізі кіберзагроз). Намагатимемося дотримуватися цієї щойно започаткованої традиції.

 

Про CERT-UA

 

CERT-UA (з 2007 року) – команда фахівців одного з структурних підрозділів Держспецзв’язку, основними напрямами діяльності якої є:

— моніторинг, виявлення, аналіз і ліквідація інцидентів інформаційної безпеки (кіберзагроз) в українському сегменті мережі Інтернет;

— оцінювання стану захищеності державних інформаційних ресурсів, відомчих автоматизованих інформаційних систем і комп’ютерних мереж;

— підвищення рівня обізнаності громадян України з питань, що відносяться до сфери інформаційної безпеки;

— розвиток і підтримка міжнародної співпраці, спрямованої на ефективну боротьбу з кіберзагрозами на міждержавному рівні;

— проведення дослідницьких робіт і розробка (R&D).

 

Результати основної діяльності

 

Реагування на інциденти

Протягом 2014 року вжито заходів з реагування на 216 комп’ютерних інцидентів. Статистика по типам загроз, а також по секторам їх виникнення наведена на рис. 1-2. Зазначимо, що дані наводяться у відношенні тих інцидентів, з приводу яких CERT-UA було повідомлено у встановленому порядку.

 

Infographic

Рис. 1

 

 

table

 

Рис. 2

 

Оцінка стану захищеності

У зв’язку з об’єктивними обмеженнями протягом 2014 року вжито заходів з проведення оцінки стану захищеності в 5 органах державної влади України.

 

 

Участь у заходах. Публічна діяльність

 

В 2014 році було прийнято рішення щодо більш активного висвітлення роботи CERT-UA в мережі Інтернет. За період з лютого по грудень 2014 року фахівцями CERT-UA на веб-сайті cert.gov.ua опубліковано 41 стаття та 13 рекомендацій.

Поряд із зазначеним, фахівців CERT-UA було неодноразово запрошено взяти участь в локальних і міжнародних конференціях, семінарах і форумах. Перелік заходів, участь в яких було взято фахівцями CERT-UA в 2014 році наведено на рис. 3. Зазначимо, що на 9 заходах було проведено виступ з презентацією. Повний перелік заходів наведено нижче:

 

1. The Honeynet Project Workshop, Варшава, Польща (http://warsaw2014.honeynet.org/)

2. International Cyber Shield Exercise 2014, Стамбул, Туреччина (http://www.itu.int/en/ITU-D/Regional-Presence/Europe/Pages/International-Cyber-Shield-Exercise.aspx)

3. 26th annual FIRST conference, Бостон, США (https://www.first.org/conference/2014)

4. Щоквартальне Засідання Форуму безпеки розрахунків і
операцій із платіжними інструментами і кредитами (ФБР і К), Київ, Україна (http://ema.com.ua/meetings/quarterly-meeting-of-fsp-and-c-2-2014/)

5. Cybersecurity in Romania, Сібіу, Румунія (https://cybersecurity-romania.ro/)

6. Lviv IT Arena, Львів, Україна (http://itarena.lviv.ua/)

7. VII Східно-європейська конференція «ЄМА» з протидії шахрайству, Одеса, Україна (http://ema.com.ua/conference/vii-east-european-conference/)

8. OSCE Confidence Building Measures Talks, Відень, Австрія

9. 2014 FIRST Symposium, Тбілісі, Грузія (https://www.first.org/events/symposium/tbilisi2014)

10. SECURE2014, Варшава, Польща (http://www.secure.edu.pl/en/)

 

events2014

Рис. 3

 

В листопаді 2014 року фахівці CERT-UA ініціювали і організували проведення семінару з інформаційної безпеки, участь у якому було взято 110 представниками органів державної влади України (всього близько 75 відомств). Більш детальну інформацію можна отримати за посиланнями: http://cert.gov.ua/?p=1817 та http://cert.gov.ua/?p=1849.

 

 

Розвиток співпраці з питань протидії кіберзагрозам

 

Зрозуміло, що кіберзагрози є викликом для всього суспільства. Тому значну увагу було приділено налагодженню і розширенню взаємодії між CERT-UA та приватним сектором. Зокрема, за 2014 рік, по лінії протидії шахрайству з грошовими коштами, налагоджено ефективну співпрацю з кредитно-фінансовими установами України і Українською міжбанківською Асоціацією членів платіжних систем «ЄМА» (як координуючим органом). Підписано відповідний меморандум про співпрацю. Більш детальну інформацію щодо результатів налагодженої співпраці наведено у відповідній статті на веб-сайті CERT-UA (http://cert.gov.ua/?p=1726).

Усвідомлюючи виключну роль операторів і провайдерів телекомунікацій України в процесі забезпечення кібербезпеки нашої держави, з останніми формалізовано відносини в частині реагування на інциденти інформаційної безпеки. Результатом цього стало створення Оперативної робочої групи (координаційного центру) з питань реагування на комп’ютерні інциденти, положення про яку затверджено наказом Адміністрації Держспецзв’язку від 30.09.2014 № 494.

 

 

Реалізовані проекти

 

Зважаючи на необхідність захисту інформаційних ресурсів та інформаційно-телекомунікаційних систем України в умовах підвищення рівня складності та інтенсивності кіберзагроз, діючи в рамках Закону України «Про Держспецзв’язку» і наказу Адміністрації Держспецзв’язку від 10.06.2008 № 94 «Про затвердження Порядку координації діяльності органів державної влади, органів місцевого самоврядування, військових формувань, підприємств, установ і організацій незалежно від форм власності з питань запобігання, виявлення та усунення наслідків несанкціонованих дій щодо державних інформаційних ресурсів в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах», а також на виконання пунктів 8,9,13 Плану заходів щодо захисту державних інформаційних ресурсів, затвердженого розпорядженням Кабінету Міністрів України від 05.11.2014 № 1135-р, фахівцями CERT-UA розроблено автоматизовану систему контролю мережевих загроз IP Guard у складі двох функціональних модулів (підсистем): IP Guard FEEDs та IP Guard AMS 1.0.

 

IP Guard FEEDs

Підсистема накопичення і обробки інформації про комп’ютерні інциденти. Зазначеною системою щоденно в автоматизованому режимі здійснюється отримання даних (з більше ніж 30 різноманітних джерел) про факти компрометації IP-адрес українського сегменту мережі Інтернет. Під поняттям «скомпрометована IP-адреса» розуміється факт використання
IP-адреси при:

 

 — підключенні до серверів управління бот-мережами;

 — здійсненні мережевих атак (DDoS, злом);

 — розсиланні СПАМу;

 — розповсюдженні шкідливого програмного забезпечення.

 

Завантажена з вищезазначених джерел інформація зберігається у відповідній базі даних для подальшої обробки і розподілення.

IP Guard FEEDs має веб-інтерфейс (https://ipguard.cert.gov.ua), у зв’язку із чим доступ до системи здійснюється за принципом «тонкого клієнта» (веб-браузера) за умови попередньої реєстрації і подальшої авторизації суб’єктів доступу (логін/пароль). Обмін інформацією між суб’єктом доступу (користувачем) і системою здійснюється за допомогою веб-інтерфейсу з використанням протоколу HTTPS.

Обробка даних, що можуть бути використані для ідентифікації особи, в підсистемі не здійснюється. Більш детальна інформація доступна за посиланням: http://cert.gov.ua/?p=1878.

Принципова схема системи IP Guard FEEDs наведена на рис. 4.

 

IPGuardFEEDS

Рис. 4

 

IP Guard AMS 1.0

Підсистема активного моніторингу мережевих загроз. Зазначена система має розподілену структуру, тобто складається з сенсорів, які розміщуються в локальних обчислювальних мережах об’єктів моніторингу (принцип «товстого клієнта») і центру контролю мережевих аномалій.

IP Guard AMS 1.0 здійснює аналіз вхідних і вихідних мережевих потоків об’єкту моніторингу і за допомогою механізму сигнатурного аналізу дозволяє в режимі реального часу виявляти:

 

 — факти ураження комп’ютерів об’єкту моніторингу шкідливими програмами;

 — випадки несанкціонованого доступу до комп’ютерних мереж;

 — факти витоку/несанкціонованого отримання інформації;

 — вразливості в апаратному і програмному забезпеченні.

 

Для безпечного інформаційного обміну між сенсором і центром контролю мережевих аномалій (далі – ЦМА) побудовано VPN-мережу (OpenVPN). Інформаційні потоки фільтруються з використанням програмного міжмережевого екрану iptables за принципом «заборонено все, що не дозволено». Механізм роботи IP Guard AMS 1.0 полягає в передаванні з ЦМА на сенсор (щоденному оновленні) сигнатур (ознак або індикаторів компрометації), а з сенсору до ЦМА, в свою чергу, повідомлень про спрацювання тієї чи іншої сигнатури (правила). Накопичена інформація зберігається у відповідній базі даних.

Системою передбачена візуалізація результатів роботи сенсорів (переліку виявлених загроз) в режимі реального часу. Функціонал візуального представлення даних інтегровано до підсистеми IP Guard FEEDs.

 

Обробки даних, що можуть бути використані для ідентифікації особи, в підсистемі не здійснюється. Більш детальна інформація доступна за посиланням: http://cert.gov.ua/?p=1996. Принципова схема системи IP Guard AMS 1.0 наведена на рис. 5.

 

IPGuardAMS

Рис. 5

 

Висновки

 

Виходячи з проведеного в 2014 році аналізу, вважаємо, що трендами 2015 року, як в частині кіберзагроз, так і в цілому, можуть бути:

 

1. DDoS-атаки типу UDP-flood з підробкою джерела пакету. Слід мати на увазі, що ці атаки можуть здійснюватися як за допомогою вразливих (некоректно налаштованих) засобів обчислювальної техніки (техніки
DNS-, NTP- ,SSDP-підсилення тощо), так і за допомогою орендованих зловмисниками серверів і каналів зв’язку із великою пропускною здатністю.

 

2. Мобільні бот-мережі і шкідливе програмне забезпечення для мобільних засобів зв’язку (засобів доступу до Інтернет). Застосування SMS для розповсюдження ШПЗ.

 

3. Продовження використання зловмисниками електронної пошти, як основного засобу розповсюдження шкідливих програмам (spearphishing). Активізація процесу використання соціальних мереж, форумів для розповсюдження шкідливих програм/експлойтів.

 

 4. Розробка і використання шкідливих програм, розрахованих на подолання «повітряного бар’єру». Зокрема, стосується питань несанкціонованого отримання інформації (кібершпіонажу) з комп’ютерів, не підключених до Інтернет.

 

5. Продовження розмов щодо створення Національного центру кіберзахисту (http://cert.gov.ua/?p=1833).