Министерство образования и науки Российской Федерации ФГБОУ ВПО «Тамбовский государственный технический университет» Кафедра «Информационные системы и защита информации» Организация системы мониторинга утечек информации и небезопасных конфигураций Автор проекта: студент Ляшков Михаил Андреевич Научный руководитель проекта: доцент, к.т.н. Гриднев Виктор Алексеевич Тамбов, 2015 Общие сведения OSINT (англ. Open source intelligence) – разведка на основе открытых источников. Конкурентная разведка – сбор и обработка данных из разных источников, для выработки управленческих решений с целью повышения конкурентоспособности коммерческой организации, проводимые в рамках закона и с соблюдением этических норм. Shodan – поисковый движок, собирающий метаинформацию о службах , запущенных на 80 (HTTP), 21 (FTP), 22(SSH), 23 (TELNET), 161 (SNPM), 5060 (SIP), 5900 (VNC), 110 (POP3), 143 (IMAP) и других портах. *Дорки - это специальные запросы в поисковые системы для облегчения нахождения того или иного контента в интернете. 2 Концепт Бизнес-модель продажи и использования – программное обеспечение как услуга (SaaS), поиск новых клиентов по технологии холодных продаж. Предлагаемая система с точки зрения пользователя Почему именно SaaS? • Необходимость поддержки базы знаний (GHDB + другие дорки) в актульном состоянии. • Необходимость периодического мониторинга. • Облегчение сопровождения программного обеспечения. Целевая аудитория: • вебмастера • системные администраторы • специалисты по информационной безопасности Основные услуги: • мониторинг заведомо слабых конфигураций • мониторинг утечек информации • услуги конкурентной разведки 3 Актуальность Статистика по утечкам информации за I-ое полугодие 2015 года • • • • В I полугодии 2015 года в мире обнародовано (в СМИ и иных источниках) 723 случая утечки конфиденциальной информации, что на 10% превышает количество утечек, зарегистрированных за аналогичный период 2014 года. 90% утечек связаны с компрометацией персональных данных. За исследуемый период скомпрометированы более 262 млн записей, в том числе платежная информация. Россия заняла второе место по числу утечек, ставших достоянием общественности. В исследуемый период зарегистрировано 59 случаев утечки конфиденциальной информации из российских компаний и государственных организаций. Число «российских» утечек по сравнению с аналогичным периодом 2014 года сократилось на 39%. Транспортные компании, наряду с интернет-сервисами, ретейлерами и медицинскими учреждениями, являются основным источником утечек персональных данных. Распределение атак по вектору воздействия Распределение утечек по источнику *Информация взята из отчета Аналитического Центра компании InfoWatch . Авторы исследования на протяжении многих лет занимаются выявлением и анализом факторов, влияющих на формирование глобальной картины утечек данных. 4 Методы сбора информации Пассивный cлужбы Whois анализ DNS анализ поисковой выдачи социальные сети • • • • Активный • запросы к DNS на перенос обслуживаемой зоны • сканирование портов • определение версий запущенных сервисов • Google дорки на поиск служебной Как это делается в данный момент? конфиденциальной информации и ПДн • Shodan • поиск осуществляется вручную • предложения ориентированы на • GHDB (Google Hacking Database) большой бизнес Почему не выгодно использовать эти сервисы в индивидуальном порядке для малых и средних инфрастуктур? • Google: 1000 запросов/сутки ~ 600 (до 100 запросов/сутки бесплатно) • Shodan: 10000 запросов/месяц ~ 1200 (минимальный тариф) • требуется содержать\держать в качестве консультанта специалиста Почему малым и средним инфрастуктурам неудобно использовать бесплатные тарифы? • • • GHDB: размер базы ~ 3600 дорков Google: при использовании дорков постоянно происходит бан (необходимость большого списка прокси серверов) Shodan: выдача обрезана первыми 5 страницами, экспорт выдачи недоступен, фильтры и детали недоступны 5 Экономическая оценка проекта Перечень операционных расходов Перечень капитальных расходов • аренда VDS ~ от 1500 /месяц • разработка системы ( ~ 160000 ) • оплата Shodan API ~ от 1200 /месяц • разработка информационной модели • оплата Google API ~ от 600 /месяц • разработка процедурной модели • аренда почтовых серверов ~ от 3600 /месяц • составление ТЗ • администрирование системы • реализация • техническая поддержка • тестирование на соответствие ТЗ Основные принципы тарифообразования • доработка базы дорков • тариф зависит от стабильности конфигурации • тестирование системы наблюдаемой информационной системы • внесение небольших корректировок • тариф нелинейно зависит от масштаба • локализация клиентского интерфейса (~ 600 наблюдаемой информационной системы /1000 знаков на один язык) • тариф зависит от факта владения клиентом заказываемой системы Конкурентный обзор рынка Прямые SearchDiggity – программное обеспечение предоставляется бесплатно, ключи API не входят, существует реализация только под Windows, базы дорков не обновлялись уже 3 года (есть возможность подключить свою базу). Косвенные PentestTools – сервис, предоставляющий услуги активного сканирования портов, разовое сканирование портов у одного хоста, не находящегося в черном списке, стоит ~ 30руб. Анализом выдачи поисковых движков не занимаются. Анализ результатов сканирования не проводят. Потенциальные Avalanche Online - сервис мониторига, основной акцент сделан на мониторинг СМИ и активности в социальных сетях, профиль конкурентная разведка, гибкая ценовая политика, не собирают техническую информацию о портах и службах, решение ориентировано на крупный бизнес. 6 Научная составляющая проекта • Доработка базы дорков для поиска утечек информации • Сбор и анализ статистики по обнаруженным утечкам информации • Сбор и анализ статистики по обнаруженным уязвимостям Задачи проекта Разработка информационной модели Разработка процедурной модели Разработка программной реализации Доработка базы дорков Тестирование системы Локализация пользовательского интерфейса Запуск системы, сбор статистики Цель проекта Создание стартапа по оказанию услуг в области информационных технологий. 7 План реализации проекта 1 квартал Разработка информационной модели 20 000 2 квартал Разработка процедурной модели 30 000 3 квартал Разработка системы 120 000 4 квартал Доработка базы дорков 30 000 5 квартал Тестирование системы 50 000 6 квартал Локализация пользовательского интерфейса 15 000 7 квартал Запуск системы, сбор статистики 40 000 8 квартал Внесение небольших корректировок, обслуживание системы 95 000 8 Срок окупаемости проекта Операционные расходы Наименование аренда VDS оплата Shodan API оплата Google API аренда почтовых серверов администрирование системы техническая поддержка Итого сумма, руб 1 500 1200 600 3 600 850 1 800 9550 При необходимости срока окупаемости в 12 месяцев с момента запуска системы затраты за 12 месяцев, руб размер инвестиций, руб необходимый годовой доход, руб необходимое количество хостов необходимое количество хостов/месяц необходимый процент отклика 114 600 400 000 514 600 22 647 1 888 0,1888% Условия окупаемости операционных расходов себестоимость разового активного сканирования всех портов одного хоста исходя только из API, руб себестоимость разового пассивного сканирования всех портов одного хоста, руб средняя стоимость разового активного сканирования всех портов одного хоста на рынке, руб запрашиваемая цена активного сканирования всех портов одного хоста, руб запрашиваемая цена пассивного сканирования всех портов одного хоста, руб необходимое количество хостов для окупаемости операционных расходов необходимый процент отклика для окупаемости операционных расходов 4,54 0,12 30,00 22,72 13,96 421 0,0421% 9 Контакты Ляшков Михаил Андреевич email: i3apa3a@163.com Контактный телефон: +79606611452 Гриднев Виктор Алексеевич email: vikadres@yandex.ru Постараюсь ответить на ваши вопросы! ТГТУ, кафедра «Информационные системы и защита информации» Россия, г. Тамбов, ул. Советская, 116 С2, тел. 63-13-58 10