1.30M
Category: internetinternet
Similar presentations:
Исследование принципов построения и обеспечения информационной безопасности цифровых экосистем
Исследование принципов построения и обеспечения информационной безопасности цифровых экосистем
Информационная безопасность. Мастер-класс
Информационная безопасность. Мастер-класс
Принципы обеспечения безопасности сети
Принципы обеспечения безопасности сети
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Безопасность информационных систем. Обеспечение безопасности компьютерных сетей
Информационная безопасность в сети Интернет. Проблемы информационной безопасности
Информационная безопасность в сети Интернет. Проблемы информационной безопасности
Информационная безопасность. Аутентификация и атаки
Информационная безопасность. Аутентификация и атаки
Цифровая карта безопасности школьника
Цифровая карта безопасности школьника
Основы безопасности информационных систем
Основы безопасности информационных систем
Безопасность в информационном пространстве Как защитить себя в цифровом мире
Безопасность в информационном пространстве Как защитить себя в цифровом мире
Информационная безопасность в сети Интернет
Информационная безопасность в сети Интернет

Исследование принципов построения и обеспечения информационной безопасности цифровых экосистем

1.

Исследование принципов построения и
обеспечения информационной
безопасности цифровых экосистем
Выполнили:
Швец Дмитрий
Данилова Полина
Группа: КИБ-112

2.

Цифровая экосистема VK (Mail.ru Group)
Основное направление
Назначение цифровой экосистемы VK (Mail.ru Group)
заключается в предоставлении широкого спектра
онлайн-сервисов и платформ для пользователей. Она
стремится предоставить разнообразную цифровую
среду для общения, развлечений, бизнеса, доступа к
интерактивным контенту для пользователей и так
далее

3.

Информация о компании
Количество сотрудников: 11 677 человек
Количество пользователей: 100 млн человек
Количество сервисов: 51
Количество филиалов (офисов) - команда
ВКонтакте базируется в трёх городах —
Санкт-Петербурге,
Москве
и
Сочи.
В
Екатеринбурге, Казани, Нижнем Новгороде,
Казахстане, а также в Турции и Германии есть
представители.

4.

Состав цифровой экосистемы VK
Сервисы цифровой экосистемы VK можно разделить на
следующие направления:
Социальные сети
Медиа- и развлекательных проекты
Образовательных проекты
Корпоративные продукты
Игровые платформы
Товары и услуги
Благотворительные проекты
Платежный сервис

5.

6.

Защищаемая информация.
Персональные данные
Персональные данные (Имя, фамилия, дата
рождения,
семейное
положение,
место
жительства и родной город, образование,
информацию о карьере и военной службе)
Федеральный закон "О персональных данных" №
152-ФЗ от 27.07.2006

7.

Защищаемая информация.
Служебная тайна
Субъективная категория
конфиденциальной информации –
«служебная тайна», возникает повод
для возможности принятия
произвольных правоприменительных
решений. Состав определяется
самой организацией.

8.

Защищаемая информация.
Служебная тайна
«Трудовой кодекс Российской Федерации» от
30.12.2001 № 197-ФЗ (ст.81 – служебная тайна)
«Кодекс
Российской
Федерации
об
административных правонарушениях» от 30.12.2001
№ 195-ФЗ (ст.13.14 – служебная информация)
Федеральный закон от 29.12.1994 № 77-ФЗ «Об
обязательном экземпляре документов» (преамбула служебная тайна)
Федеральный
закон
"Об
информации,
информационных
технологиях
и
о
защите
информации" от 27.07.2006 N 149-ФЗ
Проект ФЗ «О служебной тайне» (N 124871-4)

9.

Защищаемая информация.
Коммерческая информация
Исходные коды программного обеспечения; Дизайн
проекта; Используемые в программном обеспечении
формулы и алгоритмы; Техническая документация,
технические задания, спецификации; Идеи о
проектах, которые обеспечивают конкурентные
преимущества вашей компании; Сведения о
разрабатываемых проектах, их назначении и
функциях; Данные о заказчиках и подрядчиках
компании.

10.

Защищаемая информация.
Коммерческая информация
Сведения, касающиеся управления делами компании;
Сведения о финансово-хозяйственных аспектах
деятельности компании; Сведения о деятельности
компании в области маркетинга; Сведения, касающиеся
деловых отношений компании с третьими лицами, в
частности о подготовке, ходе и результатах переговоров с
третьими лицами; Сведения, касающиеся защиты
экономической и физической безопасности, в частности
об используемых компанией аппаратных и программных
средствах защиты информации и оборудования от
несанкционированного доступа.

11.

Защищаемая информация.
Коммерческая информация
Федеральный закон "О коммерческой
тайне" от 29.07.2004 N 98-ФЗ

12.

Угрозы и риски VK
1.
2.
3.
4.
Утечки по вине самой компании
Утечки по вине пользователей
(стандартные угрозы для всех социальных
сетей)
Нелегальный контент
Конкурирующие компании

13.

Угрозы и риски VK. Утечки
по вине самой компании
Такие утечки можно разделить на технические и
организационные.
Техническими уязвимостями пользуются
злоумышленники, в первую очередь недостатками
защищенности сети и “дыры” в ПО. Из-за
масштаба, компания часто подвергается
нападениям. Недавно утекло данные 3.5 млн
пользователей. Злоумышленник воспользовался
функционалом «восстановления учетной записи».
Неменьшей проблемой является невнимательность
сотрудников.

14.

Угрозы и риски VK. Утечки
по вине самой компании
VK активно борется с причинами утечек.
1.
VK – одна из первых компаний в России,
которая начала платить внешним
исследователям за найденные уязвимости.
2.
Разрабатывает собственное ПО под свои бизнес
процессы.
3.
VK увеличила бюджет на кибербезопасность в
2,5 раза.

15.

Угрозы и риски VK. Утечки
по вине пользователей
Атака на пользователей сервисов очень
актуальная и быстро развивающиеся
сфера. По ходу роста ИБ средств
развиваются и методы воздействия на
пользователей. Такие как:
Социальная инженерия, фишинг, спам
и т.д.

16.

Угрозы и риски VK.
Нелегальный контент
В VK существует масса контента,
защищённым авторским правом,
распространяющейся незаконно.
Для реагирования на жалобы нужен
большой административный ресурс или
разработка ПО «сканер NDA».
Если большая компания решит судиться с
VK, то это может стать большой
финансовой и репутационной потерей.

17.

Угрозы и риски VK.
Конкурирующие компании
Конкуренция с другими социальными
сетями: ВКонтакте сталкивается с
жесткой конкуренцией от других
популярных социальных сетей, таких как
YouTube, Instagram и Telegram.
Возможно, многие пользователи
предпочтут использовать более
популярные платформы, что может
отрицательно сказаться на
привлекательности ВКонтакте.

18.

Общая платформа для всех сервисов
Социальная сеть «ВКонтакте» запустила VK ID — это единая
учётная запись для всех сервисов «ВКонтакте» и mail.ru Group.
Теперь пользователи могут входить в разные сервисы одним
нажатием и управлять настройками всех подключённых сайтов
и приложений из общего личного кабинета. Достаточно лишь
один раз авторизоваться или зарегистрироваться в любом
сервисе «ВКонтакте» и mail.ru Group.

19.

VK Protect
Программа объединит все технические решения, которые
обеспечивают защиту в рамках экосистемы VK, и поможет людям
эффективно управлять приватностью и использовать инструменты для
защиты информации.
VK ID появится во всех сервисах экосистемы,
вместе с ним всем пользователям станет доступна
двухфакторная аутентификация.
Компания открывает новый Центр управления
безопасностью — в личном кабинете VK ID.
Важная цель программы VK Protect — рассказать,
как повысить уровень защиты данных, и дать
инструменты для этого.
Пароль + одноразовый код из СМС.
Пароль + одноразовый код

20.

VK Protect. Двухфакторная
аутентификация
Пароль + одноразовый код из СМС.
Пароль + одноразовый код

21.

VK Protect. Двухфакторная
аутентификация
Двухфакторная аутентификация — это метод идентификации
пользователя в каком-либо сервисе (как правило, в Интернете) при
помощи запроса аутентификационных данных двух разных типов, что
обеспечивает двухслойную, а значит, более эффективную защиту
аккаунта от несанкционированного проникновения.
Одноразовые коды из СМС.
Чаще всего такие одноразовые коды отправляют в текстовом
сообщении на указанный при регистрации номер телефона. Если кто-то
украл ваш пароль, но не имеет доступа к вашему телефону, то он не
сможет взломать ваш аккаунт.
Кроме того, при подключении двухфакторной аутентификации
«ВКонтакте» сгенерирует для вас десять одноразовых резервных
кодов. Если у вас не будет доступа ни к SMS-сообщениям, ни к
приложению-аутентификатору, то для подтверждения вашей личности
VK попросит ввести один из этих кодов.

22.

VK Protect. Беспарольная
аутентификация (OnePass)
OnePass — это альтернативный способ быстрого входа в аккаунт без
необходимости вводить пароли и проверочные коды. Технология
позволяет использовать электронные ключи доступа при авторизации в
профиле ВКонтакте, а также во внутренних и внешних сервисах VK.
Ключи хранятся на вашем устройстве либо в облачном хранилище
аккаунтов Apple ID или Google ID. Они могут работать как для одного
устройства (например, встроенный сканер отпечатка пальца), так и для
нескольких устройств одного семейства (единый ключ для Apple- или
Google-устройств).
• не нужно вводить пароль (вход быстрее);
• можно не бояться, что пароль уведут (ведь пароля нет);
• можно не бояться фишинга.
С OnePass все данные для входа обрабатываются исключительно на
самих устройствах и не передаются ни в какие сервисы.

23.

VK Protect. Беспарольная
аутентификация (OnePass)
Типы доступных ключей зависят от
платформы:
•IOS: только облачные OnePass-ключи
(Face ID и Touch ID);
•Android: только облачные OnePassключи (Android Fingerprint);
•Версия для компьютера: облачные
ключи (сканирование QR-кода Apple- или
Google-устройством), ключи на текущем
устройстве (например, через встроенный
сканер отпечатка пальцев) или ключи на
внешнем USB-, NFC- или Bluetoothустройстве.

24.

Защита информации –
VK Protect
Просмотр активных сеансов

25.

VK Protect. Уведомления
Уведомление пользователя о слитом пароле

26.

VK Protect. Уведомления
Алгоритм сравнит пароль в профиле пользователя с базами
скомпрометированных паролей в сторонних сервисах.
В случае совпадения пользователь получит уведомление, в котором
пароль предложат сменить. Процесс полностью автоматический,
пароли проверяются только в зашифрованном виде и на серверах VK,
отметили в компании.
Команда безопасности VK проводит мониторинг утечек из других
местных и международных сервисов, проверяет информацию и
учитывает в системе предупреждения пользователей.
VK также усилила требования к паролям: в личном кабинете VK ID теперь
не получится создать однотипный простой пароль или использовать
данные публичного профиля.

27.

VK Protect. Уведомления
Уведомления о подозрительных собеседниках
и ссылках

28.

VK Protect. Уведомления
Предупреждение о подозрительном пользователе.
В новом групповом чате или беседе с незнакомым человеком появится
уведомление о потенциальной опасности — если алгоритмы
зафиксировали подозрительную активность от этого пользователя.
Пожаловаться и заблокировать возможного злоумышленника можно
будет прямо в переписке. Так мошенникам будет сложнее обманным
путём получить от пользователя деньги, пароли и другие личные данные.
Предупреждение о подозрительной ссылке.
Это предупреждение отображается при переходе по ссылкам с
протоколом HTTP, так как зачастую злоумышленники предпочитают
использовать его для фишинга и других обманных схем.
HTTP — незащищённый протокол, при котором вводимые вами данные
не шифруются. Для шифрования стоит применять протокол HTTPS. Если
речь о ссылках, которые ведут на ваш сайт, то рекомендовано
использовать именно HTTPS.

29.

Осуществление защиты
данных пользователей. SIEM
SIEM – система для обработки потока событий,
выявления ИБ-инцидентов и реагирования на них.

30.

Осуществление защиты
данных пользователей. SIEM
Система управления событиями безопасности
осуществляет сбор, сохранение, обработку и анализ
событий безопасности, поступающих в систему из
множества источников, и обнаружение подозрительной
активности.
Сбор данных
Корреляция событий
Хранение и управление данными
Оповещения и уведомления
Отчетность и визуализация
Управление инцидентами

31.

Осуществление защиты
данных пользователей. DLP
DLP (Data Loss Prevention) системы - это
инструменты, которые предназначены для
предотвращения утечек конфиденциальной
информации путем контроля доступа к ней,
анализа содержимого, обнаружения утечек
и мониторинга активности пользователей

32.

Осуществление защиты
данных пользователей. DLP
1.Контроль доступа к информации
2.Анализ содержимого
3.Обнаружение утечек
4.Мониторинг активности пользователей
5.Создание отчетов и аналитика
6.Управление политиками безопасности
7.Оповещения и уведомления
8.Блокирование утечек:

33.

Осуществление защиты
данных пользователей
Шифрование передачи данных с использованием протокола TLS 1.3
Установка межсетевых экранов
Антиспам системы
Наличие резервных копий баз данных
в нескольких дата-центрах - обеспечение
работоспособности при выходе из строя
дата-центра
Антивирусные системы
English     Русский Rules