Как увидеть невидимые инциденты
-
Upload
positive-hack-days -
Category
Business
-
view
157 -
download
2
Transcript of Как увидеть невидимые инциденты
ptsecurity.comptsecurity.com
Как увидеть невидимые инциденты
ptsecurity.com
2
ptsecurity.com
67% систем уязвимы к атакам извне 94% систем уязвимы к внутренним атакам
И только 6% систем взломать не удается
Практика тестов на проникновение
ptsecurity.com
3Безопасность в цифрах
• Периметр 87% корпоративных ЛВС не останавливает проникновение
• 61% корпоративных информационных систем может взломать неквалифицированный хакер
• Взлом ЛВС компании занимает 3-5 дней• Действия пентестеров обнаруживаются только в 2% тестов
на проникновение• Ни разу пентестерам не оказывалось организованное
противодействие
ptsecurity.com
4Какие недостатки используются
• Получение учетных записейСловарные пароли, хранение паролей
• Доступ через периметрУязвимости веб-приложений
• Использование публичных эксплойтовИзвестные уязвимости
• Перехват сетевого трафика, проблемы сегментированияОшибки сетевой инфраструктуры
•Социальная инженерияНеосведомленность пользователей
ptsecurity.com
5Проблемы обнаружения
• Нет понимания собственных активов• Нет понимания действий атакующего• Зоопарк источников данных• Недостаточная компетенция персонала• Да, есть IDS/IPS, СОА, антивирусы и
средства мониторинга. Но инциденты все равно обнаруживаются постфактум
ptsecurity.com
6Praemonitus praemunitus
•Невозможно быть готовым к любым неприятностям
•Нужно:•Знать, за что боимся•Знать, чего именно боимся•Искать признаки понятных опасностей
Знать, от кого защищаемся
ptsecurity.com
8“Это нам неактуально:…”
•“… система изолирована”•“…система хакеру неинтересна”
•“…наши пользователи такого не умеют”
ptsecurity.com
9А что в реальности?
VLAN1
VLAN2
VLAN1
VLAN2
ptsecurity.com
10“Долог путь до Типперери”
Интернет
Офисная сеть
Сеть АСУ ТП
Производство
HMI
TCP/IP
Modbus TCP
Wireless
RDP
Удаленное техническое обслуживание
SCADA
Modbus Gateway
RTU/PLC
RTU/PLC RTU/PLC
ptsecurity.com
11Что мы знаем о нарушителе
•Преследует определенные цели•Применяет определенный инструментарий•Использует определенные недостатки•Оставляет определенные следы
Знать, что защищаем
ptsecurity.com
13Угроза глазами…
•Бизнеса: “Мошенники увели $100500 млн.”•ИТ: “Упали серверы АСУ АБВГД”•Безопасника: “Конфиденциальность, доступность, целостность”
•Хакера: “Завернул трафик, выцепил пароль, залогинился под админом, профит”
ptsecurity.com
14Активы глазами…
Для бизнеса
Активы
Клиент Фронт-офисБэк-офис Поставщики
ptsecurity.com
15Активы глазами…
ptsecurity.com
16Активы глазами…
ptsecurity.com
17Инвентаризация «снизу вверх»
•Идентифицируем все узлы сети
•Учитываем топологию•Группируем узлы в системы•Учитываем информационные потоки
ptsecurity.com
18Что нужно знать об узле
•Идентификация•Hardware•Software•Настройки•Уязвимости
ptsecurity.com
19Топология
L2
L3
L4/L7
Знать, от чего защищаем
ptsecurity.com
21“КДЦ? Спасибо, не надо”
ptsecurity.com
22Формулируем угрозы
ptsecurity.com
23Моделируем угрозы
PC – Дежурный по станции Windows 2000 Professional for Embedded Systems
Начальные условия: физический доступ к АРМ
Результат: Учетная запись пользователя
1.a.1Подбор паролей по хешам из базы SAM
1.а.2
Результат: права локального администратора
Повышение привилегий (CVE-xxxx-yyyy)
Пароль доступа к FTP В конфигурационном файле
1.а.3
1.б.1Подключение к VLAN c помощью STP
Результат: Обход сегментирования
Перехват трафика (ARP
Spoofing)
Local Area NetworkEthernet
Центральный процессор
Service Processing Unit (SPU)DNIX
Результат: права root
1.в
Перезагрузка в single-user mode
Простые атаки
Legend
Продвинытые атаки
1.а.3
1.б.21.б.2 Подбор словарных паролей
Обход авторизации в FTP (CVE-xxxx-yyyy)
Результат: сетевойоступ к SPU
Начальные условия: подключение к ЛВС
Начальные условия: физический доступ к
ЦП
Отключение блокировок, перевод стрелки
Повышение привилегий (CVE-xxxx-yyyy)
Инструментарий
ptsecurity.com
25Кирпичики
SIEM
Syslog, NetFlow,
SNMP
DPI
Атаки, аномалии
Log collector
Scanner
Логи приложений
Уязвимости, настройки, ...Knowledge base
Workflow
ptsecurity.com
26Чего не хватает
•Унифицированная платформа•Унификация интерфейсов•Унификация событий
•“Умная” корреляция•Учет топологии•Корреляция по сценариям атак
•(Само)адаптируемость
Shaken, not stirred
ptsecurity.com
SIEM
Расширенная метамодель актива
События информационной безопасности
Анализ защищенности
Выявление аномалий сетевого трафика
Сетевая топология L2,L3,L7,L7
Визуализация угроз и векторов атак