ptsecurity.comptsecurity.com

Как увидеть невидимые инциденты

ptsecurity.com

2

ptsecurity.com

67% систем уязвимы к атакам извне 94% систем уязвимы к внутренним атакам

И только 6% систем взломать не удается

Практика тестов на проникновение

ptsecurity.com

3Безопасность в цифрах

• Периметр 87% корпоративных ЛВС не останавливает проникновение

• 61% корпоративных информационных систем может взломать неквалифицированный хакер

• Взлом ЛВС компании занимает 3-5 дней• Действия пентестеров обнаруживаются только в 2% тестов

на проникновение• Ни разу пентестерам не оказывалось организованное

противодействие

ptsecurity.com

4Какие недостатки используются

• Получение учетных записейСловарные пароли, хранение паролей

• Доступ через периметрУязвимости веб-приложений

• Использование публичных эксплойтовИзвестные уязвимости

• Перехват сетевого трафика, проблемы сегментированияОшибки сетевой инфраструктуры

•Социальная инженерияНеосведомленность пользователей

ptsecurity.com

5Проблемы обнаружения

• Нет понимания собственных активов• Нет понимания действий атакующего• Зоопарк источников данных• Недостаточная компетенция персонала• Да, есть IDS/IPS, СОА, антивирусы и

средства мониторинга. Но инциденты все равно обнаруживаются постфактум

ptsecurity.com

6Praemonitus praemunitus

•Невозможно быть готовым к любым неприятностям

•Нужно:•Знать, за что боимся•Знать, чего именно боимся•Искать признаки понятных опасностей

Знать, от кого защищаемся

ptsecurity.com

8“Это нам неактуально:…”

•“… система изолирована”•“…система хакеру неинтересна”

•“…наши пользователи такого не умеют”

ptsecurity.com

9А что в реальности?

VLAN1

VLAN2

VLAN1

VLAN2

ptsecurity.com

10“Долог путь до Типперери”

Интернет

Офисная сеть

Сеть АСУ ТП

Производство

HMI

TCP/IP

Modbus TCP

Wireless

RDP

Удаленное техническое обслуживание

SCADA

Modbus Gateway

RTU/PLC

RTU/PLC RTU/PLC

ptsecurity.com

11Что мы знаем о нарушителе

•Преследует определенные цели•Применяет определенный инструментарий•Использует определенные недостатки•Оставляет определенные следы

Знать, что защищаем

ptsecurity.com

13Угроза глазами…

•Бизнеса: “Мошенники увели $100500 млн.”•ИТ: “Упали серверы АСУ АБВГД”•Безопасника: “Конфиденциальность, доступность, целостность”

•Хакера: “Завернул трафик, выцепил пароль, залогинился под админом, профит”

ptsecurity.com

14Активы глазами…

Для бизнеса

Активы

Клиент Фронт-офисБэк-офис Поставщики

ptsecurity.com

15Активы глазами…

ptsecurity.com

16Активы глазами…

ptsecurity.com

17Инвентаризация «снизу вверх»

•Идентифицируем все узлы сети

•Учитываем топологию•Группируем узлы в системы•Учитываем информационные потоки

ptsecurity.com

18Что нужно знать об узле

•Идентификация•Hardware•Software•Настройки•Уязвимости

ptsecurity.com

19Топология

L2

L3

L4/L7

Знать, от чего защищаем

ptsecurity.com

21“КДЦ? Спасибо, не надо”

ptsecurity.com

22Формулируем угрозы

ptsecurity.com

23Моделируем угрозы

PC – Дежурный по станции Windows 2000 Professional for Embedded Systems

Начальные условия: физический доступ к АРМ

Результат: Учетная запись пользователя

1.a.1Подбор паролей по хешам из базы SAM

1.а.2

Результат: права локального администратора

Повышение привилегий (CVE-xxxx-yyyy)

Пароль доступа к FTP В конфигурационном файле

1.а.3

1.б.1Подключение к VLAN c помощью STP

Результат: Обход сегментирования

Перехват трафика (ARP

Spoofing)

Local Area NetworkEthernet

Центральный процессор

Service Processing Unit (SPU)DNIX

Результат: права root

1.в

Перезагрузка в single-user mode

Простые атаки

Legend

Продвинытые атаки

1.а.3

1.б.21.б.2 Подбор словарных паролей

Обход авторизации в FTP (CVE-xxxx-yyyy)

Результат: сетевойоступ к SPU

Начальные условия: подключение к ЛВС

Начальные условия: физический доступ к

ЦП

Отключение блокировок, перевод стрелки

Повышение привилегий (CVE-xxxx-yyyy)

Инструментарий

ptsecurity.com

25Кирпичики

SIEM

Syslog, NetFlow,

SNMP

DPI

Атаки, аномалии

Log collector

Scanner

Логи приложений

Уязвимости, настройки, ...Knowledge base

Workflow

ptsecurity.com

26Чего не хватает

•Унифицированная платформа•Унификация интерфейсов•Унификация событий

•“Умная” корреляция•Учет топологии•Корреляция по сценариям атак

•(Само)адаптируемость

Shaken, not stirred

ptsecurity.com

SIEM

Расширенная метамодель актива

События информационной безопасности

Анализ защищенности

Выявление аномалий сетевого трафика

Сетевая топология L2,L3,L7,L7

Визуализация угроз и векторов атак

Спасибо!

ptsecurity.com

Дмитрий Кузнецов dkuznetsov@ptsecurity.com