Embed Size (px)
Citation preview
31 мая 2016Бизнес-консультант по безопасности
Типичные болевые точки и методы проникновения в корпоративные сетиАлексей Лукацкий
2
Высокая мотивациякиберкриминала
Изменениебизнес-моделей
Динамичностьландшафта угроз
Думать как хакер
© 2015 Cisco and/or its affiliates. All rights reserved. 2
3
Точечные и
статичныерешения
© 2015 Cisco and/or its affiliates. All rights reserved. 3
Фрагментация
Сложность
Требуют лишнего управления
4
Что такое убийственная цепочка?
5
Из чего состоит убийственная цепочка?Разведка Сбор e-mail Социальные
сетиПассивный поиск
Определение IP
Сканирование портов
ВооружениеСоздание
вредоносного кода
Система доставки Приманка
Доставка Фишинг Заражение сайта
Операторы связи
Проникновение Активация Исполнение кода
Определение плацдарма
Проникновение на 3rd ресурсы
Инсталляция Троян или backdoor
Повышение привилегий Руткит Обеспечение
незаметности
Управление Канал управления
Расширение плацдарма
Внутреннее сканирование
Поддержка незаметности
Реализация Расширение заражения Утечка данных Перехват
управления Вывод из строя
Уничтожение следов
Поддержка незаметности Зачистка логов
6
Как хакер проводит разведку вашей сети?
7
Красивая приманка
Персональные данные
Персональные данные
Персональные данные
8
OSINT: Maltego
9
OSINT: Shodan
10
OSINT: Metagoofil
11
OSINT: GHDB
12
OSINT: FOCA
13
OSINT: EXIF
14
OSINT: Nessus
15
OSINT: множество других инструментов
16
Угрозы ОкружениеПериметр
Email-вектор
Web-вектор
3Жертвкликает на резюме
Инсталляция бота, установка соединения с сервером C2
4 5Сканирование LAN & альтернативный бэкдори поиск привилегированных пользователей
Система скомпрометирована и данные утекли. Бэкдорсохранен
8Архивирует данные, разделение на разные файлы и отправка их на внешние сервера по HTTPS
7
Посылка фальшивогорезюме([email protected])
2
Админ
Изучение жертвы (SNS)
1
Привилегированные пользователи найдены.6
Админ ЦОДПК
ЕленаИванова
Елена Иванова• HR-координатор• Нужны инженеры• Под давлением времени
Анатомия современной атаки
17
Проверьте себя
18
А вы проверяете заголовки e-mail?
Видео-демонстрация
19
Заражения браузера: чума, которая не проходит
Более чем
85% опрошенных компанийстрадают каждый месяц
20
Уязвимая инфраструктура используется оперативно и широкоРост атак на 221 процент на WordPress
21
Аппетит к Flash
Платформа Flash – популярный вектор атак для киберпреступности
22
Идет спад использования Flash, Java и Silverlight
Но общедоступных эксплойтов для Flash больше, чем для других производителей
23
Хакер не обязательно идет через периметр
24
Хакер не обязательно идет через периметр
25
Подмена точки доступа и перехват паролей
Видео-демонстрация
26
Что вы будете делать, если найдете флешку у дверей офиса?
Любопытство возьмет верх или нет?
27
Многие подбирают J
28
Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…Вы их контролируете?
29
Вы думаете это шутка?
Видео-демонстрация
30
Но есть и более сложные варианты
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод заражения Статический Статический В процессе исполнения
В процессе исполнения
В процессе исполнения Статический
Цель IOS IOS IOS IOS, linecards
IOS, ROMMON IOS
Архитектура цели MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленноеобнаружение
Черезкриптоанализ
Черезкриптоанализ
Используя протокол C2
Используя протокол C2
Не напрямую Да
31
А что у вас с внутренней сетью?
Android Apple
МаршрутизаторыКоммутаторы
Принтер
Интернет вещейТелефоны
Linux
На многие из этих устройств нельзяпоставить агентов контроля, мониторинга и защиты!
Точки доступа3G/4G-модемы
32
И не сможете использовать почту без защиты
? ??? ?
????
? ?
Вы должны защитить их
Вы не сможете работать без электронной почты
Когда вы внедряете облачные приложения
Каждый раз, внедряя новую технологию, необходимо обеспечивать ее защиту
33
Облачные приложения становятся неотъемлемой частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных данных
Риски несоответствия правовым нормам
Риск инсайдерских действий
Вредоносное ПО и вирусы
34
Понимание рисков, связанных с облачными приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-отдел:• Не видит, какие используются приложения• Не может идентифицировать опасные приложения• Не может настроить необходимые средства управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72%ИТ-отделов используют 6 и более неутвержденных приложений2
26% корпоративной ИТ-инфраструктуры в 2015 году будет управляться вне ИТ-отделов
35%
«Теневые» ИТИспользование несанкционированных приложений
Источник: 1CIO Insight;; 2,3Gartner
35
Понимание рисков использования данных в облачных приложениях
Это проблема, так как ваш ИТ-отдел:• Не может остановить утечку данных и устранить риски несоблюдения нормативных требований• Не в состоянии заблокировать входящий опасный контент • Не в силах остановить рискованные действия пользователей
организаций сталкивались с утечкой конфиденциальных данных при совместном использовании файлов1
90% приложений могут стать опасными при неправильном использовании2
72% файлов на каждого пользователя открыто используется в организациях3
185
«Теневые» данныеИспользование санкционированных приложения для неправомерных целей
Источник: 1Ponemon, 2013 Cost of Data Breach Study;;2CIO Insight;; 3Elastica
36
Payroll.docx
Пользователи свободно обмениваются информацией и это может привести к нарушениям безопасности
Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных приложений и «теневых» данных
При использовании облачных приложений ИТ-отдел не может контролировать все разрешения на совместное использование
20% совместно используемых файлов
содержит данные, связанные с соблюдением
нормативов
37
DNS: слепая зона для безопасности
91,3% ВредоносногоПОиспользует DNS
68% Организаций немониторят его
Популярный протокол, который используют злоумышленники для управления, утечки данных и перенаправления трафика
38
К чему это все приводит?
Bitglass
205
Trustwave
188
Mandiant
229
2287 дней – одно из самых длинных незамеченных вторжений
Ponemon
206
HP
416Symantec
305
39
Малый и средний бизнес, филиалы
Кампус Центр обработки данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active Directory
Беспроводнаясеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленныеустройства
Доступ
Облачный шлюз
безопасности
Облачный шлюз
безопасности
Матрица ASA, (сеть SDN)
АСУ ТП
CTD
IDS RA
МСЭБеспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
На что обращает вниманиесовременный хакер?
40
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40
41
Как Cisco ловит все эти атаки в своей сети?
Нейтрализовать и реагировать
Метрики иотчеты
Управление конфигурацией
Инспекция
Регистрация
Идентификация
Телеметрия
IDS | IPS | NAM | NetFlow | Web Gateway| HIDS Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPNVuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1xAddress, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB
ExecsAuditorsInfosecIT Orgs
HR-LegalLine of Biz
AdminsEnd UsersPartnersBusiness Functions
Информирование Реагирование
РасследованиеОбнаружение
DBs
Внешние фиды об угрозах
Сканы Конфиги Логи Потоки События
4TB в день
Сист. управления
Incident Mgt System
Compliance Tracker
Incident Response TeamPlaybook
Спасибо!
