Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Upcoming SlideShare
Опыт построения и эксплуатации коммерческого SOC
Next
Download to read offline and view in fullscreen.

0

Share

Download to read offline

Хронология кибератаки. Точки выявления и контроля. Место SOC

Download to read offline

Хронология кибератаки.
Точки выявления и контроля.
Место SOC

Related Books

Free with a 30 day trial from Scribd

See all

Related Audiobooks

Free with a 30 day trial from Scribd

See all
  • Be the first to like this

Хронология кибератаки. Точки выявления и контроля. Место SOC

  1. 1. Хронология кибератаки. Точки выявления и контроля. Место SOC Алексей Павлов, аналитик JSOC
  2. 2. solarsecurity.ru +7 (499) 755-07-70 Поиск цифрового следа на всех этапах атаки 2 Проникновение в инфраструктуру Повышение привилегий Получение доступа к ключевым системам (ERP, CRM, АБС, процессинг) Хищение информации, вывод денежных средств
  3. 3. solarsecurity.ru +7 (499) 755-07-70 4 чувства для поиска злоумышленника 3 Сетевые коммуникации (включая локальные) Аутентификация в ОС и приложениях Работа с ключевыми файлами и объектами ОС Операции с приложениями/сервисами
  4. 4. solarsecurity.ru +7 (499) 755-07-70 Шаг первый: Точка входа в инфраструктуру 4 Социальная инженерия Распространение вредоносов Штатные механизмы передачи данных Взлом VPN ….
  5. 5. solarsecurity.ru +7 (499) 755-07-70 Точка входа в инфраструктуру Индикаторы 5 Социальная инженерия Распространение вредоносов Штатные механизмы передачи данных Взлом VPN • Mail AV • Репутационные базы • Последующая активность на рабочей станции • Репутационные базы • Контроль процессов/фай лов/реестра на критичных машинах • AV / Mail AV • Логи VPN • Профили пользователей
  6. 6. solarsecurity.ru +7 (499) 755-07-70 Шаг второй: Обустройство. Типовые шаги 6 Повышение привилегий Callback: получение команд от управляющих серверов RemoteAdmi nTools Сканирование хостов, портов Массовая рассылка писем с вредоносами Получение доступа к целевой рабочей станции
  7. 7. solarsecurity.ru +7 (499) 755-07-70 Агрегация репутационных баз 7 Opensource базы Репутационные базы вендоров Информация с СЗИ Собственная информация JSOC Технологические партнеры Партнерства с CERT
  8. 8. solarsecurity.ru +7 (499) 755-07-70 Выход нового IOC 8 Анализ IOC Добавление сигнатур Оповещение Заказчиков Ретроспективный анализ
  9. 9. solarsecurity.ru +7 (499) 755-07-70 Выход нового IOC 9 Indicators of compromise Сетевой кусок: ip-адреса Следы присутствия вредоноса Реестр Файлы Сопутствующие уязвимости Процессы
  10. 10. solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools 10 Источники:  Контроллеры домена  Сетевые устройства – МСЭ, Прокси  Локальные логи Сценарии срабатывания:  Встроенная категоризация сетевых устройств  Алерты по известным портам Расследование:  Анализ сетевой активности  Проверка запускаемых процессов (если хост подключен) Эскалация:  Ночное время  Критичные хосты
  11. 11. solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools 11 18 Jul 2015 03:08:02 MSK Зафиксирован инцидент: Запуск RemoteAdminTools на хосте Исходные данные: Машина руководителя отдела Локальные логи недоступны Расследование: Оповещение аналитика Согласование с Заказчиком подключения машины к JSOC Подключение хоста. Для организации ретроспективного анализа – в agent properties «startatend=false»
  12. 12. solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools Пример уведомления 12
  13. 13. solarsecurity.ru +7 (499) 755-07-70 Кейс: Remote admin tools Details… 13  17 Jul 2015 17:23:44 MSK Запуск MediaGet  17 Jul 2015 18:59:14 MSK Логаут пользователя, блокировка компьютера  18 Jul 2015 03:07:57 MSK Запуск процесса vuupc.exe  18 Jul 2015 03:08:02 MSK Инцидент  18 Jul 2015 03:26:00 MSK Оповещение аналитика по телефону  18 Jul 2015 03:32:48 MSK Оповещение от 1-й линии в сторону Заказчика  18 Jul 2015 03:55:00 MSK подключение машины к ArcSight
  14. 14. solarsecurity.ru +7 (499) 755-07-70 Шаг третий: контроль за целевой станцией 14 Операции в домене Отклонение от профиля, несоответствия учетных данных Изменения на критичных хостах – процессы, файлы, реестр
  15. 15. solarsecurity.ru +7 (499) 755-07-70 «Полезные уязвимости» Skeleton key – использование любой учетной записи в домене без пароля 15
  16. 16. solarsecurity.ru +7 (499) 755-07-70 Шаг Четвертый: поход за информацией, деньгами 16 Аутентификации в нерабочее время Использование технологических УЗ Нестандартные механизмы подключения к БД Изменения на критичных серверах – процессы, файлы, реестр
  17. 17. solarsecurity.ru +7 (499) 755-07-70 Основные шаги по реализации 17 1. Определение систем зоны риска:  Возможность финансовых операций  Чувствительные к публикации данные  Интересны для конкурентов 2. Выделение критичных сотрудников:  ИТ и ИБ – администраторы  Владельцы систем  Профильные отделы компаний  Руководители 3. Приоритезация срабатываний:  Частотность (массовый инцидент)  Системы зоны риска  Критичные пользователи
  18. 18. Павлов Алексей av.pavlov@solarsecurity.ru +7 (916) 178 98 90 Спасибо! Вопросы?

Хронология кибератаки. Точки выявления и контроля. Место SOC

Views

Total views

4,067

On Slideshare

0

From embeds

0

Number of embeds

3,160

Actions

Downloads

14

Shares

0

Comments

0

Likes

0

×