Безопасность ИТ и приложений (Microsoft 2017)
•Download as PPTX, PDF•
0 likes•117 views
Безопасность ИТ & appsec
Recommended
More Related Content
What's hot
What's hot (20)
Similar to Безопасность ИТ и приложений (Microsoft 2017)
Similar to Безопасность ИТ и приложений (Microsoft 2017) (20)
More from Alexey Kachalin
More from Alexey Kachalin (20)
Безопасность ИТ и приложений (Microsoft 2017)
- 1. ptsecurity.ru ptsecurity.ru IT & App Sec «Инциденты ИБ: обнаружить и обезвредить»
- 2. ptsecurity.ru Тесты на проникновение: реальность угроз ИБ ИТ Периметр 87% корпоративных локальных сетей не останавливает проникновение 61% компаний может взломать атакующий с базовыми навыками Взлом компании занимает 3-5 дней Действия пентестеров обнаруживают только в 2 из 100 тестов на проникновение 87% 61% 2% 1 неделя
- 3. ptsecurity.ru Последствия уязвимостей: в ожидании инцидентов • Более 3-х лет - время присутствия злоумышленников в информационной системе • Одновременно несколько групп • Признаки присутствия • Аномальные потоки данных • Фоновая активность вредоносов • Криптолокер • Получен доступ к системам ИТ защиты • Изменение конфигурации домена • Изменение конфигураций сетевых устройств и правил доступа • Злоумышленники контролируют действия по расследованию инцидента • Успевают восстановить доступ при обнаружении Злоумышленники • Разбираются в технологических и орг. процессах • Проявляют активный интерес к бизнес-сценариям • Внедрение в продаваемые фирмы для «попадания» в инфраструктуру крупной компании
- 4. ptsecurity.ru Internet Доступ к внутренней сети Уязвимости: что буем искать (и найдём) • Недостатки управления учетными записями и паролями • Уязвимости веб-приложений • Недостатки фильтрации трафика • Недостатки управления уязвимостями и обновлениями • Плохая осведомленность пользователей в вопросах информационной безопасности • Недостатки конфигурации и разграничения доступа ???1 7
- 5. ptsecurity.ru Атака из внешней сети: получить доступ
- 6. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети подбор1 1 2 3 4 7 91% Системы с доступными из сети Интернет интерфейсами управления
- 7. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети подбор1 1 2 91% Словарные пароли для доступа к веб-приложениям
- 8. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети подбор1 1 2 73% Чувствительные данные хранятся в открытом виде учетки в открытом виде
- 9. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети подбор1 1 2 27% Словарный пароль к СУБД учетки в открытом виде 3 СУБД 45% Доступ к интерфейсам СУБД
- 10. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети подбор 1 2 учетки в открытом виде 3 СУБД 27% Возможность доступа к корпоративными сервисами выход из песочницы 4
- 11. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети подбор1 1 2 учетки в открытом виде 3 СУБД 80% Уязвимые веб-приложения выход из песочницы 4 веб-уязвимости 5
- 12. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети подбор1 1 2 учетки в открытом виде 3 СУБД 91% Системы с уязвимым ПО выход из песочницы 4 веб-уязвимости 5 уязвимости ПО 6
- 13. ptsecurity.ru Инцидент-кейс: начало • Агрессивное автоматизированное сканирование • Эксплуатация уязвимости (многократные попытки) • «Аномальный» туннель – канал управления • Сканирование внутренней сети для развития атаки
- 14. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети: СИ подбор1 1 2 учетки в открытом виде 3 СУБД 100% Методы социальной инженерии выход из песочницы 4 веб-уязвимости 5 уязвимости ПО 6 7социальная инженерия
- 15. ptsecurity.ru Internet Доступ к внутренней сети Атака из внешней сети: WiFi подбор веб-уязвимости уязвимости ПО учетки в открытом виде социальная инженерия выход из песочницы СУБД 1 1 2 5 3 4 6 7 8 100% Успешность атак через WiFi сети
- 16. ptsecurity.ru Недостатки защиты беспроводной сети 3/4 Несанкционированные точки доступа Доступность корпоративных WiFi за пределами КЗ Не проверяется сертификат сети Слабые ключи1/2 систем систем Подключение ресурсов ЛВС к беспроводной сети Подмена точки доступа Отсутствие защиты беспроводной сети Использование гостевой сети сотрудниками Отсутствие изоляции пользователей
- 17. ptsecurity.ru 10% 1% 10% Перешли по ссылке Вступили в диалог Ввели учетные данные либо запустили файл Социальная инженерия max 24,5% Доля сотрудников (в среднем по компаниям) Первый шаг при целевой атаке Фишинг сегодня это: Основной способ распространения ВПО
- 18. ptsecurity.ru Развитие атаки в ЛВС
- 19. ptsecurity.ru Развитие атаки в ЛВС: охота на админа Словарные пароли 90% Обход антивирусной защиты 100%1 2 _
- 20. ptsecurity.ru Развитие атаки в ЛВС: охота на админа Lateral movement: Собираем больше учеток 1
- 21. ptsecurity.ru Развитие атаки в ЛВС: охота на админа Атаки на протоколы 60% 1 2 Перехват хешей в сети и их использование/брут
- 22. ptsecurity.ru Развитие атаки в ЛВС: охота на админа Хранение важных данных в открытом виде 60% 1 2
- 23. ptsecurity.ru Развитие атаки в ЛВС: охота на админа Двухфакторная аутентификация 9% 1 2
- 24. ptsecurity.ru Развитие атаки в ЛВС: охота на админа 100% Полный контроль над инфраструктурой Атака в 4 шага Словарные пароли 90% Обход антивирусной защиты 100% Атаки на протоколы 60% Двухфакторная аутентификация 9% Хранение важных данных в открытом виде 60% систем 1 2 Независимо от типа нарушителя
- 25. ptsecurity.ru Демонстрация возможностей атакующего: прогноз последствий Нарушитель получает возможность: контролировать потоки информации в компаниях вывести всю инфраструктуру из строя проводить атаки на клиентов компаний проводить атаки, угрожающие деловой репутации (deface сайтов, рассылка писем с заведомо ложной информацией партнерам, срыв сделок и т.д.) похищать конфиденциальную информацию выполнять мошеннические операции Проведенные исследования демонстрируют возможность получения полного контроля инфраструктуры группы компаний
- 26. ptsecurity.ru Инцидент-кейс: развитие атаки • Выявить инцидент • Аномалии в выходные • Диагностика – границы инцидента • Когда «проникли»? • Какие ресурсы затронуты? • Полнота данных (перезапись журналов)
- 27. ptsecurity.ru Путь атакующего Initial Compromise Establish Foothold Escalate Privileges Internal Recon Move Laterally Complete Mission Maintain Presence Clean up & Exfiltrate Passive Recon (OSINT) Active Recon • Протяженность во времени • Критичность событий безопасности в зависимости от этапа «продвижения» атакующего • «Прекратить безобразия» – не всегда оптимальный путь • Равно как и раскрыть факт обнаружения проникновения $$$
- 28. ptsecurity.ru Границы инцидента: больше чем «событие безопасности» Attackers Hackers Spies Terrorists Corporate Raiders Professional Criminals Vandals Voyeurs Tool Physical Attack Information Exchange User Command Script or Program Autonomous Agent Toolkit Distributed Tool Data Tap Vulnerability Design Implementation Configuration Action Probe Scan Flood Authenticate Bypass Spoof Read Copy Steal Modify Delete Target Account Process Data Component Computer Network Internetwork Unauthorized Results Increased Access Disclosure of Information Corruption of Information Denial of Service Theft of Resources Objectives Challenge, Status, Thrill Political Gain Financial Gain Damage Event Attack(s) Incident • Инцидент рассматривается как событие • Анализ целей • Атрибуция атакующего • Расследовать «событие» или инцидент?
- 29. ptsecurity.ruptsecurity.ru Инвентаризация •состав системы – что будут атаковать •чем рискуем, активы? Наблюдаемость и контроль •мониторинг ИБ •контроль штатных активностей (выявление аномалий) Знание об угрозах •ландшафт угроз •новые угрозы •покрытие технологий Специфичность процессов •специфика бизнес процессов, «свой» код •каждая организация уникальна Уязвимости •конфигурации •компонентов 1 2 3 4 5 (Вечно) Актуальные проблемы
- 30. ptsecurity.ruptsecurity.ru Инвентаризация •состав системы – что будут атаковать •чем рискуем, активы? Наблюдаемость и контроль •мониторинг ИБ •контроль штатных активностей (выявление аномалий) Знание об угрозах •ландшафт угроз •новые угрозы •покрытие технологий Специфичность процессов •специфика бизнес процессов, «свой» код •каждая организация уникальна Уязвимости •конфигурации •компонентов 1 2 3 4 5 (Вечно) Актуальные проблемы ДИНАМИКА
- 31. ptsecurity.ru MaxPatrol 8 MaxPatrol SIEM Application Firewall Аудит Контроль действий пользователей и изменений в системе Регулярная проверка Защита веб-приложений Наше решение ptsecurity.ru
- 32. ptsecurity.ru 1 Pentest Анализ инфраструктуры Аудит безопасности Анализ ролевой модели Анализ кода приложений Аудит 2 Анализ конфигурации Соответствие стандартам Парольная политика Изменение настроек по умолчанию Разграничение полномочий Регулярная проверка 3 Мониторинг действий пользователей и администраторов Отслеживание изменений и оперативное оповещение Формирование инцидентов 4 Постоянный контроль настроек Контроль изменений и мониторинг Защита Рекомендуемый процесс Расследование инцидентов Защита Web
- 33. ptsecurity.ru MaxPatrol 8 Инвентаризация активов Обнаружение уязвимостей: активное сканирование по методам черного и белого ящиков Подбор паролей Проверка соответствия требованиям политик и стандартов Анализ конфигурации и контроль изменений в инфраструктуре Анализ динамики изменения защищенности инфраструктуры ptsecurity.ru MaxPatrol 8. Возможности
- 34. ptsecurity.ru
- 35. ptsecurity.ru MaxPatrol SIEM Мониторинг действий пользователей Выявление несанкционированных действий Обнаружение атак Построение топологии сети и достижимости Модельные корреляции и приоритизация событий Выявление подозрительной активности MaxPatrol SIEM. Возможности ptsecurity.ru
- 36. ptsecurity.ru Модельные корреляции query Q(ip, port) from endpoints Group = "DMZ" and Endpoints(Address= ip and Port = port and Status = "Open") event E key: dst.ip filter object = "attack" and category = "IDS/IPS" and query.Q(dst.ip, dst.port) rule DMZ_host_attack: Event.E[5] within 1 day Корреляционные правила Данные актива События Классический SIEM Hardware TCP Ports Soft Configs 1 3 2
- 38. ptsecurity.ru Application Firewall Автоматическое обучение Виртуальный патчинг Интеграция с антивирусами Application Firewall Корреляции и приоритизация событий Автоматическое обучение Виртуальный патчинг Защита от DDoS атак на уровне приложений ptsecurity.ru PT Application Firewall. Возможности
- 39. ptsecurity.ru Позитивная модель безопасности приложения («белый список») как основной метод защиты Автоматическое формирование и корректировка модели методами машинного обучения Позитивная подход
- 40. ptsecurity.ru Самообучаемая модель поведения пользователя для защиты от веб-фрода Корреляции и приоритизация событий, акцент на основных угрозах Встроенный модуль динамического тестирования защищённости приложений Виртуальные патчи (вместе с PT Application Inspector и модулем P-Code) Анализ содержимого и пассивный сканер безопасности Дополнительные техники обнаружения
- 41. ptsecurity.ru
- 42. Продолжаем усложнять жизнь атакующему Инвентаризация и patch management • System Center • Operation Management Suite Уязвимости веб- приложений • Azure Application Proxy • Identity Protection Охота на админа • Credential Guard • Remote Guard • ATA • LAPS Установка malware • Device Guard • Operation Management Suite • Windows 10 Advanced Threat Protection
- 43. ptsecurity.ru Positive Research 2017 PHDays 7 – 23-24 мая http://securitylab.ru https://www.ptsecurity.com/ PHDays.com
Editor's Notes
- План реагирования на инциденты Проверка планов в «спокойных условиях» Инвентаризация Управление уязвимостями Эффективность мониторинга ИБ?
- Самый простой вектор атаки – подбор паролей для доступных интерфейсов управления (SSH, Telnet, RDP и т.п.), которых на периметре каждой организации с избытком. Но ландшафт атаки настолько широк, что остается лишь проследить, как постепенно этот слайд превратится в паутину переплетения возможных векторов атак.
- Подбор учетных данных не ограничивается интерфейсами управления, веб-приложения лидируют в рейтинге систем, для которых применяются простые пароли. А доступ к веб-приложениям с пользовательскими или административными привилегиями дает возможность реализовать те атаки, которые недоступны случайному внешнему нарушителю, действующему без привилегий. Самые распространенные атаки – загрузка файлов в обход фильтрации расширений и внедрение SQL-операторов. Кроме того, интерфейсы администрирования приложений и веб-серверов зачастую позволяют напрямую выполнять команды ОС на сервере.
- Также нельзя забывать про то, что зачастую на общедоступных веб-ресурсах хранятся в открытом виде учетные записи. Случается находить даже доменные учетки, это существенно упрощает задачу злоумышленника по компрометации критически важных ресурсов и позволяет развивать векторы атаки, недоступные нарушителю без привилегий. Например, подключаться к корпоративным порталам.
- Крайне опасны доступные на периметре интерфейсы СУБД, так как доступ к СУБД позволяет не только подключаться к БД, но и выполнять команды на сервере. Зачастую привилегии СУБД (как и веб-приложений) избыточны, но даже ограниченных привилегий достаточно чтобы получить доступ к ЛВС
- Корпоративные сервисы на периметре сети всегда привлекают нарушителей. Если подобрать доменную учетную запись, открываются отличные возможности для расширения покрытия атаки, а также возможность развития атаки во внутреннюю сеть. Типичный пример Citrix, где возможен запуск приложений ОС, таких как IE. Нарушитель может использовать функционал приложения по открытию файлов для запуска командной оболочки. Успешная атака была продемонстрирована в 9% систем в 2016 году. Поиск уязвимостей в системных настройках для определения соответствия требованиям принятой политики безопасности (Политики безопасности Windows, политики Active Directory, системные файлы Linux, …). Позволяет выявить: Службы, приложения, использование которых не регламентировано; Небезопасные конфигурации процедур авторизации/аутентификации (слабые пароли системных учетных записей, отсутствие запрета на выполнение действий с правами привилегированных учетных записей); Небезопасная конфигурация процедур создания резервных копий данных;
- Классический вектор – атаки на веб. К сожалению этот вектор и самый распространенный и наиболее эффективный, как показывает практика. Зачастую он работает даже без привилегий в системе (SQLi, RCE, загрузка файлов, XXE, подключение и чтение файлов и т.д.)
- Эксплуатация уязвимостей ПО и ОС. В рамках пентеста не эксплуатируем бинарные эксплойты и вообще проводим только те атаки, которые не нарушают работу сервисов инфраструктуры. Однако с помощью макспатрол выявляем сотни уязвимостей устаревшего ПО на периметре, в том числе с общедоступными эксплойтами.
- https://www.ptsecurity.com/upload/corporate/ru-ru/analytics/Telecom-Incident-Investigation-rus.pdf
- Социальная инженерия – самый эффективный способ доставки ВПО. Как показывает практика работает безотказно. В любой организации найдется сотрудник, перешедший по ссылке или загрузивший файл. А нарушителю достаточного лишь 1 успешно отправленного экземпляра ВПО, чтобы скомпрометировать всю инфраструктуру. Кроме того, в 2016 году успешно продемонстрирован вектор атаки на сотрудника, вступившего в диалог с пентестером. Он ответил, что ссылка в письме не открывается, и пентестер позвонил ему по телефону, полученному в подписи ответного письма. Представившись админом, пентестер предложил решить проблему неоткрывшийся ссылки и выведал учетные данные сотрудника. Которые к слову сказать были совсем простыми, а сотрудник попросил не менять пароль ему, так как он очень удобный.
- И восьмой вектор атаки, его стоит выделить отдельно. Атаки через беспроводную сеть. В прошлом году удалось выявить вектор атаки на контроллеры домена через защищенный вайфай с помощью хранящейся в открытом виде в вебе учетной записи домена. В этому году атаки более хитрые, но не менее успешные. Например, в одной из организаций была выявлена возможность атаковать сотрудников компании, для которых было предусмотрено автоматическое переключение на гостевую сеть из корпоративной, в случае недоступности второй. Аутентификация в гостевой сети осуществлялась через веб-интерфейс и мак-адрес пользователя запоминался в настройках точки доступа, чтобы не просить аутентификацию устройства постоянно. Пентестеры создали поддельную точку доступа, полностью скопировали веб-страницу аутентификации и реализовали МИТМ между клиентами и действительной точкой доступа, таким образом, сотрудники в нормальном режиме подключались к точке доступа, при этом все запросы шли через устройство пентестеров. И на действительной точке досутпа был сохранен мак-адремс пентестеров. Таким образом сотрудники не знали что их уже атаковали, а у пентестеров был доступ к гостевой сети, где они могли прослушивать трафик, к тому же они обалдали учетными данными всех подключившихся сотрудников. Из сети был доступ к множеству ресурсов ЛВС - внутренним порталам, рабочим станциям, серверам. В другой организации отсутствие проверки сертификата точки доступа и аутентификация по уязвимому протоколу EAP-MS-CHAPv2 позволили подменить корпоративную точку доступа и перехватывать значения челедж-респонз, так как аутентификация была с доменной учеткой, то получив MD4-хеш (подбирается гарантированно 256 ключей, основанных на алгоритмах шифрования DES и SHA1 на хорошем железе до нескольких дней, либо на платных сервисах всего за $200) нарушитель сможет аутентифицироваться в сети, а также подобрать по нему пароль для последующего доступа к корпоративным ресурсам (это сложнее и не гарантирован результат, однако здесь все зависит от оснащения злоумышленника и сложности пароля). Более того, эту атаку нарушитель может проводить где угодно, достаточно выявить место скопления сотрудников атакуемой организации (например, курилка перед офисом, ближайшая станция метро, парковка, и т.п.), устройства сотрудников автоматически подключатся к точке доступа, сотрудники и не узнают, что их атаковали.
- Наиболее распространенные недостатки беспроводных сетей – несанкционированные точки доступа и доступность сетей за пределами территории организации. Любой внешний нарушитель может атаковать. Отсутствие изоляции клиентов позволяет внутри сети проводить атаки на пользователей.
- Какой бы ни была крупной огранизация, каждый десятый сотрудник может стать жертвой злоумышленника, реализующего фишинг. В одной из организаций – каждый четвертый сотрудник не был достаточно осведомлен.
- Основных вектора атаки 2. Первый – подбор локальных и доменных учетных записей. Работает почти наверняка. Далее остается пройти ммикацем по машинам с привилегиями локального админа и насобирать учетки для последующей итерации.
- Через несколько итераций всегда получаем доменадмина.
- Если не удалось подобрать в лоб, в сети часто используются протоколы NBNS и LLMNR, атаки на которые позволяют перехватывать идентификаторы и хеши пользователей. Дальше либо пасс зе хеш, либо подбор по хешу. Наверняка удачный подбор нескольких учеток и развитие атаки по первому сценарию.
- Как всегда на ресурсах можно найти много всего интересного, например учетки для доступа к бизнес-системам.
- Приятно отметить, что в 2016 году мы встретили защиту привилегированных учеток двухфакторной аутентификацией, использовались смарт карты. Но и этот механизм нам удалось обойти. Проблема в том, что контроллер домена выдает некий NT-хеш учетной записи при использовании ей смарткарты, и этот хеш отправляется контроллером на все узлы, где пользователь аутентифицируется. Таким образом достаточно получить этот хеш (например тем же мимикацем) и далее использовать его для доступа на любую машину домена с помощью пасс зе хеш (теряется смысл двухфакторной аутентификации). Более того, этот хеш никогда не меняется и нарушитель может полностью контролировать ресурсы неограниченное время (даже пароли обычно живут не более 90 дней, если настроена политика).
- Вывод один, на сегодня внутрення инфраструктура не защищена, пока пользователи используют простые пароли, нарушителю не составит труда завладеть доменом.