17 способов проникновения во внутреннюю сеть компании

Алексей Лукацкий
Бизнес-консультант по безопасности
17 способов
проникновения во
внутреннюю сеть
компании

© 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Как мы защищаем себя… ISP
Оператор
связи
ЛВС
Внутренняя сеть
DMZ
Периметр
Интернет
МСЭ в HA
Ключевые
функции
Надежность (масштабирование)
Продвинутый контроль доступа
Блокирование доступа к
вредоносным IP, URL, DNS
NAT/PAT (динамика ) NAT
(статика)
Remote Access VPN
Site to Site VPN
Обнаружение вредоносного
сетевого трафика
Контроль передачи файлов,
блокирование вредоносных
Динамический анализ
неизвестных файлов
Ключевые
возможности
HA или кластеризация
Приложения, URL, пользователи,
и TrustSec Policy с SGT
Talos Security Intelligence
Carrier Grade NAT
Cisco AnyConnect
Point to Point, Hub and Spoke,
Full mesh
NG IPS
Advanced Malware Protection
Интеграция Threat Grid

Сеть
Пользователи
Головной офис
ЦОД
Администратор
Филиал
Посмотрите на современную, вашу, сеть
Мобильные пользователи
Облако
Какие варианты проникновения в нее существуют?

Взлом Equifax
Пострадало 148 миллионов человек
Штраф в 700 миллионов долларов

Что случилось с Equifax
• Equifax – американское бюро
кредитных историй
• 7 сентября 2017 стало известно о
взломе Equifax и утечке
персональных данных 148 миллионов
человек из США, Канады и других
стран
• 14 сентября Equifax подтвердил
взлом
• В августе 2018 года GAO выпустил
детальный отчет о взломе

Шаг 1. Обнаружение уязвимости
• 10 марта 2017 года злоумышленники нашли
известную уязвимость на портале Equifax
(Apache Struts), позволившую получить
доступ к Web-порталу и выполнять на нем
команды
• Информация об уязвимости была разослана
US CERT двумя днями ранее
• После идентификации уязвимости
злоумышленники запустили эксплойт и
получили доступ к системе, проверив
возможность запуска команд
• Никаких данных украдено еще не было

Шаг 2. Эксплуатация уязвимости
• 13 мая 2017 года
злоумышленники
эксплуатировали эту
уязвимость и проникли во
внутренние системы, выполнив
ряд маскирующих процедур
• Например, использовалось
существующее
зашифрованное соединение
для генерации
запросов/получения ответов

Шаг 3. Скрытие активности и обнаружение
логинов/паролей администратора
• Шифрованный канал позволял
долго оставаться незамеченным
• Злоумышленники проникли на
внутренние сервера баз данных
и в течение 76 дней
осуществляли кражу и выкачку
данных (9000 запросов)
• Также злоумышленники смогли
узнать незашифрованные
логины и пароли к 51 другим БД
Equifax

Шаг 4. Обнаружение инцидента
• 29 июля Equifax обнаружил
инцидент в рамках обычной
процедуру проверки ОС и
конфигураций ИТ-систем
• Equifax использовала решение
FireEye по обнаружению
вредоносного трафика, которое
не смогло анализировать
зашифрованный трафик из-за
просроченного сертификата,
позволяющего реализовать
MitM

Шаг 5. Расследование инцидента
• После обновления сертификата
администратор Equifax смог обнаружить
признаки взлома в зашифрованном
трафике
• Equifax заблокировал ряд IP-адресов, с
которыми взаимодействовала вредоносная
программа
• 30 июля CISO информировал CEO об атаке
• Расследование длилось с 2 августа по 2
октября

Это была не одноходовка!
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
Реализация
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов

Причины инцидента
• Невыстроенный процесс управления уязвимостями
Список лиц, которым направлялось уведомление US CERT, был устаревшим
Сканер уязвимостей не смог обнаружить уязвимостей на Web-портале
• Скрытие активности в шифрованном канале
• Отсутствие сегментации в сети
• Логины и пароли в открытом виде
• Ненастроенное средство инспекции сетевого трафика с просроченным
сертификатом
И при это защита периметра была выстроена!

На что надо было
обратить
внимание?!
Индикаторы
компрометации
q Превышение объема
исходящего трафика
q Соединение с редко
используемыми доменами
q Необычный доступ с Web-
сервера к оконечным
устройствам внутри сети
q Необычные взаимодействия
родительского и дочернего
процессов на узле
q Редкий процесс на узле

Рекомендации для данного кейса
q Выстроить процесс устранения уязвимостей и установки патчей
q Тесно контактировать с ИТ-командой, отвечающей за процесс
управления патчами и иметь актуальный список лиц, которые
занимаются устранением дыр
q Мониторить внутренний трафик с помощью решений класса NTA
(NBAD), которые позволяют обнаруживать аномалии и угрозы,
проникшие из-за периметра или инициированные изнутри, в том
числе и в зашифрованном трафике
q Поддерживать актуальную конфигурацию как сетевого
оборудования, так и средств защиты
q Отслеживать изменения на Web-серверах и серверах БД

q Сегментировать сеть для предотвращения несанкционированного
доступа
q Отслеживать коммуникации с внешними узлами для обнаружения
доступа к редко используемым или схожим по имени ресурсам
q Понимать риски использования злоумышленниками шифрования для
скрытия своей активности и использования решений, которые
борются с этим (EDR на оконечных устройствах, устройства для SSL
Offload, инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников, использование технологий
машинного обучения для обнаружения вредоносной активности
внутри зашифрованного трафика без его расшифрования)

А у вас выполнены эти рекомендации?

Взлом British Airways
Пострадало 0,5 миллиона человек
Штраф в 230 миллионов долларов

Взлом British Airways
• Между 21 августа и 5
сентября 2018 года
хакерская группа Magecart
(или маскирующаяся под
нее), взломав сервер
авиакомпании British Airways,
похитила данные 380 тысяч
клиентов, включая их ПДн и
финансовую информацию
• Позже BA сообщила, что
могли пострадать еще 185
тысяч клиентов

Начало сценария схоже с Equifax
• Отличие в том, что в случае с BA
был взломан сайт авиакомпании и
подменен JavaScript, собирающий
данные клиентов, с последующей
пересылкой данных на
вредоносный ресурс baways.com
• Также есть предположение, что
взломан мог быть не сайт BA, а
CDN, используемый провайдерами
связи для кеширования
популярных ресурсов или сервер
третьей стороны

И вновь это не одноходовка
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
плацдарма
Проникновение
на 3rd ресурсы
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
Канал
управления
плацдарма
Внутреннее
сканирование
Поддержка
Реализация
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов

q Контролировать ПО, полученное из третьих рук
q Отслеживать изменения на Web-серверах и серверах БД и
выстроить процесс контроля целостности используемого ПО и
скриптов

Обратите внимание – рекомендации
повторяются, хотя кейс совсем иной!

Атака на MAERSK
Ущерб 250-300 миллионов долларов

Как MAERSK попал под раздачу?
• В июне 2017-го года MAERSK
случайно попал под раздачу
вредоносного кода Nyetya
• На момент атаки 100%
установленных патчей
• 7 минут после начала
заражения – большая часть
сети «легла»
• 1 час после начала заражения –
нанесен основной ущерб

Nyetya
Presentation ID
Инструменты
Тактики
• Цепочка поставок и от жертвы к жертве
• Быстрое распространение
• Разрушение систем / сетей
Процессы
• Разработан для максимально быстрого и
эффективного нанесения ущерба
• Похож на вымогателя, но является
деструктивным по сути
• Ransomware с тактикой червя
• Спроектирован для распространения внутри,
не снаружи
• Использование Eternal Blue / Eternal Romance
и Admin Tools (WMI/PSExec)
• Продвинутый актор, ассоциированный с
государством
• Деструктивная атака маскировалась под
Ransomware
• Наиболее дорогой инцидент в истории
Описание

Что произошло в MAERSK за 7 минут
• 49000 лептопов уничтожено
• Все сервисы печати неработоспособны
• Файлшары недоступны
• DHCP и AD неработоспособны (47 копий AD из 48)
• Корпоративная сервисная шина неработоспособна
• vCenter неработоспособен
• 1200 приложений недоступно; 1000 – неработоспособно
• 3500 из 6200 серверов неработоспособно

Восстановление MAERSK
• 9 дней – восстановлен AD и первые
2000 лэптопов
• 2 недели с начала атаки –
восстановлены все глобальные
приложения
• 4 недели – восстановлены все
лэптопы
Восстановление из резервной копии
приводило к повторному заражению

А вы доверяете своим поставщикам ПО?

CCleaner Инструменты
Тактики
• Цепочка поставок и от жертвы к жертве
• Медленная внутренняя разведка
• Сложная многоходовая атака
Процессы
• Высокоточная идентификация жертв
через датамайнинг
• Ориентирован на скрытность, рассчитан
на долгую «игру»
• Целевой фишинг
• Комплексная разведка и профилирование
цели
• Кейлогер и вор пользовательских учетных
данных
• Продвинутый актор, ассоциированный с
государством
• Возможность выполнять сложные и
длинные операции, фокусированные на
краже интеллектуальной собственности
Описание

Атака «водопой» (water hole)
Взлом ASUS, Avast,
поставщиков
промышленного ПО и
др.

q Контролировать ПО, полученное из третьих рук
доступа

Обратите внимание – рекомендации
повторяются, хотя и этот кейс совсем
иной! И они снова не связаны с
классической защитой периметра!

Кампания DNSpionage
и Sea Turtle
Невидимость в течение двух лет

Как работает DNS?
DNS-сервер
“Где находится web-сайт?"
“Вот IP-
адрес web-
сайта.”
Web-сайт
Иди по IP-
адресу, чтобы
увидеть этот
сайт.
www.example.com

Где DNS-сервер
сайта?
02
Какой IP-адрес
сайта?
03
Web-сайт находится
по IP-адресу.
04
Где TLD-сервер
сайта?
01
Как работает DNS… в деталях
DNS Resolver
Корневой DNS-сервер
“Где находится web-сайт?”
02
03
Web-сайт
www.example.com
TLD DNS-сервер
DNS-сервер
01
04

Атака DNS redirection
“Где находится web-
сайт?"
“Вот IP-адрес web-сайта.”
Web-сайт
Скомпрометированный
DNS-сервер
Вредоносный сайт
www.example.com

“Где находится web-
сайт?”
Где DNS-сервер
сайта?
02
Записи DNS-сервера
подменены.
03
IP-адрес
возвращается для
фальшивого сайта.
04
Где TLD-сервер
сайта?
01
DNS Resolver
Корневой DNS-сервер
02
TLD DNS-сервер
Скомпрометированный
DNS-сервер
01
03
Web-сайт
04
Сайт «посередине»
www.example.com

• Фальшивый сайт для поиска работы,
разрекламированный через LinkedIn
• Файл MS Word с внедренными
макросами (при открытии и закрытии)
• Запуск RAT на жертве,
взаимодействующем с C2-сервером
• Команды и результаты работы
отправлялись по HTTP или DNS
Фальшивая вакансия с внедренными
макросами

Клиент ⇒ RoyNGBDVIAA0[.]0ffice36o[.]com
0GTx00
base32 Возврат IP-адреса 100.105.114.0 ⇒ клиент
dirx00
ASCII
gLtAGJDVIAJAKZXWY000[.]0ffice36o[.]com -> GJDVIAJAKZXWY000 -> “2GTx01 Vol»
TwGHGJDVIATVNVSSA000[.]0ffice36o[.]com -> GJDVIATVNVSSA000 -> «2GTx02 ume»
1QMUGJDVIA3JNYQGI000[.]0ffice36o[.]com -> GJDVIA3JNYQGI000 -> «2GTx03 in d»
iucCGJDVIBDSNF3GK000[.]0ffice36o[.]com -> GJDVIBDSNF3GK000 -> «2GTx04 rive»
viLxGJDVIBJAIMQGQ000[.]0ffice36o[.]com -> GJDVIBJAIMQGQ000 -> «2GTx05 C h»

Нормальное распределение длин поддоменов Аномалии в названии поддоменов
log.nu6timjqgq4dimbuhe.3ikfsb---отредактировано---cg3.7s3bnxqmavqy7sec.dojfgj.com
log.nu6timjqgq4dimbuhe.otlz5y---отредактировано---ivc.v55pgwcschs3cbee.dojfgj.com
Что скрывается в этой строке на 231 символ?
Утечка номеров кредитных карт через DNS

DNS как API – он есть, но его не мониторят
NAME DNS IP NO C2 TOR PAYMENT
Locky DNS
SamSam DNS (TOR)
TeslaCrypt DNS
CryptoWall DNS
TorrentLocker DNS
PadCrypt DNS (TOR)
CTB-Locker DNS
FAKBEN DNS (TOR)
PayCrypt DNS
KeyRanger DNS
Ключи шифрования Payment MSG

Ваш МСЭ (даже NGFW) умеет
инспектировать DNS не только на
уровне доступа к доменам, но и на
уровне анализа запросов/ответоы

q Инспекция DNS – на уровне доменов
q Инспекция DNS – на уровне объема запросов и ответов
q Инспекция DNS – на уровне анализа имен/энтропии/длин доменов
q Инспекция DNS – на уровне содержимого запросов и ответов DNS
q Инспекция DNS – …
доступа

Вы следите за своим
сетевым
оборудованием?
Слепая зона

История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др.
• 44-ФЗ как угроза информационной безопасности…
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод
заражения
Статический Статический
В процессе
исполнения
В процессе
В процессе
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
Начало 2000-х годов

VPNFilter Инструменты
Тактики
• Направлена на периметровые устройства
• Перенаправляет и изменяет сетевой трафик
Процессы
• Брать все, искать интересующее
• Заразить и закрепиться
• Фреймворк для построения собственных
ботнетов
• Модульная архитектура для обновления
• Сложная C2 & многоходовая платформа
• Ботнет из периметровых сетевых
устройств и систем хранения
• Инфицировано свыше 500K
уязвимых устройств (не Cisco)
Описание
DNS
мониторинг
NGFW, NGIPS
NTA

Помните кино «Хакеры»?

Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…
Вы их контролируете?

Взлом NASA
• В апреле 2018 хакеры проникли во
внутреннюю сеть NASA и украли 500
МБ данных по миссии на Марс
• В качестве точки входа использовался
портативный компьютер Raspberry Pi,
установленный в сети NASA

q Контролировать купленное сетевое оборудование
q Выстроить процесс устранения уязвимостей и установки патчей
q Поддерживать актуальную конфигурацию сетевого оборудования
доступа

Опять рекомендации повторяются! И они
снова не связаны с классической
защитой периметра!

Вспомним про
вредоносный код
Выбросьте антивирусы на помойку

Жизненный цикл уязвимости
tv te td t0 ts tp ta
Уязвимость
появилась
Эксплойт выпущен
в
мир
известна
вендору
публично
раскрыта
Выпущена
сигнатура
для
AV/IDS
Выпущен
патч
Патч
внедрен
Окно незащищенности
Атака 0day

Биржи скупки уязвимостей

И даже прямо ищут

• 0-Day для Adobe – 30000$
• 0-Day для Apple – 250000$
• Эксплойт-кит – 200-600$
• Blackhole эксплойт-кит – 700$
в месяц (лизинг) или 1500$ в
год
• Шпионское ПО – 200$
Разработка на заказ
Примечание: цены могут постоянно меняться в ту или иную сторону

Несколько фактов о 0day
• Средняя длительность 0day-атаки
составляет 312 дней (медиана – 8
месяцев)
• После раскрытия 0day-уязвимости
число использующего ее ВПО
возрастает в 183-85000 раз, а число
атак с ней возрастает на 5 (!) порядков
• Эксплойты для 0day уязвимостей
появляются в течение 30 дней после
даты раскрытия уязвимости в 42%
случаев
Длительность 0day-атак

Доверяете антивирусу? А зря!
Источник: Group-IB
Нет антивируса
14%
Kaspersky
44%
Microsoft
16%
Symantec
7%
Dr.Web
8%
Другие
11%

Почему антивируса недостаточно?
Канал заражения
• Интернет: E-mail
• Интернет: Web
• Внутри: Wi-Fi
• Физический доступ:
USB, цепочка поставок,
обновление ПО,
подрядчики
Техника заражения
• Старое ВПО
• Известный эксплойт
• Новый эксплойт к
недавней уязвимости
• 0day
Сам вредонос
• Старое ВПО – известный
хэш
• Известное тело –
простые модификации
• Новое тело +
обфускация
• Нет повторного
использования прежних
атак
• Различные техники
обхода на разных
уровнях

Endpoint
Network
Dropper
C2 Callbacks
Payloads
Command and
Control
Dropper
Executes
Email
Opened
File
Encryption
Delete
Shadow
Copies
Payload
Download
Succeeds
Key
Exchange
Email
Payload Download
Attempts
18
26 Ложных
Блокировок
Dropper
Arrives
Пользователь
звонит в
поддержку и
спрашивает
почему ИТ
зашифровала
ПК

q Борьба с вирусами – удел не антивирусов, а целого комплекса
защитных средств
q Сегментировать сеть для локализации развития атаки
доступа к C2-серверами
q EDR на оконечных устройствах
q Инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников
q Использование технологий машинного обучения для обнаружения
вредоносной активности внутри зашифрованного трафика без его
расшифрования
q Использование расширений традиционных средств защиты

Разведка Доставка
ЦЕЛЬ
Управление Действия
ВЗЛОМ
Запуск Эксплойт Инсталляция
ЗАРАЖЕНИЕ
Всесторонняя
инфраструктура
защиты
NGIPS
NGFW
Анализ
аномалий
Network
Anti-
Malware
NGIPS
NGFW
Host
Anti-
Malware
DNSЗащита
DNS
Защита
Web
Защита
Email
NGIPS
DNSЗащита
DNS
Защита
Web
NGIPS
Threat
Intelligence

Мы часто ошибаемся, нажимая на клавиши
• Что произойдет, если мы наберем «w» вместо «s» или «x» вместо «c»?

Куда вы попадете, набрав sbirbank.ru или
sberbamk.ru?
Это «безобидная» угроза, в отличие от злоумышленного
использования доменов, похожих по написанию на «sberbank»

Реальные примеры «опасных» доменов
Уже существующие
домены
• sberbank.us
• sberbank.org
• sbervank.ru
• zberbank.ru
• wberbank.ru
• sberbunk.ru
Еще не
задействованные
домены
• sberbani.ru
• sberbanl.ru
• sberrank.ru
• 5berbank.ru
• sberb4nk.ru
• и сотни других

Домены, найденные утилитой URLcrazy

Тайпсквотинговый домен связан с
вредоносным кодом

Locky – скандинавский бог обмана
• Через вложение Email в
фишинговой рассылке
• Шифрует и
переименовывает файлы с
.locky расширением
• Примерно 90,000 жертв в
день
• Выкуп порядка 0.5 – 1.0
BTC (1 BTC ~ $601 US)
• Связан с операторами
Dridex

Locky: обнаружение инфраструктуры
злоумышленника
СЕНТЯБРЬ 12-26 ДНЕЙ
Umbrella
АВГУСТ 17
LOCKY
*.7asel7[.]top
?
Domain → IP
Ассоциация
?
IP → Sample
?
IP → Network
?
IP → Domain
?
WHOIS
?
Network → IP

91.223.89.201185.101.218.206
600+
Threat Grid files
SHA256:0c9c328eb66672e
f1b84475258b4999d6df008
*.7asel7[.]top LOCKY
Domain → IP
AS 197569IP → Network
1,000+
DGA domains
ccerberhhyed5frqa[.]8211fr[.]top
IP → Domain
IP → Sample
CERBER

-26 DAYS AUG 21
Umbrella
JUL 18
JUL 21
Umbrella
JUL 14
jbrktqnxklmuf[.]info
mhrbuvcvhjakbisd[.]xyz
LOCKY
LOCKY
DGA
Network → Domain
DGA
Угроза обнаружена в
день регистрации домена
Угроза обнаружена до
регистрации домена.
ДОМЕН
ЗАРЕГИСТРИРОВАН
JUL 22

Визуализация инфраструктуры трояна Tinba

Bы мoжeтe найти oтличия?
* - в названии слайда тоже есть ошибки J

Вы можете найти отличия?
a а≠
U+0061
латиница
U+0430
кириллица
* - в названии слайда уже нет ошибок J

Вы можете найти отличия?

Проблема – не внутри вашей сети, а снаружи
Жертва
Оператор
связи
Сайт клонХакер
• Вы можете убрать жертву?
• Вы можете устранить хакера?
• Вы можете переложить это на оператора?
Остается
только
Интернет

q Инспекция DNS-трафика для обнаружения взаимодействия с
инфраструктурой злоумышленников
q Использования источников Threat Intelligence с данными о
фишинговых доменах
q Регулярный мониторинг Интернет в поисках сайтов-клонов
q Повышение осведомленности пользователей
q Выстраивание системы защиты от фишинга

А что с фишингом?

Проверим вашу наблюдательность
katherinelangford.net
kyt6ea4ak4bvo35lrw.net
vs

Да, вы правы в 100% случаев! Наверное J
Rovnix Malware DGA-домен
katherinelangford.net kyt6ea4ak4bvo35lrw.net
vs

Проверим вашу наблюдательность
christinepatterson.net
christinekirkpatrick.net
vs

Человеческий мозг дает сбой!
Suppobox Malware DGA-домен
christinekirkpatrick.net christinepatterson.net
vs

Почему фишинг?
• 80% успешных атак начинается с
фишинга (а кто-то считает, что и вовсе
95%)
• 10% сигналов тревоги в SOC связано с
фишинговыми атаками
• Рейтинг успешных кликов на фишинговые
ссылки - 21%
• Рейтинг загрузки/запуска вредоносных
вложений – 11%

Рост фишинговых доменов
64% рост новых фишинговых доменов в Q1 2019
Источник: Cisco Umbrella
Ежеквартально появляется около 500 тысяч новых фишинговых доменов

• Голос
• SMS
• MMS
• Блоги
• Соцсети
• Мессенджеры
Только e-mail / Web?

Как меня атаковали через соцсети

Spear Phishing набирает обороты
Snapchat - CEO GCI - CFO

Spear Phishing набирает обороты
Seagate - CEO Джон Подеста, глава избирательной кампании
Хиллари Клинтон

Вспомним 12 апостолов сотрудников ГРУ

Психологи на службе хакеров
Поисковые системы vs пиратское программное
обеспечение
В 27 раз большая вероятность
доставки вредоносного контента
Интернет-реклама vs порнография
В 182 раза большая вероятность
Интернет-торговля vs пиратское программное
обеспечение
В 21 раз большая вероятность

Но это не все
Злоумышленники могут попасть
внутрь вашей сети и другими
способами

Взлом через Wi-Fi в контролируемой зоне

Olympic Destroyer Инструменты
Тактики
• Цепочка поставок
• Расширение плацдарма через WMI и PSEXEC
• Автоматическое расширение плацдарма с
украденными учетными данными
Процессы
• Кража учетных данных и расширение
плацдарма
• Фокусированная атака, направленная на
получение политической выгоды
• PSEXEC / WMI / Creds stealer / Browser stealer
• Использование легальных системных утилит
• Mimikatz и воровство учетных данных
• Направлен на Олимпийские игры в Ю.Корее
• Авторство приписывают Северной Корее
Описание
Борьба
с ВПО
Email
Security
DNS
мониторинг
NGFW, NGIPS
NTA EDR

Подводим итоги
Постоянно следите за тактиками,
техниками и процедура (TTP)
злоумышленников

1. E-mail
2. Web
3. Site-to-Site VPN
4. Remote Access
VPN
5. Sharing resources
6. USB
7. Wi-Fi
8. Warez
9. BYOD
10. Embedded
11. Клиент-сервер с
шифрованием
12. DevOps
13. Подрядчики
14. Уязвимость на
портале
15. «Водопой»
(Waterhole)
16. DNS
17. Облако
17 каналов проникновения плохих парней в
вашу организацию

Атаки многоходовы и требуют комплексной
защиты
Доставка
Эксплойт
C&C
Действие
Анализ
плацдарма
Инсталляция /
исполнение
Запуск
Захват Сбор Утечка Удаление
Разведка
Вооружение Определение цели
Подготовка
Планирование
Вторжение

Анализ потока
Сеть
L2/L3
МСЭАнтивре-
доносное
ПО
Аналитика
угроз
к внешним зонам
доступом +
TrustSec
к комплексу
зданий
к облаку
Межсетевой экран нового поколения
Зоны
обще-
доступ-
ных
серверов Сеть
L2/L3
Мониторинг
и контроль
приложений
(AVC)
Безопасность
веб-трафика
Защита
электронной
почты
Система
предотвра-
щения
вторжений
нового
поколения
Отказ
в обслужи-
вании
(DDoS)VPN-
концентратор
хоста
МСЭ
веб-
Баланси-
ровщик
нагрузки
Транспорти-
ровка
Разгрузка
функций
безопасности
транспортного
уровня
Интернет
Защита периметра – это не только МСЭ и IPS

хоста
Беспроводная
сеть
Предотвра-
щение
вторжений
в беспроводной
сети
Оценка
состояния
доступом +
TrustSec
Анализ потока
Сеть
L2/L3
Сеть L2/L3Безопасность
хоста
Идентификация Оценка
состояния
МСЭ Система
предотвра-
щения
вторжений
нового
поколения
Антивре-
доносное ПО
Анализ потокаАналитика
угроз
VPN
Председатель правления,
отправляющий электронные сообщения акционерам
Менеджер по работе с
клиентами,
анализирующий базу
данных клиентов
Контроллер беспроводной сети
Коммутатор Межсетевой экран нового поколения
к ЦОД
WAN
Иденти-
фикация
мобильными
устройствами
Анализ потокаУправление
доступом +
TrustSec
доступом +
TrustSec
доступом +
TrustSec
Маршрутизатор
Локальная сеть тоже должна защищаться

Сеть
L2/L3
доступом +
TrustSec
к комплексу
зданий
Зона общих
сервисов
Система
предотвра-
щения
вторжений
нового
поколения
Зона сервера
Зона
соответствия
стандартам PCI
Зона базы
данных
Анализ
потока
хоста
Баланси-
ровщик
нагрузки
Анализ
потока
МСЭ
Антивре-
доносное
ПО
Анали-
тика
угроз
доступом +
TrustSec
Система
предотвра-
щения
вторжений
нового
поколения
Межсетевой экран нового поколения Маршрутизатор
Сеть
L2/L3МСЭ VPN
Коммута-
тор
МСЭ веб-
Централизованное управление
Политики/
Конфигурация
Мониторинг/
контекст
Анализ/
корреляция
Аналитика
Регистрация
в журнале/
отчетность
Аналитика
угроз
уязвимостями
Мониторинг
к периметру
Виртуализированные функции
WAN
И ЦОД с облаками тоже

Сегментация и мониторинг внутренней сети
Сегментация
сети
Обнаружение и
классификация активов
Понимание поведения
Моделирование и
разработка политик
Применение
политик
Мониторинг активности
ISE
Software Defined
Access
StealthWatch
Tetration

q Начать пересмотр стратегии кибербезопасности
q Понять мотивацию злоумышленников для вашего предприятия
q Учесть тактику, техники и процедуры (TTP), используемые
злоумышленниками
q Идентифицировать слабые звенья в организации, в сети, в
системе защиты
q Думать как злоумышленники – действовать как безопасники
(применяйте Red Team / Blue Team)
q Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ»
q Внедрить сегментацию инфраструктуры – 50% успеха
q Внедрить мониторинг всей инфраструктуры – вторые 50%
успеха
Что надо делать компаниям?

q Сбалансировать технологии защиты (предотвращение,
обнаружение и реагирование) – вместо соотношения 80-15-5
перейдите к 33-33-34
q Задуматься о безопасности внутренней сети также, как
защищается периметр. А также о безопасности облаков
(включая доступ к ним) и мобильных устройств
q Мониторить даже то, чего якобы нет (Wi-Fi, мобильные
устройства, 3G/4G-модемы, облака и т.п.)
q Внедрить систему Threat Intelligence для раннего
предупреждения об угрозах
q Повышение осведомленности персонала
Что надо делать компаниям?

CISCO CYBERSECURITY SERIES 2019 Consumer Privacy Survey
1
CISCO CYBERSECURITY SERIES 2019 • DATA PRIVACY
NOVEMBER 2019
Consumer
Privacy Survey
The growing imperative of getting
data privacy right
Cisco Cybersecurity Report Series 2020
CISO Benchmark Study
Securing What's Now
and What's Next
20 Cybersecurity Considerations for 2020
CISCO CYBERSECURITY SERIES 2020 • DATA PRIVACY
JANUARY 2020
From Privacy to Profit:
Achieving Positive Returns
on Privacy Investments
Cisco Data Privacy Benchmark Study 2020
Отчеты по безопасности на cisco.com/go/securityreports
Дополнительная информация

Спасибо
за
внимание!
security-request@cisco.com

17 способов проникновения во внутреннюю сеть компании

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to 17 способов проникновения во внутреннюю сеть компании

Similar to 17 способов проникновения во внутреннюю сеть компании (20)

More from Aleksey Lukatskiy

More from Aleksey Lukatskiy (14)

17 способов проникновения во внутреннюю сеть компании