Презентация, рассматривающая различные нашумевшие инциденты и то, как их можно было бы вовремя обнаружить. Но многие компании эти рекомендации не выполняют, фокусируясь только на защите периметра
11. Это была не одноходовка!
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов
20. И вновь это не одноходовка
Разведка Сбор e-mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов
44. Вы следите за своим
сетевым
оборудованием?
Слепая зона
45. История атак на оборудование Cisco
• Это привело к появлению множества новых технологий контроля
целостности оборудования - Trust Anchor, Secure Boot, Image Signing и др.
• 44-ФЗ как угроза информационной безопасности…
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод
заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да
Начало 2000-х годов
54. Жизненный цикл уязвимости
tv te td t0 ts tp ta
Уязвимость
появилась
Эксплойт выпущен
в
мир
Уязвимость
известна
вендору
Уязвимость
публично
раскрыта
Выпущена
сигнатура
для
AV/IDS
Выпущен
патч
Патч
внедрен
Окно незащищенности
Атака 0day
57. • 0-Day для Adobe – 30000$
• 0-Day для Apple – 250000$
• Эксплойт-кит – 200-600$
• Blackhole эксплойт-кит – 700$
в месяц (лизинг) или 1500$ в
год
• Шпионское ПО – 200$
Разработка на заказ
Примечание: цены могут постоянно меняться в ту или иную сторону
60. Почему антивируса недостаточно?
Канал заражения
• Интернет: E-mail
• Интернет: Web
• Внутри: Wi-Fi
• Физический доступ:
USB, цепочка поставок,
обновление ПО,
подрядчики
Техника заражения
• Старое ВПО
• Известный эксплойт
• Новый эксплойт к
недавней уязвимости
• 0day
Сам вредонос
• Старое ВПО – известный
хэш
• Известное тело –
простые модификации
• Новое тело +
обфускация
• Нет повторного
использования прежних
атак
• Различные техники
обхода на разных
уровнях
78. Проблема – не внутри вашей сети, а снаружи
Жертва
Оператор
связи
Сайт клонХакер
• Вы можете убрать жертву?
• Вы можете устранить хакера?
• Вы можете переложить это на оператора?
Остается
только
Интернет
85. Почему фишинг?
• 80% успешных атак начинается с
фишинга (а кто-то считает, что и вовсе
95%)
• 10% сигналов тревоги в SOC связано с
фишинговыми атаками
• Рейтинг успешных кликов на фишинговые
ссылки - 21%
• Рейтинг загрузки/запуска вредоносных
вложений – 11%
92. Психологи на службе хакеров
Поисковые системы vs пиратское программное
обеспечение
В 27 раз большая вероятность
доставки вредоносного контента
Интернет-реклама vs порнография
В 182 раза большая вероятность
доставки вредоносного контента
Интернет-торговля vs пиратское программное
обеспечение
В 21 раз большая вероятность
доставки вредоносного контента
93. Но это не все
Злоумышленники могут попасть
внутрь вашей сети и другими
способами
98. Атаки многоходовы и требуют комплексной
защиты
Доставка
Эксплойт
Инсталляция
C&C
Действие
Анализ
Расширение
плацдарма
Инсталляция /
исполнение
Запуск
Захват Сбор Утечка Удаление
Разведка
Вооружение Определение цели
Подготовка
Планирование
Вторжение
104. q Начать пересмотр стратегии кибербезопасности
q Понять мотивацию злоумышленников для вашего предприятия
q Учесть тактику, техники и процедуры (TTP), используемые
злоумышленниками
q Идентифицировать слабые звенья в организации, в сети, в
системе защиты
q Думать как злоумышленники – действовать как безопасники
(применяйте Red Team / Blue Team)
q Учитывать жизненный цикл атаки «ДО – ВО ВРЕМЯ - ПОСЛЕ»
q Внедрить сегментацию инфраструктуры – 50% успеха
q Внедрить мониторинг всей инфраструктуры – вторые 50%
успеха
Что надо делать компаниям?
105. q Сбалансировать технологии защиты (предотвращение,
обнаружение и реагирование) – вместо соотношения 80-15-5
перейдите к 33-33-34
q Задуматься о безопасности внутренней сети также, как
защищается периметр. А также о безопасности облаков
(включая доступ к ним) и мобильных устройств
q Мониторить даже то, чего якобы нет (Wi-Fi, мобильные
устройства, 3G/4G-модемы, облака и т.п.)
q Внедрить систему Threat Intelligence для раннего
предупреждения об угрозах
q Повышение осведомленности персонала
Что надо делать компаниям?