Болевые точки корпоративной сети: взгляд не со стороны службы ИБ

8,158 views

Published on

Примеры точек проникновения в корпоративные и ведомственные сети - Wi-Fi, флешки, почта, зараженные сайты, аппаратные закладки, подмена Wi-Fi и т.п.

Published in: Technology
1 Comment
3 Likes
Statistics
Notes
  • This is real take it serious, who will believe that a herb can cure herpes, i navel believe that this will work i have spend a lot when getting drugs from the hospital to keep me healthy, what i was waiting for is death because i was broke, one day i hard about this great man who is well know of HIV and cancer cure, i decided to email him, unknowingly to me that this will be the end of the herpes in my body, he prepare the herb for me, and give me instruction on how to take it, at the end of the one month, he told me to go to the hospital for a check up, and i went, surprisingly after the test the doctor confirm me negative, i thought it was a joke, i went to other hospital was also negative, then i took my friend who was also herpes positive to the Dr Agumagu, after the treatment she was also confirm negative . He also have the herb to cure cancer. please i want every one with this virus to be free, that is why am dropping his email address, agumaguspelltemple@outlook.com or agumaguspelltemple@gmail.com do email him he is a great man. the government is also interested in this DR, thank you for saving my life, and I promise I will always testify for your good work call his number +233200116937.
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
8,158
On SlideShare
0
From Embeds
0
Number of Embeds
6,768
Actions
Shares
0
Downloads
127
Comments
1
Likes
3
Embeds 0
No embeds

No notes for slide

Болевые точки корпоративной сети: взгляд не со стороны службы ИБ

  1. 1. 31  мая  2016 Бизнес-­консультант  по  безопасности Типичные  болевые  точки  и  методы   проникновения  в  корпоративные   сети Алексей  Лукацкий
  2. 2. 2 Высокая  мотивация киберкриминала Изменение бизнес-­моделей Динамичность ландшафта  угроз Думать  как  хакер ©   2015   Cisco   and/or   its   affiliates.   All  rights   reserved. 2
  3. 3. 3 Точечные   и статичные решения ©   2015   Cisco   and/or   its   affiliates.   All  rights   reserved. 3 Фрагментация Сложность Требуют  лишнего   управления
  4. 4. 4 Что  такое  убийственная  цепочка?
  5. 5. 5 Из  чего  состоит  убийственная  цепочка? Разведка Сбор  e-­mail Социальные   сети Пассивный   поиск Определение   IP Сканирование   портов Вооружение Создание   вредоносного   кода Система   доставки Приманка Доставка Фишинг Заражение   сайта Операторы   связи Проникновение Активация Исполнение   кода Определение   плацдарма Проникновение   на  3rd ресурсы Инсталляция Троян  или   backdoor Повышение   привилегий Руткит Обеспечение   незаметности Управление Канал   управления Расширение   плацдарма Внутреннее   сканирование Поддержка   незаметности Реализация Расширение   заражения Утечка  данных Перехват   управления Вывод  из  строя Уничтожение   следов Поддержка   незаметности Зачистка  логов
  6. 6. 6 Как  хакер  проводит  разведку  вашей  сети?
  7. 7. 7 Красивая  приманка Персональные   данные Персональные   данные Персональные  данные
  8. 8. 8 OSINT:  Maltego
  9. 9. 9 OSINT:  Shodan
  10. 10. 10 OSINT:  Metagoofil
  11. 11. 11 OSINT:  GHDB
  12. 12. 12 OSINT:  FOCA
  13. 13. 13 OSINT:  EXIF
  14. 14. 14 OSINT:  Nessus
  15. 15. 15 OSINT:  множество  других  инструментов
  16. 16. 16 Угрозы ОкружениеПериметр Email-­вектор Web-­вектор 3 Жертв кликает  на   резюме Инсталляция  бота,   установка  соединения  с   сервером  C2 4 5 Сканирование  LAN   &   альтернативный  бэкдор и   поиск  привилегированных   пользователей Система   скомпрометирована   и   данные  утекли.  Бэкдор сохранен 8 Архивирует  данные,  разделение   на  разные  файлы  и  отправка  их  на   внешние  сервера  по  HTTPS 7 Посылка   фальшивого резюме (you@gmail.com) 2 Адми н Изучение   жертвы   (SNS) 1 Привилегированные   пользователи  найдены. 6 Админ ЦОДПК Елена Иванова Елена  Иванова • HR-­координатор • Нужны  инженеры • Под  давлением  времени Анатомия  современной  атаки
  17. 17. 17 Проверьте  себя
  18. 18. 18 А  вы  проверяете  заголовки  e-­mail? Видео-­ демонстрация
  19. 19. 19 Заражения  браузера:  чума,  которая  не  проходит Более  чем 85%  опрошенных  компаний страдают  каждый  месяц
  20. 20. 20 Уязвимая  инфраструктура  используется  оперативно  и   широко Рост  атак  на  221  процент  на  WordPress
  21. 21. 21 Аппетит  к  Flash Платформа  Flash  – популярный  вектор  атак  для  киберпреступности
  22. 22. 22 Идет  спад  использования  Flash,  Java и   Silverlight Но  общедоступных   эксплойтов для   Flash больше,  чем   для  других   производителей
  23. 23. 23 Хакер  не  обязательно  идет  через   периметр
  24. 24. 24 Хакер  не  обязательно  идет  через   периметр
  25. 25. 25 Подмена  точки  доступа  и  перехват   паролей Видео-­демонстрация
  26. 26. 26 Что  вы  будете  делать,  если  найдете   флешку у  дверей  офиса? Любопытство  возьмет  верх  или  нет?
  27. 27. 27 Многие  подбирают  J
  28. 28. 28 Аппаратные  закладки  на  базе  Raspberry  Pi Лобби  и  переговорки… Вы  их  контролируете?
  29. 29. 29 Вы  думаете  это  шутка? Видео-­демонстрация
  30. 30. 30 Но  есть  и  более  сложные  варианты Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5 Метод заражения Статический Статический В  процессе   исполнения В  процессе   исполнения В  процессе   исполнения Статический Цель IOS IOS IOS IOS,   linecards IOS,   ROMMON IOS Архитектура   цели MIPS MIPS MIPS MIPS,  PPC MIPS MIPS Транспорт  C&C Неприменимо Неприменимо ICMP UDP ICMP TCP  SYN Удаленное обнаружение Через криптоанализ Через криптоанализ Используя   протокол C2 Используя   протокол C2 Не   напрямую Да
  31. 31. 31 А  что  у  вас  с  внутренней  сетью? Android Apple Маршрутизаторы Коммутаторы Принтер Интернет  вещей Телефоны Linux На  многие  из  этих  устройств  нельзя поставить  агентов  контроля,  мониторинга  и  защиты! Точки  доступа 3G/4G-­модемы
  32. 32. 32 И  не  сможете  использовать   почту  без  защиты ? ? ? ? ? ? ? ?? ? ? Вы  должны  защитить  их Вы  не  сможете  работать   без  электронной  почты Когда  вы  внедряете                                                                     облачные  приложения Каждый  раз,  внедряя  новую  технологию,   необходимо  обеспечивать  ее  защиту
  33. 33. 33 Облачные  приложения  становятся  неотъемлемой   частью  бизнеса Как  осуществляется  их  защита? Удаленный  доступ Оперативность  и  скорость Улучшенное  взаимодействие Увеличение  продуктивности Экономичность Утечка  конфиденциальных   данных   Риски   несоответствия   правовым  нормам   Риск   инсайдерских   действий   Вредоносное  ПО   и  вирусы
  34. 34. 34 Понимание  рисков,  связанных  с  облачными   приложениями,  для  вашего  бизнеса Это  проблема,  так  как  ваш  ИТ-­отдел: • Не  видит,  какие  используются  приложения • Не  может  идентифицировать  опасные  приложения • Не  может  настроить  необходимые  средства   управления  приложениями сотрудников  признают,  что  используют  неутвержденные  приложения1 72% ИТ-­отделов  используют  6  и  более  неутвержденных  приложений2 26% корпоративной  ИТ-­инфраструктуры  в  2015  году  будет   управляться  вне  ИТ-­отделов 35% «Теневые»  ИТ Использование   несанкционированных   приложений Источник:  1CIO  Insight;;   2,3Gartner
  35. 35. 35 Понимание  рисков  использования  данных  в   облачных  приложениях Это  проблема,  так  как  ваш  ИТ-­отдел: • Не  может  остановить  утечку  данных  и  устранить   риски  несоблюдения  нормативных  требований • Не  в  состоянии  заблокировать  входящий   опасный  контент   • Не  в  силах  остановить  рискованные  действия     пользователей организаций  сталкивались  с  утечкой  конфиденциальных  данных    при  совместном   использовании  файлов1 90% приложений   могут  стать  опасными  при  неправильном   использовании2 72% файлов  на  каждого  пользователя  открыто  используется   в  организациях3 185 «Теневые»  данные Использование  санкционированных   приложения  для  неправомерных  целей Источник:  1Ponemon,   2013   Cost  of  Data  Breach   Study;; 2CIO  Insight;;   3Elastica
  36. 36. 36 Payroll.docx Пользователи  свободно  обмениваются  информацией  и   это  может  привести  к  нарушениям  безопасности Источник:  1:  Обеспечение   соблюдения  нормативных   требований   в  новую  эпоху   облачных   приложений   и  «теневых»   данных При  использовании  облачных   приложений   ИТ-­отдел  не  может   контролировать  все  разрешения   на  совместное  использование   20%  совместно   используемых  файлов   содержит  данные,   связанные  с  соблюдением   нормативов  
  37. 37. 37 DNS:  слепая  зона  для  безопасности 91,3%   Вредоносного ПО использует  DNS 68%   Организаций  не мониторят его Популярный  протокол,  который  используют  злоумышленники  для  управления,  утечки  данных  и   перенаправления  трафика
  38. 38. 38 К  чему  это  все  приводит? Bitglass 205 Trustwav e 188 Mandiant 229 2287  дней  – одно  из   самых  длинных   незамеченных  вторжений Ponemon 206 HP 416 Symantec 305
  39. 39. 39 Малый  и  средний  бизнес,  филиалы Кампус Центр  обработки   данных Интернет ASA ISR IPS ASA Почта Веб ISE Active   Directory Беспроводная сеть Коммутатор Маршрутизатор Контент Политика Интегрированные   сервисы   ISR-­G2 CSM ASA ASAv ASAvASAv ASAv Гипервизор Виртуальный   ЦОД Физический   ЦОД Удаленные устройства Доступ Облачный   шлюз   безопасности Облачный   шлюз   безопасности Матрица   ASA,   (сеть   SDN) АСУ  ТП CTD IDS RA МСЭ Беспроводная сеть Коммутатор Маршрутизатор СегментацияМониторинг На  что  обращает  внимание современный  хакер?
  40. 40. 40 Пора  задуматься  о  смене  стратегии ©   2015   Cisco   and/or   its   affiliates.   All  rights   reserved. Cisco   Confidential 40
  41. 41. 41 Как  Cisco  ловит  все  эти  атаки  в  своей   сети? Нейтрализовать  и   реагировать Метрики  и отчеты Управление   конфигурацией Инспекция Регистрация Идентификация Телеметрия IDS    |    IPS    |    NAM    |    NetFlow    |    Web  Gateway|    HIDS     Syslog    |    TACACS    |    802.1x    |    Antivirus   |    DNS    |    DHCP    |    NAT    |  VPN Vuln  Scans    |    Port  Scans    |    Router  Configs    |    ARP  Tables    |  CAM  Tables    |    802.1x Address,  Lab,  Host  &  Employee  Mgt  |  Partner  DB    |  Host  Mgt    |    NDCS  CSA,  AV,  Asset  DB    |  EPO,  CSA  Mgt,  Config  DB Execs Auditors Infosec IT  Orgs HR-­Legal Line  of  Biz Admins End   Users Partners Business   Functions Информирование Реагирование РасследованиеОбнаружение DBs Внешние  фиды об  угрозах Сканы Конфиги Логи Потоки События 4TB  в  день Сист.  управления Incident  Mgt  System Compliance  Tracker Incident  Response  Team Playbook
  42. 42. Спасибо!

×