Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Как увидеть невидимые инциденты

1,206 views

Published on

Как увидеть невидимые инциденты

Published in: Business
  • Login to see the comments

  • Be the first to like this

Как увидеть невидимые инциденты

  1. 1. ptsecurity.comptsecurity.com Как увидеть невидимые инциденты
  2. 2. ptsecurity.com 2 ptsecurity.com 67% систем уязвимы к атакам извне 94% систем уязвимы к внутренним атакам И только 6% систем взломать не удается Практика тестов на проникновение
  3. 3. ptsecurity.com 3 Безопасность в цифрах • Периметр 87% корпоративных ЛВС не останавливает проникновение •61% корпоративных информационных систем может взломать неквалифицированный хакер • Взлом ЛВС компании занимает 3-5 дней • Действия пентестеров обнаруживаются только в 2% тестов на проникновение •Ни разу пентестерам не оказывалось организованное противодействие
  4. 4. ptsecurity.com 4 Какие недостатки используются • Получение учетных записейСловарные пароли, хранение паролей • Доступ через периметрУязвимости веб-приложений • Использование публичных эксплойтовИзвестные уязвимости • Перехват сетевого трафика, проблемы сегментированияОшибки сетевой инфраструктуры • Социальная инженерияНеосведомленность пользователей
  5. 5. ptsecurity.com 5 Проблемы обнаружения •Нет понимания собственных активов •Нет понимания действий атакующего •Зоопарк источников данных •Недостаточная компетенция персонала •Да, есть IDS/IPS, СОА, антивирусы и средства мониторинга. Но инциденты все равно обнаруживаются постфактум
  6. 6. ptsecurity.com 6 Praemonitus praemunitus •Невозможно быть готовым к любым неприятностям •Нужно: •Знать, за что боимся •Знать, чего именно боимся •Искать признаки понятных опасностей
  7. 7. Знать, от кого защищаемся
  8. 8. ptsecurity.com 8 “Это нам неактуально:…” •“… система изолирована” •“…система хакеру неинтересна” •“…наши пользователи такого не умеют”
  9. 9. ptsecurity.com 9 А что в реальности? VLAN1 VLAN2 VLAN1 VLAN2
  10. 10. ptsecurity.com 10 “Долог путь до Типперери” Интернет Офисная сеть Сеть АСУ ТП Производство HMI TCP/IP Modbus TCP Wireless RDP Удаленное техническое обслуживание SCADA Modbus Gateway RTU/PLC RTU/PLC RTU/PLC
  11. 11. ptsecurity.com 11 Что мы знаем о нарушителе •Преследует определенные цели •Применяет определенный инструментарий •Использует определенные недостатки •Оставляет определенные следы
  12. 12. Знать, что защищаем
  13. 13. ptsecurity.com 13 Угроза глазами… •Бизнеса: “Мошенники увели $100500 млн.” •ИТ: “Упали серверы АСУ АБВГД” •Безопасника: “Конфиденциальность, доступность, целостность” •Хакера: “Завернул трафик, выцепил пароль, залогинился под админом, профит”
  14. 14. ptsecurity.com 14 Активы глазами… Для бизнеса Активы Клиент Фронт-офис Бэк-офис Поставщики
  15. 15. ptsecurity.com 15 Активы глазами…
  16. 16. ptsecurity.com 16 Активы глазами…
  17. 17. ptsecurity.com 17 Инвентаризация «снизу вверх» •Идентифицируем все узлы сети •Учитываем топологию •Группируем узлы в системы •Учитываем информационные потоки
  18. 18. ptsecurity.com 18 Что нужно знать об узле •Идентификация •Hardware •Software •Настройки •Уязвимости
  19. 19. ptsecurity.com 19 Топология L2 L3 L4/L7
  20. 20. Знать, от чего защищаем
  21. 21. ptsecurity.com 21 “КДЦ? Спасибо, не надо”
  22. 22. ptsecurity.com 22 Формулируем угрозы
  23. 23. ptsecurity.com 23 Моделируем угрозы PC – Дежурный по станции Windows 2000 Professional for Embedded Systems Начальные условия: физический доступ к АРМ Результат: Учетная запись пользователя 1.a.1 Подбор паролей по хешам из базы SAM 1.а.2 Результат: права локального администратора Повышение привилегий (CVE-xxxx-yyyy) Пароль доступа к FTP В конфигурационном файле 1.а.3 1.б.1Подключение к VLAN c помощью STP Результат: Обход сегментирования Перехват трафика (ARP Spoofing) Local Area Network Ethernet Центральный процессор Service Processing Unit (SPU) DNIX Результат: права root 1.в Перезагрузка в single-user mode Простые атаки Legend Продвинытые атаки 1.а.3 1.б.21.б.2 Подбор словарных паролей Обход авторизации в FTP (CVE-xxxx-yyyy) Результат: сетевойоступ к SPU Начальные условия: подключение к ЛВС Начальные условия: физический доступ к ЦП Отключение блокировок, перевод стрелки Повышение привилегий (CVE-xxxx-yyyy)
  24. 24. Инструментарий
  25. 25. ptsecurity.com 25 Кирпичики SIEM Syslog, NetFlow, SNMP DPI Атаки, аномалии Log collector Scanner Логи приложений Уязвимости, настройки, ... Knowledge base Workflow
  26. 26. ptsecurity.com 26 Чего не хватает •Унифицированная платформа •Унификация интерфейсов •Унификация событий •“Умная” корреляция •Учет топологии •Корреляция по сценариям атак •(Само)адаптируемость
  27. 27. Shaken, not stirred ptsecurity.com SIEM Расширенная метамодель актива События информационной безопасности Анализ защищенности Выявление аномалий сетевого трафика Сетевая топология L2,L3,L7,L7 Визуализация угроз и векторов атак
  28. 28. Спасибо! ptsecurity.com Дмитрий Кузнецов dkuznetsov@ptsecurity.com

×