2. Что (не) делать при расследовании инцидента
• До – большинство проблем
• Что защищаем? Хаос в защите
• Кто обнаружит инцидент?
• Во время
• Понять и не простить: границы инцидента
• Инцидент – не правильно.
Правильно - инциденты
• Скорость реакции. Устойчивость средств
защиты к изменениям угроз
• После
• Инцидент закрыт. Проблема решена?
• Выводы на будущее?
3. Инцидент? Но мы не готовы!
• Инвентаризация
• Управление уязвимостями
• Эффективность мониторинга ИБ?
Периметр 87%
корпоративных локальных
сетей не останавливает
проникновение
61% компаний может
взломать атакующий с
базовыми навыками
Взлом
компании
занимает
3-5 дней
Действия пентестеров
обнаруживают только
в 2 из 100 тестов на
проникновение
87% 61%
2%
1
неделя
Когда мы проверим наш план реагирования?
4. Путь атакующего: кто обнаружит «инцидент»?
Initial
Compromise
Establish
Foothold
Escalate
Privileges
Internal
Recon
Move
Laterally
Complete
Mission
Maintain
Presence
Clean up &
Exfiltrate
Passive
Recon (OSINT)
Active
Recon
• Очевидна протяженность во времени
• Критичность событий безопасности в зависимости от этапа
«продвижения» атакующего
• «Прекратить безобразия» – не всегда оптимальный путь
• Равно как и раскрыть факт обнаружения проникновения
5. Границы инцидента: больше чем «событие безопасности»
Attackers
Hackers
Spies
Terrorists
Corporate
Raiders
Professional
Criminals
Vandals
Voyeurs
Tool
Physical
Attack
Information
Exchange
User
Command
Script or
Program
Autonomous
Agent
Toolkit
Distributed
Tool
Data Tap
Vulnerability
Design
Implementation
Configuration
Action
Probe
Scan
Flood
Authenticate
Bypass
Spoof
Read
Copy
Steal
Modify
Delete
Target
Account
Process
Data
Component
Computer
Network
Internetwork
Unauthorized
Results
Increased
Access
Disclosure of
Information
Corruption of
Information
Denial of
Service
Theft of
Resources
Objectives
Challenge,
Status, Thrill
Political
Gain
Financial
Gain
Damage
Event
Attack(s)
Incident
• Инцидент
рассматривается как
событие
• Анализ целей
• Атрибуция атакующего
• Расследовать
«событие» или
инцидент?
9. «Большая картина» – теперь ещё больше
Advanced:
Акторы с максимальными
возможностями
…и их комбинациями
Persistent:
Миссия, цели
Подход «Медленно и тихо»
«Настойчивость» - удержание
контроля, доступа к системе
Threat:
Возможность + Намерение =
угроза
APT – «Кто», а не «что»
A P T
События ИБ Атаки Инциденты Кампании
Как противостоять угрозе «с человеческим лицом»?
10. Приложение – и цель и средство атакующего
- Веб-приложения
- Веб-порталы
- Бизнес-
приложения, SAP
- Мобильные
приложения
- Электронная
коммерция
- ДБО
• Подвержены атакам – возможность доступа из Интернет
• Содержат критические данные
• Возможность доступа во внутреннюю сеть через
приложение
Приложение – уязвимая цель
Наше виденье безопасности приложений:
+ Безопасность по построению: СЗИ + Цикл безопасной разработки
+ СЗИ: адаптивный контроль
+ Исследование уязвимостей
+ Интегрированная возможность расследования инцидентов
• Рост динамики обновлений приложений
• Сложная структура приложений – сторонние компоненты
• Итеративная разработка, зависимость от внешнего исполнителя
Ваши Приложения: цель №1
12. Что было - то прошло? Работа над ошибками
PREDICT
Assess
Intelligence
PREVENT
Resist
Avoid
RESPOND DETECT
Collect
Interpret
Containment
Eradication
Recovery
13. Products
Services
Incident ResponsePenTest & AppSec
PT MultiscannerPT Application
Inspector
PT Application
Firewall
MaxPatrol SIEM
MaxPatrol
PT ISIM
Продукты и сервисы ПТ: практика безопасности
PREDICT
PREVENT
RESPOND
DETECT
PT Expert Security Center
14. Positive Technologies
Products & Services
Positive Research &
Security Announcements
Positive Hack Days
Security Conference
POSITIVE TECHNOLOGIES: EXPERTS IN SECURITY OFFENSE & DEFENSE
http://securitylab.ru
https://www.ptsecurity.com/
PHDays.com AKachalin@ptsecurity.com
Alexey
Kachalin
PHDays 7. 2017 May, 23-24th
План реагирования на инциденты
Проверка планов в «спокойных условиях»
http://www.eweek.com/c/a/Security/Sony-Data-Breach-Was-Camouflaged-by-Anonymous-DDoS-Attack-807651
http://www.prosecurityzone.com/News_Detail_Ddos_attacks_being_used_to_camouflage_fraud_attacks_20690.asp
http://www.corero.com/blog/555-whats-hiding-behind-that-ddos-attack.html
http://www.darkreading.com/analytics/security-monitoring/large-attacks-hide-more-subtle-threats-in-ddos-data/d/d-id/1139783
http://www.telegraph.co.uk/finance/newsbysector/epic/cpw/11794521/Carphone-Warehouse-hackers-used-traffic-bombardment-smokescreen.html
According to The Telegraph's article, an unnamed source with knowledge of the attack claims that the company's online retail systems were bombarded with a DDoS attack "as a cover to help them infiltrate the retailer's systems and perpetrate one of Britain’s biggest ever data thefts.“
Ежедневные атаки
Вирусы в сети/в почте
Соц. Инженерия (почта, веб)
Атаки на веб-ресурсы
Инциденты
Заражение файлового сервера шифровальщиком
Заражение сервера печати – утечка информации
Кампании
APT-1 (предположительно Китай) – 9 мес.
APT-2 (предположительно США) – 1,5 года
APT-3 – признаки возможности доступа, несколькими способами
Долгосрочные «проекты» атакующих
Вектор по объекту
Вектор по технологии
Комплексные атаки, составляющие инцидент
Кампании (Adversary Campaign)
Целевые
Массовые
Комбинированные (массово-целевые)