Документ описывает методы кибератак на корпоративные сети, акцентируя внимание на различных этапах проникновения и типичных болевых точках безопасности. Подробно рассматриваются инструменты разведки и уязвимости, используемые киберпреступниками, а также последствия утечки данных и меры по защите облачных приложений. Также упоминаются проблемы, с которыми сталкиваются IT-отделы при управлении безопасностью и соблюдением нормативных требований.

1. 31 мая 2016
Бизнес-­консультант по безопасности
Типичные болевые точки и методы
проникновения в корпоративные
сети
Алексей Лукацкий

2. 2
Высокая мотивация
киберкриминала
Изменение
бизнес-­моделей
Динамичность
ландшафта угроз
Думать как хакер
© 2015 Cisco and/or its affiliates. All rights reserved. 2

3. 3
Точечные
и
статичные
решения
© 2015 Cisco and/or its affiliates. All rights reserved. 3
Фрагментация
Сложность
Требуют лишнего
управления

4. 4
Что такое убийственная цепочка?

5. 5
Из чего состоит убийственная цепочка?
Разведка Сбор e-­mail
Социальные
сети
Пассивный
поиск
Определение
IP
Сканирование
портов
Вооружение
Создание
вредоносного
кода
Система
доставки Приманка
Доставка Фишинг
Заражение
сайта
Операторы
связи
Проникновение Активация
Исполнение
кода
Определение
плацдарма
Проникновение
на 3rd ресурсы
Инсталляция
Троян или
backdoor
Повышение
привилегий Руткит
Обеспечение
незаметности
Управление
Канал
управления
Расширение
плацдарма
Внутреннее
сканирование
Поддержка
незаметности
Реализация
Расширение
заражения Утечка данных
Перехват
управления Вывод из строя
Уничтожение
следов
Поддержка
незаметности Зачистка логов

6. 6
Как хакер проводит разведку вашей сети?

7. 7
Красивая приманка
Персональные
данные
Персональные
данные
Персональные данные

8. 8
OSINT: Maltego

9. 9
OSINT: Shodan

10. 10
OSINT: Metagoofil

11. 11
OSINT: GHDB

12. 12
OSINT: FOCA

13. 13
OSINT: EXIF

14. 14
OSINT: Nessus

15. 15
OSINT: множество других инструментов

16. 16
Угрозы ОкружениеПериметр
Email-­вектор
Web-­вектор
3
Жертв
кликает на
резюме
Инсталляция бота,
установка соединения с
сервером C2
4 5
Сканирование LAN &
альтернативный бэкдор и
поиск привилегированных
пользователей
Система
скомпрометирована и
данные утекли. Бэкдор
сохранен
8
Архивирует данные, разделение
на разные файлы и отправка их на
внешние сервера по HTTPS
7
Посылка
фальшивого
резюме
(you@gmail.com)
2
Адми
н
Изучение
жертвы
(SNS)
1
Привилегированные
пользователи найдены.
6
Админ ЦОДПК
Елена
Иванова
Елена Иванова
• HR-­координатор
• Нужны инженеры
• Под давлением времени
Анатомия современной атаки

17. 17
Проверьте себя

18. 18
А вы проверяете заголовки e-­mail?
Видео-­
демонстрация

19. 19
Заражения браузера: чума, которая не проходит
Более чем
85% опрошенных компаний
страдают каждый месяц

20. 20
Уязвимая инфраструктура используется оперативно и
широко
Рост атак на 221 процент на WordPress

21. 21
Аппетит к Flash
Платформа Flash – популярный вектор атак для киберпреступности

22. 22
Идет спад использования Flash, Java и
Silverlight
Но общедоступных
эксплойтов для
Flash больше, чем
для других
производителей

23. 23
Хакер не обязательно идет через
периметр

24. 24
Хакер не обязательно идет через
периметр

25. 25
Подмена точки доступа и перехват
паролей
Видео-­демонстрация

26. 26
Что вы будете делать, если найдете
флешку у дверей офиса?
Любопытство возьмет верх или нет?

27. 27
Многие подбирают J

28. 28
Аппаратные закладки на базе Raspberry Pi
Лобби и переговорки…
Вы их контролируете?

29. 29
Вы думаете это шутка?
Видео-­демонстрация

30. 30
Но есть и более сложные варианты
Вариант 0 Вариант 1 Вариант 2 Вариант 3 Вариант 4 Вариант 5
Метод заражения
Статический Статический
В процессе
исполнения
В процессе
исполнения
В процессе
исполнения
Статический
Цель
IOS IOS IOS
IOS,
linecards
IOS,
ROMMON
IOS
Архитектура
цели
MIPS MIPS MIPS MIPS, PPC MIPS MIPS
Транспорт C&C Неприменимо Неприменимо ICMP UDP ICMP TCP SYN
Удаленное
обнаружение
Через
криптоанализ
Через
криптоанализ
Используя
протокол C2
Используя
протокол C2
Не
напрямую
Да

31. 31
А что у вас с внутренней сетью?
Android
Apple
Маршрутизаторы
Коммутаторы
Принтер
Интернет вещей
Телефоны
Linux
На многие из этих устройств нельзя
поставить агентов контроля, мониторинга и защиты!
Точки доступа
3G/4G-­модемы

32. 32
И не сможете использовать
почту без защиты
? ?
?
? ?
?
?
??
? ?
Вы должны защитить их
Вы не сможете работать
без электронной почты
Когда вы внедряете
облачные приложения
Каждый раз, внедряя новую технологию,
необходимо обеспечивать ее защиту

33. 33
Облачные приложения становятся неотъемлемой
частью бизнеса
Как осуществляется их защита?
Удаленный доступ
Оперативность и скорость
Улучшенное взаимодействие
Увеличение продуктивности
Экономичность
Утечка конфиденциальных
данных
Риски
несоответствия
правовым нормам
Риск
инсайдерских
действий
Вредоносное ПО
и вирусы

34. 34
Понимание рисков, связанных с облачными
приложениями, для вашего бизнеса
Это проблема, так как ваш ИТ-­отдел:
• Не видит, какие используются приложения
• Не может идентифицировать опасные приложения
• Не может настроить необходимые средства
управления приложениями
сотрудников признают, что используют неутвержденные приложения1
72% ИТ-­отделов используют 6 и более неутвержденных приложений2
26% корпоративной ИТ-­инфраструктуры в 2015 году будет
управляться вне ИТ-­отделов
35%
«Теневые» ИТ
Использование
несанкционированных
приложений
Источник: 1CIO Insight;; 2,3Gartner

35. 35
Понимание рисков использования данных в
облачных приложениях
Это проблема, так как ваш ИТ-­отдел:
• Не может остановить утечку данных и устранить
риски несоблюдения нормативных требований
• Не в состоянии заблокировать входящий
опасный контент
• Не в силах остановить рискованные действия
пользователей
организаций сталкивались с утечкой конфиденциальных данных при совместном
использовании файлов1
90% приложений могут стать опасными при неправильном
использовании2
72% файлов на каждого пользователя открыто используется
в организациях3
185
«Теневые» данные
Использование санкционированных
приложения для неправомерных целей
Источник: 1Ponemon, 2013 Cost of Data Breach
Study;;
2CIO Insight;; 3Elastica

36. 36
Payroll.docx
Пользователи свободно обмениваются информацией и
это может привести к нарушениям безопасности
Источник: 1: Обеспечение соблюдения нормативных требований в новую эпоху облачных
приложений и «теневых» данных
При использовании облачных
приложений ИТ-­отдел не может
контролировать все разрешения
на совместное использование
20% совместно
используемых файлов
содержит данные,
связанные с соблюдением
нормативов

37. 37
DNS: слепая зона для безопасности
91,3%
Вредоносного ПО
использует DNS
68%
Организаций не
мониторят его
Популярный протокол, который используют злоумышленники для управления, утечки данных и
перенаправления трафика

38. 38
К чему это все приводит?
Bitglass
205
Trustwav
e
188
Mandiant
229
2287 дней – одно из
самых длинных
незамеченных вторжений
Ponemon
206
HP
416
Symantec
305

39. 39
Малый и средний бизнес, филиалы
Кампус Центр обработки
данных
Интернет
ASA
ISR
IPS
ASA
Почта
Веб ISE
Active
Directory
Беспроводная
сеть
Коммутатор
Маршрутизатор
Контент Политика
Интегрированные сервисы ISR-­G2
CSM
ASA
ASAv ASAvASAv ASAv
Гипервизор
Виртуальный ЦОД
Физический ЦОД
Удаленные
устройства
Доступ
Облачный
шлюз
безопасности
Облачный
шлюз
безопасности
Матрица
ASA, (сеть
SDN)
АСУ ТП
CTD
IDS RA
МСЭ
Беспроводная
сеть
Коммутатор
Маршрутизатор
СегментацияМониторинг
На что обращает внимание
современный хакер?

40. 40
Пора задуматься о смене стратегии
© 2015 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 40

41. 41
Как Cisco ловит все эти атаки в своей
сети?
Нейтрализовать и
реагировать
Метрики и
отчеты
Управление
конфигурацией
Инспекция
Регистрация
Идентификация
Телеметрия
IDS | IPS | NAM | NetFlow | Web Gateway| HIDS
Syslog | TACACS | 802.1x | Antivirus | DNS | DHCP | NAT | VPN
Vuln Scans | Port Scans | Router Configs | ARP Tables | CAM Tables | 802.1x
Address, Lab, Host & Employee Mgt | Partner DB | Host Mgt | NDCS CSA, AV, Asset DB | EPO, CSA Mgt, Config DB
Execs
Auditors
Infosec
IT Orgs
HR-­Legal
Line of Biz
Admins
End
Users
Partners
Business
Functions
Информирование Реагирование
РасследованиеОбнаружение
DBs
Внешние фиды об угрозах
Сканы Конфиги Логи Потоки События
4TB в день
Сист. управления
Incident Mgt System
Compliance Tracker
Incident Response Team
Playbook

42. Спасибо!