Типовые сценарии анализа ИБ

1. Cisco
Connect
Москва, 2017
Цифровизация:
здесь и сейчас

2. Практика исследования
защищенности российских
компаний.
Информация к размышлению
Алексей Качалин
© 2017 Cisco and/or its affiliates. All rights reserved.

3. Компетенции, реализованные в
продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall

4. Российская компания,
международный опыт
Москва
Санкт-Петербург
Новосибирск
Томск
Самара
Нижний Новгород
Лондон
Бостон
Рим
Тунис
Сеул
Брно
Представители
Владивосток
Казань
Санкт-Петербург
Новосибирск
Екатеринбург
Ростов-на-Дону
Более 100 партнеров в России

5. Тесты на проникновение:
реальность угроз ИБ ИТ
Периметр 87%
корпоративных локальных
сетей не останавливает
проникновение
61% компаний может
взломать атакующий с
базовыми навыками
Взлом
компании
занимает
3-5 дней
Действия пентестеров
обнаруживают только
в 2 из 100 тестов на
проникновение
87% 61%
2%
1
неделя

6. Последствия уязвимостей:
в ожидании инцидентов
Более 3-х лет - время присутствия злоумышленников в информационной системе
Одновременно – несколько групп
Признаки присутствия
Аномальные потоки данных
Фоновая активность вредоносов
Криптолокер
Получен доступ к системам ИТ защиты
Реконфигурация домена
Реконфигурация сетевых устройств и правил доступа
Злоумышленники контролируют действия по расследованию инцидента
Успевают восстановить доступ при обнаружении
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 6
Злоумышленники
• Разбираются в технологических и орг. процессах
• Проявляют активный интерес к бизнес-сценариям
• Внедрение в продаваемые фирмы для
«попадания» в инфраструктуру крупной
компании

7. Объекты исследования: крупные
российские и международные компании
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 7
20%
13%
27%
40%
Банки
IT компании
Телеком
 Территориально распределенная инфраструктура
 Множество дочерних компаний и филиалов
 Сотни узлов на сетевом периметре
 Тысячи устройств ЛВС (серверы, рабочие
станции, сетевое оборудование)

8. ИБ-фактор цифровизации:
Вчера, Сегодня,
Завтра
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 8
IT OpSec
AppSec
ОТ

9. Тест на проникновение
Подход, типовой сценарий и эффективность методов
Internet

10. Internet
Доступ к
внутренней
сети
Уязвимости: что буем искать (и найдём)
• Недостатки управления учетными
записями и паролями
• Уязвимости веб-приложений
• Недостатки фильтрации трафика
• Недостатки управления уязвимостями и
обновлениями
• Плохая осведомленность пользователей в
вопросах информационной безопасности
• Недостатки конфигурации и разграничения
доступа
???1
4
7

11. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
3
4
7
91% Системы с доступными из
Интернета интерфейсами
управления

12. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
91% Словарные пароли для доступа к
веб-приложениям

13. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
73% Чувствительные данные хранятся
в открытом виде
учетки в открытом виде

14. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
27% Словарный пароль к СУБД
учетки в открытом виде
3
СУБД
45% Доступ к интерфейсам СУБД

15. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
27% Возможность доступа к
корпоративными сервисами
выход из
песочницы
4

16. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
80% Уязвимые веб-приложения
выход из
песочницы
4
веб-уязвимости 5

17. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
91% Системы с
уязвимым ПО
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6

18. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
100%
Методы
социальной
инженерии
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
7социальная
инженерия

19. Internet
Доступ к
внутренней
сети
Атака из внешней сети: WiFi
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
Успешность
атак через
WiFi сети

20. Недостатки защиты беспроводной сети
3/4  Несанкционированные точки доступа
 Доступность корпоративных WiFi за
пределами КЗ
 Не проверяется сертификат сети
 Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей

21. 10%
1%
10%
Перешли по
ссылке
Вступили в
диалог
Ввели учетные
данные либо
запустили файл
Социальная инженерия (целевой фишинг, …)
max
24,5%
Доля сотрудников
(в среднем по компаниям)
 Первый шаг при целевой атаке
Фишинг сегодня это:
 Основной способ
распространения ВПО

22. Развитие атаки в ЛВС

23. Развитие атаки в ЛВС: охота на админа
Словарные
пароли
90% Обход
антивирусной
защиты
100%1
2
_

24. Развитие атаки в ЛВС: охота на админа
90%
100%1
Перехват хеша в сети и его использование (брут)

25. Развитие атаки в ЛВС: охота на админа
90%
100%
Атаки на
протоколы
60%
1
2
Перехват хеша в сети и его использование (брут)

26. Развитие атаки в ЛВС: охота на админа
90%
100%
60%
Хранение важных
данных в
открытом виде
60%
1
2

27. Развитие атаки в ЛВС: охота на админа
90%
100%
60%
Двухфакторная
аутентификация
9%
60%
1
2

28. Развитие атаки в ЛВС: охота на админа
100%
Полный контроль
над инфраструктурой
Атака в 4 шага
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Двухфакторная
аутентификация
9%
Хранение важных
данных в открытом
виде
60%
систем
1
2
Независимо от типа
нарушителя

29. Демонстрация возможностей атакующего:
прогноз последствий
Нарушитель получает возможность:
 контролировать потоки информации в компаниях
 вывести всю инфраструктуру из строя
 проводить атаки на клиентов компаний
 проводить атаки, угрожающие деловой репутации
(deface сайтов, рассылка писем с заведомо ложной
информацией партнерам, срыв сделок и т.д.)
 похищать конфиденциальную информацию
 выполнять мошеннические операции
Проведенные исследования демонстрируют
возможность получения полного
контроля инфраструктуры группы компаний

30. Positive Technologies: решение
обязательных задач безопасности
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 30
• Инвентаризация
• Управление уязвимостями
• Сбор событий
безопасности
• Анализ защищенности
IT OpSec
MaxPatrol*
MaxPatrol
SIEM*
*Поддержка оборудования CISCO

31. Безопасность приложений:
уязвимости и атаки на приложения
AppSec

32. Приложение – и цель и средство атакующего
- Веб-приложения
- Веб-порталы
- Бизнес-
приложения, SAP
- Мобильные
приложения
- Электронная
коммерция
- ДБО
• Подвержены атакам – возможность доступа из Интернет
• Содержат критические данные
• Возможность доступа во внутреннюю сеть через
приложение
Приложение – уязвимая цель
Наше виденье безопасности приложений:
+ Безопасность по построению: СЗИ + Цикл безопасной разработки
+ СЗИ: адаптивный контроль
+ Исследование уязвимостей
+ Интегрированная возможность расследования инцидентов
• Рост динамики обновлений приложений
• Сложная структура приложений – сторонние компоненты
• Итеративная разработка, зависимость от внешнего исполнителя
Приложения: цель №1
AppSec

33. 11%
11%
16%
21%
32%
58%
74%
84%
84%
0% 20% 40% 60% 80% 100%
Подделка межсайтовых запросов
Загрузка произвольных файлов
Внедрение внешних сущностей XML
Подключение локальных файлов
Отказ в обслуживании
Межсайтовое выполнение сценариев
Выход за пределы назначенной директории
(Path Traversal)
Выполнение команд ОС
Внедрение операторов SQL
Атаки на веб-приложения
• Лидируют простые атаки: SQLi,
Path Traversal, XSS, выполнение
команд OC
• Высокая автоматизация, особенно
при атаках на сайты промышленных
компаний
(98% атак – сканеры)
• Интернет-магазины и
государственные
сайты чаще атакуют вручную

34. Специфика атак =>
Специфика защиты
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 34
2%
15%
35%
37%
41%
82%
99%
98%
85%
65%
63%
59%
18%
1%
0% 20% 40% 60% 80% 100%
Промышленность
Образование
Транспорт
Финансы
IT
Государственные учреждения
Интернет-магазины
Атаки, выполняемые вручную Автоматизированный поиск уязвимостей

35. Совместное решение PT & CISCO:
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 35
AF для ACI
AF @ C- & E- UCS

36. Прогноз на «Завтра»:
Угрозы Операционным Технологиям
АСУ ТП, ИВ и ИТ, которые их объединяют
ОТ
100
500
Evolving
A P T

37. Их опыт. Инциденты в пром.секторе США
295 крупных инцидентов (15% рост) в промышленных компаниях
46 – энергетика
97 инцидентов c «участием» поставщиков оборудования и сервисов
В 106 случаях - использовались вредоносы и целевой фишинг
В 12% были затронуты компоненты АСУ ТП
Специфика «кибер» угроз
Тиражируемость
Управляемость по времени
Повторяемость
Взаимозависимость и объединение ИТ и АСУ ТП - ОТ
Новые возможности/мотивация атакующих
http://www.darkreading.com/attacks-bre

38. Киберугрозы: из ИТ через ОТ в реальность
• Нарушение физической безопасности (взлом умных замков)
• Нарушение работы предприятия (ложные срабатывания
пожарной сигнализации, повторяющиеся)
• Утечки информации (съем данных с систем
видеонаблюдения)
• Фрод (модификация показаний датчиков (весов))
• Локеры устройств
SmartThings app that’s meant to check a lock’s battery shouldn’t be able to
steal its PIN or set off a fire alarm, they argue. In fact, they analyzed 499
SmartThings and found that more than half of them had at least some level of
privilege they considered overbroad, and that 68 actually used capabilities
they weren’t meant to possess.

39. Моделирование угроз для АСУ ТП
Protocol analysis
(Modbus, S7,
Profinet etc)
Kiosk mode
escape
Unauthorized
access
Firmware
download
Password
cracking
Access
controllers
Command/data
sending
Pipeline accident
Fire protection
system
SCADA/HMI
Pumping
Infrastructure
DMZ
Firmware
modification
Denial of
service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Pipeline Idle
time
Pumping
station
Fire
protection
system
Workstations
DMZ
Connection breach
Control over DMZ server
Damage to Environment
Internal
Attacker
Penetration vectors Target Systems Threats
Disposition

40. Защита промышленных систем:
реализуема, бизнес-эффективна
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 40

41. PT: подход к решению задач
безопасности ОТ
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 41
ОТ
• Анализ угроз ОТ
• Невмешательство в «работу» ОТ
• Мониторинг инцидентов и интерпретация
событий
• Тиражируемость и
масштабируемость
PT ISIM = «SIEM для АСУ ТП»

42. Цифровизация: здесь и сейчас
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 42
Цифровизация: здесь и сейчас

43. s
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 43
Цифровизация: здесь и сейчас?

44. s
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 44
Что делать?

45. ИБ-фактор цифровизации:
Вчера, Сегодня,
Завтра
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 45
IT OpSec
AppSec
ОТ
Накопились серьезные «долги»
Ужесточение требований регулятора:
уголовная ответственность и серьезные штрафы
ИБ - «фундамент» для цифровизации
Есть путь к ИБ
Учитывать угрозы

46. Путь к Безопасности
1. Наши продукты, наши компетенции
https://www.ptsecurity.com
2. Анализ уязвимостей и/или пилот,
мониторинг событий ИБ
pt@ptsecurity.com
3. Решение актуальных ИБ-задач
- Инфраструктура: Maxpatrol & Maxpatrol SIEM
- AppSec: PT AF & A
- Индустриальная безопасность: PT ISIM
4. Осведомленность об угрозах и методах атак
- PHDays
- SecurityLab.ru
- PT Research
Cisco Connect 2017 © 2017 Cisco and/or its affiliates. All rights reserved. 46

47. ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall

48. Positive Research 2017
PHDays 7 – 23-24 мая
http://securitylab.ru
https://www.ptsecurity.com/
PHDays.com

49. #CiscoConnectRu#CiscoConnectRu
Спасибо за внимание!
Оцените данную сессию в мобильном приложении
конференции
© 2017 Cisco and/or its affiliates. All rights reserved.
www.ptsecurity.com
8 800 234 0144
www.facebook.com/CiscoRu
www.vk.com/cisco
www.instagram.com/ciscoru
www.youtube.com/user/CiscoRussiaMedia