3. Компетенции, реализованные в
продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
5. Тесты на проникновение:
реальность угроз ИБ ИТ
Периметр 87%
корпоративных локальных
сетей не останавливает
проникновение
61% компаний может
взломать атакующий с
базовыми навыками
Взлом
компании
занимает
3-5 дней
Действия пентестеров
обнаруживают только
в 2 из 100 тестов на
проникновение
87% 61%
2%
1
неделя
10. Internet
Доступ к
внутренней
сети
Уязвимости: что буем искать (и найдём)
• Недостатки управления учетными
записями и паролями
• Уязвимости веб-приложений
• Недостатки фильтрации трафика
• Недостатки управления уязвимостями и
обновлениями
• Плохая осведомленность пользователей в
вопросах информационной безопасности
• Недостатки конфигурации и разграничения
доступа
???1
4
7
15. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
27% Возможность доступа к
корпоративными сервисами
выход из
песочницы
4
17. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
91% Системы с
уязвимым ПО
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
18. Internet
Доступ к
внутренней
сети
Атака из внешней сети
подбор1
1
2
учетки в открытом виде
3
СУБД
100%
Методы
социальной
инженерии
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
7социальная
инженерия
19. Internet
Доступ к
внутренней
сети
Атака из внешней сети: WiFi
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
Успешность
атак через
WiFi сети
20. Недостатки защиты беспроводной сети
3/4 Несанкционированные точки доступа
Доступность корпоративных WiFi за
пределами КЗ
Не проверяется сертификат сети
Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей
21. 10%
1%
10%
Перешли по
ссылке
Вступили в
диалог
Ввели учетные
данные либо
запустили файл
Социальная инженерия (целевой фишинг, …)
max
24,5%
Доля сотрудников
(в среднем по компаниям)
Первый шаг при целевой атаке
Фишинг сегодня это:
Основной способ
распространения ВПО
23. Развитие атаки в ЛВС: охота на админа
Словарные
пароли
90% Обход
антивирусной
защиты
100%1
2
_
24. Развитие атаки в ЛВС: охота на админа
90%
100%1
Перехват хеша в сети и его использование (брут)
25. Развитие атаки в ЛВС: охота на админа
90%
100%
Атаки на
протоколы
60%
1
2
Перехват хеша в сети и его использование (брут)
26. Развитие атаки в ЛВС: охота на админа
90%
100%
60%
Хранение важных
данных в
открытом виде
60%
1
2
27. Развитие атаки в ЛВС: охота на админа
90%
100%
60%
Двухфакторная
аутентификация
9%
60%
1
2
28. Развитие атаки в ЛВС: охота на админа
100%
Полный контроль
над инфраструктурой
Атака в 4 шага
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Двухфакторная
аутентификация
9%
Хранение важных
данных в открытом
виде
60%
систем
1
2
Независимо от типа
нарушителя
29. Демонстрация возможностей атакующего:
прогноз последствий
Нарушитель получает возможность:
контролировать потоки информации в компаниях
вывести всю инфраструктуру из строя
проводить атаки на клиентов компаний
проводить атаки, угрожающие деловой репутации
(deface сайтов, рассылка писем с заведомо ложной
информацией партнерам, срыв сделок и т.д.)
похищать конфиденциальную информацию
выполнять мошеннические операции
Проведенные исследования демонстрируют
возможность получения полного
контроля инфраструктуры группы компаний
32. Приложение – и цель и средство атакующего
- Веб-приложения
- Веб-порталы
- Бизнес-
приложения, SAP
- Мобильные
приложения
- Электронная
коммерция
- ДБО
• Подвержены атакам – возможность доступа из Интернет
• Содержат критические данные
• Возможность доступа во внутреннюю сеть через
приложение
Приложение – уязвимая цель
Наше виденье безопасности приложений:
+ Безопасность по построению: СЗИ + Цикл безопасной разработки
+ СЗИ: адаптивный контроль
+ Исследование уязвимостей
+ Интегрированная возможность расследования инцидентов
• Рост динамики обновлений приложений
• Сложная структура приложений – сторонние компоненты
• Итеративная разработка, зависимость от внешнего исполнителя
Приложения: цель №1
AppSec
33. 11%
11%
16%
21%
32%
58%
74%
84%
84%
0% 20% 40% 60% 80% 100%
Подделка межсайтовых запросов
Загрузка произвольных файлов
Внедрение внешних сущностей XML
Подключение локальных файлов
Отказ в обслуживании
Межсайтовое выполнение сценариев
Выход за пределы назначенной директории
(Path Traversal)
Выполнение команд ОС
Внедрение операторов SQL
Атаки на веб-приложения
• Лидируют простые атаки: SQLi,
Path Traversal, XSS, выполнение
команд OC
• Высокая автоматизация, особенно
при атаках на сайты промышленных
компаний
(98% атак – сканеры)
• Интернет-магазины и
государственные
сайты чаще атакуют вручную
36. Прогноз на «Завтра»:
Угрозы Операционным Технологиям
АСУ ТП, ИВ и ИТ, которые их объединяют
ОТ
100
500
Evolving
A P T
37. Их опыт. Инциденты в пром.секторе США
295 крупных инцидентов (15% рост) в промышленных компаниях
46 – энергетика
97 инцидентов c «участием» поставщиков оборудования и сервисов
В 106 случаях - использовались вредоносы и целевой фишинг
В 12% были затронуты компоненты АСУ ТП
Специфика «кибер» угроз
Тиражируемость
Управляемость по времени
Повторяемость
Взаимозависимость и объединение ИТ и АСУ ТП - ОТ
Новые возможности/мотивация атакующих
http://www.darkreading.com/attacks-bre
38. Киберугрозы: из ИТ через ОТ в реальность
• Нарушение физической безопасности (взлом умных замков)
• Нарушение работы предприятия (ложные срабатывания
пожарной сигнализации, повторяющиеся)
• Утечки информации (съем данных с систем
видеонаблюдения)
• Фрод (модификация показаний датчиков (весов))
• Локеры устройств
SmartThings app that’s meant to check a lock’s battery shouldn’t be able to
steal its PIN or set off a fire alarm, they argue. In fact, they analyzed 499
SmartThings and found that more than half of them had at least some level of
privilege they considered overbroad, and that 68 actually used capabilities
they weren’t meant to possess.
39. Моделирование угроз для АСУ ТП
Protocol analysis
(Modbus, S7,
Profinet etc)
Kiosk mode
escape
Unauthorized
access
Firmware
download
Password
cracking
Access
controllers
Command/data
sending
Pipeline accident
Fire protection
system
SCADA/HMI
Pumping
Infrastructure
DMZ
Firmware
modification
Denial of
service
Fire protection system enable
or disable unauthorized
False data on
operators’ screens
Threat to life
Pipeline Idle
time
Pumping
station
Fire
protection
system
Workstations
DMZ
Connection breach
Control over DMZ server
Damage to Environment
Internal
Attacker
Penetration vectors Target Systems Threats
Disposition
47. ptsecurity.ru
Компетенции, реализованные в продуктах и сервисах
Сервисы Тест на проникновение
Анализ защищенности
Анализ угроз и
расследование инцидентов
Выявление атак
на критически важные
системы телекомов
и промышленных
предприятий
Выявление вредоносных
файлов, полученных по почте
и хранящихся в
корпоративных базах,
десятками антивирусов
PT Multiscanner
PT ISIM
PT SS7 Attack
Discovery
MaxPatrol
MaxPatrol SIEM
Мониторинг безопасности на
всех уровнях
информационной системы, а
также сбор событий и анализ
состояния системы
Защита веб-порталов
и бизнес-приложений
на этапе разработки
и эксплуатации
PT Application
Inspector
PT Application
Firewall
План реагирования на инциденты
Проверка планов в «спокойных условиях»
Инвентаризация
Управление уязвимостями
Эффективность мониторинга ИБ?
Самый простой вектор атаки – подбор паролей для доступных интерфейсов управления (SSH, Telnet, RDP и т.п.), которых на периметре каждой организации с избытком.Но ландшафт атаки настолько широк, что остается лишь проследить, как постепенно этот слайд превратится в паутину переплетения возможных векторов атак.
Подбор учетных данных не ограничивается интерфейсами управления, веб-приложения лидируют в рейтинге систем, для которых применяются простые пароли.
А доступ к веб-приложениям с пользовательскими или административными привилегиями дает возможность реализовать те атаки, которые недоступны случайному внешнему нарушителю, действующему без привилегий.
Самые распространенные атаки – загрузка файлов в обход фильтрации расширений и внедрение SQL-операторов. Кроме того, интерфейсы администрирования приложений и веб-серверов зачастую позволяют напрямую выполнять команды ОС на сервере.
Также нельзя забывать про то, что зачастую на общедоступных веб-ресурсах хранятся в открытом виде учетные записи. Случается находить даже доменные учетки, это существенно упрощает задачу злоумышленника по компрометации критически важных ресурсов и позволяет развивать векторы атаки, недоступные нарушителю без привилегий. Например, подключаться к корпоративным порталам.
Крайне опасны доступные на периметре интерфейсы СУБД, так как доступ к СУБД позволяет не только подключаться к БД, но и выполнять команды на сервере. Зачастую привилегии СУБД (как и веб-приложений) избыточны, но даже ограниченных привилегий достаточно чтобы получить доступ к ЛВС
Корпоративные сервисы на периметре сети всегда привлекают нарушителей. Если подобрать доменную учетную запись, открываются отличные возможности для расширения покрытия атаки, а также возможность развития атаки во внутреннюю сеть. Типичный пример Citrix, где возможен запуск приложений ОС, таких как IE. Нарушитель может использовать функционал приложения по открытию файлов для запуска командной оболочки. Успешная атака была продемонстрирована в 9% систем в 2016 году.
Поиск уязвимостей в системных настройках для определения соответствия требованиям принятой политики безопасности (Политики безопасности Windows, политики Active Directory, системные файлы Linux, …).
Позволяет выявить:
Службы, приложения, использование которых не регламентировано;
Небезопасные конфигурации процедур авторизации/аутентификации (слабые пароли системных учетных записей, отсутствие запрета на выполнение действий с правами привилегированных учетных записей);
Небезопасная конфигурация процедур создания резервных копий данных;
Классический вектор – атаки на веб. К сожалению этот вектор и самый распространенный и наиболее эффективный, как показывает практика. Зачастую он работает даже без привилегий в системе (SQLi, RCE, загрузка файлов, XXE, подключение и чтение файлов и т.д.)
Эксплуатация уязвимостей ПО и ОС. В рамках пентеста не эксплуатируем бинарные эксплойты и вообще проводим только те атаки, которые не нарушают работу сервисов инфраструктуры. Однако с помощью макспатрол выявляем сотни уязвимостей устаревшего ПО на периметре, в том числе с общедоступными эксплойтами.
Социальная инженерия – самый эффективный способ доставки ВПО. Как показывает практика работает безотказно. В любой организации найдется сотрудник, перешедший по ссылке или загрузивший файл. А нарушителю достаточного лишь 1 успешно отправленного экземпляра ВПО, чтобы скомпрометировать всю инфраструктуру.
Кроме того, в 2016 году успешно продемонстрирован вектор атаки на сотрудника, вступившего в диалог с пентестером. Он ответил, что ссылка в письме не открывается, и пентестер позвонил ему по телефону, полученному в подписи ответного письма. Представившись админом, пентестер предложил решить проблему неоткрывшийся ссылки и выведал учетные данные сотрудника. Которые к слову сказать были совсем простыми, а сотрудник попросил не менять пароль ему, так как он очень удобный.
И восьмой вектор атаки, его стоит выделить отдельно. Атаки через беспроводную сеть. В прошлом году удалось выявить вектор атаки на контроллеры домена через защищенный вайфай с помощью хранящейся в открытом виде в вебе учетной записи домена. В этому году атаки более хитрые, но не менее успешные.
Например, в одной из организаций была выявлена возможность атаковать сотрудников компании, для которых было предусмотрено автоматическое переключение на гостевую сеть из корпоративной, в случае недоступности второй. Аутентификация в гостевой сети осуществлялась через веб-интерфейс и мак-адрес пользователя запоминался в настройках точки доступа, чтобы не просить аутентификацию устройства постоянно. Пентестеры создали поддельную точку доступа, полностью скопировали веб-страницу аутентификации и реализовали МИТМ между клиентами и действительной точкой доступа, таким образом, сотрудники в нормальном режиме подключались к точке доступа, при этом все запросы шли через устройство пентестеров. И на действительной точке досутпа был сохранен мак-адремс пентестеров. Таким образом сотрудники не знали что их уже атаковали, а у пентестеров был доступ к гостевой сети, где они могли прослушивать трафик, к тому же они обалдали учетными данными всех подключившихся сотрудников. Из сети был доступ к множеству ресурсов ЛВС - внутренним порталам, рабочим станциям, серверам.
В другой организации отсутствие проверки сертификата точки доступа и аутентификация по уязвимому протоколу EAP-MS-CHAPv2 позволили подменить корпоративную точку доступа и перехватывать значения челедж-респонз, так как аутентификация была с доменной учеткой, то получив MD4-хеш (подбирается гарантированно 256 ключей, основанных на алгоритмах шифрования DES и SHA1 на хорошем железе до нескольких дней, либо на платных сервисах всего за $200) нарушитель сможет аутентифицироваться в сети, а также подобрать по нему пароль для последующего доступа к корпоративным ресурсам (это сложнее и не гарантирован результат, однако здесь все зависит от оснащения злоумышленника и сложности пароля). Более того, эту атаку нарушитель может проводить где угодно, достаточно выявить место скопления сотрудников атакуемой организации (например, курилка перед офисом, ближайшая станция метро, парковка, и т.п.), устройства сотрудников автоматически подключатся к точке доступа, сотрудники и не узнают, что их атаковали.
Наиболее распространенные недостатки беспроводных сетей – несанкционированные точки доступа и доступность сетей за пределами территории организации. Любой внешний нарушитель может атаковать. Отсутствие изоляции клиентов позволяет внутри сети проводить атаки на пользователей.
Какой бы ни была крупной огранизация, каждый десятый сотрудник может стать жертвой злоумышленника, реализующего фишинг. В одной из организаций – каждый четвертый сотрудник не был достаточно осведомлен.
Основных вектора атаки 2.Первый – подбор локальных и доменных учетных записей. Работает почти наверняка.
Далее остается пройти ммикацем по машинам с привилегиями локального админа и насобирать учетки для последующей итерации.
Через несколько итераций всегда получаем доменадмина.
Если не удалось подобрать в лоб, в сети часто используются протоколы NBNS и LLMNR, атаки на которые позволяют перехватывать идентификаторы и хеши пользователей. Дальше либо пасс зе хеш, либо подбор по хешу. Наверняка удачный подбор нескольких учеток и развитие атаки по первому сценарию.
Как всегда на ресурсах можно найти много всего интересного, например учетки для доступа к бизнес-системам.
Приятно отметить, что в 2016 году мы встретили защиту привилегированных учеток двухфакторной аутентификацией, использовались смарт карты. Но и этот механизм нам удалось обойти. Проблема в том, что контроллер домена выдает некий NT-хеш учетной записи при использовании ей смарткарты, и этот хеш отправляется контроллером на все узлы, где пользователь аутентифицируется. Таким образом достаточно получить этот хеш (например тем же мимикацем) и далее использовать его для доступа на любую машину домена с помощью пасс зе хеш (теряется смысл двухфакторной аутентификации). Более того, этот хеш никогда не меняется и нарушитель может полностью контролировать ресурсы неограниченное время (даже пароли обычно живут не более 90 дней, если настроена политика).
Вывод один, на сегодня внутрення инфраструктура не защищена, пока пользователи используют простые пароли, нарушителю не составит труда завладеть доменом.
Positive Technologies researchers have simulated what an internal attacker could achieve. Here’s major findings in a Oil Pumping infrastructure:
Communication chain
Protocol analyzed / dissection.
Identification of data in transit.
Identification of specific crafted package to send to affect pump functioning, general systems functioning
SCADA ecosystem variation
Identification of method to download equipment’s firmware and upload a crafted one
Kiosk invalidation
Identification on how to get access to the kiosk mode
Performed unauthorized operation over kiosk operating system
Exiting from Kiosk mode
Implement network and application attacks
Security measures / breaking availability
Local and remote ability to authenticate in OT infrastructure
Ability to manipulate business and security processes
Требования регулятора: реальная ответственность (уголовная для КИИ, мультипликаторы для ПДн, обязательные меры, почему бы не сделать их эффективно?
Пример – обращение по анализу кода/инфраструктуры при подаче на сертификацию/аттестации – как компенсирующая мера
Цифровизация – «вернуть долги», чтобы не потонуть в технологическом долге (уязвимости, мониторинг), оптимизация процессов – СИЕМ, АппСек – день сегодняшний
Интеграция ОТ – вы должны понимать какие риски несут «умные» вещи в общей ИТ