6. Какие типовые атаки возможны?
Подбор учетных данных
Эксплуатация
веб-уязвимостей
Эксплуатация
уязвимостей ПО
Социальная
инженерия
Взлом периметра
без атаки
Выход из
песочницы
7. Internet
Доступ к
внутренней
сети
Вектор 1. Подбор пароля к интерфейсам управления
подбор1
1
2
3
4
7
91%
Системы с доступными из Интернета
интерфейсами управления
100% Словарные пароли пользователей
ssh
telnet
rdp
…
13. Internet
Доступ к
внутренней
сети
Вектор 3. Подбор пароля к СУБД
подбор1
1
2
27%
Системы со словарным паролем
к СУБД
3
СУБД
45%
Системы с доступными для
подключения интерфейсами СУБД
mysql
mssql
…
14. Internet
Доступ к
внутренней
сети
Вектор 3. Подбор пароля к СУБД
подбор1
1
2
27%
Системы со словарным паролем
к СУБД
3
СУБД
45%
Системы с доступными для
подключения интерфейсами СУБД
15. Internet
Доступ к
внутренней
сети
Вектор 3. Подбор пароля к СУБД
подбор1
1
2
27%
Системы со словарным паролем
к СУБД
3
СУБД
45%
Системы с доступными для
подключения интерфейсами СУБД
18. Internet
Доступ к
внутренней
сети
Вектор 4. Выход из песочницы
подбор1
1
2
учетки в открытом виде
3
СУБД
27%
Системы с доступными для подключения
корпоративными сервисами
выход из
песочницы
4
20. Internet
Доступ к
внутренней
сети
Вектор 5. Эксплуатация веб-уязвимостей
подбор1
1
2
учетки в открытом виде
3
СУБД
80% Системы с уязвимыми веб-приложениями
выход из
песочницы
4
веб-уязвимости 5
21. Internet
Доступ к
внутренней
сети
Вектор 6. Эксплуатация известных уязвимостей
подбор1
1
2
3
СУБД
91%
Системы с
уязвимым ПО
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
22. Internet
Доступ к
внутренней
сети
Вектор 6a. Эксплуатация известных уязвимостей (ПО)
подбор1
1
2
учетки в открытом виде
3
СУБД
91%
Системы с
уязвимым ПО
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
23. Internet
Доступ к
внутренней
сети
Вектор 6b. Эксплуатация известных уязвимостей (Протокол)
подбор1
1
2
учетки в открытом виде
3
СУБД
91%
Системы с
уязвимым ПО
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
24. Internet
Доступ к
внутренней
сети
Вектор 7. Социальная инженерия
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7 100%
Успешность атак
методами
социальной
инженерии
25. Internet
Доступ к
внутренней
сети
Вектор 7. Социальная инженерия
подбор1
1
2
учетки в открытом виде
3
СУБД
выход из
песочницы
4
веб-уязвимости 5
уязвимости ПО
6
7социальная
инженерия
26. Internet
Доступ к
внутренней
сети
Вектор 8. Беспроводные сети
подбор
веб-уязвимости
уязвимости ПО
учетки в открытом виде
социальная
инженерия
выход из
песочницы
СУБД
1
1
2
5
3
4
6
7
8
100%
Успешность атак
через WiFi сети
27. Вектор 8. Беспроводные сети. Недостатки защиты
3/4 Несанкционированные точки доступа
Избыточное покрытие корпоративных сетей
Не проверяется сертификат сети
Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей
28. Вектор 8. Беспроводные сети. Пример атаки 1 (PSK)
3/4 Несанкционированные точки доступа
Избыточное покрытие корпоративных сетей
Не проверяется сертификат сети
Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей
29. Вектор 8. Беспроводные сети. Пример атаки 1 (PSK)
3/4 Несанкционированные точки доступа
Избыточное покрытие корпоративных сетей
Не проверяется сертификат сети
Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей
30. Вектор 8. Беспроводные сети. Пример атаки 1 (PSK)
3/4 Несанкционированные точки доступа
Избыточное покрытие корпоративных сетей
Не проверяется сертификат сети
Слабые ключи1/2
систем
систем
Подключение ресурсов
ЛВС к беспроводной сети
Подмена точки
доступа
Отсутствие защиты
беспроводной сети
Использование гостевой
сети сотрудниками
Отсутствие изоляции
пользователей
31. Вектор 8. Беспроводные сети. Пример атаки 2 (MGT)
Легитимная
Точка доступа
Оборудование
Исполнителя
Поддельная
Точка доступа
Устройство
Заказчика
1 Поддельная точка
MS-CHAPv2 ?
2 Перехватываем Challenge-Response
3 Перебираем 256 комбинаций
4 Получаем доступ к сети
32. Вектор 8. Беспроводные сети. Пример атаки 2 (MGT)
Легитимная
Точка доступа
Оборудование
Исполнителя
Поддельная
Точка доступа
Устройство
Заказчика
1 Поддельная точка
MS-CHAPv2 ?
2 Перехватываем Challenge-Response
3 Перебираем 256 комбинаций
4 Получаем доступ к сети
33. Вектор 8. Беспроводные сети. Пример атаки 3 (HTTPS+MAC)
0
Незащищенная гостевая сеть с
аутентификацией по HTTPS
Первое подключение:
Запрашивается аутентификация.
После аутентификации MAC-адрес
пользователя запоминается
Последующие подключения:
Аутентификация не запрашивается.
Доступ предоставляется устройству с
запомненным MAC-адресом
34. Вектор 8. Беспроводные сети. Пример атаки 3 (HTTPS+MAC)
1 Поддельная страница аутентификации
37. Рекомендации
1 Защищать веб-ресурсы
2 Не использовать простые/словарные/стандартные пароли
3 Минимизировать доступные сервисы на периметре
4 Минимизировать привилегии пользователей и служб
5 Проводить тренинги по повышению осведомленности в вопросах ИБ
6 Обновлять ПО
7 Обеспечить безопасную конфигурацию беспроводных сетей
39. Почему атаки возможны?
Какие пароли используют ваши
сотрудники и администраторы?
Что с сегментацией
в вашей сети?
Цель – привилегии администратора домена
40. Какие типовые атаки наиболее вероятны?
Подбор учетных данных
Атаки на протоколы
Эксплуатация уязвимостей ПО
Атаки на двухфакторную
аутентификацию
Чтение памяти
процессов
Запуск
специализированного ПО
Чтение групповых политик
41. Вектор 1. Подбор учетных данных
Словарные
пароли
90%
Обход
антивирусной
защиты
100%1
2
42. Вектор 1. Подбор учетных данных
Словарные
пароли
90%
Обход
антивирусной
защиты
100%1
2
43. Вектор 1. Подбор учетных данных
Словарные
пароли
90%
Обход
антивирусной
защиты
100%1
2
44. Вектор 1. Подбор учетных данных
Словарные
пароли
90%
Обход
антивирусной
защиты
100%1
2
45. Вектор 1. Развитие атаки на другие узлы сети
Словарные
пароли
90%
Обход
антивирусной
защиты
100%1
Хранение важных
данных в открытом виде 60%
46. Вектор 2. Атаки на протоколы
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
1
2
ARP
NBNS
LLMNR
Хранение важных
данных в открытом виде 60%
47. Вектор 3. Атака на двухфакторную аутентификацию
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Двухфакторная
аутентификация
9%
Хранение важных
данных в открытом виде 60%
1
2
48. На сколько все плохо?
100%
Полный контроль
над инфраструктурой
Ничего не
изменяется
Атака в 4 шага
Словарные
пароли
90%
Обход
антивирусной
защиты
100%
Атаки на
протоколы
60%
Двухфакторная
аутентификация
9%
Хранение важных
данных в открытом виде 60%
систем
1
2
Независимо от типа
нарушителя
49. Рекомендации
1
Защищать привилегированные учетные записи
2
Не использовать простые/словарные/стандартные пароли
3 Обновлять ПО, ОС, антивирусные базы
4
Минимизировать привилегии пользователей и служб
5 Не хранить в открытом виде чувствительную информацию
6
7
Обеспечить эффективную сегментацию сетей и отключить неиспользуемые протоколы
Обеспечить эффективный мониторинг событий ИБ с целью предотвращения атак