Как увидеть невидимые инциденты
TRANSCRIPT
![Page 1: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/1.jpg)
ptsecurity.comptsecurity.com
Как увидеть невидимые инциденты
![Page 2: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/2.jpg)
ptsecurity.com
2
ptsecurity.com
67% систем уязвимы к атакам извне 94% систем уязвимы к внутренним атакам
И только 6% систем взломать не удается
Практика тестов на проникновение
![Page 3: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/3.jpg)
ptsecurity.com
3Безопасность в цифрах
• Периметр 87% корпоративных ЛВС не останавливает проникновение
• 61% корпоративных информационных систем может взломать неквалифицированный хакер
• Взлом ЛВС компании занимает 3-5 дней• Действия пентестеров обнаруживаются только в 2% тестов
на проникновение• Ни разу пентестерам не оказывалось организованное
противодействие
![Page 4: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/4.jpg)
ptsecurity.com
4Какие недостатки используются
• Получение учетных записейСловарные пароли, хранение паролей
• Доступ через периметрУязвимости веб-приложений
• Использование публичных эксплойтовИзвестные уязвимости
• Перехват сетевого трафика, проблемы сегментированияОшибки сетевой инфраструктуры
•Социальная инженерияНеосведомленность пользователей
![Page 5: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/5.jpg)
ptsecurity.com
5Проблемы обнаружения
• Нет понимания собственных активов• Нет понимания действий атакующего• Зоопарк источников данных• Недостаточная компетенция персонала• Да, есть IDS/IPS, СОА, антивирусы и
средства мониторинга. Но инциденты все равно обнаруживаются постфактум
![Page 6: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/6.jpg)
ptsecurity.com
6Praemonitus praemunitus
•Невозможно быть готовым к любым неприятностям
•Нужно:•Знать, за что боимся•Знать, чего именно боимся•Искать признаки понятных опасностей
![Page 7: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/7.jpg)
Знать, от кого защищаемся
![Page 8: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/8.jpg)
ptsecurity.com
8“Это нам неактуально:…”
•“… система изолирована”•“…система хакеру неинтересна”
•“…наши пользователи такого не умеют”
![Page 9: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/9.jpg)
ptsecurity.com
9А что в реальности?
VLAN1
VLAN2
VLAN1
VLAN2
![Page 10: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/10.jpg)
ptsecurity.com
10“Долог путь до Типперери”
Интернет
Офисная сеть
Сеть АСУ ТП
Производство
HMI
TCP/IP
Modbus TCP
Wireless
RDP
Удаленное техническое обслуживание
SCADA
Modbus Gateway
RTU/PLC
RTU/PLC RTU/PLC
![Page 11: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/11.jpg)
ptsecurity.com
11Что мы знаем о нарушителе
•Преследует определенные цели•Применяет определенный инструментарий•Использует определенные недостатки•Оставляет определенные следы
![Page 12: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/12.jpg)
Знать, что защищаем
![Page 13: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/13.jpg)
ptsecurity.com
13Угроза глазами…
•Бизнеса: “Мошенники увели $100500 млн.”•ИТ: “Упали серверы АСУ АБВГД”•Безопасника: “Конфиденциальность, доступность, целостность”
•Хакера: “Завернул трафик, выцепил пароль, залогинился под админом, профит”
![Page 14: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/14.jpg)
ptsecurity.com
14Активы глазами…
Для бизнеса
Активы
Клиент Фронт-офисБэк-офис Поставщики
![Page 15: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/15.jpg)
ptsecurity.com
15Активы глазами…
![Page 16: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/16.jpg)
ptsecurity.com
16Активы глазами…
![Page 17: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/17.jpg)
ptsecurity.com
17Инвентаризация «снизу вверх»
•Идентифицируем все узлы сети
•Учитываем топологию•Группируем узлы в системы•Учитываем информационные потоки
![Page 18: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/18.jpg)
ptsecurity.com
18Что нужно знать об узле
•Идентификация•Hardware•Software•Настройки•Уязвимости
![Page 19: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/19.jpg)
ptsecurity.com
19Топология
L2
L3
L4/L7
![Page 20: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/20.jpg)
Знать, от чего защищаем
![Page 21: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/21.jpg)
ptsecurity.com
21“КДЦ? Спасибо, не надо”
![Page 22: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/22.jpg)
ptsecurity.com
22Формулируем угрозы
![Page 23: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/23.jpg)
ptsecurity.com
23Моделируем угрозы
PC – Дежурный по станции Windows 2000 Professional for Embedded Systems
Начальные условия: физический доступ к АРМ
Результат: Учетная запись пользователя
1.a.1Подбор паролей по хешам из базы SAM
1.а.2
Результат: права локального администратора
Повышение привилегий (CVE-xxxx-yyyy)
Пароль доступа к FTP В конфигурационном файле
1.а.3
1.б.1Подключение к VLAN c помощью STP
Результат: Обход сегментирования
Перехват трафика (ARP
Spoofing)
Local Area NetworkEthernet
Центральный процессор
Service Processing Unit (SPU)DNIX
Результат: права root
1.в
Перезагрузка в single-user mode
Простые атаки
Legend
Продвинытые атаки
1.а.3
1.б.21.б.2 Подбор словарных паролей
Обход авторизации в FTP (CVE-xxxx-yyyy)
Результат: сетевойоступ к SPU
Начальные условия: подключение к ЛВС
Начальные условия: физический доступ к
ЦП
Отключение блокировок, перевод стрелки
Повышение привилегий (CVE-xxxx-yyyy)
![Page 24: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/24.jpg)
Инструментарий
![Page 25: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/25.jpg)
ptsecurity.com
25Кирпичики
SIEM
Syslog, NetFlow,
SNMP
DPI
Атаки, аномалии
Log collector
Scanner
Логи приложений
Уязвимости, настройки, ...Knowledge base
Workflow
![Page 26: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/26.jpg)
ptsecurity.com
26Чего не хватает
•Унифицированная платформа•Унификация интерфейсов•Унификация событий
•“Умная” корреляция•Учет топологии•Корреляция по сценариям атак
•(Само)адаптируемость
![Page 27: Как увидеть невидимые инциденты](https://reader035.vdocuments.site/reader035/viewer/2022062320/55b35bc1bb61ebfe438b477a/html5/thumbnails/27.jpg)
Shaken, not stirred
ptsecurity.com
SIEM
Расширенная метамодель актива
События информационной безопасности
Анализ защищенности
Выявление аномалий сетевого трафика
Сетевая топология L2,L3,L7,L7
Визуализация угроз и векторов атак