Естехин the soc - внутренние угрозы
TRANSCRIPT
ПО МОТИВАМ ПРЕЗЕНТАЦИИ ЭЛЬМАНА БЕЙБУТОВА “КТО ПРИСМОТРИТ ЗА СМОТРЯЩИМ?”
КТО ПРИСМОТРИТ ЗА ШТИРЛИЦЕМ? КАК TheSOC ВЫЯВЛЯЛ ИНЦИДЕНТЫ
СРЕДИ ПРИВИЛЕГИРОВАННЫХ ПОЛЬЗОВАТЕЛЕЙ ЦЕНТРАЛЬНОГО
АППАРАТА СД
Все совпадения с реальными событиями случайны. Имена, фамилии, географические названия не соотвествуют именам, фамилиям, географическим названиям реальных людей и объектов.
“Штирлиц послал ping по имени сайта. Сайт не ответил. Штирлиц послал ping по IP-адресу сайта. Сайт не ответил. Штирлиц, не поленился, и поехал в офис компании, подошел к двери и ударил её ногой. Дверь не открылась. Штирлиц разбежался и бросился на дверь всем телом. С тем же успехом. “Файервол”, — догадался Штирлиц”
Анекдот:
Случай первый: Как быстро парализовать прием входящих звонковв центральном аппарате СД?
Штирлиц Главное имперское ведомство безопасностиПротестировать новый вид DDoS-атаки
Кто:Где:Зачем:
Точки контроля:-голосовое меню (IVR), фильтрация роботов автодозвонов-использование Black-list для определенных номеров (AOHы)-фильтрация звонков по заданным критериямИнструментарий:
Автоматический массовый дозвон (DDoS-атака) на номера ведомства, при ответе вызывающий кладет трубку
ИБ.Взгляд_снизу
Источники:АТС
Г. БЕРЛИН31 ДЕКАБРЯ 1942
Случай второй : Как быстро взломать сеть изнутри?
Штирлиц VI управление РСХА (политическая разведка)Получить контроль над целевой системой
Кто:Где:Зачем:Точки контроля:Часто повторяющиеся команды с IP-адреса 127.0.0.1:-mount/unmount device-запуск/остановка процессов-исполнение команд типа “su borman” и “su muller”-сканирования портов, перебор стандартных учеток: “schellenberg”, “tabakov”, “sharapov”, “pronin”-случайно оставленные следы (Феликс Эдмундович)
Инструментарий:Фишинговые письма по email, VBScript, обфускаторы VBS, Ammyy Admin, GiGa LoGGer V2ИБ.Взгляд_снизу
Источники:Shtrltz.Scanner, Local logs, AV (модуль контроля запускаприложений)
Г. БЕРЛИН7 НОЯБРЯ 1943
Случай третий: Хакер с ZverCD в корпоративной сети центральногобанка Германской империи (Reichsbank)Штирлиц
РейхсбанкПоставить на электронном табло с курсами валютРейхсбанка заставку с портретом СталинаРазвернуть образ ОС с ZverCD на компьютереЦентрального банка с курсами валют
Кто:Где:Зачем:Как:
Точки контроля:Вредоносная сетевая активностьВирусные заражения на хосте
Источники:FW, IPS, AV, ОС, AD
Г. БЕРЛИН9 МАЯ 1945ИБ.Взгляд_снизу
Инструментарий:CuteFTP, Ammyy Admin,GiGa LoGGer V2
Случай четвертый : Применение социальной инженерии в отношениикассиров банковШтирлиц
Банки БерлинаПредставляясь сотрудником IT-подразделения, под предлогомтестирования сервиса обнулить карточный счет кассираИз объяснений кассира: “я оказалась слишком доверчивой, а оноказался слишком наглым”
Кто:Где:Зачем:
Как:
Точки контроля:
Источники:FinCERT, Антидроп-клуб
Г. БЕРЛИН14 ФЕВРАЛЯ 1942ИБ.Взгляд_снизу
Человеческий фактор (spear phishing)Повышение осведомлённости
Случай пятый: Как обрушить компьютерную сетьцентрального аппарата СД?Штирлиц
Центральный аппарат СДВызвать панику в стане врагаПросто дружить с администратором сети
Кто:Где:Зачем:Как:
Точки контроля:-входы одной учетки с разных IP/hostname-подключения из “чужих” провайдерских сетей (например,“Ростелеком”)-входы в системы из-под учеток, заблокированных в AD-входы пользователей, находящихся в отпуске/на фронте-проверка отчетов сканеров уязвимостей Источники:
FW, IPS, AD, Application/WAF
Г. БЕРЛИН23 ФЕВРАЛЯ 1943ИБ.Взгляд_снизу
Случай шестой: Как быстро парализовать работу телеком-провайдера?
Штирлиц Крупный немецкий телеком-провайдерПротестировать новый вид DDoS-атаки
Кто:Где:Зачем: Точки
контроля:-обработка логов-фильтрация вредоносного трафика-блокирование определенных портов, адресов или протоколовИнструментарий:
Дарить на праздники сослуживцам кофемолки с вшитым производителем паролем, который невозможно поменять. Подготовить бот-сеть, состоящую из множества кофемолок со взломанным паролем, использовать устройства как боевые роботы для проведения DDoS-атаки на телеком-провайдера
ИБ.Взгляд_снизу
Источники:FW, AV, Local logs, WAF, IPS
Г. БЕРЛИНежегодно, 20 октября
Случай седьмой: Нестандартные методы работы службы безопасности
ШтирлицVI управление РСХАУлучшить KPIС помощью Яндекс Браузера
Кто:Где:Зачем:Как:
Точки контроля:-проверка паспортов офицеров VI управления с помощью ресурса www.egrul.ru/pasports.html-взаимодецствие с ГосСОПКА и НКЦКИ-использование только сертифицированной криптографии (например, КриптоПро CSP)
Источники:DLP, SaffCop
Г. БЕРЛИН5 МАЯ 1943ИБ.Взгляд_снизу
Название Доля, %Chrome 46.77Firefox 9.45Safari 9.13Opera 6.89Microsoft Internet Explorer
3.68
Android Browser 2.21Internet Explorer Mobile
1.98
Opera Mini 1.36
Yandex Browser 0.00001
OpenStatVI-го управления
РСХА
Инструментарий:Yandex Browser, КриптоПро CSP
Случай восьмой: Cбор информации из открытых источников спомощью специализированных средств
Служба безопасностиВ сети InternetВыявление нелояльных сотрудников, отклоненийот профиля истинного арийцаС помощью Аваланч
Кто:Где:Зачем:
Как:Индикаторы компрометации:-ping kremlin.ru (проверка связи)-уплата налогов на gosuslugi.ru-выкладывание фотографий после корпоратива ведомствана ok.ru и fotostrana.ru-Дайджест новостей по ИБ за 01-31 мая 1945г.:Макс Отто фон Штирлиц советует не верить на слово немецкому командованию;тезисно поделился впечатлениями о бизнес-завтраке у Бормана
Источники:Аваланч, SaffCop, блоги по ИБГ. БЕРЛИН31 МАЯ 1945ИБ.Взгляд_снизу
Случай девятый: Сломать кадровую систему (а заодно и СКУД) и скрыться…
Штирлиц IV управление РСХА (гестапо)Парализовать работу управления
Кто:Где:Зачем:
Точки контроля:Запросы в СУБД кадровой системыИзменение файлов в критичных директорияхИзменеие фотографий в личных делах сотрудниковИзменение нумерации кабинетов IV управления (гестапо)Запуск/остановка турникета на проходной управленияСрабатывание пожарной сигнализации
Источники:
Г. БЕРЛИН2 АВГУСТА 1944ИБ.Взгляд_снизу
Инструментарий:FTP Password Dump, CuteFTP, Extension Spoofer, iBrute
HR, AD, AV (модуль контроля запуска приложений)
Случай десятый: Взломать Wi-Fi за… 3 секунды
ШтирлицПивная “Грубый Готлиб”Случайно…Штирлиц случайно узнал, что во всех моделях роутеров Главного управления дефолтный пароль — это 8 последних символов MAC-адреса устройства
Кто:Где:Зачем:Как:
Точки контроля:
-контроль Wi-Fi сети
Источники:Wireless Statistics, Wireless Network Watcher
Г. БЕРЛИН7 МАЯ 1942ИБ.Взгляд_снизу
“You have been pwned”
Кто найдёт управу на Штирлица? Только TheSOC
Г. МОСКВА16 НОЯБРЯ 2016ИБ.Взгляд_снизу
TheSOC–это централизованная корпоративная команда мониторинга безопасности, созданная в целях снижения рисков организации путем использования технологий и процессов для обнаружения инцидентов, их локализации, анализа и снижения ущерба
SOLAR SECURITY,РОССИЯ, МОСКВА
Как устроен TheSOC?
Г. МОСКВА16 НОЯБРЯ 2016ИБ.Взгляд_снизу
Специализированное ПО(SIEM-продукты)
Группа быстрого реагирования (SIEM-процессы)
Поддержка 24х7(персонал)
#muller
#shtirlitz
#schellenberg
#borman#holthoff #kaltenbrunner #himmler#wolf
#goering#eismann#rolf
СПАСИБО ЗА ВНИМАНИЕ! МАКС ОТТО ФОН ШТИРЛИЦ
SKYPEEMAIL
VON_SHTIRLITZ
CISA ЭКСПЕРТ,СЛУЖБА БЕЗОПАСНОСТИ